escuela tÉcnica superior de ingenierÍa (icai) · lograr la implantación del plan de seguridad en...

UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA (ICAI)

INGENIERO EN INFORMÁTICA

PROYECTO FIN DE CARRERA

PLAN DE SEGURIDAD INTEGRAL

DE MAKE SERVICES S. L.

AUTOR: DAVID ALCÁNTARA LÓPEZ

MADRID, JUNIO DE 2009

Plan de Seguridad Integral MAKE SERVICES S. L.

____________________________________________________________________________ I

A mi familia por su ilusión,

a Leticia por los momentos compartidos,

a mis compañeros y amigos por las experiencias vividas,

a Mateo por su confianza y tiempo.

Mención especial a mis padres,

por su cariño, dedicación y entrega,

cuyo apoyo me sirve para mejorar como persona,

y sus consejos para superar los retos que me plantea la vida.

A todos ellos, muchas gracias.

David.


____________________________________________________________________________ II

El sabio busca en sí lo que anhela;

el necio lo busca en los demás.

Confucio.


____________________________________________________________________________ III

RESUMEN DEL PROYECTO

El Plan de Seguridad Integral (PSI) diseñado en el presente documento es el

resultado de la realización de un exhaustivo análisis de una empresa del sector de las

telecomunicaciones con un único objetivo claramente diferenciado: evaluar el nivel

de seguridad de los datos, procesos e infraestructuras en los que se sustenta dicha

empresa.

En primer lugar, y para saber dónde y cómo posicionarse ante el desarrollo de un

plan de seguridad de tanta envergadura, se ha llevado a cabo un estudio en

profundidad sobre la actividad empresarial que desarrolla la compañía, su ubicación,

su estructura y organización, sus procesos operativos y de negocio, así como los

métodos y herramientas de seguridad, tanto física como lógica, que están

implantados en la empresa para combatir las amenazas a las que está expuesta.

Una vez identificada la metodología, inadeacuada, que se sigue para garantizar la

seguridad de la empresa, se ha realizado un análisis de la situación actual de

seguridad de la empresa y se han identificado los riesgos que corre la compañía con

los métodos de seguridad vigentes, del mismo modo que se han identificado posibles

amenazas que pudiesen afectar al desarrollo normal de su actividad. Llegados a este

punto, se ha elaborado un plan de seguridad con el que se pretende mitigar aquellos

riesgos y vulnerabilidades, a la vez que se garantiza la continuidad del negocio ante

situaciones desfavorables, tales como incendios o cualquier otro tipo de catástrofe.

El plan propuesto debe tener la obligación, tanto legal como moral, de garantizar los

tres pilares básicos en los que se sustenta la seguridad de la información:

confidencialidad, integridad y disponibilidad de la información. Es por ello que se

han seguido una serie de pautas, de obligado cumplimiento por la ley, con el objetivo


____________________________________________________________________________ IV

de preservar la identidad de todas aquellas personas que pueden verse afectadas por

el mal uso y/o tratamiento de la información de que dispone la empresa.

Por último, se ha analizado la viabilidad y puesta en marcha del plan propuesto,

analizando los recursos económicos, tecnológicos y humanos que son necesarios para

lograr la implantación del plan de seguridad en la compañía estudiada.


____________________________________________________________________________ V

ABSTRACT

The Comprehensive Security Plan (CSP) drawn up in the present document is the

result of a complex analysis performed in a telecommunication company in order to

evaluate the security level of the data, processes and infrastructure which supports

the company.

First of all, it is necessary to identify the company´s activity as well as its location and

business structure, in order to get an overview of its market share and try to evaluate

the results of the security methods introduced in the company and how they are

working to keep the company safe from any external or internal threats that the

organization is exposed to.

As soon as the wrong security methodology plan is identified, it is necessary to

scrutinize all of the different business processes to know how vulnerable they are to

the theats and risks the company may take, as well as the impact they may produce

in case they occur.

At this point, a revision of a security plan is required in order to eradicate, in the

most efficient way possible, the risks and vulnerabilities already detected and try to

maintain the continuity and stability of the company in case any disaster happens.

The suggested security plan must have the moral and legal obligation of

guaranteeing the Confidentiality, Integrity and Availability (CIA) of the company´s

information, just as any personal identity should not be revealed if there is a

fraudulent usage of this confidential information.


____________________________________________________________________________ VI

In the last phase of the plan, a feasibility study must be made in order to identify

which economic, technological and human resources are necessary to introduce this

plan in the company.


____________________________________________________________________________ VII

ÍNDICE


____________________________________________________________________________ VIII

Índice

Parte I Memoria .............................................................................................1

Capítulo 1 Introducción...................................................................................2

1.1 Estado del arte......................................................................................2

1.2 Trabajos anteriores. .............................................................................5

1.3 Motivación del proyecto.....................................................................6

1.4 Objetivo.................................................................................................7

1.5 Metodología. ........................................................................................9

Capítulo 2 Escenario del proyecto ...............................................................11

2.1 Introducción. ......................................................................................11

2.2 Ámbito. ...............................................................................................11

2.3 Localización........................................................................................12

2.4 Organización y recursos. ..................................................................13

2.5 Sistemas de gestión. ..........................................................................15

2.6 Arquitectura tecnológica. .................................................................15

2.7 Cifras de negocio. ..............................................................................17

2.7.1 Gastos. ........................................................................................17

2.7.2 Ingresos. .....................................................................................19

2.8 Inventario de infraestructuras técnicas. ........................................20

2.9 Servicios informáticos. ......................................................................23

2.10 Copias de respaldo..........................................................................25

2.11 Vigilancia y protección de dependencias. ...................................27

Capítulo 3 Situación de la seguridad...........................................................28

3.1 Introducción. ......................................................................................28

3.2 Análisis de riesgos.............................................................................28

3.3 Estructura organizativa. ...................................................................30

3.4 Seguridad de las infraestructuras técnicas. ...................................31

3.5 Seguridad de la información............................................................33

3.6 Planes de contingencia......................................................................33


____________________________________________________________________________ IX

Parte II Plan de seguridad............................................................................35

Capítulo 4 Políticas y normativas...............................................................36

4.1 Introducción. ......................................................................................36

4.2 Acciones estratégicas. .......................................................................37

4.3 Política de seguridad.........................................................................38

4.3.1 Activos críticos. .........................................................................38

4.3.2 Organización y funciones........................................................39

4.3.3 Normativa de seguridad. ........................................................40

4.3.3.1 Ámbitos de aplicación.....................................................41

4.3.3.2 Controles de la normativa. .............................................42

4.3.3.3 Análisis y gestión de riesgos. .........................................43

4.3.3.4 Obligatoriedad. ................................................................44

4.3.3.5 Metodología......................................................................45

4.3.3.6 Controles de seguridad...................................................49

4.3.3.6.1 OP100 Organización. ..............................................49

4.3.3.6.2 IR100 Activos críticos. ............................................50

4.3.3.6.3 OB100 Obligaciones del personal. ........................51

4.3.3.6.4 AI100 Activos de información. .............................55

4.3.3.6.5 IE100 Identificación de empleados.......................58

4.3.3.6.6 AA100 Accesos a dependencias y sistemas. .......61

4.3.3.6.7 AC100 Auditoría e inspección. .............................62

4.3.3.6.8 IT100 Sistemas, redes y terminales.......................64

4.3.3.6.9 LS100 Licencias de software..................................72

4.3.3.6.10 DM100 Desarrollo y mantenimiento..................73

4.3.3.6.11 CR100 Copias de respaldo...................................75

4.3.3.6.12 GS100 Gestión de soportes externos. .................76

4.3.3.6.13 CN100 Continuidad de negocio. ........................78

4.3.3.6.14 SF100 Seguridad física..........................................81

4.3.3.6.15 CL100 Legislación. ................................................83


____________________________________________________________________________ X

4.3.3.7 Procedimientos y guías de seguridad...........................86

4.3.3.8 Estándares ISO/IEC 27002:2005 y COBIT 4.0..............88

Capítulo 5 Plan de acción..............................................................................90

5.1 Introducción. ......................................................................................90

5.2 Descripción de actividades. .............................................................91

5.2.1 Comité de Dirección.................................................................91

5.2.2 Comité de Seguridad. ..............................................................92

5.2.3 Direcciones funcionales. ..........................................................95

5.3 Implantación y puesta en marcha. ................................................101

5.3.1 Recursos internos...................................................................102

5.3.2 Recursos externos. ..................................................................103

5.3.3 Cronograma de actividades. .................................................104

5.3.4 Presupuesto. ............................................................................105

5.3.5 Entregables. .............................................................................106

5.4 Cuadro de mando de gestión.........................................................107

Capítulo 6 Conclusiones ..............................................................................109

Parte III Anexos.............................................................................................111

ANEXO I POLÍTICAS Y NORMATIVAS DE SEGURIDAD .............................112

ANEXO II PROCEDIMIENTOS Y GUÍAS DE SEGURIDAD.............................115

ANEXO III BIBLIOGRAFÍA. .......................................................................116

ANEXO IV RECURSOS Y VALORACIÓN ECONÓMICA................................118


____________________________________________________________________________ 1

Parte I MEMORIA


____________________________________________________________________________ 2

Capítulo 1 Introducción

1.1 Estado del arte.

La seguridad no es una disciplina de todo o nada. No existen sistemas 100% seguros.

Partiendo de estas dos premisas y sabiendo que el riesgo no puede eliminarse

completamente, pero puede reducirse drásticamente, se puede empezar a abordar el

tema de la seguridad informática como una utopía distópica necesariamente

alcanzable para cualquier empresa.

La seguridad de la información es una disciplina que se ocupa de gestionar el riesgo

dentro de los sistemas informáticos. Dicho de otro modo, mediante la aplicación de

sus principios, se implantarán en los sistemas informáticos las medidas capaces de

contrarrestar las amenazas a que se encuentran expuestos los activos de la

organización: la información y los elementos hardware y software que la soportan.

No se trata de implantar sin ton ni son medidas de seguridad, sino de evaluar los

riesgos reales a los que la información está expuesta y mitigarlo mediante la

aplicación de las medidas necesarias y en el grado adecuado, con el fin de satisfacer

las expectativas de seguridad generadas.

Resulta ilusorio creer que los riesgos pueden eliminarse por completo, en su lugar

deben reducirse a niveles aceptables. La determinación de este nivel dependerá en

gran medida de los objetivos concretos que se plantee la organización, del valor de

sus activos, de su dimensión y presupuesto de seguridad. Lo más sorprendente es,

por raro que parezca, que esta reducción del riesgo se puede conseguir con muy poco

esfuerzo y una modesta inversión. Es importante resaltar que, contrariamente a lo


____________________________________________________________________________ 3

que se suele pensar, ni todas las amenazas de seguridad se deben a ataques

maliciosos ni todos los ataques provienen del exterior, es por ello que no todas las

medidas de seguridad ni las más importantes deben basarse en la tecnología y por

tanto en la adquisición de software o hardware de seguridad, sino también en la

organización de tareas y responsabilidades, en la gestión racional de procesos y en la

formación y concienciación del personal.

La seguridad de la información requiere un enfoque holístico, que implique la

participación coordinada de la tecnología, personas y operaciones.

Con la seguridad informática en pleno auge, muchas empresas están empezando a

adoptar medidas preventivas para hacer frente a los riesgos y amenazas a los que

están expuestos y así poder garantizar, en primer lugar, la continuidad del negocio

en caso de producirse cualquier contratiempo y, en segundo lugar, la satisfacción de

los usuarios y clientes ante las expectativas generadas en torno a unos sistemas e

infraestructuras totalmente automatizados en los que se debe garantizar la

confidencialidad, integridad y disponibilidad de la información que por ellos circula.

El objetivo de la seguridad de la información no es conseguir sistemas 100% seguros,

espejismo imposible de alcanzar, sino sistemas tan seguros como sea necesario para

proteger los activos con un nivel que se corresponda con las expectativas creadas. En

definitiva, la seguridad de la información trata de proteger activos, tanto tangibles,

como por ejemplo un disco duro o una base de datos con información confidencial

sobre los clientes, como intangibles, como por ejemplo la reputación, la privacidad o

el nombre de la marca.

Deben implantarse y llevarse a cabo una serie de directrices, obligaciones y

responsabilidades en la alta dirección de la empresa que permitan el análisis, la


____________________________________________________________________________ 4

planificación y la definición de unos objetivos de seguridad que colaboren para que

las medidas adoptadas se implanten correctamente y no dificulten las expectativas de

seguridad. Como resultado, se disminuye el riesgo cumpliéndose las expectativas de

seguridad. Se trata de un proceso iterativo, hasta que las expectativas se vean

siempre cumplidas, con el mínimo coste de tiempo y dinero, a la vez que se garantiza

la operación normal del negocio; al fin y al cabo, el objetivo último y prioritario de la

seguridad es que la organización pueda cumplir su misión.

Para que las medidas de seguridad que una empresa debe llevar a cabo estén bien

definidas y surjan efecto, previamente debe analizarse cada uno de los procesos de

negocio de la organización, su cadena de valor, su estructura, su funcionamiento,

etc., ya que deben analizarse cada uno de los eslabones que componen la

organización y ver sus vulnerabilidades y amenazas para poder actuar sobre todos

ellos, sin dejar ninguno de ellos al margen por muy pequeño o irrelevante que sea,

teniendo presente que la cadena siempre se rompe por el eslabón más débil.

Si se quiere alcanzar un nivel de seguridad aceptable, siempre según unas

expectativas realistas, deben localizarse los eslabones más débiles y fortalecerlos. Si la

cadena tiene mil eslabones, basta que uno sólo sea débil, para que se rompa por él.

Que un intruso lo encuentre, será cuestión de tiempo o de suerte, pero debe asumirse

que tarde o temprano será descubierto. No sirve de nada aumentar más aún la

seguridad de los eslabones más fuertes. Mientras sigan existiendo eslabones débiles,

la seguridad global del sistema será idéntica.

Una vez rota la cadena, las medidas reactivas para mitigar la situación de

inseguridad a la que está expuesta una organización, suponen una fuerte inversión

de tiempo, dinero y esfuerzo que muchas empresas no están preparadas para ello y

ven ralentizada su actividad, pero que a su vez les hacen ver que la seguridad es un

área en la que deben realizar un mayor hincapié, tanto económico como de


____________________________________________________________________________ 5

formación y concienciación de los empleados y directivos. En cualquier caso, la

máxima “más vale prevenir que curar” resulta esencial para preservar la integridad

de cualquier organización, por muy pequeña que ésta sea.

Partiendo de las premisas expuestas, a continuación se describe la situación en la que

se encuentra la seguridad de las infraestructuras de sistemas y red de la empresa de

servicios informáticos MAKE SERVICES S. L. y, como consecuencia, la seguridad de

la información que almacenan y procesan.

Adicionalmente, y para completar el trabajo, también se hace mención a la situación

de la seguridad física de las oficinas y dependencias para incorporar las medidas

oportunas en este ámbito al Plan de Seguridad Integral que se propone en este

trabajo.

1.2 Trabajos anteriores.

La seguridad de la información es una materia que se ha tratado en diversos

Proyectos Fin de Carrera, desde ahora PFCs, a lo largo de los últimos años y desde

diferentes puntos de vista, pero con un único objetivo común: asegurar la

confidencialidad, integridad y disponibilidad de la información.

Bajo la dirección de Don Mateo Camps Llufríu se han llevado a cabo PFCs de distinta

índole, pero siempre con la seguridad de la información como tema principal.

En junio de 2006 se presentó un plan de contingencia ante una catástrofe que

aseguraba la continuidad del negocio de una empresa que ofrecía los servicios de un

Centro de Proceso de Datos (CPD) a sus clientes, en el que se detallaban los pasos y


____________________________________________________________________________ 6

políticas a seguir por una empresa cuyo objetivo es garantizar el servicio a sus

clientes ante una situación desfavorable, como puede ser la pérdida de cierta

información ante una catástrofe natural. Al año siguiente se volvió a presentar otro

PFC en el que se elaboró otro plan de contingencia, pero esta vez concretando para

una empresa del sector de seguros. Ya en otro PFC presentado en septiembre del año

pasado se abordó el tema de la seguridad en Internet y las medidas de seguridad

existentes en aquellos negocios dedicados al comercio electrónico.

Los otros PFCs relacionados con la seguridad de la información tienen como

escenario pequeñas empresas en las que las medidas de seguridad, o bien brillan por

su ausencia, o bien son, en muchos casos, insuficientes.

Ante esta situación se elaboró un plan de seguridad específico para cada una de ellas,

centrándose en gran parte en las medidas a adoptar tras una situación adversa que

no permita el buen funcionamiento del negocio.

1.3 Motivación del proyecto.

Ante la situación descrita anteriormente se decidió, en el mes de enero, llevar a cabo

un plan de seguridad de una empresa del sector de las telecomunicaciones en el que

se describiesen tanto las políticas y medidas preventivas que debe llevar a cabo

cualquier empresa, sin importar la magnitud de la misma, como las políticas y

medidas reactivas ante una situación contraria al buen desarrollo del negocio.

Las principales motivaciones que llevaron a desarrollar este PFC son:

• En primer lugar, la obtención del título de Ingeniero en Informática de la

Universidad Pontificia Comillas de Madrid ICAI - ICADE.


____________________________________________________________________________ 7

• En segundo lugar, tratar de entender lo mejor posible, ante la inminente

entrada en el mundo laboral, la estructura y funcionamiento de una empresa:

organización, recursos, balance económico, servicios, seguridad, etc. En

definitiva, recorrer una empresa por todas sus áreas funcionales y tratar de

relacionar y entender los conceptos estudiados a lo largo de la carrera en una

empresa del mundo real.

