4 A 4329010 B 71 A

UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TCNICA SUPERIOR DE INGENIERA (ICAI)

INGENIERO EN INFORMTICA
PROYECTO FIN DE CARRERA
PLAN DE SEGURIDAD INTEGRAL DE MAKE SERVICES S. L.
AUTOR: DAVID ALCNTARA LPEZ MADRID, JUNIO DE 2009
Plan de Seguridad Integral MAKE SERVICES S. L.
A mi familia por su ilusin, a Leticia por los momentos compartidos, a mis compaeros y amigos por las experiencias vividas, a Mateo por su confianza y tiempo.
Mencin especial a mis padres, por su cario, dedicacin y entrega, cuyo apoyo me sirve para mejorar como persona, y sus consejos para superar los retos que me plantea la vida.
A todos ellos, muchas gracias.
David.
____________________________________________________________________________ I
El sabio busca en s lo que anhela; el necio lo busca en los dems.
Confucio.
____________________________________________________________________________ II
RESUMEN DEL PROYECTO

El Plan de Seguridad Integral (PSI) diseado en el presente documento es el resultado de la realizacin de un exhaustivo anlisis de una empresa del sector de las telecomunicaciones con un nico objetivo claramente diferenciado: evaluar el nivel de seguridad de los datos, procesos e infraestructuras en los que se sustenta dicha empresa.
En primer lugar, y para saber dnde y cmo posicionarse ante el desarrollo de un plan de seguridad de tanta envergadura, se ha llevado a cabo un estudio en profundidad sobre la actividad empresarial que desarrolla la compaa, su ubicacin, su estructura y organizacin, sus procesos operativos y de negocio, as como los mtodos y herramientas de seguridad, tanto fsica como lgica, que estn implantados en la empresa para combatir las amenazas a las que est expuesta.
Una vez identificada la metodologa, inadeacuada, que se sigue para garantizar la seguridad de la empresa, se ha realizado un anlisis de la situacin actual de seguridad de la empresa y se han identificado los riesgos que corre la compaa con los mtodos de seguridad vigentes, del mismo modo que se han identificado posibles amenazas que pudiesen afectar al desarrollo normal de su actividad. Llegados a este punto, se ha elaborado un plan de seguridad con el que se pretende mitigar aquellos riesgos y vulnerabilidades, a la vez que se garantiza la continuidad del negocio ante situaciones desfavorables, tales como incendios o cualquier otro tipo de catstrofe.
El plan propuesto debe tener la obligacin, tanto legal como moral, de garantizar los tres pilares bsicos en los que se sustenta la seguridad de la informacin: confidencialidad, integridad y disponibilidad de la informacin. Es por ello que se han seguido una serie de pautas, de obligado cumplimiento por la ley, con el objetivo ____________________________________________________________________________ III
Plan de Seguridad Integral MAKE SERVICES S. L. de preservar la identidad de todas aquellas personas que pueden verse afectadas por el mal uso y/o tratamiento de la informacin de que dispone la empresa.
Por ltimo, se ha analizado la viabilidad y puesta en marcha del plan propuesto, analizando los recursos econmicos, tecnolgicos y humanos que son necesarios para lograr la implantacin del plan de seguridad en la compaa estudiada.
____________________________________________________________________________ IV
ABSTRACT
The Comprehensive Security Plan (CSP) drawn up in the present document is the result of a complex analysis performed in a telecommunication company in order to evaluate the security level of the data, processes and infrastructure which supports the company.
First of all, it is necessary to identify the companys activity as well as its location and business structure, in order to get an overview of its market share and try to evaluate the results of the security methods introduced in the company and how they are working to keep the company safe from any external or internal threats that the organization is exposed to.
As soon as the wrong security methodology plan is identified, it is necessary to scrutinize all of the different business processes to know how vulnerable they are to the theats and risks the company may take, as well as the impact they may produce in case they occur.
At this point, a revision of a security plan is required in order to eradicate, in the most efficient way possible, the risks and vulnerabilities already detected and try to maintain the continuity and stability of the company in case any disaster happens.
The suggested security plan must have the moral and legal obligation of guaranteeing the Confidentiality, Integrity and Availability (CIA) of the companys information, just as any personal identity should not be revealed if there is a fraudulent usage of this confidential information.
____________________________________________________________________________ V
Plan de Seguridad Integral MAKE SERVICES S. L. In the last phase of the plan, a feasibility study must be made in order to identify which economic, technological and human resources are necessary to introduce this plan in the company.
