gap analysis: avaluació de les mesures de seguretat a implantar

288
20/09/2012 © Altran 2012 Gap Analysis: Avaluació de les mesures de seguretat a implantar Consultoría de seguridad para la adecuación al Esquema Nacional de Seguridad

Upload: duongthu

Post on 04-Feb-2017

221 views

Category:

Documents


0 download

TRANSCRIPT

Page 1: Gap Analysis: Avaluació de les mesures de seguretat a implantar

20/09/2012 © Altran 2012

Gap Analysis: Avaluació de les mesuresde seguretat a implantar

Consultoría de seguridad para la adecuación al Esquema Nacional de Seguridad

Page 2: Gap Analysis: Avaluació de les mesures de seguretat a implantar

Tabla de contenidos1 Análisis de las medidas de seguridad ya implantadas 4

1.1 Esquema Nacional de Seguridad (ENS). Anexo II..................................................41.2 ISO 27001 / ISO 20000 / BS 25999............................................................................7

1.3 Análisis de riesgos....................................................................................................91.3.1 Marco organizativo [ORG].................................................................................................................9

1.3.2 Marco operacional [OP]...................................................................................................................12

1.3.3 Medidas de Protección [MP]............................................................................................................24

2 Medidas de seguridad a implantar: determinación del GAP entre la situación deseada y la situación actual 40

2.1 GAP con la norma ISO / IEC 27002:2005...............................................................402.1.1 Base.................................................................................................................................................40

2.1.2 [SEG] Seguridad..............................................................................................................................42

2.1.3 [EXP] Explotación............................................................................................................................43

2.1.4 [SIS] Sistemas.................................................................................................................................44

2.1.5 [DWH] DataWareHouse...................................................................................................................45

2.1.6 [RAI] Recursos, Aprendizaje e Investigación..................................................................................46

2.1.7 [RRH] Recursos Humanos..............................................................................................................47

2.1.8 [PEC] Planificación Económica.......................................................................................................48

2.1.9 [JUR] Jurídico..................................................................................................................................49

2.1.10 [ORG] Organización........................................................................................................................50

2.1.11 [CDO] Centros de Docencia............................................................................................................51

2.1.12 [ITI] Investigación, Transferencia e Innovación...............................................................................52

2.1.13 [INF] Infraestructuras.......................................................................................................................53

2.1.14 [REC] Rectorado, Gerencia y Secretaría General...........................................................................54

2.2 GAP con el Esquema Nacional de Seguridad.......................................................562.2.1 Base.................................................................................................................................................56

[SEG] Seguridad..............................................................................................................................................58

2.2.2 [EXP] Explotación............................................................................................................................60

2.2.3 [SIS] Sistemas.................................................................................................................................62

2.2.4 [DWH] DataWareHouse...................................................................................................................64

2.2.5 [RAI] Recursos, Aprendizaje e Investigación..................................................................................66

2.2.6 [RRH] Recursos Humanos..............................................................................................................68

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 16/11/2011 2/204

Page 3: Gap Analysis: Avaluació de les mesures de seguretat a implantar

2.2.7 [PEC] Planificación Económica.......................................................................................................70

2.2.8 [JUR] Jurídico..................................................................................................................................72

2.2.9 [ORG] Organización........................................................................................................................74

2.2.10 [CDO] Centros de Docencia............................................................................................................76

2.2.11 [ITI] Investigación, Transferencia e Innovación...............................................................................78

2.2.12 [INF] Infraestructuras.......................................................................................................................80

2.2.13 [REC] Rectorado, Gerencia y Secretaría General...........................................................................82

3 Anexos 843.1 Valoración PILAR 27002:2005................................................................................843.2 Valoración PILAR ENS............................................................................................164

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 3/204

Page 4: Gap Analysis: Avaluació de les mesures de seguretat a implantar

1 Análisis de las medidas de seguridad ya implantadasEn la Universidad hay toda una serie de medidas de seguridad, tanto activas como pasivas,

que hacen que haya una confianza en verso la entidad y una facilidad para los trabajadores

por hacer su trabajo de forma eficiente .

1.1 Esquema Nacional de Seguridad (ENS). Anexo IIEn el Esquema Nacional de Seguridad (RD 3/2010) se marcan 75 medidas de seguridad a

controlar en tres marcos bien diferenciados (Organizativo, Operacional y de Protección),

según la Administración Pública y según el carácter de la información a asegurar. Las que la

Universidad cumple, según se ha podido observar en las entrevistas de la auditoría y alguna

visita presencial son:

Org.4 Proceso de autorización. Los trabajadores tienen clara la estructura jerárquica en

caso de peticiones de autorización de tareas.

Op.pl.2 Arquitectura de seguridad. En donde la Universidad dispone de una base de

datos (Wiki) Donde está toda la documentación de los diversos sistemas, fotografías del

CPD, sistemas de comunicación, inventario de equipos, ...

Op.acc.1 Identificación. En la Universidad, en el acceso por la red no se utilizan usuarios

genéricos y es relativamente sencillo ver los derechos de cada usuario dentro de cada

sistema y se hace una consulta a un LDAP centralizado, mantenido por RRHH para ver si un

usuario está activo o no.

Op.acc.2 Requisitos de acceso. Todos los recursos del sistema están bien separados a

otra red o bien con gestión de acceso mediante usuario / contraseña, consultando el del

LDAP.

Op.acc.4 Proceso de gestión de derechos de acceso. El acceso a los registros o

sistemas está determinado por la ley del mínimo acceso necesario. Todos los recursos

tienen control de acceso por usuario, el cual se consulta su estado al LDAP. Sólo unos

usuarios administradores pueden facilitar el acceso a otros usuarios.

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 4/204

Page 5: Gap Analysis: Avaluació de les mesures de seguretat a implantar

Op.exp.4 Mantenimiento. Hay contrato de mantenimiento según normativa vigente en

donde constan compromisos como el mantenimiento de aplicativos contratados, tiempo de

respuesta en caso de fallo, ...

Op.exp.6 Protección frente a código dañino. Hay antivirus distribuido a todos los equipos,

gestionado de forma centralizada con una consola. Hay control de antivirus perimetral en el

correo electrónico.

Op.exp.11 Protección de claves criptográficas. En la Universidad disponen de un HSM

(Hardware Security Module), Equipamiento físico diseñado específicamente para la tarea de

generación, almacenamiento y protección de las claves criptográficas empleado por los

certificados SSL y por la generación de los certificados digitales personales.

Mp.if.1 El CPD de la Universidad se encuentra separado del resto de la organización por

puertas que se abren sólo con tarjeta de acceso. El acceso está limitado a ciertas personas

de la organización y un par de tarjetas extra asignadas a empresas que prestan algún

servicio específico.

Mp.if.4 Energía eléctrica. Se dispone de un Sistema de Alimentación Ininterrumpida (SAI)

principal en la sala del CPD. Todos los edificios nuevos disponen de un SAI propio. Algunos

laboratorios, por motivos de la criticidad del proyecto disponen de un SAI propio para cubrir

a todos los equipos que necesitan para funcionar y llevar adelante el proyecto de

investigación. El contrato con el proveedor está basado en un concurso en donde se exige el

suministro continuo según subasta eléctrica.

Mp.if.5 Protección frente incendios. Hay un sistema de extinción de incendios en el CPD

basado en la normativa vigente especial para extinguir incendios de equipamiento eléctrico.

Mp.com.1 Perímetro seguro. En la Universidad se dispone de dos líneas de cortafuegos,

las dos con redundancia. Los dispositivos son del mismo fabricante (Juniper) pero modelos

diferentes con sistemas operativos diferentes y funcionalidades ligeramente diferentes. A

efectos de configuración se pueden considerar dos dispositivos totalmente diferentes pues

su sistema operativo es diferente.

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 5/204

Page 6: Gap Analysis: Avaluació de les mesures de seguretat a implantar

Mp.com.4 Segregación de redes. La Universidad dispone de redes segmentadas

físicamente por cortafuegos en donde cada red está pensada para alojar un tipo específico

de servicios (DMZ, MZ, Interna, VPN, ...).

Mp.si.5 Borrado y destrucción. Para destrucción de información que pueda considerarse

sensible en papel se usan destructoras de documentos. Si se ha de borrar o dar de baja un

equipo de microinformática, hay un procedimiento, contratado con una empresa externa

certificada para estas tareas, que es quien lo realiza, después de dar de baja del equipo del

inventario interno.

Mp.info.5 Sello de tiempo. En la Universidad se utiliza el sellado de tiempo en las firmas

electrónicas ya la información que se pueda considerar importante.

Mp.s.1 Protección del correo electrónico. En la Universidad hay dispositivos físicos

diseñados exclusivamente para la protección del contenido del correo electrónico. También

ha contratado un servicio externo para la gestión, detección y bloqueo del correo no

deseado (SPAM). En la Universidad existe una normativa de uso interno sobre la utilización

del correo corporativo donde se marca el uso del mismo para temas de la Organización y no

para temas personales.

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 6/204

Page 7: Gap Analysis: Avaluació de les mesures de seguretat a implantar

1.2 ISO 27001 / ISO 20000 / BS 25999 Los diversos puntos estipulados de la ISO 27001 marcan la necesidad de unos controles

establecidos en diversos sectores (técnico, administrativo, procedimental, ...) para que se

considere este control como satisfactorio y, por tanto, adecuada. A continuación listamos los

controles de la ISO 27001:2005 que, según las indicaciones de las entrevistas, cumple la

Universidad:

6.1.5 Acuerdos de confidencialidad. Al existir la ley de contratación pública y las leyes a

las que están sometidos los diversos trabajadores, éstos tienen un acuerdo de

confidencialidad respecto a su trabajo. También hay acuerdos puntuales de confidencialidad

con las empresas terceras que tienen, por la razón que sea, la posibilidad de acceder a

información sensible.

8.1.3 Términos y condiciones de contratación. En todo concurso de contratación pública,

en el pliego, queda bien claro las condiciones de trabajo, el objetivo, lo que se necesita, las

responsabilidades de todas las partes y la relación con la información sensible.

8.2.3 Proceso disciplinario. Existe un proceso disciplinario que afecta a todos los

trabajadores de la Universidad y, en el caso de que realizara alguna falta, aplicarlo.

9.1.1 Perímetro de seguridad física. El CPD y salas importantes están cerradas con

cerradura electrónica y para acceder hay que tener la autorización pertinente.

9.1.3 Seguridad de oficinas, despachos e instalaciones. Se tiene en cuenta la legislación

vigente para la adecuación de las oficinas en materia de salud y seguridad.

9.1.5 Trabajo en áreas seguras. En los laboratorios que trabajan con productos

peligrosos existe, por norma, un área segura. Ningún investigador puede entrar sin

supervisión.

9.2.2 Instalaciones de suministro. Todos los nuevos edificios disponen de SAI propio, Los

equipos críticos, en la medida de las posibilidades, se instalan con fuente redundante,

existen rutas alternativas de comunicación en caso de fallo de la principal.

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 7/204

Page 8: Gap Analysis: Avaluació de les mesures de seguretat a implantar

9.2.4 Mantenimiento de los equipos. Los equipos se mantienen según recomendaciones

del fabricante.

9.2.6 Reutilización o retirada segura de equipos. Los equipos que puedan contener

información sensible son borrados siguiendo un procedimiento que asegura el borrado total

de los datos.

10.6.1 Controles de red. Las responsabilidades del mantenimiento de las redes están

separadas respecto a la responsabilidad del mantenimiento de operaciones de los equipos

informáticos. En lugares críticos hay registro (log) de las actividades.

10.7.4 Seguridad de la documentación del sistema. Toda la documentación se encuentra

en un wiki con medidas de seguridad adecuados (Acceso por usuario y contraseña,

información guardada cifrada,...)

10.10.6 Sincronización del reloj. La Universidad dispone de un servidor de tiempo propio,

sincronizado con un servidor externo. Los servidores se configuran para sincronizarse con el

propio.

11.2.1 Registro de usuario. Cada usuario tiene un ID único y hay un procedimiento y

responsables marcados para asignar o quitar los privilegios de acceso de un usuario.

11.4.5 Segregación de redes. Las redes de educación, acceso remoto, gestión,... están

separadas físicamente y los accesos entre ellas controlados mediante una doble corona de

cortafuegos.

11.4.6 Control de la conexión de red. Las redes públicas tienen los puertos de

comunicación controlados y no se pueden hacer ciertas conexiones. Las redes corporativas

identifican equipo y usuario.

11.5.2 Identificación y autenticación de usuario. Cada usuario dispone de un ID de red

único e identificativo.

12.3.2 Gestión de claves. La Universidad dispone de un HSM que está especialmente

diseñado para el trabajo que pide este control.

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 8/204

Page 9: Gap Analysis: Avaluació de les mesures de seguretat a implantar

12.5.5 Externalización del desarrollo de software. La Universidad, en el caso de haber

externalizado algún desarrollo, éste sigue con todos los requisitos contractuales y de

calidad, aparte de la garantía de acceso de información que marca este control.

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 9/204

Page 10: Gap Analysis: Avaluació de les mesures de seguretat a implantar

1.3 Análisis de riesgos

Todo análisis de riesgos sirve a un organismo hacerse una idea aproximada y visual de por

dónde pueden venir los problemas a partir de posibles incidentes que pueden ocurrir. Estos

riesgos se analizan mediante el impacto que puede tener en el organismo que este hecho se

convierta en realidad y la probabilidad de que esto ocurra.

En un análisis de riesgos se muestran unas acciones preventivas que deben ayudar a

minimizar tanto el impacto como la probabilidad de su ocurrencia, pero también indica unas

acciones correctivas a tener en cuenta por si este evento ha tenido lugar, pasos a seguir

para minimizar el impacto lo máximo posible.

A continuación mostramos un análisis de riesgos separado por cada Marco de medidas de

seguridad indicado por la ENS.

1.3.1 Marco organizativo [ORG]

1.3.1.1 Política de Seguridad [org.1]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Falta de interés de los trabajadores en aplicar una política de seguridad que consideran que les puede hacer trabajar más lentamente

Grave (3) Normal (2) Serio Apoyo desde Dirección en la implantación de la Política de Seguridad. Implicación en la gente para que haga suya y pueda participar

Insistencia por parte de los implicados en que los trabajadores apliquen la política de seguridad.

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 10/204

Page 11: Gap Analysis: Avaluació de les mesures de seguretat a implantar

1.3.1.2 Normativa de Seguridad [org.2]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Falta de interés de los trabajadores en aplicar una normativa de seguridad que consideran que les puede hacer trabajar más lentamente

Grave (3) Normal (2) Serio Apoyo desde Dirección en la implantación de la Normativa de Seguridad. Implicación en la gente para que haga suya y pueda participar

Insistencia por parte de los implicados en que los trabajadores apliquen la normativa de seguridad.

1.3.1.3 Procedimientos de Seguridad [org.3]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Necesidad de ejecutar un procedimiento no validado o incumplido

Medio (2) Normal (2) Vigilar Validar los procedimientos antes de publicarlos.

Ejecutar las tareas que se consideren necesarias y registrar lo que se hace y lo que genera. Estudio posterior de la idoneidad del que se ha hecho.

1.3.1.4 Proceso de autorización [org.4]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Responsable de autorización no disponible

Grave (3) Normal (2) Serio Documentar un personal autorizado a validar en caso de que el autorizador principal no esté disponible por causas de fuerza mayor.

Buscar una persona más o menos válida para autorizar de forma lo más formal posible el cambio a hacer. Registrar quién lo hace y lo que se hace.

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 11/204

Page 12: Gap Analysis: Avaluació de les mesures de seguretat a implantar

1.3.2 Marco operacional [OP]

1.3.2.1 Planificación [op.pl]

1.3.2.1.1 Análisis de Riesgos [op.pl.1]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Información contenida en el análisis de riesgos no actualizada.

Grave (3) Normal (2) Serio Designar un responsable del mantenimiento del análisis de riesgos y hacer revisiones periódicas de la última actualización

Realizar un cuestionario a los responsables de departamento para que aporten la información actualizada.

2 Activos y amenazas peor valorados

Medio (2) Baja (1) Vigilar Planificar unas revisiones del impacto y un valor de riesgo residual a alcanzar. Realizar acciones de mejora para alcanzar este valor.

Valorar correctamente el activo o la amenaza y realizar una acción de mejorar para valorarlo correctamente.

1.3.2.1.2 Arquitectura de Seguridad [op.pl.2]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Información contenida en la documentación no actualizada.

Grave (3) Normal (2) Serio Designar un responsable del mantenimiento de la documentación.

Realizar un análisis de la red para actualizar la información.

2 Documentación modificada por alguien no autorizado

Grave (3) Baja (1) Vigilar Situar la documentación en una ubicación de red que sólo personal autorizado pueda acceder

Realizado un análisis para ver quién ha modificado la información. Revisar seguridad del acceso de la documentación

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 12/204

Page 13: Gap Analysis: Avaluació de les mesures de seguretat a implantar

1.3.2.1.3 Adquisición de Nuevos Componentes [op.pl.3]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 El componente adquirido tiene una grave vulnerabilidad

Grave (3) Normal (2) Serio Incluir en el Área de Seguridad en la toma de decisiones de componentes a adquirir.

Estudiar los cambios de configuración para ofrecer un compromiso de seguridad si se acaba adquiriendo el componente. Estudiar la posibilidad de devolverlo o no implantarlo.

2 Impacto mayor al esperado en la red

Grave (3) Baja (1) Vigilar Incluir en el Área de Seguridad en la toma de decisiones de componentes a adquirir.

Adaptar la red lo justo, ocasionando los mínimos problemas, para poner en producción el componente y mirar su sustitución.

1.3.2.1.4 Dimensionamiento / Gestión de Capacidades [op.pl.4]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Mal dimensionamiento. Saturación del equipo.

Grave (3) Normal (2) Serio Incluir en el Área de Seguridad en la toma de decisiones de componentes a adquirir.

Estudiar cambios en la configuración para retrasar la saturación. Estudiar la adquisición de un equipamiento nuevo.

1.3.2.1.5 Componentes Certificados [op.pl.5]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Componente adquirido para proteger un sistema de información de tipo alto no evaluado por normativa europea

Grave (3) Baja (1) Vigilar En el pliego de concurso se especificarán las normativas mínimas que deben cumplir para proteger un sistema de información con datos

Devolver el producto y verificar que lo que se adquiera cumple las normativas específicas.

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 13/204

Page 14: Gap Analysis: Avaluació de les mesures de seguretat a implantar

de carácter alto.

1.3.2.2 Control de Acceso [op.acc]

1.3.2.2.1 Identificación [op.acc.1]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Un usuario genérico borra datos importantes o causa un incidente de seguridad

Grave (3) Baja (1) Vigilar Inhabilitar o borrar todos los usuarios genéricos. Revisar que todos los usuarios genéricos tienen un responsable asignado. Configurar un sistema DLP (Data Loss Prevention) en la red.

Inhabilitar el usuario causante del incidente. Informar a responsables y revisar las políticas de usuarios genéricos. Registrarlo como incidencia de seguridad.

2 Un usuario accede a un recurso de red restringido

Grave (3) Baja (1) Vigilar Realizar auditorías periódicas de los permisos de los usuarios

Corregir los derechos de acceso del usuario. Revisar los derechos del recurso accedido. Registrarlo como incidencia de seguridad.

1.3.2.2.2 Requisitos de acceso [op.acc.2]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 El sistema centralizado de gestión de acceso dejar de estar disponible.

Grave (3) Baja (1) Vigilar Realizar una copia de seguridad íntegra del sistema y prueba de restauración de la misma.

Los usuarios podrán seguir entrando, no se podrá dar una nueva alta. Se podría abrir con llave normal.

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 14/204

Page 15: Gap Analysis: Avaluació de les mesures de seguretat a implantar

1.3.2.2.3 Segregación de funciones y tareas [op.acc.3]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Solapamiento de tareas entre compañeros de mismo departamento o tareas que dejan de hacerse.

Grave (3) Baja (1) Vigilar Realizar el esquema de segregación de tareas y marcar quién debe hacer qué. Mantener un catálogo de puesto de trabajo actualizado.

Vigilar que no haya habido solapamiento y borrado de información. Que un responsable designe las tareas a realizar por cada uno de los implicados. Documentar la segregación de tareas.

1.3.2.2.4 Proceso de gestión de derechos de acceso [op.acc.4]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Se falsifica la firma del responsable para dar un acceso extra a un usuario.

Grave (3) Baja (1) Vigilar Establecer un método de firma digital con la característica de no repudio para verificar quién ha solicitado el acceso.

Registrarlo como incidente de seguridad. Retirar los accesos facilitados. Revisar la política de asignación de recursos y los interlocutores. Realizar una auditoría general para verificar otros usuarios.

2 Una persona no autorizada pide añadir o retirar un acceso a un usuario

Medio (2) Baja (1) Vigilar Tener bien listados los interlocutores válidos para hacer este tipo de peticiones.

Restaurar o quitar los accesos.

1.3.2.2.5 Mecanismo de autenticación [op.acc.5]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 15/204

Page 16: Gap Analysis: Avaluació de les mesures de seguretat a implantar

1 Suplantación de identidad.

Grave (3) Baja (1) Vigilar Establecer una política más segura de creación y distribución de usuario y contraseña.

Registrarlo como un incidente de seguridad. Forzar un cambio de contraseña al usuario.

1.3.2.2.6 Acceso local (local logon) [op.acc.6]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Realizar tareas de desarrollo / mantenimiento en entorno de producción pensando que está en entorno de desarrollo

Grave (3) Baja (1) Vigilar Forzar un texto informativo en la pantalla de acceso.

Forzar palabras de paso diferentes.

Forzar un texto informativo en la pantalla de acceso.

Forzar palabras de paso diferentes.

1.3.2.2.7 Acceso remoto (remote login) [op.acc.7]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Un usuario intenta realizar una tarea que no puede hacerlo remotamente.

Bajo (1) Baja (1) Vigilar Informar, mediante un catálogo de servicios remotos, lo que se puede hacer.

Informar, mediante un catálogo de servicios remotos, lo que se puede hacer.

1.3.2.3 Explotación [op.exp]

1.3.2.3.1 Inventario de activos [op.exp.1]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Información contenida en el

Grave (3) Normal (2) Serio Designar un responsable del

Realizar un cuestionario a los responsables de

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 16/204

Page 17: Gap Analysis: Avaluació de les mesures de seguretat a implantar

inventario de activos no actualizada.

mantenimiento del inventario de activos y hacer revisiones periódicas desde la última actualización

departamento para que aporten la información actualizada.

2 Activos mal categorizados o en departamentos / dominios incorrectos

Medio (2) Baja (1) Vigilar Planificar unas revisiones periódicas del inventario.

Realizar un cuestionario a los responsables de departamento para que aporten la información actualizada.

1.3.2.3.2 Configuración de seguridad [op.exp.2]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Penetración en el sistema mediante un usuario estándar

Grave (3) Baja (1) Serio Eliminar los usuarios por defecto o cambiar las contraseñas

Registrarlo como un incidente de seguridad. Cambiar la contraseña de los usuarios con credenciales

2 Penetración en el sistema mediante una vulnerabilidad conocida

Grave (3) Baja (1) Serio Revisar periódicamente las notificaciones de los fabricantes sobre sus productos y realizar actualizaciones programadas.

Registrarlo como un incidente de seguridad. Actualizar sistemas afectados. Revisar configuración de seguridad.

1.3.2.3.3 Gestión de la configuración [op.exp.3]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Se realiza un cambio en donde no todo el mundo está informado.

Medio (2) Baja (1) Vigilar Notificar con antelación, a los diversos responsables establecidos, el cambio que se hará y cómo puede afectar

Apuntarse la dirección de la persona que no ha sido notificada y añadirla para que sea notificada en las próximas intervenciones.

2 Un cambio no va Grave (3) Baja (1) Vigilar Siempre prever una Restaurar el sistema lo

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 17/204

Page 18: Gap Analysis: Avaluació de les mesures de seguretat a implantar

como se deseaba y la tirada atrás no estaba prevista

opción de volver atrás y una batería de pruebas se haya hecho el cambio o se haya tirado atrás

antes posible. Realizar batería de pruebas para verificar que el sistema ha sido restaurado correctamente.

1.3.2.3.4 Mantenimiento [op.exp.4]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Acceso a datos reales que están en los entornos de pruebas y que sean publicadas

Grave (3) Baja (1) Vigilar Borrar los datos reales del entorno de desarrollo.

Registrarlo como incidente de seguridad. Revisar el usuario que ha accedido, tomar acciones disciplinarias. Borrar los datos reales del entorno de desarrollo.

1.3.2.3.5 Gestión de cambios [op.exp.5]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Se realiza un cambio en donde no todo el mundo está informado.

Medio (2) Baja (1) Vigilar Notificar con antelación, a los diversos responsables establecidos, el cambio que se hará y cómo puede afectar

Apuntarse la dirección de la persona que no ha sido notificada y añadirla para que sea notificada en las próximas intervenciones.

2 Un cambio no va como se deseaba y la tirada atrás no estaba prevista

Grave (3) Baja (1) Vigilar Siempre prever una opción de volver atrás y una batería de pruebas se haya hecho el cambio o se haya tirado atrás

Restaurar el sistema lo antes posible. Realizar batería de pruebas para verificar que el sistema ha sido restaurado correctamente.

3 No se actualiza el inventario de activos o procedimientos afectados.

Grave (3) Normal (2) Serio Que el responsable del mantenimiento del inventario de activos reciba los correos de

Realizar una revisión del inventario de activos o procedimientos afectados con los responsables para

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 18/204

Page 19: Gap Analysis: Avaluació de les mesures de seguretat a implantar

notificaciones de gestión del cambio.

actualizar lo que haga falta.

1.3.2.3.6 Protección frente a código dañino [op.exp.6]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Caída del sistema antispam

Grave (3) Baja (1) Vigilar Sistema alternativo de control de correo no deseado.

Ejecutar la política de restauración del servicio.

2 Fallo en la detección de un virus. Infección de un equipo

Grave (3) Baja (1) Vigilar Mantener una política de actualización de los antivirus

Aislar el equipo de la red y proceder a su limpieza en un entorno controlado. Registrarlo como un incidente de seguridad.

1.3.2.3.7 Gestión de incidencias [op.exp.7]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Repetición periódica de incidentes

Grave (3) Normal (2) Serio Estudio de las tipologías de incidentes para prever y actuar de formar preventiva actualizando o haciendo los cambios que se consideren en los sistemas.

Seguir solventar las incidencias a medida que van apareciendo, sin planificar una solución eficaz.

1.3.2.3.8 Registro de la actividad de los usuarios [op.exp.8]

ID Riesgo Impacto Probabilidad Factor Plan de contingencia

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 19/204

Page 20: Gap Analysis: Avaluació de les mesures de seguretat a implantar

Riesgo Acciones Preventivas

Acciones correctivas

1 Imposibilidad de entregar registros de una aplicación desde la que se ha efectuado una acción no permitida

Grave (3) Normal (2) Serio Almacenar los registros en unos servidores centralizados destinados a esta tarea.

Registrarlo como un incidente de seguridad. Tratar de hacer un seguimiento desde otros entornos (acceso a dominio, actividad de red,..)

1.3.2.3.9 Registro de la gestión de incidencias [op.exp.9]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Imposibilidad de entregar registros de una aplicación desde la que se ha efectuado una acción no permitida

Grave (3) Normal (2) Serio Almacenar los registros en unos servidores centralizados destinados a esta tarea.

Registrarlo como un incidente de seguridad. Tratar de hacer un seguimiento desde otros entornos (acceso a dominio, actividad de red,..)

2 No aceptación de una información facilitada como prueba

Grave (3) Baja (1) Vigilar Formar a una persona para conocer los procedimientos de recopilación de evidencias.

Formar a una persona para conocer los procedimientos de recopilación de evidencias.

1.3.2.3.10 Protección de registros de actividades [op.exp.10]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Modificación de registros de actividades por parte de alguien no autorizado

Grave (3) Baja (1) Vigilar Listado muy controlado de quién puede acceder a modificar los registros. Si no puede nadie mejor

Registrarse como incidente de seguridad. Revisar los accesos al registro. Revisar los usuarios que pueden acceder.

1.3.2.3.11 Protección de claves criptográficas [op.exp.11]

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 20/204

Page 21: Gap Analysis: Avaluació de les mesures de seguretat a implantar

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Malfuncionamiento del equipo y que el servicio no esté disponible

Grave (3) Baja (1) Vigilar Mantenimiento continuidad del equipo. Inventariado como activo y con un análisis de riesgos específico.

Ejecutar la planificación de restauración del servicio.

1.3.2.4 Servicios Externos [op.ext]

1.3.2.4.1 Contratación y acuerdos de nivel de servicio [op.ext.1]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Que el personal externo no sea tenido en cuenta en un análisis de riesgos.

Grave (3) Baja (1) Vigilar Realizar un análisis de riesgos integral, contando con el personal externo

Actualizar el análisis de riesgos con todo el personal.

1.3.2.4.2 Gestión diaria [op.ext.2]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Que un servicio subcontratado no cumpla con las obligaciones

Medio (2) Normal (2) Serio Seguimiento periódico de las acciones y cumplimiento del proyecto por parte del responsable

Escalado a los responsables y replanificación del proyecto.

2 Cambio de los miembros del equipo del servicio

Medio (2) Normal (2) Serio Notificación de posibilidades de cambios

Sustitución de los perfiles existentes con equivalentes

1.3.2.4.3 Medios alternativos [op.ext.9]

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 21/204

Page 22: Gap Analysis: Avaluació de les mesures de seguretat a implantar

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Degradación del servicio de la Universidad debido a que un servicio externo no puede dar

Grave (3) Baja (1) Vigilar Realizar un plan de continuidad del negocio integral.

Realizar un plan de continuidad del negocio integral.

1.3.2.5 Continuidad del Servicio [op.cont]

1.3.2.5.1 Análisis de impacto [op.cont.1]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Información contenida en el análisis de impacto no actualizada.

Grave (3) Normal (2) Serio Designar un responsable del mantenimiento del análisis de impacto y hacer revisiones periódicas de la última actualización.

Si no ha funcionado o en las pruebas no ha ido bien, re-pensarlo y hacerlo de nuevo.

1.3.2.5.2 Plan de continuidad [op.cont.2]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Descoordinación y pérdida de servicio en caso de alguna catástrofe

Grave (3) Baja (1) Vigilar Realizar un plan de continuidad del negocio y ponerlo a prueba de forma periódica.

Restaurar el servicio lo antes posible, registrar las fallas en la recuperación y puesta en marcha. Realizar un plan de continuidad de negocio con la nueva situación

1.3.2.5.3 Pruebas periódicas [op.cont.3]

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 22/204

Page 23: Gap Analysis: Avaluació de les mesures de seguretat a implantar

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Que no se pueda recuperar el servicio ni realizar una continuidad del negocio

Grave (3) Baja (1) Vigilar Realizar un plan de continuidad del negocio

Restaurar los sistemas y servicios a medida que se pueda. Registrar los problemas. Realizar un plan de continuidad de negocio con la nueva situación.

1.3.2.6 Monitorización del sistema [op.mon]

1.3.2.6.1 Detección de intrusión [op.mon.1]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Existencia de un intruso o de tráfico no autorizado hacia el exterior.

Grave (3) Normal (2) Serio Analizar los registros, establecer pautas de comportamiento autorizadas. Actualizar las firmas de detección.

Registrarlo como un incidente de seguridad. Cambiar las contraseñas administrativas y analizar el alcance de la intrusión. Analizar la afectación en los sistemas comprometidos.

1.3.2.6.2 Sistema de métricas [op.mon.2]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Acceso al panel de control por una persona no autorizada

Medio (2) Baja (1) Vigilar Securizar el acceso del cuadro de mando hacia el exterior y facilitar el acceso sólo a ciertos usuarios previamente autorizados.

Revisar qué usuario a accedido y emprender acciones legales y correctivas del sistema. Registrarlo como un incidente de seguridad

2 Falta de visión estratégica. No se planifican las

Medio (2) Baja (1) Vigilar Realizar una selección de las métricas adecuadas y

Seguir trabajando como se ha venido haciendo siempre, sin una

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 23/204

Page 24: Gap Analysis: Avaluació de les mesures de seguretat a implantar

acciones ni se ve la evolución de las métricas para catalogar y cuantificar las siguientes adquisiciones de componentes

generar unos informes evolutivos que permitan una correcta toma de decisiones por parte de dirección.

información de lo que está haciendo para una mejor toma de decisiones.

1.3.3 Medidas de Protección [MP]

1.3.3.1 Protección de las instalaciones e infraestructuras [mp.if]

1.3.3.1.1 Áreas separadas y con control de acceso [mp.if.1]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Desaparición de equipamiento informático.

Grave (3) Normal (2) Serio Control de acceso efectivo. Verificación de puertas de emergencia cerradas

Registrarlo como un incidente de seguridad. Tomar las acciones correspondientes y revisar los accesos.

1.3.3.1.2 Identificación de las personas [mp.if.2]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Desaparición de equipamiento informático o documentos de la Universidad.

Grave (3) Normal (2) Serio Control de acceso efectivo. Verificación de control de acceso

Registrarlo como un incidente de seguridad. Tomar las acciones correspondientes y revisar los accesos.

1.3.3.1.3 Acondicionamiento de los locales [mp.if.3]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Acciones correctivas

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 24/204

Page 25: Gap Analysis: Avaluació de les mesures de seguretat a implantar

Preventivas

1 Accidente por caída al mismo nivel dentro del CPD.

Grave (3) Baja (1) Vigilar Establecer una política de limpieza del CPD

Según la gravedad del accidente avisar a emergencias (112).

2 Retraso en el cambio de un dispositivo estropeado o que se debe renovar que se encuentra tapado por cables de otros dispositivos

Grave (3) Media (2) Serio Mantener los cables de los armarios ordenantes y que todos pasen por las regatas laterales especialmente diseñadas para esta tarea.

Si se puede, retrasar la intervención hasta que la extracción del dispositivo sea factible. Estudiar la ubicación del dispositivo en otro armario

1.3.3.1.4 Energía eléctrica [mp.if.4]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Fallo de suministro eléctrico

Grave (3) Baja (1) Vigilar Pruebas de carga de los SAIs. Pruebas de carga de los grupos electrógenos de emergencia

Revisar el tiempo de carga de los SAIs y la respuesta del grupo electrógeno. Planificar un apagón controlada de los sistemas no considerados críticos

1.3.3.1.5 Protección frente incendios [mp.if.5]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Incendio en el CPD Grave (3) Baja (1) Vigilar Revisión de los sistemas anti incendios

Revisar si el sistema ha funcionado correctamente. Recuperar el máximo posible de sistemas afectados.

1.3.3.1.6 Protección contra inundaciones [mp.if.6]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Acciones correctivas

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 25/204

Page 26: Gap Analysis: Avaluació de les mesures de seguretat a implantar

Preventivas

1 Entrada de agua al CPD

Grave (3) Baja (1) Vigilar Revisión del estado del sistema de drenaje

Controlar el correcto funcionamiento del sistema de drenaje. Recuperar los sistemas que hayan podido verse afectados.

1.3.3.1.7 Registro de Entrada y Salida de Equipamiento [mp.if.7]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Salida o entrada de un equipamiento que no es el correcto

Grave (3) Baja (1) Serio Control de acceso del equipamiento. Inventario del movimiento de los dispositivos.

Contactar al transportista / proveedor para devolver / recoger el equipo correcto.

1.3.3.1.8 Instalaciones alternativas [mp.if.9]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Caída del CPD principal (incendio grave, afectación grave del edificio, ...)

Grave (3) Baja (1) Vigilar Establecimiento de un plan de continuidad de negocio con un CPD alternativo. Inventariar los servicios más críticos y que estén replicados en el CPD alternativo

Levantar los sistemas según disponibilidad.

1.3.3.2 Gestión del personal [mp.per]

1.3.3.2.1 Caracterización del lugar de trabajo [mp.per.1]

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 26/204

Page 27: Gap Analysis: Avaluació de les mesures de seguretat a implantar

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Un trabajador facilita información de su trabajo. Esta información incluye datos personales o importantes

Grave (3) Baja (1) Vigilar Formar a todo el personal en materia de seguridad de la información.

Investigar el alcance y la importancia de la información facilitada. Tomar medidas correctivas

1.3.3.2.2 Deberes y obligaciones [mp.per.2]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Posibilidad de trabajo que no se haga por qué no está definido el responsable o el trabajo a realizar no está definida

Grave (3) Normal (2) Serio Tener un catálogo de puestos de trabajo bien definido y actualizado.

Identificar las tareas a realizar de la manera más detallada posible

Asignar un responsable lo antes posible y analizar la integración de este trabajo a realizar a un departamento o área de trabajo.

1.3.3.2.3 Concienciación [mp.per.3]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Uso no autorizado de las herramientas de trabajo (equipo, correo, ...)

Grave (3) Baja (1) Vigilar Concienciación activa de la seguridad TIC a los trabajadores.

Análisis de las acciones realizadas. Estudio del alcance de las acciones realizadas.

1.3.3.2.4 Formación [mp.per.4]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Acciones correctivas

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 27/204

Page 28: Gap Analysis: Avaluació de les mesures de seguretat a implantar

Preventivas

1 Desconocimiento de todas las opciones de configuración de un nuevo dispositivo o componente.

Medio (2) Normal (2) Serio Formación completa del dispositivo o componente. Opción a consultar a soporte especializado sobre opciones de configuración.

Contratación de un técnico externo para realizar las tareas necesarias.

1.3.3.2.5 Personal alternativo [mp.per.9]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Personal especializado no disponible

Grave (3) Baja (1) Vigilar Documentación de las acciones que se realizan y proyectos futuros. Formación / explicación a una persona sobre las acciones que se realizan

Revisar la documentación existente para sustituir al personal ausente e ir solventar las incidencias a medida que van surgiendo.

1.3.3.3 Protección de los equipos [mp.eq]

1.3.3.3.1 Puesto de trabajo ordenado [mp.eq.1]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Buscar información en la mesa de un compañero ausente

Medio (2) Baja (1) Vigilar Establecer un formato estándar de ordenación y clasificación de documentación

Invertir tiempo en encontrar la documentación necesaria.

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 28/204

Page 29: Gap Analysis: Avaluació de les mesures de seguretat a implantar

1.3.3.3.2 Bloqueo del puesto de trabajo [mp.eq.2]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Acceso a los sistemas o información por parte de una persona no autorizada al poder acceder al equipo de una persona.

Grave (3) Normal (2) Serio Bloquear el equipo por parte de la persona nada más levantarse del puesto de trabajo.

Registrarlo como una incidencia de seguridad. Investigar el nivel de afectación y los sistemas comprometidos. Planificar un cambio de palabras de paso.

1.3.3.3.3 Protección de equipos portátiles [mp.eq.3]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Robo / pérdida de un equipo portátil de un directivo, investigador, vicerrector o personalidad de la Universidad que pueda tener información sensible

Grave (3) Baja (1) Vigilar Cifrado de los datos. El ladrón o quien lo encuentre no podrá acceder a la información sensible y hacer un mal uso.

Registrarlo como una incidencia de seguridad. Investigar los datos sensibles que había en el equipo. Intentar recuperarlas de los servidores.

1.3.3.3.4 Medios alternativos [mp.eq.9]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Fallo de varios equipos de trabajo

Grave (3) Baja (1) Vigilar Establecer un contrato de facilitación de equipamiento informático en caso de necesidad con un proveedor externo.

Repartir los equipos de trabajo que se dispongan según peticiones y clasificación de importancia. Ir moviendo físicamente los equipos o al personal para que desarrollen sus tareas.

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 29/204

Page 30: Gap Analysis: Avaluació de les mesures de seguretat a implantar

Clasificar los servicios según criticidad para asignar les primero los equipos disponibles.

1.3.3.4 Protección de las comunicaciones [mp.com]

1.3.3.4.1 Perímetro seguro [mp.com.1]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Fallo de un nodo de uno de los cortafuegos

Grave (3) Baja (1) Vigilar Ejecutar el mantenimiento recomendado por el fabricante. Control periódico del estado del equipamiento. Métricas de control del servicio y alarmas internas deberían avisar del dispositivo caído.

Una vez se detecte, emprender acciones correctivas para levantar el dispositivo.

1.3.3.4.2 Protección de la confidencialidad: Criptografía [mp.com.2]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Necesidad de establecer VPNs y que el responsable no esté disponible

Medio (2) Baja (1) Vigilar Documentar el procedimiento de establecimiento de VPNs.

Esperar a que el responsable devuelva o investigar cómo están establecidas y tratar de establecer la nueva con las ya existentes como referencia.

1.3.3.4.3 Protección de la autenticidad y de la Integridad: autenticidad de la otra parte [mp.com.3]

ID Riesgo Impacto Probabilidad Factor Plan de contingencia

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 30/204

Page 31: Gap Analysis: Avaluació de les mesures de seguretat a implantar

Riesgo

Acciones Preventivas

Acciones correctivas

1 Enviar información por una VPN y que la información sea interceptada o alterada

Grave (3) Baja (1) Vigilar Establecer un método de cifrado equipo a equipo, no red a red para información altamente sensible. Firmar y cifrar la información.

Registrarlo como una incidencia de seguridad. Investigar para detectar el punto de fallo y establecer unas políticas y correcciones de configuración para evitar

1.3.3.4.4 Segregación de redes [mp.com.4]ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 No comunicación entre equipos en diferente segmento de red

Medio (2) Baja (1) Vigilar Procedimentar la petición por parte de un responsable la necesidad de esta interconexión, datos que se moverán, tiempo, ... una vez validado configurarlo

Según la importancia y la urgencia de las comunicaciones fallidas, se configura y luego se registra el cambio realizado

1.3.3.4.5 Medios alternativos [mp.com.9]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Fallo de los equipos de comunicación del edificio de rectorado

Grave (3) Baja (1) Vigilar Contrato de mantenimiento y sustitución en caso de fallo grave de los equipos de comunicaciones. Planificación de unas rutas alternativas de comunicación entre los edificios.

Reestructuración en real de las rutas entre los edificios.

2 Fallo de la configuración de alta disponibilidad de salida a Internet

Medio (2) Normal (2) Serio Realización de pruebas de cambio de salida de internet en periodo que no

Revisar dónde está fallando el enrutamiento y repasar la configuración. Realización de los cambios necesarios

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 31/204

Page 32: Gap Analysis: Avaluació de les mesures de seguretat a implantar

haya carga de tráfico. Informe de las acciones realizadas y los incidentes. Realización de una mejora en su caso

de configuración a mano.

1.3.3.5 Protección de los soportes de información [mp.si]

1.3.3.5.1 Etiquetado [mp.si.1]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Facilitar un dispositivo de almacenamiento con información sensible ya sea en real o recuperable tras un borrado incompleto

Grave (3) Baja (1) Vigilar Borrar con un método efectivo que no permita la recuperación de información todo dispositivo de almacenamiento que no se vaya a usar más por la información que contiene.

Registrarlo como un incidente de seguridad. Revisar los dispositivos similares para ver la información que contienen. Realizar un borrado completo y sistemático de los datos.

1.3.3.5.2 Criptografía [mp.si.2]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Robo / pérdida de un soporte extraíble de la Universidad que pueda tener información sensible

Grave (3) Baja (1) Vigilar Cifrado de los datos. El ladrón o quien lo encuentre no podrá acceder a la información sensible y hacer un mal uso.

Registrarlo como una incidencia de seguridad. Investigar los datos sensibles que había en el equipo. Intentar recuperarlas de los servidores.

1.3.3.5.3 Custodia [mp.si.3]

ID Riesgo Impacto Probabilidad Factor Plan de contingencia

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 32/204

Page 33: Gap Analysis: Avaluació de les mesures de seguretat a implantar

Riesgo Acciones Preventivas

Acciones correctivas

1 Cintas de copias de seguridad en mal estado y que no se pueda recuperar la información que contienen

Grave (3) Baja (1) Vigilar Revisión manual y visual del estado de las cintas. Cambiarlas cada cierto tiempo según indicación de fabricante

Esperar que la información a recuperar no sea realmente importante

1.3.3.5.4 Transporte [mp.si.4]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Pérdida de información sensible

Grave (3) Baja (1) Vigilar Procedimentar envíos certificados de forma externa o mensajería interna.