• Por último, se trata de ver la importancia de los procedimientos y normativas

de seguridad para garantizar la continuidad de los procesos y sistemas de la

empresa y la continuidad del negocio.

Como curiosidad, decir que otro de los hechos que han llevado a desarrollar este

PFC, es lograr el objetivo de establecer una Red de Área Local (RAL) segura ante

posibles ataques a través de Internet y tratar de proteger a un usuario convencional,

no experto en la materia, ante posibles fraudes y virus transmitidos por la red

Internet.

1.4 Objetivo.

A partir de los datos suministrados por una empresa, que por motivos de

confidencialidad no se detallan los relativos a su localización y a sus clientes, se

expone la situación de la seguridad en sus procesos, sistemas y servicios de negocio,

y se propone un Plan de Seguridad Integral para proteger sus activos y prevenir

riesgos en los servicios y el negocio.

Los datos de la empresa sirven de base para construir un nuevo escenario de gestión

de los procesos y sistemas basado en la puesta en práctica de medidas de seguridad

que mejoren la situación de la seguridad. La empresa, que a partir de ahora se

denominará MAKE SERVICES S. L., se dedica a la prestación de servicios de


____________________________________________________________________________ 8

consultoría, soporte técnico, administración y formación en sistemas informáticos

empresariales a nivel estatal.

Las oficinas centrales de la empresa están situadas en Madrid y, además, tiene cuatro

delegaciones que atienden al mercado local de las zonas Norte, Sur, Este y Oeste del

Estado. La empresa, con un total de 175 empleados, 80 clientes y una facturación

anual de 20 millones de Euros, ha solicitado un Plan de Seguridad Integral de las

oficinas y las infraestructuras técnicas y de comunicaciones que usan los empleados y

atienden el servicio a los clientes.

El Plan de Seguridad Integral, en adelante PSI, ha de proponer las políticas,

normativas, procedimientos y operaciones que se han de poner en práctica para

proteger a las personas y los activos, prevenir los riesgos operacionales y dar

continuidad al servicio prestado a los clientes en caso de contingencia.

Para elaborar el PSI la empresa ha proporcionado datos de la organización y de las

infraestructuras informáticas y de comunicaciones utilizadas por los empleados y los

clientes. La situación de la empresa se describe en el Capítulo 2.

El núcleo básico del trabajo está relacionado con la seguridad informática de la

empresa, con la organizazión, los procesos, los sistemas y las infraestructuras

técnicas que los soportan y con la información que procesan. Se ha complementado

con la seguridad física de oficinas y dependencias.


____________________________________________________________________________ 9

1.5 Metodología.

En este apartado se describirán la metodología y los pasos seguidos para elaborar el

PSI propuesto a la empresa de servicios informáticos MAKE SERVICES S. L. para su

implantación y puesta en práctica. La metodología seguida para desarrollar dicho

plan ha sido la siguiente:

1. Realizar la descripción de la empresa a estudiar de la forma más completa y

detallada posible: ámbito de actividades, estructura organizativa y de

sistemas, políticas y medidas implantadas, volumen de negocio, etc.

Figura 1. Estructura de procesos del Proyecto Fin de Carrera.


____________________________________________________________________________ 10

2. Evaluar las lagunas de seguridad detectadas en la empresa.

3. Definir una política de seguridad con una misión concreta y unos recursos

determinados, una organización bien definida, unas funciones y normativas

basadas en unos estándares internacionales que permitan, y logren, mejorar la

situación actual.

4. Elaborar la normativa de seguridad a seguir, con sus respectivos controles,

para ponerla en marcha.

5. Detallar los controles de seguridad que se llevarán a cabo para cada ámbito de

proceso, servicio y sistema que, posteriormente, ayudarán a auditar y evaluar

la situación de seguridad.

6. Proponer un Plan de Implantación y Puesta en Marcha que garantice, en la

medida de lo posible, la seguridad de la empresa y cumpla con las

expectativas creadas.


____________________________________________________________________________ 11

Capítulo 2 Escenario del proyecto

2.1 Introducción.

El objeto de este capítulo es presentar la actividad empresarial de la compañía MAKE

SERVICES S. L. en sus aspectos organizativos, técnicos, económicos y de servicio.

La empresa comenzó sus actividades de prestación de servicios de consultoría,

soporte técnico y administración de sistemas informáticos empresariales en el año

1996, cuando los servicios de “Outsourcing” en todos los sectores de la industria en

España, y en particular en el de tecnologías de la información y la comunicación,

comenzaban su despegue, después de su implantación en EEUU y resto de países de

Europa Occidental. El concepto de servicio informático comenzó a ser una realidad

como evolución al tradicional de soporte técnico de sistemas, habitual en las grandes

empresas, y desarrollo de aplicaciones.

En la actualidad los servicios en sistemas de información abarcan todo el espectro de

actividades: consultoría, desarrollo, mantenimiento, soporte técnico, administración

y operaciones en todo el ámbito de las infraestructuras de los centros de datos:

servidores, sistemas, redes de comunicaciones y terminales.

2.2 Ámbito.

La empresa ofrece servicios informáticos a empresas medias y corporaciones en los

ámbitos de desarrollo, explotación y soporte técnico de sistemas:


____________________________________________________________________________ 12

• Proyectos de consultoría y desarrollo de sistemas y servicios.

• Consultoría en gestión de contratos y servicios.

• Asesoramiento en arquitectura e ingeniería de sistemas.

• Asesoría en procesos, sistemas, aplicaciones y servicios.

• Configuración e instalación de sistemas.

• Soporte técnico y mantenimiento de sistemas y aplicaciones.

• Administración de bases de datos.

• Asignación de técnicos y operadores en los clientes.

• Formación especializada en ámbitos técnicos y operativos.

2.3 Localización.

Las oficinas y dependencias, en régimen de alquiler, están localizadas en uno de los

principales parques industriales de la Comunidad de Madrid. Ocupan un total de

1.360 m2 en un edificio de 5 plantas (sótano, planta baja y tres pisos) distribuidos en

despachos, salas de reuniones, oficinas, aulas de formación, zonas comunes de

reprografía, salas de descanso con máquinas de “vending” y almacenes de material

de oficina y técnico. Dispone de un aparcamiento en la planta sótano. Las

infraestructuras técnicas informáticas están localizadas en la planta baja del edificio.

La empresa dispone de cuatro oficinas en las zonas Norte, Sur, Este y Oeste del

Estado con 60 m2 cada una donde una pequeña delegación, de dos personas, atiende

el mercado local. La sede central dispone de una red de área local para los servicios

informáticos internos. Las sedes locales tienen conectividad y accesibilidad remota a

través de los servicios de red de banda ancha contratados a una operadora de

telecomunicaciones de implantación nacional.


____________________________________________________________________________ 13

2.4 Organización y recursos.

La compañía dispone de un capital humano con alta cualificación técnica y operativa.

Está gestionada por un Director General con un equipo de cinco Directores que

componen el Comité de Dirección con carácter ejecutivo.

Figura 2. Estructura organizativa de la empresa.

La mayor parte de la plantilla de las áreas comercial, tecnología y operaciones

dedicada al servicio a clientes son licenciados y titulados de grado medio de

Ingeniería, básicamente Informática, Organización Industrial y Telecomunicaciones.

La plantilla también tiene titulados en Económicas y Administración y Dirección de


____________________________________________________________________________ 14

Empresas, para las áreas financiera, presupuestos, control de gestión, facturación,

cobros y contabilidad.

El área de Recursos Humanos se nutre de titulados en Derecho con formación en

Relaciones Laborales. El personal administrativo es seleccionado por sus

conocimientos y experiencia en herramientas ofimáticas, gestión documental y

gestión de proyectos.

Figura 3. Recursos internos por direcciones funcionales.


____________________________________________________________________________ 15

2.5 Sistemas de gestión.

Los procesos internos utilizan sistemas informáticos que han evolucionado hacia un

modelo transaccional basado en la tecnología Web Server. La conexión y acceso a los

servicios y aplicaciones, ubicadas en un pequeño centro de datos de la sede central

con servidores conectados en Red de Área Local, se hace mediante un portal

corporativo en el que es preciso identificarse mediante código de usuario y clave. En

el portal corporativo hay conexiones a todos los servicios comunes: correo

electrónico, directorios, gestión documental e impresión y a las aplicaciones de

gestión que utilizan cada una de las áreas de la organización.

Se dispone de un equipamiento externo a los servidores de aplicaciones y datos para

la realización de copias de seguridad en discos y soportes magnéticos. Las oficinas

zonales disponen de un equipamiento local con conectividad y accesibilidad, en red

privada virtual (VPN), a los sistemas ubicados en la sede central. La red de área local

central tiene salida a Internet.

La gestión administrativa está basada en herramientas ofimáticas instaladas en los

terminales (ordenadores de sobremesa y portátiles) que tienen conectividad a

servidores de datos comunes accesibles por los empleados acorde a criterios de

autorización de cada área.

2.6 Arquitectura tecnológica.

Los servicios se ofrecen en dos modalidades: la presencia física permanente de los

recursos en las instalaciones del cliente acorde a la demanda establecida en cada

proyecto y el desarrollo de servicios o asesoría que se realiza desde las instalaciones


____________________________________________________________________________ 16

centrales. Los directores, gerentes, jefes y personal técnico y operativo utilizan

ordenadores portátiles que conectan a la red de área local en las oficinas. Las

personas de soporte administrativo utilizan ordenadores de sobremesa.

El soporte técnico y operativo de los sistemas internos con los servicios comunes de

correo, documentación y aplicaciones de gestión se realiza en la sede central. Todo el

equipamiento informático de gestión de la empresa reside en las instalaciones

centrales. En el gráfico siguiente se expone, de manera sucinta, el esquema de red de

servidores y terminales que utiliza la organización:

Figura 4. Infraestructuras tecnológicas de sistemas de información.

SERVIDORES SERVIDORES

APLICACIONES DE NEGOCIOAPLICACIONES DE NEGOCIODIRECTORIOS CORREODIRECTORIOS CORREO

Internet

PORTALPORTAL

ALMACENAMIENTO / ALMACENAMIENTO / BACKUPBACKUP’’ss

ROUTERROUTER

FIREWALLFIREWALL

GESTOR GESTOR

DOCUMENTALDOCUMENTAL

ROUTERROUTER

FIREWALLFIREWALL

WAN

RAL

PCPC´́ss

CONEXIÓN EN RED LOCAL E

INALÁMBRICA

PCPC´́ss


INALÁMBRICA

PCPC´́ss


INALÁMBRICA

PCPC´́ss


INALÁMBRICA

PCPC´́ss


INALÁMBRICA

PCPC´́ss


INALÁMBRICA

PCPC´́ss


INALÁMBRICA

PCPC´́ss


INALÁMBRICA

SEDE CENTRAL

Oficinas Zona Norte

Oficinas Zona Este

Oficinas Zona Sur

Oficinas Zona Oeste

WAN

FILE & PRINTFILE & PRINT

CONEXICONEXIÓÓN EN RED LOCAL N EN RED LOCAL

E INALAMBRICAE INALAMBRICA

./.. ./..

SERVIDORES SERVIDORES

APLICACIONES DE NEGOCIOAPLICACIONES DE NEGOCIODIRECTORIOS CORREODIRECTORIOS CORREO

Internet

PORTALPORTAL

ALMACENAMIENTO / ALMACENAMIENTO / BACKUPBACKUP’’ss

ROUTERROUTER

FIREWALLFIREWALL

GESTOR GESTOR

DOCUMENTALDOCUMENTAL

ROUTERROUTER

FIREWALLFIREWALL

WAN

RAL

PCPC´́ss


INALÁMBRICA

PCPC´́ss


INALÁMBRICA

PCPC´́ss


INALÁMBRICA

PCPC´́ss


INALÁMBRICA

PCPC´́ss


INALÁMBRICA

PCPC´́ss


INALÁMBRICA

PCPC´́ss


INALÁMBRICA

PCPC´́ss


INALÁMBRICA

SEDE CENTRAL

Oficinas Zona Norte

Oficinas Zona Este

Oficinas Zona Sur

Oficinas Zona Oeste

WAN

FILE & PRINTFILE & PRINT

CONEXICONEXIÓÓN EN RED LOCAL N EN RED LOCAL

E INALAMBRICAE INALAMBRICA

./.. ./..


____________________________________________________________________________ 17

2.7 Cifras de negocio.

El cuadro siguiente detalla, de forma sucinta, la relación de costes internos anuales

clasificados por cuatro grandes áreas: salarios, gastos generales, alquileres y

mantenimiento de infraestructuras técnicas de sistemas informáticos y red de

telecomunicaciones.

2.7.1 Gastos.

Figura 5. Resumen de los costes internos de la empresa.


____________________________________________________________________________ 18

La relación de empresas cliente, así cómo la facturación de servicios es orientativa y

sólo obedece al objetivo del trabajo, que es situar, como referencia, el escenario de

negocio de la empresa y acometer el PSI, objetivo del proyecto.

Para los clientes se ha tomado como referencia las empresas que, a 24 de abril de

2009, cotizaban en Bolsa Española tanto en el IBEX 35 como en el mercado continuo.

Figura 6. Distribución de la facturación por áreas de actividad.

En la página siguiente se detallan los ingresos, por cada uno de los 80 clientes,

ordenados por orden alfabético y la facturación en los seis ámbitos de negocio de la

empresa: consultoría de sistemas, asesoría de procesos y sistema, desarrollo de

servicios en ámbitos de servidores medios, soporte técnico bajo demanda, recursos

temporales en los clientes y formación.


____________________________________________________________________________ 19

2.7.2 Ingresos.

Figura 7. Detalle de la facturación anual por clientes y áreas de actividad.


____________________________________________________________________________ 20

2.8 Inventario de infraestructuras técnicas.

En los gráficos siguientes se detalla, de forma resumida, el inventario de

equipamiento hardware y software dedicado a la gestión interna y al desarrollo de

sistemas a los clientes. El equipamiento, el último se compró en el ejercicio 2.003, está

amortizado.

Figura 8. Resumen del inventario de las infraestructuras técnicas centrales (Hardware).


____________________________________________________________________________ 21

Una parte importante del equipamiento está fuera del periodo de mantenimiento

establecido por los suministradores, lo que implica que las incidencias se resuelven a

nivel interno y/o con la ayuda de terceros.

Figura 9. Resumen del inventario de ordenadores personales.

Los ordenadores de sobremesa y portátiles tienen instaladas herramientas ofimáticas:

Microsoft Office 2003 y Microsoft Project, Lotus Notes (correo electrónico), Adobe

Acrobat, Antivirus McAfee y software de acceso, en red privada virtual, a los

sistemas de gestión centrales.

Figura 10. Esquema de las infraestructuras de red.


____________________________________________________________________________ 22

Figura 11. Resumen del inventario de infraestructuras técnicas centrales (Software).

La empresa cuenta con servicios de telecomunicaciones de voz y datos contratados a

una operadora con implantación estatal. Las oficinas disponen de equipos

multifunción de impresión, fax y escáner conectados en red para uso compartido y

ubicados en las zona comunes.

Los ordenadores personales, de sobremesa y portátiles, no tienen sistemas de

seguridad que impidan la copia, no autorizada, de archivos y documentos críticos de

la empresa a soportes externos. Tampoco disponen de herramientas que faciliten el

cifrado de registros en los discos internos o externos.


____________________________________________________________________________ 23

2.9 Servicios informáticos.

Los servicios informáticos están basados en herramientas ofimáticas de mercado y en

aplicaciones de gestión desarrolladas internamente. La gestión administrativa está

soportada por Microsoft Office 2003 (PowerPoint, Word, Access, Excel). El aplicativo

Adobe Acrobat es utilizado por el área Comercial para la presentación de

documentación de los proyectos y ofertas a clientes y por todas las áreas para los

informes internos que circulan dentro de la empresa.

El equipo de Tecnología y Operaciones utiliza el producto Microsoft Project para la

elaboración y seguimiento de los planes de proyectos y servicios en todos los

ámbitos. Es norma de la empresa que todo proyecto y/o servicio contratado y en

desarrollo tenga el documento de plan de proyecto accesible por todas las áreas

implicadas en el mismo. El correo electrónico interno está basado en la aplicación

Lotus Notes que facilita, además, un servicio de mensajería instantánea. El acceso

remoto al correo se realiza a través de red privada virtual utilizando las capacidades

de Banda Ancha ADSL contratadas a la operadora de telecomunicaciones.

La gestión documental está basada en un producto que data de los comienzos de la

actividad de la empresa. Toda la documentación de la empresa en todos los ámbitos

de la gestión, está digitalizada y almacenada en un servidor dedicado. El acceso a los

documentos se realiza acorde a las demandas de cada área. No existe un

procedimiento de clasificación de la información y autorizaciones de uso,

distribución y destrucción. Cada área funcional actúa acorde a sus criterios.

Las aplicaciones para la gestión interna (Recursos Humanos, Comercial, Facturación,

Cobros, Tesorería, etc.) fueron desarrolladas internamente acorde a los

requerimientos de cada área. Han evolucionado desde un escenario inicial, basado en


____________________________________________________________________________ 24

aplicaciones locales, hacia un modelo en el que todas las aplicaciones son accesibles a

través de “Browser” (Microsoft Explorer). Los sistemas se desarrollaron de forma

aislada y con tecnologías no siempre compatibles, por lo que hoy existe una

problemática de correlación de base de datos que debe mejorarse. El soporte técnico

y mantenimiento de las aplicaciones requiere un alto porcentaje de tiempo de

recursos internos.

