Académique Documents
Professionnel Documents
Culture Documents
Juan Gonzlez
Reservats tots els drets. Est prohibit la
reproducci total o parcial d'aquesta obra per
qualsevol mitj o procediment, compresos la
impressi, la reprografia, el microfilm, el
tractament informtic o qualsevol altre sistema,
aix com la distribuci d'exemplars mitjanant
lloguer i prstec, sense l'autoritzaci escrita de
l'autor o dels lmits que autoritzi la Llei de
Propietat Intellectual.
FITXA DEL TREBALL FINAL
i
Abstract (in English, 250 words or less):
It takes an inventory of the assets of the company, making its sorting by type of
asset, documenting the safety regulations governing information describing the
risks of different assets, proposing projects to be undertaken to address
possible shortcomings or risks identified.
ii
ndice
1. Introduccin.. 1
1.1 Contextualizacin y justificacin del Trabajo.. 1
1.2 Objetivos del Trabajo..... 2
1.3 Enfoque y mtodos a seguir. 2
1.4 Planificacin del Trabajo 3
1.5 Breve descripcin de los otros captulos de la memoria.. 3
2. Situacin actual y anlisis diferencial .. 5
2.1 Seleccin y descripcin de la empresa.. 5
2.2 Definicin de los objetivos del Plan Director de Seguridad. 10
2.3 Anlisis diferencial con las norma ISO/IEC 27001:2013 y :2013 11
3. Sistema de Gestin Documental.. 17
3.1 Introduccin 17
3.2 Poltica de Seguridad. 18
3.3 Procedimiento de Auditoras Internas. 18
3.4 Gestin de Indicadores.. 18
3.5 Procedimiento de revisin por Direccin. 19
3.6 Gestin de Roles y Responsabilidades .. 19
3.7 Metodologa de anlisis de riesgos.. 22
3.8 Declaracin de Aplicabilidad.. 24
4. Anlisis de Riesgos.. 30
4.1 Inventario de activos 30
4.2 Valoracin de los activos. 31
4.3 Dimensiones de seguridad.. 34
4.4 Tabla resumen de la valoracin. 35
4.5 Anlisis de amenazas.. 36
4.6 Impacto potencial. 39
4.7 Nivel de riesgos Aceptable/Residual. 40
4.8 Resultados. 41
5. Propuestas de Proyectos. 44
5.1 Introduccin .. 44
5.2 Estructura de las propuestas.. 44
5.3 Propuestas de los proyectos.. 44
iii
5.4 Resumen de resultados. 48
6. Auditoria del cumplimiento. 53
6.1 Introduccin.. 53
6.2 Metodologa . 53
6.3 Evaluacin de la madurez .. 53
6.4 Resultados. 62
7. Conclusiones. 63
8. Glosario.. 64
9. Bibliografa. 66
10. Anexos. 67
10.1 Anexo I Documento de Polticas de Seguridad
10.2 Anexo II Procedimiento de Auditoras Internas
10.3 Anexo III Gestin de Indicadores
10.4 Anexo IV Revisin por la Direccin
10.5 Anexo V Hoja Excel anlisis_de_amenazas.xlsx
10.6 Anexo VI Auditoria del Cumplimiento
iv
ndice de figuras
Figura 1. Controles ISO/IEC 27001:2013 1
Figura 2. Fases planificacin Proyecto Fin de Mster. 3
Figura 3. Organigrama de la Organizacin 6
Figura 4. Estructura de red de la Organizacin 10
Figura 5. Estado de la ISO 27001. 12
Figura 6. Diagrama de barras implementacin controles ISO 21001 12
Figura 7. Diagrama radar implementacin controles ISO 27001 12
Figura 8. Diagrama de barras implementacin controles ISO 21002 15
Figura 9. Diagrama radar implementacin controles ISO 27002 15
Figura 10. Estado de la ISO 27002. 16
Figura 11. Estructura piramidal ISO 9000 de calidad documental.. 17
Figura 12. Calculo del riesgo segn metodologa NIST. 22
Figura 13. Caractersticas valoracin seguridad de la informacin. 23
Figura 14. Grafico de barras anlisis de amenazas.............................. 40
Figura 15. Grafico de barras niveles de riesgo 41
Figura 16. Grafico valores de riesgo de los activos 43
Figura 17. Planificacin temporal de los proyectos de mejora.. 48
Figura 18. Diagrama radar anlisis diferencial pre y post proyectos 49
Figura 19. Modelo de madurez (CMM) cumplimiento ISO 27001.. 54
Figura 20. Grafico de complimiento controles ISO/IEC 27001:2013. 61
Figura 21. Diagrama radar cumplimiento ISO/IEC 27001:2013.. 61