Registrar como incidente de seguridad. Notificar al organismo competente la pérdida de la información.

1.3.3.5.5 Borrado y destrucción [mp.si.5]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Se reutiliza un dispositivo de almacenamiento y este contiene información sensible ya sea en real o recuperable tras un borrado incompleto

Grave (3) Baja (1) Vigilar Borrar con un método efectivo que no permita la recuperación de información todo dispositivo de almacenamiento que no se vaya a usar más por la información que contiene.

Registrarlo como un incidente de seguridad. Revisar los dispositivos similares para ver la información que contienen. Realizar un borrado completo y sistemático de los datos.

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 33/204

Page 34: Gap Analysis: Avaluació de les mesures de seguretat a implantar

1.3.3.6 Protección de las aplicaciones informáticas [mp.sw]

1.3.3.6.1 Desarrollo [mp.sw.1]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Acceso a datos reales que están en los entornos de pruebas y que sean publicadas

Grave (3) Baja (1) Vigilar Borrar los datos reales del entorno de desarrollo. Usar un JOCCA de datos aproximado al real.

Registrarlo como incidente de seguridad. Revisar el usuario que ha accedido, tomar acciones disciplinarias. Borrar los datos reales del entorno de desarrollo.

2 Un aplicativo muestra más datos de los que habría

Grave (3) Baja (1) Vigilar Auditoría de código y batería de pruebas antes de la puesta en producción

Sacar el aplicativo de producción, analizar lo que ha pasado y emprender acciones correctoras.

1.3.3.6.2 Aceptación y puesta en servicio [mp.sw.2]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Un aplicativo genera una vulnerabilidad en el sistema (facilita información o acceso al equipo)

Grave (3) Baja (1) Vigilar Auditoría de código y batería de pruebas antes de la puesta en producción

Sacar el aplicativo de producción, analizar lo que ha pasado y emprender acciones correctoras.

1.3.3.7 Protección de la información [mp.info]

1.3.3.7.1 Datos de carácter personal [mp.info.1]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Fichero que contenga datos de

Grave (3) Normal (2) Serio Revisión de la política de seguridad del

Actualizar la información registrada del fichero y

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 34/204

Page 35: Gap Analysis: Avaluació de les mesures de seguretat a implantar

carácter sensible pero el archivo no esté categorizado con este nivel de protección

archivo, revisión de la información publicada del archivo

notificarlo a los responsables para actualizar las políticas de seguridad.

1.3.3.7.2 Calificación de la información [mp.info.2]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Información sensible pero el archivo / aplicación que accede no está configurado con el nivel de protección adecuado.

Grave (3) Normal (2) Serio Revisión de la política de seguridad del archivo, revisión de la información publicada del fichero. Revisión de la política de seguridad de la aplicación. Revisión del Documento de Seguridad.

Sacar la aplicación de producción. Actualizar la información registrada del fichero y notificarlo a los responsables para actualizar las políticas de seguridad. Una vez arreglado, publicar la aplicación.

1.3.3.7.3 Cifrado [mp.info.3]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Robo / pérdida de un soporte extraíble de la Universidad que pueda tener información sensible

Grave (3) Baja (1) Vigilar Cifrado de los datos. El ladrón o quien lo encuentre no podrá acceder a la información sensible y hacer un mal uso.

Registrarlo como una incidencia de seguridad. Investigar los datos sensibles que había en el equipo. Intentar recuperarlas de los servidores.

1.3.3.7.4 Firma electrónica [mp.info.4]

ID Riesgo Impacto Probabilidad Factor Plan de contingencia

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 35/204

Page 36: Gap Analysis: Avaluació de les mesures de seguretat a implantar

Riesgo

Acciones Preventivas

Acciones correctivas

1 Generación de un certificado con datos incorrectos / datos inválidas

Medio (2) Baja (1) Vigilar Verificación de los datos introducidos. Verificación de los certificados emitidos. Revocación en caso de datos incorrectos y generación de un

Revocación del certificado una vez se reciba notificación de que está generado de forma incorrecta. Emisión de un nuevo certificado con los datos correctos.

1.3.3.7.5 Sellos de tiempo [mp.info.5]ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Sellado de tiempo de documentación con un horario incorrecto.

Grave (3) Baja (1) Vigilar Revisión periódica de que el sistema se conectando al servidor de tiempo para sincronizarse

Notificarlo. Realizar la actualización manual y hacer un seguimiento.

1.3.3.7.6 Limpieza de documentos [mp.info.6]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Mostrar información extra a una aplicación web (versión, datos de depuración)

Grave (3) Normal (2) Serio Revisar la información que facilita antes de hacer las pruebas. Eliminar la información de depuración.

Eliminar la información que se facilita. Generar una pantalla neutro de información

2 Mostrar información extra en un documento que se

Medio (2) Baja (1) Vigilar Revisar la información del documento antes de

Buscar el documento original y eliminar la información no necesaria.

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 36/204

Page 37: Gap Analysis: Avaluació de les mesures de seguretat a implantar

envía (word, ppt, pdf)

enviarlo Sustituir el documento.

1.3.3.7.7 Copias de seguridad (backup) [mp.info.9]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 No recuperación de unos datos en copia de backup

Grave (3) Baja (1) Vigilar Revisar periódicamente el estado de los datos guardados y hacer recuperación puntual de archivos críticos para verificar que se pueden recuperar.

Intentar recuperar la información a través de copias anteriores a la necesaria y recuperar la información a través de incrementales posteriores.

1.3.3.8 Protección de los servicios [mp.s]

1.3.3.8.1 Protección del correo electrónico [mp.s.1]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Entrada de correo no deseado y no detectado (falso negativo)

Grave (3) Baja (1) Vigilar Formación a la gente sobre lo que no se debe hacer en el correo una vez se recibe un correo no deseado.

Metodología de notificar los falsos positivos.

Estudio de por qué no ha sido detectado. Notificación al fabricante.

1.3.3.8.2 Protección de servicios y aplicaciones web [mp.s.2]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 37/204

Page 38: Gap Analysis: Avaluació de les mesures de seguretat a implantar

1 Recopilación de información de los sistemas a través de los mensajes de error de los servidores de aplicaciones

Grave (3) Normal (2) Serio Modificar las pantallas de información de error una vez los servidores han sido puestos en producción.

Modificar las pantallas de información de error una vez los servidores han sido puestos en producción. Estudiar la información que puede haber facilitado para proteger los equipos que puedan estar comprometidos.

1.3.3.8.3 Protección frente denegación de servicio [mp.s.8]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Lentitud en la red / internet debido a un ataque de denegación de servicio que no tenga un éxito absoluto.

Grave (3) Baja (1) Vigilar Análisis de las conexiones reales. Cuadro de mandos con alertas.

Trabajar con una lentitud de red / internet más o menos puntual.

2 Saturación de algún servidor web que reciba el ataque de denegación de servicio para SYN Flood

Grave (3) Baja (1) Vigilar Análisis de las conexiones reales. Cuadro de mandos con alertas. Procedimiento para bloquear los intentos de acceso desde una IP.

Identificar que se está recibiendo un ataque, identificar la IP atacante y modificar las configuraciones para que no responda a la IP.

1.3.3.8.4 Medios alternativos [mp.s.9]

ID Riesgo Impacto Probabilidad Factor Riesgo

Plan de contingencia

Acciones Preventivas

Acciones correctivas

1 Descoordinación y pérdida de servicio en caso de alguna catástrofe

Grave (3) Baja (1) Vigilar Realizar un plan de continuidad del negocio y ponerlo a prueba de forma

Restaurar el servicio lo antes posible, registrar las fallas en la recuperación y puesta en marcha. Realizar

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 38/204

Page 39: Gap Analysis: Avaluació de les mesures de seguretat a implantar

periódica. un plan de continuidad de negocio con la nueva situación

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 39/204

Page 40: Gap Analysis: Avaluació de les mesures de seguretat a implantar

2 Medidas de seguridad a implantar: determinación del GAP entre la situación deseada y la situación actual

2.1 GAP con la norma ISO / IEC 27002:2005

2.1.1 Base

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 40/204

Nivel 1

Nivel 2

Page 41: Gap Analysis: Avaluació de les mesures de seguretat a implantar

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 41/204

Nivel 3

Page 42: Gap Analysis: Avaluació de les mesures de seguretat a implantar

2.1.2 [SEG] Seguridad

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 42/204

Nivel 1

Nivel 2

Page 43: Gap Analysis: Avaluació de les mesures de seguretat a implantar

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 43/204

Page 44: Gap Analysis: Avaluació de les mesures de seguretat a implantar

2.1.3 [EXP] Explotación

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 44/204

Nivel 1

Nivel 2

Page 45: Gap Analysis: Avaluació de les mesures de seguretat a implantar

2.1.4 [SIS] Sistemas

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 45/204

Nivel 1

Nivel 2

Page 46: Gap Analysis: Avaluació de les mesures de seguretat a implantar

2.1.5 [DWH] DataWareHouse

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 46/204

Nivel 1

Nivel 2

Page 47: Gap Analysis: Avaluació de les mesures de seguretat a implantar

2.1.6 [RAI] Recursos, Aprendizaje e Investigación

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 47/204

Nivel 1

Nivel 2

Page 48: Gap Analysis: Avaluació de les mesures de seguretat a implantar

2.1.7 [RRH] Recursos Humanos

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 48/204

Nivel 1

Nivel 2

Page 49: Gap Analysis: Avaluació de les mesures de seguretat a implantar

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 49/204

Page 50: Gap Analysis: Avaluació de les mesures de seguretat a implantar

2.1.8 [PEC] Planificación Económica

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 50/204

Nivel 1

Nivel 2

Page 51: Gap Analysis: Avaluació de les mesures de seguretat a implantar

2.1.9 [JUR] Jurídico

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 51/204

Nivel 1

Page 52: Gap Analysis: Avaluació de les mesures de seguretat a implantar

2.1.10 [ORG] Organización

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 52/204

Nivel 2

Nivel 1

Page 53: Gap Analysis: Avaluació de les mesures de seguretat a implantar

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 53/204

Nivel 2

Page 54: Gap Analysis: Avaluació de les mesures de seguretat a implantar

2.1.11 [CDO] Centros de Docencia

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 54/204

Nivel 1

Nivel 2

Page 55: Gap Analysis: Avaluació de les mesures de seguretat a implantar

2.1.12 [ITI] Investigación, Transferencia e Innovación

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 55/204

Nivel 1

Nivel 2

Page 56: Gap Analysis: Avaluació de les mesures de seguretat a implantar

2.1.13 [INF] Infraestructuras

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 56/204

Nivel 1

Page 57: Gap Analysis: Avaluació de les mesures de seguretat a implantar

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 57/204

Nivel 2

Page 58: Gap Analysis: Avaluació de les mesures de seguretat a implantar

2.1.14 [REC] Rectorado, Gerencia y Secretaría General

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 58/204

Nivel 1

Nivel 2

Page 59: Gap Analysis: Avaluació de les mesures de seguretat a implantar

2.2 GAP con el Esquema Nacional de Seguridad

2.2.1 Base

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 59/204

Nivel 1

Marco Organizativo

Page 60: Gap Analysis: Avaluació de les mesures de seguretat a implantar

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 60/204

Marco Operacional

Medidas de Protección

Page 61: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[SEG] Seguridad

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 61/204

Nivel 1

Marco Organizativo

Page 62: Gap Analysis: Avaluació de les mesures de seguretat a implantar

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 62/204

Marco Operacional

Medidas de Protección

Page 63: Gap Analysis: Avaluació de les mesures de seguretat a implantar

2.2.2 [EXP] Explotación

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 63/204

Nivel 1

Marco Organizativo

Page 64: Gap Analysis: Avaluació de les mesures de seguretat a implantar

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 64/204

Marco Operacional

Medidas de Protección

Page 65: Gap Analysis: Avaluació de les mesures de seguretat a implantar

2.2.3 [SIS] Sistemas

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 65/204

Nivel 1

Marco Organizativo

Page 66: Gap Analysis: Avaluació de les mesures de seguretat a implantar

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 66/204

Medidas de Protección

Marco Operacional

Page 67: Gap Analysis: Avaluació de les mesures de seguretat a implantar

2.2.4 [DWH] DataWareHouse

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 67/204

Nivel 1

Marco Organizativo

Page 68: Gap Analysis: Avaluació de les mesures de seguretat a implantar

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 68/204

Marco Operacional

Medidas de Protección

Page 69: Gap Analysis: Avaluació de les mesures de seguretat a implantar

2.2.5 [RAI] Recursos, Aprendizaje e Investigación

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 69/204

Nivel 1

Marco Organizativo

Page 70: Gap Analysis: Avaluació de les mesures de seguretat a implantar

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 70/204

Marco Operacional

Medidas de Protección

Page 71: Gap Analysis: Avaluació de les mesures de seguretat a implantar

2.2.6 [RRH] Recursos Humanos

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 71/204

Nivel 1

Marco Organizativo

Page 72: Gap Analysis: Avaluació de les mesures de seguretat a implantar

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 72/204

Marco Operacional

Medidas de Protección

Page 73: Gap Analysis: Avaluació de les mesures de seguretat a implantar

2.2.7 [PEC] Planificación Económica

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 73/204

Nivel 1

Marco Organizativo

Page 74: Gap Analysis: Avaluació de les mesures de seguretat a implantar

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 74/204

Marco Operacional

Medidas de Protección

Page 75: Gap Analysis: Avaluació de les mesures de seguretat a implantar

2.2.8 [JUR] Jurídico

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 75/204

Nivel 1

Marco Organizativo

Page 76: Gap Analysis: Avaluació de les mesures de seguretat a implantar

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 76/204

Marco Operacional

Medidas de Protección

Page 77: Gap Analysis: Avaluació de les mesures de seguretat a implantar

2.2.9 [ORG] Organización

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 77/204

Nivel 1

Marco Organizativo

Page 78: Gap Analysis: Avaluació de les mesures de seguretat a implantar

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 78/204

Marco Operacional

Medidas de Protección

Page 79: Gap Analysis: Avaluació de les mesures de seguretat a implantar

2.2.10 [CDO] Centros de Docencia

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 79/204

Nivel 1

Marco Organizativo

Page 80: Gap Analysis: Avaluació de les mesures de seguretat a implantar

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 80/204

Marco Operacional

Medidas de Protección

Page 81: Gap Analysis: Avaluació de les mesures de seguretat a implantar

2.2.11 [ITI] Investigación, Transferencia e Innovación

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 81/204

Nivel 1

Marco Organizativo

Page 82: Gap Analysis: Avaluació de les mesures de seguretat a implantar

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 82/204

Marco Operacional

Medidas de Protección

Page 83: Gap Analysis: Avaluació de les mesures de seguretat a implantar

2.2.12 [INF] Infraestructuras

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 83/204

Nivel 1

Marco Organizativo

Page 84: Gap Analysis: Avaluació de les mesures de seguretat a implantar

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 84/204

Marco Operacional

Medidas de Protección

Page 85: Gap Analysis: Avaluació de les mesures de seguretat a implantar

2.2.13 [REC] Rectorado, Gerencia y Secretaría General

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 85/204

Nivel 1

Marco Organizativo

Page 86: Gap Analysis: Avaluació de les mesures de seguretat a implantar

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 86/204

Marco Operacional

Medidas de Protección

Page 87: Gap Analysis: Avaluació de les mesures de seguretat a implantar

3 Anexos3.1 Valoración PILAR 27002:2005

[27002:2005] Código de Buenas Prácticas para la Gestión de la Seguridad de la Informaciónproyecto: [Uni] Universidad

Datos del proyectoUni Universidaddesc Implementación del Análisis de Riesgos de la Universidad.resp Universidad.org Universidad.ver 1.0date Julio de 2012.biblioteca [Std] Biblioteca INFOSEC (27/04/2012)

LicenciaUNIVERSIDAD

Dominios de Seguridado [Base] Baseo [SEG] Seguridad

Departamento de Seguridad de la Universidad.o [EXP] Explotación

Departamento de Explotación de la Universidad.o [SIS] Sistemas

Departamento de Sistemas de la Universidad.o [DWH] DataWareHouse

Departamento de DataWareHouse de la Universidad.o [RAI] Recursos, Aprendizaje e Investigación

Departamento de Recursos, Aprendizaje e Investigación de la Universidad.o [RRH] Recursos Humanos

Departamento de Recursos Humanos de la Universidad.o [PEC] Planificación Económica

Departamento de Planificación Económica de la Universidad.o [JUR] Jurídico

Departamento de Jurídico de la Universidad.o [ORG] Organización

Departamento de Organización de la Universidad.o [CDO] Centros de Docencia

Departamento de Centros de Docencia de la Universidad.

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 87/204

Page 88: Gap Analysis: Avaluació de les mesures de seguretat a implantar

o [ITI] Investigación, Transferencia e InnovaciónDepartamento de Investigación, Transferencia e Innovación de la Universidad.

o [INF] InfraestructurasDepartamento de Infraestructuras de la Universidad.

o [REC] Rectorado, Gerencia y Secretaría General.Rectorado de la Universidad.

Fases del proyectoo [Current] situación actualo [Target] situación Objetivoo [PILAR] Recomendación

Dominio de Seguridad: [base] Base

[5] Política de Seguridadcontrol [Current] [Target] [PILAR][5] Política de Seguridad 10% 95% 80% [5.1] Política de Seguridad de la información 10% 95% 80% [5.1.1] Documento de política de Seguridad de la información

10% 95% 70%

[5.1.2] Revisión de la política de Seguridad de la información

10% 95% 90%

[6] Aspectos organizativos de la Seguridad de la informacióncontrol [Current] [Target] [PILAR][6] Aspectos organizativos de la Seguridad de la información 23% 87% 74% [6.1] Organización interna 22% 95% 61% [6.1.1] Comité de gestión de la Seguridad de la información

0% 95% 50%

[6.1.2] Coordinación para la Seguridad de la información 10% 95% 50% [6.1.3] Asignación de Responsabilidades relativas a la Seguridad de la información

28% 95% 60%

[6.1.4] Proceso de autorización de recursos para el Tratamiento de la información

24% 95% 58%

[6.1.5] Acuerdos de Confidencialidad 70% 95% 90% [6.1.6] Contacto con las Autoridades 10% 95% 50% [6.1.7] Contacto con grupos de interés específicos 23% 95% 63% [6.1.8] Revisión independiente de la Seguridad de la información

10% 95% 70%

[6.2] Relaciones con Terceros 24% 79% 87% [6.2.1] Identificación de Riesgos Derivados del Acceso de Terceros

0% 95% 90%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 88/204

Page 89: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[6.2.2] Tratamiento de la Seguridad en las relaciones con clientes

22% 47% 91%

[6.2.3] Tratamiento de la Seguridad en Contratos con Terceros

50% 95% 80%

[7] Gestión de Activoscontrol [Current] [Target] [PILAR][7] Gestión de Activos 27% 95% 85% [7.1] Responsabilidad sobre los ACTIVOS 24% 94% 80% [7.1.1] Inventario de Activos 18% 94% 75% [7.1.2] Propiedad de los ACTIVOS 22% 94% 75% [7.1.3] Condiciones de uso de los ACTIVOS 31% 94% 90% [7.2] Clasificación de la información 30% 95% 90% [7.2.1] Directrices de Clasificación 50% 95% 90% [7.2.2] Etiquetado y Tratamiento de la información

10% 95% 90%

[8] Seguridad relacionada con los recursos humanoscontrol [Current] [Target] [PILAR][8] Seguridad relacionada con los recursos humanos 69% 95% 79% [8.1] Previa a la contratación 74% 95% 78% [8.1.1] Funciones y responsabilidad 42% 95% 74% [8.1.2] Investigación de antecedentes 90% 95% 90% [8.1.3] Términos y condiciones laborales 90% 95% 70% [8.2] Mientras dure la contratación 57% 95% 77% [8.2.1] Responsabilidades de la Dirección 70% 95% 70% [8.2.2] Concienciación, formación y capacitación en Seguridad de la información

10% 95% 70%

[8.2.3] Medidas disciplinarias 90% 95% 90% [8.3] Fin de la contratación o cambio de puesto, trabajo 77% 95% 83% [8.3.1] Responsabilidad del CESE o cambio 90% 95% 70% [8.3.2] Devolución de Activos 90% 95% 90% [8.3.3] cancelaciones de los Derechos de Acceso 50% 95% 90%

[9] Seguridad física y del entornocontrol [Current] [Target] [PILAR][9] Seguridad física y del entorno 56% 93% 79% [9.1] Áreas seguras 67% 92% n.a. [9.1.1] perímetros de Seguridad Física 49% 91% n.a. [9.1.2] Controlas Físicos de entrada 47% 92% n.a. [9.1.3] Aseguramiento de oficinas, salas e instalaciones 67% 90% n.a. [9.1.4] Protección frente a amenazas externas 69% 91% n.a.

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 89/204

Page 90: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[9.1.5] reglamentaciones del Trabajo en área seguras 80% 95% n.a. [9.1.6] Áreas Abiertas al público, zonas de entrega, carga y descarga

90% 90% n.a.

[9.2] Seguridad del Equipamiento 45% 95% 79% [9.2.1] Ubicación y Protección de los Equipos 63% 93% 90% [9.2.2] Suministros 51% 95% 86% [9.2.3] Seguridad del cableado 50% 95% n.a. [9.2.4] Mantenimiento de Equipos 50% 95% 70% [9.2.5] Seguridad de los Equipos Fuera de las instalaciones

5% 95% 70%

[9.2.6] Retirada o reutilización de Equipos (pasan a Otras manos)

93% 95% 91%

[9.2.7] Activos que salan de las instalaciones (removal of property)

5% 95% 70%

[10] Gestión de comunicaciones y operacionescontrol [Current] [Target] [PILAR][10] Gestión de comunicaciones y operaciones 30% 95% 79% [10.1] Responsabilidades y Procedimientos de Operación 24% 95% 77% [10.1.1] Documentación de los Procedimientos de Operación

20% 95% 86%

[10.1.2] Gestión de Cambios 40% 95% 70% [10.1.3] segregaciones de tareas 25% 95% 70% [10.1.4] Separación de los recursos de Desarrollo, prueba y Operación

10% 95% 83%

[10.2] Gestión de Servicios prestados por Terceros 23% 95% 60% [10.2.1] prestaciones de los Servicios 10% 95% 70% [10.2.2] Supervisión y Revisión de los Servicios 50% 95% 59% [10.2.3] Gestión de Cambios en los Servicios 10% 95% 50% [3.10] Planificación y aceptación de sistemas 28% 95% 70% [10.3.1] Gestión de capacidades 10% 95% 70% [10.3.2] aceptación de Nuevos sistemas 46% 95% 70% [4.10] Protección frente a código Danin y código descargable

24% 95% 81%

[10.4.1] Protección frente a código Danin 39% 95% 91% [10.4.2] Protección frente a código descargado (ej. applets)

10% 95% 70%

[5.10] Copias de Seguridad 38% 95% 93% [10.5.1] Copias de Seguridad 38% 95% 93% [10.6] Gestión de la Seguridad de las redes 28% 95% 80% [10.6.1] Controlas de red 28% 95% 75% [10.6.2] Seguridad de los Servicios de red 28% 95% 84% [7.10] Tratamiento de soportes de información 41% 95% 83% [10.7.1] Gestión de soportes 40% 95% 81% [10.7.2] Retirada de soportes 92% 95% 91%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 90/204

Page 91: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[10.7.3] Procedimientos de Tratamiento de la información 20% 95% 90% [10.7.4] Seguridad de la Documentación del sistema 10% 95% 70% [8.10] Intercambios de información 31% 94% 82% [10.8.1] Normas y Procedimientos 41% 94% 90% [10.8.2] Acuerdos de intercambio 10% 95% 90% [10.8.3] Soportes Físicos en tránsito 20% 95% 71% [10.8.4] Mensajería electrónica 52% 92% 70% [10.8.5] Interconexión de sistemas de información 31% 95% 90% [09.10] Servicios de comercio electrónico 38% 95% 77% [10.9.1] Comercio electrónico 10% 95% 70% [10.9.2] Transacciones en línea 54% 95% 92% [10.9.3] Información Puesta a disposición pública 50% 95% 70% [10:10] Supervisión 30% 95% 84% [10.10.1] Pistas de auditoría 10% 95% 90% [10.10.2] Supervisión del uso de los sistemas 50% 95% 90% [10.10.3] Protección de registros (logs) 30% 95% 92% [10.10.4] Registros de administración y operaciones 10% 95% 70% [10.10.5] Registro de fallos 30% 95% 70% [10.10.6] Sincronización de Relojes 52% 95% 92%

[11] Control de Accesocontrol [Current] [Target] [PILAR][11] Control de Acceso 40% 94% 85% [1.11] Requisitos del control de Acceso 29% 95% 83% [11.1.1] Política de control de Acceso 29% 95% 83% [2.11] Gestión de usuarios 48% 95% 90% [11.2.1] Registro de usuarios 74% 95% 91% [11.2.2] Gestión de privilegios 65% 95% 86% [11.2.3] Gestión de contraseñas 47% 95% 91% [11.2.4] Revisión de Derechos de Acceso 5% 95% 92% [11.3] Responsabilidades de los usuarios 28% 94% 92% [11.3.1] Uso de contraseñas 34% 95% 91% [11.3.2] Equipo desatendido 45% 95% 95% [11.3.3] Puesto, trabajo limpio y pantalla en blanco 7% 93% 90% [11.4] Control de Acceso a la red 30% 95% 88% [11.4.1] Política de uso de los Servicios de red 10% 95% 90% [11.4.2] Autenticación de usuarios en Access remoto 90% 95% 92% [11.4.3] Identificación de Equipos en la red 29% 95% 90% [11.4.4] Puertas de diagnóstico y configuración remota 10% 95% 90% [11.4.5] segregaciones de redes 50% 95% 92% [11.4.6] Control de conexión a la red 10% 95% 70% [11.4.7] Control de encaminamiento 10% 95% 90% [11.5] Control del Acceso a sistemas en operaciones 34% 94% 93% [11.5.1] Procedimientos de inicio de sesión (log-on) 25% 95% 92%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 91/204

Page 92: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[11.5.2] Identificación y autenticación de usuarios 80% 93% 91% [11.5.3] Gestión de contraseñas 70% 94% 91% [11.5.4] Uso de los recursos del sistema 25% 95% 92% [11.5.5] desconexiones automática de la sesión 0% 95% 100% [11.5.6] Limitación del tiempo de conexión 5% 95% 90% [11.6] Control de Acceso a datos y aplicaciones 70% 92% 81% [11.6.1] restricciones del Acceso a la información 51% 95% 81% [11.6.2] Aislamiento de sistemas críticos 90% 90% n.a. [7.11] Equipos móviles y tele-Trabajo 38% 95% 70% [11.7.1] Equipos móviles 45% 95% 70% [11.7.2] Teletrabajo 30% 95% 70%

[12] Adquisición, Desarrollo y Mantenimiento de los sistemas de informacióncontrol [Current] [Target] [PILAR][12] Adquisición, Desarrollo y Mantenimiento de los sistemas de información

26% 95% 79%

[1.12] Requisitos de Seguridad 10% 95% 60% [12.1.1] Análisis y especificación de Requisitos 10% 95% 60% [2.12] Garantías de Procesamiento de información 10% 95% 85% [12.2.1] Validación de datos de entrada 10% 95% 90% [12.2.2] Control de Tratamiento interno 10% 95% 90% [12.2.3] integridad de los Mensajes 10% 95% 90% [12.2.4] Validación de los datos de salida 10% 95% 70% [3.12] Controlas criptográficos 62% 95% 90% [12.3.1] Política de uso 33% 95% 90% [12.3.2] Gestión de claves 91% 95% n.a. [12.04] Seguridad de los archivos del sistema 19% 95% 77% [12.4.1] Control de programas en producción 37% 95% 72% [12.4.2] Protección de los datos de prueba 10% 95% 90% [12.4.3] Control de Acceso al código fuente 10% 95% 70% [12.05] Seguridad en los procesos de Desarrollo y soporte 33% 95% 76% [12.5.1] Procedimientos de control de Cambios 50% 95% 70% [12.5.2] Revisión técnica de las aplicaciones tras Cambios del SO

15% 95% 85%

[12.5.3] restricciones a los Cambios de aplicaciones en producción

65% 95% 63%

[12.5.4] Fugas de información 23% 95% 90% [12.5.5] Desarrollo externalizado (outsourcing) 10% 95% 70% [6.12] Gestión de Vulnerabilidad 23% 95% 84% [12.6.1] Control de Vulnerabilidad Técnicas 23% 95% 84%

[13] Gestión de Incidentes de Seguridad de

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 92/204

Page 93: Gap Analysis: Avaluació de les mesures de seguretat a implantar

informacióncontrol [Current] [Target] [PILAR][13] Gestión de Incidentes de Seguridad de información 19% 95% 85% [1.13] Comunicación de incidencias y debilidades 10% 95% 90% [13.1.1] Comunicación de incidencias 10% 95% 90% [13.1.2] Comunicación de debilidades 10% 95% 90% [2.13] Gestión de Incidentes y Mejoras 28% 95% 80% [13.2.1] Responsabilidades y Procedimientos 25% 95% 70% [13.2.2] Aprendiendo del pasado 28% 95% 80% [13.2.3] Recopilación de evidencias 30% 95% 90%

[14] Gestión de la Continuidad del negociocontrol [Current] [Target] [PILAR][14] Gestión de la Continuidad del negocio 0% 90% 79% [14.01] Seguridad de la información en relacionado a la gestión de la Continuidad

0% 90% 79%

[14.1.1] Inclusión de la Seguridad de la información en los llanos de Continuidad

0% 90% 90%

[14.1.2] Continuidad y Evaluación de Riesgos 0% 90% 70% [14.1.3] Desarrollo e implantaciones de páginas de Continuidad incluyendo la Seguridad de la información

0% 90% 70%

[14.1.4] Marco de Planificación de la Continuidad 0% 90% 73% [14.1.5] Prueba, Mantenimiento y re-Evaluación de los llanos de Continuidad

0% 90% 90%

[15] Cumplimientocontrol [Current] [Target] [PILAR][15] Cumplimiento 17% 95% 78% [1.15] Satisfacción de Requisitos legales 26% 95% 84% [15.1.1] Identificación de Legislación aplicable 10% 95% 90% [15.1.2] Derechos de propiedad intelectual (IPR) 30% 95% 78% [15.1.3] Protección de los documentos de la Organización 5% 95% 70% [15.1.4] Protección de datos e información de carácter personal

50% 95% 90%

[15.1.5] Prevención frente al mal uso de los medios de Tratamiento de la información

26% 95% 88%

[15.1.6] Regulación de controlas criptográficos 34% 94% 91% [2.15] Cumplimiento de políticas, normas y reglamentos Técnicos

15% 95% 66%

[15.2.1] Cumplimiento de políticas y Normas 10% 95% 50% [15.2.2] Verificación del cumplimiento técnico 20% 95% 81% [3.15] Consideraciones sobre auditoría de los sistemas de información

10% 95% 85%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 93/204

Page 94: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[15.3.1] Controlas de auditoría 10% 95% 80% [15.3.2] Protección de las herramientas de auditoría 10% 95% 90%

Dominio de Seguridad: [SEG] Seguridad

[5] Política de Seguridadcontrol [Current] [Target] [PILAR][5] Política de Seguridad 10% 95% 80% [5.1] Política de Seguridad de la información 10% 95% 80% [5.1.1] Documento de política de Seguridad de la información

10% 95% 70%

[5.1.2] Revisión de la política de Seguridad de la información

10% 95% 90%

[6] Aspectos organizativos de la Seguridad de la informacióncontrol [Current] [Target] [PILAR][6] Aspectos organizativos de la Seguridad de la información 23% 87% 70% [6.1] Organización interna 22% 95% 59% [6.1.1] Comité de gestión de la Seguridad de la información

0% 95% 50%

[6.1.2] Coordinación para la Seguridad de la información 10% 95% 50% [6.1.3] Asignación de Responsabilidades relativas a la Seguridad de la información

28% 95% 60%

[6.1.4] Proceso de autorización de recursos para el Tratamiento de la información

24% 95% 53%

[6.1.5] Acuerdos de Confidencialidad 70% 95% 90% [6.1.6] Contacto con las Autoridades 10% 95% 50% [6.1.7] Contacto con grupos de interés específicos 23% 95% 50% [6.1.8] Revisión independiente de la Seguridad de la información

10% 95% 70%

[6.2] Relaciones con Terceros 24% 79% 80% [6.2.1] Identificación de Riesgos Derivados del Acceso de Terceros

0% 95% n.a.

[6.2.2] Tratamiento de la Seguridad en las relaciones con clientes

22% 47% 90%

[6.2.3] Tratamiento de la Seguridad en Contratos con Terceros

50% 95% 70%

[7] Gestión de Activos

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 94/204

Page 95: Gap Analysis: Avaluació de les mesures de seguretat a implantar

control [Current] [Target] [PILAR][7] Gestión de Activos 27% 95% 77% [7.1] Responsabilidad sobre los ACTIVOS 24% 94% 77% [7.1.1] Inventario de Activos 18% 94% 70% [7.1.2] Propiedad de los ACTIVOS 22% 94% 70% [7.1.3] Condiciones de uso de los ACTIVOS 31% 94% 90% [7.2] Clasificación de la información 30% 95% n.a. [7.2.1] Directrices de Clasificación 50% 95% n.a. [7.2.2] Etiquetado y Tratamiento de la información

10% 95% n.a.

[8] Seguridad relacionada con los recursos humanoscontrol [Current] [Target] [PILAR][8] Seguridad relacionada con los recursos humanos 69% 95% 79% [8.1] Previa a la contratación 74% 95% 78% [8.1.1] Funciones y responsabilidad 42% 95% 74% [8.1.2] Investigación de antecedentes 90% 95% 90% [8.1.3] Términos y condiciones laborales 90% 95% 70% [8.2] Mientras dure la contratación 57% 95% 77% [8.2.1] Responsabilidades de la Dirección 70% 95% 70% [8.2.2] Concienciación, formación y capacitación en Seguridad de la información

10% 95% 70%

[8.2.3] Medidas disciplinarias 90% 95% 90% [8.3] Fin de la contratación o cambio de puesto, trabajo 77% 95% 83% [8.3.1] Responsabilidad del CESE o cambio 90% 95% 70% [8.3.2] Devolución de Activos 90% 95% 90% [8.3.3] cancelaciones de los Derechos de Acceso 50% 95% 90%

[9] Seguridad física y del entornocontrol [Current] [Target] [PILAR][9] Seguridad física y del entorno 56% 93% 79% [9.1] Áreas seguras 67% 92% n.a. [9.1.1] perímetros de Seguridad Física 49% 91% n.a. [9.1.2] Controlas Físicos de entrada 47% 92% n.a. [9.1.3] Aseguramiento de oficinas, salas e instalaciones 67% 90% n.a. [9.1.4] Protección frente a amenazas externas 69% 91% n.a. [9.1.5] reglamentaciones del Trabajo en área seguras 80% 95% n.a. [9.1.6] Áreas Abiertas al público, zonas de entrega, carga y descarga

90% 90% n.a.

[9.2] Seguridad del Equipamiento 45% 95% 79% [9.2.1] Ubicación y Protección de los Equipos 63% 93% 90% [9.2.2] Suministros 51% 95% 86%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 95/204

Page 96: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[9.2.3] Seguridad del cableado 50% 95% n.a. [9.2.4] Mantenimiento de Equipos 50% 95% 70% [9.2.5] Seguridad de los Equipos Fuera de las instalaciones

5% 95% 70%

[9.2.6] Retirada o reutilización de Equipos (pasan a Otras manos)

93% 95% 90%

[9.2.7] Activos que salan de las instalaciones (removal of property)

5% 95% 70%

[10] Gestión de comunicaciones y operacionescontrol [Current] [Target] [PILAR][10] Gestión de comunicaciones y operaciones 30% 95% 76% [10.1] Responsabilidades y Procedimientos de Operación 24% 95% 77% [10.1.1] Documentación de los Procedimientos de Operación

20% 95% 85%

[10.1.2] Gestión de Cambios 40% 95% 70% [10.1.3] segregaciones de tareas 25% 95% 70% [10.1.4] Separación de los recursos de Desarrollo, prueba y Operación

10% 95% 83%

[10.2] Gestión de Servicios prestados por Terceros 23% 95% 59% [10.2.1] prestaciones de los Servicios 10% 95% 70% [10.2.2] Supervisión y Revisión de los Servicios 50% 95% 58% [10.2.3] Gestión de Cambios en los Servicios 10% 95% 50% [3.10] Planificación y aceptación de sistemas 28% 95% 70% [10.3.1] Gestión de capacidades 10% 95% 70% [10.3.2] aceptación de Nuevos sistemas 46% 95% 70% [4.10] Protección frente a código Danin y código descargable

24% 95% 81%

[10.4.1] Protección frente a código Danin 39% 95% 91% [10.4.2] Protección frente a código descargado (ej. applets)

10% 95% 70%

[5.10] Copias de Seguridad 38% 95% 90% [10.5.1] Copias de Seguridad 38% 95% 90% [10.6] Gestión de la Seguridad de las redes 28% 95% 78% [10.6.1] Controlas de red 28% 95% 74% [10.6.2] Seguridad de los Servicios de red 28% 95% 82% [7.10] Tratamiento de soportes de información 41% 95% 70% [10.7.1] Gestión de soportes 40% 95% n.a. [10.7.2] Retirada de soportes 92% 95% n.a. [10.7.3] Procedimientos de Tratamiento de la información 20% 95% n.a. [10.7.4] Seguridad de la Documentación del sistema 10% 95% 70% [8.10] Intercambios de información 31% 94% 90% [10.8.1] Normas y Procedimientos 41% 94% 90% [10.8.2] Acuerdos de intercambio 10% 95% 90% [10.8.3] Soportes Físicos en tránsito 20% 95% n.a.

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 96/204

Page 97: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[10.8.4] Mensajería electrónica 52% 92% n.a. [10.8.5] Interconexión de sistemas de información 31% 95% 90% [09.10] Servicios de comercio electrónico 38% 95% 80% [10.9.1] Comercio electrónico 10% 95% 70% [10.9.2] Transacciones en línea 54% 95% 90% [10.9.3] Información Puesta a disposición pública 50% 95% n.a. [10:10] Supervisión 30% 95% 70% [10.10.1] Pistas de auditoría 10% 95% n.a. [10.10.2] Supervisión del uso de los sistemas 50% 95% n.a. [10.10.3] Protección de registros (logs) 30% 95% n.a. [10.10.4] Registros de administración y operaciones 10% 95% n.a. [10.10.5] Registro de fallos 30% 95% 70% [10.10.6] Sincronización de Relojes 52% 95% n.a.

[11] Control de Accesocontrol [Current] [Target] [PILAR][11] Control de Acceso 40% 94% 85% [1.11] Requisitos del control de Acceso 29% 95% 83% [11.1.1] Política de control de Acceso 29% 95% 83% [2.11] Gestión de usuarios 48% 95% 90% [11.2.1] Registro de usuarios 74% 95% 91% [11.2.2] Gestión de privilegios 65% 95% 86% [11.2.3] Gestión de contraseñas 47% 95% 91% [11.2.4] Revisión de Derechos de Acceso 5% 95% 92% [11.3] Responsabilidades de los usuarios 28% 94% 93% [11.3.1] Uso de contraseñas 34% 95% 91% [11.3.2] Equipo desatendido 45% 95% 95% [11.3.3] Puesto, trabajo limpio y pantalla en blanco 7% 93% n.a. [11.4] Control de Acceso a la red 30% 95% 87% [11.4.1] Política de uso de los Servicios de red 10% 95% 90% [11.4.2] Autenticación de usuarios en Access remoto 90% 95% 90% [11.4.3] Identificación de Equipos en la red 29% 95% 90% [11.4.4] Puertas de diagnóstico y configuración remota 10% 95% 90% [11.4.5] segregaciones de redes 50% 95% n.a. [11.4.6] Control de conexión a la red 10% 95% 70% [11.4.7] Control de encaminamiento 10% 95% 90% [11.5] Control del Acceso a sistemas en operaciones 34% 94% 93% [11.5.1] Procedimientos de inicio de sesión (log-on) 25% 95% 92% [11.5.2] Identificación y autenticación de usuarios 80% 93% 91% [11.5.3] Gestión de contraseñas 70% 94% 91% [11.5.4] Uso de los recursos del sistema 25% 95% 92% [11.5.5] desconexiones automática de la sesión 0% 95% 100% [11.5.6] Limitación del tiempo de conexión 5% 95% 90% [11.6] Control de Acceso a datos y aplicaciones 70% 92% 81%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 97/204

Page 98: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[11.6.1] restricciones del Acceso a la información 51% 95% 81% [11.6.2] Aislamiento de sistemas críticos 90% 90% n.a. [7.11] Equipos móviles y tele-Trabajo 38% 95% 70% [11.7.1] Equipos móviles 45% 95% n.a. [11.7.2] Teletrabajo 30% 95% 70%

[12] Adquisición, Desarrollo y Mantenimiento de los sistemas de informacióncontrol [Current] [Target] [PILAR][12] Adquisición, Desarrollo y Mantenimiento de los sistemas de información

26% 95% 76%

[1.12] Requisitos de Seguridad 10% 95% 60% [12.1.1] Análisis y especificación de Requisitos 10% 95% 60% [2.12] Garantías de Procesamiento de información 10% 95% 85% [12.2.1] Validación de datos de entrada 10% 95% 90% [12.2.2] Control de Tratamiento interno 10% 95% 90% [12.2.3] integridad de los Mensajes 10% 95% 90% [12.2.4] Validación de los datos de salida 10% 95% 70% [3.12] Controlas criptográficos 62% 95% n.a. [12.3.1] Política de uso 33% 95% n.a. [12.3.2] Gestión de claves 91% 95% n.a. [12.04] Seguridad de los archivos del sistema 19% 95% 77% [12.4.1] Control de programas en producción 37% 95% 71% [12.4.2] Protección de los datos de prueba 10% 95% 90% [12.4.3] Control de Acceso al código fuente 10% 95% 70% [12.05] Seguridad en los procesos de Desarrollo y soporte 33% 95% 74% [12.5.1] Procedimientos de control de Cambios 50% 95% 70% [12.5.2] Revisión técnica de las aplicaciones tras Cambios del SO

15% 95% 85%

[12.5.3] restricciones a los Cambios de aplicaciones en producción

65% 95% 63%

[12.5.4] Fugas de información 23% 95% 80% [12.5.5] Desarrollo externalizado (outsourcing) 10% 95% 70% [6.12] Gestión de Vulnerabilidad 23% 95% 84% [12.6.1] Control de Vulnerabilidad Técnicas 23% 95% 84%

[13] Gestión de Incidentes de Seguridad de informacióncontrol [Current] [Target] [PILAR][13] Gestión de Incidentes de Seguridad de información 19% 95% 85% [1.13] Comunicación de incidencias y debilidades 10% 95% 90% [13.1.1] Comunicación de incidencias 10% 95% 90% [13.1.2] Comunicación de debilidades 10% 95% 90%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 98/204

Page 99: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[2.13] Gestión de Incidentes y Mejoras 28% 95% 80% [13.2.1] Responsabilidades y Procedimientos 25% 95% 70% [13.2.2] Aprendiendo del pasado 28% 95% 80% [13.2.3] Recopilación de evidencias 30% 95% 90%

[14] Gestión de la Continuidad del negociocontrol [Current] [Target] [PILAR][14] Gestión de la Continuidad del negocio 0% 90% 79% [14.01] Seguridad de la información en relacionado a la gestión de la Continuidad

0% 90% 79%

[14.1.1] Inclusión de la Seguridad de la información en los llanos de Continuidad

0% 90% 90%

[14.1.2] Continuidad y Evaluación de Riesgos 0% 90% 70% [14.1.3] Desarrollo e implantaciones de páginas de Continuidad incluyendo la Seguridad de la información

0% 90% 70%

[14.1.4] Marco de Planificación de la Continuidad 0% 90% 73% [14.1.5] Prueba, Mantenimiento y re-Evaluación de los llanos de Continuidad

0% 90% 90%

[15] Cumplimientocontrol [Current] [Target] [PILAR][15] Cumplimiento 17% 95% 77% [1.15] Satisfacción de Requisitos legales 26% 95% 88% [15.1.1] Identificación de Legislación aplicable 10% 95% 90% [15.1.2] Derechos de propiedad intelectual (IPR) 30% 95% 77% [15.1.3] Protección de los documentos de la Organización 5% 95% n.a. [15.1.4] Protección de datos e información de carácter personal

50% 95% 90%

[15.1.5] Prevención frente al mal uso de los medios de Tratamiento de la información

26% 95% 90%

[15.1.6] Regulación de controlas criptográficos 34% 94% 95% [2.15] Cumplimiento de políticas, normas y reglamentos Técnicos

15% 95% 66%

[15.2.1] Cumplimiento de políticas y Normas 10% 95% 50% [15.2.2] Verificación del cumplimiento técnico 20% 95% 81% [3.15] Consideraciones sobre auditoría de los sistemas de información

10% 95% n.a.