Los servicios informáticos y el correo pueden ser utilizados desde el portal del

empleado, que es el “front/end” de acceso a todos los sistemas. Cada empleado ha

de identificarse con su código y clave al entrar al portal. El acceso a los servicios de

correo y aplicaciones precisa de nueva autenticación por el empleado. No existe una

identificación única a todos los sistemas. La situación descrita tiene como

consecuencia que los empleados olviden, a menudo, sus claves de acceso a los

sistemas cuando hace tiempo que entraron por última vez.

En el portal del empleado, además del acceso a los sistemas de gestión y correo

electrónico, hay otros servicios de ámbito general:

• Directorio con datos de los empleados.

• Descargas de plantillas de PowerPoint, Word y Excel.

• Acceso a prensa nacional y especializada.

• Callejeros e información meteorológica.

• Normativas internas y de Riesgos Laborales.

• Puestos vacantes.

• Noticias de actualidad de la empresa relacionadas con clientes y servicios.


____________________________________________________________________________ 25

El soporte técnico y mantenimiento de servidores, sistemas, aplicaciones, redes y

terminales, hardware y software, lo realiza la gerencia de soporte técnico y

operaciones de la dirección de Tecnología y Operaciones. No hay procedimientos

establecidos para la configuración, instalación, cambios y gestión de incidencias.

Todo el conocimiento y experiencia está localizado en un equipo de personas que

hacen su trabajo con eficacia pero carece de normativas y controles de seguridad que

garanticen la disponibilidad y continuidad del servicio ante riesgos imprevistos. Los

sistemas no tienen implantados mecanismos de generación y almacenamiento de

registros que permitan auditar el acceso y uso que se hace de los mismos. No existe

un procedimiento de sincronización de tiempo en la inicialización de los sistemas, lo

que genera, en ocasiones, problemas de sincronización de procesos y bases de datos.

La empresa tiene definidos los ficheros afectados por la Ley Orgánica de Protección

de Datos de Caráter Personal (LOPD 15/1999, de 13 de Diciembre). Los ficheros

corresponden a las direcciones de Recursos Humanos, con los datos personales de los

empleados, y de Comercial, con los datos de los clientes. Cada fichero, declarado e

inscrito en la Agencia Española de Protección de Datos (AEPD), tiene un responsable

directo y un encargado de su tratamiento. El acceso, actualización y recuperación de

los datos de los ficheros declarados está restringido a personas autorizadas por las

direcciones de Recursos Humanos y Comercial. Los ficheros tienen copia de

respaldo diaria con una vigencia de 30 días. Las copias coincidentes con la fecha

final de cada mes tienen vigencial anual.

2.10 Copias de respaldo.

Las copias de seguridad de los sistemas y las bases de datos se hacen de forma

independiente. En cada servidor se arrancan procesos de “backup” diarios, al final de

la jornada laboral, usando como soporte de las copias cartuchos de banda magnética


____________________________________________________________________________ 26

ubicados en una librería conectada con cada servidor a través de la red de área local.

Las copias de respaldo tienen una vigencia que es determinada por los responsables

de las aplicaciones y bases de datos. Las correspondientes a los sistemas operativos y

otros productos de gestión instalados en los servidores son gestionadas por la

dirección de Tecnología y Operaciones. Todas las copias se almacenan en una sala,

habilitada al efecto, localizada en la segunda planta de las oficinas centrales. El hecho

de tener en el mismo edificio las infraestructuras técnicas y las copias de respaldo

tiene riesgos que podrían afectar a la continuidad del negocio. No existe un plan de

contingencia de los procesos y servicios. En el cuadro de la figura 12 se resume el

detalle de las copias de respaldo por servidor con el sistema operativo y el aplicativo

asociado. En la primera parte se detalla el ámbito de servidores y aplicaciones de

gestión interna y en la segunda parte los servidores dedicados al desarrollo de

proyectos y servicios a los clientes. La vigencia de las copias de seguridad es de un

año, excepto las correspondientes a proyectos a clientes, que son de 6 meses. Las

copias las realiza la dirección de Tecnología y Operaciones.

Figura 12. Cuadro resumen de las copias de respaldo.


____________________________________________________________________________ 27

2.11 Vigilancia y protección de dependencias.

La actividad de seguridad, como área diferenciada, está enfocada al ámbito de la

vigilancia y protección de las personas, dependencias y oficinas:

• La elaboración y emisión de las tarjetas de identificación de empleados,

internos y externos.

• La instalación y mantenimiento de los equipos electrónicos de control de

entrada y salida de los empleados y vehículos.

• Los sistemas de video vigilancia en las zonas comunes de entrada y salida

de las dependencias.

• Los sistemas de protección contra incendios.

• Los sistemas de megafonía.

• La gestión de las llaves de acceso a las oficinas y salas de equipamiento

técnico.

Todo el equipamiento informático de gestión de la empresa reside en las

instalaciones centrales, en la planta baja, en una sala diferenciada de los equipos

técnicos de infraestructuras de los edificios. El acceso a las dependencias donde está

ubicado el equipamiento técnico, tanto informático como de infraestructuras de los

edificios, carece de sistemas de video vigilancia, similares a los localizados en las

zonas comunes de entrada y salida de personas y vehículos. Tampoco disponen de

control de accesos, estando limitada la seguridad al cierre con llave de las puertas

que da acceso a la salas donde están instalados los equipos. La persona que controla

los accesos de las personas y vehículos a las oficinas dispone de las llaves de acceso,

que le son requeridas por el personal técnico y de mantenimiento cuando es

necesaria la presencia física en las salas de equipos.


____________________________________________________________________________ 28

Capítulo 3 Situación de la seguridad

3.1 Introducción.

En este capítulo se describe la situación en materia de seguridad que tiene MAKE

SERVICES S. L. en sus ámbitos de procesos, sistemas y servicios. A partir de la

información aportada por la empresa se expone, para cada entorno operativo y

técnico, las mejoras que podrían introducirse para, posteriomente, incorporarlas al

PSI propuesto.

3.2 Análisis de riesgos.

En la documentación aportada no se define a la seguridad como elemento básico

para el negocio, en consecuencia no existe una valoración de los riesgos asociados a

activos críticos que no están definidos.

La empresa MAKE SERVICES S. L. ha organizado sus procesos, sistemas y servicios

en base a un modelo de seguridad aislado. Cada área funcional ha incorporado, a su

criterio, elementos de seguridad que, básicamente, se resumen en autorizaciones de

acceso a los sistemas y servicios de su ámbito y copias de seguridad de los sistemas y

las bases de datos, actividad que corresponde a la dirección de Tecnología y

Operaciones y que realiza a su criterio para cada sistema, sin una normativa común.

La situación descrita obedece a la política de desarrollo y explotación de los sistemas

de información que se ha llevado a efecto desde el comienzo de la actividad


____________________________________________________________________________ 29

informática en la empresas, donde la seguridad sólo aparece, y muy localizada, en la

parte final de todo el proceso, en la explotación o producción donde las copias de

sistemas, archivos y bases de datos son el núcleo central de las actividades asociadas

a la seguridad. La empresa MAKE SERVICES S. L. no ha sido ajena a ese escenario.

A partir de la evaluación de los datos expuestos en el capítulo anterior, existen

lagunas importantes como la no existencia de una política de seguridad común a

todas las áreas y, por lo tanto, tampoco una valoración de los activos de la empresa ni

su grado de importancia para el negocio, en consecuencia, tampoco la evaluación de

las amenazas o riesgos asociados a los mismos, que son de todo tipo:

1. Naturales, como terremotos o inundaciones.

2. Estructurales, como cortes de agua, electricidad o comunicaciones.

3. Fortuitos o provocados, como incendios, rotura de tuberias de agua.

4. Accesos no autorizados a dependencias y sistemas informáticos.

5. Destrucción y corrupción de archivos y bases de datos,.

6. “Malware” en los sistemas informáticos centrales y los terminales.

7. Averías en las infraestructuras técnicas.

8. Hurtos y/o robos de material, equipamiento técnico, documentación e

información.

La definición de los activos críticos, las amenazas asociadas a los mismos y la política

empresarial para su protección y prevención de los riesgos serán elementos básicos

en el PSI que se propone.


____________________________________________________________________________ 30

3.3 Estructura organizativa.

La función de seguridad en MAKE SERVICES S. L., a nivel de jefatura, depende del

Director de Recursos Humanos. El jefe de seguridad también tiene bajo su

responsabilidad los servicios generales de la empresa, relacionados con el

mantenimiento de las infraestructuras de los edificios, sistemas de protección contra

incendios, el mobiliario de oficinas, suministros de material, etc.

La seguridad informática y de la información no tiene estructura organizativa

dedicada. Las actividades de seguridad relacionada con las infraestructuras técnicas

informáticas y de comunicaciones forman parte, no diferenciada, del resto de las

actividades de administración, soporte técnico y mantenimiento de los servidores,

sistemas operativos, bases de datos, redes de comunicación y terminales que son

responsabilidad de la dirección de Tecnología y Operaciones, en concreto del gerente

de soporte técnico y operaciones.

En la situación descrita por la empresa las preguntas son: ¿Quién establece las

políticas a seguir en materia de seguridad informática? ¿ Donde está la función de

seguridad de la información ?

Se hecha en falta una politica de empresa que defina, dentro de la estrategia de

negocio, donde focalizar la función de la seguridad con visión integral; es decir,

incorporando todas las actividades de protección y prevención de riesgos de los

activos técnicos y de la información.

En la documentación entregada tampoco se hace referencia a ninguna política de

formación y certificación de los empleados del área técnica en materia de seguridad

informática.


____________________________________________________________________________ 31

Es importante resaltar que MAKE SERVICES S. L. tiene por clientes a importantes

empresas, con proyectos informáticos de consultoría, desarrollo y soporte técnico que

requieren, cada vez mas, la consideración de elementos de seguridad en todas las

fases de los proyectos: requerimientos funcionales, diseño, desarrollo, implantación y

producción. La empresa tiene su negocio en el ámbito de las tecnologías de la

información y la comunicación y, sin embargo, carece de una estructura organizativa

de seguridad que tenga una visión general de todos los activos de los proyectos y

servicios y los riesgos asociados.

3.4 Seguridad de las infraestructuras técnicas.

Analizando los sistemas, redes y terminales, el inventario de equipos y la

información suministrada por la empresa, se echan en falta elementos de seguridad

importantes en todos los ámbitos: acceso a dependencias y sistemas, soporte técnico

y de mantenimiento, procedimientos de diseño, configuración, cambios y gestión de

incidencias en los sistemas, redes y terminales y en la disponibilidad de registros de

auditoría. En resumen, hay lagunas de seguridad importantes en los siguientes

entornos:

• El control de acceso a la sala de la planta baja, donde están instaladas las

infrastructuras técnicas informáticas y de comunicaciones, no está

automatizado. No existe un control de accesos que permita monitorizar las

personas que han estado en la sala.

• La garantía de soporte técnico de mantenimiento y actualización del

hardware y software. Un porcentaje alto de incidencias se resuelve a nivel

interno. Una parte importante del inventario está fuera de mantenimiento


____________________________________________________________________________ 32

al haberse superado el tiempo de soporte establecido por los

suministradores.

• La configuración de servidores y sistemas no se realiza bajo ninguna

normativa ni siguiendo controles de seguridad. La instalación, acorde a la

configuración, se realiza en base a la premisa de funcionamiento

inmediato, sin tener en cuenta estructuras de duplicidad de recursos de

red, proceso y almacenamiento que garanticen la continuidad del servicio

ante averías técnicas o manipulaciones incontroladas.

• La gestión de soporte técnico, mantenimiento, cambios e incidencias. No

hay procedimientos establecidos, lo que implica actuaciones y resultados

diferentes dependiendo del equipo técnico que realice la actividad.

• El control de accesos a los sistemas y servicios informáticos. No está

unificado, cada aplicación y/o servicio tiene su propio mecanismo de

gestión y control de identidad.

• La monitorización de los sistemas. No están operativos mecanismos que

faciliten la generación de los accesos y las accciones realizadas en los

sistemas, aplicaciones y bases de datos.

• Los terminales. Carecen de sistemas de proteccion de archivos e informes

críticos para la empresa almacenados en sus discos internos.


____________________________________________________________________________ 33

3.5 Seguridad de la información.

La actividad básica de MAKE SERVICES S. L. es el diseño, desarrollo, mantenimiento

y soporte de sistemas de información, es decir, uno de los activos más importantes

que tiene para su negocio, además del conocimiento y experiencia de sus empleados,

es la información que maneja y, sin embargo, carece de una norma interna de

clasificación de la información.

El sistema de gestión documental que utiliza facilita el acceso a cualquier informe por

parte de los empleados pero no están almacenados con criterios de criticidad para el

negocio lo que podría facilitar, en algunas circunstancias, el uso de información

estratégica por personas no autorizadas.

Los informes, presentaciones y documentos de los proyectos son utilizados por las

áreas funcionales acorde a sus requerimientos y necesidades, pero no existen

responsables concretos de los mismos lo que facilita, junto a la inexistencia de una

normativa de clasificación de la información, que salga de la empresa información

crítica, interna o de clientes, que pudiera afectar negativamente al negocio y a la

imagen de la empresa en el mercado.

3.6 Planes de contingencia.

No existen planes de contigencia que abarquen otros escenarios de procesos, sistemas

o servicios que no sean las copias de seguridad (backups) de los sistemas y las bases

de datos que se realizan diariamente. Todo el sistema de respaldo está en manos de

los operadores que son, finalmente, los responsables de que las copias se realicen en

tiempo y forma y sean almacenadas en la sala habilitada en la segunda planta. El


____________________________________________________________________________ 34

acceso a las copias de seguridad se realiza por los propios operadores cuando se

precisa la recuperación de cualquier sistema y/o base de datos.

El número de clientes de MAKE SERVICES S. L. así como el escenario de

infraestructuras técnicas en servicio exige un procedimiento con un plan de

contingencias que permita la recuperación del servicio ante cualquier problema en el

edificio, en el equipamiento técnico y en los datos.

En el momento actual sólo existe un plan de recuperación del servicio basado en los

datos, cualquier problema grave que impida la recuperación de las infraestructuras

técnicas informáticas y/o del edificio dejaría a la empresa en una situación crítica

para la continuidad del negocio. El equipamiento informático de gestión debería

estar distribuido entre las diferentes sedes, teniendo cada una de ellas copia de la

última versión, con el objetivo de agilizar la recuperación del sistema ante situaciones

desfavorables.


____________________________________________________________________________ 35

Parte II PLAN DE SEGURIDAD


____________________________________________________________________________ 36

Capítulo 4 Políticas y normativas

4.1 Introducción.

La seguridad de los procesos, sistemas y servicios de la empresa, así como de la

organización y las actividades que la soportan es básica para la continuidad del

negocio. El objetivo fundamental de la seguridad en la empresa es garantizar la

disponibilidad, continuidad, integridad, confidencialidad y auditabilidad de los

sistemas y los datos, entendiendo que tanto sistemas como datos, además de las

infraestructuras técnicas y las personas de la organización son activos críticos de la

empresa, además de los activos inmobiliarios y financieros.

En el presente capítulo del proyecto se aborda el plan de actividades a realizar en la

empresa para prevenir riesgos e incidencias en esos activos y protegerlos contra

situaciones que pudieran destruirlos o modificarlos y, en consecuencia, afectar al

normal desarrollo de las actividades del negocio.

El área de seguridad informática es una actividad que tiene, cada vez, mayor

importancia dada la implicación e impacto que tienen los sistemas de información en

los procesos y actividades de las empresas, además de la evolución del ámbito

operativo de los mismos que ha evolucionado desde los procesos internos hacia la

globalidad que ofrece Internet.

La mayor parte de las incidencias en los servicios tienen como origen la falta de

procedimientos y controles de seguridad que garanticen la operatividad y

continuidad de los sistemas de información. El desarrollo, implantación, explotación


____________________________________________________________________________ 37

y mantenimiento de los sistemas tiene muy en consideración los aspectos de diseño y

requerimientos del negocio en relación a la usabilidad y presentación de resultados,

pero no tanto en los requisitios de seguridad que deben incorporar. El objetivo de

este capítulo es definir la importancia de los activos de información y la política a

poner en práctica, en toda la organización de la empresa, con normativas de

seguridad que deberán formar parte de los procesos y actividades y de los sistemas e

infraestructuras técnicas que los soportan.

4.2 Acciones estratégicas.

La situación de la seguridad en la empresa MAKE SERVICES S. L. descrita en el

Capítulo 3 puede resolverse poniendo en práctica una política de seguridad integral

con el objetivo de implantar en la cultura de la empresa un modelo de gestión de

procesos y actividades donde la seguridad forme parte de los sistemas e

infraestructuras técnicas que utiliza la organización.

El director general debe aprobar y desarrollar, para lograr mejorar la situación de la

seguridad en todo el ámbito de la empresa, el conjunto de acciones estratégicas que

corresponden al PSI propuesto:

1. Definir la política de seguridad de la empresa, que establecerá los activos

críticos para el normal funcionamiento de la empresa.

2. Elaborar la normativa de seguridad para prevenir riesgos y proteger esos

activos críticos con controles específicos para cada ámbito del negocio.

3. Establer el plan de acción para desarrollar la política de seguridad y poner en

práctica la normativa y controles establecidos.

A continuación se desarrollan las acciones estratégicas propuestas.