____________________________________________________________________________ VI
NDICE
____________________________________________________________________________ VII
Plan de Seguridad Integral MAKE SERVICES S. L. ndice Parte I Captulo 1 Memoria .............................................................................................1 Introduccin...................................................................................2
1.1 Estado del arte......................................................................................2 1.2 Trabajos anteriores. .............................................................................5 1.3 Motivacin del proyecto.....................................................................6 1.4 Objetivo.................................................................................................7 1.5 Metodologa. ........................................................................................9 Captulo 2 Escenario del proyecto ...............................................................11
2.1 Introduccin. ......................................................................................11 2.2 mbito. ...............................................................................................11 2.3 Localizacin........................................................................................12 2.4 Organizacin y recursos. ..................................................................13 2.5 Sistemas de gestin. ..........................................................................15 2.6 Arquitectura tecnolgica. .................................................................15 2.7 Cifras de negocio. ..............................................................................17 2.7.1 Gastos. ........................................................................................17 2.7.2 Ingresos. .....................................................................................19 2.8 Inventario de infraestructuras tcnicas. ........................................20 2.9 Servicios informticos.......................................................................23 2.10 Copias de respaldo..........................................................................25 2.11 Vigilancia y proteccin de dependencias. ...................................27 Captulo 3 Situacin de la seguridad...........................................................28
3.1 Introduccin. ......................................................................................28 3.2 Anlisis de riesgos.............................................................................28 3.3 Estructura organizativa. ...................................................................30 3.4 Seguridad de las infraestructuras tcnicas. ...................................31 3.5 Seguridad de la informacin............................................................33 3.6 Planes de contingencia......................................................................33 ____________________________________________________________________________ VIII
Plan de Seguridad Integral MAKE SERVICES S. L. Parte II Captulo 4 Plan de seguridad............................................................................35 Polticas y normativas...............................................................36
4.1 Introduccin. ......................................................................................36 4.2 Acciones estratgicas. .......................................................................37 4.3 Poltica de seguridad.........................................................................38 4.3.1 Activos crticos..........................................................................38 4.3.2 Organizacin y funciones........................................................39 4.3.3 Normativa de seguridad. ........................................................40 4.3.3.1 mbitos de aplicacin.....................................................41 4.3.3.2 Controles de la normativa. .............................................42 4.3.3.3 Anlisis y gestin de riesgos. .........................................43 4.3.3.4 Obligatoriedad. ................................................................44 4.3.3.5 Metodologa......................................................................45 4.3.3.6 Controles de seguridad...................................................49 4.3.3.6.1 OP100 Organizacin. ..............................................49 4.3.3.6.2 IR100 Activos crticos. ............................................50 4.3.3.6.3 OB100 Obligaciones del personal. ........................51 4.3.3.6.4 AI100 Activos de informacin. .............................55 4.3.3.6.5 IE100 Identificacin de empleados.......................58 4.3.3.6.6 AA100 Accesos a dependencias y sistemas. .......61 4.3.3.6.7 AC100 Auditora e inspeccin. .............................62 4.3.3.6.8 IT100 Sistemas, redes y terminales.......................64 4.3.3.6.9 LS100 Licencias de software..................................72 4.3.3.6.10 DM100 Desarrollo y mantenimiento..................73 4.3.3.6.11 CR100 Copias de respaldo...................................75 4.3.3.6.12 GS100 Gestin de soportes externos. .................76 4.3.3.6.13 CN100 Continuidad de negocio. ........................78 4.3.3.6.14 SF100 Seguridad fsica..........................................81 4.3.3.6.15 CL100 Legislacin. ................................................83 ____________________________________________________________________________ IX
Plan de Seguridad Integral MAKE SERVICES S. L. 4.3.3.7 Procedimientos y guas de seguridad...........................86 4.3.3.8 Estndares ISO/IEC 27002:2005 y COBIT 4.0..............88 Captulo 5 Plan de accin..............................................................................90
5.1 Introduccin. ......................................................................................90 5.2 Descripcin de actividades. .............................................................91 5.2.1 Comit de Direccin.................................................................91 5.2.2 Comit de Seguridad. ..............................................................92 5.2.3 Direcciones funcionales. ..........................................................95 5.3 Implantacin y puesta en marcha. ................................................101 5.3.1 Recursos internos...................................................................102 5.3.2 Recursos externos. ..................................................................103 5.3.3 Cronograma de actividades. .................................................104 5.3.4 Presupuesto. ............................................................................105 5.3.5 Entregables. .............................................................................106 5.4 Cuadro de mando de gestin.........................................................107 Captulo 6 Parte III Conclusiones ..............................................................................109 Anexos.............................................................................................111
ANEXO I POLTICAS Y NORMATIVAS DE SEGURIDAD .............................112 ANEXO II PROCEDIMIENTOS Y GUAS DE SEGURIDAD .............................115 ANEXO III BIBLIOGRAFA. .......................................................................116 ANEXO IV RECURSOS Y VALORACIN ECONMICA................................118
____________________________________________________________________________ X
Parte I MEMORIA
____________________________________________________________________________ 1
Captulo 1
Introduccin
1.1 Estado del arte.
La seguridad no es una disciplina de todo o nada. No existen sistemas 100% seguros. Partiendo de estas dos premisas y sabiendo que el riesgo no puede eliminarse completamente, pero puede reducirse drsticamente, se puede empezar a abordar el tema de la seguridad informtica como una utopa distpica necesariamente alcanzable para cualquier empresa.
La seguridad de la informacin es una disciplina que se ocupa de gestionar el riesgo dentro de los sistemas informticos. Dicho de otro modo, mediante la aplicacin de sus principios, se implantarn en los sistemas informticos las medidas capaces de contrarrestar las amenazas a que se encuentran expuestos los activos de la organizacin: la informacin y los elementos hardware y software que la soportan. No se trata de implantar sin ton ni son medidas de seguridad, sino de evaluar los riesgos reales a los que la informacin est expuesta y mitigarlo mediante la aplicacin de las medidas necesarias y en el grado adecuado, con el fin de satisfacer las expectativas de seguridad generadas.
Resulta ilusorio creer que los riesgos pueden eliminarse por completo, en su lugar deben reducirse a niveles aceptables. La determinacin de este nivel depender en gran medida de los objetivos concretos que se plantee la organizacin, del valor de sus activos, de su dimensin y presupuesto de seguridad. Lo ms sorprendente es, por raro que parezca, que esta reduccin del riesgo se puede conseguir con muy poco esfuerzo y una modesta inversin. Es importante resaltar que, contrariamente a lo ____________________________________________________________________________ 2
Plan de Seguridad Integral MAKE SERVICES S. L. que se suele pensar, ni todas las amenazas de seguridad se deben a ataques maliciosos ni todos los ataques provienen del exterior, es por ello que no todas las medidas de seguridad ni las ms importantes deben basarse en la tecnologa y por tanto en la adquisicin de software o hardware de seguridad, sino tambin en la organizacin de tareas y responsabilidades, en la gestin racional de procesos y en la formacin y concienciacin del personal.