ndice de tablas
Tabla 1. Anlisis diferencial respecto a la norma ISO 27001. 11
Tabla 2. Anlisis diferencial respecto a la norma ISO 27002. 12
Tabla 3. Declaracin aplicabilidad en dominios ISO 27002 24
Tabla 4. Inventario de Activos segn metodologa MAGERIT 30
Tabla 5. rbol de dependencia entre activos 32
Tabla 6. Valoracin de Activos segn grupo de dependencia.. 32
Tabla 7. Valoracin de Activos segn impacto (ACIDT). 34
Tabla 8. Escala de valoracin segn gravedad 34
Tabla 9. Tabla resumen de valoraciones.. 35
Tabla 10. Tabla resumen de amenazas 36
Tabla 11. Tabla valoracin del riesgo de amenazas.. 40
Tabla 12. Tabla niveles de riesgo de los activos 42
Tabla 13. Tablas de los diferentes proyectos aportados.. 45
Tabla 14. Anlisis diferencial ISO 27001 tras aplicacin de proyecto 50
Tabla 15. Tabla cumplimiento ISO/IEC 27002:2013 57
Tabla 16. Tabla resumen de cumplimiento ISO/IEC 27002:2013. 61
v
1. Introduccin.
La norma ISO/IEC 27001 describe los requisitos que debe tener todo SGSI
que aspire a obtener dicha certificacin. Este estndar fue publicado como
tal por la ISO (International Organization of Standarization) en 2005, y en la
actualidad es el nico aceptado para la gestin de la seguridad de la
informacin, sin embargo es producto de toda una evolucin. Por ello, la
norma aceptada actualmente para este menester es la norma UNE-
ISO/IEC 27001:2013 que son un conjunto de normas y estndares que
proporcionan un marco de gestin de la seguridad de la informacin
aplicable a cualquier organizacin.
1
Las organizaciones que actualmente se encuentren certificadas en ISO/IEC
27001:2005 disponen de un periodo de transicin estimado para adaptarse
al nuevo estndar de 2 a 3 aos.
1.2 Objetivos.
2
http://administracionelectronica.gob.es/?_nfpb=true&_pageLabel=PAE_PG
_C TT_General&langPae=es& niciativa=magerit
Anlisis de riesgos.
Elaboracin de una metodologa de anlisis de riesgos: Identificacin y
valoracin de los activos, amenazas, vulnerabilidades, clculo del riesgo,
nivel de riesgo aceptable y riesgo residual.
Propuesta de Proyectos.
Evaluacin de proyectos que debe llevar a cabo la Organizacin para
alinearse con los objetivos planteados en el Plan Director. Cuantificacin
econmica y temporal de los mismos.
Auditora de Cumplimiento.
3
Evaluacin de controles, madurez y nivel de cumplimiento de la ISO / IEC
27002: 2013, que ser un ajuste o segunda evaluacin con respecto al realizado
al inicio del proyecto en la fase de diagnstico para ver las mejoras obtenidas en
el desarrollo del proyecto.
4
2. Situacin actual y anlisis diferencial.
5
Direccin Social de la Empresa: Tiene estructura de Sociedad Limitada,
estando formada en la actualidad por 3 miembros que toman las decisiones
estratgicas y finales a nivel corporativo, dotando de los poderes
necesarios al Administrador nico de la empresa.
6
El primer grupo est formado por el Responsable de rea Tcnica y
un equipo de 10 tcnicos especialistas, encargados de las
instalaciones, reparaciones y mantenimiento proactivo, tanto en las
instalaciones propias como en instalaciones de clientes. Igualmente
se encargan del desarrollo, gestin y mantenimiento del ERP propio.
Los ventanales que dan al exterior del edificio, son de cristal anti-golpe
categora 3 (Seguridad Alta) y tienen rejas instaladas. Todos los despachos
y aulas se cierran con llave cuando estn vacos. Cada responsable tiene
una copia de la llave de su despacho y adems en el departamento de
Administracin tienen copia de todas las llaves para abrir los despachos en
caso de que sea necesario.
7
Toda la documentacin impresa se encuentra almacenada en archivadores
en el rea de administracin, no estando al alcance de cualquier persona,
quedando bajo llave en armarios y archivadores al efecto.