[15.3.1] Controlas de auditoría 10% 95% n.a. [15.3.2] Protección de las herramientas de auditoría 10% 95% n.a.

Dominio de Seguridad: [EXP] Explotación

[5] Política de Seguridad

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 99/204

Page 100: Gap Analysis: Avaluació de les mesures de seguretat a implantar

control [Current] [Target] [PILAR][5] Política de Seguridad 10% 95% 80% [5.1] Política de Seguridad de la información 10% 95% 80% [5.1.1] Documento de política de Seguridad de la información

10% 95% 70%

[5.1.2] Revisión de la política de Seguridad de la información

10% 95% 90%

[6] Aspectos organizativos de la Seguridad de la informacióncontrol [Current] [Target] [PILAR][6] Aspectos organizativos de la Seguridad de la información 23% 87% 73% [6.1] Organización interna 22% 95% 60% [6.1.1] Comité de gestión de la Seguridad de la información

0% 95% 50%

[6.1.2] Coordinación para la Seguridad de la información 10% 95% 50% [6.1.3] Asignación de Responsabilidades relativas a la Seguridad de la información

28% 95% 60%

[6.1.4] Proceso de autorización de recursos para el Tratamiento de la información

24% 95% 60%

[6.1.5] Acuerdos de Confidencialidad 70% 95% 90% [6.1.6] Contacto con las Autoridades 10% 95% 50% [6.1.7] Contacto con grupos de interés específicos 23% 95% 50% [6.1.8] Revisión independiente de la Seguridad de la información

10% 95% 70%

[6.2] Relaciones con Terceros 24% 79% 85% [6.2.1] Identificación de Riesgos Derivados del Acceso de Terceros

0% 95% n.a.

[6.2.2] Tratamiento de la Seguridad en las relaciones con clientes

22% 47% 90%

[6.2.3] Tratamiento de la Seguridad en Contratos con Terceros

50% 95% 80%

[7] Gestión de Activoscontrol [Current] [Target] [PILAR][7] Gestión de Activos 27% 95% 83% [7.1] Responsabilidad sobre los ACTIVOS 24% 94% 83% [7.1.1] Inventario de Activos 18% 94% 80% [7.1.2] Propiedad de los ACTIVOS 22% 94% 80% [7.1.3] Condiciones de uso de los ACTIVOS 31% 94% 90% [7.2] Clasificación de la información 30% 95% n.a. [7.2.1] Directrices de Clasificación 50% 95% n.a. [7.2.2] Etiquetado y Tratamiento de la 10% 95% n.a.

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 100/204

Page 101: Gap Analysis: Avaluació de les mesures de seguretat a implantar

información

[8] Seguridad relacionada con los recursos humanoscontrol [Current] [Target] [PILAR][8] Seguridad relacionada con los recursos humanos 69% 95% 79% [8.1] Previa a la contratación 74% 95% 78% [8.1.1] Funciones y responsabilidad 42% 95% 74% [8.1.2] Investigación de antecedentes 90% 95% 90% [8.1.3] Términos y condiciones laborales 90% 95% 70% [8.2] Mientras dure la contratación 57% 95% 77% [8.2.1] Responsabilidades de la Dirección 70% 95% 70% [8.2.2] Concienciación, formación y capacitación en Seguridad de la información

10% 95% 70%

[8.2.3] Medidas disciplinarias 90% 95% 90% [8.3] Fin de la contratación o cambio de puesto, trabajo 77% 95% 83% [8.3.1] Responsabilidad del CESE o cambio 90% 95% 70% [8.3.2] Devolución de Activos 90% 95% 90% [8.3.3] cancelaciones de los Derechos de Acceso 50% 95% 90%

[9] Seguridad física y del entornocontrol [Current] [Target] [PILAR][9] Seguridad física y del entorno 56% 93% 79% [9.1] Áreas seguras 67% 92% n.a. [9.1.1] perímetros de Seguridad Física 49% 91% n.a. [9.1.2] Controlas Físicos de entrada 47% 92% n.a. [9.1.3] Aseguramiento de oficinas, salas e instalaciones 67% 90% n.a. [9.1.4] Protección frente a amenazas externas 69% 91% n.a. [9.1.5] reglamentaciones del Trabajo en área seguras 80% 95% n.a. [9.1.6] Áreas Abiertas al público, zonas de entrega, carga y descarga

90% 90% n.a.

[9.2] Seguridad del Equipamiento 45% 95% 79% [9.2.1] Ubicación y Protección de los Equipos 63% 93% 90% [9.2.2] Suministros 51% 95% 81% [9.2.3] Seguridad del cableado 50% 95% n.a. [9.2.4] Mantenimiento de Equipos 50% 95% 70% [9.2.5] Seguridad de los Equipos Fuera de las instalaciones

5% 95% 70%

[9.2.6] Retirada o reutilización de Equipos (pasan a Otras manos)

93% 95% 90%

[9.2.7] Activos que salan de las instalaciones (removal of property)

5% 95% 70%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 101/204

Page 102: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[10] Gestión de comunicaciones y operacionescontrol [Current] [Target] [PILAR][10] Gestión de comunicaciones y operaciones 30% 95% 73% [10.1] Responsabilidades y Procedimientos de Operación 24% 95% 77% [10.1.1] Documentación de los Procedimientos de Operación

20% 95% 83%

[10.1.2] Gestión de Cambios 40% 95% 70% [10.1.3] segregaciones de tareas 25% 95% 70% [10.1.4] Separación de los recursos de Desarrollo, prueba y Operación

10% 95% 83%

[10.2] Gestión de Servicios prestados por Terceros 23% 95% 59% [10.2.1] prestaciones de los Servicios 10% 95% 70% [10.2.2] Supervisión y Revisión de los Servicios 50% 95% 58% [10.2.3] Gestión de Cambios en los Servicios 10% 95% 50% [3.10] Planificación y aceptación de sistemas 28% 95% 70% [10.3.1] Gestión de capacidades 10% 95% 70% [10.3.2] aceptación de Nuevos sistemas 46% 95% 70% [4.10] Protección frente a código Danin y código descargable

24% 95% 81%

[10.4.1] Protección frente a código Danin 39% 95% 91% [10.4.2] Protección frente a código descargado (ej. applets)

10% 95% 70%

[5.10] Copias de Seguridad 38% 95% 90% [10.5.1] Copias de Seguridad 38% 95% 90% [10.6] Gestión de la Seguridad de las redes 28% 95% 50% [10.6.1] Controlas de red 28% 95% 50% [10.6.2] Seguridad de los Servicios de red 28% 95% n.a. [7.10] Tratamiento de soportes de información 41% 95% 70% [10.7.1] Gestión de soportes 40% 95% n.a. [10.7.2] Retirada de soportes 92% 95% n.a. [10.7.3] Procedimientos de Tratamiento de la información 20% 95% n.a. [10.7.4] Seguridad de la Documentación del sistema 10% 95% 70% [8.10] Intercambios de información 31% 94% 90% [10.8.1] Normas y Procedimientos 41% 94% n.a. [10.8.2] Acuerdos de intercambio 10% 95% 90% [10.8.3] Soportes Físicos en tránsito 20% 95% n.a. [10.8.4] Mensajería electrónica 52% 92% n.a. [10.8.5] Interconexión de sistemas de información 31% 95% 90% [09.10] Servicios de comercio electrónico 38% 95% n.a. [10.9.1] Comercio electrónico 10% 95% n.a. [10.9.2] Transacciones en línea 54% 95% n.a. [10.9.3] Información Puesta a disposición pública 50% 95% n.a. [10:10] Supervisión 30% 95% 70% [10.10.1] Pistas de auditoría 10% 95% n.a. [10.10.2] Supervisión del uso de los sistemas 50% 95% n.a.

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 102/204

Page 103: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[10.10.3] Protección de registros (logs) 30% 95% n.a. [10.10.4] Registros de administración y operaciones 10% 95% n.a. [10.10.5] Registro de fallos 30% 95% 70% [10.10.6] Sincronización de Relojes 52% 95% n.a.

[11] Control de Accesocontrol [Current] [Target] [PILAR][11] Control de Acceso 40% 94% 87% [1.11] Requisitos del control de Acceso 29% 95% 83% [11.1.1] Política de control de Acceso 29% 95% 83% [2.11] Gestión de usuarios 48% 95% 90% [11.2.1] Registro de usuarios 74% 95% 91% [11.2.2] Gestión de privilegios 65% 95% 86% [11.2.3] Gestión de contraseñas 47% 95% 90% [11.2.4] Revisión de Derechos de Acceso 5% 95% 92% [11.3] Responsabilidades de los usuarios 28% 94% 91% [11.3.1] Uso de contraseñas 34% 95% 90% [11.3.2] Equipo desatendido 45% 95% 92% [11.3.3] Puesto, trabajo limpio y pantalla en blanco 7% 93% n.a. [11.4] Control de Acceso a la red 30% 95% n.a. [11.4.1] Política de uso de los Servicios de red 10% 95% n.a. [11.4.2] Autenticación de usuarios en Access remoto 90% 95% n.a. [11.4.3] Identificación de Equipos en la red 29% 95% n.a. [11.4.4] Puertas de diagnóstico y configuración remota 10% 95% n.a. [11.4.5] segregaciones de redes 50% 95% n.a. [11.4.6] Control de conexión a la red 10% 95% n.a. [11.4.7] Control de encaminamiento 10% 95% n.a. [11.5] Control del Acceso a sistemas en operaciones 34% 94% 92% [11.5.1] Procedimientos de inicio de sesión (log-on) 25% 95% 92% [11.5.2] Identificación y autenticación de usuarios 80% 93% 91% [11.5.3] Gestión de contraseñas 70% 94% 91% [11.5.4] Uso de los recursos del sistema 25% 95% 92% [11.5.5] desconexiones automática de la sesión 0% 95% 95% [11.5.6] Limitación del tiempo de conexión 5% 95% 90% [11.6] Control de Acceso a datos y aplicaciones 70% 92% 81% [11.6.1] restricciones del Acceso a la información 51% 95% 81% [11.6.2] Aislamiento de sistemas críticos 90% 90% n.a. [7.11] Equipos móviles y tele-Trabajo 38% 95% n.a. [11.7.1] Equipos móviles 45% 95% n.a. [11.7.2] Teletrabajo 30% 95% n.a.

[12] Adquisición, Desarrollo y Mantenimiento de los sistemas de información

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 103/204

Page 104: Gap Analysis: Avaluació de les mesures de seguretat a implantar

control [Current] [Target] [PILAR][12] Adquisición, Desarrollo y Mantenimiento de los sistemas de información

26% 95% 74%

[1.12] Requisitos de Seguridad 10% 95% 60% [12.1.1] Análisis y especificación de Requisitos 10% 95% 60% [2.12] Garantías de Procesamiento de información 10% 95% 75% [12.2.1] Validación de datos de entrada 10% 95% 70% [12.2.2] Control de Tratamiento interno 10% 95% 70% [12.2.3] integridad de los Mensajes 10% 95% 90% [12.2.4] Validación de los datos de salida 10% 95% 70% [3.12] Controlas criptográficos 62% 95% n.a. [12.3.1] Política de uso 33% 95% n.a. [12.3.2] Gestión de claves 91% 95% n.a. [12.04] Seguridad de los archivos del sistema 19% 95% 77% [12.4.1] Control de programas en producción 37% 95% 71% [12.4.2] Protección de los datos de prueba 10% 95% 90% [12.4.3] Control de Acceso al código fuente 10% 95% 70% [12.05] Seguridad en los procesos de Desarrollo y soporte 33% 95% 74% [12.5.1] Procedimientos de control de Cambios 50% 95% 70% [12.5.2] Revisión técnica de las aplicaciones tras Cambios del SO

15% 95% 78%

[12.5.3] restricciones a los Cambios de aplicaciones en producción

65% 95% 63%

[12.5.4] Fugas de información 23% 95% 90% [12.5.5] Desarrollo externalizado (outsourcing) 10% 95% 70% [6.12] Gestión de Vulnerabilidad 23% 95% 84% [12.6.1] Control de Vulnerabilidad Técnicas 23% 95% 84%

[13] Gestión de Incidentes de Seguridad de informacióncontrol [Current] [Target] [PILAR][13] Gestión de Incidentes de Seguridad de información 19% 95% 85% [1.13] Comunicación de incidencias y debilidades 10% 95% 90% [13.1.1] Comunicación de incidencias 10% 95% 90% [13.1.2] Comunicación de debilidades 10% 95% 90% [2.13] Gestión de Incidentes y Mejoras 28% 95% 80% [13.2.1] Responsabilidades y Procedimientos 25% 95% 70% [13.2.2] Aprendiendo del pasado 28% 95% 80% [13.2.3] Recopilación de evidencias 30% 95% 90%

[14] Gestión de la Continuidad del negociocontrol [Current] [Target] [PILAR][14] Gestión de la Continuidad del negocio 0% 90% 79%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 104/204

Page 105: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[14.01] Seguridad de la información en relacionado a la gestión de la Continuidad

0% 90% 79%

[14.1.1] Inclusión de la Seguridad de la información en los llanos de Continuidad

0% 90% 90%

[14.1.2] Continuidad y Evaluación de Riesgos 0% 90% 70% [14.1.3] Desarrollo e implantaciones de páginas de Continuidad incluyendo la Seguridad de la información

0% 90% 70%

[14.1.4] Marco de Planificación de la Continuidad 0% 90% 73% [14.1.5] Prueba, Mantenimiento y re-Evaluación de los llanos de Continuidad

0% 90% 90%

[15] Cumplimientocontrol [Current] [Target] [PILAR][15] Cumplimiento 17% 95% 76% [1.15] Satisfacción de Requisitos legales 26% 95% 87% [15.1.1] Identificación de Legislación aplicable 10% 95% 90% [15.1.2] Derechos de propiedad intelectual (IPR) 30% 95% 77% [15.1.3] Protección de los documentos de la Organización 5% 95% n.a. [15.1.4] Protección de datos e información de carácter personal

50% 95% 90%

[15.1.5] Prevención frente al mal uso de los medios de Tratamiento de la información

26% 95% 90%

[15.1.6] Regulación de controlas criptográficos 34% 94% n.a. [2.15] Cumplimiento de políticas, normas y reglamentos Técnicos

15% 95% 66%

[15.2.1] Cumplimiento de políticas y Normas 10% 95% 50% [15.2.2] Verificación del cumplimiento técnico 20% 95% 81% [3.15] Consideraciones sobre auditoría de los sistemas de información

10% 95% n.a.

[15.3.1] Controlas de auditoría 10% 95% n.a. [15.3.2] Protección de las herramientas de auditoría 10% 95% n.a.

Dominio de Seguridad: [SIS] Sistemas

[5] Política de Seguridadcontrol [Current] [Target] [PILAR][5] Política de Seguridad 10% 95% 80% [5.1] Política de Seguridad de la información 10% 95% 80% [5.1.1] Documento de política de Seguridad de la información

10% 95% 70%

[5.1.2] Revisión de la política de Seguridad de la información

10% 95% 90%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 105/204

Page 106: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[6] Aspectos organizativos de la Seguridad de la informacióncontrol [Current] [Target] [PILAR][6] Aspectos organizativos de la Seguridad de la información 23% 87% 74% [6.1] Organización interna 22% 95% 61% [6.1.1] Comité de gestión de la Seguridad de la información

0% 95% 50%

[6.1.2] Coordinación para la Seguridad de la información 10% 95% 50% [6.1.3] Asignación de Responsabilidades relativas a la Seguridad de la información

28% 95% 60%

[6.1.4] Proceso de autorización de recursos para el Tratamiento de la información

24% 95% 58%

[6.1.5] Acuerdos de Confidencialidad 70% 95% 90% [6.1.6] Contacto con las Autoridades 10% 95% 50% [6.1.7] Contacto con grupos de interés específicos 23% 95% 63% [6.1.8] Revisión independiente de la Seguridad de la información

10% 95% 70%

[6.2] Relaciones con Terceros 24% 79% 87% [6.2.1] Identificación de Riesgos Derivados del Acceso de Terceros

0% 95% 90%

[6.2.2] Tratamiento de la Seguridad en las relaciones con clientes

22% 47% 91%

[6.2.3] Tratamiento de la Seguridad en Contratos con Terceros

50% 95% 80%

[7] Gestión de Activoscontrol [Current] [Target] [PILAR][7] Gestión de Activos 27% 95% 77% [7.1] Responsabilidad sobre los ACTIVOS 24% 94% 77% [7.1.1] Inventario de Activos 18% 94% 70% [7.1.2] Propiedad de los ACTIVOS 22% 94% 70% [7.1.3] Condiciones de uso de los ACTIVOS 31% 94% 90% [7.2] Clasificación de la información 30% 95% n.a. [7.2.1] Directrices de Clasificación 50% 95% n.a. [7.2.2] Etiquetado y Tratamiento de la información

10% 95% n.a.

[8] Seguridad relacionada con los recursos humanoscontrol [Current] [Target] [PILAR][8] Seguridad relacionada con los recursos humanos 69% 95% 79% [8.1] Previa a la contratación 74% 95% 78%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 106/204

Page 107: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[8.1.1] Funciones y responsabilidad 42% 95% 74% [8.1.2] Investigación de antecedentes 90% 95% 90% [8.1.3] Términos y condiciones laborales 90% 95% 70% [8.2] Mientras dure la contratación 57% 95% 77% [8.2.1] Responsabilidades de la Dirección 70% 95% 70% [8.2.2] Concienciación, formación y capacitación en Seguridad de la información

10% 95% 70%

[8.2.3] Medidas disciplinarias 90% 95% 90% [8.3] Fin de la contratación o cambio de puesto, trabajo 77% 95% 83% [8.3.1] Responsabilidad del CESE o cambio 90% 95% 70% [8.3.2] Devolución de Activos 90% 95% 90% [8.3.3] cancelaciones de los Derechos de Acceso 50% 95% 90%

[9] Seguridad física y del entornocontrol [Current] [Target] [PILAR][9] Seguridad física y del entorno 56% 93% 79% [9.1] Áreas seguras 67% 92% n.a. [9.1.1] perímetros de Seguridad Física 49% 91% n.a. [9.1.2] Controlas Físicos de entrada 47% 92% n.a. [9.1.3] Aseguramiento de oficinas, salas e instalaciones 67% 90% n.a. [9.1.4] Protección frente a amenazas externas 69% 91% n.a. [9.1.5] reglamentaciones del Trabajo en área seguras 80% 95% n.a. [9.1.6] Áreas Abiertas al público, zonas de entrega, carga y descarga

90% 90% n.a.

[9.2] Seguridad del Equipamiento 45% 95% 79% [9.2.1] Ubicación y Protección de los Equipos 63% 93% 90% [9.2.2] Suministros 51% 95% 86% [9.2.3] Seguridad del cableado 50% 95% n.a. [9.2.4] Mantenimiento de Equipos 50% 95% 70% [9.2.5] Seguridad de los Equipos Fuera de las instalaciones

5% 95% 70%

[9.2.6] Retirada o reutilización de Equipos (pasan a Otras manos)

93% 95% 90%

[9.2.7] Activos que salan de las instalaciones (removal of property)

5% 95% 70%

[10] Gestión de comunicaciones y operacionescontrol [Current] [Target] [PILAR][10] Gestión de comunicaciones y operaciones 30% 95% 76% [10.1] Responsabilidades y Procedimientos de Operación 24% 95% 77% [10.1.1] Documentación de los Procedimientos de Operación

20% 95% 85%

[10.1.2] Gestión de Cambios 40% 95% 70% [10.1.3] segregaciones de tareas 25% 95% 70%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 107/204

Page 108: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[10.1.4] Separación de los recursos de Desarrollo, prueba y Operación

10% 95% 83%

[10.2] Gestión de Servicios prestados por Terceros 23% 95% 59% [10.2.1] prestaciones de los Servicios 10% 95% 70% [10.2.2] Supervisión y Revisión de los Servicios 50% 95% 58% [10.2.3] Gestión de Cambios en los Servicios 10% 95% 50% [3.10] Planificación y aceptación de sistemas 28% 95% 70% [10.3.1] Gestión de capacidades 10% 95% 70% [10.3.2] aceptación de Nuevos sistemas 46% 95% 70% [4.10] Protección frente a código Danin y código descargable

24% 95% 81%

[10.4.1] Protección frente a código Danin 39% 95% 91% [10.4.2] Protección frente a código descargado (ej. applets)

10% 95% 70%

[5.10] Copias de Seguridad 38% 95% 90% [10.5.1] Copias de Seguridad 38% 95% 90% [10.6] Gestión de la Seguridad de las redes 28% 95% 80% [10.6.1] Controlas de red 28% 95% 75% [10.6.2] Seguridad de los Servicios de red 28% 95% 84% [7.10] Tratamiento de soportes de información 41% 95% 70% [10.7.1] Gestión de soportes 40% 95% n.a. [10.7.2] Retirada de soportes 92% 95% n.a. [10.7.3] Procedimientos de Tratamiento de la información 20% 95% n.a. [10.7.4] Seguridad de la Documentación del sistema 10% 95% 70% [8.10] Intercambios de información 31% 94% 85% [10.8.1] Normas y Procedimientos 41% 94% 90% [10.8.2] Acuerdos de intercambio 10% 95% 90% [10.8.3] Soportes Físicos en tránsito 20% 95% n.a. [10.8.4] Mensajería electrónica 52% 92% 70% [10.8.5] Interconexión de sistemas de información 31% 95% 90% [09.10] Servicios de comercio electrónico 38% 95% 77% [10.9.1] Comercio electrónico 10% 95% 70% [10.9.2] Transacciones en línea 54% 95% 90% [10.9.3] Información Puesta a disposición pública 50% 95% 70% [10:10] Supervisión 30% 95% 70% [10.10.1] Pistas de auditoría 10% 95% n.a. [10.10.2] Supervisión del uso de los sistemas 50% 95% n.a. [10.10.3] Protección de registros (logs) 30% 95% n.a. [10.10.4] Registros de administración y operaciones 10% 95% n.a. [10.10.5] Registro de fallos 30% 95% 70% [10.10.6] Sincronización de Relojes 52% 95% n.a.

[11] Control de Accesocontrol [Current] [Target] [PILAR][11] Control de Acceso 40% 94% 85%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 108/204

Page 109: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[1.11] Requisitos del control de Acceso 29% 95% 83% [11.1.1] Política de control de Acceso 29% 95% 83% [2.11] Gestión de usuarios 48% 95% 90% [11.2.1] Registro de usuarios 74% 95% 91% [11.2.2] Gestión de privilegios 65% 95% 86% [11.2.3] Gestión de contraseñas 47% 95% 91% [11.2.4] Revisión de Derechos de Acceso 5% 95% 92% [11.3] Responsabilidades de los usuarios 28% 94% 93% [11.3.1] Uso de contraseñas 34% 95% 91% [11.3.2] Equipo desatendido 45% 95% 95% [11.3.3] Puesto, trabajo limpio y pantalla en blanco 7% 93% n.a. [11.4] Control de Acceso a la red 30% 95% 88% [11.4.1] Política de uso de los Servicios de red 10% 95% 90% [11.4.2] Autenticación de usuarios en Access remoto 90% 95% 92% [11.4.3] Identificación de Equipos en la red 29% 95% 90% [11.4.4] Puertas de diagnóstico y configuración remota 10% 95% 90% [11.4.5] segregaciones de redes 50% 95% 92% [11.4.6] Control de conexión a la red 10% 95% 70% [11.4.7] Control de encaminamiento 10% 95% 90% [11.5] Control del Acceso a sistemas en operaciones 34% 94% 93% [11.5.1] Procedimientos de inicio de sesión (log-on) 25% 95% 92% [11.5.2] Identificación y autenticación de usuarios 80% 93% 91% [11.5.3] Gestión de contraseñas 70% 94% 91% [11.5.4] Uso de los recursos del sistema 25% 95% 92% [11.5.5] desconexiones automática de la sesión 0% 95% 100% [11.5.6] Limitación del tiempo de conexión 5% 95% 90% [11.6] Control de Acceso a datos y aplicaciones 70% 92% 81% [11.6.1] restricciones del Acceso a la información 51% 95% 81% [11.6.2] Aislamiento de sistemas críticos 90% 90% n.a. [7.11] Equipos móviles y tele-Trabajo 38% 95% 70% [11.7.1] Equipos móviles 45% 95% n.a. [11.7.2] Teletrabajo 30% 95% 70%

[12] Adquisición, Desarrollo y Mantenimiento de los sistemas de informacióncontrol [Current] [Target] [PILAR][12] Adquisición, Desarrollo y Mantenimiento de los sistemas de información

26% 95% 75%

[1.12] Requisitos de Seguridad 10% 95% 60% [12.1.1] Análisis y especificación de Requisitos 10% 95% 60% [2.12] Garantías de Procesamiento de información 10% 95% 80% [12.2.1] Validación de datos de entrada 10% 95% 90% [12.2.2] Control de Tratamiento interno 10% 95% 70% [12.2.3] integridad de los Mensajes 10% 95% 90%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 109/204

Page 110: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[12.2.4] Validación de los datos de salida 10% 95% 70% [3.12] Controlas criptográficos 62% 95% n.a. [12.3.1] Política de uso 33% 95% n.a. [12.3.2] Gestión de claves 91% 95% n.a. [12.04] Seguridad de los archivos del sistema 19% 95% 77% [12.4.1] Control de programas en producción 37% 95% 71% [12.4.2] Protección de los datos de prueba 10% 95% 90% [12.4.3] Control de Acceso al código fuente 10% 95% 70% [12.05] Seguridad en los procesos de Desarrollo y soporte 33% 95% 75% [12.5.1] Procedimientos de control de Cambios 50% 95% 70% [12.5.2] Revisión técnica de las aplicaciones tras Cambios del SO

15% 95% 80%

[12.5.3] restricciones a los Cambios de aplicaciones en producción

65% 95% 63%

[12.5.4] Fugas de información 23% 95% 91% [12.5.5] Desarrollo externalizado (outsourcing) 10% 95% 70% [6.12] Gestión de Vulnerabilidad 23% 95% 84% [12.6.1] Control de Vulnerabilidad Técnicas 23% 95% 84%

[13] Gestión de Incidentes de Seguridad de informacióncontrol [Current] [Target] [PILAR][13] Gestión de Incidentes de Seguridad de información 19% 95% 85% [1.13] Comunicación de incidencias y debilidades 10% 95% 90% [13.1.1] Comunicación de incidencias 10% 95% 90% [13.1.2] Comunicación de debilidades 10% 95% 90% [2.13] Gestión de Incidentes y Mejoras 28% 95% 80% [13.2.1] Responsabilidades y Procedimientos 25% 95% 70% [13.2.2] Aprendiendo del pasado 28% 95% 80% [13.2.3] Recopilación de evidencias 30% 95% 90%

[14] Gestión de la Continuidad del negociocontrol [Current] [Target] [PILAR][14] Gestión de la Continuidad del negocio 0% 90% 79% [14.01] Seguridad de la información en relacionado a la gestión de la Continuidad

0% 90% 79%

[14.1.1] Inclusión de la Seguridad de la información en los llanos de Continuidad

0% 90% 90%

[14.1.2] Continuidad y Evaluación de Riesgos 0% 90% 70% [14.1.3] Desarrollo e implantaciones de páginas de Continuidad incluyendo la Seguridad de la información

0% 90% 70%

[14.1.4] Marco de Planificación de la Continuidad 0% 90% 73% [14.1.5] Prueba, Mantenimiento y re-Evaluación de los 0% 90% 90%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 110/204

Page 111: Gap Analysis: Avaluació de les mesures de seguretat a implantar

llanos de Continuidad

[15] Cumplimientocontrol [Current] [Target] [PILAR][15] Cumplimiento 17% 95% 77% [1.15] Satisfacción de Requisitos legales 26% 95% 88% [15.1.1] Identificación de Legislación aplicable 10% 95% 90% [15.1.2] Derechos de propiedad intelectual (IPR) 30% 95% 77% [15.1.3] Protección de los documentos de la Organización 5% 95% n.a. [15.1.4] Protección de datos e información de carácter personal

50% 95% 90%

[15.1.5] Prevención frente al mal uso de los medios de Tratamiento de la información

26% 95% 90%

[15.1.6] Regulación de controlas criptográficos 34% 94% 95% [2.15] Cumplimiento de políticas, normas y reglamentos Técnicos

15% 95% 66%

[15.2.1] Cumplimiento de políticas y Normas 10% 95% 50% [15.2.2] Verificación del cumplimiento técnico 20% 95% 81% [3.15] Consideraciones sobre auditoría de los sistemas de información

10% 95% n.a.

[15.3.1] Controlas de auditoría 10% 95% n.a. [15.3.2] Protección de las herramientas de auditoría 10% 95% n.a.

Dominio de Seguridad: [DWH] DataWareHouse

[5] Política de Seguridadcontrol [Current] [Target] [PILAR][5] Política de Seguridad 10% 95% 80% [5.1] Política de Seguridad de la información 10% 95% 80% [5.1.1] Documento de política de Seguridad de la información

10% 95% 70%

[5.1.2] Revisión de la política de Seguridad de la información

10% 95% 90%

[6] Aspectos organizativos de la Seguridad de la informacióncontrol [Current] [Target] [PILAR][6] Aspectos organizativos de la Seguridad de la información 23% 87% 75% [6.1] Organización interna 22% 95% 60% [6.1.1] Comité de gestión de la Seguridad de la información

0% 95% 50%

[6.1.2] Coordinación para la Seguridad de la información 10% 95% 50%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 111/204

Page 112: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[6.1.3] Asignación de Responsabilidades relativas a la Seguridad de la información

28% 95% 60%

[6.1.4] Proceso de autorización de recursos para el Tratamiento de la información

24% 95% 60%

[6.1.5] Acuerdos de Confidencialidad 70% 95% 90% [6.1.6] Contacto con las Autoridades 10% 95% 50% [6.1.7] Contacto con grupos de interés específicos 23% 95% 50% [6.1.8] Revisión independiente de la Seguridad de la información

10% 95% 70%

[6.2] Relaciones con Terceros 24% 79% 90% [6.2.1] Identificación de Riesgos Derivados del Acceso de Terceros

0% 95% n.a.

[6.2.2] Tratamiento de la Seguridad en las relaciones con clientes

22% 47% 90%

[6.2.3] Tratamiento de la Seguridad en Contratos con Terceros

50% 95% n.a.

[7] Gestión de Activoscontrol [Current] [Target] [PILAR][7] Gestión de Activos 27% 95% 87% [7.1] Responsabilidad sobre los ACTIVOS 24% 94% 85% [7.1.1] Inventario de Activos 18% 94% 82% [7.1.2] Propiedad de los ACTIVOS 22% 94% 82% [7.1.3] Condiciones de uso de los ACTIVOS 31% 94% 90% [7.2] Clasificación de la información 30% 95% 90% [7.2.1] Directrices de Clasificación 50% 95% 90% [7.2.2] Etiquetado y Tratamiento de la información

10% 95% 90%

[8] Seguridad relacionada con los recursos humanoscontrol [Current] [Target] [PILAR][8] Seguridad relacionada con los recursos humanos 69% 95% 79% [8.1] Previa a la contratación 74% 95% 78% [8.1.1] Funciones y responsabilidad 42% 95% 74% [8.1.2] Investigación de antecedentes 90% 95% 90% [8.1.3] Términos y condiciones laborales 90% 95% 70% [8.2] Mientras dure la contratación 57% 95% 77% [8.2.1] Responsabilidades de la Dirección 70% 95% 70% [8.2.2] Concienciación, formación y capacitación en Seguridad de la información

10% 95% 70%

[8.2.3] Medidas disciplinarias 90% 95% 90% [8.3] Fin de la contratación o cambio de puesto, trabajo 77% 95% 83%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 112/204

Page 113: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[8.3.1] Responsabilidad del CESE o cambio 90% 95% 70% [8.3.2] Devolución de Activos 90% 95% 90% [8.3.3] cancelaciones de los Derechos de Acceso 50% 95% 90%

[9] Seguridad física y del entornocontrol [Current] [Target] [PILAR][9] Seguridad física y del entorno 56% 93% 79% [9.1] Áreas seguras 67% 92% n.a. [9.1.1] perímetros de Seguridad Física 49% 91% n.a. [9.1.2] Controlas Físicos de entrada 47% 92% n.a. [9.1.3] Aseguramiento de oficinas, salas e instalaciones 67% 90% n.a. [9.1.4] Protección frente a amenazas externas 69% 91% n.a. [9.1.5] reglamentaciones del Trabajo en área seguras 80% 95% n.a. [9.1.6] Áreas Abiertas al público, zonas de entrega, carga y descarga

90% 90% n.a.

[9.2] Seguridad del Equipamiento 45% 95% 79% [9.2.1] Ubicación y Protección de los Equipos 63% 93% 90% [9.2.2] Suministros 51% 95% 81% [9.2.3] Seguridad del cableado 50% 95% n.a. [9.2.4] Mantenimiento de Equipos 50% 95% 70% [9.2.5] Seguridad de los Equipos Fuera de las instalaciones

5% 95% 70%

[9.2.6] Retirada o reutilización de Equipos (pasan a Otras manos)

93% 95% 90%

[9.2.7] Activos que salan de las instalaciones (removal of property)

5% 95% 70%

[10] Gestión de comunicaciones y operacionescontrol [Current] [Target] [PILAR][10] Gestión de comunicaciones y operaciones 30% 95% 77% [10.1] Responsabilidades y Procedimientos de Operación 24% 95% 77% [10.1.1] Documentación de los Procedimientos de Operación

20% 95% 83%

[10.1.2] Gestión de Cambios 40% 95% 70% [10.1.3] segregaciones de tareas 25% 95% 70% [10.1.4] Separación de los recursos de Desarrollo, prueba y Operación

10% 95% 83%

[10.2] Gestión de Servicios prestados por Terceros 23% 95% n.a. [10.2.1] prestaciones de los Servicios 10% 95% n.a. [10.2.2] Supervisión y Revisión de los Servicios 50% 95% n.a. [10.2.3] Gestión de Cambios en los Servicios 10% 95% n.a. [3.10] Planificación y aceptación de sistemas 28% 95% 70% [10.3.1] Gestión de capacidades 10% 95% 70% [10.3.2] aceptación de Nuevos sistemas 46% 95% 70%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 113/204

Page 114: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[4.10] Protección frente a código Danin y código descargable

24% 95% 81%

[10.4.1] Protección frente a código Danin 39% 95% 91% [10.4.2] Protección frente a código descargado (ej. applets)

10% 95% 70%

[5.10] Copias de Seguridad 38% 95% 93% [10.5.1] Copias de Seguridad 38% 95% 93% [10.6] Gestión de la Seguridad de las redes 28% 95% 50% [10.6.1] Controlas de red 28% 95% 50% [10.6.2] Seguridad de los Servicios de red 28% 95% n.a. [7.10] Tratamiento de soportes de información 41% 95% 70% [10.7.1] Gestión de soportes 40% 95% n.a. [10.7.2] Retirada de soportes 92% 95% n.a. [10.7.3] Procedimientos de Tratamiento de la información 20% 95% n.a. [10.7.4] Seguridad de la Documentación del sistema 10% 95% 70% [8.10] Intercambios de información 31% 94% 90% [10.8.1] Normas y Procedimientos 41% 94% n.a. [10.8.2] Acuerdos de intercambio 10% 95% 90% [10.8.3] Soportes Físicos en tránsito 20% 95% n.a. [10.8.4] Mensajería electrónica 52% 92% n.a. [10.8.5] Interconexión de sistemas de información 31% 95% 90% [09.10] Servicios de comercio electrónico 38% 95% 92% [10.9.1] Comercio electrónico 10% 95% n.a. [10.9.2] Transacciones en línea 54% 95% 92% [10.9.3] Información Puesta a disposición pública 50% 95% n.a. [10:10] Supervisión 30% 95% 70% [10.10.1] Pistas de auditoría 10% 95% n.a. [10.10.2] Supervisión del uso de los sistemas 50% 95% n.a. [10.10.3] Protección de registros (logs) 30% 95% n.a. [10.10.4] Registros de administración y operaciones 10% 95% n.a. [10.10.5] Registro de fallos 30% 95% 70% [10.10.6] Sincronización de Relojes 52% 95% n.a.

[11] Control de Accesocontrol [Current] [Target] [PILAR][11] Control de Acceso 40% 94% 88% [1.11] Requisitos del control de Acceso 29% 95% 83% [11.1.1] Política de control de Acceso 29% 95% 83% [2.11] Gestión de usuarios 48% 95% 90% [11.2.1] Registro de usuarios 74% 95% 91% [11.2.2] Gestión de privilegios 65% 95% 86% [11.2.3] Gestión de contraseñas 47% 95% 90% [11.2.4] Revisión de Derechos de Acceso 5% 95% 92% [11.3] Responsabilidades de los usuarios 28% 94% 93% [11.3.1] Uso de contraseñas 34% 95% 91%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 114/204

Page 115: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[11.3.2] Equipo desatendido 45% 95% 95% [11.3.3] Puesto, trabajo limpio y pantalla en blanco 7% 93% n.a. [11.4] Control de Acceso a la red 30% 95% n.a. [11.4.1] Política de uso de los Servicios de red 10% 95% n.a. [11.4.2] Autenticación de usuarios en Access remoto 90% 95% n.a. [11.4.3] Identificación de Equipos en la red 29% 95% n.a. [11.4.4] Puertas de diagnóstico y configuración remota 10% 95% n.a. [11.4.5] segregaciones de redes 50% 95% n.a. [11.4.6] Control de conexión a la red 10% 95% n.a. [11.4.7] Control de encaminamiento 10% 95% n.a. [11.5] Control del Acceso a sistemas en operaciones 34% 94% 93% [11.5.1] Procedimientos de inicio de sesión (log-on) 25% 95% 92% [11.5.2] Identificación y autenticación de usuarios 80% 93% 91% [11.5.3] Gestión de contraseñas 70% 94% 91% [11.5.4] Uso de los recursos del sistema 25% 95% 92% [11.5.5] desconexiones automática de la sesión 0% 95% 100% [11.5.6] Limitación del tiempo de conexión 5% 95% 90% [11.6] Control de Acceso a datos y aplicaciones 70% 92% 81% [11.6.1] restricciones del Acceso a la información 51% 95% 81% [11.6.2] Aislamiento de sistemas críticos 90% 90% n.a. [7.11] Equipos móviles y tele-Trabajo 38% 95% n.a. [11.7.1] Equipos móviles 45% 95% n.a. [11.7.2] Teletrabajo 30% 95% n.a.

[12] Adquisición, Desarrollo y Mantenimiento de los sistemas de informacióncontrol [Current] [Target] [PILAR][12] Adquisición, Desarrollo y Mantenimiento de los sistemas de información

26% 95% 79%

[1.12] Requisitos de Seguridad 10% 95% 60% [12.1.1] Análisis y especificación de Requisitos 10% 95% 60% [2.12] Garantías de Procesamiento de información 10% 95% 85% [12.2.1] Validación de datos de entrada 10% 95% 90% [12.2.2] Control de Tratamiento interno 10% 95% 90% [12.2.3] integridad de los Mensajes 10% 95% 90% [12.2.4] Validación de los datos de salida 10% 95% 70% [3.12] Controlas criptográficos 62% 95% 90% [12.3.1] Política de uso 33% 95% 90% [12.3.2] Gestión de claves 91% 95% n.a. [12.04] Seguridad de los archivos del sistema 19% 95% 77% [12.4.1] Control de programas en producción 37% 95% 72% [12.4.2] Protección de los datos de prueba 10% 95% 90% [12.4.3] Control de Acceso al código fuente 10% 95% 70% [12.05] Seguridad en los procesos de Desarrollo y soporte 33% 95% 76%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 115/204

Page 116: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[12.5.1] Procedimientos de control de Cambios 50% 95% 70% [12.5.2] Revisión técnica de las aplicaciones tras Cambios del SO

15% 95% 85%

[12.5.3] restricciones a los Cambios de aplicaciones en producción

65% 95% 63%

[12.5.4] Fugas de información 23% 95% 93% [12.5.5] Desarrollo externalizado (outsourcing) 10% 95% 70% [6.12] Gestión de Vulnerabilidad 23% 95% 84% [12.6.1] Control de Vulnerabilidad Técnicas 23% 95% 84%

[13] Gestión de Incidentes de Seguridad de informacióncontrol [Current] [Target] [PILAR][13] Gestión de Incidentes de Seguridad de información 19% 95% 85% [1.13] Comunicación de incidencias y debilidades 10% 95% 90% [13.1.1] Comunicación de incidencias 10% 95% 90% [13.1.2] Comunicación de debilidades 10% 95% 90% [2.13] Gestión de Incidentes y Mejoras 28% 95% 80% [13.2.1] Responsabilidades y Procedimientos 25% 95% 70% [13.2.2] Aprendiendo del pasado 28% 95% 80% [13.2.3] Recopilación de evidencias 30% 95% 90%

[14] Gestión de la Continuidad del negociocontrol [Current] [Target] [PILAR][14] Gestión de la Continuidad del negocio 0% 90% 79% [14.01] Seguridad de la información en relacionado a la gestión de la Continuidad

0% 90% 79%

[14.1.1] Inclusión de la Seguridad de la información en los llanos de Continuidad

0% 90% 90%

[14.1.2] Continuidad y Evaluación de Riesgos 0% 90% 70% [14.1.3] Desarrollo e implantaciones de páginas de Continuidad incluyendo la Seguridad de la información

0% 90% 70%

[14.1.4] Marco de Planificación de la Continuidad 0% 90% 73% [14.1.5] Prueba, Mantenimiento y re-Evaluación de los llanos de Continuidad

0% 90% 90%

[15] Cumplimientocontrol [Current] [Target] [PILAR]

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 116/204

Page 117: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[15] Cumplimiento 17% 95% 77% [1.15] Satisfacción de Requisitos legales 26% 95% 88% [15.1.1] Identificación de Legislación aplicable 10% 95% 90% [15.1.2] Derechos de propiedad intelectual (IPR) 30% 95% 78% [15.1.3] Protección de los documentos de la Organización 5% 95% n.a. [15.1.4] Protección de datos e información de carácter personal

50% 95% 90%

[15.1.5] Prevención frente al mal uso de los medios de Tratamiento de la información

26% 95% 90%

[15.1.6] Regulación de controlas criptográficos 34% 94% 90% [2.15] Cumplimiento de políticas, normas y reglamentos Técnicos

15% 95% 66%

[15.2.1] Cumplimiento de políticas y Normas 10% 95% 50% [15.2.2] Verificación del cumplimiento técnico 20% 95% 81% [3.15] Consideraciones sobre auditoría de los sistemas de información

10% 95% n.a.

[15.3.1] Controlas de auditoría 10% 95% n.a. [15.3.2] Protección de las herramientas de auditoría 10% 95% n.a.