La seguridad de la informacin requiere un enfoque holstico, que implique la participacin coordinada de la tecnologa, personas y operaciones.
Con la seguridad informtica en pleno auge, muchas empresas estn empezando a adoptar medidas preventivas para hacer frente a los riesgos y amenazas a los que estn expuestos y as poder garantizar, en primer lugar, la continuidad del negocio en caso de producirse cualquier contratiempo y, en segundo lugar, la satisfaccin de los usuarios y clientes ante las expectativas generadas en torno a unos sistemas e infraestructuras totalmente automatizados en los que se debe garantizar la confidencialidad, integridad y disponibilidad de la informacin que por ellos circula.
El objetivo de la seguridad de la informacin no es conseguir sistemas 100% seguros, espejismo imposible de alcanzar, sino sistemas tan seguros como sea necesario para proteger los activos con un nivel que se corresponda con las expectativas creadas. En definitiva, la seguridad de la informacin trata de proteger activos, tanto tangibles, como por ejemplo un disco duro o una base de datos con informacin confidencial sobre los clientes, como intangibles, como por ejemplo la reputacin, la privacidad o el nombre de la marca.
Deben implantarse y llevarse a cabo una serie de directrices, obligaciones y responsabilidades en la alta direccin de la empresa que permitan el anlisis, la ____________________________________________________________________________ 3
Plan de Seguridad Integral MAKE SERVICES S. L. planificacin y la definicin de unos objetivos de seguridad que colaboren para que las medidas adoptadas se implanten correctamente y no dificulten las expectativas de seguridad. Como resultado, se disminuye el riesgo cumplindose las expectativas de seguridad. Se trata de un proceso iterativo, hasta que las expectativas se vean siempre cumplidas, con el mnimo coste de tiempo y dinero, a la vez que se garantiza la operacin normal del negocio; al fin y al cabo, el objetivo ltimo y prioritario de la seguridad es que la organizacin pueda cumplir su misin.
Para que las medidas de seguridad que una empresa debe llevar a cabo estn bien definidas y surjan efecto, previamente debe analizarse cada uno de los procesos de negocio de la organizacin, su cadena de valor, su estructura, su funcionamiento, etc., ya que deben analizarse cada uno de los eslabones que componen la organizacin y ver sus vulnerabilidades y amenazas para poder actuar sobre todos ellos, sin dejar ninguno de ellos al margen por muy pequeo o irrelevante que sea, teniendo presente que la cadena siempre se rompe por el eslabn ms dbil.
Si se quiere alcanzar un nivel de seguridad aceptable, siempre segn unas expectativas realistas, deben localizarse los eslabones ms dbiles y fortalecerlos. Si la cadena tiene mil eslabones, basta que uno slo sea dbil, para que se rompa por l. Que un intruso lo encuentre, ser cuestin de tiempo o de suerte, pero debe asumirse que tarde o temprano ser descubierto. No sirve de nada aumentar ms an la seguridad de los eslabones ms fuertes. Mientras sigan existiendo eslabones dbiles, la seguridad global del sistema ser idntica.
Una vez rota la cadena, las medidas reactivas para mitigar la situacin de inseguridad a la que est expuesta una organizacin, suponen una fuerte inversin de tiempo, dinero y esfuerzo que muchas empresas no estn preparadas para ello y ven ralentizada su actividad, pero que a su vez les hacen ver que la seguridad es un rea en la que deben realizar un mayor hincapi, tanto econmico como de ____________________________________________________________________________ 4
Plan de Seguridad Integral MAKE SERVICES S. L. formacin y concienciacin de los empleados y directivos. En cualquier caso, la mxima ms vale prevenir que curar resulta esencial para preservar la integridad de cualquier organizacin, por muy pequea que sta sea.
Partiendo de las premisas expuestas, a continuacin se describe la situacin en la que se encuentra la seguridad de las infraestructuras de sistemas y red de la empresa de servicios informticos MAKE SERVICES S. L. y, como consecuencia, la seguridad de la informacin que almacenan y procesan.
Adicionalmente, y para completar el trabajo, tambin se hace mencin a la situacin de la seguridad fsica de las oficinas y dependencias para incorporar las medidas oportunas en este mbito al Plan de Seguridad Integral que se propone en este trabajo.
1.2 Trabajos anteriores.
La seguridad de la informacin es una materia que se ha tratado en diversos Proyectos Fin de Carrera, desde ahora PFCs, a lo largo de los ltimos aos y desde diferentes puntos de vista, pero con un nico objetivo comn: asegurar la confidencialidad, integridad y disponibilidad de la informacin.
Bajo la direccin de Don Mateo Camps Llufru se han llevado a cabo PFCs de distinta ndole, pero siempre con la seguridad de la informacin como tema principal.
En junio de 2006 se present un plan de contingencia ante una catstrofe que aseguraba la continuidad del negocio de una empresa que ofreca los servicios de un Centro de Proceso de Datos (CPD) a sus clientes, en el que se detallaban los pasos y ____________________________________________________________________________ 5
Plan de Seguridad Integral MAKE SERVICES S. L. polticas a seguir por una empresa cuyo objetivo es garantizar el servicio a sus clientes ante una situacin desfavorable, como puede ser la prdida de cierta informacin ante una catstrofe natural. Al ao siguiente se volvi a presentar otro PFC en el que se elabor otro plan de contingencia, pero esta vez concretando para una empresa del sector de seguros. Ya en otro PFC presentado en septiembre del ao pasado se abord el tema de la seguridad en Internet y las medidas de seguridad existentes en aquellos negocios dedicados al comercio electrnico.
Los otros PFCs relacionados con la seguridad de la informacin tienen como escenario pequeas empresas en las que las medidas de seguridad, o bien brillan por su ausencia, o bien son, en muchos casos, insuficientes.
