Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
A través del Caso Práctico se pretende la resolución de una situación real de Empresa, para lo que es
necesario utilizar todos los conocimientos adquiridos en un Módulo o temática relacionada. En otras
ocasiones, se añade información complementaria sobre los contenidos de los que dispones en las
Unidades de Competencia para que la interpretes o relaciones.
Se deberá analizar e interrelacionar la información facilitada en el Caso Práctico -CP con el Material del
Módulo o temática relacionada, buscando y ampliando información a través de otras fuentes externas
como pueden ser Internet, con el fin de tomar decisiones y proponer soluciones adecuadas en relación
con la situación planteada.
Una vez resuelto, se enviará la solución al Tutor. Se valorarán los conocimientos y la consistencia
argumentativa y no la extensión de las respuestas.
Los pasos a llevar a cabo para la preparación, resolución y formato de entrega del Caso Práctico se
encuentran disponibles en la ventana principal, “Campus Virtual”, a través de Recursos >
Documentación/ Documentación General.
FORMATO DE ENTREGA
Los documentos de respuesta al Caso Práctico, deberán cumplir los siguientes requisitos formales:
2. El nombre del fichero deberá tener la siguiente estructura: CP_Nombre del CP_GrupoX.doc.
Así, por ejemplo, para el Caso Práctico “Compañía HHH”, el Coordinador del Grupo C, nombraría el fichero
como: CP_HHH_GrupoC.doc
3. Utilizar fuente Arial de 10 puntos. Las páginas del documento tienen que estar numeradas.
4. En la parte superior del documento se deberá cumplimentar el campo Nombre y Apellidos de todos los
Participantes.
El Caso Práctico que se presenta a continuación, es un ejemplo didáctico desarrollado con el único
objetivo pedagógico de ayudar al aprendizaje de los alumnos.
De la información que se presenta de cada empresa, sólo es real aquella que aparece en su Web. Los
datos añadidos sólo pretenden plantear una situación que sirva como ejemplo para el alumno, sin
prejuzgar la actuación de la empresa.
MAHREZ
Mahrez necesita identificar y manejar muchas actividades para funcionar eficientemente, por ello se
quiere diseñar un sistema de gestión de seguridad de la información que proporcione los controles de
seguridad que protejan los activos de información de una organización.
Inicialmente, es necesario señalar cuáles son los requerimientos de seguridad de la información de una
organización, fijando una política y unos objetivos concretos para la seguridad de la información.
CPMahrez
2
Entre los activos intangibles más valiosos de Mahrez se encuentra la información, razón que amerita su
protección y la de los sistemas informáticos que la respaldan y la conservan.
Lo primero será involucrar a todo el personal de la compañía sin importar el área a la que pertenezcan,
pues son ellos los que ayudaran a implementar en la cotidianidad los sistemas de gestión y evitar que
sólo se queden en documentos escritos. Algunos mecanismos para ello son las campañas de
concientización sobre la seguridad de la información, la publicación de resultados y las auditorias de
seguridad de la información tipo inspección para verificar el cumplimiento de políticas.
Objetivos
Objetivo General
Objetivos Específicos
● Identificar el estado actual de los procesos existentes en el área de TI como: manejo de activos,
manejo de contratistas, proceso de contratación, control de acceso.
● Establecer controles para minimizar los riesgos significativos y de alto impacto para el negocio,
como el robo o fuga de información, accesos no autorizados, mal uso y/o cualquier otro daño que
afecte la divulgación indebida de la información confidencial, la alteración o modificación de la
misma, y en general la continuidad de las operaciones.
● Establecer la brecha de seguridad entre los procesos y el SGSI bajo la norma ISO27001:2013.
● Establecer claramente al interior de la compañía los roles y responsabilidades en términos de
Seguridad de la Información.
● Desarrollar y mantener una cultura en Seguridad de la Información orientada a la identificación y
análisis de riesgos, a través de la sensibilización a los funcionarios y contratistas.
● Realizar un análisis diferencial del estado actual de seguridad de los activos de la compañía,
versus el cumplimiento de la norma ISO/IEC 27001 e ISO/IEC 27002, para que a partir de este
análisis se identifiquen los recursos necesarios y se puedan establecer los planes de trabajo con
el fin de cumplir la norma.
Alcance
Política
Para la organización la seguridad de la información de los sistemas que se gestionan y/o operan es de
vital importancia y se protegerá de cualquier pérdida en su confidencialidad, integridad y disponibilidad.
Con su divulgación se busca que toda la organización incluyendo empleados, contratistas, terceros y
directivos conozcan ese marco normativo y de forma individual y colectiva brinden su apoyo para que la
organización administre, utilice y disponga de información con niveles adecuados de seguridad.
Mahrez, ha definido la polit́ ica institucional y una serie de políticas específicas de seguridad de la
información las cuales hacen parte del SGSI y se encuentra en documentos anexos de este documento.
CPMahrez
3
Método de valoración de riesgo
La realización del análisis de riesgos tiene como fin identificar de manera clara los riesgos a los cuales
está expuesta la organización, y basados en esta identificación de los riesgos determinar cuáles medidas
de seguridad serán las adecuadas para los diferentes activos de seguridad de la información, de igual
manera permite establecer los planes de contingencia, para este caso se plantea un análisis de riesgo
residual, que es un tipo de análisis que se realiza teniendo en cuentas las medidas de seguridad que la
organización ya tiene planteadas, como resultado de este tipo de análisis se obtiene el riesgo real al cual
estarán expuestos los diferentes activos de la información que tiene la organización.
Actualmente se cuenta con servidores de archivos para alojar la información, servidor de correo, servidor
web, equipos de escritorio, portátiles, software de Sistemas Operativos, Antivirus, aplicaciones de
facturación, Equipos de comunicaciones y de seguridad perimetral, servicio de Internet, telefonía, Intranet
y Correo electrónico, sistemas de alimentación y generadores de energía, sistema de cableado de datos,
soportes de información como discos duros y personal relacionado directa o indirectamente con la
empresa.
Con los datos facilitados en el CP y los que necesites extraer de las Unidades de Competencia, se
solicita que una vez leído el Caso Práctico.
El alcance es el ámbito de la organización que queda sometido al SGSI, incluyendo la identificación clara
de las dependencias, relaciones y límites que existen entre el alcance y aquellas partes que no han sido
consideradas.
En este caso, la gestión de la seguridad de la información busca establecer y mantener programas,
controles y políticas para conservar la confidencialidad, integridad y disponibilidad de la información del
proceso de fabricación de productos cerámicos de revestimiento.
CPMahrez
4
A.5 Información Material de capacitación Servidor 7
Lugares
D.1 Activos Fijos Fotocopiadoras 4
Habituales
■ Para cada uno de los activos de información indicados, señalar quién dentro de Bazz
tiene actualmente el control sobre ese recurso. Es conveniente también señalar el
nivel de responsabilidad y autoridad de la persona.
CPMahrez
5
Activo Persona o Departamento Responsabilidad Autoridad
Baja- reporta al
Actas de Junta del Comité de Departamento de
Alta Director de
Dirección Tecnología
Tecnología
Baja- reporta al
Departamento de
Windows S.O Media Director de
Tecnología
Tecnología
CPMahrez
6
Baja- reporta al
Departamento de
Fotocopiadoras Baja Director de
Tecnología
Tecnología
Equipamiento informático
Baja- reporta al
(procesadores, monitores, Departamento de
Alta Director de
computadoras portátiles, Tecnología
Tecnología
módems)
Equipos de comunicación
M
a
h CPMahrez
r 7