Académique Documents
Professionnel Documents
Culture Documents
DE SEGURIDAD
GABINETE DE COORDINACIN
Y ESTUDIOS
1. INTRODUCCIN .............................................................................................................................................................3
1.1. Base legal ........................................................................................................................................................3
1.2. Objetivo de este documento ............................................................................................................................4
1.3. Proteccin de la informacin ............................................................................................................................4
2. POLTICA GENERAL DE SEGURIDAD DEL OPERADOR Y MARCO DE GOBIERNO..................................................................5
2.1. Poltica General de Seguridad del Operador ...................................................................................................5
2.1.1. Objeto ... 5
2.1.2. mbito o Alcance...............................................................................................................................6
2.1.3. Compromiso de la Alta Direccin ......................................................................................................6
2.1.4. Carcter Integral de la Seguridad ......................................................................................................7
2.1.5. Actualizacin .....................................................................................................................................8
2.2. Marco de Gobierno de seguridad .....................................................................................................................8
2.2.1. Organizacin de seguridad ................................................................................................................8
2.2.2. Formacin y Concienciacin ...........................................................................................................10
2.2.3. Modelo de gestin aplicado .............................................................................................................11
3. RELACIN DE SERVICIOS ESENCIALES PRESTADOS POR EL OPERADOR CRTICO...........................................................13
3.1. Identificacin de los servicios esenciales .......................................................................................................13
3.2. Mantenimiento del inventario de servicios esenciales ...................................................................................14
3.3. Estudio y Consecuencias de la Interrupcin del Servicio Esencial ................................................................14
3.4. Interdependencias..........................................................................................................................................15
4. METODOLOGA DE ANLISIS DE RIESGOS .....................................................................................................................15
4.1. Descripcin de la metodologa de anlisis .....................................................................................................15
4.2. Identificacin y valoracin de los activos que soportan los servicios esenciales ...........................................16
4.3. Identificacin y evaluacin de amenazas .......................................................................................................16
4.4. Valoracin y Gestin de riesgos.....................................................................................................................17
5. CRITERIOS DE APLICACIN DE MEDIDAS DE SEGURIDAD INTEGRAL ..............................................................................18
6. DOCUMENTACIN COMPLEMENTARIA ..........................................................................................................................21
6.1. Normativa, Buenas Prcticas y Regulatoria ...................................................................................................21
6.2. Coordinacin con Otros Planes......................................................................................................................21
7. ANEXO 1: EJEMPLOS. ............................................................................................................................................22
7.1. Poltica de Seguridad .....................................................................................................................................22
7.2. Matriz RACI ....................................................................................................................................................28
7.3. Designacin de Responsables .......................................................................................................................29
8. ANEXO 2: RELACIN DE ESTNDARES Y MEJORES PRCTICAS ..................................................................................31
8.1. Estndares y mejores prcticas nacionales ...................................................................................................31
8.1.1. Sistemas SCADA y Esquema Nacional de Seguridad ....................................................................32
8.1.2. Seguridad Fsica.....31
8.2. Estndares y mejores prcticas internacionales ............................................................................................32
8.2.1. Gobernanza y Gestin de TI incluida la calidad y la cadena de suministro.....................................32
8.2.2. Seguridad de TI ...............................................................................................................................34
8.2.3. Desastre y Recuperacin ................................................................................................................35
8.2.4. Mtricas e Indicadores ....................................................................................................................36
8.2.5. Auditora y Control ...........................................................................................................................36
8.2.6. Gestin de Riesgos .........................................................................................................................36
8.2.7. Seguridad Laboral ...........................................................................................................................37
8.2.8. Certificacin y Acreditacin .............................................................................................................37
8.2.9. Coordinacin y Respuesta ..............................................................................................................38
Del art. 13 de esta Ley se derivan una serie de compromisos para los operadores
pblicos y privados, entre los que se encuentran la elaboracin de un Plan de Seguridad
del Operador (en adelante PSO) y Planes de Proteccin Especficos (en adelante PPE).