Ante esta situacin se elabor un plan de seguridad especfico para cada una de ellas, centrndose en gran parte en las medidas a adoptar tras una situacin adversa que no permita el buen funcionamiento del negocio.
1.3 Motivacin del proyecto.
Ante la situacin descrita anteriormente se decidi, en el mes de enero, llevar a cabo un plan de seguridad de una empresa del sector de las telecomunicaciones en el que se describiesen tanto las polticas y medidas preventivas que debe llevar a cabo cualquier empresa, sin importar la magnitud de la misma, como las polticas y medidas reactivas ante una situacin contraria al buen desarrollo del negocio.
Las principales motivaciones que llevaron a desarrollar este PFC son:
En primer lugar, la obtencin del ttulo de Ingeniero en Informtica de la Universidad Pontificia Comillas de Madrid ICAI - ICADE.
____________________________________________________________________________ 6
Plan de Seguridad Integral MAKE SERVICES S. L. En segundo lugar, tratar de entender lo mejor posible, ante la inminente entrada en el mundo laboral, la estructura y funcionamiento de una empresa: organizacin, recursos, balance econmico, servicios, seguridad, etc. En definitiva, recorrer una empresa por todas sus reas funcionales y tratar de relacionar y entender los conceptos estudiados a lo largo de la carrera en una empresa del mundo real.
Por ltimo, se trata de ver la importancia de los procedimientos y normativas de seguridad para garantizar la continuidad de los procesos y sistemas de la empresa y la continuidad del negocio.
Como curiosidad, decir que otro de los hechos que han llevado a desarrollar este PFC, es lograr el objetivo de establecer una Red de rea Local (RAL) segura ante posibles ataques a travs de Internet y tratar de proteger a un usuario convencional, no experto en la materia, ante posibles fraudes y virus transmitidos por la red Internet.
1.4 Objetivo.
A partir de los datos suministrados por una empresa, que por motivos de confidencialidad no se detallan los relativos a su localizacin y a sus clientes, se expone la situacin de la seguridad en sus procesos, sistemas y servicios de negocio, y se propone un Plan de Seguridad Integral para proteger sus activos y prevenir riesgos en los servicios y el negocio.
Los datos de la empresa sirven de base para construir un nuevo escenario de gestin de los procesos y sistemas basado en la puesta en prctica de medidas de seguridad que mejoren la situacin de la seguridad. La empresa, que a partir de ahora se denominar MAKE SERVICES S. L., se dedica a la prestacin de servicios de ____________________________________________________________________________ 7
Plan de Seguridad Integral MAKE SERVICES S. L. consultora, soporte tcnico, administracin y formacin en sistemas informticos empresariales a nivel estatal.
Las oficinas centrales de la empresa estn situadas en Madrid y, adems, tiene cuatro delegaciones que atienden al mercado local de las zonas Norte, Sur, Este y Oeste del Estado. La empresa, con un total de 175 empleados, 80 clientes y una facturacin anual de 20 millones de Euros, ha solicitado un Plan de Seguridad Integral de las oficinas y las infraestructuras tcnicas y de comunicaciones que usan los empleados y atienden el servicio a los clientes.
El Plan de Seguridad Integral, en adelante PSI, ha de proponer las polticas, normativas, procedimientos y operaciones que se han de poner en prctica para proteger a las personas y los activos, prevenir los riesgos operacionales y dar continuidad al servicio prestado a los clientes en caso de contingencia.
Para elaborar el PSI la empresa ha proporcionado datos de la organizacin y de las infraestructuras informticas y de comunicaciones utilizadas por los empleados y los clientes. La situacin de la empresa se describe en el Captulo 2.
El ncleo bsico del trabajo est relacionado con la seguridad informtica de la empresa, con la organizazin, los procesos, los sistemas y las infraestructuras tcnicas que los soportan y con la informacin que procesan. Se ha complementado con la seguridad fsica de oficinas y dependencias.
____________________________________________________________________________ 8
1.5 Metodologa.
En este apartado se describirn la metodologa y los pasos seguidos para elaborar el PSI propuesto a la empresa de servicios informticos MAKE SERVICES S. L. para su implantacin y puesta en prctica. La metodologa seguida para desarrollar dicho plan ha sido la siguiente:
1. Realizar la descripcin de la empresa a estudiar de la forma ms completa y detallada posible: mbito de actividades, estructura organizativa y de sistemas, polticas y medidas implantadas, volumen de negocio, etc.
Figura 1. Estructura de procesos del Proyecto Fin de Carrera.
____________________________________________________________________________ 9
Plan de Seguridad Integral MAKE SERVICES S. L. 2. Evaluar las lagunas de seguridad detectadas en la empresa.
3. Definir una poltica de seguridad con una misin concreta y unos recursos determinados, una organizacin bien definida, unas funciones y normativas basadas en unos estndares internacionales que permitan, y logren, mejorar la situacin actual.
4. Elaborar la normativa de seguridad a seguir, con sus respectivos controles, para ponerla en marcha.
5. Detallar los controles de seguridad que se llevarn a cabo para cada mbito de proceso, servicio y sistema que, posteriormente, ayudarn a auditar y evaluar la situacin de seguridad.
6. Proponer un Plan de Implantacin y Puesta en Marcha que garantice, en la medida de lo posible, la seguridad de la empresa y cumpla con las expectativas creadas.
____________________________________________________________________________ 10
Captulo 2
Escenario del proyecto
2.1 Introduccin.
El objeto de este captulo es presentar la actividad empresarial de la compaa MAKE SERVICES S. L. en sus aspectos organizativos, tcnicos, econmicos y de servicio.
