Asignatura Datos del alumno Fecha

Apellidos:
Auditoría de seguridad
Nombre:

Estructuración funcional de un centro de proceso de

datos e implantación de controles generales
Objetivo
Después de la investigación necesaria para el desarrollo de la actividad, el alumno será
capaz de:
 Conocer, entender y ajustar la estructura funcional de un centro de proceso de
datos (CPD) para una empresa bancaria, con la finalidad de alinearla con las
recomendaciones de ISO 27 000 para la gestión de la seguridad de la
información.
 Considerar y analizar la segregación de funciones y entornos para garantizar la
seguridad de la información.
 Brindar justificaciones válidas y bien sustentadas para una ubicación funcional
de las áreas técnicas de sistemas, que consideren la seguridad de la
información.
 Identificar y clasificar activos de información y sus riesgos para una empresa
bancaria genérica.
 Plantear y modificar la existencia de controles generales para la gestión del
riesgo de un CPD, mediante el conocimiento de los dominios de control de ISO
27 002 (anexo II de ISO 27 000).
 A partir del estudio realizado, sugerir el número mínimo de personal que se
requiere para mantener el funcionamiento eficaz de un CPD, en función de uno
de los niveles de disponibilidad estandarizados (TIER I-IV) y en términos de la
seguridad de la información.
 Redactar un documento para la atención de un problema específico, en el que
© Universidad Internacional de La Rioja (UNIR)
se destaca la capacidad de análisis y se evalúa su habilidad para sustentar sus
propuestas y afirmaciones a partir del uso de referencias.

Actividades
 Asignatura Datos del alumno Fecha
Apellidos:
Auditoría de seguridad
Nombre:

© Universidad Internacional de La Rioja (UNIR)

Actividades
 Asignatura Datos del alumno Fecha
Apellidos:
Auditoría de seguridad
Nombre:

Desarrollo
Instrucciones generales
CityCorp es una empresa bancaria que quiere mejorar su centro de proceso de datos
(CPD) y para ello realizará un estudio de reorganización funcional según la normativa
ISO 27 000. Parte de este análisis se basa en la implantación de nuevos controles en las
áreas identificadas. Enseguida se describen los puntos que deben tratarse en el
documento.

I. Antecedentes
Se debe describir en dos páginas el escenario base del que parte el análisis que se
presenta. Aquí se podrá decir qué controles tiene y no tiene CityCorp antes de la
realización del estudio, así como su nivel de cumplimiento y funcionamiento. Se debe
utilizar como referencia el organigrama de un CPD de los apuntes del curso para
proponer uno como punto de partida, no se puede usar tal cual. Asimismo, se debe
definir con qué nivel de CPD se cuenta (TIER I, II, III o IV) y por qué.

II. Organigrama funcional en cumplimiento y análisis de la segregación de funciones

Proponer ajustes al organigrama descrito en los antecedentes para contar con un
organigrama funcional que contemple la segregación de funciones y de entornos, de
modo que se pueda lograr una adecuada gestión de los sistemas de información,
cumplir con ISO 27 000 y conseguir los objetivos de negocio. Se deberán explicar los
cambios propuestos.

III. Ubicación funcional de las áreas técnicas

Brindar una justificación bien documentada de la ubicación funcional de las áreas
técnicas de sistemas (administración de base de datos y redes). Se busca brindar el
mejor
© Universidad Internacional de Laservicio posible
Rioja (UNIR) a las áreas de desarrollo-mantenimiento y de explotación-
producción del CPD.

Actividades
 Asignatura Datos del alumno Fecha
Apellidos:
Auditoría de seguridad
Nombre:

© Universidad Internacional de La Rioja (UNIR)

Actividades
 Asignatura Datos del alumno Fecha
Apellidos:
Auditoría de seguridad
Nombre:

IV. Controles generales

Establecer qué controles generales hay que incorporar, modificar o reemplazar,
valorando la importancia de los activos más críticos para la empresa y sus riesgos. Para
poder establecer los controles se deben presentar al menos dos cuadros, uno brindará
una lista y una breve descripción de los activos críticos de la empresa y otro hará lo
propio, pero para los riesgos. Los controles se deben basar en los dominios del anexo II
de ISO 27 000 (ISO 27 002). Para ello se recomienda consultar la liga
https://www.iso27000.es/iso27002.html y la lista resumida disponible en el archivo
remoto https://www.iso27000.es/assets/files/ControlesISO27002-2013.pdf.

El reto es elegir sólo algunos de los que en realidad convengan a lo propuesto. Hay que
considerar una relación costo-beneficio. Es importante tener en cuenta que en el
documento no hay espacio suficiente para abarcar todos los dominios, por lo que se
sugiere suponer la existencia de algunos desde la sección de antecedentes. Se debe
explicar por qué se ha optado por usar, o no, alguno de los controles elegidos.

V. Conclusiones del estudio y personal a cargo

Con base en lo definido en los puntos anteriores se deben detallar las conclusiones del
estudio y se debe determinar cuál puede ser el mínimo número de personas que deben
realizar las funciones en este CPD en el futuro, sin perder eficiencia y eficacia.
Estructura sugerida para el documento
I. Antecedentes
II. Organigrama funcional en cumplimiento y análisis de la segregación de funciones
III. Ubicación funcional de las áreas técnicas
IV. Controles generales
V. Conclusiones del estudio y personal a cargo
© Universidad Internacional de La Rioja (UNIR)
VI. Referencias
No es necesario incluir portada, índice, introducción ni conclusiones.

Actividades
 Asignatura Datos del alumno Fecha
Apellidos:
Auditoría de seguridad
Nombre:

Consideraciones finales
 La extensión del documento no debe superar 12 páginas (incluyendo la lista de
referencias) y debe usarse la plantilla clásica de UNIR, la cual recomienda una
tipografía Georgia, o similar, a 11 puntos, con interlineado de 1.5 líneas.
 Se sugiere entregar un archivo PDF para evitar problemas a la hora de la
revisión, pero la elección de formato queda a consideración del profesor.
 Si se usan diagramas o imágenes, deberá ser para explicar las ideas, no se deben
incluir imágenes de tipo decorativo.
 Se espera un documento crítico, no una monografía, y el uso de referencias es
fundamental. El estilo del aparato crítico puede ser APA o IEEE.
Criterios de evaluación
La actividad consta de cuatro secciones a evaluar más un punto adicional si la sección
de los antecedentes describe un escenario realista que brinde un análisis interesante al
resto del documento.

Si se detectan prácticas no éticas como el plagio (mosaico, literal o de parafraseo), la

calificación será anulada y se reportará el caso a las autoridades universitarias.

La sección de referencias no se evalúa como tal dado que cada sección otorga puntos
por el uso correcto del aparato crítico.

Enseguida la ponderación de cada una de las secciones del documento:

I. Antecedentes 10%
II. Organigrama funcional y análisis de la segregación de funciones 25%
III. Ubicación funcional de las áreas técnicas 25%
IV. Controles generales 25%
© Universidad Internacional de La Rioja (UNIR)
V. Conclusiones del estudio y personal a cargo 25%

Actividades
 Asignatura Datos del alumno Fecha
Apellidos:
Auditoría de seguridad
Nombre:

Cada una de estas secciones se evaluará con un valor numérico entre 0 y 10, con base
en los criterios definidos por la rúbrica de evaluación que se presenta enseguida.
Rúbrica de evaluación

Elementos a Puntos
Pond.
evaluar 9-10 puntos 6-8 puntos 0-5 puntos
Redacción y 15% La redacción es fluida. Los La redacción es fluida pero
La redacción es deficiente.
ortografía párrafos se estructuran de los párrafos presentan Los párrafos tienen una
modo que cada uno demasiadas ideas estructura que no hace
contiene cuando mucho dos principales o su contenido
posible comprender las
ideas fundamentales no es del todo relevante y
ideas, éstas son
correctamente su omisión no afectaría el
demasiadas y
estructuradas y desarrollo del tema en desarticuladas o el
argumentadas, y éstas se cuestión. contenido es irrelevante y
ligan de forma lógica. Hay de 6 a 10 ajeno al tema.
Hay de 0 a 5 lapsogramas lapsogramas. Hay más de 11
(errores ortográficos). lapsogramas.
Referencias y 15% Se usan correctamente las Se usan citas o referencias, No se usan citas o
citas citas textuales o se pero se hace de forma referencias en el texto. Las
referencia cuando es incorrecta, es decir, no se ideas se toman sin indicar
necesario. La sección de cumple con la función de la fuente o se presentan
referencias cumple con los las citas o su uso es sin sustento. No hay
criterios del aparato crítico.
inadecuado. La sección de sección de referencias o
referencias usa ésta no cumple con los
incorrectamente los criterios del aparato
criterios del aparato crítico.
crítico.
Argumentación y 50% Los elementos que incluye Los elementos de la Los elementos de la
veracidad de los la respuesta son ad hoc a respuesta no son del todo respuesta son equivocados
postulados ésta y se argumentan de acordes con lo que se y no corresponden a lo
forma clara y lógica. Cada solicita o bien los solicitado, carecen de
elemento se acompaña de argumentos no son sólidos argumentos o éstos son
argumentos adecuados y pueden estar abiertos a insuficientes o incorrectos.
cuando es necesario. Se interpretación. Las ideas Las ideas de los estándares
presentan ideas afines con derivadas de los se usan de forma
los estándares cuando se estándares se usan fuera incorrecta. Cuando se
requieren. O bien, se de contexto o las presentan ideas
presentan ideas innovadoras no se innovadoras, éstas son
innovadoras o que desafían acompañan de tomadas sin referencias o
las normas, pero se hacen argumentos válidos. están fuera de contexto, y
de forma tal que su no se acompañan de
argumentación enriquece el argumentos.
contenido.

Cumplimiento de 20% Se atiende con precisión el Los objetivos son Los objetivos no se
los objetivos de objetivo de cada uno de los parcialmente cubiertos o cumplen y el contenido
cadadepregunta
© Universidad Internacional La Rioja (UNIR) puntos marcados en la se excede su alcance resulta ajeno a lo
actividad. innecesariamente. solicitado.

csps 2020, v2.0, basado en la versión original de UNIR

Actividades