Respecto a los contenidos del PSO, segn se recoge en el artculo 22.4 del Real
Decreto 704/2011, el Secretario de Estado de Seguridad estableci, mediante
Resolucin de fecha 15 de noviembre de 2011 y su modificacin con Resolucin de
fecha 29 de noviembre de 2011, los Contenidos Mnimos con los que debe contar todo
PSO, as como el modelo en el que basar la elaboracin de los mismos.
Para ello, el OC tomar como referencia las orientaciones dictadas por la Autoridad
Nacional de Seguridad, para la Proteccin de la Informacin clasificada con grado de
difusin limitada entre las que cabe destacar 1 :
Seguridad documental
o OR-ASIP-04-01.03 Orientaciones para el Manejo de Informacin
Clasificada con Grado de Difusin Limitada.
Seguridad en el personal
o OR-ASIP-02-02.02 Instruccin de Seguridad del Personal para acceso a
Informacin Clasificada.
Seguridad fsica
o OR-ASIP-01-01.02 Orientaciones para el Plan de Proteccin de una
Zona de Acceso Restringido.
o OR-ASIP-01-02.02 Orientaciones para la Constitucin de Zonas de
Acceso Restringido.
1
Los documentos mencionados pueden consultarse en la direccin: http://www.cni.es/es/ons/documentacion/normativa/
MINISTERIO DEL INTERIOR
4 ______________________
SECRETARIA DE ESTADO
DE SEGURIDAD
2. POLTICA GENERAL DE SEGURIDAD DEL OPERADOR Y MARCO DE
GOBIERNO
2.1 POLTICA GENERAL DE SEGURIDAD DEL OPERADOR
El marco normativo de cualquier organizacin estar compuesto, habitualmente,
por un conjunto de polticas de alto nivel, normas o estndares de desarrollo y
procedimientos operativos o instrucciones de trabajo. La Poltica de Seguridad 2 a la que
se refiere el PSO se trata del documento de mayor nivel de este conjunto mencionado
que debera reunir una serie de requisitos que detallaremos a continuacin.
Los requisitos que existen en este sentido es que la(s) poltica(s) de seguridad
debe(n) cubrir exhaustivamente todas las IICC operadas por la organizacin incluyendo
la proteccin de las personas, los procesos y la tecnologa (enfoque integral de la
seguridad).
Aspectos organizativos:
Si existe un compromiso de la Direccin con la seguridad, la funcin responsable
de la misma debera ser independiente de la operacin / produccin de manera
que se pudiera producir un sano conflicto de intereses entre operatividad y
seguridad. Por ejemplo, el responsable de seguridad de la informacin no
dependera del responsable de sistemas de informacin.
Por otra parte, la Direccin fomentara y participara en los Comits / Grupos de
Trabajo que se establecieran para una adecuada toma de decisiones y gestin de
la seguridad en conjunto con las reas productivas y de soporte de la
organizacin.
Dotacin de recursos:
La Direccin aportara los medios suficientes, dentro de las posibilidades de la
organizacin, para implementar, operar y mantener los mecanismos de seguridad
que se definan en lnea con el objeto de la funcin de seguridad.
Concienciacin:
La Direccin apoyara, participara e impulsara las actividades relacionadas con
la sensibilizacin en materia de seguridad para los empleados y usuarios
externos implicados en la seguridad, en particular, de las infraestructuras crticas.
Relaciones con terceros :
La Direccin facilitara el establecimiento de relaciones con otras organizaciones,
privadas o pblicas, que contribuyan a la seguridad (CERTs, FFCCS, etc.).
2.1.4 Carcter integral de la seguridad
Con independencia de cmo se organice la seguridad en otros mbitos del
operador, es esencial abordar la proteccin de las IICC con un enfoque integral (es
decir, tener una visin nica de las amenazas fsicas y cibernticas sobre las mismas y
disear e implementar una estrategia de proteccin que integre medidas fsicas,
informticas, operativas y del personal).
R Responsable (responsable)
A Autorizador (accountable)
C Consultado (consulted)
I Informado (informed)
Para construir dichas matrices hay que considerar algunas reglas muy simples:
Solo puede existir una A (un autorizador) por cada tarea / responsabilidad.