La empresa comenz sus actividades de prestacin de servicios de consultora, soporte tcnico y administracin de sistemas informticos empresariales en el ao 1996, cuando los servicios de Outsourcing en todos los sectores de la industria en Espaa, y en particular en el de tecnologas de la informacin y la comunicacin, comenzaban su despegue, despus de su implantacin en EEUU y resto de pases de Europa Occidental. El concepto de servicio informtico comenz a ser una realidad como evolucin al tradicional de soporte tcnico de sistemas, habitual en las grandes empresas, y desarrollo de aplicaciones.
En la actualidad los servicios en sistemas de informacin abarcan todo el espectro de actividades: consultora, desarrollo, mantenimiento, soporte tcnico, administracin y operaciones en todo el mbito de las infraestructuras de los centros de datos: servidores, sistemas, redes de comunicaciones y terminales.
2.2 mbito.
La empresa ofrece servicios informticos a empresas medias y corporaciones en los mbitos de desarrollo, explotacin y soporte tcnico de sistemas: ____________________________________________________________________________ 11
Plan de Seguridad Integral MAKE SERVICES S. L. Proyectos de consultora y desarrollo de sistemas y servicios. Consultora en gestin de contratos y servicios. Asesoramiento en arquitectura e ingeniera de sistemas. Asesora en procesos, sistemas, aplicaciones y servicios. Configuracin e instalacin de sistemas. Soporte tcnico y mantenimiento de sistemas y aplicaciones. Administracin de bases de datos. Asignacin de tcnicos y operadores en los clientes. Formacin especializada en mbitos tcnicos y operativos.
2.3 Localizacin.
Las oficinas y dependencias, en rgimen de alquiler, estn localizadas en uno de los principales parques industriales de la Comunidad de Madrid. Ocupan un total de 1.360 m2 en un edificio de 5 plantas (stano, planta baja y tres pisos) distribuidos en despachos, salas de reuniones, oficinas, aulas de formacin, zonas comunes de reprografa, salas de descanso con mquinas de vending y almacenes de material de oficina y tcnico. Dispone de un aparcamiento en la planta stano. Las infraestructuras tcnicas informticas estn localizadas en la planta baja del edificio. La empresa dispone de cuatro oficinas en las zonas Norte, Sur, Este y Oeste del Estado con 60 m2 cada una donde una pequea delegacin, de dos personas, atiende el mercado local. La sede central dispone de una red de rea local para los servicios informticos internos. Las sedes locales tienen conectividad y accesibilidad remota a travs de los servicios de red de banda ancha contratados a una operadora de telecomunicaciones de implantacin nacional.
____________________________________________________________________________ 12
2.4 Organizacin y recursos.
La compaa dispone de un capital humano con alta cualificacin tcnica y operativa. Est gestionada por un Director General con un equipo de cinco Directores que componen el Comit de Direccin con carcter ejecutivo.
Figura 2. Estructura organizativa de la empresa.
La mayor parte de la plantilla de las reas comercial, tecnologa y operaciones dedicada al servicio a clientes son licenciados y titulados de grado medio de Ingeniera, bsicamente Informtica, Organizacin Industrial y Telecomunicaciones. La plantilla tambin tiene titulados en Econmicas y Administracin y Direccin de
____________________________________________________________________________ 13
Plan de Seguridad Integral MAKE SERVICES S. L. Empresas, para las reas financiera, presupuestos, control de gestin, facturacin, cobros y contabilidad.
El rea de Recursos Humanos se nutre de titulados en Derecho con formacin en Relaciones Laborales. El personal administrativo es seleccionado por sus conocimientos y experiencia en herramientas ofimticas, gestin documental y gestin de proyectos.
Figura 3. Recursos internos por direcciones funcionales.
____________________________________________________________________________ 14
2.5 Sistemas de gestin.
Los procesos internos utilizan sistemas informticos que han evolucionado hacia un modelo transaccional basado en la tecnologa Web Server. La conexin y acceso a los servicios y aplicaciones, ubicadas en un pequeo centro de datos de la sede central con servidores conectados en Red de rea Local, se hace mediante un portal corporativo en el que es preciso identificarse mediante cdigo de usuario y clave. En el portal corporativo hay conexiones a todos los servicios comunes: correo electrnico, directorios, gestin documental e impresin y a las aplicaciones de gestin que utilizan cada una de las reas de la organizacin.
Se dispone de un equipamiento externo a los servidores de aplicaciones y datos para la realizacin de copias de seguridad en discos y soportes magnticos. Las oficinas zonales disponen de un equipamiento local con conectividad y accesibilidad, en red privada virtual (VPN), a los sistemas ubicados en la sede central. La red de rea local central tiene salida a Internet.
La gestin administrativa est basada en herramientas ofimticas instaladas en los terminales (ordenadores de sobremesa y porttiles) que tienen conectividad a servidores de datos comunes accesibles por los empleados acorde a criterios de autorizacin de cada rea.
2.6 Arquitectura tecnolgica.
Los servicios se ofrecen en dos modalidades: la presencia fsica permanente de los recursos en las instalaciones del cliente acorde a la demanda establecida en cada proyecto y el desarrollo de servicios o asesora que se realiza desde las instalaciones ____________________________________________________________________________ 15
Plan de Seguridad Integral MAKE SERVICES S. L. centrales. Los directores, gerentes, jefes y personal tcnico y operativo utilizan ordenadores porttiles que conectan a la red de rea local en las oficinas. Las personas de soporte administrativo utilizan ordenadores de sobremesa.
El soporte tcnico y operativo de los sistemas internos con los servicios comunes de correo, documentacin y aplicaciones de gestin se realiza en la sede central. Todo el equipamiento informtico de gestin de la empresa reside en las instalaciones centrales. En el grfico siguiente se expone, de manera sucinta, el esquema de red de servidores y terminales que utiliza la organizacin:
Figura 4. Infraestructuras tecnolgicas de sistemas de informacin.