____________________________________________________________________________ 38

4.3 Política de seguridad.

La política de seguridad integral de la empresa tiene como misión prevenir riesgos y

proteger a empleados, clientes, infraestructuras, productos y servicios mediante la

vigilancia, el cumplimiento de la legislación vigente, la elaboración e implantación de

normativas corporativas, la optimización continua de los sistemas y recursos internos

para evitar vulnerabilidades, la divulgación de la cultura de seguridad entre los

empleados y la colaboración con los órganos competentes de la administración.

Acorde a la misión de la seguridad en la empresa, se definirán los activos críticos

para el negocio que serán objeto de protección ante potenciales incidentes internos o

externos.

4.3.1 Activos críticos.

La política de seguridad define como activos críticos los datos y los sistemas que los

tratan y manifiesta la determinación que ha de tener toda la organización para

prevenir los riesgos de robo, pérdida o deterioro que pudieran afectar a los procesos

de negocio y/o a los servicios al cliente.

La seguridad de la información se logra con la implantación y gestión de controles

adecuados en las actividades de la organización, en los procedimientos internos y en

los servicios al cliente. La normativa de seguridad describe los controles que deben

implantarse de forma obligatoria, independientemente del resultado de los análisis

de riesgos. Si hubiese riesgos adicionales, deberán ser informados de forma

inmediata para implantar controles adicionales acorde a la problemática que pudiera

derivarse.


____________________________________________________________________________ 39

4.3.2 Organización y funciones.

A continuación se describe la estructura de gestión de la seguridad que se ha de

implantar en la empresa con el modelo de organización y funciones para poner en

práctica normativas de seguridad en los procesos, sistemas y servicios internos y de

negocio con el objetivo de eliminar o reducir las vulnerabilidades internas y/o

externas.

El Comité de Dirección de la empresa pondrá en marcha el Comité de Seguridad, que

será el responsable de impulsar la seguridad buscando el compromiso y apoyo de los

directores y empleados.

El Comité de Seguridad tiene como misión la prevención de riesgos y la protección

de los activos críticos, garantizando la disponibilidad de procesos, sistemas y

servicios acorde a las necesidades del negocio.

El Comité lo componen el director general y los tres directores de las áreas

Financiera, Recursos Humanos y Tecnología y Operaciones. Cuando el tema lo

requiera, el Comité solicitará la participación de otras áreas funcionales de la

organización. Las principales responsabilidades del Comité de Seguridad serán:

1. Definir los objetivos estratégicos de seguridad de acuerdo a los activos críticos

y las necesidades y demandas relevantes del negocio.

2. Establecer sistemas de medida del desempeño de la función de la seguridad.

3. Supervisar el cumplimiento eficaz y eficiente de la normativa de seguridad.


____________________________________________________________________________ 40

4. Definir los ficheros con datos críticos para el negocio y, con especial atención,

los correspondientes a los de carácter personal que han de declararse en

AEPD. Cada fichero tendrá un responsable directo que velará por la

actualización, calidad, privacidad y confidencialidad de los datos.

5. Aprobar la creación de comisiones de inspección y auditoría ante incidentes

que afecten al negocio.

6. Identificar, coordinar y apoyar iniciativas en materia de seguridad mediante

una efectiva gestión del conocimiento los empleados. El Comité de Seguridad

asignará, para cada iniciativa, un coordinador cuyas responsabilidades serán:

• Definir los objetivos de la iniciativa.

• Proponer la composición de los grupos de trabajo.

• Elaborar el plan de actividades.

• Involucrar a la organización en la consecución de los objetivos.

4.3.3 Normativa de seguridad.

La normativa de seguridad que a continuación se detalla define el conjunto de

controles que serán de aplicación obligatoria en toda la organización, tanto para las

actividades internas como para los servicios a los clientes.

Complementariamente a las normas, se establece la necesidad en cada área de

gestión interna y de atención al cliente, de aplicar los controles de seguridad que se

identifiquen en los procesos de análisis y gestión de riesgos en los servicios al cliente,

con el objetivo de eliminar o reducir posibles incidencias residuales que pudieran


____________________________________________________________________________ 41

afectar a los procesos de negocio. Todas las áreas de la organización estarán

obligadas a poner los medios necesarios para conocer, divulgar, implantar y cumplir

la normativa de seguridad como parte esencial del PSI.

4.3.3.1 Ámbitos de aplicación.

La normativa tiene carácter obligatorio para todos los procesos de negocio, tanto

internos como externos. También será de obligado cumplimento para los sistemas y

servicios subcontratados a terceros.

La normativa es de aplicación en todas las fases del ciclo de vida de la información:

generación, almacenamiento, procesamiento, distribución, consulta y destrucción, y

de los sistemas que la procesan: análisis, diseño, arquitectura, desarrollo,

implantación, producción, soporte técnico y mantenimiento, acorde a los estándares

internacionales sobre los que se ha diseñado la normativa de seguridad.

La normativa está organizada en cuatro apartados:

1. Los criterios que deben seguir las áreas de la organización en la aplicación de

los controles, con el objetivo de establecer un nivel adecuado y homogéneo de

seguridad y reducir el riesgo a un nivel aceptable para el negocio.

2. Los controles de seguridad relacionados con los recursos organizativos,

técnicos, operativos y legales de la empresa.

3. Los procedimientos y guías de seguridad que cada área debe desarrollar para

complementar los controles de seguridad.


____________________________________________________________________________ 42

4. La descripción de los estándares internacionales en los que se apoyan los

controles de seguridad: ISO/IEC 27002 (Information technology - Security

techniques - Code of practice for information security management) y el

COBIT 4.0 (Control OBjectives for Information and related Technology).

A continuación se describen los controles que deberán ponerse en práctica en los

procesos, sistemas y servicios de la empresa.

4.3.3.2 Controles de la normativa.

Los controles de seguridad se corresponden con los principios, objetivos y requisitos

básicos definidos por la empresa para garantizar la prevención de los riesgos en los

servicios y operaciones de negocio, estableciéndose un nivel homogéneo de

seguridad en todas las áreas de la organización. El nivel de seguridad mínimo se

establece acorde a un subconjunto de controles. Cada área funcional podrá implantar

un nivel más restrictivo en la aplicación de estos controles si lo considera necesario

para sus procesos internos y/o de atención al cliente.

Los controles deberán ser implantados, administrados, monitorizados y revisados

para mejorar la eficacia y eficiencia de los mismos y asegurar que los objetivos de

seguridad del negocio son alcanzados. En los casos en que el coste de implantación

de un control sea mayor que el riesgo que se reduce o el beneficio que se consigue, se

podrá justificar la no implantación del mismo.

En el apartado 4.3.3.6 se describen los controles de seguridad a establecer en 15

ámbitos de gestión de la empresa. A continuación se describe cada ámbito y entre

paréntesis el número de controles:


____________________________________________________________________________ 43

1. Organización (2).

2. Activos críticos (2).

3. Obligaciones del personal (7).

4. Activos de información (6).

5. Identificación de empleados (4).

6. Accesos a edificios, sistemas y servicios (3).

7. Auditoría e inspección (3).

8. Sistemas, redes y terminales (11).

9. Licencias de software (2).

10. Desarrollo y mantenimiento (5).

11. Copias de respaldo (2).

12. Gestión de soportes externos (3).

13. Continuidad de negocio (6).

14. Seguridad física (4).

15. Legislación (6).

4.3.3.3 Análisis y gestión de riesgos.

Las áreas de la organización deben establecer procesos de análisis y gestión de

riesgos para identificar y aplicar los controles de seguridad adicionales a los que se

definen en esta normativa, con el objetivo de reducir el riesgo residual a un nivel

aceptable por la empresa.

El Comité de Seguridad liderará y coordinará la definición y establecimiento de los

procesos de análisis y gestión de riesgos.


____________________________________________________________________________ 44

4.3.3.4 Obligatoriedad.

La normativa de seguridad establece la obligatoriedad de elaborar planes de

seguridad que deberán acompañarse de procesos formales de análisis y gestión de

riesgos que permitan implantar las soluciones idóneas o bien, asumir los riesgos

asociados a las desviaciones respecto de estas soluciones.

Los procesos de análisis y gestión de riesgos cuantifican de forma metodológica los

riesgos que soporta la empresa en función de la probabilidad de ocurrencia de unas

amenazas y el impacto que suponen.

Una vez cuantificados los riesgos, la empresa los gestionará mediante las siguientes

opciones:

1. Aplicar y priorizar los controles de seguridad adecuados que reduzcan estos

riesgos a un nivel aceptable, en función de un análisis coste-beneficio, es decir,

que el coste de los controles sea menor que el riesgo que ayudan a reducir.

Esos controles de seguridad o contramedidas pueden disminuir la

probabilidad de ocurrencia (preventivas) o el impacto en caso de ocurrencia

(reactivas).

2. Aceptar los riesgos de acuerdo al criterio de riesgo aceptable definido en la

empresa.

3. Transferir el riesgo, en la medida de lo posible, mediante la contratación de

pólizas de seguros.


____________________________________________________________________________ 45

4. Evitar los riesgos y, por tanto, dejar de realizar aquellas acciones que son

origen de los mismos.

4.3.3.5 Metodología.

Cada dirección de la empresa debe definir su estrategia de análisis y gestión del

riesgo mediante la definición y estructuración de los siguientes puntos:

• Alcance de los análisis de riesgos, que afectarán a:

Los sistemas de información (ejemplo, sistema de facturación).

La información (ejemplo, documentos de estrategia de negocio).

Las procesos (ejemplo, ofertas a clientes).

Los servicios (ejemplo, soporte técnico a clientes).

Las oficinas y dependencias (ejemplo, sala de equipos técnicos).

Los accesos a los sistemas de información.

La entrada y salida de personas y vehículos.

• Las relaciones existentes entre los análisis de riesgos que se realicen.

• La planificación, periodicidad y prioridad de los mismos.

• El criterio de aceptación y gestión del riesgo de acuerdo a los objetivos de

negocio: máximo riesgo residual aceptable por la empresa, análisis coste-

beneficio, criterios de transferencia de riesgo, etc.


____________________________________________________________________________ 46

• Los responsables de realizar los análisis de riesgos y la gestión del mismo. Por

defecto, el propietario de un activo de información (sistema de información,

información financiera de la empresa, datos de empleados de la empresa, etc.)

es el que realiza una función concreta con ese activo y lo actualiza y/o presta

un servicio con el mismo.

• El responsable del activo tiene la obligación de realizar el análisis de riesgos.

El propietario será responsable del impacto desproporcionado que ocasione la

materialización de un incidente de seguridad como consecuencia de no haber

realizado esa tarea.

Las direcciones de la empresa deberán mantener un inventario de activos para poder

afrontar los procesos de análisis y gestión de riesgos de acuerdo a la estrategia

elegida. Los análisis de riesgos deberán realizarse periódicamente o cuando existan

cambios significativos en los activos definidos en el alcance, en las amenazas,

vulnerabilidades, impactos, etc.

La realización de estos análisis debe realizarse de forma metodológica para poder

realizar comparaciones en el tiempo. Si se cambia el método de análisis será

complicado comparar resultados con otros anteriores.

Para la elaboración metodológica y homogénea de los análisis y gestión de riesgos

dentro de la empresa, cada dirección tendrá que elaborar los siguientes documentos:

• La "Guía de análisis y gestión de riesgos" en la que se indicará los aspectos de

riesgo que se deben tener en cuenta en todos los procesos procesos de negocio,

como son:


____________________________________________________________________________ 47

La definición del alcance mediante una lista exhaustiva y bien definida de

los activos sobre los que se realiza el análisis.

Los roles involucrados en el análisis de riesgos: propietario de los activos,

jefe de proyecto, encargado del tratamiento, analista de riesgos de

seguridad, verificador, etc.

Las fases del proceso de análisis y gestión de riesgos: inicio, valoración de

riesgos y controles, implantación de controles, verificación de controles,

acreditación, revisión y seguimiento.

La documentación que se genera en el proceso de análisis y gestión de

riesgos.

• El "Documento de análisis y gestión de riesgos" en el que se indicará el

formato del documento asociado a cada proceso de análisis y gestión de

riesgos que se realice internamente. En este documento debe indicarse:

Los datos de las personas que asumen los roles implicados a lo largo del

proceso de análisis y gestión de riesgos.

El alcance y caracterización de los activos involucrados en el análisis y

gestión de riesgos.

La lista de controles de seguridad aplicables a los activos definidos en el

alcance.

La lista de pruebas realizadas a los controles y activos. El propietario de los

activos aceptará el riesgo residual como consecuencia de la no

implantación de los controles o su incorrecta implantación.

• El "Procedimiento de valoración de riesgos y controles" con los pasos

necesarios para identificar controles de seguridad aplicables. El procedimiento


____________________________________________________________________________ 48

se basará en metodologías formales ligeras dependiendo del alcance del

análisis:

Metodología formal:

o Valorar e identificar los activos y sus vulnerabilidades.

o Cuantificar los riesgos y calcular su probabilidad.

o Elegir controles adecuados en función del coste-beneficio para reducir

el riesgo a un nivel aceptable por la empresa.

Metodología ligera:

o Definir un subconjunto de controles y categorizarlos por criticidad:

Alta.

Media.

Baja.

o Aplicar los controles establecidos.


____________________________________________________________________________ 49

4.3.3.6 Controles de seguridad.

Los controles que se describen a continuación consideran quince ámbitos de

procesos, sistemas y servicios de la empresa. Para cada ámbito se utiliza un código de

dos letras y tres dígitos.

La codificación de los controles de seguridad, con numeración correlativa para cada

código, servirá para evaluar y objetivar el grado de implantación del PSI cuando se

realicen las auditorías periódicas establecidas por el Comité de Seguridad.

4.3.3.6.1 OP100 Organización.

Cada dirección, junto con el área de RRHH (empleados) y el área de Compras

(subcontrataciones), deberá seguir criterios en los procesos de selección e

incorporación de personal a la empresa. Se verificarán los antecedentes de los

candidatos y proveedores de acuerdo a la legislación aplicable y a los criterios de

responsabilidad social de la empresa.

La necesidad de esta verificación será determinada por los análisis de riesgos,

teniendo en cuenta la sensibilidad y naturaleza de los sistemas y servicios internos a

los tengan acceso y/o los que deban utilizar para la prestación de servicios a los

clientes.

1. Código OP101 Referencias.

• Verificar las referencias profesionales de trabajos previos así cómo lo

expuesto por el candidato en el “Curriculum Vitae”.


____________________________________________________________________________ 50

2. Código OP102 Contratos.

• Incluir en los contratos la potestad de la empresa de vigilar el

cumplimiento de las normas de seguridad acorde a los controles

establecidos en la misma.

• Incorporar cláusulas de indemnización por incumplimiento legislativo

y de la normativa interna.

• Incluir responsabilidades ante incidentes provocados por los

incumplimientos.

4.3.3.6.2 IR100 Activos críticos.

Cada dirección deberá definir, con el VºBº del Comité de Seguridad, los activos

críticos del área y el uso que se hace de los mismos.

1. Código IR101 Identificación de activos.

• Identificar los procesos, sistemas y servicios que son críticos para el

desarrollo de las actividades del negocio.

2. Código IR102 Responsables de los activos.

• Identificar los responsables de los activos en las direcciones y asignarle

las siguientes funciones:

Decidir la finalidad, contenido y uso del activo de información.

Evaluar los controles de seguridad aplicables al activo.

Gestionar el uso del activo de información.

Comprobar el cumplimiento de los controles de seguridad

aplicables.


____________________________________________________________________________ 51

Solicitar, si fuera preciso, auditorías en los sistemas acorde a los

criterios definidos por el área legal y el área de RRHH.

4.3.3.6.3 OB100 Obligaciones del personal.

El personal, empleados y subcontratados, está obligado a cumplir la normativa de

seguridad de acuerdo a los procedimientos, sistemas y herramientas puestas a su

disposición por la empresa. En líneas generales, los empleados deben cumplir los

siguientes controles de seguridad:

1. Código OB101 Identidad.

• Identificarse en los controles de acceso a edificios, dependencias,

infraestructuras de red, sistemas, aplicaciones y bases de datos.

• En los sistemas de información es obligado:

Mantener la confidencialidad de las credenciales de acceso y no

compartirlas con nadie, así como comunicar cualquier anomalía o

incidente (robo, pérdida, etc.) que tenga con las mismas.

Evitar la escritura, copia o reproducción de las mismas en papel.

Evitar almacenar las credenciales de acceso en archivos no

protegidos.

Cambiar las contraseñas iniciales en el primer acceso

Realizar cambios de contraseñas con periodicidad.

Evitar utilizar las mismas contraseñas en los servicios abiertos

externos y en los servicios de gestión interna.


____________________________________________________________________________ 52

2. Código OB102 Emergencias.

• Seguir las indicaciones de seguridad ante situaciones críticas o de

emergencia.

• Realizar los simulacros de emergencia con objeto de garantizar una

respuesta adecuada ante este tipo de actuaciones.

• Poner en práctica los planes de contingencia de los servicios y

continuidad de negocio.

3. Código OB103 Utilización de recursos.

• Preservar los activos de la organización, incluyendo sistemas, equipos,

información, mobiliario y material de oficina. Estos activos deberán ser

utilizados para propósitos relacionados con el negocio de la empresa.

• Utilizar los recursos o instalaciones de la empresa con fines ilegales y/o

fraudulentos así como comerciales o profesionales distintos a los

permitidos por la empresa.

• Utilizar los sistemas de información y redes de comunicaciones

autorizados estrictamente para el cumplimiento de sus funciones

dentro de la empresa. Los empleados podrán utilizar el correo

electrónico y los servicios de Internet con libertad y responsabilidad, en

el sentido más amplio posible, para el desempeño de las actividades de

su puesto de trabajo. No deben usar esos servicios de forma que

pongan en riesgo la seguridad y reputación de la empresa, evitando

navegar por sitios no confiables que puedan facilitar la propagación de

“Malware” (virus, spam, etc.) o realizar descargas de material

protegido por copyright.