Pueden dejarse celdas en blanco, indicando que determinada funcin no
interviene en la ejecucin de una tarea.
Todos los actores deben aprobar la matriz RACI que se elabore.
Finalmente, en caso de que se subcontraten algunas tareas en un tercero, en
primer lugar, dicho tercero debera figurar en la matriz RACI con su correspondiente rol
para las tareas asignadas y, por otra parte, se deberan indicar los compromisos
existentes.
3
Ver Anexo 1, apartado 7.2.
MINISTERIO DEL INTERIOR
9 ______________________
SECRETARIA DE ESTADO
DE SEGURIDAD
Normalmente, la manera ms adecuada de recoger esta informacin es en el
contrato de prestacin de servicios aunque existen otras opciones:
4
Ver Anexo 1, apartado 7.3
MINISTERIO DEL INTERIOR
10 ______________________
SECRETARIA DE ESTADO
DE SEGURIDAD
en la proteccin de los servicios esenciales, tanto directa como indirectamente, y
con independencia de que se trate de personal propio o subcontratado.
Medios - Mensajes. Para cada uno de los pblicos objetivos anteriormente
identificados, se debera reflejar el mensaje que se le desea transmitir, as como
el medio que se utilizar para hacrselo llegar (formaciones presenciales, vdeos,
cursos online, boletines peridicos, seccin especfica en la Intranet, campaas
de comunicacin interna).
Seguimiento. Es decir, los mecanismos de evaluacin que se utilizaran para
comprobar que las acciones que se han emprendido contribuyen a la
consecucin de los objetivos marcados por el plan (como, por ejemplo, mtricas
de adecuacin y aprovechamiento, poltica de firma de los asistentes, celebracin
de pruebas de aprovechamiento, etc.). Asimismo, se podra incluir quin se
encarga de recoger la informacin, la metodologa que utilizar, la periodicidad de
las acciones, as como las acciones correctivas previstas.
Actualizacin. Como todo plan, el Plan de Formacin y Concienciacin tiene
una duracin temporal, por lo que debera ser actualizado peridicamente para
revisar sus objetivos, mensajes, etc. El Plan debera incluir el procedimiento de
revisin utilizado: responsable, elementos a revisar y mecanismo de aprobacin y
publicacin y difusin de los cambios al mismo.
En relacin a la concienciacin de los usuarios no hay que olvidar que no slo los
cursos y los elementos de difusin tienen un efecto sobre el nivel de concienciacin de
las personas, los elementos punitivos tambin tienen efecto sobre nuestras pautas de
comportamiento, por lo que, los planes de concienciacin tambin pueden incluir
elementos como:
Prevencin y Deteccin
o Responsabilidad sobre la seguridad.
o Anlisis y gestin de riesgos.
Proteccin y Defensa
o Controles de la Direccin.
o Adquisicin / aprovisionamiento de sistemas e infraestructuras.
Alertas y Auditorias: Evaluacin y cumplimiento normativo.
Medicin y mejora contina.
Coordinacin y Respuesta: Relacin entre la gestin de la seguridad y el resto
de la organizacin.
En este contexto, es de especial importancia todo lo relacionado con los
mecanismos de seguimiento de implantacin de medidas de seguridad, as como, las
Alteracin de su funcin.
Interrupcin en el tiempo.
Destruccin parcial o total de la infraestructura que gestiona el servicio.
Etc.
MINISTERIO DEL INTERIOR
14 ______________________
SECRETARIA DE ESTADO
DE SEGURIDAD
Adicionalmente, se debera identificar claramente, para cada uno de los casos, la
siguiente informacin:
Los OC y resto de agentes con un inters legtimo podrn dirigirse al CNPIC para
obtener una modelizacin tpica de activos que podr ser utilizada a modo de gua para
la realizacin de esta actividad.
4.3 IDENTIFICACIN Y EVALUACIN DE AMENAZAS
A partir del listado de activos identificados, se debera realizar la identificacin de
amenazas que pudieran llegar a afectar a estos activos con el fin de tratar de cubrir el
mayor nmero de potenciales situaciones de riesgo.
