ASIGNATURA: GESTIN Y MEJORA DE

CURSO 2016/2017
PROCESOS
M ATERIAL AUTORIZADO : CUALQUIER D URACIN : 2 H ORAS
MATERIAL IMPRESO
I NSTRUCCIONES : 1) No conteste a las cuestiones en esta hoja de examen.
2) Puede contestar en el orden que desee, indicando claramente la pregunta a la
que responde.
3) Puede quedarse, si lo desea, con esta hoja de examen.
4) Debe elegir dos de las tres preguntas enunciadas sobre el escenario (en
caso de solucionar las tres slo se tendrn en cuenta las dos primeras).

Escenario Modelo2
XYZ Sistemas es una organizacin dedicada a ofrecer una amplia gama de servicios especializados en
materia de seguridad informtica, con la finalidad de garantizar y adaptarse a cualquier tipo de cliente
final. Las soluciones de seguridad que se ofrecen utilizan productos de ltima generacin de distintas
categoras: cortafuegos (firewalls), cortafuegos de aplicaciones, prevencin de intrusiones IPS,
proteccin antivirus, antispyware, antimalware, seguridad de correo electrnico y antispam, controles de
acceso, redes privadas virtuales SSL e IP-Sec, filtrado de contenidos web, soluciones de Backup y copias
de seguridad, Lgicamente, cada cliente debe analizarse de forma personalizada con el fin de implantar
sistemas de proteccin adecuados a sus necesidades, ya sea empresa o particular. Para ello, se ofrecen
servicios integrales de consultora y asesoramiento para evaluar la situacin actual, valorar los riesgos de
exposicin de la informacin y analizar las opciones de mejora, de forma objetiva y transparente.

Los servicios que se ofrecen incluyen:

Auditora de seguridad interna. Servicio de auditora que nos permite ver el nivel de riesgo que existe
en una empresa comprobando a qu informacin pueden acceder los usuarios y qu informacin
pueden introducir o sacar mediante Internet y a nivel local. Incluye: auditoria de seguridad de
aplicaciones, auditoria de seguridad de sistemas, gestin integral de la seguridad de accesos, test de
intrusiones, electrnica de red: switch, routers y dispositivos Wi-Fi, accesos externos mediante VPNs
o servicios publicados, aplicaciones de anti-virus, malware, spyware, etc., filtrado de contenidos,
anlisis, deteccin y prevencin de vulnerabilidades, y respaldo de informacin y copias de seguridad.

Auditora de seguridad externa. Identificar las vulnerabilidades que existen en los servidores de una
organizacin (DMZ) as como en los equipos de los usuarios corporativos. Para ello se medir el
grado de exposicin que existe por parte de los usuarios internos mediante diferentes tcnicas de
hacking con el fin de verificar el riesgo existente en una organizacin frente a atacantes remotos. Se
verificarn los dispositivos de entrada a la empresa como pueden ser los cortafuegos, sistemas de
deteccin de intrusos y servicios publicados para poder analizar y mejorar la poltica de seguridad.
Incluye: verificacin de los dispositivos de entrada y anlisis, deteccin y prevencin de
vulnerabilidades.

Instalacin y mantenimiento de sistemas de seguridad. Especializacin en la asesora, implantacin,

gestin y mantenimiento en las soluciones de seguridad que se ofrecen, utilizando para ello
fabricantes lderes a nivel mundial como son Cisco, Sonicwall, Dell y Kaspersky, desde la seguridad
de red con firewalls UTM y Wifi, soluciones SSL VPN de acceso remoto seguro, seguridad de correo
electrnico y anti spam, antivirus para pequeas, medianas y grandes empresas, hasta las soluciones
de Backup y copias de seguridad. Tambin se ofrecen planes de mantenimiento de los sistemas de
informacin y de las medidas de seguridad lgica con diferentes grados de servicio y disponibilidad
en funcin de las exigencias de cada cliente.

CUESTIONES: (elegir dos de las tres):

Pregunta 1 (50% calificacin de la prueba presencial)

A partir de la descripcin del escenario del MODELO 2, proponer las actividades de un
proceso GQM (Goal Question Metric) para la evaluacin del servicio que proporciona XYZ
de instalacin y mantenimiento de sistemas de seguridad.

Pregunta 2 (50% calificacin de la prueba presencial)

Suponiendo que la organizacin XYZ del escenario del MODELO 2, quiera certificarse en
el nivel de madurez 2: Gestionado, del modelo CMMI-SVC proponer actividades
relacionadas para conseguir cumplir las con las metas especficas de las reas de proceso
involucradas en este nivel.

Pregunta 3 (50% calificacin de la prueba presencial)

Segn la norma ISO 20000, el Sistema de Gestin del Servicio de TI (SGSTI) debe incluir un
Manual de procesos y procedimientos que contiene la definicin especfica de todos los
procesos, procedimientos e instrucciones de trabajo que aseguren la adecuada gestin de los
servicios de TI. Realizar un ejemplo del contenido de dicho manual para el proceso:
Documentar resultados del servicio Auditora de seguridad externa, para la organizacin
del escenario del MODELO 2.