8
- 1 Servidor DHCP, que tambin har las funciones de proxy y filtro de
contenidos. Tambin realizan las tareas de servidores DNS y gestin
de trafico.
9
En el Taller de reparacin y formacin prctica, nos encontramos con una
aula Taller con equipos sin software y sistemas operativos de prueba, para
formaciones practicas; adems de dos PCs instalados con sistema
Windows 7 para su uso y utilizacin en las tareas propias del taller
(bsqueda de informacin y/o drivers). La conexin a internet se realiza con
una lnea ADSL bsica con un nico telfono, sin otra conexin
empresarial.
10
sistema de gestin de seguridad de la informacin para establecer su
alcance.
2.3 Anlisis diferencial con la norma ISO / IEC 27001: 2013 + ISO / IEC 27002:
2013.
11
12
13
14
15
Tras un estudio de los resultados, verificamos lo que ya es conocido, la
empresa en cuestin no cuenta con un SGSI establecido; y si bien se
toman ciertas medidas destinadas a dotar de seguridad los sistemas de la
organizacin y su estructura tecnolgica, no tiene previstos unos controles
sobre el cumplimiento de estas medidas ni cmo mejorarlas.
16
3. Situacin actual y anlisis diferencial.
3.1 Introduccin
Documentos de Nivel 1
Manual de seguridad: Documento que inspira y dirige todo el sistema, el
que expone y determina las intenciones, alcance, objetivos,
responsabilidades, polticas y directrices principales, etc., del SGSI.
Documentos de Nivel 2
Procedimientos: Documentos en el nivel operativo, que aseguran que se
realicen de forma eficaz la planificacin, operacin y control de los
procesos de seguridad de la informacin.
Documentos de Nivel 3
Instrucciones, checklists y formularios: Documentos que describen cmo se
realizan las tareas y las actividades especficas relacionadas con la
seguridad de la informacin.
Documentos de Nivel 4
Registros: Documentos que proporcionan una evidencia objetiva del
cumplimiento de los requisitos del SGSI; estn asociados a documentos de
17
los otros tres niveles como output que demuestra que se ha cumplido lo
indicado en los mismos.
En este plan anual se definir quien realizar las auditoras, los mtodos
que se utilizarn, criterios que se aplicarn, etc., encargndose de validar
todo el sistema de informacin de la empresa, controlar las
vulnerabilidades detectadas, revisar los controles e indicadores que se
hayan hecho servir para la implantacin de la norma y la correspondiente
documentacin relativa a la normativa ISO
18
Este documento de Gestin de Indicadores se encuentra en el Anexo 3 del
presente proyecto.
19
Aprobar en ltima instancia el SGSI y los procedimientos respectivos.
Gestionar adecuadamente los riesgos de alto nivel que se hayan
detectado.
Revisar y ajustar los indicadores de su competencia.
Aprobar los planes de continuidad de negocio.
Participar activamente de las reuniones programadas.
20
Gestionar la obtencin de entradas para los indicadores, mapas de
riesgos y dems informes.
Recibir y asignar funciones y tareas a los miembros del equipo de
seguridad.
Coordinar y gestionar las capacitaciones en seguridad.
Administrar las plataformas de seguridad como Firewall y el anti-virus
Obtener y analizar reportes de seguridad
Coordinar el monitoreo de eventos de seguridad.
Administrar/gestionar el control de acceso a las redes y aplicativos.
Implementar mecanismos de seguridad sobre redes y plataformas.
Cumplir y hacer cumplir las polticas de control de acceso a las redes.
21
Velar por la proteccin de la informacin que manejan en el
desempeo de sus responsabilidades.
Hay que ver el anlisis de riesgo como uno de los puntos clave en la
implementacin, mantenimiento y mejora de un Sistema de Gestin de la
Seguridad de la Informacin (SGSI), dado que permite identificar los puntos
dbiles de la organizacin. El responsable de seguridad ser la persona
responsable de la definicin del Anlisis de Riesgos.
22
A continuacin, se identificarn las caractersticas de la seguridad de la
informacin afectadas por cada una de las posibles situaciones:
confidencialidad, integridad y / o disponibilidad; y valorando esta
informacin identificaremos la probabilidad de que esta situacin se
produzca, obteniendo de esta forma el riesgo.
23
Accidentes: Situaciones no provocadas voluntariamente y que la mayor
parte de las veces no puede evitarse. Por ejemplo: incendio, inundacin,
etc.