Dominio de Seguridad: [RAI] Recursos, Aprendizaje e Investigación

[5] Política de Seguridadcontrol [Current] [Target] [PILAR][5] Política de Seguridad 10% 95% 80% [5.1] Política de Seguridad de la información 10% 95% 80% [5.1.1] Documento de política de Seguridad de la información

10% 95% 70%

[5.1.2] Revisión de la política de Seguridad de la información

10% 95% 90%

[6] Aspectos organizativos de la Seguridad de la informacióncontrol [Current] [Target] [PILAR][6] Aspectos organizativos de la Seguridad de la información 23% 87% 75% [6.1] Organización interna 22% 95% 59% [6.1.1] Comité de gestión de la Seguridad de la información

0% 95% 50%

[6.1.2] Coordinación para la Seguridad de la información 10% 95% 50% [6.1.3] Asignación de Responsabilidades relativas a la Seguridad de la información

28% 95% 60%

[6.1.4] Proceso de autorización de recursos para el Tratamiento de la información

24% 95% 60%

[6.1.5] Acuerdos de Confidencialidad 70% 95% 80%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 117/204

Page 118: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[6.1.6] Contacto con las Autoridades 10% 95% 50% [6.1.7] Contacto con grupos de interés específicos 23% 95% 50% [6.1.8] Revisión independiente de la Seguridad de la información

10% 95% 70%

[6.2] Relaciones con Terceros 24% 79% 91% [6.2.1] Identificación de Riesgos Derivados del Acceso de Terceros

0% 95% 90%

[6.2.2] Tratamiento de la Seguridad en las relaciones con clientes

22% 47% 91%

[6.2.3] Tratamiento de la Seguridad en Contratos con Terceros

50% 95% n.a.

[7] Gestión de Activoscontrol [Current] [Target] [PILAR][7] Gestión de Activos 27% 95% 86% [7.1] Responsabilidad sobre los ACTIVOS 24% 94% 81% [7.1.1] Inventario de Activos 18% 94% 77% [7.1.2] Propiedad de los ACTIVOS 22% 94% 77% [7.1.3] Condiciones de uso de los ACTIVOS 31% 94% 90% [7.2] Clasificación de la información 30% 95% 90% [7.2.1] Directrices de Clasificación 50% 95% 90% [7.2.2] Etiquetado y Tratamiento de la información

10% 95% 90%

[8] Seguridad relacionada con los recursos humanoscontrol [Current] [Target] [PILAR][8] Seguridad relacionada con los recursos humanos 69% 95% 79% [8.1] Previa a la contratación 74% 95% 78% [8.1.1] Funciones y responsabilidad 42% 95% 74% [8.1.2] Investigación de antecedentes 90% 95% 90% [8.1.3] Términos y condiciones laborales 90% 95% 70% [8.2] Mientras dure la contratación 57% 95% 77% [8.2.1] Responsabilidades de la Dirección 70% 95% 70% [8.2.2] Concienciación, formación y capacitación en Seguridad de la información

10% 95% 70%

[8.2.3] Medidas disciplinarias 90% 95% 90% [8.3] Fin de la contratación o cambio de puesto, trabajo 77% 95% 83% [8.3.1] Responsabilidad del CESE o cambio 90% 95% 70% [8.3.2] Devolución de Activos 90% 95% 90% [8.3.3] cancelaciones de los Derechos de Acceso 50% 95% 90%

[9] Seguridad física y del entorno

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 118/204

Page 119: Gap Analysis: Avaluació de les mesures de seguretat a implantar

control [Current] [Target] [PILAR][9] Seguridad física y del entorno 56% 93% 79% [9.1] Áreas seguras 67% 92% n.a. [9.1.1] perímetros de Seguridad Física 49% 91% n.a. [9.1.2] Controlas Físicos de entrada 47% 92% n.a. [9.1.3] Aseguramiento de oficinas, salas e instalaciones 67% 90% n.a. [9.1.4] Protección frente a amenazas externas 69% 91% n.a. [9.1.5] reglamentaciones del Trabajo en área seguras 80% 95% n.a. [9.1.6] Áreas Abiertas al público, zonas de entrega, carga y descarga

90% 90% n.a.

[9.2] Seguridad del Equipamiento 45% 95% 79% [9.2.1] Ubicación y Protección de los Equipos 63% 93% 90% [9.2.2] Suministros 51% 95% 81% [9.2.3] Seguridad del cableado 50% 95% n.a. [9.2.4] Mantenimiento de Equipos 50% 95% 70% [9.2.5] Seguridad de los Equipos Fuera de las instalaciones

5% 95% 70%

[9.2.6] Retirada o reutilización de Equipos (pasan a Otras manos)

93% 95% 90%

[9.2.7] Activos que salan de las instalaciones (removal of property)

5% 95% 70%

[10] Gestión de comunicaciones y operacionescontrol [Current] [Target] [PILAR][10] Gestión de comunicaciones y operaciones 30% 95% 77% [10.1] Responsabilidades y Procedimientos de Operación 24% 95% 77% [10.1.1] Documentación de los Procedimientos de Operación

20% 95% 83%

[10.1.2] Gestión de Cambios 40% 95% 70% [10.1.3] segregaciones de tareas 25% 95% 70% [10.1.4] Separación de los recursos de Desarrollo, prueba y Operación

10% 95% 83%

[10.2] Gestión de Servicios prestados por Terceros 23% 95% n.a. [10.2.1] prestaciones de los Servicios 10% 95% n.a. [10.2.2] Supervisión y Revisión de los Servicios 50% 95% n.a. [10.2.3] Gestión de Cambios en los Servicios 10% 95% n.a. [3.10] Planificación y aceptación de sistemas 28% 95% 70% [10.3.1] Gestión de capacidades 10% 95% 70% [10.3.2] aceptación de Nuevos sistemas 46% 95% 70% [4.10] Protección frente a código Danin y código descargable

24% 95% 81%

[10.4.1] Protección frente a código Danin 39% 95% 91% [10.4.2] Protección frente a código descargado (ej. applets)

10% 95% 70%

[5.10] Copias de Seguridad 38% 95% 93%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 119/204

Page 120: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[10.5.1] Copias de Seguridad 38% 95% 93% [10.6] Gestión de la Seguridad de las redes 28% 95% 50% [10.6.1] Controlas de red 28% 95% 50% [10.6.2] Seguridad de los Servicios de red 28% 95% n.a. [7.10] Tratamiento de soportes de información 41% 95% 70% [10.7.1] Gestión de soportes 40% 95% n.a. [10.7.2] Retirada de soportes 92% 95% n.a. [10.7.3] Procedimientos de Tratamiento de la información 20% 95% n.a. [10.7.4] Seguridad de la Documentación del sistema 10% 95% 70% [8.10] Intercambios de información 31% 94% 90% [10.8.1] Normas y Procedimientos 41% 94% n.a. [10.8.2] Acuerdos de intercambio 10% 95% 90% [10.8.3] Soportes Físicos en tránsito 20% 95% n.a. [10.8.4] Mensajería electrónica 52% 92% n.a. [10.8.5] Interconexión de sistemas de información 31% 95% 90% [09.10] Servicios de comercio electrónico 38% 95% 81% [10.9.1] Comercio electrónico 10% 95% 70% [10.9.2] Transacciones en línea 54% 95% 92% [10.9.3] Información Puesta a disposición pública 50% 95% n.a. [10:10] Supervisión 30% 95% 84% [10.10.1] Pistas de auditoría 10% 95% 90% [10.10.2] Supervisión del uso de los sistemas 50% 95% 90% [10.10.3] Protección de registros (logs) 30% 95% 92% [10.10.4] Registros de administración y operaciones 10% 95% 70% [10.10.5] Registro de fallos 30% 95% 70% [10.10.6] Sincronización de Relojes 52% 95% 92%

[11] Control de Accesocontrol [Current] [Target] [PILAR][11] Control de Acceso 40% 94% 85% [1.11] Requisitos del control de Acceso 29% 95% 83% [11.1.1] Política de control de Acceso 29% 95% 83% [2.11] Gestión de usuarios 48% 95% 90% [11.2.1] Registro de usuarios 74% 95% 91% [11.2.2] Gestión de privilegios 65% 95% 86% [11.2.3] Gestión de contraseñas 47% 95% 91% [11.2.4] Revisión de Derechos de Acceso 5% 95% 92% [11.3] Responsabilidades de los usuarios 28% 94% 93% [11.3.1] Uso de contraseñas 34% 95% 91% [11.3.2] Equipo desatendido 45% 95% 95% [11.3.3] Puesto, trabajo limpio y pantalla en blanco 7% 93% n.a. [11.4] Control de Acceso a la red 30% 95% n.a. [11.4.1] Política de uso de los Servicios de red 10% 95% n.a. [11.4.2] Autenticación de usuarios en Access remoto 90% 95% n.a.

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 120/204

Page 121: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[11.4.3] Identificación de Equipos en la red 29% 95% n.a. [11.4.4] Puertas de diagnóstico y configuración remota 10% 95% n.a. [11.4.5] segregaciones de redes 50% 95% n.a. [11.4.6] Control de conexión a la red 10% 95% n.a. [11.4.7] Control de encaminamiento 10% 95% n.a. [11.5] Control del Acceso a sistemas en operaciones 34% 94% 93% [11.5.1] Procedimientos de inicio de sesión (log-on) 25% 95% 92% [11.5.2] Identificación y autenticación de usuarios 80% 93% 91% [11.5.3] Gestión de contraseñas 70% 94% 91% [11.5.4] Uso de los recursos del sistema 25% 95% 92% [11.5.5] desconexiones automática de la sesión 0% 95% 100% [11.5.6] Limitación del tiempo de conexión 5% 95% 90% [11.6] Control de Acceso a datos y aplicaciones 70% 92% 81% [11.6.1] restricciones del Acceso a la información 51% 95% 81% [11.6.2] Aislamiento de sistemas críticos 90% 90% n.a. [7.11] Equipos móviles y tele-Trabajo 38% 95% 70% [11.7.1] Equipos móviles 45% 95% n.a. [11.7.2] Teletrabajo 30% 95% 70%

[12] Adquisición, Desarrollo y Mantenimiento de los sistemas de informacióncontrol [Current] [Target] [PILAR][12] Adquisición, Desarrollo y Mantenimiento de los sistemas de información

26% 95% 79%

[1.12] Requisitos de Seguridad 10% 95% 60% [12.1.1] Análisis y especificación de Requisitos 10% 95% 60% [2.12] Garantías de Procesamiento de información 10% 95% 85% [12.2.1] Validación de datos de entrada 10% 95% 90% [12.2.2] Control de Tratamiento interno 10% 95% 90% [12.2.3] integridad de los Mensajes 10% 95% 90% [12.2.4] Validación de los datos de salida 10% 95% 70% [3.12] Controlas criptográficos 62% 95% 90% [12.3.1] Política de uso 33% 95% 90% [12.3.2] Gestión de claves 91% 95% n.a. [12.04] Seguridad de los archivos del sistema 19% 95% 77% [12.4.1] Control de programas en producción 37% 95% 71% [12.4.2] Protección de los datos de prueba 10% 95% 90% [12.4.3] Control de Acceso al código fuente 10% 95% 70% [12.05] Seguridad en los procesos de Desarrollo y soporte 33% 95% 76% [12.5.1] Procedimientos de control de Cambios 50% 95% 70% [12.5.2] Revisión técnica de las aplicaciones tras Cambios del SO

15% 95% 85%

[12.5.3] restricciones a los Cambios de aplicaciones en producción

65% 95% 63%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 121/204

Page 122: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[12.5.4] Fugas de información 23% 95% 93% [12.5.5] Desarrollo externalizado (outsourcing) 10% 95% 70% [6.12] Gestión de Vulnerabilidad 23% 95% 84% [12.6.1] Control de Vulnerabilidad Técnicas 23% 95% 84%

[13] Gestión de Incidentes de Seguridad de informacióncontrol [Current] [Target] [PILAR][13] Gestión de Incidentes de Seguridad de información 19% 95% 85% [1.13] Comunicación de incidencias y debilidades 10% 95% 90% [13.1.1] Comunicación de incidencias 10% 95% 90% [13.1.2] Comunicación de debilidades 10% 95% 90% [2.13] Gestión de Incidentes y Mejoras 28% 95% 80% [13.2.1] Responsabilidades y Procedimientos 25% 95% 70% [13.2.2] Aprendiendo del pasado 28% 95% 80% [13.2.3] Recopilación de evidencias 30% 95% 90%

[14] Gestión de la Continuidad del negociocontrol [Current] [Target] [PILAR][14] Gestión de la Continuidad del negocio 0% 90% 79% [14.01] Seguridad de la información en relacionado a la gestión de la Continuidad

0% 90% 79%

[14.1.1] Inclusión de la Seguridad de la información en los llanos de Continuidad

0% 90% 90%

[14.1.2] Continuidad y Evaluación de Riesgos 0% 90% 70% [14.1.3] Desarrollo e implantaciones de páginas de Continuidad incluyendo la Seguridad de la información

0% 90% 70%

[14.1.4] Marco de Planificación de la Continuidad 0% 90% 73% [14.1.5] Prueba, Mantenimiento y re-Evaluación de los llanos de Continuidad

0% 90% 90%

[15] Cumplimientocontrol [Current] [Target] [PILAR][15] Cumplimiento 17% 95% 79% [1.15] Satisfacción de Requisitos legales 26% 95% 87% [15.1.1] Identificación de Legislación aplicable 10% 95% 90% [15.1.2] Derechos de propiedad intelectual (IPR) 30% 95% 78% [15.1.3] Protección de los documentos de la Organización 5% 95% n.a. [15.1.4] Protección de datos e información de carácter personal

50% 95% 90%

[15.1.5] Prevención frente al mal uso de los medios de Tratamiento de la información

26% 95% 87%

[15.1.6] Regulación de controlas criptográficos 34% 94% 90%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 122/204

Page 123: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[2.15] Cumplimiento de políticas, normas y reglamentos Técnicos

15% 95% 66%

[15.2.1] Cumplimiento de políticas y Normas 10% 95% 50% [15.2.2] Verificación del cumplimiento técnico 20% 95% 81% [3.15] Consideraciones sobre auditoría de los sistemas de información

10% 95% 85%

[15.3.1] Controlas de auditoría 10% 95% 80% [15.3.2] Protección de las herramientas de auditoría 10% 95% 90%

Dominio de Seguridad: [RRH] Recursos Humanos

[5] Política de Seguridadcontrol [Current] [Target] [PILAR][5] Política de Seguridad 10% 95% 80% [5.1] Política de Seguridad de la información 10% 95% 80% [5.1.1] Documento de política de Seguridad de la información

10% 95% 70%

[5.1.2] Revisión de la política de Seguridad de la información

10% 95% 90%

[6] Aspectos organizativos de la Seguridad de la informacióncontrol [Current] [Target] [PILAR][6] Aspectos organizativos de la Seguridad de la información 23% 87% 73% [6.1] Organización interna 22% 95% 59% [6.1.1] Comité de gestión de la Seguridad de la información

0% 95% 50%

[6.1.2] Coordinación para la Seguridad de la información 10% 95% 50% [6.1.3] Asignación de Responsabilidades relativas a la Seguridad de la información

28% 95% 60%

[6.1.4] Proceso de autorización de recursos para el Tratamiento de la información

24% 95% 60%

[6.1.5] Acuerdos de Confidencialidad 70% 95% 80% [6.1.6] Contacto con las Autoridades 10% 95% 50% [6.1.7] Contacto con grupos de interés específicos 23% 95% 50% [6.1.8] Revisión independiente de la Seguridad de la información

10% 95% 70%

[6.2] Relaciones con Terceros 24% 79% 87% [6.2.1] Identificación de Riesgos Derivados del Acceso de Terceros

0% 95% 90%

[6.2.2] Tratamiento de la Seguridad en las relaciones con clientes

22% 47% 91%

[6.2.3] Tratamiento de la Seguridad en Contratos con 50% 95% 80%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 123/204

Page 124: Gap Analysis: Avaluació de les mesures de seguretat a implantar

Terceros

[7] Gestión de Activoscontrol [Current] [Target] [PILAR][7] Gestión de Activos 27% 95% 86% [7.1] Responsabilidad sobre los ACTIVOS 24% 94% 82% [7.1.1] Inventario de Activos 18% 94% 79% [7.1.2] Propiedad de los ACTIVOS 22% 94% 79% [7.1.3] Condiciones de uso de los ACTIVOS 31% 94% 90% [7.2] Clasificación de la información 30% 95% 90% [7.2.1] Directrices de Clasificación 50% 95% 90% [7.2.2] Etiquetado y Tratamiento de la información

10% 95% 90%

[8] Seguridad relacionada con los recursos humanoscontrol [Current] [Target] [PILAR][8] Seguridad relacionada con los recursos humanos 69% 95% 79% [8.1] Previa a la contratación 74% 95% 78% [8.1.1] Funciones y responsabilidad 42% 95% 74% [8.1.2] Investigación de antecedentes 90% 95% 90% [8.1.3] Términos y condiciones laborales 90% 95% 70% [8.2] Mientras dure la contratación 57% 95% 77% [8.2.1] Responsabilidades de la Dirección 70% 95% 70% [8.2.2] Concienciación, formación y capacitación en Seguridad de la información

10% 95% 70%

[8.2.3] Medidas disciplinarias 90% 95% 90% [8.3] Fin de la contratación o cambio de puesto, trabajo 77% 95% 83% [8.3.1] Responsabilidad del CESE o cambio 90% 95% 70% [8.3.2] Devolución de Activos 90% 95% 90% [8.3.3] cancelaciones de los Derechos de Acceso 50% 95% 90%

[9] Seguridad física y del entornocontrol [Current] [Target] [PILAR][9] Seguridad física y del entorno 56% 93% 79% [9.1] Áreas seguras 67% 92% n.a. [9.1.1] perímetros de Seguridad Física 49% 91% n.a. [9.1.2] Controlas Físicos de entrada 47% 92% n.a. [9.1.3] Aseguramiento de oficinas, salas e instalaciones 67% 90% n.a. [9.1.4] Protección frente a amenazas externas 69% 91% n.a. [9.1.5] reglamentaciones del Trabajo en área seguras 80% 95% n.a. [9.1.6] Áreas Abiertas al público, zonas de entrega, carga 90% 90% n.a.

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 124/204

Page 125: Gap Analysis: Avaluació de les mesures de seguretat a implantar

y descarga [9.2] Seguridad del Equipamiento 45% 95% 79% [9.2.1] Ubicación y Protección de los Equipos 63% 93% 90% [9.2.2] Suministros 51% 95% 81% [9.2.3] Seguridad del cableado 50% 95% n.a. [9.2.4] Mantenimiento de Equipos 50% 95% 70% [9.2.5] Seguridad de los Equipos Fuera de las instalaciones

5% 95% 70%

[9.2.6] Retirada o reutilización de Equipos (pasan a Otras manos)

93% 95% 91%

[9.2.7] Activos que salan de las instalaciones (removal of property)

5% 95% 70%

[10] Gestión de comunicaciones y operacionescontrol [Current] [Target] [PILAR][10] Gestión de comunicaciones y operaciones 30% 95% 75% [10.1] Responsabilidades y Procedimientos de Operación 24% 95% 77% [10.1.1] Documentación de los Procedimientos de Operación

20% 95% 85%

[10.1.2] Gestión de Cambios 40% 95% 70% [10.1.3] segregaciones de tareas 25% 95% 70% [10.1.4] Separación de los recursos de Desarrollo, prueba y Operación

10% 95% 83%

[10.2] Gestión de Servicios prestados por Terceros 23% 95% 60% [10.2.1] prestaciones de los Servicios 10% 95% 70% [10.2.2] Supervisión y Revisión de los Servicios 50% 95% 59% [10.2.3] Gestión de Cambios en los Servicios 10% 95% 50% [3.10] Planificación y aceptación de sistemas 28% 95% 70% [10.3.1] Gestión de capacidades 10% 95% 70% [10.3.2] aceptación de Nuevos sistemas 46% 95% 70% [4.10] Protección frente a código Danin y código descargable

24% 95% 81%

[10.4.1] Protección frente a código Danin 39% 95% 91% [10.4.2] Protección frente a código descargado (ej. applets)

10% 95% 70%

[5.10] Copias de Seguridad 38% 95% 93% [10.5.1] Copias de Seguridad 38% 95% 93% [10.6] Gestión de la Seguridad de las redes 28% 95% 50% [10.6.1] Controlas de red 28% 95% 50% [10.6.2] Seguridad de los Servicios de red 28% 95% n.a. [7.10] Tratamiento de soportes de información 41% 95% 83% [10.7.1] Gestión de soportes 40% 95% 81% [10.7.2] Retirada de soportes 92% 95% 91% [10.7.3] Procedimientos de Tratamiento de la información 20% 95% 90% [10.7.4] Seguridad de la Documentación del sistema 10% 95% 70%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 125/204

Page 126: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[8.10] Intercambios de información 31% 94% 84% [10.8.1] Normas y Procedimientos 41% 94% n.a. [10.8.2] Acuerdos de intercambio 10% 95% 90% [10.8.3] Soportes Físicos en tránsito 20% 95% 71% [10.8.4] Mensajería electrónica 52% 92% n.a. [10.8.5] Interconexión de sistemas de información 31% 95% 90% [09.10] Servicios de comercio electrónico 38% 95% 81% [10.9.1] Comercio electrónico 10% 95% 70% [10.9.2] Transacciones en línea 54% 95% 92% [10.9.3] Información Puesta a disposición pública 50% 95% n.a. [10:10] Supervisión 30% 95% 70% [10.10.1] Pistas de auditoría 10% 95% n.a. [10.10.2] Supervisión del uso de los sistemas 50% 95% n.a. [10.10.3] Protección de registros (logs) 30% 95% n.a. [10.10.4] Registros de administración y operaciones 10% 95% n.a. [10.10.5] Registro de fallos 30% 95% 70% [10.10.6] Sincronización de Relojes 52% 95% n.a.

[11] Control de Accesocontrol [Current] [Target] [PILAR][11] Control de Acceso 40% 94% 85% [1.11] Requisitos del control de Acceso 29% 95% 83% [11.1.1] Política de control de Acceso 29% 95% 83% [2.11] Gestión de usuarios 48% 95% 90% [11.2.1] Registro de usuarios 74% 95% 91% [11.2.2] Gestión de privilegios 65% 95% 86% [11.2.3] Gestión de contraseñas 47% 95% 91% [11.2.4] Revisión de Derechos de Acceso 5% 95% 92% [11.3] Responsabilidades de los usuarios 28% 94% 92% [11.3.1] Uso de contraseñas 34% 95% 91% [11.3.2] Equipo desatendido 45% 95% 95% [11.3.3] Puesto, trabajo limpio y pantalla en blanco 7% 93% 90% [11.4] Control de Acceso a la red 30% 95% n.a. [11.4.1] Política de uso de los Servicios de red 10% 95% n.a. [11.4.2] Autenticación de usuarios en Access remoto 90% 95% n.a. [11.4.3] Identificación de Equipos en la red 29% 95% n.a. [11.4.4] Puertas de diagnóstico y configuración remota 10% 95% n.a. [11.4.5] segregaciones de redes 50% 95% n.a. [11.4.6] Control de conexión a la red 10% 95% n.a. [11.4.7] Control de encaminamiento 10% 95% n.a. [11.5] Control del Acceso a sistemas en operaciones 34% 94% 93% [11.5.1] Procedimientos de inicio de sesión (log-on) 25% 95% 92% [11.5.2] Identificación y autenticación de usuarios 80% 93% 91% [11.5.3] Gestión de contraseñas 70% 94% 91%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 126/204

Page 127: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[11.5.4] Uso de los recursos del sistema 25% 95% 92% [11.5.5] desconexiones automática de la sesión 0% 95% 100% [11.5.6] Limitación del tiempo de conexión 5% 95% 90% [11.6] Control de Acceso a datos y aplicaciones 70% 92% 81% [11.6.1] restricciones del Acceso a la información 51% 95% 81% [11.6.2] Aislamiento de sistemas críticos 90% 90% n.a. [7.11] Equipos móviles y tele-Trabajo 38% 95% 70% [11.7.1] Equipos móviles 45% 95% n.a. [11.7.2] Teletrabajo 30% 95% 70%

[12] Adquisición, Desarrollo y Mantenimiento de los sistemas de informacióncontrol [Current] [Target] [PILAR][12] Adquisición, Desarrollo y Mantenimiento de los sistemas de información

26% 95% 78%

[1.12] Requisitos de Seguridad 10% 95% 60% [12.1.1] Análisis y especificación de Requisitos 10% 95% 60% [2.12] Garantías de Procesamiento de información 10% 95% 80% [12.2.1] Validación de datos de entrada 10% 95% 90% [12.2.2] Control de Tratamiento interno 10% 95% 70% [12.2.3] integridad de los Mensajes 10% 95% 90% [12.2.4] Validación de los datos de salida 10% 95% 70% [3.12] Controlas criptográficos 62% 95% 90% [12.3.1] Política de uso 33% 95% 90% [12.3.2] Gestión de claves 91% 95% n.a. [12.04] Seguridad de los archivos del sistema 19% 95% 77% [12.4.1] Control de programas en producción 37% 95% 71% [12.4.2] Protección de los datos de prueba 10% 95% 90% [12.4.3] Control de Acceso al código fuente 10% 95% 70% [12.05] Seguridad en los procesos de Desarrollo y soporte 33% 95% 75% [12.5.1] Procedimientos de control de Cambios 50% 95% 70% [12.5.2] Revisión técnica de las aplicaciones tras Cambios del SO

15% 95% 80%

[12.5.3] restricciones a los Cambios de aplicaciones en producción

65% 95% 63%

[12.5.4] Fugas de información 23% 95% 89% [12.5.5] Desarrollo externalizado (outsourcing) 10% 95% 70% [6.12] Gestión de Vulnerabilidad 23% 95% 84% [12.6.1] Control de Vulnerabilidad Técnicas 23% 95% 84%

[13] Gestión de Incidentes de Seguridad de informacióncontrol [Current] [Target] [PILAR]

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 127/204

Page 128: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[13] Gestión de Incidentes de Seguridad de información 19% 95% 85% [1.13] Comunicación de incidencias y debilidades 10% 95% 90% [13.1.1] Comunicación de incidencias 10% 95% 90% [13.1.2] Comunicación de debilidades 10% 95% 90% [2.13] Gestión de Incidentes y Mejoras 28% 95% 80% [13.2.1] Responsabilidades y Procedimientos 25% 95% 70% [13.2.2] Aprendiendo del pasado 28% 95% 80% [13.2.3] Recopilación de evidencias 30% 95% 90%

[14] Gestión de la Continuidad del negociocontrol [Current] [Target] [PILAR][14] Gestión de la Continuidad del negocio 0% 90% 79% [14.01] Seguridad de la información en relacionado a la gestión de la Continuidad

0% 90% 79%

[14.1.1] Inclusión de la Seguridad de la información en los llanos de Continuidad

0% 90% 90%

[14.1.2] Continuidad y Evaluación de Riesgos 0% 90% 70% [14.1.3] Desarrollo e implantaciones de páginas de Continuidad incluyendo la Seguridad de la información

0% 90% 70%

[14.1.4] Marco de Planificación de la Continuidad 0% 90% 73% [14.1.5] Prueba, Mantenimiento y re-Evaluación de los llanos de Continuidad

0% 90% 90%

[15] Cumplimientocontrol [Current] [Target] [PILAR][15] Cumplimiento 17% 95% 75% [1.15] Satisfacción de Requisitos legales 26% 95% 85% [15.1.1] Identificación de Legislación aplicable 10% 95% 90% [15.1.2] Derechos de propiedad intelectual (IPR) 30% 95% 78% [15.1.3] Protección de los documentos de la Organización 5% 95% 70% [15.1.4] Protección de datos e información de carácter personal

50% 95% 91%

[15.1.5] Prevención frente al mal uso de los medios de Tratamiento de la información

26% 95% 90%

[15.1.6] Regulación de controlas criptográficos 34% 94% 90% [2.15] Cumplimiento de políticas, normas y reglamentos Técnicos

15% 95% 66%

[15.2.1] Cumplimiento de políticas y Normas 10% 95% 50% [15.2.2] Verificación del cumplimiento técnico 20% 95% 81% [3.15] Consideraciones sobre auditoría de los sistemas de información

10% 95% n.a.

[15.3.1] Controlas de auditoría 10% 95% n.a. [15.3.2] Protección de las herramientas de auditoría 10% 95% n.a.

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 128/204

Page 129: Gap Analysis: Avaluació de les mesures de seguretat a implantar

Dominio de Seguridad: [PEC] Planificación Económica

[5] Política de Seguridadcontrol [Current] [Target] [PILAR][5] Política de Seguridad 10% 95% 80% [5.1] Política de Seguridad de la información 10% 95% 80% [5.1.1] Documento de política de Seguridad de la información

10% 95% 70%

[5.1.2] Revisión de la política de Seguridad de la información

10% 95% 90%

[6] Aspectos organizativos de la Seguridad de la informacióncontrol [Current] [Target] [PILAR][6] Aspectos organizativos de la Seguridad de la información 23% 87% 73% [6.1] Organización interna 22% 95% 60% [6.1.1] Comité de gestión de la Seguridad de la información

0% 95% 50%

[6.1.2] Coordinación para la Seguridad de la información 10% 95% 50% [6.1.3] Asignación de Responsabilidades relativas a la Seguridad de la información

28% 95% 60%

[6.1.4] Proceso de autorización de recursos para el Tratamiento de la información

24% 95% 60%

[6.1.5] Acuerdos de Confidencialidad 70% 95% 90% [6.1.6] Contacto con las Autoridades 10% 95% 50% [6.1.7] Contacto con grupos de interés específicos 23% 95% 50% [6.1.8] Revisión independiente de la Seguridad de la información

10% 95% 70%

[6.2] Relaciones con Terceros 24% 79% 85% [6.2.1] Identificación de Riesgos Derivados del Acceso de Terceros

0% 95% n.a.

[6.2.2] Tratamiento de la Seguridad en las relaciones con clientes

22% 47% 90%

[6.2.3] Tratamiento de la Seguridad en Contratos con Terceros

50% 95% 80%

[7] Gestión de Activoscontrol [Current] [Target] [PILAR][7] Gestión de Activos 27% 95% 83% [7.1] Responsabilidad sobre los ACTIVOS 24% 94% 83% [7.1.1] Inventario de Activos 18% 94% 80% [7.1.2] Propiedad de los ACTIVOS 22% 94% 80% [7.1.3] Condiciones de uso de los ACTIVOS 31% 94% 90%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 129/204

Page 130: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[7.2] Clasificación de la información 30% 95% n.a. [7.2.1] Directrices de Clasificación 50% 95% n.a. [7.2.2] Etiquetado y Tratamiento de la información

10% 95% n.a.

[8] Seguridad relacionada con los recursos humanoscontrol [Current] [Target] [PILAR][8] Seguridad relacionada con los recursos humanos 69% 95% 79% [8.1] Previa a la contratación 74% 95% 78% [8.1.1] Funciones y responsabilidad 42% 95% 74% [8.1.2] Investigación de antecedentes 90% 95% 90% [8.1.3] Términos y condiciones laborales 90% 95% 70% [8.2] Mientras dure la contratación 57% 95% 77% [8.2.1] Responsabilidades de la Dirección 70% 95% 70% [8.2.2] Concienciación, formación y capacitación en Seguridad de la información

10% 95% 70%

[8.2.3] Medidas disciplinarias 90% 95% 90% [8.3] Fin de la contratación o cambio de puesto, trabajo 77% 95% 83% [8.3.1] Responsabilidad del CESE o cambio 90% 95% 70% [8.3.2] Devolución de Activos 90% 95% 90% [8.3.3] cancelaciones de los Derechos de Acceso 50% 95% 90%

[9] Seguridad física y del entornocontrol [Current] [Target] [PILAR][9] Seguridad física y del entorno 56% 93% 79% [9.1] Áreas seguras 67% 92% n.a. [9.1.1] perímetros de Seguridad Física 49% 91% n.a. [9.1.2] Controlas Físicos de entrada 47% 92% n.a. [9.1.3] Aseguramiento de oficinas, salas e instalaciones 67% 90% n.a. [9.1.4] Protección frente a amenazas externas 69% 91% n.a. [9.1.5] reglamentaciones del Trabajo en área seguras 80% 95% n.a. [9.1.6] Áreas Abiertas al público, zonas de entrega, carga y descarga

90% 90% n.a.

[9.2] Seguridad del Equipamiento 45% 95% 79% [9.2.1] Ubicación y Protección de los Equipos 63% 93% 90% [9.2.2] Suministros 51% 95% 81% [9.2.3] Seguridad del cableado 50% 95% n.a. [9.2.4] Mantenimiento de Equipos 50% 95% 70% [9.2.5] Seguridad de los Equipos Fuera de las instalaciones

5% 95% 70%

[9.2.6] Retirada o reutilización de Equipos (pasan a Otras manos)

93% 95% 90%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 130/204

Page 131: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[9.2.7] Activos que salan de las instalaciones (removal of property)

5% 95% 70%

[10] Gestión de comunicaciones y operacionescontrol [Current] [Target] [PILAR][10] Gestión de comunicaciones y operaciones 30% 95% 73% [10.1] Responsabilidades y Procedimientos de Operación 24% 95% 77% [10.1.1] Documentación de los Procedimientos de Operación

20% 95% 83%

[10.1.2] Gestión de Cambios 40% 95% 70% [10.1.3] segregaciones de tareas 25% 95% 70% [10.1.4] Separación de los recursos de Desarrollo, prueba y Operación

10% 95% 83%

[10.2] Gestión de Servicios prestados por Terceros 23% 95% 60% [10.2.1] prestaciones de los Servicios 10% 95% 70% [10.2.2] Supervisión y Revisión de los Servicios 50% 95% 59% [10.2.3] Gestión de Cambios en los Servicios 10% 95% 50% [3.10] Planificación y aceptación de sistemas 28% 95% 70% [10.3.1] Gestión de capacidades 10% 95% 70% [10.3.2] aceptación de Nuevos sistemas 46% 95% 70% [4.10] Protección frente a código Danin y código descargable

24% 95% 81%

[10.4.1] Protección frente a código Danin 39% 95% 91% [10.4.2] Protección frente a código descargado (ej. applets)

10% 95% 70%

[5.10] Copias de Seguridad 38% 95% 90% [10.5.1] Copias de Seguridad 38% 95% 90% [10.6] Gestión de la Seguridad de las redes 28% 95% 50% [10.6.1] Controlas de red 28% 95% 50% [10.6.2] Seguridad de los Servicios de red 28% 95% n.a. [7.10] Tratamiento de soportes de información 41% 95% 70% [10.7.1] Gestión de soportes 40% 95% n.a. [10.7.2] Retirada de soportes 92% 95% n.a. [10.7.3] Procedimientos de Tratamiento de la información 20% 95% n.a. [10.7.4] Seguridad de la Documentación del sistema 10% 95% 70% [8.10] Intercambios de información 31% 94% 90% [10.8.1] Normas y Procedimientos 41% 94% n.a. [10.8.2] Acuerdos de intercambio 10% 95% 90% [10.8.3] Soportes Físicos en tránsito 20% 95% n.a. [10.8.4] Mensajería electrónica 52% 92% n.a. [10.8.5] Interconexión de sistemas de información 31% 95% 90% [09.10] Servicios de comercio electrónico 38% 95% n.a. [10.9.1] Comercio electrónico 10% 95% n.a. [10.9.2] Transacciones en línea 54% 95% n.a. [10.9.3] Información Puesta a disposición pública 50% 95% n.a.

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 131/204

Page 132: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[10:10] Supervisión 30% 95% 70% [10.10.1] Pistas de auditoría 10% 95% n.a. [10.10.2] Supervisión del uso de los sistemas 50% 95% n.a. [10.10.3] Protección de registros (logs) 30% 95% n.a. [10.10.4] Registros de administración y operaciones 10% 95% n.a. [10.10.5] Registro de fallos 30% 95% 70% [10.10.6] Sincronización de Relojes 52% 95% n.a.

[11] Control de Accesocontrol [Current] [Target] [PILAR][11] Control de Acceso 40% 94% 85% [1.11] Requisitos del control de Acceso 29% 95% 83% [11.1.1] Política de control de Acceso 29% 95% 83% [2.11] Gestión de usuarios 48% 95% 90% [11.2.1] Registro de usuarios 74% 95% 91% [11.2.2] Gestión de privilegios 65% 95% 86% [11.2.3] Gestión de contraseñas 47% 95% 90% [11.2.4] Revisión de Derechos de Acceso 5% 95% 92% [11.3] Responsabilidades de los usuarios 28% 94% 92% [11.3.1] Uso de contraseñas 34% 95% 90% [11.3.2] Equipo desatendido 45% 95% 95% [11.3.3] Puesto, trabajo limpio y pantalla en blanco 7% 93% 90% [11.4] Control de Acceso a la red 30% 95% n.a. [11.4.1] Política de uso de los Servicios de red 10% 95% n.a. [11.4.2] Autenticación de usuarios en Access remoto 90% 95% n.a. [11.4.3] Identificación de Equipos en la red 29% 95% n.a. [11.4.4] Puertas de diagnóstico y configuración remota 10% 95% n.a. [11.4.5] segregaciones de redes 50% 95% n.a. [11.4.6] Control de conexión a la red 10% 95% n.a. [11.4.7] Control de encaminamiento 10% 95% n.a. [11.5] Control del Acceso a sistemas en operaciones 34% 94% 93% [11.5.1] Procedimientos de inicio de sesión (log-on) 25% 95% 92% [11.5.2] Identificación y autenticación de usuarios 80% 93% 91% [11.5.3] Gestión de contraseñas 70% 94% 91% [11.5.4] Uso de los recursos del sistema 25% 95% 92% [11.5.5] desconexiones automática de la sesión 0% 95% 100% [11.5.6] Limitación del tiempo de conexión 5% 95% 90% [11.6] Control de Acceso a datos y aplicaciones 70% 92% 81% [11.6.1] restricciones del Acceso a la información 51% 95% 81% [11.6.2] Aislamiento de sistemas críticos 90% 90% n.a. [7.11] Equipos móviles y tele-Trabajo 38% 95% 70% [11.7.1] Equipos móviles 45% 95% 70% [11.7.2] Teletrabajo 30% 95% n.a.

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 132/204

Page 133: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[12] Adquisición, Desarrollo y Mantenimiento de los sistemas de informacióncontrol [Current] [Target] [PILAR][12] Adquisición, Desarrollo y Mantenimiento de los sistemas de información

26% 95% 75%

[1.12] Requisitos de Seguridad 10% 95% 60% [12.1.1] Análisis y especificación de Requisitos 10% 95% 60% [2.12] Garantías de Procesamiento de información 10% 95% 80% [12.2.1] Validación de datos de entrada 10% 95% 90% [12.2.2] Control de Tratamiento interno 10% 95% 70% [12.2.3] integridad de los Mensajes 10% 95% 90% [12.2.4] Validación de los datos de salida 10% 95% 70% [3.12] Controlas criptográficos 62% 95% n.a. [12.3.1] Política de uso 33% 95% n.a. [12.3.2] Gestión de claves 91% 95% n.a. [12.04] Seguridad de los archivos del sistema 19% 95% 77% [12.4.1] Control de programas en producción 37% 95% 71% [12.4.2] Protección de los datos de prueba 10% 95% 90% [12.4.3] Control de Acceso al código fuente 10% 95% 70% [12.05] Seguridad en los procesos de Desarrollo y soporte 33% 95% 76% [12.5.1] Procedimientos de control de Cambios 50% 95% 70% [12.5.2] Revisión técnica de las aplicaciones tras Cambios del SO

15% 95% 85%

[12.5.3] restricciones a los Cambios de aplicaciones en producción

65% 95% 63%

[12.5.4] Fugas de información 23% 95% 90% [12.5.5] Desarrollo externalizado (outsourcing) 10% 95% 70% [6.12] Gestión de Vulnerabilidad 23% 95% 84% [12.6.1] Control de Vulnerabilidad Técnicas 23% 95% 84%

[13] Gestión de Incidentes de Seguridad de informacióncontrol [Current] [Target] [PILAR][13] Gestión de Incidentes de Seguridad de información 19% 95% 85% [1.13] Comunicación de incidencias y debilidades 10% 95% 90% [13.1.1] Comunicación de incidencias 10% 95% 90% [13.1.2] Comunicación de debilidades 10% 95% 90% [2.13] Gestión de Incidentes y Mejoras 28% 95% 80% [13.2.1] Responsabilidades y Procedimientos 25% 95% 70% [13.2.2] Aprendiendo del pasado 28% 95% 80% [13.2.3] Recopilación de evidencias 30% 95% 90%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 133/204

Page 134: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[14] Gestión de la Continuidad del negociocontrol [Current] [Target] [PILAR][14] Gestión de la Continuidad del negocio 0% 90% 79% [14.01] Seguridad de la información en relacionado a la gestión de la Continuidad

0% 90% 79%

[14.1.1] Inclusión de la Seguridad de la información en los llanos de Continuidad

0% 90% 90%

[14.1.2] Continuidad y Evaluación de Riesgos 0% 90% 70% [14.1.3] Desarrollo e implantaciones de páginas de Continuidad incluyendo la Seguridad de la información

0% 90% 70%

[14.1.4] Marco de Planificación de la Continuidad 0% 90% 73% [14.1.5] Prueba, Mantenimiento y re-Evaluación de los llanos de Continuidad

0% 90% 90%

[15] Cumplimientocontrol [Current] [Target] [PILAR][15] Cumplimiento 17% 95% 76% [1.15] Satisfacción de Requisitos legales 26% 95% 87% [15.1.1] Identificación de Legislación aplicable 10% 95% 90% [15.1.2] Derechos de propiedad intelectual (IPR) 30% 95% 77% [15.1.3] Protección de los documentos de la Organización 5% 95% n.a. [15.1.4] Protección de datos e información de carácter personal

50% 95% 90%

[15.1.5] Prevención frente al mal uso de los medios de Tratamiento de la información

26% 95% 90%

[15.1.6] Regulación de controlas criptográficos 34% 94% n.a. [2.15] Cumplimiento de políticas, normas y reglamentos Técnicos

15% 95% 66%

[15.2.1] Cumplimiento de políticas y Normas 10% 95% 50% [15.2.2] Verificación del cumplimiento técnico 20% 95% 81% [3.15] Consideraciones sobre auditoría de los sistemas de información

10% 95% n.a.

[15.3.1] Controlas de auditoría 10% 95% n.a. [15.3.2] Protección de las herramientas de auditoría 10% 95% n.a.

Dominio de Seguridad: [JUR] Jurídico

[5] Política de Seguridadcontrol [Current] [Target] [PILAR][5] Política de Seguridad 10% 95% 80% [5.1] Política de Seguridad de la información 10% 95% 80% [5.1.1] Documento de política de Seguridad de la información

10% 95% 70%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 134/204

Page 135: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[5.1.2] Revisión de la política de Seguridad de la información

10% 95% 90%

[6] Aspectos organizativos de la Seguridad de la informacióncontrol [Current] [Target] [PILAR][6] Aspectos organizativos de la Seguridad de la información 23% 87% 74% [6.1] Organización interna 22% 95% 59% [6.1.1] Comité de gestión de la Seguridad de la información

0% 95% 50%

[6.1.2] Coordinación para la Seguridad de la información 10% 95% 50% [6.1.3] Asignación de Responsabilidades relativas a la Seguridad de la información

28% 95% 60%

[6.1.4] Proceso de autorización de recursos para el Tratamiento de la información

24% 95% 60%

[6.1.5] Acuerdos de Confidencialidad 70% 95% 80% [6.1.6] Contacto con las Autoridades 10% 95% 50% [6.1.7] Contacto con grupos de interés específicos 23% 95% 50% [6.1.8] Revisión independiente de la Seguridad de la información

10% 95% 70%

[6.2] Relaciones con Terceros 24% 79% 90% [6.2.1] Identificación de Riesgos Derivados del Acceso de Terceros

0% 95% n.a.

[6.2.2] Tratamiento de la Seguridad en las relaciones con clientes

22% 47% 90%

[6.2.3] Tratamiento de la Seguridad en Contratos con Terceros

50% 95% n.a.

[7] Gestión de Activoscontrol [Current] [Target] [PILAR][7] Gestión de Activos 27% 95% 81% [7.1] Responsabilidad sobre los ACTIVOS 24% 94% 81% [7.1.1] Inventario de Activos 18% 94% 77% [7.1.2] Propiedad de los ACTIVOS 22% 94% 77% [7.1.3] Condiciones de uso de los ACTIVOS 31% 94% 90% [7.2] Clasificación de la información 30% 95% n.a. [7.2.1] Directrices de Clasificación 50% 95% n.a. [7.2.2] Etiquetado y Tratamiento de la información

10% 95% n.a.

