SRC 2020-21 Práctica 2 y 3 Análisis de Riesgos -4-

2. PARTE 2: Herramienta de Autoevaluación de normativa ISO

Se ofrece una descripción de una empresa:

Descripción Empresa X
Empresa X es una pequeña empresa que se dedica a la venta de productos de
Telecomunicaciones tanto al por mayor como para los pequeños clientes.
Esta empresa está inmersa en un importante proceso de modernización.

Descripción actual:
1. Horario de trabajo de lunes a sábado desde las 9 de la mañana hasta las 9 de la tarde.
2. Dispone del siguiente equipamiento TIC:
a. Router y cortafuegos, con conexión de Fibra Optica para conectarse a internet.
b. Un conmutador de 12 puertos
c. Un servidor
d. 8 ordenadores personales.
e. 2 impresoras de red
f. SAI con autonomía de 4 horas
3. Los usuarios del sistema son 8 con los siguientes roles:
a. Director
b. Responsable del área comercial
c. 12 vendedores que comparten tres equipos
d. Responsable de almacén y administración
e. 1 administrativos para apoyo en comercial
f. 1 administrativo para apoyo en almacén y administración
NOTA: 4 de los vendedores sólo se contratan de forma temporal en los momentos de más carga de trabajo (6 meses al
año) y usualmente suelen ser cada vez diferentes personas.
4. Las aplicaciones informáticas que utiliza son las siguientes:
a. La aplicación de administración maneja datos relativos a contabilidad y otros temas
económicos como son las nóminas.
b. La aplicación de almacén maneja datos de todas las empresas proveedoras, así
como de todas las facturas de las mismas.
c. La aplicación de comercial maneja datos de todos los clientes así como de las
facturas que se les han emitido.
5. En el servidor existe una unidad compartida de red en la que se almacena información
ofimática utilizada tanto por los administrativos como los responsables de cada área y la
dirección, algunos de los cuales resultan confidenciales para la dirección por tratarse de
datos de clientes que tienen deudas importantes con la empresa.
6. Además se tienen cuentas de correo tanto para cada uno de los empleados fijos como una
corporativa con el nombre de la empresa, todas ellas albergadas en un servidor externo.

Con el objeto de adecuar los sitemas TIC’s de la empresa X a la normativa y metodologías de

la sociedad de la información, se van a implementar un plan que incluya las siguientes
modificaciones:

1. No se tiene personal con conocimiento específico en nuevas tecnologías, por lo que cada
vez que ocurre algún problema se llama a unas empresas de informática locales que
gestionan todo.
SRC 2020-21 Práctica 2 y 3 Análisis de Riesgos -5-

Se desea aplicar alguna metodología que permita establecer una adecuada gestión de los
servicios que se reciben en el ámbito de las TIC’s para ello ha identificado tres tipos de
proveedores:
De comunicaciones y de servicio de correo.
De equipamiento hw y software de base de los ordenadores y servidores e impresoras.
De aplicaciones
Se ha dado como condición que cualquier fallo no debe impedir el funcionamiento de los
sistemas más de una jornada laboral, salvo el acceso a internet en el que como máximo se
permitirá un fallo de operación de 4 horas.
También preocupa enormemente sobre todo con vistas a la expansión arriba mencionada, la
seguridad de que sus sistemas van a tener una continuidad ante un posible desastre, pudiendo
restablecer el acceso a la información con la mayor brevedad posible.
2. Adicionalmente tiene interés en poder realizar trámites on-line con las diferentes
Administraciones Públicas con las que interactúa (Hacienda, Seguridad Social y
Ayuntamiento) para evitar en lo posible desplazamientos innecesarios de su personal.
Es necesario que tanto el director como los dos responsables puedan realizar trámites on-
line. Para ello se quiere evaluar la utilización del certificado de la FNMT en formato
software.
3. La empresa ha adquirido una pequeña oficina en otra ciudad cercana, en la que se piensa
desplazar a un vendedor, para empezar a tener actividades comerciales.
Interesa el cumplimiento de la normativa que le afecta de manera que no se vea expuesto a
posibles sanciones. Se desea cumplir el RGPD Europeo, por lo que se implantará la seguridad
necesaria tanto en la oficina existente como en la nueva.
x Se van a identificar accesos a los ficheros
x Se van a identificar los roles de las personas implicadas
x Se va a desarrollar el documento de seguridad.
x Establecer un acuerdo de servicio con cada una de las empresas proveedoras de
servicios detectadas, en función de los requerimientos de la empresa X.
x Nuevas funciones de RRHH

Tarea 1: Realizar la autoevaluación del nuevo sistema: según el chequeo adjunto de los
siguientes puntos:
(En el caso de no encontrar datos suficientes en la descripción de la empresa, crear y asumir
nuevas hipótesis e indicarlo en la columna de comentarios dentro del formulario.)

POLÍTICAS DE SEGURIDAD
ORGANIZACIÓN DE LA SEGURIDAD
CLASIFICACIÓN Y CONTROL DE ACTIVOS
SEGURIDAD DEL PERSONAL
SEGURIDAD FÍSICA Y DEL ENTORNO
GESTIÓN DE COMUNICACIONES Y OPERACIONES
CONTROL DE ACCESOS
DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS
GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
CONFORMIDAD

Tarea 2: Indicar nuevos puntos de mejora a incluir en el plan de empresa que mejoren el
diagnóstico de la empresa X. Tener en cuenta los resultados de la autoevaluación.