Errores: Situaciones provocadas involuntariamente provocadas por el
desarrollo de las actividades cotidianas ya sea por desconocimiento y/o
descuido. Por ejemplo: Errores de desarrollo, errores de actualizacin,
etc.
Amenazas intencionales presenciales: Son provocadas por el propio
personal de la organizacin de forma voluntaria y conociendo el dao
que puede ocasionar. Por ejemplo: Accesos no autorizados, filtracin de
datos, etc.
Amenazas intencionales remotas: Son provocadas por terceras
personas ajenas a la organizacin con el objetivo de daarla. Ejemplos:
Suplantacin de origen, gusanos, DoS, etc.
Por ltimo, se tomarn las decisiones que permitan aplicar las medidas de
seguridad, teniendo en cuenta el riesgo aceptable y el costo de aplicar
estas medidas de seguridad.
24
25
26
27
28
29
4. Anlisis de Riesgos.
Instalaciones. I
Hardware. H
Datos. D
Red. R
Servicios. S
Equipamiento auxiliar. X
Personas. P
30
4.2 Valoracin de los activos.
31
La valoracin cuantitativa de los activos, se ha separado segn las
categoras que se definieron en la pgina 22 donde se indica la
metodologa para el anlisis de riesgos:
32
33
4.3 Dimensiones de seguridad.
Una vez identificados los activos, hay que valorarlos segn su impacto en
las cinco dimensiones de la seguridad informtica, autenticidad,
confidencialidad, integridad, disponibilidad y trazabilidad, dicho de otro
modo por sus siglas ACIDT.
El valor que reciba un activo puede ser propio o acumulado. El valor propio
asignar a la informacin, quedando el resto de activos subordinados a las
necesidades de explotacin y proteccin de la informacin. As, los activos
inferiores en un esquema de dependencias acumulan el valor de los activos
que se apoyan en ellos.
34
4.4 Tabla resumen de la valoracin.
35
4.5 Anlisis de amenazas.
36
37
38
4.6 Impacto potencial.
39
descrito en los puntos anteriores de valoracin de riesgos tratados en
porcentaje.
Para calcular el valor del riesgo por activo mediante este mtodo
MAGERIT, se realiza en base al valor del mismo activo, a la mxima
frecuencia de la ocurrencia de una amenaza y al impacto antes calculado
para cada activo. Segn los patrones anteriormente definidos:
40
4.8 Resultados.
41
42
El siguiente grfico muestra los valores de los riesgos de los activos
medidos anualmente y su variacin respecto al nivel de riesgo aceptable.
43
5. Propuesta de Proyectos.
5.1 Introduccin.
Planificacin temporal.
Presupuesto necesario.
Indicadores verificacin.
44
45
46
47
5.4 Resumen de resultados.
El desarrollo del plan presentado, no solo atae a los activos TIC, sino que
debe repercutir en el trasfondo de la organizacin, aunando un conjunto de
medidas que engloba los proyectos II, III y IV medias que comparten su
importancia en cuanto la seguridad fsica de los activos, como a la
seguridad tcnica de los mismos, con medidas de verificacin y control de
usos inadecuados, para poder subsanar posible errores en el diseo o
ejecucin de los planes establecidos.
48
cumplimiento de la ISO relacionada, pasando auditorias de cumplimiento
para un mayor desarrollo organizativo.
49
50
51
52
6. Auditoria del Cumplimiento.
6.1 Introduccin.
6.2 Metodologa.
Poltica de seguridad
Organizacin de la seguridad de la informacin
Gestin de activos
Seguridad a los recursos humanos
Seguridad fsica y ambiental
Gestin de comunicaciones y operaciones
Control de acceso
Adquisicin, desarrollo y mantenimiento de Sistemas de
Informacin
Gestin de incidentes
53
Gestin de continuidad de negocio
Cumplimiento
54
Evaluamos el cumplimiento de los diferentes sub-apartados a raz de los
cuales se realizar el clculo de nivel de cumplimiento del objeto a estudio,
bloque a bloque, segn la siguiente descripcin de los controles:
(10) Criptografa
Objetivo 10.1: Garantizar un uso adecuado y eficaz de la criptografa para
proteger la confidencialidad, autenticidad y / o integridad de la
informacin.
55
(11) Seguridad fsica y ambiental
Objetivo 11.1: Evitar autorizado fsica de acceso, daos e interferencia a
la informacin y procesamiento de informacin sobre las instalaciones de
la organizacin.