[8] Seguridad relacionada con los recursos humanos

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 135/204

Page 136: Gap Analysis: Avaluació de les mesures de seguretat a implantar

control [Current] [Target] [PILAR][8] Seguridad relacionada con los recursos humanos 69% 95% 79% [8.1] Previa a la contratación 74% 95% 78% [8.1.1] Funciones y responsabilidad 42% 95% 74% [8.1.2] Investigación de antecedentes 90% 95% 90% [8.1.3] Términos y condiciones laborales 90% 95% 70% [8.2] Mientras dure la contratación 57% 95% 77% [8.2.1] Responsabilidades de la Dirección 70% 95% 70% [8.2.2] Concienciación, formación y capacitación en Seguridad de la información

10% 95% 70%

[8.2.3] Medidas disciplinarias 90% 95% 90% [8.3] Fin de la contratación o cambio de puesto, trabajo 77% 95% 83% [8.3.1] Responsabilidad del CESE o cambio 90% 95% 70% [8.3.2] Devolución de Activos 90% 95% 90% [8.3.3] cancelaciones de los Derechos de Acceso 50% 95% 90%

[9] Seguridad física y del entornocontrol [Current] [Target] [PILAR][9] Seguridad física y del entorno 56% 93% 79% [9.1] Áreas seguras 67% 92% n.a. [9.1.1] perímetros de Seguridad Física 49% 91% n.a. [9.1.2] Controlas Físicos de entrada 47% 92% n.a. [9.1.3] Aseguramiento de oficinas, salas e instalaciones 67% 90% n.a. [9.1.4] Protección frente a amenazas externas 69% 91% n.a. [9.1.5] reglamentaciones del Trabajo en área seguras 80% 95% n.a. [9.1.6] Áreas Abiertas al público, zonas de entrega, carga y descarga

90% 90% n.a.

[9.2] Seguridad del Equipamiento 45% 95% 79% [9.2.1] Ubicación y Protección de los Equipos 63% 93% 90% [9.2.2] Suministros 51% 95% 81% [9.2.3] Seguridad del cableado 50% 95% n.a. [9.2.4] Mantenimiento de Equipos 50% 95% 70% [9.2.5] Seguridad de los Equipos Fuera de las instalaciones

5% 95% 70%

[9.2.6] Retirada o reutilización de Equipos (pasan a Otras manos)

93% 95% 90%

[9.2.7] Activos que salan de las instalaciones (removal of property)

5% 95% 70%

[10] Gestión de comunicaciones y operacionescontrol [Current] [Target] [PILAR][10] Gestión de comunicaciones y operaciones 30% 95% 67% [10.1] Responsabilidades y Procedimientos de Operación 24% 95% 73% [10.1.1] Documentación de los Procedimientos de 20% 95% 80%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 136/204

Page 137: Gap Analysis: Avaluació de les mesures de seguretat a implantar

Operación [10.1.2] Gestión de Cambios 40% 95% 70% [10.1.3] segregaciones de tareas 25% 95% 70% [10.1.4] Separación de los recursos de Desarrollo, prueba y Operación

10% 95% n.a.

[10.2] Gestión de Servicios prestados por Terceros 23% 95% n.a. [10.2.1] prestaciones de los Servicios 10% 95% n.a. [10.2.2] Supervisión y Revisión de los Servicios 50% 95% n.a. [10.2.3] Gestión de Cambios en los Servicios 10% 95% n.a. [3.10] Planificación y aceptación de sistemas 28% 95% 70% [10.3.1] Gestión de capacidades 10% 95% 70% [10.3.2] aceptación de Nuevos sistemas 46% 95% 70% [4.10] Protección frente a código Danin y código descargable

24% 95% n.a.

[10.4.1] Protección frente a código Danin 39% 95% n.a. [10.4.2] Protección frente a código descargado (ej. applets)

10% 95% n.a.

[5.10] Copias de Seguridad 38% 95% n.a. [10.5.1] Copias de Seguridad 38% 95% n.a. [10.6] Gestión de la Seguridad de las redes 28% 95% 50% [10.6.1] Controlas de red 28% 95% 50% [10.6.2] Seguridad de los Servicios de red 28% 95% n.a. [7.10] Tratamiento de soportes de información 41% 95% 70% [10.7.1] Gestión de soportes 40% 95% n.a. [10.7.2] Retirada de soportes 92% 95% n.a. [10.7.3] Procedimientos de Tratamiento de la información 20% 95% n.a. [10.7.4] Seguridad de la Documentación del sistema 10% 95% 70% [8.10] Intercambios de información 31% 94% n.a. [10.8.1] Normas y Procedimientos 41% 94% n.a. [10.8.2] Acuerdos de intercambio 10% 95% n.a. [10.8.3] Soportes Físicos en tránsito 20% 95% n.a. [10.8.4] Mensajería electrónica 52% 92% n.a. [10.8.5] Interconexión de sistemas de información 31% 95% n.a. [09.10] Servicios de comercio electrónico 38% 95% n.a. [10.9.1] Comercio electrónico 10% 95% n.a. [10.9.2] Transacciones en línea 54% 95% n.a. [10.9.3] Información Puesta a disposición pública 50% 95% n.a. [10:10] Supervisión 30% 95% 70% [10.10.1] Pistas de auditoría 10% 95% n.a. [10.10.2] Supervisión del uso de los sistemas 50% 95% n.a. [10.10.3] Protección de registros (logs) 30% 95% n.a. [10.10.4] Registros de administración y operaciones 10% 95% n.a. [10.10.5] Registro de fallos 30% 95% 70% [10.10.6] Sincronización de Relojes 52% 95% n.a.

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 137/204

Page 138: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[11] Control de Accesocontrol [Current] [Target] [PILAR][11] Control de Acceso 40% 94% 88% [1.11] Requisitos del control de Acceso 29% 95% 83% [11.1.1] Política de control de Acceso 29% 95% 83% [2.11] Gestión de usuarios 48% 95% 89% [11.2.1] Registro de usuarios 74% 95% n.a. [11.2.2] Gestión de privilegios 65% 95% 86% [11.2.3] Gestión de contraseñas 47% 95% n.a. [11.2.4] Revisión de Derechos de Acceso 5% 95% 92% [11.3] Responsabilidades de los usuarios 28% 94% 92% [11.3.1] Uso de contraseñas 34% 95% n.a. [11.3.2] Equipo desatendido 45% 95% 92% [11.3.3] Puesto, trabajo limpio y pantalla en blanco 7% 93% n.a. [11.4] Control de Acceso a la red 30% 95% n.a. [11.4.1] Política de uso de los Servicios de red 10% 95% n.a. [11.4.2] Autenticación de usuarios en Access remoto 90% 95% n.a. [11.4.3] Identificación de Equipos en la red 29% 95% n.a. [11.4.4] Puertas de diagnóstico y configuración remota 10% 95% n.a. [11.4.5] segregaciones de redes 50% 95% n.a. [11.4.6] Control de conexión a la red 10% 95% n.a. [11.4.7] Control de encaminamiento 10% 95% n.a. [11.5] Control del Acceso a sistemas en operaciones 34% 94% 93% [11.5.1] Procedimientos de inicio de sesión (log-on) 25% 95% 92% [11.5.2] Identificación y autenticación de usuarios 80% 93% n.a. [11.5.3] Gestión de contraseñas 70% 94% n.a. [11.5.4] Uso de los recursos del sistema 25% 95% n.a. [11.5.5] desconexiones automática de la sesión 0% 95% 95% [11.5.6] Limitación del tiempo de conexión 5% 95% 90% [11.6] Control de Acceso a datos y aplicaciones 70% 92% 81% [11.6.1] restricciones del Acceso a la información 51% 95% 81% [11.6.2] Aislamiento de sistemas críticos 90% 90% n.a. [7.11] Equipos móviles y tele-Trabajo 38% 95% n.a. [11.7.1] Equipos móviles 45% 95% n.a. [11.7.2] Teletrabajo 30% 95% n.a.

[12] Adquisición, Desarrollo y Mantenimiento de los sistemas de informacióncontrol [Current] [Target] [PILAR][12] Adquisición, Desarrollo y Mantenimiento de los sistemas de información

26% 95% 65%

[1.12] Requisitos de Seguridad 10% 95% 60% [12.1.1] Análisis y especificación de Requisitos 10% 95% 60%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 138/204

Page 139: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[2.12] Garantías de Procesamiento de información 10% 95% n.a. [12.2.1] Validación de datos de entrada 10% 95% n.a. [12.2.2] Control de Tratamiento interno 10% 95% n.a. [12.2.3] integridad de los Mensajes 10% 95% n.a. [12.2.4] Validación de los datos de salida 10% 95% n.a. [3.12] Controlas criptográficos 62% 95% n.a. [12.3.1] Política de uso 33% 95% n.a. [12.3.2] Gestión de claves 91% 95% n.a. [12.04] Seguridad de los archivos del sistema 19% 95% n.a. [12.4.1] Control de programas en producción 37% 95% n.a. [12.4.2] Protección de los datos de prueba 10% 95% n.a. [12.4.3] Control de Acceso al código fuente 10% 95% n.a. [12.05] Seguridad en los procesos de Desarrollo y soporte 33% 95% n.a. [12.5.1] Procedimientos de control de Cambios 50% 95% n.a. [12.5.2] Revisión técnica de las aplicaciones tras Cambios del SO

15% 95% n.a.

[12.5.3] restricciones a los Cambios de aplicaciones en producción

65% 95% n.a.

[12.5.4] Fugas de información 23% 95% n.a. [12.5.5] Desarrollo externalizado (outsourcing) 10% 95% n.a. [6.12] Gestión de Vulnerabilidad 23% 95% 70% [12.6.1] Control de Vulnerabilidad Técnicas 23% 95% 70%

[13] Gestión de Incidentes de Seguridad de informacióncontrol [Current] [Target] [PILAR][13] Gestión de Incidentes de Seguridad de información 19% 95% 85% [1.13] Comunicación de incidencias y debilidades 10% 95% 90% [13.1.1] Comunicación de incidencias 10% 95% 90% [13.1.2] Comunicación de debilidades 10% 95% 90% [2.13] Gestión de Incidentes y Mejoras 28% 95% 80% [13.2.1] Responsabilidades y Procedimientos 25% 95% 70% [13.2.2] Aprendiendo del pasado 28% 95% 80% [13.2.3] Recopilación de evidencias 30% 95% 90%

[14] Gestión de la Continuidad del negociocontrol [Current] [Target] [PILAR][14] Gestión de la Continuidad del negocio 0% 90% 79% [14.01] Seguridad de la información en relacionado a la gestión de la Continuidad

0% 90% 79%

[14.1.1] Inclusión de la Seguridad de la información en los llanos de Continuidad

0% 90% 90%

[14.1.2] Continuidad y Evaluación de Riesgos 0% 90% 70%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 139/204

Page 140: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[14.1.3] Desarrollo e implantaciones de páginas de Continuidad incluyendo la Seguridad de la información

0% 90% 70%

[14.1.4] Marco de Planificación de la Continuidad 0% 90% 73% [14.1.5] Prueba, Mantenimiento y re-Evaluación de los llanos de Continuidad

0% 90% 90%

[15] Cumplimientocontrol [Current] [Target] [PILAR][15] Cumplimiento 17% 95% 72% [1.15] Satisfacción de Requisitos legales 26% 95% 83% [15.1.1] Identificación de Legislación aplicable 10% 95% 90% [15.1.2] Derechos de propiedad intelectual (IPR) 30% 95% 70% [15.1.3] Protección de los documentos de la Organización 5% 95% n.a. [15.1.4] Protección de datos e información de carácter personal

50% 95% n.a.

[15.1.5] Prevención frente al mal uso de los medios de Tratamiento de la información

26% 95% 90%

[15.1.6] Regulación de controlas criptográficos 34% 94% n.a. [2.15] Cumplimiento de políticas, normas y reglamentos Técnicos

15% 95% 60%

[15.2.1] Cumplimiento de políticas y Normas 10% 95% 50% [15.2.2] Verificación del cumplimiento técnico 20% 95% 70% [3.15] Consideraciones sobre auditoría de los sistemas de información

10% 95% n.a.

[15.3.1] Controlas de auditoría 10% 95% n.a. [15.3.2] Protección de las herramientas de auditoría 10% 95% n.a.

Dominio de Seguridad: [ORG] Organización

[5] Política de Seguridadcontrol [Current] [Target] [PILAR][5] Política de Seguridad 10% 95% 80% [5.1] Política de Seguridad de la información 10% 95% 80% [5.1.1] Documento de política de Seguridad de la información

10% 95% 70%

[5.1.2] Revisión de la política de Seguridad de la información

10% 95% 90%

[6] Aspectos organizativos de la Seguridad de la informacióncontrol [Current] [Target] [PILAR][6] Aspectos organizativos de la Seguridad de la información 23% 87% 74% [6.1] Organización interna 22% 95% 59%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 140/204

Page 141: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[6.1.1] Comité de gestión de la Seguridad de la información

0% 95% 50%

[6.1.2] Coordinación para la Seguridad de la información 10% 95% 50% [6.1.3] Asignación de Responsabilidades relativas a la Seguridad de la información

28% 95% 60%

[6.1.4] Proceso de autorización de recursos para el Tratamiento de la información

24% 95% 60%

[6.1.5] Acuerdos de Confidencialidad 70% 95% 80% [6.1.6] Contacto con las Autoridades 10% 95% 50% [6.1.7] Contacto con grupos de interés específicos 23% 95% 50% [6.1.8] Revisión independiente de la Seguridad de la información

10% 95% 70%

[6.2] Relaciones con Terceros 24% 79% 90% [6.2.1] Identificación de Riesgos Derivados del Acceso de Terceros

0% 95% n.a.

[6.2.2] Tratamiento de la Seguridad en las relaciones con clientes

22% 47% 90%

[6.2.3] Tratamiento de la Seguridad en Contratos con Terceros

50% 95% n.a.

[7] Gestión de Activoscontrol [Current] [Target] [PILAR][7] Gestión de Activos 27% 95% 81% [7.1] Responsabilidad sobre los ACTIVOS 24% 94% 81% [7.1.1] Inventario de Activos 18% 94% 77% [7.1.2] Propiedad de los ACTIVOS 22% 94% 77% [7.1.3] Condiciones de uso de los ACTIVOS 31% 94% 90% [7.2] Clasificación de la información 30% 95% n.a. [7.2.1] Directrices de Clasificación 50% 95% n.a. [7.2.2] Etiquetado y Tratamiento de la información

10% 95% n.a.

[8] Seguridad relacionada con los recursos humanoscontrol [Current] [Target] [PILAR][8] Seguridad relacionada con los recursos humanos 69% 95% 79% [8.1] Previa a la contratación 74% 95% 78% [8.1.1] Funciones y responsabilidad 42% 95% 74% [8.1.2] Investigación de antecedentes 90% 95% 90% [8.1.3] Términos y condiciones laborales 90% 95% 70% [8.2] Mientras dure la contratación 57% 95% 77% [8.2.1] Responsabilidades de la Dirección 70% 95% 70% [8.2.2] Concienciación, formación y capacitación en 10% 95% 70%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 141/204

Page 142: Gap Analysis: Avaluació de les mesures de seguretat a implantar

Seguridad de la información [8.2.3] Medidas disciplinarias 90% 95% 90% [8.3] Fin de la contratación o cambio de puesto, trabajo 77% 95% 83% [8.3.1] Responsabilidad del CESE o cambio 90% 95% 70% [8.3.2] Devolución de Activos 90% 95% 90% [8.3.3] cancelaciones de los Derechos de Acceso 50% 95% 90%

[9] Seguridad física y del entornocontrol [Current] [Target] [PILAR][9] Seguridad física y del entorno 56% 93% 79% [9.1] Áreas seguras 67% 92% n.a. [9.1.1] perímetros de Seguridad Física 49% 91% n.a. [9.1.2] Controlas Físicos de entrada 47% 92% n.a. [9.1.3] Aseguramiento de oficinas, salas e instalaciones 67% 90% n.a. [9.1.4] Protección frente a amenazas externas 69% 91% n.a. [9.1.5] reglamentaciones del Trabajo en área seguras 80% 95% n.a. [9.1.6] Áreas Abiertas al público, zonas de entrega, carga y descarga

90% 90% n.a.

[9.2] Seguridad del Equipamiento 45% 95% 79% [9.2.1] Ubicación y Protección de los Equipos 63% 93% 90% [9.2.2] Suministros 51% 95% 81% [9.2.3] Seguridad del cableado 50% 95% n.a. [9.2.4] Mantenimiento de Equipos 50% 95% 70% [9.2.5] Seguridad de los Equipos Fuera de las instalaciones

5% 95% 70%

[9.2.6] Retirada o reutilización de Equipos (pasan a Otras manos)

93% 95% 90%

[9.2.7] Activos que salan de las instalaciones (removal of property)

5% 95% 70%

[10] Gestión de comunicaciones y operacionescontrol [Current] [Target] [PILAR][10] Gestión de comunicaciones y operaciones 30% 95% 67% [10.1] Responsabilidades y Procedimientos de Operación 24% 95% 73% [10.1.1] Documentación de los Procedimientos de Operación

20% 95% 80%

[10.1.2] Gestión de Cambios 40% 95% 70% [10.1.3] segregaciones de tareas 25% 95% 70% [10.1.4] Separación de los recursos de Desarrollo, prueba y Operación

10% 95% n.a.

[10.2] Gestión de Servicios prestados por Terceros 23% 95% n.a. [10.2.1] prestaciones de los Servicios 10% 95% n.a. [10.2.2] Supervisión y Revisión de los Servicios 50% 95% n.a. [10.2.3] Gestión de Cambios en los Servicios 10% 95% n.a.

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 142/204

Page 143: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[3.10] Planificación y aceptación de sistemas 28% 95% 70% [10.3.1] Gestión de capacidades 10% 95% 70% [10.3.2] aceptación de Nuevos sistemas 46% 95% 70% [4.10] Protección frente a código Danin y código descargable

24% 95% n.a.

[10.4.1] Protección frente a código Danin 39% 95% n.a. [10.4.2] Protección frente a código descargado (ej. applets)

10% 95% n.a.

[5.10] Copias de Seguridad 38% 95% n.a. [10.5.1] Copias de Seguridad 38% 95% n.a. [10.6] Gestión de la Seguridad de las redes 28% 95% 50% [10.6.1] Controlas de red 28% 95% 50% [10.6.2] Seguridad de los Servicios de red 28% 95% n.a. [7.10] Tratamiento de soportes de información 41% 95% 70% [10.7.1] Gestión de soportes 40% 95% n.a. [10.7.2] Retirada de soportes 92% 95% n.a. [10.7.3] Procedimientos de Tratamiento de la información 20% 95% n.a. [10.7.4] Seguridad de la Documentación del sistema 10% 95% 70% [8.10] Intercambios de información 31% 94% n.a. [10.8.1] Normas y Procedimientos 41% 94% n.a. [10.8.2] Acuerdos de intercambio 10% 95% n.a. [10.8.3] Soportes Físicos en tránsito 20% 95% n.a. [10.8.4] Mensajería electrónica 52% 92% n.a. [10.8.5] Interconexión de sistemas de información 31% 95% n.a. [09.10] Servicios de comercio electrónico 38% 95% n.a. [10.9.1] Comercio electrónico 10% 95% n.a. [10.9.2] Transacciones en línea 54% 95% n.a. [10.9.3] Información Puesta a disposición pública 50% 95% n.a. [10:10] Supervisión 30% 95% 70% [10.10.1] Pistas de auditoría 10% 95% n.a. [10.10.2] Supervisión del uso de los sistemas 50% 95% n.a. [10.10.3] Protección de registros (logs) 30% 95% n.a. [10.10.4] Registros de administración y operaciones 10% 95% n.a. [10.10.5] Registro de fallos 30% 95% 70% [10.10.6] Sincronización de Relojes 52% 95% n.a.

[11] Control de Accesocontrol [Current] [Target] [PILAR][11] Control de Acceso 40% 94% 88% [1.11] Requisitos del control de Acceso 29% 95% 83% [11.1.1] Política de control de Acceso 29% 95% 83% [2.11] Gestión de usuarios 48% 95% 89% [11.2.1] Registro de usuarios 74% 95% n.a. [11.2.2] Gestión de privilegios 65% 95% 86% [11.2.3] Gestión de contraseñas 47% 95% n.a.

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 143/204

Page 144: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[11.2.4] Revisión de Derechos de Acceso 5% 95% 92% [11.3] Responsabilidades de los usuarios 28% 94% 92% [11.3.1] Uso de contraseñas 34% 95% n.a. [11.3.2] Equipo desatendido 45% 95% 92% [11.3.3] Puesto, trabajo limpio y pantalla en blanco 7% 93% n.a. [11.4] Control de Acceso a la red 30% 95% n.a. [11.4.1] Política de uso de los Servicios de red 10% 95% n.a. [11.4.2] Autenticación de usuarios en Access remoto 90% 95% n.a. [11.4.3] Identificación de Equipos en la red 29% 95% n.a. [11.4.4] Puertas de diagnóstico y configuración remota 10% 95% n.a. [11.4.5] segregaciones de redes 50% 95% n.a. [11.4.6] Control de conexión a la red 10% 95% n.a. [11.4.7] Control de encaminamiento 10% 95% n.a. [11.5] Control del Acceso a sistemas en operaciones 34% 94% 93% [11.5.1] Procedimientos de inicio de sesión (log-on) 25% 95% 92% [11.5.2] Identificación y autenticación de usuarios 80% 93% n.a. [11.5.3] Gestión de contraseñas 70% 94% n.a. [11.5.4] Uso de los recursos del sistema 25% 95% n.a. [11.5.5] desconexiones automática de la sesión 0% 95% 95% [11.5.6] Limitación del tiempo de conexión 5% 95% 90% [11.6] Control de Acceso a datos y aplicaciones 70% 92% 81% [11.6.1] restricciones del Acceso a la información 51% 95% 81% [11.6.2] Aislamiento de sistemas críticos 90% 90% n.a. [7.11] Equipos móviles y tele-Trabajo 38% 95% n.a. [11.7.1] Equipos móviles 45% 95% n.a. [11.7.2] Teletrabajo 30% 95% n.a.

[12] Adquisición, Desarrollo y Mantenimiento de los sistemas de informacióncontrol [Current] [Target] [PILAR][12] Adquisición, Desarrollo y Mantenimiento de los sistemas de información

26% 95% 65%

[1.12] Requisitos de Seguridad 10% 95% 60% [12.1.1] Análisis y especificación de Requisitos 10% 95% 60% [2.12] Garantías de Procesamiento de información 10% 95% n.a. [12.2.1] Validación de datos de entrada 10% 95% n.a. [12.2.2] Control de Tratamiento interno 10% 95% n.a. [12.2.3] integridad de los Mensajes 10% 95% n.a. [12.2.4] Validación de los datos de salida 10% 95% n.a. [3.12] Controlas criptográficos 62% 95% n.a. [12.3.1] Política de uso 33% 95% n.a. [12.3.2] Gestión de claves 91% 95% n.a. [12.04] Seguridad de los archivos del sistema 19% 95% n.a. [12.4.1] Control de programas en producción 37% 95% n.a.

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 144/204

Page 145: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[12.4.2] Protección de los datos de prueba 10% 95% n.a. [12.4.3] Control de Acceso al código fuente 10% 95% n.a. [12.05] Seguridad en los procesos de Desarrollo y soporte 33% 95% n.a. [12.5.1] Procedimientos de control de Cambios 50% 95% n.a. [12.5.2] Revisión técnica de las aplicaciones tras Cambios del SO

15% 95% n.a.

[12.5.3] restricciones a los Cambios de aplicaciones en producción

65% 95% n.a.

[12.5.4] Fugas de información 23% 95% n.a. [12.5.5] Desarrollo externalizado (outsourcing) 10% 95% n.a. [6.12] Gestión de Vulnerabilidad 23% 95% 70% [12.6.1] Control de Vulnerabilidad Técnicas 23% 95% 70%

[13] Gestión de Incidentes de Seguridad de informacióncontrol [Current] [Target] [PILAR][13] Gestión de Incidentes de Seguridad de información 19% 95% 85% [1.13] Comunicación de incidencias y debilidades 10% 95% 90% [13.1.1] Comunicación de incidencias 10% 95% 90% [13.1.2] Comunicación de debilidades 10% 95% 90% [2.13] Gestión de Incidentes y Mejoras 28% 95% 80% [13.2.1] Responsabilidades y Procedimientos 25% 95% 70% [13.2.2] Aprendiendo del pasado 28% 95% 80% [13.2.3] Recopilación de evidencias 30% 95% 90%

[14] Gestión de la Continuidad del negociocontrol [Current] [Target] [PILAR][14] Gestión de la Continuidad del negocio 0% 90% 79% [14.01] Seguridad de la información en relacionado a la gestión de la Continuidad

0% 90% 79%

[14.1.1] Inclusión de la Seguridad de la información en los llanos de Continuidad

0% 90% 90%

[14.1.2] Continuidad y Evaluación de Riesgos 0% 90% 70% [14.1.3] Desarrollo e implantaciones de páginas de Continuidad incluyendo la Seguridad de la información

0% 90% 70%

[14.1.4] Marco de Planificación de la Continuidad 0% 90% 73% [14.1.5] Prueba, Mantenimiento y re-Evaluación de los llanos de Continuidad

0% 90% 90%

[15] Cumplimientocontrol [Current] [Target] [PILAR][15] Cumplimiento 17% 95% 72% [1.15] Satisfacción de Requisitos legales 26% 95% 83%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 145/204

Page 146: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[15.1.1] Identificación de Legislación aplicable 10% 95% 90% [15.1.2] Derechos de propiedad intelectual (IPR) 30% 95% 70% [15.1.3] Protección de los documentos de la Organización 5% 95% n.a. [15.1.4] Protección de datos e información de carácter personal

50% 95% n.a.

[15.1.5] Prevención frente al mal uso de los medios de Tratamiento de la información

26% 95% 90%

[15.1.6] Regulación de controlas criptográficos 34% 94% n.a. [2.15] Cumplimiento de políticas, normas y reglamentos Técnicos

15% 95% 60%

[15.2.1] Cumplimiento de políticas y Normas 10% 95% 50% [15.2.2] Verificación del cumplimiento técnico 20% 95% 70% [3.15] Consideraciones sobre auditoría de los sistemas de información

10% 95% n.a.

[15.3.1] Controlas de auditoría 10% 95% n.a. [15.3.2] Protección de las herramientas de auditoría 10% 95% n.a.

Dominio de Seguridad: [CDO] Centros de Docencia

[5] Política de Seguridadcontrol [Current] [Target] [PILAR][5] Política de Seguridad 10% 95% 80% [5.1] Política de Seguridad de la información 10% 95% 80% [5.1.1] Documento de política de Seguridad de la información

10% 95% 70%

[5.1.2] Revisión de la política de Seguridad de la información

10% 95% 90%

[6] Aspectos organizativos de la Seguridad de la informacióncontrol [Current] [Target] [PILAR][6] Aspectos organizativos de la Seguridad de la información 23% 87% 74% [6.1] Organización interna 22% 95% 59% [6.1.1] Comité de gestión de la Seguridad de la información

0% 95% 50%

[6.1.2] Coordinación para la Seguridad de la información 10% 95% 50% [6.1.3] Asignación de Responsabilidades relativas a la Seguridad de la información

28% 95% 60%

[6.1.4] Proceso de autorización de recursos para el Tratamiento de la información

24% 95% 60%

[6.1.5] Acuerdos de Confidencialidad 70% 95% 80% [6.1.6] Contacto con las Autoridades 10% 95% 50% [6.1.7] Contacto con grupos de interés específicos 23% 95% 50%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 146/204

Page 147: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[6.1.8] Revisión independiente de la Seguridad de la información

10% 95% 70%

[6.2] Relaciones con Terceros 24% 79% 90% [6.2.1] Identificación de Riesgos Derivados del Acceso de Terceros

0% 95% n.a.

[6.2.2] Tratamiento de la Seguridad en las relaciones con clientes

22% 47% 90%

[6.2.3] Tratamiento de la Seguridad en Contratos con Terceros

50% 95% n.a.

[7] Gestión de Activoscontrol [Current] [Target] [PILAR][7] Gestión de Activos 27% 95% 85% [7.1] Responsabilidad sobre los ACTIVOS 24% 94% 79% [7.1.1] Inventario de Activos 18% 94% 74% [7.1.2] Propiedad de los ACTIVOS 22% 94% 74% [7.1.3] Condiciones de uso de los ACTIVOS 31% 94% 90% [7.2] Clasificación de la información 30% 95% 90% [7.2.1] Directrices de Clasificación 50% 95% 90% [7.2.2] Etiquetado y Tratamiento de la información

10% 95% 90%

[8] Seguridad relacionada con los recursos humanoscontrol [Current] [Target] [PILAR][8] Seguridad relacionada con los recursos humanos 69% 95% 79% [8.1] Previa a la contratación 74% 95% 78% [8.1.1] Funciones y responsabilidad 42% 95% 74% [8.1.2] Investigación de antecedentes 90% 95% 90% [8.1.3] Términos y condiciones laborales 90% 95% 70% [8.2] Mientras dure la contratación 57% 95% 77% [8.2.1] Responsabilidades de la Dirección 70% 95% 70% [8.2.2] Concienciación, formación y capacitación en Seguridad de la información

10% 95% 70%

[8.2.3] Medidas disciplinarias 90% 95% 90% [8.3] Fin de la contratación o cambio de puesto, trabajo 77% 95% 83% [8.3.1] Responsabilidad del CESE o cambio 90% 95% 70% [8.3.2] Devolución de Activos 90% 95% 90% [8.3.3] cancelaciones de los Derechos de Acceso 50% 95% 90%

[9] Seguridad física y del entornocontrol [Current] [Target] [PILAR][9] Seguridad física y del entorno 56% 93% 79%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 147/204

Page 148: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[9.1] Áreas seguras 67% 92% n.a. [9.1.1] perímetros de Seguridad Física 49% 91% n.a. [9.1.2] Controlas Físicos de entrada 47% 92% n.a. [9.1.3] Aseguramiento de oficinas, salas e instalaciones 67% 90% n.a. [9.1.4] Protección frente a amenazas externas 69% 91% n.a. [9.1.5] reglamentaciones del Trabajo en área seguras 80% 95% n.a. [9.1.6] Áreas Abiertas al público, zonas de entrega, carga y descarga

90% 90% n.a.

[9.2] Seguridad del Equipamiento 45% 95% 79% [9.2.1] Ubicación y Protección de los Equipos 63% 93% 90% [9.2.2] Suministros 51% 95% 81% [9.2.3] Seguridad del cableado 50% 95% n.a. [9.2.4] Mantenimiento de Equipos 50% 95% 70% [9.2.5] Seguridad de los Equipos Fuera de las instalaciones

5% 95% 70%

[9.2.6] Retirada o reutilización de Equipos (pasan a Otras manos)

93% 95% 90%

[9.2.7] Activos que salan de las instalaciones (removal of property)

5% 95% 70%

[10] Gestión de comunicaciones y operacionescontrol [Current] [Target] [PILAR][10] Gestión de comunicaciones y operaciones 30% 95% 76% [10.1] Responsabilidades y Procedimientos de Operación 24% 95% 73% [10.1.1] Documentación de los Procedimientos de Operación

20% 95% 80%

[10.1.2] Gestión de Cambios 40% 95% 70% [10.1.3] segregaciones de tareas 25% 95% 70% [10.1.4] Separación de los recursos de Desarrollo, prueba y Operación

10% 95% n.a.

[10.2] Gestión de Servicios prestados por Terceros 23% 95% n.a. [10.2.1] prestaciones de los Servicios 10% 95% n.a. [10.2.2] Supervisión y Revisión de los Servicios 50% 95% n.a. [10.2.3] Gestión de Cambios en los Servicios 10% 95% n.a. [3.10] Planificación y aceptación de sistemas 28% 95% 70% [10.3.1] Gestión de capacidades 10% 95% 70% [10.3.2] aceptación de Nuevos sistemas 46% 95% 70% [4.10] Protección frente a código Danin y código descargable

24% 95% n.a.

[10.4.1] Protección frente a código Danin 39% 95% n.a. [10.4.2] Protección frente a código descargado (ej. applets)

10% 95% n.a.

[5.10] Copias de Seguridad 38% 95% 94% [10.5.1] Copias de Seguridad 38% 95% 94% [10.6] Gestión de la Seguridad de las redes 28% 95% 50%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 148/204

Page 149: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[10.6.1] Controlas de red 28% 95% 50% [10.6.2] Seguridad de los Servicios de red 28% 95% n.a. [7.10] Tratamiento de soportes de información 41% 95% 70% [10.7.1] Gestión de soportes 40% 95% n.a. [10.7.2] Retirada de soportes 92% 95% n.a. [10.7.3] Procedimientos de Tratamiento de la información 20% 95% n.a. [10.7.4] Seguridad de la Documentación del sistema 10% 95% 70% [8.10] Intercambios de información 31% 94% 90% [10.8.1] Normas y Procedimientos 41% 94% n.a. [10.8.2] Acuerdos de intercambio 10% 95% 90% [10.8.3] Soportes Físicos en tránsito 20% 95% n.a. [10.8.4] Mensajería electrónica 52% 92% n.a. [10.8.5] Interconexión de sistemas de información 31% 95% n.a. [09.10] Servicios de comercio electrónico 38% 95% 77% [10.9.1] Comercio electrónico 10% 95% 70% [10.9.2] Transacciones en línea 54% 95% 92% [10.9.3] Información Puesta a disposición pública 50% 95% 70% [10:10] Supervisión 30% 95% 84% [10.10.1] Pistas de auditoría 10% 95% 90% [10.10.2] Supervisión del uso de los sistemas 50% 95% 90% [10.10.3] Protección de registros (logs) 30% 95% 92% [10.10.4] Registros de administración y operaciones 10% 95% 70% [10.10.5] Registro de fallos 30% 95% 70% [10.10.6] Sincronización de Relojes 52% 95% 92%

[11] Control de Accesocontrol [Current] [Target] [PILAR][11] Control de Acceso 40% 94% 85% [1.11] Requisitos del control de Acceso 29% 95% 83% [11.1.1] Política de control de Acceso 29% 95% 83% [2.11] Gestión de usuarios 48% 95% 90% [11.2.1] Registro de usuarios 74% 95% 91% [11.2.2] Gestión de privilegios 65% 95% 86% [11.2.3] Gestión de contraseñas 47% 95% 90% [11.2.4] Revisión de Derechos de Acceso 5% 95% 92% [11.3] Responsabilidades de los usuarios 28% 94% 93% [11.3.1] Uso de contraseñas 34% 95% 91% [11.3.2] Equipo desatendido 45% 95% 95% [11.3.3] Puesto, trabajo limpio y pantalla en blanco 7% 93% n.a. [11.4] Control de Acceso a la red 30% 95% n.a. [11.4.1] Política de uso de los Servicios de red 10% 95% n.a. [11.4.2] Autenticación de usuarios en Access remoto 90% 95% n.a. [11.4.3] Identificación de Equipos en la red 29% 95% n.a. [11.4.4] Puertas de diagnóstico y configuración remota 10% 95% n.a.

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 149/204

Page 150: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[11.4.5] segregaciones de redes 50% 95% n.a. [11.4.6] Control de conexión a la red 10% 95% n.a. [11.4.7] Control de encaminamiento 10% 95% n.a. [11.5] Control del Acceso a sistemas en operaciones 34% 94% 93% [11.5.1] Procedimientos de inicio de sesión (log-on) 25% 95% 92% [11.5.2] Identificación y autenticación de usuarios 80% 93% 91% [11.5.3] Gestión de contraseñas 70% 94% 91% [11.5.4] Uso de los recursos del sistema 25% 95% n.a. [11.5.5] desconexiones automática de la sesión 0% 95% 100% [11.5.6] Limitación del tiempo de conexión 5% 95% 90% [11.6] Control de Acceso a datos y aplicaciones 70% 92% 81% [11.6.1] restricciones del Acceso a la información 51% 95% 81% [11.6.2] Aislamiento de sistemas críticos 90% 90% n.a. [7.11] Equipos móviles y tele-Trabajo 38% 95% 70% [11.7.1] Equipos móviles 45% 95% n.a. [11.7.2] Teletrabajo 30% 95% 70%

[12] Adquisición, Desarrollo y Mantenimiento de los sistemas de informacióncontrol [Current] [Target] [PILAR][12] Adquisición, Desarrollo y Mantenimiento de los sistemas de información

26% 95% 78%

[1.12] Requisitos de Seguridad 10% 95% 60% [12.1.1] Análisis y especificación de Requisitos 10% 95% 60% [2.12] Garantías de Procesamiento de información 10% 95% n.a. [12.2.1] Validación de datos de entrada 10% 95% n.a. [12.2.2] Control de Tratamiento interno 10% 95% n.a. [12.2.3] integridad de los Mensajes 10% 95% n.a. [12.2.4] Validación de los datos de salida 10% 95% n.a. [3.12] Controlas criptográficos 62% 95% 90% [12.3.1] Política de uso 33% 95% 90% [12.3.2] Gestión de claves 91% 95% n.a. [12.04] Seguridad de los archivos del sistema 19% 95% n.a. [12.4.1] Control de programas en producción 37% 95% n.a. [12.4.2] Protección de los datos de prueba 10% 95% n.a. [12.4.3] Control de Acceso al código fuente 10% 95% n.a. [12.05] Seguridad en los procesos de Desarrollo y soporte 33% 95% 94% [12.5.1] Procedimientos de control de Cambios 50% 95% n.a. [12.5.2] Revisión técnica de las aplicaciones tras Cambios del SO

15% 95% n.a.

[12.5.3] restricciones a los Cambios de aplicaciones en producción

65% 95% n.a.

[12.5.4] Fugas de información 23% 95% 94% [12.5.5] Desarrollo externalizado (outsourcing) 10% 95% n.a.

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 150/204

Page 151: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[6.12] Gestión de Vulnerabilidad 23% 95% 70% [12.6.1] Control de Vulnerabilidad Técnicas 23% 95% 70%

[13] Gestión de Incidentes de Seguridad de informacióncontrol [Current] [Target] [PILAR][13] Gestión de Incidentes de Seguridad de información 19% 95% 85% [1.13] Comunicación de incidencias y debilidades 10% 95% 90% [13.1.1] Comunicación de incidencias 10% 95% 90% [13.1.2] Comunicación de debilidades 10% 95% 90% [2.13] Gestión de Incidentes y Mejoras 28% 95% 80% [13.2.1] Responsabilidades y Procedimientos 25% 95% 70% [13.2.2] Aprendiendo del pasado 28% 95% 80% [13.2.3] Recopilación de evidencias 30% 95% 90%

[14] Gestión de la Continuidad del negociocontrol [Current] [Target] [PILAR][14] Gestión de la Continuidad del negocio 0% 90% 79% [14.01] Seguridad de la información en relacionado a la gestión de la Continuidad

0% 90% 79%

[14.1.1] Inclusión de la Seguridad de la información en los llanos de Continuidad

0% 90% 90%

[14.1.2] Continuidad y Evaluación de Riesgos 0% 90% 70% [14.1.3] Desarrollo e implantaciones de páginas de Continuidad incluyendo la Seguridad de la información

0% 90% 70%

[14.1.4] Marco de Planificación de la Continuidad 0% 90% 73% [14.1.5] Prueba, Mantenimiento y re-Evaluación de los llanos de Continuidad

0% 90% 90%

[15] Cumplimientocontrol [Current] [Target] [PILAR][15] Cumplimiento 17% 95% 77% [1.15] Satisfacción de Requisitos legales 26% 95% 87% [15.1.1] Identificación de Legislación aplicable 10% 95% 90% [15.1.2] Derechos de propiedad intelectual (IPR) 30% 95% 80% [15.1.3] Protección de los documentos de la Organización 5% 95% n.a. [15.1.4] Protección de datos e información de carácter personal

50% 95% 90%

[15.1.5] Prevención frente al mal uso de los medios de Tratamiento de la información

26% 95% 85%

[15.1.6] Regulación de controlas criptográficos 34% 94% 90% [2.15] Cumplimiento de políticas, normas y reglamentos Técnicos

15% 95% 60%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 151/204

Page 152: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[15.2.1] Cumplimiento de políticas y Normas 10% 95% 50% [15.2.2] Verificación del cumplimiento técnico 20% 95% 70% [3.15] Consideraciones sobre auditoría de los sistemas de información

10% 95% 85%

[15.3.1] Controlas de auditoría 10% 95% 80% [15.3.2] Protección de las herramientas de auditoría 10% 95% 90%

Dominio de Seguridad: [ITI] Investigación, Transferencia e Innovación

[5] Política de Seguridadcontrol [Current] [Target] [PILAR][5] Política de Seguridad 10% 95% 80% [5.1] Política de Seguridad de la información 10% 95% 80% [5.1.1] Documento de política de Seguridad de la información

10% 95% 70%

[5.1.2] Revisión de la política de Seguridad de la información

10% 95% 90%

[6] Aspectos organizativos de la Seguridad de la informacióncontrol [Current] [Target] [PILAR][6] Aspectos organizativos de la Seguridad de la información 23% 87% 72% [6.1] Organización interna 22% 95% 59% [6.1.1] Comité de gestión de la Seguridad de la información

0% 95% 50%

[6.1.2] Coordinación para la Seguridad de la información 10% 95% 50% [6.1.3] Asignación de Responsabilidades relativas a la Seguridad de la información

28% 95% 60%

[6.1.4] Proceso de autorización de recursos para el Tratamiento de la información

24% 95% 60%

[6.1.5] Acuerdos de Confidencialidad 70% 95% 80% [6.1.6] Contacto con las Autoridades 10% 95% 50% [6.1.7] Contacto con grupos de interés específicos 23% 95% 50% [6.1.8] Revisión independiente de la Seguridad de la información

10% 95% 70%

[6.2] Relaciones con Terceros 24% 79% 85% [6.2.1] Identificación de Riesgos Derivados del Acceso de Terceros

0% 95% n.a.

[6.2.2] Tratamiento de la Seguridad en las relaciones con clientes

22% 47% 90%

[6.2.3] Tratamiento de la Seguridad en Contratos con Terceros

50% 95% 80%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 152/204

Page 153: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[7] Gestión de Activoscontrol [Current] [Target] [PILAR][7] Gestión de Activos 27% 95% 87% [7.1] Responsabilidad sobre los ACTIVOS 24% 94% 85% [7.1.1] Inventario de Activos 18% 94% 82% [7.1.2] Propiedad de los ACTIVOS 22% 94% 82% [7.1.3] Condiciones de uso de los ACTIVOS 31% 94% 90% [7.2] Clasificación de la información 30% 95% 90% [7.2.1] Directrices de Clasificación 50% 95% 90% [7.2.2] Etiquetado y Tratamiento de la información

10% 95% 90%

[8] Seguridad relacionada con los recursos humanoscontrol [Current] [Target] [PILAR][8] Seguridad relacionada con los recursos humanos 69% 95% 79% [8.1] Previa a la contratación 74% 95% 78% [8.1.1] Funciones y responsabilidad 42% 95% 74% [8.1.2] Investigación de antecedentes 90% 95% 90% [8.1.3] Términos y condiciones laborales 90% 95% 70% [8.2] Mientras dure la contratación 57% 95% 77% [8.2.1] Responsabilidades de la Dirección 70% 95% 70% [8.2.2] Concienciación, formación y capacitación en Seguridad de la información

10% 95% 70%

[8.2.3] Medidas disciplinarias 90% 95% 90% [8.3] Fin de la contratación o cambio de puesto, trabajo 77% 95% 83% [8.3.1] Responsabilidad del CESE o cambio 90% 95% 70% [8.3.2] Devolución de Activos 90% 95% 90% [8.3.3] cancelaciones de los Derechos de Acceso 50% 95% 90%

[9] Seguridad física y del entornocontrol [Current] [Target] [PILAR][9] Seguridad física y del entorno 56% 93% 79% [9.1] Áreas seguras 67% 92% n.a. [9.1.1] perímetros de Seguridad Física 49% 91% n.a. [9.1.2] Controlas Físicos de entrada 47% 92% n.a. [9.1.3] Aseguramiento de oficinas, salas e instalaciones 67% 90% n.a. [9.1.4] Protección frente a amenazas externas 69% 91% n.a. [9.1.5] reglamentaciones del Trabajo en área seguras 80% 95% n.a. [9.1.6] Áreas Abiertas al público, zonas de entrega, carga y descarga

90% 90% n.a.

[9.2] Seguridad del Equipamiento 45% 95% 79%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 153/204

Page 154: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[9.2.1] Ubicación y Protección de los Equipos 63% 93% 90% [9.2.2] Suministros 51% 95% 81% [9.2.3] Seguridad del cableado 50% 95% n.a. [9.2.4] Mantenimiento de Equipos 50% 95% 70% [9.2.5] Seguridad de los Equipos Fuera de las instalaciones

5% 95% 70%

[9.2.6] Retirada o reutilización de Equipos (pasan a Otras manos)

93% 95% 90%

[9.2.7] Activos que salan de las instalaciones (removal of property)

5% 95% 70%

[10] Gestión de comunicaciones y operacionescontrol [Current] [Target] [PILAR][10] Gestión de comunicaciones y operaciones 30% 95% 77% [10.1] Responsabilidades y Procedimientos de Operación 24% 95% 77% [10.1.1] Documentación de los Procedimientos de Operación

20% 95% 83%

[10.1.2] Gestión de Cambios 40% 95% 70% [10.1.3] segregaciones de tareas 25% 95% 70% [10.1.4] Separación de los recursos de Desarrollo, prueba y Operación

10% 95% 83%

[10.2] Gestión de Servicios prestados por Terceros 23% 95% 60% [10.2.1] prestaciones de los Servicios 10% 95% 70% [10.2.2] Supervisión y Revisión de los Servicios 50% 95% 59% [10.2.3] Gestión de Cambios en los Servicios 10% 95% 50% [3.10] Planificación y aceptación de sistemas 28% 95% 70% [10.3.1] Gestión de capacidades 10% 95% 70% [10.3.2] aceptación de Nuevos sistemas 46% 95% 70% [4.10] Protección frente a código Danin y código descargable

24% 95% 81%

[10.4.1] Protección frente a código Danin 39% 95% 91% [10.4.2] Protección frente a código descargado (ej. applets)

10% 95% 70%

[5.10] Copias de Seguridad 38% 95% 93% [10.5.1] Copias de Seguridad 38% 95% 93% [10.6] Gestión de la Seguridad de las redes 28% 95% 50% [10.6.1] Controlas de red 28% 95% 50% [10.6.2] Seguridad de los Servicios de red 28% 95% n.a. [7.10] Tratamiento de soportes de información 41% 95% 70% [10.7.1] Gestión de soportes 40% 95% n.a. [10.7.2] Retirada de soportes 92% 95% n.a. [10.7.3] Procedimientos de Tratamiento de la información 20% 95% n.a. [10.7.4] Seguridad de la Documentación del sistema 10% 95% 70% [8.10] Intercambios de información 31% 94% 90% [10.8.1] Normas y Procedimientos 41% 94% n.a.

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 154/204

Page 155: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[10.8.2] Acuerdos de intercambio 10% 95% 90% [10.8.3] Soportes Físicos en tránsito 20% 95% n.a. [10.8.4] Mensajería electrónica 52% 92% n.a. [10.8.5] Interconexión de sistemas de información 31% 95% 90% [09.10] Servicios de comercio electrónico 38% 95% 92% [10.9.1] Comercio electrónico 10% 95% n.a. [10.9.2] Transacciones en línea 54% 95% 92% [10.9.3] Información Puesta a disposición pública 50% 95% n.a. [10:10] Supervisión 30% 95% 84% [10.10.1] Pistas de auditoría 10% 95% 90% [10.10.2] Supervisión del uso de los sistemas 50% 95% 90% [10.10.3] Protección de registros (logs) 30% 95% 92% [10.10.4] Registros de administración y operaciones 10% 95% 70% [10.10.5] Registro de fallos 30% 95% 70% [10.10.6] Sincronización de Relojes 52% 95% 92%

[11] Control de Accesocontrol [Current] [Target] [PILAR][11] Control de Acceso 40% 94% 88% [1.11] Requisitos del control de Acceso 29% 95% 83% [11.1.1] Política de control de Acceso 29% 95% 83% [2.11] Gestión de usuarios 48% 95% 90% [11.2.1] Registro de usuarios 74% 95% 91% [11.2.2] Gestión de privilegios 65% 95% 86% [11.2.3] Gestión de contraseñas 47% 95% 90% [11.2.4] Revisión de Derechos de Acceso 5% 95% 92% [11.3] Responsabilidades de los usuarios 28% 94% 93% [11.3.1] Uso de contraseñas 34% 95% 91% [11.3.2] Equipo desatendido 45% 95% 95% [11.3.3] Puesto, trabajo limpio y pantalla en blanco 7% 93% n.a. [11.4] Control de Acceso a la red 30% 95% n.a. [11.4.1] Política de uso de los Servicios de red 10% 95% n.a. [11.4.2] Autenticación de usuarios en Access remoto 90% 95% n.a. [11.4.3] Identificación de Equipos en la red 29% 95% n.a. [11.4.4] Puertas de diagnóstico y configuración remota 10% 95% n.a. [11.4.5] segregaciones de redes 50% 95% n.a. [11.4.6] Control de conexión a la red 10% 95% n.a. [11.4.7] Control de encaminamiento 10% 95% n.a. [11.5] Control del Acceso a sistemas en operaciones 34% 94% 93% [11.5.1] Procedimientos de inicio de sesión (log-on) 25% 95% 92% [11.5.2] Identificación y autenticación de usuarios 80% 93% 91% [11.5.3] Gestión de contraseñas 70% 94% 91% [11.5.4] Uso de los recursos del sistema 25% 95% 92% [11.5.5] desconexiones automática de la sesión 0% 95% 100%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 155/204

Page 156: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[11.5.6] Limitación del tiempo de conexión 5% 95% 90% [11.6] Control de Acceso a datos y aplicaciones 70% 92% 81% [11.6.1] restricciones del Acceso a la información 51% 95% 81% [11.6.2] Aislamiento de sistemas críticos 90% 90% n.a. [7.11] Equipos móviles y tele-Trabajo 38% 95% n.a. [11.7.1] Equipos móviles 45% 95% n.a. [11.7.2] Teletrabajo 30% 95% n.a.

[12] Adquisición, Desarrollo y Mantenimiento de los sistemas de informacióncontrol [Current] [Target] [PILAR][12] Adquisición, Desarrollo y Mantenimiento de los sistemas de información

26% 95% 78%

[1.12] Requisitos de Seguridad 10% 95% 60% [12.1.1] Análisis y especificación de Requisitos 10% 95% 60% [2.12] Garantías de Procesamiento de información 10% 95% 80% [12.2.1] Validación de datos de entrada 10% 95% 90% [12.2.2] Control de Tratamiento interno 10% 95% 70% [12.2.3] integridad de los Mensajes 10% 95% 90% [12.2.4] Validación de los datos de salida 10% 95% 70% [3.12] Controlas criptográficos 62% 95% 90% [12.3.1] Política de uso 33% 95% 90% [12.3.2] Gestión de claves 91% 95% n.a. [12.04] Seguridad de los archivos del sistema 19% 95% 77% [12.4.1] Control de programas en producción 37% 95% 71% [12.4.2] Protección de los datos de prueba 10% 95% 90% [12.4.3] Control de Acceso al código fuente 10% 95% 70% [12.05] Seguridad en los procesos de Desarrollo y soporte 33% 95% 75% [12.5.1] Procedimientos de control de Cambios 50% 95% 70% [12.5.2] Revisión técnica de las aplicaciones tras Cambios del SO

15% 95% 80%

[12.5.3] restricciones a los Cambios de aplicaciones en producción

65% 95% 63%

[12.5.4] Fugas de información 23% 95% 93% [12.5.5] Desarrollo externalizado (outsourcing) 10% 95% 70% [6.12] Gestión de Vulnerabilidad 23% 95% 84% [12.6.1] Control de Vulnerabilidad Técnicas 23% 95% 84%

[13] Gestión de Incidentes de Seguridad de informacióncontrol [Current] [Target] [PILAR][13] Gestión de Incidentes de Seguridad de información 19% 95% 85% [1.13] Comunicación de incidencias y debilidades 10% 95% 90%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 156/204

Page 157: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[13.1.1] Comunicación de incidencias 10% 95% 90% [13.1.2] Comunicación de debilidades 10% 95% 90% [2.13] Gestión de Incidentes y Mejoras 28% 95% 80% [13.2.1] Responsabilidades y Procedimientos 25% 95% 70% [13.2.2] Aprendiendo del pasado 28% 95% 80% [13.2.3] Recopilación de evidencias 30% 95% 90%

[14] Gestión de la Continuidad del negociocontrol [Current] [Target] [PILAR][14] Gestión de la Continuidad del negocio 0% 90% 79% [14.01] Seguridad de la información en relacionado a la gestión de la Continuidad

0% 90% 79%

[14.1.1] Inclusión de la Seguridad de la información en los llanos de Continuidad

0% 90% 90%

[14.1.2] Continuidad y Evaluación de Riesgos 0% 90% 70% [14.1.3] Desarrollo e implantaciones de páginas de Continuidad incluyendo la Seguridad de la información

0% 90% 70%

[14.1.4] Marco de Planificación de la Continuidad 0% 90% 73% [14.1.5] Prueba, Mantenimiento y re-Evaluación de los llanos de Continuidad

0% 90% 90%

[15] Cumplimientocontrol [Current] [Target] [PILAR][15] Cumplimiento 17% 95% 79% [1.15] Satisfacción de Requisitos legales 26% 95% 87% [15.1.1] Identificación de Legislación aplicable 10% 95% 90% [15.1.2] Derechos de propiedad intelectual (IPR) 30% 95% 78% [15.1.3] Protección de los documentos de la Organización 5% 95% n.a. [15.1.4] Protección de datos e información de carácter personal

50% 95% 90%

[15.1.5] Prevención frente al mal uso de los medios de Tratamiento de la información

26% 95% 86%

[15.1.6] Regulación de controlas criptográficos 34% 94% 90% [2.15] Cumplimiento de políticas, normas y reglamentos Técnicos

15% 95% 66%

[15.2.1] Cumplimiento de políticas y Normas 10% 95% 50% [15.2.2] Verificación del cumplimiento técnico 20% 95% 81% [3.15] Consideraciones sobre auditoría de los sistemas de información

10% 95% 85%

[15.3.1] Controlas de auditoría 10% 95% 80% [15.3.2] Protección de las herramientas de auditoría 10% 95% 90%

Dominio de Seguridad: [INF] Infraestructuras

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 157/204

Page 158: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[5] Política de Seguridadcontrol [Current] [Target] [PILAR][5] Política de Seguridad 10% 95% 80% [5.1] Política de Seguridad de la información 10% 95% 80% [5.1.1] Documento de política de Seguridad de la información

10% 95% 70%

[5.1.2] Revisión de la política de Seguridad de la información

10% 95% 90%

[6] Aspectos organizativos de la Seguridad de la informacióncontrol [Current] [Target] [PILAR][6] Aspectos organizativos de la Seguridad de la información 23% 87% 75% [6.1] Organización interna 22% 95% 59% [6.1.1] Comité de gestión de la Seguridad de la información

0% 95% 50%

[6.1.2] Coordinación para la Seguridad de la información 10% 95% 50% [6.1.3] Asignación de Responsabilidades relativas a la Seguridad de la información

28% 95% 60%

[6.1.4] Proceso de autorización de recursos para el Tratamiento de la información

24% 95% 60%

[6.1.5] Acuerdos de Confidencialidad 70% 95% 80% [6.1.6] Contacto con las Autoridades 10% 95% 50% [6.1.7] Contacto con grupos de interés específicos 23% 95% 50% [6.1.8] Revisión independiente de la Seguridad de la información

10% 95% 70%

[6.2] Relaciones con Terceros 24% 79% 91% [6.2.1] Identificación de Riesgos Derivados del Acceso de Terceros

0% 95% 90%

[6.2.2] Tratamiento de la Seguridad en las relaciones con clientes

22% 47% 91%

[6.2.3] Tratamiento de la Seguridad en Contratos con Terceros

50% 95% n.a.

[7] Gestión de Activoscontrol [Current] [Target] [PILAR][7] Gestión de Activos 27% 95% 85% [7.1] Responsabilidad sobre los ACTIVOS 24% 94% 79% [7.1.1] Inventario de Activos 18% 94% 74% [7.1.2] Propiedad de los ACTIVOS 22% 94% 74% [7.1.3] Condiciones de uso de los ACTIVOS 31% 94% 90% [7.2] Clasificación de la información 30% 95% 90% [7.2.1] Directrices de Clasificación 50% 95% 90%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 158/204

Page 159: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[7.2.2] Etiquetado y Tratamiento de la información

10% 95% 90%

[8] Seguridad relacionada con los recursos humanoscontrol [Current] [Target] [PILAR][8] Seguridad relacionada con los recursos humanos 69% 95% 79% [8.1] Previa a la contratación 74% 95% 78% [8.1.1] Funciones y responsabilidad 42% 95% 74% [8.1.2] Investigación de antecedentes 90% 95% 90% [8.1.3] Términos y condiciones laborales 90% 95% 70% [8.2] Mientras dure la contratación 57% 95% 77% [8.2.1] Responsabilidades de la Dirección 70% 95% 70% [8.2.2] Concienciación, formación y capacitación en Seguridad de la información

10% 95% 70%

[8.2.3] Medidas disciplinarias 90% 95% 90% [8.3] Fin de la contratación o cambio de puesto, trabajo 77% 95% 83% [8.3.1] Responsabilidad del CESE o cambio 90% 95% 70% [8.3.2] Devolución de Activos 90% 95% 90% [8.3.3] cancelaciones de los Derechos de Acceso 50% 95% 90%

[9] Seguridad física y del entornocontrol [Current] [Target] [PILAR][9] Seguridad física y del entorno 56% 93% 79% [9.1] Áreas seguras 67% 92% n.a. [9.1.1] perímetros de Seguridad Física 49% 91% n.a. [9.1.2] Controlas Físicos de entrada 47% 92% n.a. [9.1.3] Aseguramiento de oficinas, salas e instalaciones 67% 90% n.a. [9.1.4] Protección frente a amenazas externas 69% 91% n.a. [9.1.5] reglamentaciones del Trabajo en área seguras 80% 95% n.a. [9.1.6] Áreas Abiertas al público, zonas de entrega, carga y descarga

90% 90% n.a.

[9.2] Seguridad del Equipamiento 45% 95% 79% [9.2.1] Ubicación y Protección de los Equipos 63% 93% 90% [9.2.2] Suministros 51% 95% 81% [9.2.3] Seguridad del cableado 50% 95% n.a. [9.2.4] Mantenimiento de Equipos 50% 95% 70% [9.2.5] Seguridad de los Equipos Fuera de las instalaciones

5% 95% 70%

[9.2.6] Retirada o reutilización de Equipos (pasan a Otras manos)

93% 95% 90%

[9.2.7] Activos que salan de las instalaciones (removal of property)

5% 95% 70%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 159/204

Page 160: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[10] Gestión de comunicaciones y operacionescontrol [Current] [Target] [PILAR][10] Gestión de comunicaciones y operaciones 30% 95% 75% [10.1] Responsabilidades y Procedimientos de Operación 24% 95% 73% [10.1.1] Documentación de los Procedimientos de Operación

20% 95% 80%

[10.1.2] Gestión de Cambios 40% 95% 70% [10.1.3] segregaciones de tareas 25% 95% 70% [10.1.4] Separación de los recursos de Desarrollo, prueba y Operación

10% 95% n.a.

[10.2] Gestión de Servicios prestados por Terceros 23% 95% n.a. [10.2.1] prestaciones de los Servicios 10% 95% n.a. [10.2.2] Supervisión y Revisión de los Servicios 50% 95% n.a. [10.2.3] Gestión de Cambios en los Servicios 10% 95% n.a. [3.10] Planificación y aceptación de sistemas 28% 95% 70% [10.3.1] Gestión de capacidades 10% 95% 70% [10.3.2] aceptación de Nuevos sistemas 46% 95% 70% [4.10] Protección frente a código Danin y código descargable

24% 95% n.a.

[10.4.1] Protección frente a código Danin 39% 95% n.a. [10.4.2] Protección frente a código descargado (ej. applets)

10% 95% n.a.

[5.10] Copias de Seguridad 38% 95% 94% [10.5.1] Copias de Seguridad 38% 95% 94% [10.6] Gestión de la Seguridad de las redes 28% 95% 50% [10.6.1] Controlas de red 28% 95% 50% [10.6.2] Seguridad de los Servicios de red 28% 95% n.a. [7.10] Tratamiento de soportes de información 41% 95% 70% [10.7.1] Gestión de soportes 40% 95% n.a. [10.7.2] Retirada de soportes 92% 95% n.a. [10.7.3] Procedimientos de Tratamiento de la información 20% 95% n.a. [10.7.4] Seguridad de la Documentación del sistema 10% 95% 70% [8.10] Intercambios de información 31% 94% 90% [10.8.1] Normas y Procedimientos 41% 94% n.a. [10.8.2] Acuerdos de intercambio 10% 95% 90% [10.8.3] Soportes Físicos en tránsito 20% 95% n.a. [10.8.4] Mensajería electrónica 52% 92% n.a. [10.8.5] Interconexión de sistemas de información 31% 95% n.a. [09.10] Servicios de comercio electrónico 38% 95% 81% [10.9.1] Comercio electrónico 10% 95% 70% [10.9.2] Transacciones en línea 54% 95% 92% [10.9.3] Información Puesta a disposición pública 50% 95% n.a. [10:10] Supervisión 30% 95% 70% [10.10.1] Pistas de auditoría 10% 95% n.a. [10.10.2] Supervisión del uso de los sistemas 50% 95% n.a.

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 160/204

Page 161: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[10.10.3] Protección de registros (logs) 30% 95% n.a. [10.10.4] Registros de administración y operaciones 10% 95% n.a. [10.10.5] Registro de fallos 30% 95% 70% [10.10.6] Sincronización de Relojes 52% 95% n.a.

[11] Control de Accesocontrol [Current] [Target] [PILAR][11] Control de Acceso 40% 94% 85% [1.11] Requisitos del control de Acceso 29% 95% 83% [11.1.1] Política de control de Acceso 29% 95% 83% [2.11] Gestión de usuarios 48% 95% 90% [11.2.1] Registro de usuarios 74% 95% 91% [11.2.2] Gestión de privilegios 65% 95% 86% [11.2.3] Gestión de contraseñas 47% 95% 90% [11.2.4] Revisión de Derechos de Acceso 5% 95% 92% [11.3] Responsabilidades de los usuarios 28% 94% 93% [11.3.1] Uso de contraseñas 34% 95% 91% [11.3.2] Equipo desatendido 45% 95% 95% [11.3.3] Puesto, trabajo limpio y pantalla en blanco 7% 93% n.a. [11.4] Control de Acceso a la red 30% 95% n.a. [11.4.1] Política de uso de los Servicios de red 10% 95% n.a. [11.4.2] Autenticación de usuarios en Access remoto 90% 95% n.a. [11.4.3] Identificación de Equipos en la red 29% 95% n.a. [11.4.4] Puertas de diagnóstico y configuración remota 10% 95% n.a. [11.4.5] segregaciones de redes 50% 95% n.a. [11.4.6] Control de conexión a la red 10% 95% n.a. [11.4.7] Control de encaminamiento 10% 95% n.a. [11.5] Control del Acceso a sistemas en operaciones 34% 94% 93% [11.5.1] Procedimientos de inicio de sesión (log-on) 25% 95% 92% [11.5.2] Identificación y autenticación de usuarios 80% 93% 91% [11.5.3] Gestión de contraseñas 70% 94% 91% [11.5.4] Uso de los recursos del sistema 25% 95% n.a. [11.5.5] desconexiones automática de la sesión 0% 95% 100% [11.5.6] Limitación del tiempo de conexión 5% 95% 90% [11.6] Control de Acceso a datos y aplicaciones 70% 92% 81% [11.6.1] restricciones del Acceso a la información 51% 95% 81% [11.6.2] Aislamiento de sistemas críticos 90% 90% n.a. [7.11] Equipos móviles y tele-Trabajo 38% 95% 70% [11.7.1] Equipos móviles 45% 95% n.a. [11.7.2] Teletrabajo 30% 95% 70%

[12] Adquisición, Desarrollo y Mantenimiento de los sistemas de información

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 161/204

Page 162: Gap Analysis: Avaluació de les mesures de seguretat a implantar

control [Current] [Target] [PILAR][12] Adquisición, Desarrollo y Mantenimiento de los sistemas de información

26% 95% 78%

[1.12] Requisitos de Seguridad 10% 95% 60% [12.1.1] Análisis y especificación de Requisitos 10% 95% 60% [2.12] Garantías de Procesamiento de información 10% 95% n.a. [12.2.1] Validación de datos de entrada 10% 95% n.a. [12.2.2] Control de Tratamiento interno 10% 95% n.a. [12.2.3] integridad de los Mensajes 10% 95% n.a. [12.2.4] Validación de los datos de salida 10% 95% n.a. [3.12] Controlas criptográficos 62% 95% 90% [12.3.1] Política de uso 33% 95% 90% [12.3.2] Gestión de claves 91% 95% n.a. [12.04] Seguridad de los archivos del sistema 19% 95% n.a. [12.4.1] Control de programas en producción 37% 95% n.a. [12.4.2] Protección de los datos de prueba 10% 95% n.a. [12.4.3] Control de Acceso al código fuente 10% 95% n.a. [12.05] Seguridad en los procesos de Desarrollo y soporte 33% 95% 94% [12.5.1] Procedimientos de control de Cambios 50% 95% n.a. [12.5.2] Revisión técnica de las aplicaciones tras Cambios del SO

15% 95% n.a.

[12.5.3] restricciones a los Cambios de aplicaciones en producción

65% 95% n.a.

[12.5.4] Fugas de información 23% 95% 94% [12.5.5] Desarrollo externalizado (outsourcing) 10% 95% n.a. [6.12] Gestión de Vulnerabilidad 23% 95% 70% [12.6.1] Control de Vulnerabilidad Técnicas 23% 95% 70%

[13] Gestión de Incidentes de Seguridad de informacióncontrol [Current] [Target] [PILAR][13] Gestión de Incidentes de Seguridad de información 19% 95% 85% [1.13] Comunicación de incidencias y debilidades 10% 95% 90% [13.1.1] Comunicación de incidencias 10% 95% 90% [13.1.2] Comunicación de debilidades 10% 95% 90% [2.13] Gestión de Incidentes y Mejoras 28% 95% 80% [13.2.1] Responsabilidades y Procedimientos 25% 95% 70% [13.2.2] Aprendiendo del pasado 28% 95% 80% [13.2.3] Recopilación de evidencias 30% 95% 90%

[14] Gestión de la Continuidad del negociocontrol [Current] [Target] [PILAR][14] Gestión de la Continuidad del negocio 0% 90% 79%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 162/204

Page 163: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[14.01] Seguridad de la información en relacionado a la gestión de la Continuidad

0% 90% 79%

[14.1.1] Inclusión de la Seguridad de la información en los llanos de Continuidad

0% 90% 90%

[14.1.2] Continuidad y Evaluación de Riesgos 0% 90% 70% [14.1.3] Desarrollo e implantaciones de páginas de Continuidad incluyendo la Seguridad de la información

0% 90% 70%

[14.1.4] Marco de Planificación de la Continuidad 0% 90% 73% [14.1.5] Prueba, Mantenimiento y re-Evaluación de los llanos de Continuidad

0% 90% 90%

[15] Cumplimientocontrol [Current] [Target] [PILAR][15] Cumplimiento 17% 95% 73% [1.15] Satisfacción de Requisitos legales 26% 95% 85% [15.1.1] Identificación de Legislación aplicable 10% 95% 90% [15.1.2] Derechos de propiedad intelectual (IPR) 30% 95% 80% [15.1.3] Protección de los documentos de la Organización 5% 95% 70% [15.1.4] Protección de datos e información de carácter personal

50% 95% 91%

[15.1.5] Prevención frente al mal uso de los medios de Tratamiento de la información

26% 95% 90%

[15.1.6] Regulación de controlas criptográficos 34% 94% 90% [2.15] Cumplimiento de políticas, normas y reglamentos Técnicos

15% 95% 60%

[15.2.1] Cumplimiento de políticas y Normas 10% 95% 50% [15.2.2] Verificación del cumplimiento técnico 20% 95% 70% [3.15] Consideraciones sobre auditoría de los sistemas de información

10% 95% n.a.

[15.3.1] Controlas de auditoría 10% 95% n.a. [15.3.2] Protección de las herramientas de auditoría 10% 95% n.a.

Dominio de Seguridad: [REC] Rectorado, Gerencia y Secretaría General.

[5] Política de Seguridadcontrol [Current] [Target] [PILAR][5] Política de Seguridad 10% 95% 80% [5.1] Política de Seguridad de la información 10% 95% 80% [5.1.1] Documento de política de Seguridad de la información

10% 95% 70%

[5.1.2] Revisión de la política de Seguridad de la información

10% 95% 90%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 163/204

Page 164: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[6] Aspectos organizativos de la Seguridad de la informacióncontrol [Current] [Target] [PILAR][6] Aspectos organizativos de la Seguridad de la información 23% 87% 73% [6.1] Organización interna 22% 95% 56% [6.1.1] Comité de gestión de la Seguridad de la información

0% 95% 50%

[6.1.2] Coordinación para la Seguridad de la información 10% 95% 50% [6.1.3] Asignación de Responsabilidades relativas a la Seguridad de la información

28% 95% 60%

[6.1.4] Proceso de autorización de recursos para el Tratamiento de la información

24% 95% 60%

[6.1.5] Acuerdos de Confidencialidad 70% 95% n.a. [6.1.6] Contacto con las Autoridades 10% 95% 50% [6.1.7] Contacto con grupos de interés específicos 23% 95% 50% [6.1.8] Revisión independiente de la Seguridad de la información

10% 95% 70%

[6.2] Relaciones con Terceros 24% 79% 90% [6.2.1] Identificación de Riesgos Derivados del Acceso de Terceros

0% 95% n.a.

[6.2.2] Tratamiento de la Seguridad en las relaciones con clientes

22% 47% 90%

[6.2.3] Tratamiento de la Seguridad en Contratos con Terceros

50% 95% n.a.

[7] Gestión de Activoscontrol [Current] [Target] [PILAR][7] Gestión de Activos 27% 95% 86% [7.1] Responsabilidad sobre los ACTIVOS 24% 94% 81% [7.1.1] Inventario de Activos 18% 94% 77% [7.1.2] Propiedad de los ACTIVOS 22% 94% 77% [7.1.3] Condiciones de uso de los ACTIVOS 31% 94% 90% [7.2] Clasificación de la información 30% 95% 90% [7.2.1] Directrices de Clasificación 50% 95% 90% [7.2.2] Etiquetado y Tratamiento de la información

10% 95% 90%

[8] Seguridad relacionada con los recursos humanoscontrol [Current] [Target] [PILAR][8] Seguridad relacionada con los recursos humanos 69% 95% 90% [8.1] Previa a la contratación 74% 95% n.a.

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 164/204

Page 165: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[8.1.1] Funciones y responsabilidad 42% 95% n.a. [8.1.2] Investigación de antecedentes 90% 95% n.a. [8.1.3] Términos y condiciones laborales 90% 95% n.a. [8.2] Mientras dure la contratación 57% 95% n.a. [8.2.1] Responsabilidades de la Dirección 70% 95% n.a. [8.2.2] Concienciación, formación y capacitación en Seguridad de la información

10% 95% n.a.

[8.2.3] Medidas disciplinarias 90% 95% n.a. [8.3] Fin de la contratación o cambio de puesto, trabajo 77% 95% 90% [8.3.1] Responsabilidad del CESE o cambio 90% 95% n.a. [8.3.2] Devolución de Activos 90% 95% n.a. [8.3.3] cancelaciones de los Derechos de Acceso 50% 95% 90%

[9] Seguridad física y del entornocontrol [Current] [Target] [PILAR][9] Seguridad física y del entorno 56% 93% 79% [9.1] Áreas seguras 67% 92% n.a. [9.1.1] perímetros de Seguridad Física 49% 91% n.a. [9.1.2] Controlas Físicos de entrada 47% 92% n.a. [9.1.3] Aseguramiento de oficinas, salas e instalaciones 67% 90% n.a. [9.1.4] Protección frente a amenazas externas 69% 91% n.a. [9.1.5] reglamentaciones del Trabajo en área seguras 80% 95% n.a. [9.1.6] Áreas Abiertas al público, zonas de entrega, carga y descarga

90% 90% n.a.

[9.2] Seguridad del Equipamiento 45% 95% 79% [9.2.1] Ubicación y Protección de los Equipos 63% 93% 90% [9.2.2] Suministros 51% 95% 81% [9.2.3] Seguridad del cableado 50% 95% n.a. [9.2.4] Mantenimiento de Equipos 50% 95% 70% [9.2.5] Seguridad de los Equipos Fuera de las instalaciones

5% 95% 70%

[9.2.6] Retirada o reutilización de Equipos (pasan a Otras manos)

93% 95% 90%

[9.2.7] Activos que salan de las instalaciones (removal of property)

5% 95% 70%

[10] Gestión de comunicaciones y operacionescontrol [Current] [Target] [PILAR][10] Gestión de comunicaciones y operaciones 30% 95% 76% [10.1] Responsabilidades y Procedimientos de Operación 24% 95% 73% [10.1.1] Documentación de los Procedimientos de Operación

20% 95% 80%

[10.1.2] Gestión de Cambios 40% 95% 70% [10.1.3] segregaciones de tareas 25% 95% 70%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 165/204

Page 166: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[10.1.4] Separación de los recursos de Desarrollo, prueba y Operación

10% 95% n.a.

[10.2] Gestión de Servicios prestados por Terceros 23% 95% n.a. [10.2.1] prestaciones de los Servicios 10% 95% n.a. [10.2.2] Supervisión y Revisión de los Servicios 50% 95% n.a. [10.2.3] Gestión de Cambios en los Servicios 10% 95% n.a. [3.10] Planificación y aceptación de sistemas 28% 95% 70% [10.3.1] Gestión de capacidades 10% 95% 70% [10.3.2] aceptación de Nuevos sistemas 46% 95% 70% [4.10] Protección frente a código Danin y código descargable

24% 95% n.a.

[10.4.1] Protección frente a código Danin 39% 95% n.a. [10.4.2] Protección frente a código descargado (ej. applets)

10% 95% n.a.

[5.10] Copias de Seguridad 38% 95% 94% [10.5.1] Copias de Seguridad 38% 95% 94% [10.6] Gestión de la Seguridad de las redes 28% 95% 50% [10.6.1] Controlas de red 28% 95% 50% [10.6.2] Seguridad de los Servicios de red 28% 95% n.a. [7.10] Tratamiento de soportes de información 41% 95% 70% [10.7.1] Gestión de soportes 40% 95% n.a. [10.7.2] Retirada de soportes 92% 95% n.a. [10.7.3] Procedimientos de Tratamiento de la información 20% 95% n.a. [10.7.4] Seguridad de la Documentación del sistema 10% 95% 70% [8.10] Intercambios de información 31% 94% 90% [10.8.1] Normas y Procedimientos 41% 94% n.a. [10.8.2] Acuerdos de intercambio 10% 95% 90% [10.8.3] Soportes Físicos en tránsito 20% 95% n.a. [10.8.4] Mensajería electrónica 52% 92% n.a. [10.8.5] Interconexión de sistemas de información 31% 95% n.a. [09.10] Servicios de comercio electrónico 38% 95% 92% [10.9.1] Comercio electrónico 10% 95% n.a. [10.9.2] Transacciones en línea 54% 95% 92% [10.9.3] Información Puesta a disposición pública 50% 95% n.a. [10:10] Supervisión 30% 95% 70% [10.10.1] Pistas de auditoría 10% 95% n.a. [10.10.2] Supervisión del uso de los sistemas 50% 95% n.a. [10.10.3] Protección de registros (logs) 30% 95% n.a. [10.10.4] Registros de administración y operaciones 10% 95% n.a. [10.10.5] Registro de fallos 30% 95% 70% [10.10.6] Sincronización de Relojes 52% 95% n.a.

[11] Control de Accesocontrol [Current] [Target] [PILAR][11] Control de Acceso 40% 94% 85%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 166/204

Page 167: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[1.11] Requisitos del control de Acceso 29% 95% 83% [11.1.1] Política de control de Acceso 29% 95% 83% [2.11] Gestión de usuarios 48% 95% 90% [11.2.1] Registro de usuarios 74% 95% 91% [11.2.2] Gestión de privilegios 65% 95% 86% [11.2.3] Gestión de contraseñas 47% 95% 90% [11.2.4] Revisión de Derechos de Acceso 5% 95% 92% [11.3] Responsabilidades de los usuarios 28% 94% 92% [11.3.1] Uso de contraseñas 34% 95% 91% [11.3.2] Equipo desatendido 45% 95% 95% [11.3.3] Puesto, trabajo limpio y pantalla en blanco 7% 93% 90% [11.4] Control de Acceso a la red 30% 95% n.a. [11.4.1] Política de uso de los Servicios de red 10% 95% n.a. [11.4.2] Autenticación de usuarios en Access remoto 90% 95% n.a. [11.4.3] Identificación de Equipos en la red 29% 95% n.a. [11.4.4] Puertas de diagnóstico y configuración remota 10% 95% n.a. [11.4.5] segregaciones de redes 50% 95% n.a. [11.4.6] Control de conexión a la red 10% 95% n.a. [11.4.7] Control de encaminamiento 10% 95% n.a. [11.5] Control del Acceso a sistemas en operaciones 34% 94% 93% [11.5.1] Procedimientos de inicio de sesión (log-on) 25% 95% 92% [11.5.2] Identificación y autenticación de usuarios 80% 93% 91% [11.5.3] Gestión de contraseñas 70% 94% 91% [11.5.4] Uso de los recursos del sistema 25% 95% n.a. [11.5.5] desconexiones automática de la sesión 0% 95% 100% [11.5.6] Limitación del tiempo de conexión 5% 95% 90% [11.6] Control de Acceso a datos y aplicaciones 70% 92% 81% [11.6.1] restricciones del Acceso a la información 51% 95% 81% [11.6.2] Aislamiento de sistemas críticos 90% 90% n.a. [7.11] Equipos móviles y tele-Trabajo 38% 95% 70% [11.7.1] Equipos móviles 45% 95% 70% [11.7.2] Teletrabajo 30% 95% n.a.

[12] Adquisición, Desarrollo y Mantenimiento de los sistemas de informacióncontrol [Current] [Target] [PILAR][12] Adquisición, Desarrollo y Mantenimiento de los sistemas de información

26% 95% 78%

[1.12] Requisitos de Seguridad 10% 95% 60% [12.1.1] Análisis y especificación de Requisitos 10% 95% 60% [2.12] Garantías de Procesamiento de información 10% 95% n.a. [12.2.1] Validación de datos de entrada 10% 95% n.a. [12.2.2] Control de Tratamiento interno 10% 95% n.a. [12.2.3] integridad de los Mensajes 10% 95% n.a.

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 167/204

Page 168: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[12.2.4] Validación de los datos de salida 10% 95% n.a. [3.12] Controlas criptográficos 62% 95% 90% [12.3.1] Política de uso 33% 95% 90% [12.3.2] Gestión de claves 91% 95% n.a. [12.04] Seguridad de los archivos del sistema 19% 95% n.a. [12.4.1] Control de programas en producción 37% 95% n.a. [12.4.2] Protección de los datos de prueba 10% 95% n.a. [12.4.3] Control de Acceso al código fuente 10% 95% n.a. [12.05] Seguridad en los procesos de Desarrollo y soporte 33% 95% 94% [12.5.1] Procedimientos de control de Cambios 50% 95% n.a. [12.5.2] Revisión técnica de las aplicaciones tras Cambios del SO

15% 95% n.a.

[12.5.3] restricciones a los Cambios de aplicaciones en producción

65% 95% n.a.

[12.5.4] Fugas de información 23% 95% 94% [12.5.5] Desarrollo externalizado (outsourcing) 10% 95% n.a. [6.12] Gestión de Vulnerabilidad 23% 95% 70% [12.6.1] Control de Vulnerabilidad Técnicas 23% 95% 70%

[13] Gestión de Incidentes de Seguridad de informacióncontrol [Current] [Target] [PILAR][13] Gestión de Incidentes de Seguridad de información 19% 95% 85% [1.13] Comunicación de incidencias y debilidades 10% 95% 90% [13.1.1] Comunicación de incidencias 10% 95% 90% [13.1.2] Comunicación de debilidades 10% 95% 90% [2.13] Gestión de Incidentes y Mejoras 28% 95% 80% [13.2.1] Responsabilidades y Procedimientos 25% 95% 70% [13.2.2] Aprendiendo del pasado 28% 95% 80% [13.2.3] Recopilación de evidencias 30% 95% 90%

[14] Gestión de la Continuidad del negociocontrol [Current] [Target] [PILAR][14] Gestión de la Continuidad del negocio 0% 90% 79% [14.01] Seguridad de la información en relacionado a la gestión de la Continuidad

0% 90% 79%

[14.1.1] Inclusión de la Seguridad de la información en los llanos de Continuidad

0% 90% 90%

[14.1.2] Continuidad y Evaluación de Riesgos 0% 90% 70% [14.1.3] Desarrollo e implantaciones de páginas de Continuidad incluyendo la Seguridad de la información

0% 90% 70%

[14.1.4] Marco de Planificación de la Continuidad 0% 90% 73% [14.1.5] Prueba, Mantenimiento y re-Evaluación de los 0% 90% 90%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 168/204

Page 169: Gap Analysis: Avaluació de les mesures de seguretat a implantar

llanos de Continuidad

[15] Cumplimientocontrol [Current] [Target] [PILAR][15] Cumplimiento 17% 95% 72% [1.15] Satisfacción de Requisitos legales 26% 95% 85% [15.1.1] Identificación de Legislación aplicable 10% 95% 90% [15.1.2] Derechos de propiedad intelectual (IPR) 30% 95% 77% [15.1.3] Protección de los documentos de la Organización 5% 95% 70% [15.1.4] Protección de datos e información de carácter personal

50% 95% 91%

[15.1.5] Prevención frente al mal uso de los medios de Tratamiento de la información

26% 95% 90%

[15.1.6] Regulación de controlas criptográficos 34% 94% 90% [2.15] Cumplimiento de políticas, normas y reglamentos Técnicos

15% 95% 60%

[15.2.1] Cumplimiento de políticas y Normas 10% 95% 50% [15.2.2] Verificación del cumplimiento técnico 20% 95% 70% [3.15] Consideraciones sobre auditoría de los sistemas de información

10% 95% n.a.

[15.3.1] Controlas de auditoría 10% 95% n.a. [15.3.2] Protección de las herramientas de auditoría 10% 95% n.a.

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 169/204

Page 170: Gap Analysis: Avaluació de les mesures de seguretat a implantar

3.2 Valoración PILAR ENS

[ENS: 2010] Esquema Nacional de Seguridad (10/06/2011)proyecto: [Uni] Universidad

Datos del proyectoUni Universidaddesc Implementación del Análisis de Riesgos de la Universidad.resp Universidad.org Universidad.ver 1.0date Julio de 2012.biblioteca [Std] Biblioteca INFOSEC (27/04/2012)

LicenciaUNIVERSIDAD

Dominios de Seguridado [Base] Baseo [SEG] Seguridad

Departamento de Seguridad de la Universidad.o [EXP] Explotación

Departamento de Explotación de la Universidad.o [SIS] Sistemas

Departamento de Sistemas de la Universidad.o [DWH] DataWareHouse

Departamento de DataWareHouse de la Universidad.o [RAI] Recursos, Aprendizaje e Investigación

Departamento de Recursos, Aprendizaje e Investigación de la Universidad.o [RRH] Recursos Humanos

Departamento de Recursos Humanos de la Universidad.o [PEC] Planificación Económica

Departamento de Planificación Económica de la Universidad.o [JUR] Jurídico

Departamento de Jurídico de la Universidad.o [ORG] Organización

Departamento de Organización de la Universidad.o [CDO] Centros de Docencia

Departamento de Centros de Docencia de la Universidad.o [ITI] Investigación, Transferencia e Innovación

Departamento de Investigación, Transferencia e Innovación de la Universidad.o [INF] Infraestructuras

Departamento de Infraestructuras de la Universidad.

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 170/204

Page 171: Gap Analysis: Avaluació de les mesures de seguretat a implantar

o [REC] Rectorado, Gerencia y Secretaría General.Rectorado de la Universidad.