Ante cada posible amenaza que se considere, se debera establecer una escala
de probabilidad de ocurrencia, a efectos de realizar el posterior anlisis (ya sea este
cualitativo o cuantitativo).
Los OC y resto de agentes con un inters legtimo podrn dirigirse al CNPIC para
obtener una modelizacin tpica de amenazas que podr ser utilizada a modo de gua
para la realizacin de esta actividad.
4.4 VALORACIN Y GESTIN DE RIESGOS
El objetivo de esta actividad es la identificacin de las combinaciones de activos y
amenazas que puedan afectar la prestacin de los servicios crticos, precisndose
dichas consecuencias, en general y especialmente sobre la disponibilidad de los
servicios.
Para cumplir con este objetivo, sera necesario estimar el impacto potencial que
provocara la materializacin de cada amenaza sobre los activos identificados por el
operador. El impacto potencial mide el posible dao, independientemente de que sea
ms o menos probable. Simplemente, se determina si es posible.
Es posible que haya que definir niveles degradados de servicio que, sin prestar la
calidad exigible en condiciones normales, faciliten un nivel de supervivencia.
5
En el apartado 8. Anexo 2 Relacin de Estndares y Mejores Prcticas se incluye una relacin de
documentacin que puede ser utilizada como soporte para la identificacin de medidas de seguridad
integral.
MINISTERIO DEL INTERIOR
18 ______________________
SECRETARIA DE ESTADO
DE SEGURIDAD
En este sentido, ser especialmente til seguir las recomendaciones de la norma
UNE/CLC TS 50131-7 (Sistemas de alarma. Sistemas de alarma de intrusin. Parte 7.
Gua de aplicacin).
Respecto a dichos criterios, resaltar una vez ms que la prioridad debe ser aplicar
dichas medidas en funcin del impacto que las amenazas puedan tener sobre los
servicios esenciales (es decir, la probabilidad juega un papel secundario ya que el
objetivo perseguido es la prevencin y la proteccin de las infraestructuras crticas).
Los OC y resto de agentes con un inters legtimo podrn dirigirse al CNPIC para
obtener una modelizacin de rbol de salvaguardas que podr ser utilizada a modo de
gua para la realizacin de esta actividad.
Seguridad Fsica
Seguridad Lgica
Seguridad de la Informacin en cualquiera de sus mbitos
Seguridad Ambiental
Autoproteccin y Prevencin de Riesgos Laborales.
6.2 COORDINACIN CON OTROS PLANES
Se identificarn todos aquellos Planes diseados por el operador relativos a
diferentes aspectos como la continuidad de negocio, gestin del riesgo, respuesta,
autoproteccin, emergencias que puedan coordinarse con el Plan de Seguridad del
Operador y los respectivos Planes de Proteccin Especficos, y que seran activados en
el caso de fallo de los mecanismos de prevencin una vez que se hubiera producido el
incidente.
7.1.2. INTRODUCCIN
7.1.3 ALCANCE
Esta poltica se aplica a todas las infraestructuras crticas del <el operador
crtico> y a todos los miembros de la organizacin, sin excepciones.
El Comit de Seguridad Integral estar formado por <>. Aqu aparecen cargos
corporativos y designaciones de departamentos dentro del organismo cuando proceda.
El Secretario del Comit de Seguridad TIC ser <> y tendr como funciones
<>.
El Secretario del Comit de seguridad Fsica ser <> y tendr como funciones
<>.
El Comit de Seguridad Integral informar a <>.
7.1.6.3 Revisin
La Poltica ser aprobada por <rgano que la aprueba> y difundida para que la
conozcan todas las partes afectadas.
Por otra parte, la informacin relativa al Plan de Seguridad Integral ser tratada y
custodiada segn se indica en los procedimientos especficos (acorde a la
reglamentacin que sea de aplicacin en cada momento) conforme a su consideracin
como informacin de difusin limitada.