• Proteger y cuidar todos los sistemas y recursos que la empresa pone a

su disposición, especialmente fuera de las instalaciones de la misma.

• Finalizar las sesiones que tenga abiertas cuando no las necesite.


____________________________________________________________________________ 53

• Usar el protector de pantalla del sistema con un periodo de inactividad

máximo de 20 minutos y que necesite ser desbloqueado por contraseña.

• No desactivar ni cambiar la configuración de los mecanismos de

protección instalados (cortafuegos personales, antivirus, etc.).

• Utilizar software homologado y licenciado por la empresa.

• Apagar de forma ordenada el ordenador al finalizar la jornada laboral.

• Eliminar cualquier programa o fichero que impida o dificulte el normal

funcionamiento del sistema.

• Cumplir con las actualizaciones de seguridad de los sistemas y equipos

de acuerdo a los mecanismos establecidos en la empresa.

• Guardar por tiempo indefinido y máxima reserva los documentos,

metodologías, claves, análisis, programas y demás información, en

soporte material o electrónico, a la que tengan acceso durante su

relación laboral.

• No divulgar la información de la empresa a personas o empresas ajenas

a la misma, salvo autorización previa. La obligación se mantendrá

vigente tras la extinción del contrato laboral.

4. Código OB104 Puesto de trabajo.

• No dejar documentación en las mesas de trabajo.

• Guardar bajo llave la información sensible impresa en papel o

almacenada en soportes externos.

• No desatender la documentación en impresoras comunes, fax, etc.

• Destruir la documentación sensible cuando se tire a la basura.

• Tener en cuenta la clasificación de la información , los requerimientos

contractuales y legales, así como los aspectos de mayor riesgo.


____________________________________________________________________________ 54

5. Código OB105 Uso de información.

• Acceder sólo a aquella información y recursos a los que se tiene acceso

autorizado acorde a la clasificación y tratamiento de la información

elaborada por la empresa.

• Notificar a la mayor brevedad los incidentes sospechosos que afecten o

pudieran afectar a la seguridad de la empresa mediante los

procedimientos y canales definidos en la empresa.

• No intercambiar documentación e información con empresas externas

sin los controles definidos en la empresa.

• Cumplir con las restricciones de propiedad intelectual o industrial.

• Cumplir con la legislación de protección de datos aplicable, en lo que se

refiere a su actividad laboral en la entidad, velando que los datos son

veraces, exactos y completos.

6. Código OB106 Formación.

• Asistir a los cursos y actividades facilitadas por la empresa en materia

de seguridad y protección.

7. Código OB107 Finalización actividad laboral.

• Devolver todos los activos de la empresa (ordenadores, teléfonos

móviles, tarjetas, etc…) una vez terminada la relación laboral.

• En caso de proveedores y personal externo, la empresa subcontratada

será la responsable de exigir la devolución de los activos y recursos

proporcionados.


____________________________________________________________________________ 55

4.3.3.6.4 AI100 Activos de información.

Cada dirección deberá evaluar la información que es crítica y vital para el negocio y

clasificarla acorde a su impacto en los procesos, sistemas y servicios. Será la

propietaria de la información y la responsable de su divulgación acorde a su nivel de

clasificación.

1. Código AI101 Clasificación de la información.

• Clasificar los documentos acorde a cuatro niveles:

CONFIDENCIAL: Información crítica que debe ser protegida por su

relevancia para la empresa, como decisiones estratégicas, evaluaciones

financieras y oportunidades de negocio. Algunos ejemplos:

Evaluaciones financieras.

Nuevas alianzas estratégicas.

Investigación y desarrollo de productos y servicios.

Estudios de entrada en nuevos mercados.

La responsabilidad de clasificar la información a nivel Confidencial

corresponde al director general y al Comité de Dirección.

RESTRINGIDA: Información interna a las áreas y/o proyectos que sólo

debe utilizar un grupo reducido de personas y debe ser protegida por su

impacto en los intereses internos, de los clientes o asociados y de los

empleados. Algunos ejemplos:

Evaluaciones de suministradores y colaboradores.


____________________________________________________________________________ 56

Análisis y estudios de clientes.

Ofertas de nuevos productos y servicios.

La responsabilidad de clasificar la información a nivel de Restringida

corresponde a los directores y gerentes/jefes.

USO INTERNO: Información que, sin ser confidencial ni restringida, debe

mantenerse en el ámbito interno de la empresa y no debe estar disponible

externamente, excepto a terceras partes involucradas previo compromiso

de confidencialidad y conocimiento de la empresa. Algunos ejemplos:

Proyectos y servicios a clientes.

Informes de mercado.

Guías de uso de servicios y sistemas.

La responsabilidad de clasificar la información a nivel de uso interno

corresponde a los gerentes/jefes y los empleados.

PÚBLICA: Información para el mercado. Algunos ejemplos:

Cuenta de resultados.

Oferta de productos y servicios.

Servicios a clientes, previa autorización de los mismos.

La desclasificación de una información será decidida por la persona que la

hubiese clasificado o por su superior jerárquico. La información no

clasificada será tratada como de uso interno y su divulgación solo será

autorizada por la dirección propietaria de la misma.


____________________________________________________________________________ 57

2. Código AI102 Inventario información clasificada.

• Todos los activos de información serán identificados e inventariados

acorde a los niveles de clasificación descritos en el código anterior.

• El inventario y registro de la información clasificada será centralizado

en un sistema de gestión documental.

3. Código AI103 Tratamiento información clasificada.

• El acceso a la información estará restringido acorde al nivel de

clasificación establecido, con controles de identificación y autenticación

que corresponda en cada caso.

4. Código AI104 Reproducción información clasificada.

• La copia de información clasificada en formato electrónico o impreso

sólo se podrá realizar con autorización expresa de cada dirección

propietaria, exceptuando la información confidencial cuya copia debe

autorizarla el director general.

• El personal subcontratado no puede reproducir información de uso

interno o superior sin una justificación que atienda a la prestación del

servicio que realiza para la empresa y previo compromiso de

confidencialidad y autorización de cada dirección propietaria.

• Se pondrán los mecanismos necesarios, en el gestor documental donde

resida la información clasificada, para cumplir los controles de

seguridad expuestos en los apartados anteriores..


____________________________________________________________________________ 58

5. Código AI105 Distribución información clasificada.

• La distribución de información confidencial en formato papel o

electrónico, previa reproducción autorizada, sólo se realizará a las

personas autorizadas por el director general.

• La distribución de información restringida en formato papel o

electrónico, previa reproducción autorizada, sólo se realizará a las

personas autorizadas por la dirección propietaria.

• La distribución de información clasificada como confidencial o

restringida se realizará acorde a los siguientes criterios:

En medios electrónicos será tratada con algoritmos de criptografía.

En pael será enviada en sobre cerrado con garantías de integridad.

6. Código AI106 Destrucción información clasificada.

• La destrucción de información será autorizada acorde a su clasificación,

si es confidencial por el director general y si es restringida por la

dirección propietaria.

• La destrucción en formato electrónico o impreso se realizará de forma

que no pueda recuperarse ni total ni parcialmente por ningún medio.

• El personal subcontratado destruirá toda la información de la empresa,

clasificada o no, una vez finalizada la prestación del servicio a la

empresa.

4.3.3.6.5 IE100 Identificación de empleados.

Los empleados utilizarán credenciales, código de identificación personal y clave

privada, para el acceso a los sistemas y servicios de la empresa. El código servirá


____________________________________________________________________________ 59

para la identificación del empleado y la clave para su autenticación en el momento

del acceso. Ambos códigos, identificador y clave, definirán de forma inequívoca al

empleado que, en cada momento, use sistemas y servicios.

Todos los empleados dispondrán de esas credenciales que serán gestionadas acorde a

los procedimientos y registros determinados por la empresa. La robustez y fiabilidad

del mecanismo de identificación y autenticación estará en consonancia con la

criticidad del recurso. Las credenciales de los empleados serán:

1. Código IE101 Tarjeta identificación personal.

• Los empleados dispondrán una tarjeta, personal e intransferible, con el

logotipo y diseño corporativo de la empresa y los siguientes datos:

Nombre, apellidos y fotografía.

DNI o número de pasaporte

Número de empleado.

• Los empleados subcontratados dispondrán una tarjeta, personal e

intransferible, con el logotipo y diseño corporativo de la empresa y los

siguientes datos:

Nombre, apellidos y fotografía.

DNI o número de pasaporte.

Personal externo.

• La tarjeta será de uso obligatorio a la entrada y salida de las

dependencias y se llevará en lugar visible durante la jornada laboral. La

tecnología utilizada en la tarjeta (RFID, CHIP, etc.) para el control de

acceso a dependencias y servicios será la que determine el Comité de

Seguridad.


____________________________________________________________________________ 60

2. Código IE102 Códigos identificación personal.

• Cada empleado tendrá su propio y único código de identificador

personal e intransferible. No se permiten códigos genéricos.

• Los sistemas informáticos inutilizarán los códigos de acceso no usados

durante el periodo de 60 días hábiles para los empleados internos y 45

días hábiles para los empleados subcontratados.

• El empleado es responsable de las acciones que se realicen con su

código identificador.

3. Código IE103 Claves privadas.

• La clave privada es personal e intransferible.

• El empleado está obligado a cambiar las claves de acceso cuando utilice

por vez primera un sistema o servicio y, posteriormente, de forma

periódica. Los sistemas proporcionarán facilidades para realizar dicho

cometido.

• Los sistemas inutilizarán la clave privada al tercer intento de acceso no

válido.

• El empleado es responsable de las acciones que se realicen con su clave

de acceso.

4. Código IE104 Información a los empleados.

• Las zonas de control de acceso a las dependencias y las áreas de trabajo

dispondrán en forma visible para todos los empleados información

respecto uso intransferible de tarjetas, claves y códigos personales.

• Los sistemas presentarán en su primera pantalla de acceso, antes de la

identificación y autenticación del empleado, el siguiente aviso:


____________________________________________________________________________ 61

“El sistema es propiedad de la empresa. Necesita autorización antes de

usarlo. El acceso no autorizado o el uso indebido del mismo es

contrario las normas de seguridad de la empresa y a la ley.”

La gestión de los sistemas de emisión de la tarjetas, claves de identificación personal,

claves privadas de acceso, formatos de las mismas y la actualización de los datos de

los empleados para esa finalidad son responsabilidad de la dirección de Recursos

Humanos para recursos internos. El área de Compras será la encargada de actualizar

los datos personales de los empleados subcontratados.

4.3.3.6.6 AA100 Accesos a dependencias y sistemas.

El Comité de Seguridad definirá la política de acceso a las dependencias y sistemas

de la empresa acorde a los requerimientos del negocio y basada en el principio de

que los empleados sólo pueden y deben acceder a la información y recursos

necesarios para realizar sus funciones. Los perfiles de acceso estarán relacionados

con los niveles organizativos, funciones y la situación de los empleados, internos o

subcontratados.

1. Código AA101 Niveles de acceso.

• Las direcciones serán responsables de definir:

Los requisitos de acceso a dependencias, sistemas y servicios.

Los niveles de acceso temporales de los empleados, internos y

subcontratados, se gestionarán acorde a las funciones internas.

• Las direcciones informarán periódicamente a Recursos Humanos de las

autorizaciones y revocaciones de acceso.


____________________________________________________________________________ 62

• El Comité de Seguridad definirá las autorizaciones y revocaciones de

acceso.

2. Código AA102 Gestión de accesos.

• La dirección de Recursos Humanos será la responsable de la gestión,

mantenimiento y actualización de las autorizaciones de acceso,

coordinándose con el resto de áreas de negocio.

3. Código AA103 Sistema de gestión de identidad y recursos.

• Las autorizaciones de acceso a dependencias, sistemas y servicios

estarán ubicadas en un sistema de gestión de identidad y recursos

autorizados conectado en red con el resto de sistemas y servicios de la

empresa que lo utilizarán para gestionar las autorizaciones de acceso.

• La dirección de Recursos Humanos es la responsable del sistema de

gestión de identidad y recursos.

• Las direcciones están obligadas a mantener actualizados los datos de

los recursos y las autorizaciones de acceso correspondientes.

4.3.3.6.7 AC100 Auditoría e inspección.

Los sistemas dispondrán de registros de auditoría con datos relativos a los códigos

de identificación que los han utilizado, fecha y hora, recurso al que se accede, tipo de

acceso, autorización o denegación y ordenadores o terminales utilizados.


____________________________________________________________________________ 63

1. Código AC101 Registros de auditoría.

• Con carácter general será necesario generar y almacenar registros de

auditoría con:

Los eventos requeridos por la legislación vigente.

Los intentos de autenticación fallidos.

Los eventos de configuración.

Los eventos de administración.

La operación de los sistemas.

Los errores de funcionamiento.

2. Código AC102 Integridad, confidencialidad y disponibilidad.

• Se garantizará la integridad de los registros de auditoría y los

mecanismos que los generan.

• El borrado o desactivación sólo será autorizado por el Comité de

Seguridad.

• El acceso a los registros de auditoría y el control de los mecanismos que

los generan sólo se permitirá a las personas autorizadas por el Comité

de Seguridad acorde a las directrices de las direcciones.

• Los registros de auditoría serán almacenados por un periodo de tiempo

aceptable que permita tenerlos disponibles para potenciales

investigaciones.

• El periodo de almacenamiento de registros de auditoría se realizará

acorde a la legislación vigente y aplicable.


____________________________________________________________________________ 64

3. Código AC103 Sincronización y monitorización de actividad.

• Los relojes de todos los sistemas y servicios que generen registros de

auditoría deberán sincronizarse con la misma fuente de tiempo.

• Los registros podrán ser monitorizados para la elaboración de informes

periódicos.

4.3.3.6.8 IT100 Sistemas, redes y terminales.

Los sistemas, redes de comunicaciones y terminales dispondrán de procedimientos

operativos de seguridad para su configuración, administración, operación y gestión

de cambios.

1. Código IT101 Operación y mantenimiento de sistemas.

• Se elaborarán procedimientos operativos de seguridad para la

configuración, instalación y mantenimiento de:

Los sistemas operativos utilizados en la gestión interna de la

empresa.

Los sistemas operativos de desarrollo y pruebas de proyecto para

los clientes.

Las bases de datos.

Los servidores de aplicaciones.

Los servidores de correo.

• La configuración e instalación de servidores, sistemas operativos y

bases de datos se realizará acorde a estructura de máxima tolerancia a

fallos en software, hardware, alimentación eléctrica y climatización.


____________________________________________________________________________ 65

2. Código IT102 Operación y mantenimiento de redes.

• Se elaborarán procedimientos operativos de seguridad para la

configuración, instalación, mantenimiento de:

La interconexión de redes:

o Área local (LAN).

o Área extendida (WAN).

Las rutas o protocolos de encaminamiento.

Las reglas de los cortafuegos (Firewall).

Los routers, switches y servidores de traducción de direcciones IP

(DNS).

3. Código IT103 Segregación de comunicaciones.

• La red interna de la empresa se segregará en varios segmentos lógicos

de acuerdo a niveles de riesgo. Los segmentos de red se aislarán

mediante dispositivos de encaminamiento que controlarán el acceso y

el tráfico entre los segmentos acorde a criterios de criticidad relativos a:

Los sistemas conectados al segmento.

La información que tratan.

La información que se transmite.

Los servicios existentes.

La exposición a amenazas externas desde Internet.

Los empleados que se conectan.

Los mecanismos de seguridad implantados.

La condición de la red: cableada o inalámbrica.

Las prioridades o necesidades de acceso.


____________________________________________________________________________ 66

4. Código IT104 Configuración de red.

• Los encaminamientos y las rutas implementadas se realizarán de forma

que se garantice la correcta implementación de los criterios y políticas

que regulan el tráfico permitido entre los segmentos lógicos de la red.

• Los cortafuegos deberán establecer mecanismos que accesos no

autorizados.

• Se protegerá la integridad del servicio de traducción de direcciones IP

(DNS).

• Se protegerá la asignación dinámica de direcciones IP (DHCP).

• Se implantarán mecanismos que comprueben que la seguridad del

ordenador personal que se conecta de forma remota (Internet, ADSL,

etc.) es suficiente y no pone en peligro la seguridad de la red interna.

• Se dispondrá de mecanismos de análisis de configuración de los

ordenadores que se conectan para comprobar que tienen instalados y

operativos los sistemas operativos y de seguridad establecidos.

• Se establecerán controles para prevenir, registrar y monitorizar las

amenazas y proteger de las mismas a los sistemas y terminales que

hacen uso de la red y los registros de datos en tránsito.

5. Código IT105 Conexiones inalámbricas.

• Las redes inalámbricas establecerán mecanismos de seguridad que

garanticen la integridad y confidencialidad de las comunicaciones:

Autenticación y control de acceso a la red.

Filtrado de direcciones IP.

Cifrado de comunicaciones.

Detección de incidencias:


____________________________________________________________________________ 67

o Intrusos, puntos de acceso no autorizados, robos de sesión,

falsificación de parámetros de red, robo de credenciales de

autenticación, intentos de rotura de claves de sesión, etc.

o Barrido de frecuencias, denegación de servicio, alteración o

retransmisión de paquetes, reducciones de cobertura, etc.

6. Código IT106 Configuración de terminales.

• Se definirán e implantarán controles orientados a proteger la

información en los terminales: ordenadores de sobremesa y portátiles,

agendas electrónicas, teléfonos móviles, etc.

