Professional Documents
Culture Documents
Caso Práctico
Caso Práctico
Se pide
2. Detallar qué medidas de carácter organizativo del anexo II del ENS deberían ser
implementadas.
Medidas de seguridad
✓ Carácter organizativo
o Política de Seguridad.
ORG. 1
Es lo primero que debe hacer la administración, establecer los
objetivos de la organización, los roles, el marco legal etc.
o Normativa de Seguridad.
ORG. 2
Nos dispondrá de una documentación que se debe de cumplir, como,
por ejemplo:
El uso adecuado de ciertos equipos, lo que esta prohibido, las
responsabilidades del personal, etc.
o Procedimientos de Seguridad.
ORG. 3
Esto hace referencia a como llevar a cabo dichas tareas de forma clara
y precisa
o Proceso de Autorización.
ORG. 4
La cual detalla las autorizaciones previamente establecidas como:
Utilización de los quipos móviles, utilización de instalaciones,
utilización de medios de comunicación, etc.
Todas estas medidas de carácter organizativo son mecerías que deben ser
implementadas
Ejercicio 2
Se pide:
1. ¿Realmente es necesario que la empresa GESTIONA S.A se adecue a PCI DSS? Razone
su respuesta.
BILLETE APARA TODOS se encuentra certificada, al delegar a un tercero para gestionar
las ventas de billetes, este también tiene que cumplir con todos los controles y
requisitos necesarios para priorizar la seguridad de la información. Para esllo tiene que
adecuarse a PCI DSS.
2. De ser así, indique el tipo de cuestionario SAQ que utilizaría, y por qué.
De acuerdo a lo planteado se utilizaría el cuestionario SAQ A, este cuestionario nos
dice:
Comerciales con tarjetas ausentes (comercio electrónico, pedido por correo o pedido
por teléfono); todas las funciones que impliquen el manejo de datos del titular de la
tarjeta, tercerizadas. Esto nunca se aplicaría a comerciantes cara a cara.
Para acceder a los billetes todo se hace llamado a un operador la cual proporcionamos
nuestros datos para que nos diga cual se adecue a nuestras necesidades.
Ejercicio 3
Se pide
1. Detallar al menos cinco requisitos generales del SGSTI que habría que auditar.
La no conformidad, son procesos que nos falta madurar y están en fase de desarrollo,
al momento de detectarlas mediante auditorias se hace saber en el informe, para
posteriormente hacer la certificación en caso cumpla como todos los requisitos
El control de la documentación es muy importante para la organización en caso de no
implantarse se observará como una no conformidad.
Ejercicio 4
Se pide
▪ Planeación y organización
▪ Definir el plan estratégico
▪ Identificar el objetivo general
▪ Alcance
▪ El establecimiento del marco del gobierno
▪ Operatividad de los sistemas
▪ Optimización de recursos
▪ Gestión de la estrategia
▪ Presupuestos y costes
▪ Definición de los requisitos
▪ Gestión de cambios
▪ Gestión de continuidad
Ejercicio 5
Se pide
1. Indicar al menos 5 motivos por los que las tecnologías de la información son
importantes a la hora de implantar un sistema IT GRC.
• Nos ayuda a tener un mejor control de la organización
• Nos proporciona ventajas competitivas
• Nos facilita con las tareas
• Nos ayuda con el logro de los objetivos del negocio
• Nos facilita la comunicación
2. Definir los controles internos que diseñaría para aplicar al entorno de control IT y los
controles generales de IT que aplicaría.
Controles internos:
✓ Definir instrucciones para cada actividad
✓ Verificación de dispositivos
✓ Manejo de herramientas de software
✓ Protección de base de datos
✓ Fortalecer las contraseñas de seguridad
✓ La verificación de backup
✓ Monitorización de vulnerabilidad
Controles Generales:
Controles internos:
✓ Planificar las políticas y procedimiento
✓ Mantenimiento de los dispositivos
✓ Manejo de aplicaciones
✓ Backup de los datos de usuario
✓ Verificación de la base de datos
✓ Requisitos de seguridad por parte de los clientes
✓ Delimitar responsabilidades
✓ Implementar software antivirus para proteger la información
✓ Control de acceso tanto físicos y lógicos a las instalaciones
✓ Protección de comunicaciones y redes