Objetivo 11.2: Evitar la prdida, dao, robo o el compromiso de los activos
y la interrupcin de las operaciones de la organizacin.
56
Objetivo 17.2: Asegurar la disponibilidad de instalaciones de
procesamiento de informacin.
(18) Conformidad
Objetivo 18.1: Evitar incumplimientos de las obligaciones legales,
estatutarias, reglamentarias o contractuales en materia de seguridad de la
informacin y de las exigencias de seguridad.
Objetivo 18.2: Garantizar la seguridad de la informacin que se
implementa y opera de acuerdo con las polticas y procedimientos de la
organizacin.
57
58
59
Como resumen, en el siguiente grfico se muestra cmo se encuentra el
cumplimiento de la tabla de controles de la ISO / IEC 27001: 2013 donde
tenemos un 2,22% de madurez de nivel L0, un 10% de madurez nivel L1,
con un 36,67% tenemos un L2, con un 44,44% un L3, con un 5,56% un L4
y con un 1,11% un L5.
60
Una visin ms detallada se ve en la siguiente grfica diagrama de radar,
donde se puede apreciar el nivel de cumplimiento por captulos de los
dominios de la ISO / IEC 27003, donde los niveles deseados, deberan ser
los mas prximos al 100% de cumplimiento.
61
6.3 Resultados.
Tambin hay que destacar que los valores obtenidos son estimados ya que
slo se han hecho en funcin de los proyectos presentados en esta
memoria an no implementados; estando en previsin de implantacin una
vez se hayan aprobado el preceptivo plan de SGSI como se detallo en la
organizacin y dotado de los presupuestos oportunos.
62
7. Conclusiones.
Finalizado el presente proyecto, podemos concluir principalmente que la
informacin de esta Organizacin (ampliable a cualquier otra), puede llegar
a ser invaluable, ya que su correcta gestin de seguridad pudiera marcar la
diferencia entre el xito y el fracaso. Es claramente comprensible que ha de
comenzarse a realizar toda actividad necesaria para establecer un SGSI y
posteriormente poder aplicar a la certificacin de la norma ISO/IEC
27001:2013.
Para poder cumplir con estos requerimientos hemos contado con la norma
ISO/IEC 27002:2013 que nos facilita controles que son implementados a
nivel tcnico. Estas dos norma juntas facilitan el trabajo de la
implementacin del SGSI dentro de nuestra organizacin.
Este trabajo puede servir como base para que la organizacin contine en
las tareas que deben ser realizadas con el fin de a mediano plazo acceder
a la certificacin ISO/IEC 27001:2013
63
8. Glosario.
Activo de informacin: cualquier informacin que tiene un valor para la
Organizacin.
64
IDS/IPS: Intrusion Detection System / Intrusion Prevention System, sistema de
prevencin y/o deteccin de intrusos, es un sistema que revisa el trfico en
busca de patrones que coincidan con firmas de ataques conocidos con el fin de
detector acciones maliciosas hacia los sistemas que protege.
65
9. Bibliografa.
ISO27001
http://www.iso27000.es
http://www.iso27000.es/sgsi_implantar.html#seccion1
Inteco MARGERIT
https://www.incibe.es/extfrontinteco/img/File/intecocert/sgsi/swf/video_07.swf
Inteco SGSI
www.inteco.es
http://administracionelectronica.gob.es
Otros:
http://seguinfo.wordpress.com/2006/08/02/iso-9001-indicadores-de-gestion/
http://www.iso27000.es/download/HowCanSecurityBeMeasured-SP.pdf
http://www.qualypedia.org/ISO%2027001.S-7-REVISION-POR-LADIRECCION.
https://www.linkedin.com/groups/Sobre-informe-revisi%C3%B3n-
direcci%C3%B3n-4115297.S.85458302
http://www.isotools.org/2015/02/04/iso-27001-papel-alta-direccion-sgsi/
http://gestioncalidadiso.blogspot.com.es/2012/05/sistema-de-gestion-de-la-
seguridad-de.html
66
10. Anexos.
Anexo I Documento de Polticas de Seguridad.
Anexo II Procedimiento de Auditoras Internas.
Anexo III Gestin de indicadores.
Anexo IV Revisin por la Direccin.
Anexo V Hoja Excel anlisis_de_amenazas.xlsx
Anexo VI Auditoria del Cumplimiento.
67
ANEXO I
Organizacin
Contenido.