• Los terminales dispondrán de dispositivos, hardware y/o software

para:

Control de acceso lógico.

Contraseña de arranque.

Tarjeta inteligente para ordenadores personales críticos.

Cifrado de registros de ficheros en disco.

Cifrado de comunicaciones.

Protección frente a virus.

Protección perimetral: cortafuegos personal.

Salvaguarda de la información:

o Backup remoto.

o Copias de seguridad cifradas en dispositivo externo.

Conexión a la red interna de la empresa.

Actualización periódica de sistema operativo y software instalado.

Los terminales más críticos dispondrán de seguro y procedimiento

ante pérdidas o robos del equipo.


____________________________________________________________________________ 68

Cuando los datos de carácter personal se almacenen en dispositivos

portátiles y se traten fuera de los locales de la empresa será preciso

que exista una autorización previa del propietario de la

información, y en todo caso deberá garantizarse su seguridad.

En los ordenadores externos de acceso remoto:

o No se dejará información de la sesión al terminar la conexión.

o Se instalaran cortafuegos internos para evitar que el ordenador

haga de pasarela entre la red interna y otras redes externas.

7. Código IT107 Configuración de sistemas.

• Se dispondrá de una herramienta para mantener el inventario de los

equipos y software instalado: versiones, configuraciones, ubicación,

responsable y documentación asociada.

• Los servidores de aplicaciones y datos, así como los equipos de la red

de comunicaciones que soporten aplicaciones básicas del negocio, serán

configurados con elementos duplicados que garanticen la

disponibilidad y continuidad del servicio si uno o varios de los

componentes básicos, hardware y/o software, tiene alguna incidencia

en su funcionamiento normal.

• Los sistemas más críticos para el negocio dispondrán de recursos

informáticos dedicados y aislados del resto, en función de la criticidad

de la información o del servicio que ofrezcan.

• El nivel de criticidad de los sistemas será definido por el Comité de

Seguridad acorde al nivel de riesgo.


____________________________________________________________________________ 69

8. Código IT108 Control de la capacidad.

• Se monitorizará el uso de los recursos en los sistemas y en los

dispositivos de la red con el objetivo de ajustar y planificar la capacidad

de los mismos de acuerdo al rendimiento esperado.

• En la planificación de cada sistema deberán tenerse en cuenta:

Los requisitos de los nuevos sistemas, así como la tendencia actual y

proyectada del uso de los recursos.

Los plazos de provisión de los sistemas y dispositivos.

9. Código IT109 Gestión de cambios.

• Se realizará seguimiento y control de los cambios en los equipos,

sistemas operativos, software de base y elementos de la red de

comunicaciones.

• Se revisarán los sistemas y aplicaciones afectadas con el fin de asegurar

que el cambio no tendrá efecto negativo en las actividades de negocio.

• Se dispondrá de varios procedimientos de gestión de cambios que

deben incluir los siguientes aspectos:

Identificar los cambios de actualización de versiones de software e

instalación de modificaciones (“parches”).

Planificar y probar previamente los cambios.

Análisis de riesgos cuando los cambios sean significativos.

Autorización previa del cambio por la dirección responsable del

servicio.

Comunicación de los detalles del cambio a todas las personas que

usen el sistema o servicio objeto del cambio.


____________________________________________________________________________ 70

Procedimiento de vuelta a atrás para recuperar el estado inicial en

caso de que el cambio sea fallido.

Registro de los cambios realizados.

• Se dispondrá de una herramienta para mantener el inventario de

software instalado: versiones instaladas, configuraciones, ubicación,

responsable y documentación asociada.

10. Código IT110 Gestión de vulnerabilidades.

• Se gestionarán las vulnerabilidades que afecten a los sistemas

operativos y software de base de forma efectiva y sistemática,

minimizando el tiempo de exposición de los sistemas y el riesgo de que

puedan ser explotadas. Se deberá tener en cuenta los siguientes

criterios:

Utilizar la herramienta de inventario de software instalado.

Gestionar una o varias fuentes de información de vulnerabilidades y

“parches” aplicables. Las fuentes serán de los propios fabricantes o

fuentes de contrastado prestigio y credibilidad que abarquen todas

las plataformas instaladas en la empresa.

Definir los procedimientos de actuación para:

o La identificación de vulnerabilidad, análisis y aplicación del

“parche”.

o Las soluciones alternativas caso de no existir el “parche” o no

poder aplicarlo.

o La verificación final.

Definir y monitorizar los tiempos máximos de exposición de los

sistemas ante vulnerabilidades graves.


____________________________________________________________________________ 71

11. Código IT111 Gestión de incidencias.

• Se cuantificarán los tipos, volumen, frecuencia, daños y costes

producidos por los incidentes de seguridad con el objetivo de

identificar las mejoras a establecer y controles necesarios a poner en

práctica. A tal efecto:

Se establecerán procedimientos y responsabilidades en la gestión y

respuesta a las incidencias de seguridad en los servicios.

Se definirá un procedimiento de registro de todas las incidencias

gestionadas. Cuando las incidencias notificadas correspondan con

un evento que ha causado una pérdida en la empresa se activará la

gestión y respuesta al incidente. El procedimiento deberá incluir los

siguientes aspectos:

o Los servicios afectados y comunicación realizada.

o El área o dirección responsable de la resolución.

o Las acciones a realizar en función de la naturaleza y gravedad

del incidente:

Fallos de sistemas y/o pérdida/denegación de servicio.

Código malicioso.

Pérdida confidencialidad y/o integridad de información.

Fuga o abuso de información.

o Las fases por las que pasa la gestión del incidente:

Recopilación de datos y evidencias.

Comunicación a las direcciones y/o clientes afectados.

Investigación y evaluación de riesgo.

Resolución: Acciones de prevención y protección.

Seguimiento del servicio.


____________________________________________________________________________ 72

o El estado de situación del incidente, con fecha y hora, clasificado

por:

ABIERTO : Incidente notificado.

RESOLUCIÓN : En fase de análisis y solución.

SEGUIMIENTO : Resuelto y servicio restablecido.

CERRADO : Funcionamiento normal del servicio.

4.3.3.6.9 LS100 Licencias de software.

Los productos comprados o licenciados para uso interno y/o en los clientes, deberá

regirse por la normativa del suministrador o distribuidor y será compatible con las

versiones del software en servicio y la plataforma vigente de sistemas, redes y

terminales.

1. Código LS101 Productos y licencias de uso.

• Los sistemas operativos y programas producto deberán estar en

consonancia con la arquitectura y estándares de sistemas, redes y

terminales.

• La oferta de los distintos suministradores ha de cumplir los criterios y

estándares de seguridad de la empresa. Las propuestas serán

vinculantes mediante la inclusión de cláusulas específicas en los

contratos de adquisición.

• El software comercial que se utilice en la empresa estará debidamente

licenciado y su uso se limitará a lo establecido en el contrato. Estará

debidamente soportado por el proveedor, el cuál garantizará por

escrito la resolución de las incidencias.


____________________________________________________________________________ 73

• El uso de software denominado libre o gratuito y que proceda de

fuentes fiables solo será autorizado por el Comité de Seguridad.

2. Código LS102 Actualizaciones software.

• La actualización, nuevas versiones o “parches” de las licencias

compradas y/o licenciadas se realizará acorde a los requerimientos

oficiales de los suministradores. Todos los cambios se realizarán según

los procedimientos de gestión de cambios incluidos en la normativa de

seguridad.

• El mantenimiento periódico se realizará acorde a los requisitos de los

suministradores y a las necesidades de la empresa.

• Los mantenimientos remotos automáticos, salvo emergencias y control

del área de seguridad, no están permitidos.

4.3.3.6.10 DM100 Desarrollo y mantenimiento.

Los sistemas desarrollados deben ser compatibles con las infraestructuras de técnicas

de sistemas, redes y terminales de la empresa, garantizando el cumplimiento de los

procedimientos y servicios internos.

1. Código DM101 Desarrollo de proyectos.

• Los desarrollos de sistemas y/o aplicaciones, internos o de clientes y las

infraestructuras tecnológicas seguirán un proceso formal de

documentación, especificación, pruebas, control de calidad e

implantación de acuerdo los controles de seguridad de esta normativa.


____________________________________________________________________________ 74

• Antes de la entrada en explotación de nuevos sistemas e

infraestructuras tecnológicas, se verificará que están implantados los

controles de seguridad definidos en esta normativa.

• Los sistemas desarrollados han de utilizar las soluciones y servicios

técnicos comunes de la empresa con los controles de seguridad

establecidos en esta normativa.

2. Código DM102 Mantenimiento de sistemas.

• Los mantenimientos de sistemas y/o aplicaciones, internos o de clientes

y las infraestructuras tecnológicas consecuencia de los mismos,

seguirán un proceso formal de documentación, especificación, pruebas,

control de calidad e implantación de acuerdo a la gestión de cambios y

los controles de seguridad definidos en esta normativa.

3. Código DM103 Separación de entornos.

• Los entornos de desarrollo, pruebas o certificación y producción

contarán con sistemas y recursos separados para reducir los riesgos de

acceso o cambios en el software y en los servicios.

• Se establecerán reglas para transferir, previa autorización, el software

de los sistemas y aplicaciones entre los entornos de desarrollo, pruebas

y producción.

4. Código DM104 Código fuente.

• El acceso al código fuente de los programas, así como a los documentos

de diseño, especificaciones, arquitectura tecnológica, planes de pruebas,

etc. estará restringido al personal autorizado.


____________________________________________________________________________ 75

5. Código DM105 Servicios subcontratados.

• Se definirá claramente la propiedad del software desarrollado y los

derechos de propiedad intelectual.

• El desarrollo y mantenimiento de sistemas y aplicaciones empresas

subcontratadas será monitorizado y controlado para garantizar la

calidad y seguridad del software.

• Las empresas subcontratadas firmarán acuerdos o cláusulas de

confidencialidad y no divulgación.

4.3.3.6.11 CR100 Copias de respaldo.

El Comité de Seguridad definirá los criterios de copia y respaldo de la información

de los sistemas, aplicaciones y servicios acorde a las necesidades del negocio.

1. Código CR101 Procedimientos de copia.

• Se dispondrá de procedimientos, dispositivos y soportes para la

realización de las copias de respaldo y posterior recuperación en caso

de desastre o fallo de los sistemas y/o servicios soportes de acuerdo a

los criterios de respaldo y recuperación establecidos.

• Las copias de respaldo se realizarán y se verificará su usabilidad de

forma periódica acorde a criterios establecidos.

• La copia de datos de carácter personal y su vigencia se realizará acorde

a la legalidad vigente.


____________________________________________________________________________ 76

2. Código CR102 Recuperación de información.

• La recuperación de información a partir de las copias de respaldo

deberá realizarse cuando el proceso, sistema o servicio lo demande y

deberá ser autorizada por el propietario de la misma.

4.3.3.6.12 GS100 Gestión de soportes externos.

Los soportes externos con documentación y datos de la empresa y/o de proyectos y

servicios serán inventariados y etiquetados con la información suficiente para su

identificación, conservación, distribución y uso.

1. Código GS101 Identificación.

• Se mantendrá un registro o inventario con los datos identificativos de

cada soporte, por ejemplo:

Código identificación.

Tipo soporte: CD/DVD, cartucho, disco externo, etc.

Localización: interno/externo.

Situación: usable o destruido y fecha asociada.

Tiempo de vigencia de la información almacenada.

Información almacenada: documentos, presentaciones, diseños y

desarrollos de proyecto, códigos fuente, ofertas a clientes, copia de bases

datos y/o archivos, etc.


____________________________________________________________________________ 77

2. Código GS102 Conservación.

• Los soportes externos serán almacenados en lugares cuyas condiciones

ambientales de humedad y temperatura cumplan los requisitos de

conservación especificados por los fabricantes de los mismos.

• Si la información almacenada en un soporte externo debe conservarse

durante un plazo mayor que el tiempo de vida del soporte deberá

copiarse la información a un soporte nuevo.

• Los soportes no necesarios, por información obsoleta o caducidad del

mismo, deberán ser destruidos de forma que sea imposible recuperar la

información que contienen.

3. Código GS103 Distribución y uso.

• El acceso al contenido de los soportes externos estará restringido acorde

a los niveles de clasificación de la información almacenada.

• Se implantarán procedimientos de entrada/salida de los soportes

externos. Se mantendrá registro en el que se refleje la siguiente

información:

Código identificación del soporte.

Tipo: CD/DVD, Cartucho, Disco externo, etc.

Fecha y hora de entrada/salida.

Emisor/destinatario.

Motivo entrada/salida.

• Se establecerán mecanismos de protección que garanticen la

confidencialidad e integridad de la información y controles que

permitan detectar si se ha producido algún acceso no autorizado.


____________________________________________________________________________ 78

4.3.3.6.13 CN100 Continuidad de negocio.

Se definirán planes de contingencia de los procesos, sistemas y servicios para reducir

las consecuencias derivadas de incidencias que afecten, total o parcialmente, a la

capacidad operativa de la empresa y garantizar la recuperación inmediata de la

actividad de negocio. La elaboración del plan de contingencia de un proceso, sistema

o servicio la realizará el responsable o propietario del mismo.

1. Código CN101 Recursos críticos y responsabilidades.

• Se definirán los procesos, sistemas o servicios que sean considerados

criticos para el negocio.

• Los procesos, sistemas y servicios críticos deberán incluirse dentro del

alcance del plan de contingencia.

• Se determinará el propietario de cada proceso, sistema y servicio

crítico.

2. Código CN102 Análisis de impacto.

• Se realizará un análisis de impacto de los procesos, sistemas y servicios

críticos con las consecuencias para el negocio ante cualquier incidencia.

• Los análisis de impacto tendrán en cuenta los siguientes puntos:

Clasificar los eventos, internos o externos, que pueden causar una

pérdida, deterioro o paralización de los recursos críticos, tanto

directa como indirectamente: fallos en las infraestructuras técnicas

de sistemas, redes y terminales, errores humanos, fuego, desastres

naturales, accidentes, actos terroristas, etc.

Evaluar el máximo tiempo que el negocio puede aguantar antes de

contraer pérdidas.


____________________________________________________________________________ 79

3. Código CN103 Alternativas de respaldo.

• Establecer las alternativas de respaldo para cada evento en función los

tiempos máximos sin servicio.

• Evaluar las alternativas de respaldo acorde al balance entre la perdida

ocasionada por la indisponibilidad de los recursos y el coste necesario

para recuperarlos.

4. Código CN104 Selección de estrategias de respaldo.

• Definir la estrategia global de respaldo como la integración y

priorización de las diferentes alternativas de respaldo analizadas en el

punto anterior. La estrategia de respaldo tratará de recuperar los

recursos afectados de la manera más rápida y efectiva posible.

• En la selección de las estrategias de respaldo se tendrá en cuenta las

capacidades de los suministradores externos, tanto de plataformas

técnicas como de servicios, y las necesidades de los clientes.

• Evaluar la búsqueda de acuerdos con otras empresas para llegar a

posibles asociaciones y sinergias en las estrategias de respaldo.

5. Código CN105 Desarrollo e implantación.

• Acorde a las estrategias de respaldo se establecerán los equipos de

emergencia, los procedimientos y los planes de actuación necesarios

para garantizar la recuperación de los procesos, sistemas y servicios

dentro de los parámetros de tiempo y calidad establecidos.

• En todo el proceso de desarrollo e implantación se garantizará la

seguridad de los sistemas y los datos.

• Se tendrán en cuenta los siguientes puntos:


____________________________________________________________________________ 80

La identificación de los recursos incluidos en el alcance del plan de

contingencia: personas, infraestructuras físicas y técnicas,

capacidades de proceso, sistemas, servicios, bases de datos, datos,

documentos, etc.

Las relaciones y dependencias con otros planes de contingencia

existentes en la empresa.

Los datos de contacto de todas las personas involucradas en el

desarrollo del plan de contingencia: responsable, coordinadores,

equipos de emergencia, suministradores involucrados, etc.

La definición de los criterios y condiciones de activación.

La contratación de los recursos, infraestructuras externas y

prestación de servicios para la puesta en marcha de la estrategia de

respaldo.

La revisión de todas las prestaciones de servicios ya existentes que

entren a formar parte de la estrategia de respaldo.

Los recursos y organización de los equipos de emergencia con el

detalle de responsabilidades, funciones y dependencias orgánicas.

• Los planes de contingencia se probarán, actualizarán y revisarán

regularmente para comprobar su eficacia y actualización.

• Los planes de contingencia se revisarán y actualizarán en los procesos

de cambio de la empresa que afecten a:

La organización.

Las infraestructuras técnicas.

Las estrategias de negocio y de servicio.

• El Comité de Seguridad determinará los plazos de revisión periódicos.


____________________________________________________________________________ 81

6. Código CN106 Estructura.

• Los planes de contingencia se estructurarán de forma consistente y

relacionada, de modo que un plan de contingencia englobará e incluirá

los planes de contingencia de rango o alcance inferior y al mismo

tiempo, se englobará y supeditará a los planes de contingencias de

rango o alcance superior.

• El rango o alcance de los planes de contingencia serán:

El negocio: plan de contingencia de la empresa.

Todos o parte de los procesos, sistemas y servicios: plan de

contingencia parcial, ejemplo plan de contingencia de la facturación

de los servicios.

Todos o parte de las infraestructuras que soportan los procesos,

sistemas y servicios de negocio: ejemplo plan de contingencia de

servidores informáticos, plan de contingencia de las oficinas, etc.