Fases del proyectoo [Current] situación actualo [Target] situación Objetivoo [PILAR] Recomendación

Dominio de Seguridad: [base] Base

[Org] Marco organizativocontrol [Current] [Target] [PILAR][Org] Marco organizativo 10% 81% 82% [Org.1] Política de Seguridad 4% 32% 89% [Org.2] Normativa de Seguridad 0% 100% 90% [Org.3] Procedimientos de Seguridad 0% 95% 90% [Org.4] Proceso de quins 36% 95% 60%

[Op] Marco operacionalcontrol [Current] [Target] [PILAR][Op] Marco operacional 16% 77% 81% [Op.pl] Planificación 13% 73% 83% [Op.pl.1] Análisis de Riesgos 10% 95% 90% [Op.pl.2] Arquitectura de Seguridad 33% 79% 62% [Op.pl.3] Adquisición de Nuevos componentes 0% 0% 90% [Op.pl.4] Dimensionamiento / Gestión de capacidades 10% 95% 82% [Op.pl.5] Componentes certificados 10% 95% 90% [Op.acc] Control de Acceso 35% 88% 88% [Op.acc.1] Identificación 75% 95% 86% [Op.acc.2] Requisitos de Acceso 48% 95% 93% [Op.acc.3] segregaciones de funciones y Tareas 19% 95% 80% [Op.acc.4] Proceso de gestión de Derechos de Acceso 50% 95% 87% [Op.acc.5] Mecanismo de autenticación 32% 47% 92% [Op.acc.6] Acceso local (local logon) 5% 95% 90% [Op.acc.7] Acceso remoto (remote login) 16% 95% 90% [Op.exp] Explotación 22% 83% 83% [Op.exp.1] Inventario de Activos 31% 95% 72% [Op.exp.2] Configuración de Seguridad 11% 77% 93% [Op.exp.3] Gestión de la configuración 24% 86% 83% [Op.exp.4] Mantenimiento 17% 95% 87% [Op.exp.5] Gestión de Cambios 28% 71% 75% [Op.exp.6] Protección frente a código Danin 29% 95% 84% [Op.exp.7] Gestión de incidencias 12% 47% 80%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 171/204

Page 172: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[Op.exp.8] Registro de la actividad de los usuarios 10% 95% 72% [Op.exp.9] Registro de la gestión de incidencias 13% 63% 90% [Op.exp.10] Protección de los registros de actividad 15% 95% 82% [Op.exp.11] Protección de claves criptográficas 56% 95% 93% [Op.ext] SERVICIOS EXTERNOS 22% 79% 76% [Op.ext.1] Contratación y Acuerdos de nivel de Servicio 50% 95% 60% [Op.ext.2] Gestión diaria 10% 95% 77% [Op.ext.9] Medios Alternativos 5% 47% 90% [Op.cont] Continuidad del Servicio 0% 90% 68% [Op.cont.1] Análisis de impacto 0% 90% 50% [Op.cont.2] Plan de Continuidad 0% 90% 64% [Op.cont.3] Pruebas periódicas 0% 90% 90% [Op.mon] Monitorización del sistema 5% 47% 91% [Op.mon.1] Detección de intrusión 10% 95% 92% [Op.mon.2] Sistema de métricas 0% 0% 90%

[Mp] Medidas de Proteccióncontrol [Current] [Target] [PILAR][Mp] Medidas de Protección 29% 93% 86% [Mp.if] Protección de las instalaciones e infraestructuras 47% 94% 82% [Mp.if.1] Áreas separadas y con control de Acceso 72% 90% n.a. [Mp.if.2] Identificación de las personas 5% 90% n.a. [Mp.if.3] Acondicionamiento de los locales 50% 95% 92% [Mp.if.4] Energía eléctrica 92% 95% 73% [Mp.if.5] Protección frente a incendios 90% 95% n.a. [Mp.if.6] Protección frente a inundaciones 50% 95% n.a. [Mp.if.7] Registro de entrada y salida de Equipamiento 5% 95% 70% [Mp.if.9] Instalaciones alternativas 10% 95% 92% [Mp.per] Gestión del personal 30% 95% 80% [Mp.per.1] Caracterización del puesto, trabajo 53% 95% 87% [Mp.per.2] deberá y obligaciones 47% 95% 77% [Mp.per.3] Concienciación 24% 94% 86% [Mp.per.4] Formación 17% 95% 83% [Mp.per.9] Personal alternativo 10% 95% 70% [Mp.eq] Protección de los Equipos 19% 94% 84% [Mp.eq.1] Puesto, trabajo despejada 8% 92% 90% [Mp.eq.2] Bloqueo del puesto, trabajo 45% 95% 100% [Mp.eq.3] Protección de Equipos portátiles 12% 95% 82% [Mp.eq.9] Medios Alternativos 10% 95% 63% [Mp.com] Protección de las comunicaciones 29% 95% 88% [Mp.com.1] perímetros seguro 56% 95% 90% [Mp.com.2] Protección de la Confidencialidad 40% 95% 93% [Mp.com.3] Protección de la autenticidad y de la integridad

21% 94% 90%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 172/204

Page 173: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[Mp.com.4] segregaciones de redes 17% 95% 94% [Mp.com.9] Medios Alternativos 10% 95% 71% [Mp.si] Protección de los soportes de información 34% 95% 92% [Mp.si.1] Etiquetado 10% 95% 90% [Mp.si.2] Criptografía 10% 95% 95% [Mp.si.3] Custodia 10% 95% 90% [Mp.si.4] Transporte 50% 95% 91% [Mp.si.5] borrada y destrucción 92% 95% 92% [Mp.sw] Protección de las aplicaciones informáticas (SW) 10% 95% 89% [Mp.sw.1] Desarrollo de aplicaciones 10% 95% 90% [Mp.sw.2] aceptación y Puesta en Servicio 10% 95% 88% [Mp.info] Protección de la información 32% 81% 92% [Mp.info.1] Datos de carácter personal 0% 0% 90% [Mp.info.2] Calificación de la información 45% 95% 90% [Mp.info.3] Cifrado de la información 33% 95% 94% [Mp.info.4] Firma electrónica 89% 95% 91% [Mp.info.5] sellos de tiempo 20% 95% 91% [Mp.info.6] Limpieza de documentos 0% 95% 95% [Mp.info.9] Copias de Seguridad (backup) 35% 95% 91% [Mp.s] Protección de los Servicios 31% 94% 80% [Mp.s.1] Protección del correo electrónico (e-mail) 83% 92% 83% [Mp.s.2] Protección de Servicios y aplicaciones web 10% 95% 90% [Mp.s.8] Protección frente a la denegación de Servicio 10% 95% 80% [Mp.s.9] Medios Alternativos 23% 94% 67%

Dominio de Seguridad: [SEG] Seguridad

[Org] Marco organizativocontrol [Current] [Target] [PILAR][Org] Marco organizativo 10% 81% 83% [Org.1] Política de Seguridad 4% 32% 89% [Org.2] Normativa de Seguridad 0% 100% 90% [Org.3] Procedimientos de Seguridad 0% 95% 90% [Org.4] Proceso de quins 36% 95% 65%

[Op] Marco operacionalcontrol [Current] [Target] [PILAR][Op] Marco operacional 16% 77% 79% [Op.pl] Planificación 13% 73% 83% [Op.pl.1] Análisis de Riesgos 10% 95% 90% [Op.pl.2] Arquitectura de Seguridad 33% 79% 62% [Op.pl.3] Adquisición de Nuevos componentes 0% 0% 90% [Op.pl.4] Dimensionamiento / Gestión de capacidades 10% 95% 82% [Op.pl.5] Componentes certificados 10% 95% 90%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 173/204

Page 174: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[Op.acc] Control de Acceso 35% 88% 87% [Op.acc.1] Identificación 75% 95% 81% [Op.acc.2] Requisitos de Acceso 48% 95% 93% [Op.acc.3] segregaciones de funciones y Tareas 19% 95% 80% [Op.acc.4] Proceso de gestión de Derechos de Acceso 50% 95% 87% [Op.acc.5] Mecanismo de autenticación 32% 47% 92% [Op.acc.6] Acceso local (local logon) 5% 95% 90% [Op.acc.7] Acceso remoto (remote login) 16% 95% 90% [Op.exp] Explotación 22% 83% 84% [Op.exp.1] Inventario de Activos 31% 95% 70% [Op.exp.2] Configuración de Seguridad 11% 77% 92% [Op.exp.3] Gestión de la configuración 24% 86% 83% [Op.exp.4] Mantenimiento 17% 95% 88% [Op.exp.5] Gestión de Cambios 28% 71% 75% [Op.exp.6] Protección frente a código Danin 29% 95% 84% [Op.exp.7] Gestión de incidencias 12% 47% 80% [Op.exp.8] Registro de la actividad de los usuarios 10% 95% n.a. [Op.exp.9] Registro de la gestión de incidencias 13% 63% 90% [Op.exp.10] Protección de los registros de actividad 15% 95% n.a. [Op.exp.11] Protección de claves criptográficas 56% 95% 91% [Op.ext] SERVICIOS EXTERNOS 22% 79% 69% [Op.ext.1] Contratación y Acuerdos de nivel de Servicio 50% 95% 60% [Op.ext.2] Gestión diaria 10% 95% 77% [Op.ext.9] Medios Alternativos 5% 47% 70% [Op.cont] Continuidad del Servicio 0% 90% 68% [Op.cont.1] Análisis de impacto 0% 90% 50% [Op.cont.2] Plan de Continuidad 0% 90% 64% [Op.cont.3] Pruebas periódicas 0% 90% 90% [Op.mon] Monitorización del sistema 5% 47% 81% [Op.mon.1] Detección de intrusión 10% 95% 73% [Op.mon.2] Sistema de métricas 0% 0% 90%

[Mp] Medidas de Proteccióncontrol [Current] [Target] [PILAR][Mp] Medidas de Protección 29% 93% 82% [Mp.if] Protección de las instalaciones e infraestructuras 47% 94% 78% [Mp.if.1] Áreas separadas y con control de Acceso 72% 90% n.a. [Mp.if.2] Identificación de las personas 5% 90% n.a. [Mp.if.3] Acondicionamiento de los locales 50% 95% 92% [Mp.if.4] Energía eléctrica 92% 95% 73% [Mp.if.5] Protección frente a incendios 90% 95% n.a. [Mp.if.6] Protección frente a inundaciones 50% 95% n.a. [Mp.if.7] Registro de entrada y salida de Equipamiento 5% 95% 70% [Mp.if.9] Instalaciones alternativas 10% 95% n.a.

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 174/204

Page 175: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[Mp.per] Gestión del personal 30% 95% 81% [Mp.per.1] Caracterización del puesto, trabajo 53% 95% 87% [Mp.per.2] deberá y obligaciones 47% 95% 77% [Mp.per.3] Concienciación 24% 94% 90% [Mp.per.4] Formación 17% 95% 80% [Mp.per.9] Personal alternativo 10% 95% 70% [Mp.eq] Protección de los Equipos 19% 94% 82% [Mp.eq.1] Puesto, trabajo despejada 8% 92% n.a. [Mp.eq.2] Bloqueo del puesto, trabajo 45% 95% 100% [Mp.eq.3] Protección de Equipos portátiles 12% 95% n.a. [Mp.eq.9] Medios Alternativos 10% 95% 63% [Mp.com] Protección de las comunicaciones 29% 95% 85% [Mp.com.1] perímetros seguro 56% 95% 90% [Mp.com.2] Protección de la Confidencialidad 40% 95% 93% [Mp.com.3] Protección de la autenticidad y de la integridad

21% 94% 85%

[Mp.com.4] segregaciones de redes 17% 95% n.a. [Mp.com.9] Medios Alternativos 10% 95% 71% [Mp.si] Protección de los soportes de información 34% 95% n.a. [Mp.si.1] Etiquetado 10% 95% n.a. [Mp.si.2] Criptografía 10% 95% n.a. [Mp.si.3] Custodia 10% 95% n.a. [Mp.si.4] Transporte 50% 95% n.a. [Mp.si.5] borrada y destrucción 92% 95% n.a. [Mp.sw] Protección de las aplicaciones informáticas (SW) 10% 95% 89% [Mp.sw.1] Desarrollo de aplicaciones 10% 95% 90% [Mp.sw.2] aceptación y Puesta en Servicio 10% 95% 88% [Mp.info] Protección de la información 32% 81% 91% [Mp.info.1] Datos de carácter personal 0% 0% n.a. [Mp.info.2] Calificación de la información 45% 95% n.a. [Mp.info.3] Cifrado de la información 33% 95% 93% [Mp.info.4] Firma electrónica 89% 95% n.a. [Mp.info.5] sellos de tiempo 20% 95% n.a. [Mp.info.6] Limpieza de documentos 0% 95% n.a. [Mp.info.9] Copias de Seguridad (backup) 35% 95% 90% [Mp.s] Protección de los Servicios 31% 94% 70% [Mp.s.1] Protección del correo electrónico (e-mail) 83% 92% n.a. [Mp.s.2] Protección de Servicios y aplicaciones web 10% 95% n.a. [Mp.s.8] Protección frente a la denegación de Servicio 10% 95% 80% [Mp.s.9] Medios Alternativos 23% 94% 60%

Dominio de Seguridad: [EXP] Explotación

[Org] Marco organizativo

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 175/204

Page 176: Gap Analysis: Avaluació de les mesures de seguretat a implantar

control [Current] [Target] [PILAR][Org] Marco organizativo 10% 81% 85% [Org.1] Política de Seguridad 4% 32% 89% [Org.2] Normativa de Seguridad 0% 100% 90% [Org.3] Procedimientos de Seguridad 0% 95% 90% [Org.4] Proceso de quins 36% 95% 70%

[Op] Marco operacionalcontrol [Current] [Target] [PILAR][Op] Marco operacional 16% 77% 81% [Op.pl] Planificación 13% 73% 82% [Op.pl.1] Análisis de Riesgos 10% 95% 90% [Op.pl.2] Arquitectura de Seguridad 33% 79% 60% [Op.pl.3] Adquisición de Nuevos componentes 0% 0% 90% [Op.pl.4] Dimensionamiento / Gestión de capacidades 10% 95% 82% [Op.pl.5] Componentes certificados 10% 95% 90% [Op.acc] Control de Acceso 35% 88% 87% [Op.acc.1] Identificación 75% 95% 81% [Op.acc.2] Requisitos de Acceso 48% 95% 93% [Op.acc.3] segregaciones de funciones y Tareas 19% 95% 80% [Op.acc.4] Proceso de gestión de Derechos de Acceso 50% 95% 87% [Op.acc.5] Mecanismo de autenticación 32% 47% 92% [Op.acc.6] Acceso local (local logon) 5% 95% 90% [Op.acc.7] Acceso remoto (remote login) 16% 95% 90% [Op.exp] Explotación 22% 83% 84% [Op.exp.1] Inventario de Activos 31% 95% 80% [Op.exp.2] Configuración de Seguridad 11% 77% 92% [Op.exp.3] Gestión de la configuración 24% 86% 81% [Op.exp.4] Mantenimiento 17% 95% 87% [Op.exp.5] Gestión de Cambios 28% 71% 77% [Op.exp.6] Protección frente a código Danin 29% 95% 84% [Op.exp.7] Gestión de incidencias 12% 47% 80% [Op.exp.8] Registro de la actividad de los usuarios 10% 95% n.a. [Op.exp.9] Registro de la gestión de incidencias 13% 63% 90% [Op.exp.10] Protección de los registros de actividad 15% 95% n.a. [Op.exp.11] Protección de claves criptográficas 56% 95% 90% [Op.ext] SERVICIOS EXTERNOS 22% 79% 76% [Op.ext.1] Contratación y Acuerdos de nivel de Servicio 50% 95% 60% [Op.ext.2] Gestión diaria 10% 95% 77% [Op.ext.9] Medios Alternativos 5% 47% 90% [Op.cont] Continuidad del Servicio 0% 90% 68% [Op.cont.1] Análisis de impacto 0% 90% 50%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 176/204

Page 177: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[Op.cont.2] Plan de Continuidad 0% 90% 64% [Op.cont.3] Pruebas periódicas 0% 90% 90% [Op.mon] Monitorización del sistema 5% 47% 90% [Op.mon.1] Detección de intrusión 10% 95% n.a. [Op.mon.2] Sistema de métricas 0% 0% 90%

[Mp] Medidas de Proteccióncontrol [Current] [Target] [PILAR][Mp] Medidas de Protección 29% 93% 83% [Mp.if] Protección de las instalaciones e infraestructuras 47% 94% 78% [Mp.if.1] Áreas separadas y con control de Acceso 72% 90% n.a. [Mp.if.2] Identificación de las personas 5% 90% n.a. [Mp.if.3] Acondicionamiento de los locales 50% 95% 92% [Mp.if.4] Energía eléctrica 92% 95% 73% [Mp.if.5] Protección frente a incendios 90% 95% n.a. [Mp.if.6] Protección frente a inundaciones 50% 95% n.a. [Mp.if.7] Registro de entrada y salida de Equipamiento 5% 95% 70% [Mp.if.9] Instalaciones alternativas 10% 95% n.a. [Mp.per] Gestión del personal 30% 95% 79% [Mp.per.1] Caracterización del puesto, trabajo 53% 95% 87% [Mp.per.2] deberá y obligaciones 47% 95% 77% [Mp.per.3] Concienciación 24% 94% 90% [Mp.per.4] Formación 17% 95% 70% [Mp.per.9] Personal alternativo 10% 95% 70% [Mp.eq] Protección de los Equipos 19% 94% 79% [Mp.eq.1] Puesto, trabajo despejada 8% 92% n.a. [Mp.eq.2] Bloqueo del puesto, trabajo 45% 95% 95% [Mp.eq.3] Protección de Equipos portátiles 12% 95% n.a. [Mp.eq.9] Medios Alternativos 10% 95% 63% [Mp.com] Protección de las comunicaciones 29% 95% n.a. [Mp.com.1] perímetros seguro 56% 95% n.a. [Mp.com.2] Protección de la Confidencialidad 40% 95% n.a. [Mp.com.3] Protección de la autenticidad y de la integridad

21% 94% n.a.

[Mp.com.4] segregaciones de redes 17% 95% n.a. [Mp.com.9] Medios Alternativos 10% 95% n.a. [Mp.si] Protección de los soportes de información 34% 95% n.a. [Mp.si.1] Etiquetado 10% 95% n.a. [Mp.si.2] Criptografía 10% 95% n.a. [Mp.si.3] Custodia 10% 95% n.a. [Mp.si.4] Transporte 50% 95% n.a. [Mp.si.5] borrada y destrucción 92% 95% n.a. [Mp.sw] Protección de las aplicaciones informáticas (SW) 10% 95% 89% [Mp.sw.1] Desarrollo de aplicaciones 10% 95% 90%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 177/204

Page 178: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[Mp.sw.2] aceptación y Puesta en Servicio 10% 95% 88% [Mp.info] Protección de la información 32% 81% 90% [Mp.info.1] Datos de carácter personal 0% 0% n.a. [Mp.info.2] Calificación de la información 45% 95% n.a. [Mp.info.3] Cifrado de la información 33% 95% n.a. [Mp.info.4] Firma electrónica 89% 95% n.a. [Mp.info.5] sellos de tiempo 20% 95% n.a. [Mp.info.6] Limpieza de documentos 0% 95% n.a. [Mp.info.9] Copias de Seguridad (backup) 35% 95% 90% [Mp.s] Protección de los Servicios 31% 94% n.a. [Mp.s.1] Protección del correo electrónico (e-mail) 83% 92% n.a. [Mp.s.2] Protección de Servicios y aplicaciones web 10% 95% n.a. [Mp.s.8] Protección frente a la denegación de Servicio 10% 95% n.a. [Mp.s.9] Medios Alternativos 23% 94% n.a.

Dominio de Seguridad: [SIS] Sistemas

[Org] Marco organizativocontrol [Current] [Target] [PILAR][Org] Marco organizativo 10% 81% 84% [Org.1] Política de Seguridad 4% 32% 89% [Org.2] Normativa de Seguridad 0% 100% 90% [Org.3] Procedimientos de Seguridad 0% 95% 90% [Org.4] Proceso de quins 36% 95% 65%

[Op] Marco operacionalcontrol [Current] [Target] [PILAR][Op] Marco operacional 16% 77% 82% [Op.pl] Planificación 13% 73% 83% [Op.pl.1] Análisis de Riesgos 10% 95% 90% [Op.pl.2] Arquitectura de Seguridad 33% 79% 61% [Op.pl.3] Adquisición de Nuevos componentes 0% 0% 90% [Op.pl.4] Dimensionamiento / Gestión de capacidades 10% 95% 82% [Op.pl.5] Componentes certificados 10% 95% 90% [Op.acc] Control de Acceso 35% 88% 88% [Op.acc.1] Identificación 75% 95% 81% [Op.acc.2] Requisitos de Acceso 48% 95% 93% [Op.acc.3] segregaciones de funciones y Tareas 19% 95% 80% [Op.acc.4] Proceso de gestión de Derechos de Acceso 50% 95% 87% [Op.acc.5] Mecanismo de autenticación 32% 47% 92% [Op.acc.6] Acceso local (local logon) 5% 95% 90% [Op.acc.7] Acceso remoto (remote login) 16% 95% 90% [Op.exp] Explotación 22% 83% 84% [Op.exp.1] Inventario de Activos 31% 95% 70%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 178/204

Page 179: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[Op.exp.2] Configuración de Seguridad 11% 77% 93% [Op.exp.3] Gestión de la configuración 24% 86% 83% [Op.exp.4] Mantenimiento 17% 95% 89% [Op.exp.5] Gestión de Cambios 28% 71% 75% [Op.exp.6] Protección frente a código Danin 29% 95% 84% [Op.exp.7] Gestión de incidencias 12% 47% 80% [Op.exp.8] Registro de la actividad de los usuarios 10% 95% n.a. [Op.exp.9] Registro de la gestión de incidencias 13% 63% 90% [Op.exp.10] Protección de los registros de actividad 15% 95% n.a. [Op.exp.11] Protección de claves criptográficas 56% 95% 92% [Op.ext] SERVICIOS EXTERNOS 22% 79% 76% [Op.ext.1] Contratación y Acuerdos de nivel de Servicio 50% 95% 60% [Op.ext.2] Gestión diaria 10% 95% 77% [Op.ext.9] Medios Alternativos 5% 47% 90% [Op.cont] Continuidad del Servicio 0% 90% 68% [Op.cont.1] Análisis de impacto 0% 90% 50% [Op.cont.2] Plan de Continuidad 0% 90% 64% [Op.cont.3] Pruebas periódicas 0% 90% 90% [Op.mon] Monitorización del sistema 5% 47% 91% [Op.mon.1] Detección de intrusión 10% 95% 92% [Op.mon.2] Sistema de métricas 0% 0% 90%

[Mp] Medidas de Proteccióncontrol [Current] [Target] [PILAR][Mp] Medidas de Protección 29% 93% 84% [Mp.if] Protección de las instalaciones e infraestructuras 47% 94% 78% [Mp.if.1] Áreas separadas y con control de Acceso 72% 90% n.a. [Mp.if.2] Identificación de las personas 5% 90% n.a. [Mp.if.3] Acondicionamiento de los locales 50% 95% 92% [Mp.if.4] Energía eléctrica 92% 95% 73% [Mp.if.5] Protección frente a incendios 90% 95% n.a. [Mp.if.6] Protección frente a inundaciones 50% 95% n.a. [Mp.if.7] Registro de entrada y salida de Equipamiento 5% 95% 70% [Mp.if.9] Instalaciones alternativas 10% 95% n.a. [Mp.per] Gestión del personal 30% 95% 80% [Mp.per.1] Caracterización del puesto, trabajo 53% 95% 87% [Mp.per.2] deberá y obligaciones 47% 95% 77% [Mp.per.3] Concienciación 24% 94% 86% [Mp.per.4] Formación 17% 95% 80% [Mp.per.9] Personal alternativo 10% 95% 70% [Mp.eq] Protección de los Equipos 19% 94% 82% [Mp.eq.1] Puesto, trabajo despejada 8% 92% n.a. [Mp.eq.2] Bloqueo del puesto, trabajo 45% 95% 100% [Mp.eq.3] Protección de Equipos portátiles 12% 95% n.a.

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 179/204

Page 180: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[Mp.eq.9] Medios Alternativos 10% 95% 63% [Mp.com] Protección de las comunicaciones 29% 95% 88% [Mp.com.1] perímetros seguro 56% 95% 90% [Mp.com.2] Protección de la Confidencialidad 40% 95% 93% [Mp.com.3] Protección de la autenticidad y de la integridad

21% 94% 90%

[Mp.com.4] segregaciones de redes 17% 95% 94% [Mp.com.9] Medios Alternativos 10% 95% 71% [Mp.si] Protección de los soportes de información 34% 95% n.a. [Mp.si.1] Etiquetado 10% 95% n.a. [Mp.si.2] Criptografía 10% 95% n.a. [Mp.si.3] Custodia 10% 95% n.a. [Mp.si.4] Transporte 50% 95% n.a. [Mp.si.5] borrada y destrucción 92% 95% n.a. [Mp.sw] Protección de las aplicaciones informáticas (SW) 10% 95% 89% [Mp.sw.1] Desarrollo de aplicaciones 10% 95% 90% [Mp.sw.2] aceptación y Puesta en Servicio 10% 95% 88% [Mp.info] Protección de la información 32% 81% 91% [Mp.info.1] Datos de carácter personal 0% 0% n.a. [Mp.info.2] Calificación de la información 45% 95% n.a. [Mp.info.3] Cifrado de la información 33% 95% 93% [Mp.info.4] Firma electrónica 89% 95% n.a. [Mp.info.5] sellos de tiempo 20% 95% n.a. [Mp.info.6] Limpieza de documentos 0% 95% n.a. [Mp.info.9] Copias de Seguridad (backup) 35% 95% 90% [Mp.s] Protección de los Servicios 31% 94% 80% [Mp.s.1] Protección del correo electrónico (e-mail) 83% 92% 83% [Mp.s.2] Protección de Servicios y aplicaciones web 10% 95% 90% [Mp.s.8] Protección frente a la denegación de Servicio 10% 95% 80% [Mp.s.9] Medios Alternativos 23% 94% 67%

Dominio de Seguridad: [DWH] DataWareHouse

[Org] Marco organizativocontrol [Current] [Target] [PILAR][Org] Marco organizativo 10% 81% 85% [Org.1] Política de Seguridad 4% 32% 89% [Org.2] Normativa de Seguridad 0% 100% 90% [Org.3] Procedimientos de Seguridad 0% 95% 90% [Org.4] Proceso de quins 36% 95% 70%

[Op] Marco operacionalcontrol [Current] [Target] [PILAR][Op] Marco operacional 16% 77% 83%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 180/204

Page 181: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[Op.pl] Planificación 13% 73% 83% [Op.pl.1] Análisis de Riesgos 10% 95% 90% [Op.pl.2] Arquitectura de Seguridad 33% 79% 62% [Op.pl.3] Adquisición de Nuevos componentes 0% 0% 90% [Op.pl.4] Dimensionamiento / Gestión de capacidades 10% 95% 82% [Op.pl.5] Componentes certificados 10% 95% 90% [Op.acc] Control de Acceso 35% 88% 87% [Op.acc.1] Identificación 75% 95% 81% [Op.acc.2] Requisitos de Acceso 48% 95% 93% [Op.acc.3] segregaciones de funciones y Tareas 19% 95% 80% [Op.acc.4] Proceso de gestión de Derechos de Acceso 50% 95% 87% [Op.acc.5] Mecanismo de autenticación 32% 47% 92% [Op.acc.6] Acceso local (local logon) 5% 95% 90% [Op.acc.7] Acceso remoto (remote login) 16% 95% 90% [Op.exp] Explotación 22% 83% 85% [Op.exp.1] Inventario de Activos 31% 95% 82% [Op.exp.2] Configuración de Seguridad 11% 77% 92% [Op.exp.3] Gestión de la configuración 24% 86% 81% [Op.exp.4] Mantenimiento 17% 95% 88% [Op.exp.5] Gestión de Cambios 28% 71% 77% [Op.exp.6] Protección frente a código Danin 29% 95% 84% [Op.exp.7] Gestión de incidencias 12% 47% 80% [Op.exp.8] Registro de la actividad de los usuarios 10% 95% n.a. [Op.exp.9] Registro de la gestión de incidencias 13% 63% 90% [Op.exp.10] Protección de los registros de actividad 15% 95% n.a. [Op.exp.11] Protección de claves criptográficas 56% 95% 93% [Op.ext] SERVICIOS EXTERNOS 22% 79% n.a. [Op.ext.1] Contratación y Acuerdos de nivel de Servicio 50% 95% n.a. [Op.ext.2] Gestión diaria 10% 95% n.a. [Op.ext.9] Medios Alternativos 5% 47% n.a. [Op.cont] Continuidad del Servicio 0% 90% 68% [Op.cont.1] Análisis de impacto 0% 90% 50% [Op.cont.2] Plan de Continuidad 0% 90% 64% [Op.cont.3] Pruebas periódicas 0% 90% 90% [Op.mon] Monitorización del sistema 5% 47% 90% [Op.mon.1] Detección de intrusión 10% 95% n.a. [Op.mon.2] Sistema de métricas 0% 0% 90%

[Mp] Medidas de Proteccióncontrol [Current] [Target] [PILAR][Mp] Medidas de Protección 29% 93% 84% [Mp.if] Protección de las instalaciones e infraestructuras 47% 94% 78% [Mp.if.1] Áreas separadas y con control de Acceso 72% 90% n.a. [Mp.if.2] Identificación de las personas 5% 90% n.a.

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 181/204

Page 182: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[Mp.if.3] Acondicionamiento de los locales 50% 95% 92% [Mp.if.4] Energía eléctrica 92% 95% 73% [Mp.if.5] Protección frente a incendios 90% 95% n.a. [Mp.if.6] Protección frente a inundaciones 50% 95% n.a. [Mp.if.7] Registro de entrada y salida de Equipamiento 5% 95% 70% [Mp.if.9] Instalaciones alternativas 10% 95% n.a. [Mp.per] Gestión del personal 30% 95% 79% [Mp.per.1] Caracterización del puesto, trabajo 53% 95% 87% [Mp.per.2] deberá y obligaciones 47% 95% 77% [Mp.per.3] Concienciación 24% 94% 90% [Mp.per.4] Formación 17% 95% 70% [Mp.per.9] Personal alternativo 10% 95% 70% [Mp.eq] Protección de los Equipos 19% 94% 82% [Mp.eq.1] Puesto, trabajo despejada 8% 92% n.a. [Mp.eq.2] Bloqueo del puesto, trabajo 45% 95% 100% [Mp.eq.3] Protección de Equipos portátiles 12% 95% n.a. [Mp.eq.9] Medios Alternativos 10% 95% 63% [Mp.com] Protección de las comunicaciones 29% 95% n.a. [Mp.com.1] perímetros seguro 56% 95% n.a. [Mp.com.2] Protección de la Confidencialidad 40% 95% n.a. [Mp.com.3] Protección de la autenticidad y de la integridad

21% 94% n.a.

[Mp.com.4] segregaciones de redes 17% 95% n.a. [Mp.com.9] Medios Alternativos 10% 95% n.a. [Mp.si] Protección de los soportes de información 34% 95% n.a. [Mp.si.1] Etiquetado 10% 95% n.a. [Mp.si.2] Criptografía 10% 95% n.a. [Mp.si.3] Custodia 10% 95% n.a. [Mp.si.4] Transporte 50% 95% n.a. [Mp.si.5] borrada y destrucción 92% 95% n.a. [Mp.sw] Protección de las aplicaciones informáticas (SW) 10% 95% 89% [Mp.sw.1] Desarrollo de aplicaciones 10% 95% 90% [Mp.sw.2] aceptación y Puesta en Servicio 10% 95% 88% [Mp.info] Protección de la información 32% 81% 92% [Mp.info.1] Datos de carácter personal 0% 0% n.a. [Mp.info.2] Calificación de la información 45% 95% 90% [Mp.info.3] Cifrado de la información 33% 95% 92% [Mp.info.4] Firma electrónica 89% 95% 91% [Mp.info.5] sellos de tiempo 20% 95% n.a. [Mp.info.6] Limpieza de documentos 0% 95% 95% [Mp.info.9] Copias de Seguridad (backup) 35% 95% 91% [Mp.s] Protección de los Servicios 31% 94% n.a. [Mp.s.1] Protección del correo electrónico (e-mail) 83% 92% n.a. [Mp.s.2] Protección de Servicios y aplicaciones web 10% 95% n.a. [Mp.s.8] Protección frente a la denegación de Servicio 10% 95% n.a.

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 182/204

Page 183: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[Mp.s.9] Medios Alternativos 23% 94% n.a.

Dominio de Seguridad: [RAI] Recursos, Aprendizaje e Investigación

[Org] Marco organizativocontrol [Current] [Target] [PILAR][Org] Marco organizativo 10% 81% 85% [Org.1] Política de Seguridad 4% 32% 89% [Org.2] Normativa de Seguridad 0% 100% 90% [Org.3] Procedimientos de Seguridad 0% 95% 90% [Org.4] Proceso de quins 36% 95% 70%

[Op] Marco operacionalcontrol [Current] [Target] [PILAR][Op] Marco operacional 16% 77% 82% [Op.pl] Planificación 13% 73% 83% [Op.pl.1] Análisis de Riesgos 10% 95% 90% [Op.pl.2] Arquitectura de Seguridad 33% 79% 62% [Op.pl.3] Adquisición de Nuevos componentes 0% 0% 90% [Op.pl.4] Dimensionamiento / Gestión de capacidades 10% 95% 82% [Op.pl.5] Componentes certificados 10% 95% 90% [Op.acc] Control de Acceso 35% 88% 88% [Op.acc.1] Identificación 75% 95% 86% [Op.acc.2] Requisitos de Acceso 48% 95% 93% [Op.acc.3] segregaciones de funciones y Tareas 19% 95% 80% [Op.acc.4] Proceso de gestión de Derechos de Acceso 50% 95% 87% [Op.acc.5] Mecanismo de autenticación 32% 47% 92% [Op.acc.6] Acceso local (local logon) 5% 95% 90% [Op.acc.7] Acceso remoto (remote login) 16% 95% 90% [Op.exp] Explotación 22% 83% 83% [Op.exp.1] Inventario de Activos 31% 95% 77% [Op.exp.2] Configuración de Seguridad 11% 77% 92% [Op.exp.3] Gestión de la configuración 24% 86% 82% [Op.exp.4] Mantenimiento 17% 95% 88% [Op.exp.5] Gestión de Cambios 28% 71% 77% [Op.exp.6] Protección frente a código Danin 29% 95% 84% [Op.exp.7] Gestión de incidencias 12% 47% 80% [Op.exp.8] Registro de la actividad de los usuarios 10% 95% 72% [Op.exp.9] Registro de la gestión de incidencias 13% 63% 90% [Op.exp.10] Protección de los registros de actividad 15% 95% 82% [Op.exp.11] Protección de claves criptográficas 56% 95% 93% [Op.ext] SERVICIOS EXTERNOS 22% 79% n.a. [Op.ext.1] Contratación y Acuerdos de nivel de Servicio 50% 95% n.a. [Op.ext.2] Gestión diaria 10% 95% n.a.

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 183/204

Page 184: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[Op.ext.9] Medios Alternativos 5% 47% n.a. [Op.cont] Continuidad del Servicio 0% 90% 68% [Op.cont.1] Análisis de impacto 0% 90% 50% [Op.cont.2] Plan de Continuidad 0% 90% 64% [Op.cont.3] Pruebas periódicas 0% 90% 90% [Op.mon] Monitorización del sistema 5% 47% 90% [Op.mon.1] Detección de intrusión 10% 95% n.a. [Op.mon.2] Sistema de métricas 0% 0% 90%

[Mp] Medidas de Proteccióncontrol [Current] [Target] [PILAR][Mp] Medidas de Protección 29% 93% 82% [Mp.if] Protección de las instalaciones e infraestructuras 47% 94% 78% [Mp.if.1] Áreas separadas y con control de Acceso 72% 90% n.a. [Mp.if.2] Identificación de las personas 5% 90% n.a. [Mp.if.3] Acondicionamiento de los locales 50% 95% 92% [Mp.if.4] Energía eléctrica 92% 95% 73% [Mp.if.5] Protección frente a incendios 90% 95% n.a. [Mp.if.6] Protección frente a inundaciones 50% 95% n.a. [Mp.if.7] Registro de entrada y salida de Equipamiento 5% 95% 70% [Mp.if.9] Instalaciones alternativas 10% 95% n.a. [Mp.per] Gestión del personal 30% 95% 79% [Mp.per.1] Caracterización del puesto, trabajo 53% 95% 87% [Mp.per.2] deberá y obligaciones 47% 95% 73% [Mp.per.3] Concienciación 24% 94% 90% [Mp.per.4] Formación 17% 95% 77% [Mp.per.9] Personal alternativo 10% 95% 70% [Mp.eq] Protección de los Equipos 19% 94% 82% [Mp.eq.1] Puesto, trabajo despejada 8% 92% n.a. [Mp.eq.2] Bloqueo del puesto, trabajo 45% 95% 100% [Mp.eq.3] Protección de Equipos portátiles 12% 95% n.a. [Mp.eq.9] Medios Alternativos 10% 95% 63% [Mp.com] Protección de las comunicaciones 29% 95% n.a. [Mp.com.1] perímetros seguro 56% 95% n.a. [Mp.com.2] Protección de la Confidencialidad 40% 95% n.a. [Mp.com.3] Protección de la autenticidad y de la integridad

21% 94% n.a.

[Mp.com.4] segregaciones de redes 17% 95% n.a. [Mp.com.9] Medios Alternativos 10% 95% n.a. [Mp.si] Protección de los soportes de información 34% 95% n.a. [Mp.si.1] Etiquetado 10% 95% n.a. [Mp.si.2] Criptografía 10% 95% n.a. [Mp.si.3] Custodia 10% 95% n.a. [Mp.si.4] Transporte 50% 95% n.a.

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 184/204

Page 185: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[Mp.si.5] borrada y destrucción 92% 95% n.a. [Mp.sw] Protección de las aplicaciones informáticas (SW) 10% 95% 89% [Mp.sw.1] Desarrollo de aplicaciones 10% 95% 90% [Mp.sw.2] aceptación y Puesta en Servicio 10% 95% 88% [Mp.info] Protección de la información 32% 81% 92% [Mp.info.1] Datos de carácter personal 0% 0% n.a. [Mp.info.2] Calificación de la información 45% 95% 90% [Mp.info.3] Cifrado de la información 33% 95% 92% [Mp.info.4] Firma electrónica 89% 95% 91% [Mp.info.5] sellos de tiempo 20% 95% 91% [Mp.info.6] Limpieza de documentos 0% 95% 95% [Mp.info.9] Copias de Seguridad (backup) 35% 95% 91% [Mp.s] Protección de los Servicios 31% 94% 70% [Mp.s.1] Protección del correo electrónico (e-mail) 83% 92% n.a. [Mp.s.2] Protección de Servicios y aplicaciones web 10% 95% n.a. [Mp.s.8] Protección frente a la denegación de Servicio 10% 95% 80% [Mp.s.9] Medios Alternativos 23% 94% 60%

Dominio de Seguridad: [RRH] Recursos Humanos

[Org] Marco organizativocontrol [Current] [Target] [PILAR][Org] Marco organizativo 10% 81% 83% [Org.1] Política de Seguridad 4% 32% 89% [Org.2] Normativa de Seguridad 0% 100% 90% [Org.3] Procedimientos de Seguridad 0% 95% 90% [Org.4] Proceso de quins 36% 95% 63%

[Op] Marco operacionalcontrol [Current] [Target] [PILAR][Op] Marco operacional 16% 77% 81% [Op.pl] Planificación 13% 73% 83% [Op.pl.1] Análisis de Riesgos 10% 95% 90% [Op.pl.2] Arquitectura de Seguridad 33% 79% 61% [Op.pl.3] Adquisición de Nuevos componentes 0% 0% 90% [Op.pl.4] Dimensionamiento / Gestión de capacidades 10% 95% 82% [Op.pl.5] Componentes certificados 10% 95% 90% [Op.acc] Control de Acceso 35% 88% 87% [Op.acc.1] Identificación 75% 95% 81% [Op.acc.2] Requisitos de Acceso 48% 95% 93% [Op.acc.3] segregaciones de funciones y Tareas 19% 95% 80% [Op.acc.4] Proceso de gestión de Derechos de Acceso 50% 95% 87% [Op.acc.5] Mecanismo de autenticación 32% 47% 92% [Op.acc.6] Acceso local (local logon) 5% 95% 90%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 185/204

Page 186: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[Op.acc.7] Acceso remoto (remote login) 16% 95% 90% [Op.exp] Explotación 22% 83% 85% [Op.exp.1] Inventario de Activos 31% 95% 79% [Op.exp.2] Configuración de Seguridad 11% 77% 92% [Op.exp.3] Gestión de la configuración 24% 86% 82% [Op.exp.4] Mantenimiento 17% 95% 88% [Op.exp.5] Gestión de Cambios 28% 71% 77% [Op.exp.6] Protección frente a código Danin 29% 95% 84% [Op.exp.7] Gestión de incidencias 12% 47% 80% [Op.exp.8] Registro de la actividad de los usuarios 10% 95% n.a. [Op.exp.9] Registro de la gestión de incidencias 13% 63% 90% [Op.exp.10] Protección de los registros de actividad 15% 95% n.a. [Op.exp.11] Protección de claves criptográficas 56% 95% 93% [Op.ext] SERVICIOS EXTERNOS 22% 79% 76% [Op.ext.1] Contratación y Acuerdos de nivel de Servicio 50% 95% 60% [Op.ext.2] Gestión diaria 10% 95% 77% [Op.ext.9] Medios Alternativos 5% 47% 90% [Op.cont] Continuidad del Servicio 0% 90% 68% [Op.cont.1] Análisis de impacto 0% 90% 50% [Op.cont.2] Plan de Continuidad 0% 90% 64% [Op.cont.3] Pruebas periódicas 0% 90% 90% [Op.mon] Monitorización del sistema 5% 47% 90% [Op.mon.1] Detección de intrusión 10% 95% n.a. [Op.mon.2] Sistema de métricas 0% 0% 90%

[Mp] Medidas de Proteccióncontrol [Current] [Target] [PILAR][Mp] Medidas de Protección 29% 93% 84% [Mp.if] Protección de las instalaciones e infraestructuras 47% 94% 78% [Mp.if.1] Áreas separadas y con control de Acceso 72% 90% n.a. [Mp.if.2] Identificación de las personas 5% 90% n.a. [Mp.if.3] Acondicionamiento de los locales 50% 95% 92% [Mp.if.4] Energía eléctrica 92% 95% 73% [Mp.if.5] Protección frente a incendios 90% 95% n.a. [Mp.if.6] Protección frente a inundaciones 50% 95% n.a. [Mp.if.7] Registro de entrada y salida de Equipamiento 5% 95% 70% [Mp.if.9] Instalaciones alternativas 10% 95% n.a. [Mp.per] Gestión del personal 30% 95% 80% [Mp.per.1] Caracterización del puesto, trabajo 53% 95% 87% [Mp.per.2] deberá y obligaciones 47% 95% 73% [Mp.per.3] Concienciación 24% 94% 90% [Mp.per.4] Formación 17% 95% 81% [Mp.per.9] Personal alternativo 10% 95% 70% [Mp.eq] Protección de los Equipos 19% 94% 84%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 186/204

Page 187: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[Mp.eq.1] Puesto, trabajo despejada 8% 92% 90% [Mp.eq.2] Bloqueo del puesto, trabajo 45% 95% 100% [Mp.eq.3] Protección de Equipos portátiles 12% 95% n.a. [Mp.eq.9] Medios Alternativos 10% 95% 63% [Mp.com] Protección de las comunicaciones 29% 95% n.a. [Mp.com.1] perímetros seguro 56% 95% n.a. [Mp.com.2] Protección de la Confidencialidad 40% 95% n.a. [Mp.com.3] Protección de la autenticidad y de la integridad

21% 94% n.a.

[Mp.com.4] segregaciones de redes 17% 95% n.a. [Mp.com.9] Medios Alternativos 10% 95% n.a. [Mp.si] Protección de los soportes de información 34% 95% 92% [Mp.si.1] Etiquetado 10% 95% 90% [Mp.si.2] Criptografía 10% 95% 95% [Mp.si.3] Custodia 10% 95% 90% [Mp.si.4] Transporte 50% 95% 91% [Mp.si.5] borrada y destrucción 92% 95% 92% [Mp.sw] Protección de las aplicaciones informáticas (SW) 10% 95% 89% [Mp.sw.1] Desarrollo de aplicaciones 10% 95% 90% [Mp.sw.2] aceptación y Puesta en Servicio 10% 95% 88% [Mp.info] Protección de la información 32% 81% 92% [Mp.info.1] Datos de carácter personal 0% 0% 90% [Mp.info.2] Calificación de la información 45% 95% 90% [Mp.info.3] Cifrado de la información 33% 95% 94% [Mp.info.4] Firma electrónica 89% 95% 91% [Mp.info.5] sellos de tiempo 20% 95% n.a. [Mp.info.6] Limpieza de documentos 0% 95% 95% [Mp.info.9] Copias de Seguridad (backup) 35% 95% 91% [Mp.s] Protección de los Servicios 31% 94% 70% [Mp.s.1] Protección del correo electrónico (e-mail) 83% 92% n.a. [Mp.s.2] Protección de Servicios y aplicaciones web 10% 95% n.a. [Mp.s.8] Protección frente a la denegación de Servicio 10% 95% 80% [Mp.s.9] Medios Alternativos 23% 94% 60%

Dominio de Seguridad: [PEC] Planificación Económica

[Org] Marco organizativocontrol [Current] [Target] [PILAR][Org] Marco organizativo 10% 81% 83% [Org.1] Política de Seguridad 4% 32% 89% [Org.2] Normativa de Seguridad 0% 100% 90% [Org.3] Procedimientos de Seguridad 0% 95% 90% [Org.4] Proceso de quins 36% 95% 63%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 187/204

Page 188: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[Op] Marco operacionalcontrol [Current] [Target] [PILAR][Op] Marco operacional 16% 77% 81% [Op.pl] Planificación 13% 73% 83% [Op.pl.1] Análisis de Riesgos 10% 95% 90% [Op.pl.2] Arquitectura de Seguridad 33% 79% 61% [Op.pl.3] Adquisición de Nuevos componentes 0% 0% 90% [Op.pl.4] Dimensionamiento / Gestión de capacidades 10% 95% 82% [Op.pl.5] Componentes certificados 10% 95% 90% [Op.acc] Control de Acceso 35% 88% 87% [Op.acc.1] Identificación 75% 95% 81% [Op.acc.2] Requisitos de Acceso 48% 95% 93% [Op.acc.3] segregaciones de funciones y Tareas 19% 95% 80% [Op.acc.4] Proceso de gestión de Derechos de Acceso 50% 95% 87% [Op.acc.5] Mecanismo de autenticación 32% 47% 92% [Op.acc.6] Acceso local (local logon) 5% 95% 90% [Op.acc.7] Acceso remoto (remote login) 16% 95% 90% [Op.exp] Explotación 22% 83% 84% [Op.exp.1] Inventario de Activos 31% 95% 74% [Op.exp.2] Configuración de Seguridad 11% 77% 92% [Op.exp.3] Gestión de la configuración 24% 86% 81% [Op.exp.4] Mantenimiento 17% 95% 90% [Op.exp.5] Gestión de Cambios 28% 71% 77% [Op.exp.6] Protección frente a código Danin 29% 95% 84% [Op.exp.7] Gestión de incidencias 12% 47% 80% [Op.exp.8] Registro de la actividad de los usuarios 10% 95% n.a. [Op.exp.9] Registro de la gestión de incidencias 13% 63% 90% [Op.exp.10] Protección de los registros de actividad 15% 95% n.a. [Op.exp.11] Protección de claves criptográficas 56% 95% 90% [Op.ext] SERVICIOS EXTERNOS 22% 79% 76% [Op.ext.1] Contratación y Acuerdos de nivel de Servicio 50% 95% 60% [Op.ext.2] Gestión diaria 10% 95% 77% [Op.ext.9] Medios Alternativos 5% 47% 90% [Op.cont] Continuidad del Servicio 0% 90% 68% [Op.cont.1] Análisis de impacto 0% 90% 50% [Op.cont.2] Plan de Continuidad 0% 90% 64% [Op.cont.3] Pruebas periódicas 0% 90% 90% [Op.mon] Monitorización del sistema 5% 47% 90% [Op.mon.1] Detección de intrusión 10% 95% n.a. [Op.mon.2] Sistema de métricas 0% 0% 90%

[Mp] Medidas de Proteccióncontrol [Current] [Target] [PILAR][Mp] Medidas de Protección 29% 93% 84%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 188/204

Page 189: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[Mp.if] Protección de las instalaciones e infraestructuras 47% 94% 78% [Mp.if.1] Áreas separadas y con control de Acceso 72% 90% n.a. [Mp.if.2] Identificación de las personas 5% 90% n.a. [Mp.if.3] Acondicionamiento de los locales 50% 95% 92% [Mp.if.4] Energía eléctrica 92% 95% 73% [Mp.if.5] Protección frente a incendios 90% 95% n.a. [Mp.if.6] Protección frente a inundaciones 50% 95% n.a. [Mp.if.7] Registro de entrada y salida de Equipamiento 5% 95% 70% [Mp.if.9] Instalaciones alternativas 10% 95% n.a. [Mp.per] Gestión del personal 30% 95% 79% [Mp.per.1] Caracterización del puesto, trabajo 53% 95% 87% [Mp.per.2] deberá y obligaciones 47% 95% 77% [Mp.per.3] Concienciación 24% 94% 90% [Mp.per.4] Formación 17% 95% 70% [Mp.per.9] Personal alternativo 10% 95% 70% [Mp.eq] Protección de los Equipos 19% 94% 84% [Mp.eq.1] Puesto, trabajo despejada 8% 92% 90% [Mp.eq.2] Bloqueo del puesto, trabajo 45% 95% 100% [Mp.eq.3] Protección de Equipos portátiles 12% 95% 82% [Mp.eq.9] Medios Alternativos 10% 95% 63% [Mp.com] Protección de las comunicaciones 29% 95% n.a. [Mp.com.1] perímetros seguro 56% 95% n.a. [Mp.com.2] Protección de la Confidencialidad 40% 95% n.a. [Mp.com.3] Protección de la autenticidad y de la integridad

21% 94% n.a.