CONEXIN EN RED LOCAL E INALMBRICA
PCs PC
Oficinas Zona Norte
PCs PC
Oficinas Zona Este
WAN WAN
PCs PC
Oficinas Zona Sur
PCs PC
Oficinas Zona Oeste
Internet
ROUTER ROUTER FIREWALL PORTAL DIRECTORIOS CORREO FILE & PRINT FIREWALL
SERVIDORES APLICACIONES DE NEGOCIO
RAL
./..
./..
ALMACENAMIENTO / BACKUPs BACKUP CONEXIN EN RED LOCAL CONEXI E INALAMBRICA
GESTOR DOCUMENTAL
SEDE CENTRAL
____________________________________________________________________________ 16
2.7 Cifras de negocio.
El cuadro siguiente detalla, de forma sucinta, la relacin de costes internos anuales clasificados por cuatro grandes reas: salarios, gastos generales, alquileres y mantenimiento de infraestructuras tcnicas de sistemas informticos y red de telecomunicaciones.
2.7.1 Gastos.
Figura 5. Resumen de los costes internos de la empresa.
____________________________________________________________________________ 17
Plan de Seguridad Integral MAKE SERVICES S. L. La relacin de empresas cliente, as cmo la facturacin de servicios es orientativa y slo obedece al objetivo del trabajo, que es situar, como referencia, el escenario de negocio de la empresa y acometer el PSI, objetivo del proyecto.
Para los clientes se ha tomado como referencia las empresas que, a 24 de abril de 2009, cotizaban en Bolsa Espaola tanto en el IBEX 35 como en el mercado continuo.
Figura 6. Distribucin de la facturacin por reas de actividad.
En la pgina siguiente se detallan los ingresos, por cada uno de los 80 clientes, ordenados por orden alfabtico y la facturacin en los seis mbitos de negocio de la empresa: consultora de sistemas, asesora de procesos y sistema, desarrollo de servicios en mbitos de servidores medios, soporte tcnico bajo demanda, recursos temporales en los clientes y formacin.
____________________________________________________________________________ 18
2.7.2 Ingresos.
Figura 7. Detalle de la facturacin anual por clientes y reas de actividad.
____________________________________________________________________________ 19
2.8 Inventario de infraestructuras tcnicas.
En los grficos siguientes se detalla, de forma resumida, el inventario de equipamiento hardware y software dedicado a la gestin interna y al desarrollo de sistemas a los clientes. El equipamiento, el ltimo se compr en el ejercicio 2.003, est amortizado.
Figura 8. Resumen del inventario de las infraestructuras tcnicas centrales (Hardware).
____________________________________________________________________________ 20
Plan de Seguridad Integral MAKE SERVICES S. L. Una parte importante del equipamiento est fuera del periodo de mantenimiento establecido por los suministradores, lo que implica que las incidencias se resuelven a nivel interno y/o con la ayuda de terceros.
Figura 9. Resumen del inventario de ordenadores personales.
Los ordenadores de sobremesa y porttiles tienen instaladas herramientas ofimticas: Microsoft Office 2003 y Microsoft Project, Lotus Notes (correo electrnico), Adobe Acrobat, Antivirus McAfee y software de acceso, en red privada virtual, a los sistemas de gestin centrales.
Figura 10. Esquema de las infraestructuras de red.
____________________________________________________________________________ 21

Figura 11. Resumen del inventario de infraestructuras tcnicas centrales (Software).
La empresa cuenta con servicios de telecomunicaciones de voz y datos contratados a una operadora con implantacin estatal. Las oficinas disponen de equipos multifuncin de impresin, fax y escner conectados en red para uso compartido y ubicados en las zona comunes.
Los ordenadores personales, de sobremesa y porttiles, no tienen sistemas de seguridad que impidan la copia, no autorizada, de archivos y documentos crticos de la empresa a soportes externos. Tampoco disponen de herramientas que faciliten el cifrado de registros en los discos internos o externos.
____________________________________________________________________________ 22
2.9 Servicios informticos.
Los servicios informticos estn basados en herramientas ofimticas de mercado y en aplicaciones de gestin desarrolladas internamente. La gestin administrativa est soportada por Microsoft Office 2003 (PowerPoint, Word, Access, Excel). El aplicativo Adobe Acrobat es utilizado por el rea Comercial para la presentacin de documentacin de los proyectos y ofertas a clientes y por todas las reas para los informes internos que circulan dentro de la empresa.
El equipo de Tecnologa y Operaciones utiliza el producto Microsoft Project para la elaboracin y seguimiento de los planes de proyectos y servicios en todos los mbitos. Es norma de la empresa que todo proyecto y/o servicio contratado y en desarrollo tenga el documento de plan de proyecto accesible por todas las reas implicadas en el mismo. El correo electrnico interno est basado en la aplicacin Lotus Notes que facilita, adems, un servicio de mensajera instantnea. El acceso remoto al correo se realiza a travs de red privada virtual utilizando las capacidades de Banda Ancha ADSL contratadas a la operadora de telecomunicaciones.
La gestin documental est basada en un producto que data de los comienzos de la actividad de la empresa. Toda la documentacin de la empresa en todos los mbitos de la gestin, est digitalizada y almacenada en un servidor dedicado. El acceso a los documentos se realiza acorde a las demandas de cada rea. No existe un procedimiento de clasificacin de la informacin y autorizaciones de uso, distribucin y destruccin. Cada rea funcional acta acorde a sus criterios.