1. Introduccin.
2. Alcance.
3. Objetivos.
4. Responsabilidad.
5. Organizacin de la seguridad.
6. Compromisos.
7. Poltica General de Seguridad de la Informacin.
1. Introduccin.
La informacin es un recurso que, como el resto de los activos, tiene valor para la
organizacin y por consiguiente debe ser debidamente protegida. Las Polticas de
Seguridad de la Informacin protegen a la misma de una amplia gama de
amenazas, a fin de garantizar la continuidad de los sistemas de informacin,
minimizar los riesgos de dao y asegurar el eficiente cumplimiento de los objetivos
del Organismo.
2. Alcance.
3. Objetivos.
4. Responsabilidad.
Todos los responsables de la organizacin, son responsables de la implementacin
de esta Poltica de Seguridad de la Informacin dentro de sus reas de
responsabilidad, as como del cumplimiento de dicha Poltica por parte de su
equipo de trabajo.
El comit de Seguridad de la informacin dentro de la organizacin estar formado
por una serie de miembros responsables con capacidad decisoria y otros miembros
tcnicos con la responsabilidad de asesorar y apoyar la toma de decisiones.
Los Auditores, podrn ser de una empresa de auditora externa o en caso de ser
seleccionado de entre el personal del departamento tcnico, deber realizar las
labores de este cometido de forma totalmente autnoma e independiente, para
mantener una postura totalmente objetiva.
5. Organizacin de la seguridad.
Por otro lado debe tenerse en cuenta que ciertas actividades pueden requerir que
terceros accedan a informacin interna, o bien puede ser necesaria la tercerizacin
de ciertas funciones relacionadas con el procesamiento de la informacin. En estos
casos se considerar que la informacin puede ponerse en riesgo si el acceso de
dichos terceros se produce en el marco de una inadecuada administracin de la
seguridad, por lo que se establecern las medidas adecuadas para la proteccin de
la informacin.
La seguridad de la informacin es una responsabilidad compartida por todos los
responsables y directivos, por lo cual se crea el Comit de Seguridad de la
Informacin, integrado por representantes de todos los departamentos, destinado a
garantizar el apoyo manifiesto de todo el personal. El mismo contar con un
Coordinador, quien cumplir la funcin de impulsar la implementacin de la
presente Poltica.
El uso de recursos personales de procesamiento de informacin en el lugar de
trabajo puede ocasionar nuevas vulnerabilidades. En consecuencia, su uso ser
evaluado en cada caso por el Responsable de Seguridad Informtica y deber ser
autorizado por el Responsable del rea Informtica y por el responsable del rea al
que se destinen los recursos.
6. Compromisos.
Se identificarn los activos importantes asociados a cada sistema de informacin,
sus respectivos propietarios y su ubicacin, para luego elaborar un inventario con
dicha informacin. El mismo ser actualizado ante cualquier modificacin de la
informacin registrada y revisado con una periodicidad de 6 meses. El encargado
de elaborar el inventario y mantenerlo actualizado es cada Responsable de
departamento.
Los incidentes relativos a la seguridad sern comunicados tan pronto como sea
posible, establecindose un procedimiento formal de comunicacin y de respuesta
a incidentes, indicando la accin que ha de emprenderse al recibir un informe sobre
incidentes. Dicho procedimiento deber contemplar que ante la deteccin de un
supuesto incidente o violacin de la seguridad, el Responsable de Seguridad
Informtica sea informado tan pronto como se haya tomado conocimiento.
7. Poltica General de Seguridad de la Informacin.
Acuerdos de confidencialidad.
Todos los empleados y personal externo deben aceptar los acuerdos de
confidencialidad definidos por la organizacin, los cuales reflejan los compromisos
de proteccin y buen uso de la informacin de acuerdo con los criterios
establecidos en ella.
Acceso a Internet.
Internet es una herramienta de trabajo que permite navegar en muchos sitios
relacionados o no con las actividades propias del negocio, por lo cual el uso
adecuado de este recurso se debe controlar, verificar y monitorear, considerando,
para todos los casos, los siguientes lineamientos:
a) No est permitido:
Correo electrnico.
Los empleados de la organizacin y terceros autorizados a quienes se les asigne
una cuenta de correo debern seguir los siguientes lineamientos:
a) La cuenta de correo electrnico debe ser usada exclusivamente para el
desempeo de las funciones asignadas.
e) No es permitido:
Recursos tecnolgicos.
