Universidad Nacional Abierta y a Distancia

Especialización en Seguridad Informática

Estándares, Normatividad y Regulación de la Seguridad Informática
219019

Caso de Estudio 2022 (16-4)

En este caso práctico veremos la posibilidad de implantación de los requisitos de

algunas series de la familia ISO/IEC 27000 que se consideren necesarias, para el
desarrollo del escenario que se plantea en la siguiente organización ficticia:

Presentación:
RTT Ibérica es una empresa fundada en 1995 dedicada a la prestación de
servicios de venta y alquiler de vehículos tanto a empresas como a particulares.

Desde su creación, la empresa ha ido añadiendo servicios y firmando acuerdos

con estaciones de servicio y gasolineras para poder ofrecer a sus clientes ventajas
a la hora de realizar sus compras.

Recientemente acaba de unirse a la promoción de puntos una cadena de

gasolineras que posee establecimientos en varios países: Alemania, Francia,
Inglaterra, Portugal, Italia, Marruecos y Suiza.

Desde el año 2005 RTT Ibérica ofrece sus servicios también a través de la página
web, facilitando por este medio todas las gestiones para sus clientes.

En el caso de los clientes particulares, estos esperan de RTT Ibérica la protección

de la información que depositan en la organización, especialmente en lo relativo a
la confidencialidad.

Las estaciones de servicio y gasolineras exigen contractualmente a RTT Ibérica el

buen funcionamiento del servicio de promoción de puntos, ya que en muchas
ocasiones serán sus departamentos de atención al cliente los receptores de las
quejas y reclamaciones de los usuarios.
Las estaciones de servicio y gasolineras exigen contractualmente a RTT Ibérica el
buen funcionamiento del servicio de promoción de puntos, ya que en muchas
ocasiones serán sus departamentos de atención al cliente los receptores de las
quejas y reclamaciones de los usuarios.

Estructura de la empresa:
RTT Ibérica está organizada en 4 departamentos:
 Alquiler y venta: encargado de gestionar las ventas y alquileres de
vehículos. El alquiler o venta de un vehículo puede llevarse a cabo en las
propias instalaciones o a través de una aplicación web desarrollada a
medida para la empresa. En este departamento también se gestiona el
conjunto de ventajas de los clientes habituales. Para ello, se ha contratado
una gestoría que se comparte con otras cadenas de gasolineras y
supermercados, de manera que los clientes de RTT Ibérica obtienen
descuentos en dichos establecimientos.
 Comercial: encargado de la captación de nuevos clientes. Gestiona también
los avisos de novedades a clientes y envían e-mails a los usuarios para
motivarles a que compren.
 Departamento Financiero: se gestionan, entre otros, los datos de clientes y
proveedores para poder llevar la contabilidad de la empresa y para el
cumplimiento de las obligaciones fiscales y societarias. Para el tratamiento
de la información se utilizan las aplicaciones comerciales CPLUS y FPLUS.
Para algunas de las tareas se utiliza el paquete ofimático de Microsoft.
Cada usuario guarda sus documentos de ofimática localmente en los
equipos.
 Recursos Humanos: es el departamento encargado de la gestión de
nóminas y contratos del personal. La gestión de esta información se realiza
mediante la aplicación NPLUS.
 Departamento Técnico: se encarga de instalar, mantener y gestionar los
sistemas de información que dan soporte al resto de RTT Ibérica,
incluyendo las relaciones con los proveedores tecnológicos.

Aspectos técnicos
La empresa dispone de una red local formada por un total de 15 ordenadores
personales de usuario y un servidor de dominio.
En el servidor se centraliza toda la información necesaria para el funcionamiento
de la empresa y las aplicaciones necesarias para su tratamiento. En el mismo se
gestionan además todos los accesos a la red de la empresa (cuentas de usuario,
correo electrónico, etc.). Dispone de un sistema de alimentación ininterrumpida.

Cada usuario dispone de su propio usuario y contraseña (que no caduca) salvo en

el caso del departamento de comercial, donde existe una cuenta común para
todos los comerciales.

La página web ha sido desarrollada por una empresa contratada para tal fin.

Todos los equipos disponen de sistema antivirus que se actualiza con una
periodicidad diaria de manera automática. Todos los equipos disponen de
conexión a Internet. Se trata de una conexión ADSL con un router que dispone de
funcionalidades de cortafuegos.

Se realizan copias de seguridad del servidor semanalmente en soportes de cinta

magnética. Existen 4 cintas que se van rotando. Las copias se almacenan en una
caja fuerte en las propias oficinas de la empresa.
Fuente:
Gómez, Fernández, Luis, and Rivero, Pedro Pablo Fernández. Cómo implantar un
SGSI según UNE-EN ISO/IEC 27001 y su aplicación en el Esquema Nacional de
Seguridad, AENOR - Asociación Española de Normalización y Certificación, 2018.
ProQuest Ebook Central,
http://ebookcentral.proquest.com/lib/unadsp/detail.action?docID=5486388.
(No copiar este caso dentro de los documentos a entregar, con el fin de evitar que
se aumente el nivel de similitud en el informe turnitin)