Las aplicaciones para la gestin interna (Recursos Humanos, Comercial, Facturacin, Cobros, Tesorera, etc.) fueron desarrolladas internamente acorde a los
requerimientos de cada rea. Han evolucionado desde un escenario inicial, basado en ____________________________________________________________________________ 23
Plan de Seguridad Integral MAKE SERVICES S. L. aplicaciones locales, hacia un modelo en el que todas las aplicaciones son accesibles a travs de Browser (Microsoft Explorer). Los sistemas se desarrollaron de forma aislada y con tecnologas no siempre compatibles, por lo que hoy existe una problemtica de correlacin de base de datos que debe mejorarse. El soporte tcnico y mantenimiento de las aplicaciones requiere un alto porcentaje de tiempo de recursos internos.
Los servicios informticos y el correo pueden ser utilizados desde el portal del empleado, que es el front/end de acceso a todos los sistemas. Cada empleado ha de identificarse con su cdigo y clave al entrar al portal. El acceso a los servicios de correo y aplicaciones precisa de nueva autenticacin por el empleado. No existe una identificacin nica a todos los sistemas. La situacin descrita tiene como consecuencia que los empleados olviden, a menudo, sus claves de acceso a los sistemas cuando hace tiempo que entraron por ltima vez.
En el portal del empleado, adems del acceso a los sistemas de gestin y correo electrnico, hay otros servicios de mbito general:
Directorio con datos de los empleados. Descargas de plantillas de PowerPoint, Word y Excel. Acceso a prensa nacional y especializada. Callejeros e informacin meteorolgica. Normativas internas y de Riesgos Laborales. Puestos vacantes. Noticias de actualidad de la empresa relacionadas con clientes y servicios.
____________________________________________________________________________ 24
Plan de Seguridad Integral MAKE SERVICES S. L. El soporte tcnico y mantenimiento de servidores, sistemas, aplicaciones, redes y terminales, hardware y software, lo realiza la gerencia de soporte tcnico y operaciones de la direccin de Tecnologa y Operaciones. No hay procedimientos establecidos para la configuracin, instalacin, cambios y gestin de incidencias. Todo el conocimiento y experiencia est localizado en un equipo de personas que hacen su trabajo con eficacia pero carece de normativas y controles de seguridad que garanticen la disponibilidad y continuidad del servicio ante riesgos imprevistos. Los sistemas no tienen implantados mecanismos de generacin y almacenamiento de registros que permitan auditar el acceso y uso que se hace de los mismos. No existe un procedimiento de sincronizacin de tiempo en la inicializacin de los sistemas, lo que genera, en ocasiones, problemas de sincronizacin de procesos y bases de datos.
La empresa tiene definidos los ficheros afectados por la Ley Orgnica de Proteccin de Datos de Carter Personal (LOPD 15/1999, de 13 de Diciembre). Los ficheros corresponden a las direcciones de Recursos Humanos, con los datos personales de los empleados, y de Comercial, con los datos de los clientes. Cada fichero, declarado e inscrito en la Agencia Espaola de Proteccin de Datos (AEPD), tiene un responsable directo y un encargado de su tratamiento. El acceso, actualizacin y recuperacin de los datos de los ficheros declarados est restringido a personas autorizadas por las direcciones de Recursos Humanos y Comercial. Los ficheros tienen copia de
respaldo diaria con una vigencia de 30 das. Las copias coincidentes con la fecha final de cada mes tienen vigencial anual.
2.10 Copias de respaldo.
Las copias de seguridad de los sistemas y las bases de datos se hacen de forma independiente. En cada servidor se arrancan procesos de backup diarios, al final de la jornada laboral, usando como soporte de las copias cartuchos de banda magntica ____________________________________________________________________________ 25
Plan de Seguridad Integral MAKE SERVICES S. L. ubicados en una librera conectada con cada servidor a travs de la red de rea local. Las copias de respaldo tienen una vigencia que es determinada por los responsables de las aplicaciones y bases de datos. Las correspondientes a los sistemas operativos y otros productos de gestin instalados en los servidores son gestionadas por la direccin de Tecnologa y Operaciones. Todas las copias se almacenan en una sala, habilitada al efecto, localizada en la segunda planta de las oficinas centrales. El hecho de tener en el mismo edificio las infraestructuras tcnicas y las copias de respaldo tiene riesgos que podran afectar a la continuidad del negocio. No existe un plan de contingencia de los procesos y servicios. En el cuadro de la figura 12 se resume el detalle de las copias de respaldo por servidor con el sistema operativo y el aplicativo asociado. En la primera parte se detalla el mbito de servidores y aplicaciones de gestin interna y en la segunda parte los servidores dedicados al desarrollo de proyectos y servicios a los clientes. La vigencia de las copias de seguridad es de un ao, excepto las correspondientes a proyectos a clientes, que son de 6 meses. Las copias las realiza la direccin de Tecnologa y Operaciones.
Figura 12. Cuadro resumen de las copias de respaldo.
____________________________________________________________________________ 26
2.11 Vigilancia y proteccin de dependencias.
La actividad de seguridad, como rea diferenciada, est enfocada al mbito de la vigilancia y proteccin de las personas, dependencias y oficinas:
La elaboracin y emisin de las tarjetas de identificacin de empleados, internos y externos.
La instalacin y mantenimiento de los equipos electrnicos de control de entrada y salida de los empleados y vehculos.
Los sistemas de video vigilancia en las zonas comunes de entrada y salida de las dependencias.
Los sistemas de proteccin contra incendios. Los sistemas de megafona. La gestin de las llaves de acceso a las oficinas y salas de equipamiento tcnico.