Todos los servicios sujetos a esta Poltica debern realizar un anlisis de riesgos,
evaluando las amenazas y los riesgos a los que estn expuestos. Este anlisis se
repetir:
regularmente, al menos una vez al ao,
cuando cambien los servicios prestados,
cuando ocurra un incidente grave de seguridad,
cuando se reporten vulnerabilidades graves.
Para la armonizacin de los anlisis de riesgos, el Comit de Seguridad Integral
establecer una valoracin de referencia para los diferentes tipos de informacin
manejados y los diferentes servicios prestados. El Comit de Seguridad Integral
dinamizar la disponibilidad de recursos para atender a las necesidades de seguridad de
los diferentes servicios, promoviendo inversiones de carcter horizontal.
7.1.9.2 Deteccin
Dado que los servicios se pueden degradar rpidamente debido a incidentes, que
van desde una simple desaceleracin hasta su detencin, los servicios deben
monitorizar la operacin de manera contina para detectar anomalas en los niveles de
prestacin de los servicios y actuar en consecuencia.
7.1.9.3 Respuesta
Cuando <el operador crtico> preste servicios a otros <> o maneje informacin
de terceros <>, se les har partcipe de esta Poltica de Seguridad Integral, se
establecern canales para reporte y coordinacin de los respectivos Comits de
Seguridad Integral y se establecern procedimientos de actuacin para la reaccin ante
incidentes de seguridad.
Cuando algn aspecto de la Poltica no pueda ser satisfecho por una tercera
parte segn se requiere en los prrafos anteriores, se requerir un informe del
Responsable de Seguridad que precise los riesgos en que se incurre y la forma de
tratarlos. Se requerir la aprobacin de este informe por los responsables de la
informacin y los servicios afectados antes de seguir adelante.
Recursos Humanos
reas de negocio
Elaboracin de poltica de Seguridad A C I R
Responsable Sustituto
Nombre
Direccin
Telfonos
Email
Nmero de la tarjeta
identificativa de Director de
Seguridad expedida por el
Ministerio del Interior.
Referencia o copia del
nombramiento.
FIRMA
Ser el enlace operativo y el canal de informacin con las autoridades competentes en materia
relativas a la seguridad de sus infraestructuras.
Canalizar las necesidades operativas e informativas que surjan.
FIRMA
6
Guas CCN-STIC relacionadas con sistemas SCADA: https://ccn-cert.cni.es/ic
Guas CCN-STIC de la serie 800 relativas al Esquema Nacional de Seguridad: https://ccn-cert.cni.es/ens
MINISTERIO DEL INTERIOR
31 ______________________
SECRETARIA DE ESTADO
DE SEGURIDAD
8.1.2 Seguridad Fsica
UNE-EN 50131-1:2008/A1:2010 Sistemas de alarma contra intrusin y atraco
Es una norma multi-parte basado en ITIL (IT Infrastructure Library) para la gestin
de los servicios prestados por IT. Es un conjunto de buenas prcticas aplicables a los
sectores pblicos y privados. Es posible la certificacin, la formacin acreditada y la
utilizacin de herramientas para facilitar su implementacin.
Este estndar sirve de gua a los cuerpos de certificacin para especificar los
procesos formales de certificacin de los sistemas de gestin de la seguridad de la
informacin como terceras partes implicadas en el proceso.
Esta norma multi-parte describe los criterios comunes (CC) de evaluacin para la
seguridad de las tecnologas de informacin (IT). Los productos que evalan contra esta
norma logran un nivel definido de aseguramiento en cuanto a la capacidad de seguridad
de la informacin se refiere. Este nivel de evaluacin es reconocido por todos los
miembros adheridos al acuerdo (arreglo) de Common Criteria.
Los incidentes siempre van a ocurrir de una u otra forma debido a las
imperfecciones e inefectividad de los controles preventivos. Por lo que la gestin efectiva
de incidentes implica controles defectivos y correctivos designados para minimizar el
impacto adverso y aprender las lecciones en trminos de la mejora del ISMS,
especialmente la implementacin de controles preventivos ms eficientes.
-----oo00oo-----