Estructuración funcional de un centro de proceso de datos e implantación de controles generales

Estructuración funcional de un centro de proceso de datos e implantación de controles generales

Objetivo

Después de la investigación necesaria para el desarrollo de la actividad, el alumno será capaz de:

• Conocer, entender y ajustar la estructura funcional de un centro de proceso de datos (CPD) para una empresa bancaria, con la finalidad de alinearla con las recomendaciones de ISO 27 000 para la gestión de la seguridad de la información.
• Considerar y analizar la segregación de funciones y entornos para garantizar la seguridad de la información.
• Brindar justificaciones válidas y bien sustentadas para una ubicación funcional de las áreas técnicas de sistemas, que consideren la seguridad de la información.
• Identificar y clasificar activos de información y sus riesgos para una empresa bancaria genérica.
• Plantear y modificar la existencia de controles generales para la gestión del riesgo de un CPD, mediante el conocimiento de los dominios de control de ISO 27 002 (anexo II de ISO 27 000).
• A partir del estudio realizado, sugerir el número mínimo de personal que se requiere para mantener el funcionamiento eficaz de un CPD, en función de uno de los niveles de disponibilidad estandarizados (TIER I-IV) y en términos de la seguridad de la información.
• Redactar un documento para la atención de un problema específico, en el que se destaca la capacidad de análisis y se evalúa su habilidad para sustentar sus propuestas y afirmaciones a partir del uso de referencias.

Desarrollo

Instrucciones generales

CityCorp es una empresa bancaria que quiere mejorar su centro de proceso de datos (CPD) y para ello realizará un estudio de reorganización funcional según la normativa ISO 27 000. Parte de este análisis se basa en la implantación de nuevos controles en las áreas identificadas. Enseguida se describen los puntos que deben tratarse en el documento.

I. Antecedentes

Se debe describir en dos páginas el escenario base del que parte el análisis que se presenta. Aquí se podrá decir qué controles tiene y no tiene CityCorp antes de la realización del estudio, así como su nivel de cumplimiento y funcionamiento. Se debe utilizar como referencia el organigrama de un CPD de los apuntes del curso para proponer uno como punto de partida, no se puede usar tal cual. Asimismo, se debe definir con qué nivel de CPD se cuenta (TIER I, II, III o IV) y por qué.

II. Organigrama funcional en cumplimiento y análisis de la segregación de funciones

Proponer ajustes al organigrama descrito en los antecedentes para contar con un organigrama funcional que contemple la segregación de funciones y de entornos, de modo que se pueda lograr una adecuada gestión de los sistemas de información, cumplir con ISO 27 000 y conseguir los objetivos de negocio. Se deberán explicar los cambios propuestos.

III. Ubicación funcional de las áreas técnicas

Brindar una justificación bien documentada de la ubicación funcional de las áreas técnicas de sistemas (administración de base de datos y redes). Se busca brindar el mejor servicio posible a las áreas de desarrollo-mantenimiento y de explotación-producción del CPD.

IV. Controles generales

Establecer qué controles generales hay que incorporar, modificar o reemplazar, valorando la importancia de los activos más críticos para la empresa y sus riesgos. Para poder establecer los controles se deben presentar al menos dos cuadros, uno brindará una lista y una breve descripción de los activos críticos de la empresa y otro hará lo propio, pero para los riesgos. Los controles se deben basar en los dominios del anexo II de ISO 27 000 (ISO 27 002). Para ello se recomienda consultar la liga https://www.iso27000.es/iso27002.html y la lista resumida disponible en el archivo remoto https://www.iso27000.es/assets/files/ControlesISO27002-2013.pdf.

El reto es elegir sólo algunos de los que en realidad convengan a lo propuesto. Hay que considerar una relación costo-beneficio. Es importante tener en cuenta que en el documento no hay espacio suficiente para abarcar todos los dominios, por lo que se sugiere suponer la existencia de algunos desde la sección de antecedentes. Se debe explicar por qué se ha optado por usar, o no, alguno de los controles elegidos.

V. Conclusiones del estudio y personal a cargo

Con base en lo definido en los puntos anteriores se deben detallar las conclusiones del estudio y se debe determinar cuál puede ser el mínimo número de personas que deben realizar las funciones en este CPD en el futuro, sin perder eficiencia y eficacia.

Estructura sugerida para el documento

I. Antecedentes

II. Organigrama funcional en cumplimiento y análisis de la segregación de funciones

III. Ubicación funcional de las áreas técnicas

IV. Controles generales

V. Conclusiones del estudio y personal a cargo

VI. Referencias

No es necesario incluir portada, índice, introducción ni conclusiones.

Consideraciones finales

• La extensión del documento no debe superar 12 páginas (incluyendo la lista de referencias) y debe usarse la plantilla clásica de UNIR, la cual recomienda una tipografía Georgia, o similar, a 11 puntos, con interlineado de 1.5 líneas.
• Se sugiere entregar un archivo PDF para evitar problemas a la hora de la revisión, pero la elección de formato queda a consideración del profesor.
• Si se usan diagramas o imágenes, deberá ser para explicar las ideas, no se deben incluir imágenes de tipo decorativo.
• Se espera un documento crítico, no una monografía, y el uso de referencias es fundamental. El estilo del aparato crítico puede ser APA o IEEE.

Criterios de evaluación

La actividad consta de cuatro secciones a evaluar más un punto adicional si la sección de los antecedentes describe un escenario realista que brinde un análisis interesante al resto del documento.

...