El uso adecuado de los recursos tecnolgicos asignados a los trabajadores y/o
terceros se reglamenta bajo las siguientes condiciones:
a) La instalacin de cualquier tipo de software o hardware en los equipos de es
responsabilidad del departamento TIC, y por tanto son los nicos autorizados para
realizar esta labor.
De igual manera, se debe adoptar los controles necesarios para mantener los
equipos alejados de sitios que puedan tener riesgo de amenazas potenciales como
fuego, explosivos, agua, polvo, vibracin, interferencia electromagntica y
vandalismo, entre otros.
La Direccin de TIC es responsable de implementar los controles necesarios para
asegurar que en los sistemas de informacin el personal autorizado puede hacer
uso de los medios de almacenamiento removibles. Igualmente, este personal
autorizado se comprometer a asegurar fsica y lgicamente el dispositivo a fin de
no poner en riesgo la informacin que ste contiene.
Segregacin de redes.
La plataforma tecnolgica que soporta los sistemas de Informacin debe estar
separada en segmentos de red fsicos y lgicos e independientes de los segmentos
de red de usuarios externos (aulas formacin), de conexiones con redes con
terceros y del servicio de acceso a Internet. La divisin de estos segmentos debe
ser realizada por medio de dispositivos perimetrales e internos de enrutamiento y
de seguridad si as se requiere. La Direccin TIC es el rea encargada de
establecer el permetro de seguridad necesario para proteger dichos segmentos, de
acuerdo con el nivel de criticidad del flujo de la informacin transmitida.
Se establecen mecanismos de identificacin automtica de equipos en la red, como
medio de autenticacin de conexiones, desde segmentos de red especficos hacia
las plataformas donde operan los sistemas de informacin de la Organizacin.
ANEXO II
Organizacin
Contenido.
1. Introduccin.
2. Objetivos.
3. Auditor/Auditores.
4. Metodologa.
5. Cronograma.
1. Introduccin.
Este procedimiento se aplica a todas las actividades realizadas dentro del Sistema
de Gestin de Seguridad de la Informacin (SGSI)
2. Objetivos.
3. Auditor/Auditores.
El plan de auditora deber estar aprobado tanto por el auditor como por parte de la
direccin de la empresa. Una vez realizada, se confeccionar un informe lo ms
simple y directo posible facilitando la informacin relevante, as como los distintos
hallazgos realizados. Al mismo tiempo, debe facilitar de manera sencilla la forma de
resolver las deficiencias halladas.
El informe final de auditora puede seguir cualquier esquema, pero el elegido debe
incluir o tratar de un modo u otro los siguientes aspectos:
- Resumen ejecutivo.
- Metodologa empleada.
- Listado detallado de los hallazgos.
- Anexos recopilando informacin que respalde los hallazgos descritos en el
cuerpo del informe.
Las auditoras se realizarn una vez por ao en el marco de la ISO 27001 y todos
los aos se realizarn los planes de auditora y se emitirn los informes oportunos.
4. Metodologa.
5. Cronograma.
ANEXO III
GESTIN DE INDICADORES.
Organizacin
Contenido.
1. Introduccin.
2. Tabla de Indicadores.
1. Introduccin.
Para que el sistema se encuentre entre los mrgenes deseables, es preciso que se
pueda evaluar la eficiencia del mismo de forma constante, establecindose una serie
de indicadores con los que se pueda cuantificar el correcto funcionamiento de las
medidas de seguridad planificadas, su eficiencia y actualizaciones de estas
necesarias.
Para cada indicador se establecen una serie de identificadores con que calificarle,
tales como el nombre del indicador, la descripcin del mismo, cul es el valor correcto
y cul es el valor por debajo del que hay que levantar una alarma y en quin recae la
responsabilidad de medir el indicador.
2. Tabla de Indicadores.
Nombre del Indicador Medida del nmero de revisiones de la Poltica de Seguridad por parte
de la direccin.
Descripcin Nmero de revisiones realizadas
Frecuencia 2 veces por ao
Valor objetivo 2
Valor limite 1
Responsable de la medida Responsable de seguridad
Nombre del Indicador Medida de verificacin realizadas para proteger la informacin contra
violaciones de seguridad
Descripcin Nmero de actuaciones en verificar los controles para proteccin
contra accesos no deseados.
Frecuencia 1 vez al ao
Valor objetivo 1
Valor limite 1
Responsable de la medida Responsable de seguridad
Nombre del Indicador Medida del nmero de auditoras.