4.3.3.6.14 SF100 Seguridad física.

Se diseñarán e implantarán medidas de protección física orientadas a prevenir

riesgos en las oficinas y recursos de la empresa. Las medidas de vigilancia y

protección estarán adaptadas a la legislación vigente.

1. Código SF101 Perímetros de acceso.

• Se establecerán barreras físicas a la entrada y salida de los edificios para

personas, vehículos y paquetería.

• Se establecerán puestos de vigilancia y control de acceso de personas,

vehículos y paquetería.


____________________________________________________________________________ 82

• Se instalarán dispositivos de video vigilancia en los perímetros de

acceso con sistemas que faciliten el registro y grabación.

• Los puntos de entrada y salida de material y otros en los que personal

no autorizado pueda acceder a los locales, deberán estar protegidos y

aislados del resto de las dependencias.

2. Código SF102 Controles de acceso.

• Se establecerán controles de acceso de personas y vehículos acorde a las

autorizaciones establecidas por la empresa.

• Las visitas a las oficinas y dependencias se regirán por los controles de

acceso establecidos, identificándose con una tarjeta temporal que le será

suministrada en el puesto de vigilancia.

• Los empleados y las visitas están obligados a portar su tarjeta de

identificación personal o temporal en lugar visible durante su estancia

en las oficinas y dependencias.

3. Código SF103 Protección dependencias.

• Se diseñarán e implantarán medidas de protección física orientadas a

proteger los despachos, las oficinas y salas de infraestructuras técnicas:

Los despachos, armarios, archivadores u otros elementos en los que

se almacenen documentos de la empresa deberán ubicarse en áreas

o salas en las que el acceso esté restringido única y exclusivamente

al personal autorizado.

El acceso a dichas áreas estará protegido con puertas y sistemas de

apertura/cierre mediante llave u otro dispositivo equivalente.

Las áreas protegidas deberán permanecer cerradas cuando no sea

preciso su acceso.


____________________________________________________________________________ 83

Se diseñarán e implantarán medidas de protección frente a

incendios, perdidas de agua u otro desastre casual o provocado.

4. Código SF104 Protección de infraestructuras técnicas.

• El equipamiento técnico deberá ubicarse y protegerse para reducir el

riesgo de amenazas del entorno (agua, fuego, etc.) así como las

oportunidades de accesos no autorizados.

• Los equipos se protegerán frente a fallos eléctricos y otras anomalías en

el suministro necesario: agua, ventilación, aire acondicionado, etc.

• El cableado de energía y telecomunicaciones que porten datos o

soporten servicios de información se protegerán contra interceptación o

daños.

• Los locales donde se encuentren ubicados los equipos tendrán controles

de temperatura y humedad, de manera que los equipos mantengan su

operatividad y disponibilidad.

• Los equipos no saldrán de los locales de la empresa sin previa

autorización.

4.3.3.6.15 CL100 Legislación.

Los controles de seguridad establecidos en esta normativa han de estar adaptados al

cumplimiento de la legalidad vigente.

1. Código CL101 Legislacion aplicable.

• Se identificarán los requisitos de las leyes aplicables en todos los

controles.


____________________________________________________________________________ 84

• Se definirán los responsables internos de velar por su cumplimiento.

• Se identificarán las implicaciones legales en otros países a los que esté

obligada la empresa por los servicios prestados a los clientes.

2. Código CL102 Propiedad intelectual.

• El uso de software, productos y material licenciado cumplirá con las

restricciones definidas en la legislación aplicable.

• El software o material producido por la empresa susceptible de

protección intelectual será registrado a nombre de la empresa.

3. Código CL103 Registros de auditoría.

• La generación, almacenamiento y acceso a los registros de auditoría de

los sistemas de información y redes de comunicaciones cumplirá con

los requisitos legales establecidos en la LOPD.

4. Código CL104 Protección de datos de carácter personal.

• El tratamiento de información con datos de carácter personal cumplirá

con los requisitos legales establecidos en la LOPD.

• Se definirá una política de protección y privacidad de datos de carácter

personal de la empresa y será comunicada a todos los empleados.

5. Código CL105 Monitorización de sistemas y servicios.

• Los empleados internos y externos serán informados de sus

obligaciones y limitaciones en el uso de los sistemas de información y

redes de comunicaciones de la empresa.


____________________________________________________________________________ 85

• La empresa se reserva la potestad de vigilar el cumplimiento de estas

obligaciones y limitaciones a través de la monitorización del uso de los

mismos.

6. Código CL106 Auditoría.

• El cumplimiento de la normativa de seguridad será revisado de forma

periódica por una entidad, interna o externa, independiente del área

auditada.

• Las revisiones serán definidas y autorizadas por el Comité de

Seguridad.

• El informe de situación será remito al Comité de Seguridad.


____________________________________________________________________________ 86

Como resumen, en la figura siguiente se detallan los controles de seguridad descritos

en los ámbitos de gestión, recursos internos de soporte y operaciones de la empresa.

Figura 13. Resumen de los controles establecidos en la normativa de seguridad.

4.3.3.7 Procedimientos y guías de seguridad.

Los procedimientos operativos y guías de usuario que deberán realizar las

direcciones de la empresa establecerán los pasos necesarios a seguir para realizar una

determinada tarea y cumplir con uno o varios de los controles de esta normativa.

Los procedimientos podrán referenciar a otros existentes y podrán ser auditados. Las


____________________________________________________________________________ 87

guías de usuario deberán complementar los procedimientos operativos y estarán

orientadas a los jefes de proyecto y empleados. Detallarán todos los aspectos técnicos

y operativos para cumplir con los controles de seguridad. A continuación se detallan

los procedimientos y guías complementarias a poner en práctica para cumplir con la

normativa de seguridad y los controles establecidos:

1. Selección e incorporación de personal.

2. Registro y control de identidades.

3. Obligaciones del personal.

4. Definición y clasificación de activos críticos.

5. Análisis y valoración de riesgos.

6. Clasificación y tratamiento de información.

7. Derechos y autorizaciones de acceso.

8. Gestión de accesos a sistemas y servicios.

9. Controles de acceso a oficinas y areas internas.

10. Gestión y monitorización de los registros de auditoría.

11. Gestión de configuración en las infraestructuras técnicas de sistemas, redes y

terminales.

12. Segmentación del tráfico en las redes.

13. Gestión de cambios en las infraestructuras de sistemas, redes y terminales.

14. Desarrollo y mantenimiento de sistemas y servicios.

15. Pruebas y certificación para la explotación de sistemas de gestión interna.

16. Pruebas y certificación para la entrega y explotación de sistemas de servicio a

clientes.

17. Gestión y respuesta a incidentes.

18. Copias de respaldo y recuperación.

19. Distribución y uso de soportes externos.

20. Planes de contingencia.

21. Vigilancia y protección de dependencias.

22. Protección de locales con infraestructuras técnicas.


____________________________________________________________________________ 88

4.3.3.8 Estándares ISO/IEC 27002:2005 y COBIT 4.0.

El PSI propuesto está desarrollado conforme a las directrices de:

1. El estándar ISO/IEC 27002:2005 (anteriormente ISO/IEC 17799) para la

seguridad de la información publicado por “International Organization for

Standardization” y por la “Comisión Electrotécnica Internacional” en el año

2000 con el título de “Information technology - Security techniques - Code of

practice for information security management”. Se publicó en el año 2005 un

nuevo documento actualizado denominado ISO/IEC 17799:2005.

El estándar ISO/IEC 17799 tiene su origen en la norma británica “British Standard

BS 7799-1” que fue publicada por primera vez en 1995. En España se ha elaborado

la publicación UNE-ISO/IEC 17799 elaborada por el comité técnico de Aenor

AEN/CTN 71 y titulada “Código de buenas prácticas para la gestión de la

seguridad de la información” que es una copia idéntica y traducida de la norma

internacional ISO/IEC 17799:2000. El estándar proporciona recomendaciones de

las mejores prácticas en la gestión de la seguridad de la información en las

empresas. El estándar define la seguridad de la información como la preservación

de la confidencialidad para que sólo accedan a la información las personas o

sistemas autorizados, la integridad para la información sea exacta y completa

acorde a sus métodos de proceso y disponibilidad, asegurando que los usuarios

autorizados tienen acceso a la información y a sus activos asociados cuando lo

requieran. Incluye las acciones, controles y prácticas a realizar en cada uno de los

ámbitos de gestión de sistemas de información de la empresa.

2. El estándar COBIT 4.0 (Control OBjectives for Information and related Technology) es

el modelo para la gestión de las tecnologías de la información (TI) desarrollado


____________________________________________________________________________ 89

por la “Information Systems Audit and Control Association (ISACA)” y el “IT

Governance Institute (ITGI)”.

COBIT 4.0 proporciona a la dirección, gerentes, jefes de proyecto, técnicos y

usuarios de las tecnologías de la información un conjunto de medidas,

indicadores, procesos y mejores prácticas de gerencia y usabilidad de las TI para

maximizar sus ventajas en la empresa con modelos de organización y gestión

experimentados. Describe un marco de gestión de las TI con elementos de control,

escenearios técnicos y evaluación de riesgos de negocio.

COBIT facilita el desarrollo políticas y prácticas para el control de TI en todos los

ámbitos de la empresa con una serie de guías a todos los niveles: visión general

ejecutiva, estructura, objetivos de control, directivas de gestión y modelos a

seguir basados en las mejores prácticas para la definición de planes estratégicos

en TI, arquitecturas de sistemas, consideraciones para las adquisición de

hardware y software, continuidad del servicio y supervisión del funcionamiento.

Independientemente de la realidad tecnológica de cada empresa, COBIT

determina, con el respaldo de las principales normas técnicas internacionales, un

conjunto de mejores prácticas para la seguridad, la calidad, la eficacia y la

eficiencia que son necesarias para alinear las TI con el negocio, identificar riesgos,

entregar valor al negocio, gestionar recursos y medir el desempeño, el

cumplimiento de objetivos y el nivel de madurez de los procesos de la

organización.


____________________________________________________________________________ 90

Capítulo 5 Plan de acción

5.1 Introducción.

En el capítulo anterior se han definido el conjunto de actividades que conforman el

PSI a poner en práctica por la dirección de la empresa basado en tres acciones

estratégicas. Las dos primeras se han desarrollado anteriormente:

• Definir la política de seguridad de la empresa con los activos críticos para el

normal funcionamiento de la empresa.

• Elaborar la normativa de seguridad con controles específicos para los críticos

del negocio.

En este capítulo se desarrolla el plan de acción para poner en práctica la política de

seguridad con la normativa que la sustenta. En primer lugar se detallarán las

actividades previas que deberá realizar el Comité de Dirección y, en segundo lugar,

las actividades que deberán realizar todas las áreas implicadas y el plan de

implantación.

Finalmente, se propone un cuadro de mando de gestión para evaluar,

periódicamente, el nivel de seguridad de la empresa y unas consideraciones finales

de evolución de futuro.


____________________________________________________________________________ 91

5.2 Descripción de actividades.

Las actividades a poner en práctica involucran al Comité de Dirección, al Comité de

Seguridad y a cada una de las direcciones de la organización. A continuación se

describen las responsabilidades y objetivos.

5.2.1 Comité de Dirección.

En primer lugar, el Comité de Dirección ha de poner en marcha un plan previo con la

implicación de todas las direcciones. El plan de trabajo consiste en:

• Elaborar el documento “Políticas y normativas de seguridad de MAKE

SERVICES S. L.” para convertirla en la herramienta de uso generalizado en

toda la organización. El contenido básico se describe en el apartado 4.3. El

esquema que deberá tener el documento se describe en el ANEXO I. El

objetivo de la política y normativa de seguridad es:

Unificar criterios de seguridad en toda la organización.

Disponer de una norma común y herramienta de gestión de la

seguridad adaptada a los estándares internaciones.

• Aprobar el documento “Políticas y normativas de Seguridad de MAKE

SERVICES S. L.” en el Comité de Dirección de la empresa. El objetivo, una

vez aprobado, es disponer de:


____________________________________________________________________________ 92

La organización de seguridad en la empresa cuyo máximo ámbito

de decisión será el Comité de Seguridad.

La herramienta para la gestión de la seguridad, cuyo máximo

exponente es la normativa de seguridad con un conjunto de sesenta

y seis controles que abarcan quince ámbitos de procesos, sistemas y

servicios de la empresa.

• Preparar un Plan de Divulgación para todos los empleados en el que se

explique el nuevo modelo de gestión de la seguridad en la empresa.

• El Plan de Divulgación ha de utilizar todos los medios:

Reuniones de los directores con sus equipos.

Información en el portal del empleado.

Carteles visibles en las oficinas.

El contenido de las reuniones de las direcciones, la información en el portal y la

correspondiente a los carteles se diseñará acorde a las directrices del Comité de

Dirección con el apoyo de una empresa especializada en seguridad de la

información.

5.2.2 Comité de Seguridad.

El Comité de Seguridad comenzará su plan de actividades un vez que el Comité de

Dirección ha concluido el plan previo con la elaboración, aprobación y divulgación


____________________________________________________________________________ 93

del documento de “Políticas y normativas de seguridad de MAKE SERVICES S. L.”

de RRHH.

El plan de actividades, liderado por el Comité de Seguridad y en el que se implicarán

todas las direcciones consistirá, en primer lugar, en:

• Definir y clasificar los activos críticos.

• Análizar y valorar los riesgos.

Una vez definidos lo activos críticos y hecha la valoración de riesgos, el siguiente

paso será elaborar los procedimientos de seguridad y guías que ayuden a las áreas a

aplicar los controles de seguridad establecidos. El objetivo es establecer métodos de

trabajo en los procesos y en las infraestructuras técnicas adaptados a la normativa de

seguridad.

Los procedimientos y guías han de abarcar todos los ámbitos de la gestión operativa

y técnica:

• Procedimientos de gestión operativa:

Selección e incorporación de personal.

Registro y control de identidades.

Obligaciones del personal.

Clasificación y tratamiento de la información.

Derechos y autorizaciones de acceso.

Distribución y uso de soportes externos.

Controles de acceso a oficinas y areas internas.


____________________________________________________________________________ 94

Planes de contingencia.

Vigilancia y protección de dependencias.

• Procedimientos de gestión técnica:

Gestión de accesos a sistemas y servicios.

Gestión y monitorización de los registros de auditoría.

Gestión de configuración en las infraestructuras técnicas de sistemas, redes

y terminales.

Segmentación del tráfico en las redes.

Gestión de cambios en las infraestructuras de sistemas, redes y terminales.

Desarrollo y mantenimiento de sistemas y servicios.

Pruebas y certificación para la explotación de sistemas de gestión interna.

Pruebas y certificación para la entrega y explotación de sistemas de

servicio a clientes.

Gestión y respuesta a incidentes.

Copias de respaldo y recuperación.

Protección de locales con infraestructuras técnicas.

El Comité de Seguridad encargará la elaboración de los procedimientos de seguridad

y guías de seguridad a las áreas funcionales, siendo los directores los máximos

responsables de conseguir los objetivos propuestos e informarán al Comité de

Seguridad de los avances hasta alcanzarlos.

La elaboración de los procedimientos y guías se realizará con la ayuda de los

suministradores externos. Para los procedimientos de gestión operativa las

direcciones se ayudarán de una subcontratación especializada en sistemas y servicios


____________________________________________________________________________ 95

de seguridad. Para los procedimientos de gestión técnica se utilizarán las

capacidades de los suministradores de las infraestructuras técnicas contratados para

su mantenimiento más la implicación de los equipos de tecnología y soporte técnico

de la dirección de Tecnología y Operaciones. El formato y contenido que deberán

tener los “Procedimientos y guías de seguridad” se describe en el ANEXO II.

El Comité de Seguridad elaborará un cuadro de mando de gestión con el detalle de

datos relativos a cada uno de los procedimientos y guias: área funcional responsable,

fechas previstas de comienzo y final, avances e incidencias en la elaboración.

El Comité de Seguridad realizará un seguimiento semanal del grado de avance de los

procedimientos y guías que presentarán cada una de las direcciones implicadas en su

elaboración.

5.2.3 Direcciones funcionales.

La elaboración detallada de los procedimientos y guías descritos anteriormente

implica a todas las direcciones de la empresa Financiera, Recursos Humanos,

Facturación y Cobros, Tecnología y Operaciones y Comercial. Todas las direcciones

están implicadas en la elaboración de los procedimientos comunes:

• Selección e incorporación de personal.

• Registro y control de identidades.

• Obligaciones del personal.

• Clasificación y tratamiento de información.

• Derechos y autorizaciones de acceso.

• Distribuciñon y uso de soportes externos.


____________________________________________________________________________ 96

• Controles de acceso a oficinas y áreas internas.

• Planes de contingencias.

• Vigilancia y protección de dependencias.

• Gestión de accesos a sistemas y servicios.

• Gestión y monitorización de los registros de auditoría.

• Gestión de cambios en las infraestructuras de sistemas, redes y terminales.

• Desarrollo y mantenimiento de sistemas y servicios.

• Pruebas y certificación para la explotación de sistemas de gestión interna.

• Gestión y respuesta a incidentes.

• Copias de respaldo y recuperación.

• Protección de locales con infraestructuras técnicas.

La dirección de Recursos Humanos será responsable de los procedimientos

operativos relacionados con:

• Selección e incorporación de personal.

• Registro y control de identidades.

• Obligaciones del personal.

• Controles de acceso a oficinas y áreas internas (área de Seguridad).

• Vigilancia y protección de dependencias (área de Seguridad).

