Curso de Principios de la Seguridad de la Información

Objetivo del proyecto: Que los estudiantes sean capaces de diseñar un SGSI adaptado a las necesidades de una organización actual, comprendiendo la importancia de la gestión de riesgos, la definición de políticas y la planificación de la continuidad operativa.

Descripción del proyecto:

En este proyecto, el grupo deberá diseñar e implementar un Sistema de Gestión de Seguridad de la Información (SGSI) para una empresa ficticia de comercio electrónico. Durante las próximas 4 semanas, vosotros tendréis que identificar los principales riesgos de seguridad, definir controles y políticas ajustadas a la norma ISO 27001:2024, y preparar un plan de respuesta ante incidentes

Fases del proyecto:

Fase 1: Análisis de riesgos e identificación de activos (Semana 1)

En esta fase, tendréis que identificar los activos de información más importantes de la empresa, como servidores, bases de datos, o aplicaciones. Después, deberán realizar un análisis de riesgos, evaluando amenazas y vulnerabilidades. Es crucial priorizar los riesgos según su impacto y probabilidad, para determinar los más críticos.

Tareas a realizar:

• Identificar los activos de información más relevantes.

• Evaluar las amenazas y vulnerabilidades asociadas a esos activos.

• Calcular el impacto y la probabilidad de cada riesgo.

• Redactar un informe priorizando los riesgos.

Fase 2: Definición de políticas de seguridad y controles basados en ISO 27001 (Semana 2)

En esta fase, vais a definir las políticas de seguridad que guiarán a la empresa para proteger sus activos. Estas políticas deben estar alineadas con los requisitos de la norma ISO 27001:2024. También debéis establecer los controles necesarios para mitigar los riesgos identificados.

Tareas a realizar:

• Redactar las políticas de seguridad, ajustadas a la norma ISO 27001.

• Definir controles técnicos y organizativos para mitigar los riesgos.

• Crear procedimientos para monitorear y evaluar la seguridad de manera continua.

Fase 3: Diseño de un plan de respuesta a incidentes y plan de continuidad de negocio (Semana 3)

En esta etapa, deberán diseñar un plan de respuesta a incidentes que detalle los pasos a seguir ante posibles ataques o violaciones de seguridad. También deberán desarrollar un plan de continuidad de negocio, asegurando que la empresa pueda seguir operando durante una interrupción grave.

Tareas a realizar:

• Elaborar un plan detallado para responder ante incidentes de seguridad.

• Diseñar un plan de continuidad que cubra la recuperación de los servicios críticos.

• Simular escenarios de incidentes para probar los planes.

Fase 4: Implementación de un repositorio seguro y diagramas de procesos (Semana 4)

En esta fase, implementaréis un repositorio seguro de documentación para almacenar las políticas, procedimientos y documentación del SGSI. Usarán herramientas como Nextcloud para asegurar la gestión de estos documentos. También deberán diseñar diagramas de procesos que ilustren cómo deben actuar los equipos en respuesta a incidentes.

Tareas a realizar:

• Implementar un repositorio seguro de documentación.

• Crear diagramas de procesos que describan los flujos de trabajo de respuesta.

• Redactar una guía para el uso y gestión del repositorio.

Fase opcional: Implementación de un análisis de impacto en la protección de datos (DPIA)

Para los estudiantes que deseen profundizar, esta fase incluye la realización de un análisis de impacto en la protección de datos (DPIA) conforme al GDPR. Este análisis evalúa cómo las actividades de la empresa impactan la privacidad de los usuarios y propone controles adicionales para mitigar estos riesgos.