[Mp.com.4] segregaciones de redes 17% 95% n.a. [Mp.com.9] Medios Alternativos 10% 95% n.a. [Mp.si] Protección de los soportes de información 34% 95% n.a. [Mp.si.1] Etiquetado 10% 95% n.a. [Mp.si.2] Criptografía 10% 95% n.a. [Mp.si.3] Custodia 10% 95% n.a. [Mp.si.4] Transporte 50% 95% n.a. [Mp.si.5] borrada y destrucción 92% 95% n.a. [Mp.sw] Protección de las aplicaciones informáticas (SW) 10% 95% 89% [Mp.sw.1] Desarrollo de aplicaciones 10% 95% 90% [Mp.sw.2] aceptación y Puesta en Servicio 10% 95% 88% [Mp.info] Protección de la información 32% 81% 90% [Mp.info.1] Datos de carácter personal 0% 0% n.a. [Mp.info.2] Calificación de la información 45% 95% n.a. [Mp.info.3] Cifrado de la información 33% 95% n.a. [Mp.info.4] Firma electrónica 89% 95% n.a. [Mp.info.5] sellos de tiempo 20% 95% n.a. [Mp.info.6] Limpieza de documentos 0% 95% n.a. [Mp.info.9] Copias de Seguridad (backup) 35% 95% 90% [Mp.s] Protección de los Servicios 31% 94% n.a.

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 189/204

Page 190: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[Mp.s.1] Protección del correo electrónico (e-mail) 83% 92% n.a. [Mp.s.2] Protección de Servicios y aplicaciones web 10% 95% n.a. [Mp.s.8] Protección frente a la denegación de Servicio 10% 95% n.a. [Mp.s.9] Medios Alternativos 23% 94% n.a.

Dominio de Seguridad: [JUR] Jurídico

[Org] Marco organizativocontrol [Current] [Target] [PILAR][Org] Marco organizativo 10% 81% 85% [Org.1] Política de Seguridad 4% 32% 89% [Org.2] Normativa de Seguridad 0% 100% 90% [Org.3] Procedimientos de Seguridad 0% 95% 90% [Org.4] Proceso de quins 36% 95% 70%

[Op] Marco operacionalcontrol [Current] [Target] [PILAR][Op] Marco operacional 16% 77% 81% [Op.pl] Planificación 13% 73% 82% [Op.pl.1] Análisis de Riesgos 10% 95% 90% [Op.pl.2] Arquitectura de Seguridad 33% 79% 58% [Op.pl.3] Adquisición de Nuevos componentes 0% 0% 90% [Op.pl.4] Dimensionamiento / Gestión de capacidades 10% 95% 82% [Op.pl.5] Componentes certificados 10% 95% 90% [Op.acc] Control de Acceso 35% 88% 83% [Op.acc.1] Identificación 75% 95% 50% [Op.acc.2] Requisitos de Acceso 48% 95% 92% [Op.acc.3] segregaciones de funciones y Tareas 19% 95% 80% [Op.acc.4] Proceso de gestión de Derechos de Acceso 50% 95% 87% [Op.acc.5] Mecanismo de autenticación 32% 47% 90% [Op.acc.6] Acceso local (local logon) 5% 95% 90% [Op.acc.7] Acceso remoto (remote login) 16% 95% 90% [Op.exp] Explotación 22% 83% 82% [Op.exp.1] Inventario de Activos 31% 95% 77% [Op.exp.2] Configuración de Seguridad 11% 77% 91% [Op.exp.3] Gestión de la configuración 24% 86% 76% [Op.exp.4] Mantenimiento 17% 95% 87% [Op.exp.5] Gestión de Cambios 28% 71% 80% [Op.exp.6] Protección frente a código Danin 29% 95% 70% [Op.exp.7] Gestión de incidencias 12% 47% 80% [Op.exp.8] Registro de la actividad de los usuarios 10% 95% n.a. [Op.exp.9] Registro de la gestión de incidencias 13% 63% 90% [Op.exp.10] Protección de los registros de actividad 15% 95% n.a. [Op.exp.11] Protección de claves criptográficas 56% 95% 90%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 190/204

Page 191: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[Op.ext] SERVICIOS EXTERNOS 22% 79% n.a. [Op.ext.1] Contratación y Acuerdos de nivel de Servicio 50% 95% n.a. [Op.ext.2] Gestión diaria 10% 95% n.a. [Op.ext.9] Medios Alternativos 5% 47% n.a. [Op.cont] Continuidad del Servicio 0% 90% 68% [Op.cont.1] Análisis de impacto 0% 90% 50% [Op.cont.2] Plan de Continuidad 0% 90% 64% [Op.cont.3] Pruebas periódicas 0% 90% 90% [Op.mon] Monitorización del sistema 5% 47% 90% [Op.mon.1] Detección de intrusión 10% 95% n.a. [Op.mon.2] Sistema de métricas 0% 0% 90%

[Mp] Medidas de Proteccióncontrol [Current] [Target] [PILAR][Mp] Medidas de Protección 29% 93% 81% [Mp.if] Protección de las instalaciones e infraestructuras 47% 94% 78% [Mp.if.1] Áreas separadas y con control de Acceso 72% 90% n.a. [Mp.if.2] Identificación de las personas 5% 90% n.a. [Mp.if.3] Acondicionamiento de los locales 50% 95% 92% [Mp.if.4] Energía eléctrica 92% 95% 73% [Mp.if.5] Protección frente a incendios 90% 95% n.a. [Mp.if.6] Protección frente a inundaciones 50% 95% n.a. [Mp.if.7] Registro de entrada y salida de Equipamiento 5% 95% 70% [Mp.if.9] Instalaciones alternativas 10% 95% n.a. [Mp.per] Gestión del personal 30% 95% 78% [Mp.per.1] Caracterización del puesto, trabajo 53% 95% 87% [Mp.per.2] deberá y obligaciones 47% 95% 73% [Mp.per.3] Concienciación 24% 94% 90% [Mp.per.4] Formación 17% 95% 70% [Mp.per.9] Personal alternativo 10% 95% 70% [Mp.eq] Protección de los Equipos 19% 94% 79% [Mp.eq.1] Puesto, trabajo despejada 8% 92% n.a. [Mp.eq.2] Bloqueo del puesto, trabajo 45% 95% 95% [Mp.eq.3] Protección de Equipos portátiles 12% 95% n.a. [Mp.eq.9] Medios Alternativos 10% 95% 63% [Mp.com] Protección de las comunicaciones 29% 95% n.a. [Mp.com.1] perímetros seguro 56% 95% n.a. [Mp.com.2] Protección de la Confidencialidad 40% 95% n.a. [Mp.com.3] Protección de la autenticidad y de la integridad

21% 94% n.a.

[Mp.com.4] segregaciones de redes 17% 95% n.a. [Mp.com.9] Medios Alternativos 10% 95% n.a. [Mp.si] Protección de los soportes de información 34% 95% n.a. [Mp.si.1] Etiquetado 10% 95% n.a.

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 191/204

Page 192: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[Mp.si.2] Criptografía 10% 95% n.a. [Mp.si.3] Custodia 10% 95% n.a. [Mp.si.4] Transporte 50% 95% n.a. [Mp.si.5] borrada y destrucción 92% 95% n.a. [Mp.sw] Protección de las aplicaciones informáticas (SW) 10% 95% n.a. [Mp.sw.1] Desarrollo de aplicaciones 10% 95% n.a. [Mp.sw.2] aceptación y Puesta en Servicio 10% 95% n.a. [Mp.info] Protección de la información 32% 81% 90% [Mp.info.1] Datos de carácter personal 0% 0% n.a. [Mp.info.2] Calificación de la información 45% 95% n.a. [Mp.info.3] Cifrado de la información 33% 95% n.a. [Mp.info.4] Firma electrónica 89% 95% n.a. [Mp.info.5] sellos de tiempo 20% 95% n.a. [Mp.info.6] Limpieza de documentos 0% 95% n.a. [Mp.info.9] Copias de Seguridad (backup) 35% 95% 90% [Mp.s] Protección de los Servicios 31% 94% n.a. [Mp.s.1] Protección del correo electrónico (e-mail) 83% 92% n.a. [Mp.s.2] Protección de Servicios y aplicaciones web 10% 95% n.a. [Mp.s.8] Protección frente a la denegación de Servicio 10% 95% n.a. [Mp.s.9] Medios Alternativos 23% 94% n.a.

Dominio de Seguridad: [ORG] Organización

[Org] Marco organizativocontrol [Current] [Target] [PILAR][Org] Marco organizativo 10% 81% 85% [Org.1] Política de Seguridad 4% 32% 89% [Org.2] Normativa de Seguridad 0% 100% 90% [Org.3] Procedimientos de Seguridad 0% 95% 90% [Org.4] Proceso de quins 36% 95% 70%

[Op] Marco operacionalcontrol [Current] [Target] [PILAR][Op] Marco operacional 16% 77% 81% [Op.pl] Planificación 13% 73% 82% [Op.pl.1] Análisis de Riesgos 10% 95% 90% [Op.pl.2] Arquitectura de Seguridad 33% 79% 58% [Op.pl.3] Adquisición de Nuevos componentes 0% 0% 90% [Op.pl.4] Dimensionamiento / Gestión de capacidades 10% 95% 82% [Op.pl.5] Componentes certificados 10% 95% 90% [Op.acc] Control de Acceso 35% 88% 83% [Op.acc.1] Identificación 75% 95% 50% [Op.acc.2] Requisitos de Acceso 48% 95% 92% [Op.acc.3] segregaciones de funciones y Tareas 19% 95% 80%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 192/204

Page 193: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[Op.acc.4] Proceso de gestión de Derechos de Acceso 50% 95% 87% [Op.acc.5] Mecanismo de autenticación 32% 47% 90% [Op.acc.6] Acceso local (local logon) 5% 95% 90% [Op.acc.7] Acceso remoto (remote login) 16% 95% 90% [Op.exp] Explotación 22% 83% 82% [Op.exp.1] Inventario de Activos 31% 95% 77% [Op.exp.2] Configuración de Seguridad 11% 77% 91% [Op.exp.3] Gestión de la configuración 24% 86% 76% [Op.exp.4] Mantenimiento 17% 95% 87% [Op.exp.5] Gestión de Cambios 28% 71% 80% [Op.exp.6] Protección frente a código Danin 29% 95% 70% [Op.exp.7] Gestión de incidencias 12% 47% 80% [Op.exp.8] Registro de la actividad de los usuarios 10% 95% n.a. [Op.exp.9] Registro de la gestión de incidencias 13% 63% 90% [Op.exp.10] Protección de los registros de actividad 15% 95% n.a. [Op.exp.11] Protección de claves criptográficas 56% 95% 90% [Op.ext] SERVICIOS EXTERNOS 22% 79% n.a. [Op.ext.1] Contratación y Acuerdos de nivel de Servicio 50% 95% n.a. [Op.ext.2] Gestión diaria 10% 95% n.a. [Op.ext.9] Medios Alternativos 5% 47% n.a. [Op.cont] Continuidad del Servicio 0% 90% 68% [Op.cont.1] Análisis de impacto 0% 90% 50% [Op.cont.2] Plan de Continuidad 0% 90% 64% [Op.cont.3] Pruebas periódicas 0% 90% 90% [Op.mon] Monitorización del sistema 5% 47% 90% [Op.mon.1] Detección de intrusión 10% 95% n.a. [Op.mon.2] Sistema de métricas 0% 0% 90%

[Mp] Medidas de Proteccióncontrol [Current] [Target] [PILAR][Mp] Medidas de Protección 29% 93% 81% [Mp.if] Protección de las instalaciones e infraestructuras 47% 94% 78% [Mp.if.1] Áreas separadas y con control de Acceso 72% 90% n.a. [Mp.if.2] Identificación de las personas 5% 90% n.a. [Mp.if.3] Acondicionamiento de los locales 50% 95% 92% [Mp.if.4] Energía eléctrica 92% 95% 73% [Mp.if.5] Protección frente a incendios 90% 95% n.a. [Mp.if.6] Protección frente a inundaciones 50% 95% n.a. [Mp.if.7] Registro de entrada y salida de Equipamiento 5% 95% 70% [Mp.if.9] Instalaciones alternativas 10% 95% n.a. [Mp.per] Gestión del personal 30% 95% 78% [Mp.per.1] Caracterización del puesto, trabajo 53% 95% 87% [Mp.per.2] deberá y obligaciones 47% 95% 73% [Mp.per.3] Concienciación 24% 94% 90%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 193/204

Page 194: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[Mp.per.4] Formación 17% 95% 70% [Mp.per.9] Personal alternativo 10% 95% 70% [Mp.eq] Protección de los Equipos 19% 94% 79% [Mp.eq.1] Puesto, trabajo despejada 8% 92% n.a. [Mp.eq.2] Bloqueo del puesto, trabajo 45% 95% 95% [Mp.eq.3] Protección de Equipos portátiles 12% 95% n.a. [Mp.eq.9] Medios Alternativos 10% 95% 63% [Mp.com] Protección de las comunicaciones 29% 95% n.a. [Mp.com.1] perímetros seguro 56% 95% n.a. [Mp.com.2] Protección de la Confidencialidad 40% 95% n.a. [Mp.com.3] Protección de la autenticidad y de la integridad

21% 94% n.a.

[Mp.com.4] segregaciones de redes 17% 95% n.a. [Mp.com.9] Medios Alternativos 10% 95% n.a. [Mp.si] Protección de los soportes de información 34% 95% n.a. [Mp.si.1] Etiquetado 10% 95% n.a. [Mp.si.2] Criptografía 10% 95% n.a. [Mp.si.3] Custodia 10% 95% n.a. [Mp.si.4] Transporte 50% 95% n.a. [Mp.si.5] borrada y destrucción 92% 95% n.a. [Mp.sw] Protección de las aplicaciones informáticas (SW) 10% 95% n.a. [Mp.sw.1] Desarrollo de aplicaciones 10% 95% n.a. [Mp.sw.2] aceptación y Puesta en Servicio 10% 95% n.a. [Mp.info] Protección de la información 32% 81% 90% [Mp.info.1] Datos de carácter personal 0% 0% n.a. [Mp.info.2] Calificación de la información 45% 95% n.a. [Mp.info.3] Cifrado de la información 33% 95% n.a. [Mp.info.4] Firma electrónica 89% 95% n.a. [Mp.info.5] sellos de tiempo 20% 95% n.a. [Mp.info.6] Limpieza de documentos 0% 95% n.a. [Mp.info.9] Copias de Seguridad (backup) 35% 95% 90% [Mp.s] Protección de los Servicios 31% 94% n.a. [Mp.s.1] Protección del correo electrónico (e-mail) 83% 92% n.a. [Mp.s.2] Protección de Servicios y aplicaciones web 10% 95% n.a. [Mp.s.8] Protección frente a la denegación de Servicio 10% 95% n.a. [Mp.s.9] Medios Alternativos 23% 94% n.a.

Dominio de Seguridad: [CDO] Centros de Docencia

[Org] Marco organizativocontrol [Current] [Target] [PILAR][Org] Marco organizativo 10% 81% 85% [Org.1] Política de Seguridad 4% 32% 89% [Org.2] Normativa de Seguridad 0% 100% 90%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 194/204

Page 195: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[Org.3] Procedimientos de Seguridad 0% 95% 90% [Org.4] Proceso de quins 36% 95% 70%

[Op] Marco operacionalcontrol [Current] [Target] [PILAR][Op] Marco operacional 16% 77% 82% [Op.pl] Planificación 13% 73% 82% [Op.pl.1] Análisis de Riesgos 10% 95% 90% [Op.pl.2] Arquitectura de Seguridad 33% 79% 58% [Op.pl.3] Adquisición de Nuevos componentes 0% 0% 90% [Op.pl.4] Dimensionamiento / Gestión de capacidades 10% 95% 82% [Op.pl.5] Componentes certificados 10% 95% 90% [Op.acc] Control de Acceso 35% 88% 88% [Op.acc.1] Identificación 75% 95% 86% [Op.acc.2] Requisitos de Acceso 48% 95% 93% [Op.acc.3] segregaciones de funciones y Tareas 19% 95% 80% [Op.acc.4] Proceso de gestión de Derechos de Acceso 50% 95% 87% [Op.acc.5] Mecanismo de autenticación 32% 47% 92% [Op.acc.6] Acceso local (local logon) 5% 95% 90% [Op.acc.7] Acceso remoto (remote login) 16% 95% 90% [Op.exp] Explotación 22% 83% 81% [Op.exp.1] Inventario de Activos 31% 95% 74% [Op.exp.2] Configuración de Seguridad 11% 77% 90% [Op.exp.3] Gestión de la configuración 24% 86% 79% [Op.exp.4] Mantenimiento 17% 95% 87% [Op.exp.5] Gestión de Cambios 28% 71% 80% [Op.exp.6] Protección frente a código Danin 29% 95% 70% [Op.exp.7] Gestión de incidencias 12% 47% 80% [Op.exp.8] Registro de la actividad de los usuarios 10% 95% 72% [Op.exp.9] Registro de la gestión de incidencias 13% 63% 90% [Op.exp.10] Protección de los registros de actividad 15% 95% 82% [Op.exp.11] Protección de claves criptográficas 56% 95% 93% [Op.ext] SERVICIOS EXTERNOS 22% 79% n.a. [Op.ext.1] Contratación y Acuerdos de nivel de Servicio 50% 95% n.a. [Op.ext.2] Gestión diaria 10% 95% n.a. [Op.ext.9] Medios Alternativos 5% 47% n.a. [Op.cont] Continuidad del Servicio 0% 90% 68% [Op.cont.1] Análisis de impacto 0% 90% 50% [Op.cont.2] Plan de Continuidad 0% 90% 64% [Op.cont.3] Pruebas periódicas 0% 90% 90% [Op.mon] Monitorización del sistema 5% 47% 90% [Op.mon.1] Detección de intrusión 10% 95% n.a. [Op.mon.2] Sistema de métricas 0% 0% 90%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 195/204

Page 196: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[Mp] Medidas de Proteccióncontrol [Current] [Target] [PILAR][Mp] Medidas de Protección 29% 93% 82% [Mp.if] Protección de las instalaciones e infraestructuras 47% 94% 78% [Mp.if.1] Áreas separadas y con control de Acceso 72% 90% n.a. [Mp.if.2] Identificación de las personas 5% 90% n.a. [Mp.if.3] Acondicionamiento de los locales 50% 95% 92% [Mp.if.4] Energía eléctrica 92% 95% 73% [Mp.if.5] Protección frente a incendios 90% 95% n.a. [Mp.if.6] Protección frente a inundaciones 50% 95% n.a. [Mp.if.7] Registro de entrada y salida de Equipamiento 5% 95% 70% [Mp.if.9] Instalaciones alternativas 10% 95% n.a. [Mp.per] Gestión del personal 30% 95% 80% [Mp.per.1] Caracterización del puesto, trabajo 53% 95% 87% [Mp.per.2] deberá y obligaciones 47% 95% 73% [Mp.per.3] Concienciación 24% 94% 90% [Mp.per.4] Formación 17% 95% 80% [Mp.per.9] Personal alternativo 10% 95% 70% [Mp.eq] Protección de los Equipos 19% 94% 82% [Mp.eq.1] Puesto, trabajo despejada 8% 92% n.a. [Mp.eq.2] Bloqueo del puesto, trabajo 45% 95% 100% [Mp.eq.3] Protección de Equipos portátiles 12% 95% n.a. [Mp.eq.9] Medios Alternativos 10% 95% 63% [Mp.com] Protección de las comunicaciones 29% 95% n.a. [Mp.com.1] perímetros seguro 56% 95% n.a. [Mp.com.2] Protección de la Confidencialidad 40% 95% n.a. [Mp.com.3] Protección de la autenticidad y de la integridad

21% 94% n.a.

[Mp.com.4] segregaciones de redes 17% 95% n.a. [Mp.com.9] Medios Alternativos 10% 95% n.a. [Mp.si] Protección de los soportes de información 34% 95% n.a. [Mp.si.1] Etiquetado 10% 95% n.a. [Mp.si.2] Criptografía 10% 95% n.a. [Mp.si.3] Custodia 10% 95% n.a. [Mp.si.4] Transporte 50% 95% n.a. [Mp.si.5] borrada y destrucción 92% 95% n.a. [Mp.sw] Protección de las aplicaciones informáticas (SW) 10% 95% n.a. [Mp.sw.1] Desarrollo de aplicaciones 10% 95% n.a. [Mp.sw.2] aceptación y Puesta en Servicio 10% 95% n.a. [Mp.info] Protección de la información 32% 81% 92% [Mp.info.1] Datos de carácter personal 0% 0% n.a. [Mp.info.2] Calificación de la información 45% 95% 90% [Mp.info.3] Cifrado de la información 33% 95% 92% [Mp.info.4] Firma electrónica 89% 95% 91%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 196/204

Page 197: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[Mp.info.5] sellos de tiempo 20% 95% 91% [Mp.info.6] Limpieza de documentos 0% 95% 95% [Mp.info.9] Copias de Seguridad (backup) 35% 95% 91% [Mp.s] Protección de los Servicios 31% 94% 78% [Mp.s.1] Protección del correo electrónico (e-mail) 83% 92% n.a. [Mp.s.2] Protección de Servicios y aplicaciones web 10% 95% 90% [Mp.s.8] Protección frente a la denegación de Servicio 10% 95% 80% [Mp.s.9] Medios Alternativos 23% 94% 65%

Dominio de Seguridad: [ITI] Investigación, Transferencia e Innovación

[Org] Marco organizativocontrol [Current] [Target] [PILAR][Org] Marco organizativo 10% 81% 85% [Org.1] Política de Seguridad 4% 32% 89% [Org.2] Normativa de Seguridad 0% 100% 90% [Org.3] Procedimientos de Seguridad 0% 95% 90% [Org.4] Proceso de quins 36% 95% 70%

[Op] Marco operacionalcontrol [Current] [Target] [PILAR][Op] Marco operacional 16% 77% 81% [Op.pl] Planificación 13% 73% 83% [Op.pl.1] Análisis de Riesgos 10% 95% 90% [Op.pl.2] Arquitectura de Seguridad 33% 79% 61% [Op.pl.3] Adquisición de Nuevos componentes 0% 0% 90% [Op.pl.4] Dimensionamiento / Gestión de capacidades 10% 95% 82% [Op.pl.5] Componentes certificados 10% 95% 90% [Op.acc] Control de Acceso 35% 88% 88% [Op.acc.1] Identificación 75% 95% 86% [Op.acc.2] Requisitos de Acceso 48% 95% 93% [Op.acc.3] segregaciones de funciones y Tareas 19% 95% 80% [Op.acc.4] Proceso de gestión de Derechos de Acceso 50% 95% 87% [Op.acc.5] Mecanismo de autenticación 32% 47% 92% [Op.acc.6] Acceso local (local logon) 5% 95% 90% [Op.acc.7] Acceso remoto (remote login) 16% 95% 90% [Op.exp] Explotación 22% 83% 84% [Op.exp.1] Inventario de Activos 31% 95% 82% [Op.exp.2] Configuración de Seguridad 11% 77% 92% [Op.exp.3] Gestión de la configuración 24% 86% 81% [Op.exp.4] Mantenimiento 17% 95% 88% [Op.exp.5] Gestión de Cambios 28% 71% 77%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 197/204

Page 198: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[Op.exp.6] Protección frente a código Danin 29% 95% 84% [Op.exp.7] Gestión de incidencias 12% 47% 80% [Op.exp.8] Registro de la actividad de los usuarios 10% 95% 72% [Op.exp.9] Registro de la gestión de incidencias 13% 63% 90% [Op.exp.10] Protección de los registros de actividad 15% 95% 82% [Op.exp.11] Protección de claves criptográficas 56% 95% 93% [Op.ext] SERVICIOS EXTERNOS 22% 79% 76% [Op.ext.1] Contratación y Acuerdos de nivel de Servicio 50% 95% 60% [Op.ext.2] Gestión diaria 10% 95% 77% [Op.ext.9] Medios Alternativos 5% 47% 90% [Op.cont] Continuidad del Servicio 0% 90% 68% [Op.cont.1] Análisis de impacto 0% 90% 50% [Op.cont.2] Plan de Continuidad 0% 90% 64% [Op.cont.3] Pruebas periódicas 0% 90% 90% [Op.mon] Monitorización del sistema 5% 47% 90% [Op.mon.1] Detección de intrusión 10% 95% n.a. [Op.mon.2] Sistema de métricas 0% 0% 90%

[Mp] Medidas de Proteccióncontrol [Current] [Target] [PILAR][Mp] Medidas de Protección 29% 93% 84% [Mp.if] Protección de las instalaciones e infraestructuras 47% 94% 78% [Mp.if.1] Áreas separadas y con control de Acceso 72% 90% n.a. [Mp.if.2] Identificación de las personas 5% 90% n.a. [Mp.if.3] Acondicionamiento de los locales 50% 95% 92% [Mp.if.4] Energía eléctrica 92% 95% 73% [Mp.if.5] Protección frente a incendios 90% 95% n.a. [Mp.if.6] Protección frente a inundaciones 50% 95% n.a. [Mp.if.7] Registro de entrada y salida de Equipamiento 5% 95% 70% [Mp.if.9] Instalaciones alternativas 10% 95% n.a. [Mp.per] Gestión del personal 30% 95% 78% [Mp.per.1] Caracterización del puesto, trabajo 53% 95% 87% [Mp.per.2] deberá y obligaciones 47% 95% 73% [Mp.per.3] Concienciación 24% 94% 90% [Mp.per.4] Formación 17% 95% 70% [Mp.per.9] Personal alternativo 10% 95% 70% [Mp.eq] Protección de los Equipos 19% 94% 82% [Mp.eq.1] Puesto, trabajo despejada 8% 92% n.a. [Mp.eq.2] Bloqueo del puesto, trabajo 45% 95% 100% [Mp.eq.3] Protección de Equipos portátiles 12% 95% n.a. [Mp.eq.9] Medios Alternativos 10% 95% 63% [Mp.com] Protección de las comunicaciones 29% 95% n.a. [Mp.com.1] perímetros seguro 56% 95% n.a. [Mp.com.2] Protección de la Confidencialidad 40% 95% n.a.

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 198/204

Page 199: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[Mp.com.3] Protección de la autenticidad y de la integridad

21% 94% n.a.

[Mp.com.4] segregaciones de redes 17% 95% n.a. [Mp.com.9] Medios Alternativos 10% 95% n.a. [Mp.si] Protección de los soportes de información 34% 95% n.a. [Mp.si.1] Etiquetado 10% 95% n.a. [Mp.si.2] Criptografía 10% 95% n.a. [Mp.si.3] Custodia 10% 95% n.a. [Mp.si.4] Transporte 50% 95% n.a. [Mp.si.5] borrada y destrucción 92% 95% n.a. [Mp.sw] Protección de las aplicaciones informáticas (SW) 10% 95% 89% [Mp.sw.1] Desarrollo de aplicaciones 10% 95% 90% [Mp.sw.2] aceptación y Puesta en Servicio 10% 95% 88% [Mp.info] Protección de la información 32% 81% 92% [Mp.info.1] Datos de carácter personal 0% 0% n.a. [Mp.info.2] Calificación de la información 45% 95% 90% [Mp.info.3] Cifrado de la información 33% 95% 92% [Mp.info.4] Firma electrónica 89% 95% 91% [Mp.info.5] sellos de tiempo 20% 95% 91% [Mp.info.6] Limpieza de documentos 0% 95% 95% [Mp.info.9] Copias de Seguridad (backup) 35% 95% 91% [Mp.s] Protección de los Servicios 31% 94% n.a. [Mp.s.1] Protección del correo electrónico (e-mail) 83% 92% n.a. [Mp.s.2] Protección de Servicios y aplicaciones web 10% 95% n.a. [Mp.s.8] Protección frente a la denegación de Servicio 10% 95% n.a. [Mp.s.9] Medios Alternativos 23% 94% n.a.

Dominio de Seguridad: [INF] Infraestructuras

[Org] Marco organizativocontrol [Current] [Target] [PILAR][Org] Marco organizativo 10% 81% 85% [Org.1] Política de Seguridad 4% 32% 89% [Org.2] Normativa de Seguridad 0% 100% 90% [Org.3] Procedimientos de Seguridad 0% 95% 90% [Org.4] Proceso de quins 36% 95% 70%

[Op] Marco operacionalcontrol [Current] [Target] [PILAR][Op] Marco operacional 16% 77% 82% [Op.pl] Planificación 13% 73% 82% [Op.pl.1] Análisis de Riesgos 10% 95% 90% [Op.pl.2] Arquitectura de Seguridad 33% 79% 58% [Op.pl.3] Adquisición de Nuevos componentes 0% 0% 90%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 199/204

Page 200: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[Op.pl.4] Dimensionamiento / Gestión de capacidades 10% 95% 82% [Op.pl.5] Componentes certificados 10% 95% 90% [Op.acc] Control de Acceso 35% 88% 88% [Op.acc.1] Identificación 75% 95% 81% [Op.acc.2] Requisitos de Acceso 48% 95% 93% [Op.acc.3] segregaciones de funciones y Tareas 19% 95% 80% [Op.acc.4] Proceso de gestión de Derechos de Acceso 50% 95% 87% [Op.acc.5] Mecanismo de autenticación 32% 47% 92% [Op.acc.6] Acceso local (local logon) 5% 95% 90% [Op.acc.7] Acceso remoto (remote login) 16% 95% 90% [Op.exp] Explotación 22% 83% 82% [Op.exp.1] Inventario de Activos 31% 95% 74% [Op.exp.2] Configuración de Seguridad 11% 77% 92% [Op.exp.3] Gestión de la configuración 24% 86% 79% [Op.exp.4] Mantenimiento 17% 95% 83% [Op.exp.5] Gestión de Cambios 28% 71% 80% [Op.exp.6] Protección frente a código Danin 29% 95% 70% [Op.exp.7] Gestión de incidencias 12% 47% 80% [Op.exp.8] Registro de la actividad de los usuarios 10% 95% n.a. [Op.exp.9] Registro de la gestión de incidencias 13% 63% 90% [Op.exp.10] Protección de los registros de actividad 15% 95% n.a. [Op.exp.11] Protección de claves criptográficas 56% 95% 93% [Op.ext] SERVICIOS EXTERNOS 22% 79% n.a. [Op.ext.1] Contratación y Acuerdos de nivel de Servicio 50% 95% n.a. [Op.ext.2] Gestión diaria 10% 95% n.a. [Op.ext.9] Medios Alternativos 5% 47% n.a. [Op.cont] Continuidad del Servicio 0% 90% 68% [Op.cont.1] Análisis de impacto 0% 90% 50% [Op.cont.2] Plan de Continuidad 0% 90% 64% [Op.cont.3] Pruebas periódicas 0% 90% 90% [Op.mon] Monitorización del sistema 5% 47% 90% [Op.mon.1] Detección de intrusión 10% 95% n.a. [Op.mon.2] Sistema de métricas 0% 0% 90%

[Mp] Medidas de Proteccióncontrol [Current] [Target] [PILAR][Mp] Medidas de Protección 29% 93% 81% [Mp.if] Protección de las instalaciones e infraestructuras 47% 94% 82% [Mp.if.1] Áreas separadas y con control de Acceso 72% 90% n.a. [Mp.if.2] Identificación de las personas 5% 90% n.a. [Mp.if.3] Acondicionamiento de los locales 50% 95% 92% [Mp.if.4] Energía eléctrica 92% 95% 73% [Mp.if.5] Protección frente a incendios 90% 95% n.a. [Mp.if.6] Protección frente a inundaciones 50% 95% n.a.

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 200/204

Page 201: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[Mp.if.7] Registro de entrada y salida de Equipamiento 5% 95% 70% [Mp.if.9] Instalaciones alternativas 10% 95% 92% [Mp.per] Gestión del personal 30% 95% 80% [Mp.per.1] Caracterización del puesto, trabajo 53% 95% 87% [Mp.per.2] deberá y obligaciones 47% 95% 73% [Mp.per.3] Concienciación 24% 94% 90% [Mp.per.4] Formación 17% 95% 80% [Mp.per.9] Personal alternativo 10% 95% 70% [Mp.eq] Protección de los Equipos 19% 94% 82% [Mp.eq.1] Puesto, trabajo despejada 8% 92% n.a. [Mp.eq.2] Bloqueo del puesto, trabajo 45% 95% 100% [Mp.eq.3] Protección de Equipos portátiles 12% 95% n.a. [Mp.eq.9] Medios Alternativos 10% 95% 63% [Mp.com] Protección de las comunicaciones 29% 95% n.a. [Mp.com.1] perímetros seguro 56% 95% n.a. [Mp.com.2] Protección de la Confidencialidad 40% 95% n.a. [Mp.com.3] Protección de la autenticidad y de la integridad

21% 94% n.a.

[Mp.com.4] segregaciones de redes 17% 95% n.a. [Mp.com.9] Medios Alternativos 10% 95% n.a. [Mp.si] Protección de los soportes de información 34% 95% n.a. [Mp.si.1] Etiquetado 10% 95% n.a. [Mp.si.2] Criptografía 10% 95% n.a. [Mp.si.3] Custodia 10% 95% n.a. [Mp.si.4] Transporte 50% 95% n.a. [Mp.si.5] borrada y destrucción 92% 95% n.a. [Mp.sw] Protección de las aplicaciones informáticas (SW) 10% 95% n.a. [Mp.sw.1] Desarrollo de aplicaciones 10% 95% n.a. [Mp.sw.2] aceptación y Puesta en Servicio 10% 95% n.a. [Mp.info] Protección de la información 32% 81% 92% [Mp.info.1] Datos de carácter personal 0% 0% 90% [Mp.info.2] Calificación de la información 45% 95% 90% [Mp.info.3] Cifrado de la información 33% 95% 92% [Mp.info.4] Firma electrónica 89% 95% 91% [Mp.info.5] sellos de tiempo 20% 95% 91% [Mp.info.6] Limpieza de documentos 0% 95% 95% [Mp.info.9] Copias de Seguridad (backup) 35% 95% 91% [Mp.s] Protección de los Servicios 31% 94% 70% [Mp.s.1] Protección del correo electrónico (e-mail) 83% 92% n.a. [Mp.s.2] Protección de Servicios y aplicaciones web 10% 95% n.a. [Mp.s.8] Protección frente a la denegación de Servicio 10% 95% 80% [Mp.s.9] Medios Alternativos 23% 94% 60%

Dominio de Seguridad: [REC] Rectorado, Gerencia y Secretaría General.

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 201/204

Page 202: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[Org] Marco organizativocontrol [Current] [Target] [PILAR][Org] Marco organizativo 10% 81% 82% [Org.1] Política de Seguridad 4% 32% 89% [Org.2] Normativa de Seguridad 0% 100% 90% [Org.3] Procedimientos de Seguridad 0% 95% 90% [Org.4] Proceso de quins 36% 95% 60%

[Op] Marco operacionalcontrol [Current] [Target] [PILAR][Op] Marco operacional 16% 77% 82% [Op.pl] Planificación 13% 73% 82% [Op.pl.1] Análisis de Riesgos 10% 95% 90% [Op.pl.2] Arquitectura de Seguridad 33% 79% 58% [Op.pl.3] Adquisición de Nuevos componentes 0% 0% 90% [Op.pl.4] Dimensionamiento / Gestión de capacidades 10% 95% 82% [Op.pl.5] Componentes certificados 10% 95% 90% [Op.acc] Control de Acceso 35% 88% 88% [Op.acc.1] Identificación 75% 95% 81% [Op.acc.2] Requisitos de Acceso 48% 95% 93% [Op.acc.3] segregaciones de funciones y Tareas 19% 95% 80% [Op.acc.4] Proceso de gestión de Derechos de Acceso 50% 95% 87% [Op.acc.5] Mecanismo de autenticación 32% 47% 92% [Op.acc.6] Acceso local (local logon) 5% 95% 90% [Op.acc.7] Acceso remoto (remote login) 16% 95% 90% [Op.exp] Explotación 22% 83% 83% [Op.exp.1] Inventario de Activos 31% 95% 70% [Op.exp.2] Configuración de Seguridad 11% 77% 91% [Op.exp.3] Gestión de la configuración 24% 86% 76% [Op.exp.4] Mantenimiento 17% 95% 87% [Op.exp.5] Gestión de Cambios 28% 71% 80% [Op.exp.6] Protección frente a código Danin 29% 95% n.a. [Op.exp.7] Gestión de incidencias 12% 47% 80% [Op.exp.8] Registro de la actividad de los usuarios 10% 95% n.a. [Op.exp.9] Registro de la gestión de incidencias 13% 63% 90% [Op.exp.10] Protección de los registros de actividad 15% 95% n.a. [Op.exp.11] Protección de claves criptográficas 56% 95% 93% [Op.ext] SERVICIOS EXTERNOS 22% 79% n.a. [Op.ext.1] Contratación y Acuerdos de nivel de Servicio 50% 95% n.a. [Op.ext.2] Gestión diaria 10% 95% n.a. [Op.ext.9] Medios Alternativos 5% 47% n.a. [Op.cont] Continuidad del Servicio 0% 90% 68% [Op.cont.1] Análisis de impacto 0% 90% 50% [Op.cont.2] Plan de Continuidad 0% 90% 64%

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 202/204

Page 203: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[Op.cont.3] Pruebas periódicas 0% 90% 90% [Op.mon] Monitorización del sistema 5% 47% 90% [Op.mon.1] Detección de intrusión 10% 95% n.a. [Op.mon.2] Sistema de métricas 0% 0% 90%

[Mp] Medidas de Proteccióncontrol [Current] [Target] [PILAR][Mp] Medidas de Protección 29% 93% 83% [Mp.if] Protección de las instalaciones e infraestructuras 47% 94% 78% [Mp.if.1] Áreas separadas y con control de Acceso 72% 90% n.a. [Mp.if.2] Identificación de las personas 5% 90% n.a. [Mp.if.3] Acondicionamiento de los locales 50% 95% 92% [Mp.if.4] Energía eléctrica 92% 95% 73% [Mp.if.5] Protección frente a incendios 90% 95% n.a. [Mp.if.6] Protección frente a inundaciones 50% 95% n.a. [Mp.if.7] Registro de entrada y salida de Equipamiento 5% 95% 70% [Mp.if.9] Instalaciones alternativas 10% 95% n.a. [Mp.per] Gestión del personal 30% 95% 80% [Mp.per.1] Caracterización del puesto, trabajo 53% 95% n.a. [Mp.per.2] deberá y obligaciones 47% 95% n.a. [Mp.per.3] Concienciación 24% 94% 90% [Mp.per.4] Formación 17% 95% 70% [Mp.per.9] Personal alternativo 10% 95% n.a. [Mp.eq] Protección de los Equipos 19% 94% 84% [Mp.eq.1] Puesto, trabajo despejada 8% 92% 90% [Mp.eq.2] Bloqueo del puesto, trabajo 45% 95% 100% [Mp.eq.3] Protección de Equipos portátiles 12% 95% 82% [Mp.eq.9] Medios Alternativos 10% 95% 63% [Mp.com] Protección de las comunicaciones 29% 95% n.a. [Mp.com.1] perímetros seguro 56% 95% n.a. [Mp.com.2] Protección de la Confidencialidad 40% 95% n.a. [Mp.com.3] Protección de la autenticidad y de la integridad

21% 94% n.a.

[Mp.com.4] segregaciones de redes 17% 95% n.a. [Mp.com.9] Medios Alternativos 10% 95% n.a. [Mp.si] Protección de los soportes de información 34% 95% n.a. [Mp.si.1] Etiquetado 10% 95% n.a. [Mp.si.2] Criptografía 10% 95% n.a. [Mp.si.3] Custodia 10% 95% n.a. [Mp.si.4] Transporte 50% 95% n.a. [Mp.si.5] borrada y destrucción 92% 95% n.a. [Mp.sw] Protección de las aplicaciones informáticas (SW) 10% 95% n.a. [Mp.sw.1] Desarrollo de aplicaciones 10% 95% n.a. [Mp.sw.2] aceptación y Puesta en Servicio 10% 95% n.a.

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 203/204

Page 204: Gap Analysis: Avaluació de les mesures de seguretat a implantar

[Mp.info] Protección de la información 32% 81% 92% [Mp.info.1] Datos de carácter personal 0% 0% 90% [Mp.info.2] Calificación de la información 45% 95% 90% [Mp.info.3] Cifrado de la información 33% 95% 92% [Mp.info.4] Firma electrónica 89% 95% 91% [Mp.info.5] sellos de tiempo 20% 95% n.a. [Mp.info.6] Limpieza de documentos 0% 95% 95% [Mp.info.9] Copias de Seguridad (backup) 35% 95% 91% [Mp.s] Protección de los Servicios 31% 94% n.a. [Mp.s.1] Protección del correo electrónico (e-mail) 83% 92% n.a. [Mp.s.2] Protección de Servicios y aplicaciones web 10% 95% n.a. [Mp.s.8] Protección frente a la denegación de Servicio 10% 95% n.a. [Mp.s.9] Medios Alternativos 23% 94% n.a.

Altran Gap Analysis: Avaluació de les mesures de seguretat a implantar 20/09/2012 204/204