La dirección de Tecnología y Operaciones será la responsable de los procedimientos

relacionados con:


____________________________________________________________________________ 97

• Procedimientos de gestión operativa:

Clasificación y tratamiento de la información.

Derechos y autorizaciones de acceso.

Distribucion y uso de soportes externos.

Planes de contingencia.


Controles de acceso a oficinas y areas internas.


• Procedimientos de gestión técnica:



Gestión de configuración en las infraestructuras técnicas de sistemas, redes

y terminales:

o Sistemas operativos:

Windows NT.

Windows 2000.

HP/UX.

IBM/AIX.

LINUX.

Sun Solaris.

o Base de datos:

DB2/UDB.

Oracle.


____________________________________________________________________________ 98

SQL.

Sybase.

o Servidores Web y de Aplicaciones:

CICS.

ITS for SAP/R3.

Notes/Domino.

Tuxedo.

Web Logic.

iPlanet Web Server.

o Discos almacenamiento externo: Dell, Hitachi.

o Robot cartuchos backup: StorageTek.

o Elementos de red: routers, firewall, DNS, switch.

o PCs y portátiles:

Windows 2000 Pro.

Windows XP Pro.

Segmentación del tráfico en las redes.

Gestión cambios en las nfraestructuras técnicas:

o Sistemas.

o Redes.

o Terminales.

Desarrollo y mantenimiento de sistemas y servicios.

Pruebas y certificación para la explotación de sistemas de gestión interna.

Pruebas y certificación para la entrega y explotación de sistemas de

servicio a clientes.


____________________________________________________________________________ 99

Gestión y respuesta a incidentes.

Copias de respaldo y recuperación.

Protección de locales con infraestructuras técnicas.

Todos los elementos de las infraestructuras técnicas han de estar con la garantía de

soporte técnico y mantenimiento, si no fuera así se realizará la evolución a nuevas

versiones en el menor plazo de tiempo posible y acorde a las necesidades del

negocio. La dirección Comercial colaborará con la dirección de Tecnología y

Operaciones con el procedimiento relacionado con pruebas y certificación para la

entrega y explotación de sistemas de servicio a clientes.


____________________________________________________________________________ 100

A continuación se resume el conjunto de actividades previas para poner en marcha el

PSI.

Figura 14. Resumen de actividades y responsabilidades del PSI por dirección.


____________________________________________________________________________ 101

5.3 Implantación y puesta en marcha.

En el apartado anterior se han descrito las actividades de las que son responsables el

director general y las direcciones funcionales de la empresa, coordinadas por el

Comité de Seguridad, y cuyo objetivo es elaborar los procedimientos y guías en cada

uno de los ámbitos de procesos, sistemas y servicios contemplados en la normativa

de seguridad, que son elementos básicos del PSI de la empresa. La situación de

elaboración de cada uno de los procedimientos y guías se presentarán semanalmente

al Comité de Seguridad. Una vez elaborados los procedimientos y guías de

seguridad se establecerá el plan de implantación progresivo de los procedimientos y

las guías en cada una de las direcciones funcionales.

Uno de los objetivos del director general será que el PSI tenga la máxima difusión

entre todos los empleados. Además de las actividades propias del Plan de

Divulgación y los medios empleados, el Comité de Seguidad pondrá en marcha un

nuevo portal de seguridad, accesible desde el portal de empleado, en el que se

detallarán los elementos básicos del PSI:

• La política de la empresa en materia de seguridad y los objetivos.

• La normativa de seguridad y los controles establecidos.

• Las funciones y composición del Comité de Seguridad.

• Los procedimientos y guías de seguridad en cada ámbito de proceso, sistema

y servicio.

A continuación se propone una valoración de los recursos dedicados, internos y

externos, que se necesitarian para cada una de las actividades descritas y un posible

cronograma de actividades.


____________________________________________________________________________ 102

5.3.1 Recursos internos.

En la tabla siguiente se detallan las actividades que requieren dedicación exclusiva

interna.

Figura 15. Resumen de recursos internos y jornadas dedicadas al PSI por dirección.


____________________________________________________________________________ 103

5.3.2 Recursos externos.

En la tabla siguiente se detallan las actividades que requieren de colaboración

externa especializada. El resto de actividades es posible realizarlas con las

capacidades y dedicación de los recursos de plantilla valorados anteriormente.

Figura 16. Resumen de recursos externos y jornadas dedicadas al PSI por dirección.


____________________________________________________________________________ 104

5.3.3 Cronograma de actividades.

La valoración de recursos internos y externos expuesta anteriormente así como las

jornadas por recurso dedicadas a cada actividad, algunas de ellas paralelas en el

tiempo, permite proponer un plan de fechas de ejecución. Una de las actividades, la

elaboración del procedimiento relativo a los planes de contingencia, se realizará en

paralelo al resto de actividades, una vez concluidos los procedimientos de definición

de los activos críticos con la evaluación y valoración de riesgos y el de clasificación y

tratamiento de la información.

Figura 17. Cronograma de actividades del PSI.


____________________________________________________________________________ 105

El procedimiento de planes de contingencia tiene una correspondencia muy estrecha

con todos los procedimientos operativos y técnicos, por eso precisa ese paralelismo

hasta su elaboración final. Se estima una duración del proyecto de once meses. Con

los periodos de descanso de Navidad y verano el desarrollo del proyecto llevara un

año.

El cronograma de actividades propuesto determina el plazo de desarrollo del PSI en

lo referente a la elaboración y disponibilidad de las metodologías y normativas de

trabajo, paso previo y básico para que toda la organización ponga en práctica, con

esas herramientas, el nuevo modelo de gestión de los procesos, sistemas y servicios

donde la aplicación de los controles de seguridad de la normativa en los ámbitos

operativos y técnicos sea la garantia de ejecución de la nueva política de seguridad

integral de la empresa.

5.3.4 Presupuesto.

La estimación de costes del proyecto se hace en base a los recursos externos y las

jornadas laborales dedicadas al proyecto. Según los datos detallados en el apartado

5.3.2, se estiman un total de 967 jornadas a contratar a una empresa especializada en

la seguridad de la información y la seguridad de las infraestructuras técnicas de

sistemas, red y terminales. En el sector de la seguridad informática, el precio medio

de jornada completa de un consultor se estima en 450 €. Con ese precio de mercado,

el presupuesto para el desarrollo del proyecto, en recursos externos, se estima en

435.150 €.

Además del coste externo, es preciso tener en cuenta el corresponsiente a los recursos

técnicos y operativos internos. Mientras se desarrolla el PSI no se dedican a las

actividades de negocio y, en consecuencia, no producen ingresos. El precio medio de


____________________________________________________________________________ 106

un recurso interno, en los ámbitos operativo y técnico de sistemas, es de 339 €. Se ha

estimado un total de 921 jornadas dedicadas por la plantilla, lo que supone un coste

interno de 312.219 €.

En resumen, el presupuesto para el desarrollo del PSI, con los costes internos y los

recursos externos, se cifra en un total de 747.369 €.

5.3.5 Entregables.

El desarrollo de PSI tiene como resultado un conjunto de entregables que, en

definitiva, son las herramientas que MAKE SERVICES S. L. debe utilizar para

ejecutar el PSI propuesto. La documentación entregable será:

1. La “Política y normativa de seguridad de MAKE SERVICES S. L.”

2. La organización y funciones del Comité de Seguridad.

3. El Plan de Divulgación a los empleados de los nuevos métodos de trabajo en

la empresa para la puesta en práctica de controles de seguridad en los

procesos, sistemas y servicios.

4. Los Procedimientos operativos y técnicos que faciliten a las áreas funcionales

la implantación de los códigos de seguridad en sus ámbitos de actividad. En

resumen, y agrupando por ámbitos operativos y técnicos:

• La definición de los activos críticos de la empresa y la evaluación de

riesgos.

• La clasificación y uso de la información crítica para el negocio.

• El diseño, configuración e instalación de infraestructuras técnicas.

• La gestión de los cambios y control de las incidencias.


____________________________________________________________________________ 107

• La gestión y control de accesos a dependencias y sistemas.

• La calidad en la implantación y puesta en marcha de los servicios internos

y externos.

• La monitorización de acceso y uso de los recursos.

• Los planes de contingencia para la continuidad del servicio y del negocio.

5.4 Cuadro de mando de gestión.

Una vez concluido el desarrollo de los procedimientos y guías que faciliten a la

organización la aplicación operativa de los controles y códigos de seguridad, se hace

preciso evaluar el grado de cumplimiento de la seguridad en los procesos, sistemas y

servicios.

Se trata de medir, de la manera mas sencilla posible, el nivel real de puesta en

práctica del PSI. Como no es posible gestionar lo que no se mide, a continuación se

hace una propuesta de cuadro de mando que, periódicamente y acorde a las

directrices del Comité de Seguridad, deben completar todas las direcciones

funcionales.

El cuadro de mando hace referencia a todos los controles y códigos de seguridad y

las direcciones implicadas en su gestión y/o cumplimentación. Las direcciones

responsables de cada procedimiento serán las encargadas de valorar el grado de

implantación de los controles en su área funcional y en el resto de direcciones.

Se expone, como ejemplo, el modelo de cuadro de mando para uno de los controles,

el relacionado con los activos de información. El mismo modelo deberá extenderse a


____________________________________________________________________________ 108

todos los controles de seguridad. El Comité de Seguridad evaluará, periódicamente,

la situación de cada uno de los controles en las áreas funcionales. El objetivo es poner

una fecha límite para la puesta en práctica de todos los controles de seguridad de la

normativa.

Figura 18. Ejemplo de cuadro de mando de gestión de seguridad.

El cuadro de mando propuesto facilitará al Comité de Seguridad la medida del grado

de implantación de la normativa de seguridad de una forma rápida y sencilla.


____________________________________________________________________________ 109

Capítulo 6 Conclusiones

Tras haber realizado el correspondiente análisis de la situación de seguridad en la

que se encontraba la empresa, haber diagnosticado las amenazas, riesgos y

vulnerabilidades a los que dicha empresa se exponía y haber propuesto un plan de

seguridad para erradicar, en la medida de lo posible, cualquier situación

desaconsejable que entorpezca el buen funcionamiento de la actividad empresarial,

se puede concluir que, una vez elaborado y puesto en marcha el plan de acción

propuesto, hay muchos aspectos organizativos y funcionales en los que las empresas,

del tipo y magnitud que sean, deben poner un énfasis mucho mayor, en lo que a la

seguridad de la información se refiere, y tener en consideración una serie de políticas

de control que muchas veces se creen innecesarias.

Los aspectos y consideraciones a tener en cuenta para llevar a cabo una política de

seguridad eficaz y eficiente, deben basarse en las siguientes premisas:

1. Implicar y concienciar a la alta dirección, al igual que al resto de empleados de

una organización, de la importancia de la seguridad informática para el buen

funcionamiento del negocio. Muchas veces se precisa de mucho esfuerzo y dinero

para lograr esta concienciación pero, sin lugar a duda, toda inversión realizada en

adoptar medidas preventivas, por pequeñas que éstas sean, nunca es suficiente si

se analizan las posibles variantes, por extrañas y remotas que sean, en las que

puede verse envuelta una empresa tras una situación adversa que lleve a una

situación de caos en la organización.


____________________________________________________________________________ 110

2. Ser conscientes de que las técnicas de ataque informático han evolucionado al

mismo ritmo que lo han hecho las tecnologías. Se debe estar preparado ante

posibles ataques que hace pocos años se creían imposibles.

3. Saber cuáles son los riesgos y amenazas que pueden afectar a una organización,

así como las vulnerabilidades, tanto hardware como software, que presenta dicha

organización.

4. Debe asegurarse la confidencialidad, integridad y disponibilidad de la

información, así como preservar la intimidad de los individuos tal y como se

recoge en la Ley Orgánica de Protección de Datos de carácter personal.

5. La elaboración de un plan de contingencia y continuidad del negocio es

imprescindible para garantizar la actividad empresarial y asegurar el servicio a

los clientes en caso de catástrofe.

En definitiva, proteger los activos críticos de la empresa y, entre ellos, la información

clasificada, del tipo, formato y soporte donde resida, es un requisito del negocio, un

imperativo ético y legal y, siempre, una obligación de servicio al cliente.


____________________________________________________________________________ 111

Parte III ANEXOS


____________________________________________________________________________ 112

ANEXO I POLÍTICAS Y NORMATIVAS DE SEGURIDAD

El contenido del documento ha de contemplar los siguientes apartados:

• Introducción.

Objetivos.

Ambitos de aplicación.

Vigencia.

• Definición de activos críticos.

Descripción.

Evaluación de riesgos.

Metodología de análisis de riesgos.

• Organización y funciones de seguridad

Misión.

Descripción de funciones y actividades.

Órganos de gestión:

o Comité de Dirección.

o Comité de seguridad.

• Normativas de seguridad.

Objetivos.


____________________________________________________________________________ 113

Ámbitos de aplicación.

Obligaciones de las áreas.

• Descripción de los controles de seguridad en los ámbitos de:

Organización:

o Obligaciones del personal.

o Identificación de empleados.

Activos críticos:

o Dependencias y oficinas.

Protección perimetral e interna.

Infraestructuras técnicas de sistemas y redes.

Configuración de plataformas hardware y software.

o Información.

Clasificación y uso de documentación.

Accesos a dependencias, oficinas, infraestructuras e información:

o Controles de identificación y autenticación.

o Registro y monitorización de uso.

Productos y servicios internos y a clientes.

o Administración y soporte de infraestructuras técnicas.

o Desarrollo y mantenimiento de sistemas.

Contingencias y continuidad de negocio.

o Copias de respaldo y recuperación de sistemas y datos.

o Planes de contingencia.


____________________________________________________________________________ 114

Legislación.

o Protección de datos personales.

o Licencias de uso productos y servicios.

o Propiedad intelectual.

• Descripción general de los “Procedimientos y guías de seguridad” en los

ámbitos de:

Gestión: procesos y actividades.

Operación: configuración, soporte y administración de sistemas y redes y

plataformas técnicas asociadas.


____________________________________________________________________________ 115

ANEXO II PROCEDIMIENTOS Y GUÍAS DE SEGURIDAD

Los documentos establecerán los pasos necesarios para realizar una determinada

tarea con el objetivo de cumplir con uno o varios de los controles establecidos en el

documento “Políticas y normativas de seguridad”. Los procedimientos y guías son

ejecutados por personas de la organización y deben dejar evidencias de su

cumplimiento para, en su caso, poder ser auditados. Tendrán un modelo de formato

único con los siguientes apartados:

• Introducción.

• Objetivos.

• Definición de activos y elementos básicos implicados.

Inventario de procesos, sistemas, terminales e información.

Controles aplicables de la normativa de seguridad.

• Actividades y operativa para el cumplimiernto de los controles de seguridad.

• Responsabilidades directas.

• Relaciones con otros procedimientos y guías.

• Fechas de aprobación, vigencia y actualización del documento.


____________________________________________________________________________ 116

ANEXO III BIBLIOGRAFÍA

[SANC07] “La seguridad corporativa, nuevos retos nuevas exigencias.”

Manuel Sánchez Gómez-Melero.

2007 “Biblioteca de Seguridad” E. T. Estudios Técnicos, S.A.

[INTE06] “Guía para proteger la red WIFI en la empresa.”

2006 Instituto Nacional de Tecnologías de la Comunicación.

[COMP06] “Soluciones de vanguardia adaptadas al negocio: claves

tecnológicas y claves de éxito.”

Computing REDES&TELECOM.

2006 VNU Business publications España.

[CISC06] “Seguridad en la red” Cisco System.

Cisco System.

2006 VNU Business publications España.

[ASEN06] “Seguridad en Internet.”

Gonzalo Asensio.

2006 Ediciones Nowtilus, S. L.

[ALPE04] “Seguridad informática para empresas y particulares.”

Gonzalo Álvarez Marañón, Pedro Pablo Pérez García.

2004 McGraw-Hill / Interamericana de España S.A.U.

[GCLS03] “La protección de datos personales” en entornos Microsoft.

G. Gallo, I. Coello de Portugal, F. Larrondo, H. Sánchez.

2003 Microsoft Ibérica S.L.


____________________________________________________________________________ 117

[JOHN99] “Guide to High Availability.”

Jeannie Johnstone Kobert.

1999 Sun Microsystems, Inc.

[BIAL99] “Solaris Guide for Windows NT Administrators.”

Tom Bialaski.

1999 Sun Microsystems, Inc.

[ANAY97] “Construcción de una INTRANET corporativa.”

1997 Ediciones Anaya Multimedia, S.A.

[WYGA96] “Clusters for High Availability.”

Peter S. Wygant

1996 Hewlett-Packard Company


____________________________________________________________________________ 118

ANEXO IV RECURSOS Y VALORACIÓN ECONÓMICA

Para el desarrollo del PFC se han utilizado los siguientes recursos:

• El ordenador portátil Fujitsu-Siemens Modelo Amilo M1425 con Sistema

Operativo Microsoft Windows XP.

• El producto Microsoft Office 2003 (Word, Excel y Powerpoint).

• El servicio ADSL de conexión y acceso a Internet.

• La plantilla (Microsoft Office Word) de presentación de PFCs suministrado por la

UPCO-ICAI.

• La bibliografía detallada en el documento y conversaciones con los compañeros

con experiencia en la realización y presentación del PFC.

• Los conocimientos adquiridos en la carrera y el tiempo de lectura, consultas,

elaboración de borradores y documento final del PFC.

• El servicio de impresión y encuadernación.

Figura 19. Detalle de los recursos dedicados y su valoración económica.

escuela tÉcnica superior de ingenierÍa (icai) · lograr la implantación del plan de seguridad en...

Documents