Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Zapasol es una compañía que fabrica zapatos con materiales reciclados. Cuenta actual-
mente con ochenta empleados, repartidos en dos plantas de fabricación, una en Valencia
y otra en Albacete, distante 200 kilómetros. El éxito de venta de este tipo de zapatos
les ha llevado a mercados internacionales, importando a más de veinte países.
Se pide
La ISO 22301, establece un Incidente como un evento que puede ser o podría provocar
una disrupción, pérdida, emergencia o crisis. Así también ITIL establece que un Incidente
es un evento que no forma parte del desarrollo habitual del servicio y que causa, o puede
causar una interrupción del mismo o una reducción de la calidad de dicho servicio.
Al considerar estas definiciones, queda claro que el Incidente que causa la interrupción
de Servicios, es la quema de los Servidores. Producto de una sobrecarga de energía en
su Centro de Procesamiento de Datos, afectando la Seguridad del Hardware de los
Servidores. Tal vez para ello debiésemos considerar que la Causa-Raíz fue una falla en
el suministro eléctrico del Centro de Procesamiento de Datos.
2. Justificar el motivo principal por el que llevo a nuestra empresa a establecer
un SGCN.
El tipo de Organización es tipo Fábrica. Tal como se vio en el Incidente que significo
interrupción de servicio por dos semanas, esta organización requiere un SGCN por su
dependencia de los sistemas de información implementados actual y probablemente en
los sistemas futuros. Considerando el nivel de automatización que se ha alcanzado en
sistemas de producción fabril.
Ejercicio 2
Datos
Se pide
Las ISO 22301 está compuesta por 10 cláusulas, las primeras relativas al alcance,
referencias normativas y términos y definiciones. A continuación, se encuentran las
siguientes cláusulas principales:
Nuestra empresa desea lanzar una campaña de concienciación corporativa, pero no sabe
por dónde empezar. Posteriormente, solicitará diseñar una estrategia de concienciación.
Se pide
La cultura que implica concientización y entrenamiento del SGCN, para que todos
los empleados conozcan el plan de acción y se apropien de la situación, al igual que
entiendan cuál será su rol dentro de este plan.
Primeramente, como línea base debemos considerar que toda la organización debe
de estar considerada como audiencia. Teniendo esta premisa zanjada, podemos
identificar a dos grupos de audiencia dentro de la organización, considerando su rol
y responsabilidad dentro de las actividades del Sistema de Gestión de Continuidad:
Se pide
N° de
Proceso Frecuencia Horario
Empleados
Pedidos Diaria (Recepción-Despacho) 24:00 hrs 52
08:00 a 20:00 hrs.
Atención al Cliente Diaria 8
(Horario hábil - Local)
08:00 a 18:00 hrs.
RRHH A pedido 4
(Horario hábil - Local)
08:00 a 18:00 hrs.
Nominas Mensual 6
(Horario hábil - Local)
Stock Diaria 07:00 a 21:00 hrs. 10
Datos
Se pide
Activos Crítico
Sistemas: Pedidos e Inventario, Nominas, Correo
Aplicaciones
Electrónico, Antivirus.
Estaciones de Trabajo, Impresoras, Notebook, Servidores
Hardware
(Aplicaciones, BD y Correo).
Enlaces, Central Telefónica, Equipamiento de
Comunicaciones Comunicaciones (Switch, Router, Firewall, IDS, IPS,
Inalámbricas, Cableado)
Base de Datos, Sistemas de Respaldo, Almacenamiento y
Datos
Resguardo de Información
Personas 80 funcionarios distribuidos en la Organización.
• Nacional: 15 días.
• Internacional: 30 días
a. Financiero.
b. Operativa otras organizaciones.
c. Acuerdos contractuales.
d. Obligaciones legales.
e. Imagen.
f. Medio Ambiente.
g. Salud.
Impacto
Área Afectada
(Muy Bajo, Bajo, Medio, Alto, Muy Alto)
Financiero Alto
Operativa otras Organizaciones Bajo
Acuerdos Contractuales Alto
Obligaciones Legales Medio
Imagen Alto
Medio Ambiente Muy Bajo
Salud Muy Bajo
Datos
En la primera fase de Análisis de Riesgos, se decide identificar dentro de los procesos
dentro del alcance del SGCN, las amenazas de disponibilidad, y hacer comparaciones con
las vulnerabilidades.
En la fase de Tratamiento de Riesgos, se decide identificar cómo se van a tratar los riesgos
respecto de las amenazas previamente valoradas para ello:
Se pide
• Amenazas de Disponibilidad.
Amenazas Valorización
1. Accesos no autorizados a las instalaciones corporativas Alto
2. Accesos No autorizados a la información Alto
3. Perdida de Información relevante de la Compañía Muy Alto
4. Perdida de Servicios por Infección de Virus. Muy Alto
5. Filtración y Robo de Información Muy Alto
6. Inundación del Centro de Procesamiento de Datos Bajo
7. Falla en el Suministro Eléctrico Medio
3. Identifique una vulnerabilidad respecto de las amenazas que haya establecido.
Amenazas Vulnerabilidad
Accesos no autorizados a las No existe un Control de acceso físico a los edificios de la
instalaciones Corporativas compañía
Accesos no autorizados a la Información No existe un Política de Seguridad de Información
Perdida de Información relevante de la No se poseen Respaldos Información y/o copias de
Compañía Seguridad
Perdida de Servicios por Infección de No existe la Instalación y Administración de in Antivirus
Virus para todas la Organización
Filtración y/o Robo de Información No existe una Política de Control de Acceso
Inundación del Centro de Procesamiento No se cuenta con un Centro de Procesamiento de Datos
de Datos con las debidas protecciones físicas
No existen unidades de Suministro de Energía
Falla en el Suministro Eléctrico
Alternativo (UPS
Amenazas Tratamiento
Ataques intencionados Reducir el Riesgo
Acceso no autorizado Reducir el Riesgo
Manipulación del hardware Aceptar el Riesgo
Errores y fallos no intencionados Aceptar el Riesgo
Errores de mantenimiento Reducir el Riesgo
Vulnerabilidades de los programas Reducir el Riesgo
De origen industrial Aceptar el Riesgo
Corte del suministro eléctrico Reducir el Riesgo
Fallo de servicios de comunicaciones Reducir el Riesgo
Desastres naturales Transferir el Riesgo
Fuego Transferir el Riesgo
Daños por Agua Reducir el Riesgo
Datos
En base a los datos aportados para el caso práctico presentado en el Ejercicio 1 “Zapasol”
le asignan la labor de auditar la actividad crítica “transporte de pedidos” para verificar
que las actividades serán recuperadas según sea preciso.
Se pide