Descripcin Nmero de auditoras internas realizadas y externas si estuviera
programado.
Formula de calculo Nmero de auditoras realizadas
Frecuencia 1 vez al ao
Valor objetivo 1
Valor limite 1
Responsable de la medida Responsable de seguridad
Nombre del Indicador Medida de incumplimientos nomas correo electrnico corporativo
Descripcin Nmero de violaciones en las normas de uso del correo de la empresa
Formula de calculo % de incumpliendo de las normas sobre el total de los usuarios de
correo
Frecuencia Mensual
Valor objetivo 10%
Valor limite 20%
Responsable de la medida Responsable de seguridad
Nombre del Indicador Medida de violaciones de los accesos fsicos dentro de la empresa a
zonas no autorizadas
Descripcin Intentos de acceso o incumplimiento de acceso a zonas de seguridad
restringidas o fuera de horario autorizado
Formula de calculo % de incumpliendo de la norma sobre el total de los accesos
Frecuencia Trimestral
Valor objetivo 5%
Valor limite 10%
Responsable de la medida Responsable de seguridad
Nombre del Indicador Medida de dispositivos sin software antivirus y software mailiciso
Descripcin Nmero de equipos sin el software de seguridad instalado
Formula de calculo % equipos son software de proteccin sobre el total de equipos
Frecuencia Semestral
Valor objetivo 5%
Valor limite 15%
Responsable de la medida Responsable de seguridad
ANEXO VI
Organizacin
FORMATO ACTA DE REUNION
LUGAR:
FECHA:
TEMAS A TRATAR:
DESARRROLLO:
El da de fue enviado a travs del correo electrnico la programacin para la revisin por la direccin
a todos los responsables lderes de proceso:
FORMATO ACTA DE REUNION
CONCLUSIONES GENERALES
PLAN DE ACCIN
Para: mejoras en el sistema mejoras en los procesos Recursos destinados para la actividad.
FECHA RECURSOS
ACTIVIDAD (MEJORA) RESPONSABLE
EJECUCION DESTINADOS
_________________________________ _________________________________
Nombre Nombre
Cargo: Cargo:
_________________________________ _________________________________
Nombre Nombre
Cargo: Cargo:
_________________________________ _________________________________
Nombre Nombre
Cargo: Cargo:
ANEXO VI
Organizacin
INFORME DE AUDITORIA
N Expediente: XXX-0001-ISO/IEC 27001:2013
Fecha de realizacin: 05-06-2015 / 10-06-2015
Informacin General
Organizacin
Localizacin
Representante empresarial Nombre
Cargo
Telfono Contacto
Tipo de Auditoria:
Planificacin de la Auditora
Fecha de inicio 05/06/2015 Fecha fin 10/06/2015
Auditor Jefe Juan Gonzlez Martnez
Auditor Juan Gonzlez Martnez
Tcnico experto N/C
Objetivo de la auditoria
Determinacin de la conformidad de los sistemas de gestin de la organizacin
auditada, siguiendo los criterios fijados por la certificacin UNE-ISO/IEC 27001:2013,
a fin de evaluar la capacidad de esta del cumplimiento de los requisitos tcnicos,
legales, reglamentarios y de seguridad aplicables, as como identificar las posibles
areas de mejora en la organizacin.
Resumen ejecutivo:
Poltica de seguridad
Organizacin de la seguridad de la informacin
Gestin de activos
Seguridad a los recursos humanos
Seguridad fsica y ambiental
Gestin de comunicaciones y operaciones
Control de acceso
Adquisicin, desarrollo y mantenimiento de Sistemas de Informacin
Gestin de incidentes
Gestin de continuidad de negocio
Cumplimiento
Durante el estudio se realiz la revisin de los 114 controles planteados por la
norma a cumplir, con los diferentes objetivos de control, siguiendo la tabla
indicada en la memoria basada en el Modelo de Madurez de la Capacidad (CMM),
Evalundose el cumplimiento de los diferentes sub-apartados a raz de los cuales
se realizar el clculo de nivel de cumplimiento del objeto a estudio, bloque a
bloque, segn la descripcin de los controles que se expone en el proyecto y cuya
verificacin tambin se muestra en su tabla de cumplimiento.
Nivel de implementacin basado en CMM:
Para todas las NC de la tabla anterior, ser necesario que la Organizacin establezca
y documente las acciones correctivas pertinentes.
Observaciones finales: