Caso Práctico: Mahrez

Asignatura: Sistemas de Gestión de la Seguridad de la Información ISO 27001

Nombre y Apellidos del Participante:

Paola Liliana Burneo Echeverría

PREPARACIÓN Y RESOLUCIÓN DE UN CASO PRÁCTICO

A través del Caso Práctico se pretende la resolución de una situación real de Empresa, para lo que es
necesario utilizar todos los conocimientos adquiridos en un Módulo o temática relacionada. En otras
ocasiones, se añade información complementaria sobre los contenidos de los que dispones en las
Unidades de Competencia para que la interpretes o relaciones.

La resolución de un Caso Práctico permite la adquisición de habilidades mediante la detección de

situaciones relevantes, análisis de información complementaria, toma de decisiones y propuesta de
soluciones.

Se deberá analizar e interrelacionar la información facilitada en el Caso Práctico -CP con el Material del
Módulo o temática relacionada, buscando y ampliando información a través de otras fuentes externas
como pueden ser Internet, con el fin de tomar decisiones y proponer soluciones adecuadas en relación
con la situación planteada.

Una vez resuelto, se enviará la solución al Tutor. Se valorarán los conocimientos y la consistencia
argumentativa y no la extensión de las respuestas.

Los pasos a llevar a cabo para la preparación, resolución y formato de entrega del Caso Práctico se
encuentran disponibles en la ventana principal, “Campus Virtual”, a través de Recursos >
Documentación/ Documentación General.

FORMATO DE ENTREGA

Los documentos de respuesta al Caso Práctico, deberán cumplir los siguientes requisitos formales:

1. Devolver el documento en este mismo archivo Word.

2. El nombre del fichero deberá tener la siguiente estructura: CP_Nombre del CP_GrupoX.doc.

Así, por ejemplo, para el Caso Práctico “Compañía HHH”, el Coordinador del Grupo C, nombraría el fichero
como: CP_HHH_GrupoC.doc

3. Utilizar fuente Arial de 10 puntos. Las páginas del documento tienen que estar numeradas.

4. En la parte superior del documento se deberá cumplimentar el campo Nombre y Apellidos de todos los
Participantes.

El Caso Práctico que se presenta a continuación, es un ejemplo didáctico desarrollado con el único
objetivo pedagógico de ayudar al aprendizaje de los alumnos.

De la información que se presenta de cada empresa, sólo es real aquella que aparece en su Web. Los
datos añadidos sólo pretenden plantear una situación que sirva como ejemplo para el alumno, sin
prejuzgar la actuación de la empresa.
 MAHREZ

Mahrez es una empresa que se dedica a la fabricación de productos cerámicos de revestimiento, y su

posterior distribución a nivel internacional, y que actualmente cuenta con un importante número de
trabajadores.

Desde la Dirección se ha decidido implantar un Sistema de Gestión de la Seguridad de la Información,

por lo que será necesario identificar el alcance, la política, el método de valoración de riesgo y los
recursos de información de los que dispone la empresa, y posteriormente determinar quién es
actualmente el responsable para la administración de estos problemas.

De esta manera, se podrá proporcionar la información en tiempo y forma a los responsables de la

organización, con el fin de facilitar la adopción de decisiones por los mismos.

Mahrez necesita identificar y manejar muchas actividades para funcionar eficientemente, por ello se
quiere diseñar un sistema de gestión de seguridad de la información que proporcione los controles de
seguridad que protejan los activos de información de una organización.

Inicialmente, es necesario señalar cuáles son los requerimientos de seguridad de la información de una
organización, fijando una política y unos objetivos concretos para la seguridad de la información.

Requerimientos de seguridad de la información de una organización

CPMahrez

2
Entre los activos intangibles más valiosos de Mahrez se encuentra la información, razón que amerita su
protección y la de los sistemas informáticos que la respaldan y la conservan.

Lo primero será involucrar a todo el personal de la compañía sin importar el área a la que pertenezcan,
pues son ellos los que ayudaran a implementar en la cotidianidad los sistemas de gestión y evitar que
sólo se queden en documentos escritos. Algunos mecanismos para ello son las campañas de
concientización sobre la seguridad de la información, la publicación de resultados y las auditorias de
seguridad de la información tipo inspección para verificar el cumplimiento de políticas.

Objetivos

Objetivo General

Planear, diseñar y recomendar la implementación de un Sistema de Gestión de Seguridad de la

Información (SGSI) enfocado a los procesos de todas las áreas que comprenden la empresa Mahrez.

Objetivos Específicos

● Identificar el estado actual de los procesos existentes en el área de TI como: manejo de activos,
manejo de contratistas, proceso de contratación, control de acceso.
● Establecer controles para minimizar los riesgos significativos y de alto impacto para el negocio,
como el robo o fuga de información, accesos no autorizados, mal uso y/o cualquier otro daño que
afecte la divulgación indebida de la información confidencial, la alteración o modificación de la
misma, y en general la continuidad de las operaciones.
● Establecer la brecha de seguridad entre los procesos y el SGSI bajo la norma ISO27001:2013.
● Establecer claramente al interior de la compañía los roles y responsabilidades en términos de
Seguridad de la Información.
● Desarrollar y mantener una cultura en Seguridad de la Información orientada a la identificación y
análisis de riesgos, a través de la sensibilización a los funcionarios y contratistas.
● Realizar un análisis diferencial del estado actual de seguridad de los activos de la compañía,
versus el cumplimiento de la norma ISO/IEC 27001 e ISO/IEC 27002, para que a partir de este
análisis se identifiquen los recursos necesarios y se puedan establecer los planes de trabajo con
el fin de cumplir la norma.
Alcance

En Mahrez la gestión de la seguridad de la información busca establecer y mantener programas,

controles y políticas para conservar la confidencialidad, integridad y disponibilidad de la información del
proceso de fabricación de productos cerámicos de revestimiento.

Política

Para la organización la seguridad de la información de los sistemas que se gestionan y/o operan es de
vital importancia y se protegerá de cualquier pérdida en su confidencialidad, integridad y disponibilidad.

Con su divulgación se busca que toda la organización incluyendo empleados, contratistas, terceros y
directivos conozcan ese marco normativo y de forma individual y colectiva brinden su apoyo para que la
organización administre, utilice y disponga de información con niveles adecuados de seguridad.

Mahrez, ha definido la polit́ ica institucional y una serie de políticas específicas de seguridad de la
información las cuales hacen parte del SGSI y se encuentra en documentos anexos de este documento.

CPMahrez

3
Método de valoración de riesgo

La realización del análisis de riesgos tiene como fin identificar de manera clara los riesgos a los cuales
está expuesta la organización, y basados en esta identificación de los riesgos determinar cuáles medidas
de seguridad serán las adecuadas para los diferentes activos de seguridad de la información, de igual
manera permite establecer los planes de contingencia, para este caso se plantea un análisis de riesgo
residual, que es un tipo de análisis que se realiza teniendo en cuentas las medidas de seguridad que la
organización ya tiene planteadas, como resultado de este tipo de análisis se obtiene el riesgo real al cual
estarán expuestos los diferentes activos de la información que tiene la organización.

Recursos de información de los que dispone la empresa

Actualmente se cuenta con servidores de archivos para alojar la información, servidor de correo, servidor
web, equipos de escritorio, portátiles, software de Sistemas Operativos, Antivirus, aplicaciones de
facturación, Equipos de comunicaciones y de seguridad perimetral, servicio de Internet, telefonía, Intranet
y Correo electrónico, sistemas de alimentación y generadores de energía, sistema de cableado de datos,
soportes de información como discos duros y personal relacionado directa o indirectamente con la
empresa.

PREGUNTAS DEL TUTOR

Con los datos facilitados en el CP y los que necesites extraer de las Unidades de Competencia, se
solicita que una vez leído el Caso Práctico.

■ ¿A qué se hace referencia cuando se habla de alcance de un Sistema de Gestión de

Seguridad de la Información?

El alcance es el ámbito de la organización que queda sometido al SGSI, incluyendo la identificación clara
de las dependencias, relaciones y límites que existen entre el alcance y aquellas partes que no han sido
consideradas.
En este caso, la gestión de la seguridad de la información busca establecer y mantener programas,
controles y políticas para conservar la confidencialidad, integridad y disponibilidad de la información del
proceso de fabricación de productos cerámicos de revestimiento.

■ Crear una lista de todos los activos o recursos posibles de información, su

localización y el valor de seguridad del mismo, se adjunta lista con ejemplos de
referencia.
Nº Tipo Activo Localización Valor

Actas de Junta del

A.1 Información Servidor 5
Comité de Dirección

A.2 Información Bases de datos Servidor 9

A.4 Información Manuales de usuario Servidor 6

CPMahrez

4
 A.5 Información Material de capacitación Servidor 7

Manual del SGSI y

B.1 Documentos Servidor 9
Procedimientos

B.2 Documentos Planes de continuidad y Servidor 8

contingencia

B.3 Documentos Procedimientos Servidor 7

operativos o de soporte

B.4 Documentos Documentación impresa Archivo físico 8

C.1 Software Windows NT PCs 6

C.2 Software Software de PCs 6

aplicaciones

C.3 Software Utilitarios PCs 8

Lugares
D.1 Activos Fijos Fotocopiadoras 4
Habituales

D.2 Activos Fijos Equipamiento Lugares 10

informático Habituales
(procesadores,
monitores,
computadoras
portátiles, módems)

D.3 Activos Fijos Equipos de comunicación Cuarto de 8

Telecomunicacion
(routers, PABXs,
máquinas de fax, es y Lugares
contestadores habituales
automáticos, switches
de datos, etc.)

D.4 Activos Fijos Medios magnéticos De uso del 10

(cintas, discos, usuario final
dispositivos móviles
de almacenamiento de
datos – pen drives,
discos externos, etc.-)

■ Para cada uno de los activos de información indicados, señalar quién dentro de Bazz
tiene actualmente el control sobre ese recurso. Es conveniente también señalar el
nivel de responsabilidad y autoridad de la persona.

CPMahrez

5
 Activo Persona o Departamento Responsabilidad Autoridad

Baja- reporta al
Actas de Junta del Comité de Departamento de
Alta Director de
Dirección Tecnología
Tecnología

Bases de datos Departamento de Alta Baja- reporta al

Tecnología Director de
Tecnología

Manuales de usuario Departamento de Alta Baja- reporta al

Tecnología Director de
Tecnología

Material de capacitación Baja- reporta al

Departamento de
Alta Director de
Tecnología
Tecnología

Manual del SGSI y Seguridad de la Alta Alta- reporta al

Procedimientos Información Gerente General

Planes de continuidad y Gerencia de Riesgos Alta Alta- reporta al

contingencia Gerente General

Procedimientos operativos o Baja- reporta al

de soporte Departamento de
Alta Director de
Tecnología
Tecnología

Documentación impresa Archivo Media Baja- reporta al

Director de
Tecnología

Baja- reporta al
Departamento de
Windows S.O Media Director de
Tecnología
Tecnología

Software de aplicaciones Baja- reporta al

Departamento de
Alta Director de
Tecnología
Tecnología

Utilitarios Baja- reporta al

Departamento de
Media director
Tecnología
informático

CPMahrez

6
 Baja- reporta al
Departamento de
Fotocopiadoras Baja Director de
Tecnología
Tecnología

Equipamiento informático
Baja- reporta al
(procesadores, monitores, Departamento de
Alta Director de
computadoras portátiles, Tecnología
Tecnología
módems)

Equipos de comunicación

(routers, PABXs, máquinas Baja- reporta al

Departamento de
de fax, contestadores Alta Director de
Tecnología
automáticos, switches de Tecnología
datos, etc.)

Medios magnéticos (cintas,

discos, dispositivos móviles Baja- reporta al
Departamento de
de almacenamiento de Alta Director de
Tecnología
datos – pen drives, discos Tecnología
externos, etc.-)

M
a
h CPMahrez

r 7