Todo el equipamiento informtico de gestin de la empresa reside en las instalaciones centrales, en la planta baja, en una sala diferenciada de los equipos tcnicos de infraestructuras de los edificios. El acceso a las dependencias donde est ubicado el equipamiento tcnico, tanto informtico como de infraestructuras de los edificios, carece de sistemas de video vigilancia, similares a los localizados en las zonas comunes de entrada y salida de personas y vehculos. Tampoco disponen de control de accesos, estando limitada la seguridad al cierre con llave de las puertas que da acceso a la salas donde estn instalados los equipos. La persona que controla los accesos de las personas y vehculos a las oficinas dispone de las llaves de acceso, que le son requeridas por el personal tcnico y de mantenimiento cuando es necesaria la presencia fsica en las salas de equipos. ____________________________________________________________________________ 27
Captulo 3
Situacin de la seguridad
3.1 Introduccin.
En este captulo se describe la situacin en materia de seguridad que tiene MAKE SERVICES S. L. en sus mbitos de procesos, sistemas y servicios. A partir de la informacin aportada por la empresa se expone, para cada entorno operativo y tcnico, las mejoras que podran introducirse para, posteriomente, incorporarlas al PSI propuesto.
3.2 Anlisis de riesgos.
En la documentacin aportada no se define a la seguridad como elemento bsico para el negocio, en consecuencia no existe una valoracin de los riesgos asociados a activos crticos que no estn definidos.
La empresa MAKE SERVICES S. L. ha organizado sus procesos, sistemas y servicios en base a un modelo de seguridad aislado. Cada rea funcional ha incorporado, a su criterio, elementos de seguridad que, bsicamente, se resumen en autorizaciones de acceso a los sistemas y servicios de su mbito y copias de seguridad de los sistemas y las bases de datos, actividad que corresponde a la direccin de Tecnologa y Operaciones y que realiza a su criterio para cada sistema, sin una normativa comn.
La situacin descrita obedece a la poltica de desarrollo y explotacin de los sistemas de informacin que se ha llevado a efecto desde el comienzo de la actividad ____________________________________________________________________________ 28
Plan de Seguridad Integral MAKE SERVICES S. L. informtica en la empresas, donde la seguridad slo aparece, y muy localizada, en la parte final de todo el proceso, en la explotacin o produccin donde las copias de sistemas, archivos y bases de datos son el ncleo central de las actividades asociadas a la seguridad. La empresa MAKE SERVICES S. L. no ha sido ajena a ese escenario.
A partir de la evaluacin de los datos expuestos en el captulo anterior, existen lagunas importantes como la no existencia de una poltica de seguridad comn a todas las reas y, por lo tanto, tampoco una valoracin de los activos de la empresa ni su grado de importancia para el negocio, en consecuencia, tampoco la evaluacin de las amenazas o riesgos asociados a los mismos, que son de todo tipo:
1. Naturales, como terremotos o inundaciones. 2. Estructurales, como cortes de agua, electricidad o comunicaciones. 3. Fortuitos o provocados, como incendios, rotura de tuberias de agua. 4. Accesos no autorizados a dependencias y sistemas informticos. 5. Destruccin y corrupcin de archivos y bases de datos,. 6. Malware en los sistemas informticos centrales y los terminales. 7. Averas en las infraestructuras tcnicas. 8. Hurtos y/o robos de material, equipamiento tcnico, documentacin e informacin.
La definicin de los activos crticos, las amenazas asociadas a los mismos y la poltica empresarial para su proteccin y prevencin de los riesgos sern elementos bsicos en el PSI que se propone.
____________________________________________________________________________ 29
3.3 Estructura organizativa.
La funcin de seguridad en MAKE SERVICES S. L., a nivel de jefatura, depende del Director de Recursos Humanos. El jefe de seguridad tambin tiene bajo su responsabilidad los servicios generales de la empresa, relacionados con el mantenimiento de las infraestructuras de los edificios, sistemas de proteccin contra incendios, el mobiliario de oficinas, suministros de material, etc.
La seguridad informtica y de la informacin no tiene estructura organizativa dedicada. Las actividades de seguridad relacionada con las infraestructuras tcnicas informticas y de comunicaciones forman parte, no diferenciada, del resto de las actividades de administracin, soporte tcnico y mantenimiento de los servidores, sistemas operativos, bases de datos, redes de comunicacin y terminales que son responsabilidad de la direccin de Tecnologa y Operaciones, en concreto del gerente de soporte tcnico y operaciones.
En la situacin descrita por la empresa las preguntas son: Quin establece las polticas a seguir en materia de seguridad informtica? Donde est la funcin de seguridad de la informacin ?
Se hecha en falta una politica de empresa que defina, dentro de la estrategia de negocio, donde focalizar la funcin de la seguridad con visin integral; es decir, incorporando todas las actividades de proteccin y prevencin de riesgos de los activos tcnicos y de la informacin.
En la documentacin entregada tampoco se hace referencia a ninguna poltica de formacin y certificacin de los empleados del rea tcnica en materia de seguridad informtica. ____________________________________________________________________________ 30
Plan de Seguridad Integral MAKE SERVICES S. L. Es importante resaltar que MAKE SERVICES S. L. tiene por clientes a importantes empresas, con proyectos informticos de consultora, desarrollo y soporte tcnico que requieren, cada vez mas, la consideracin de elementos de seguridad en todas las fases de los proyectos: requerimientos funcionales, diseo, desarrollo, implantacin y produccin. La empresa tiene su negocio en el mbito de las tecnologas de la informacin y la comunicacin y, sin embargo, carece de una estructura organizativa de seguridad que tenga una visin general de todos los activos de los proyectos y servicios y los riesgos asociados.
3.4 Seguridad de las infraestructuras tcnicas.
Analizando los sistemas, redes y terminales, el inventario de equipos y la informacin suministrada por la empresa, se echan en falta elementos de seguridad importantes en todos los mbitos: acceso a dependencias y sistemas, soporte tcnico y de mantenimiento, procedimientos de diseo, configuracin, cambios y gestin de incidencias en los sistemas, redes y terminales y en la disponibilidad de registros de auditora. En resumen, hay lagunas de seguridad importantes en los siguientes entornos:
El control de acceso a la sala de la planta baja, donde estn instaladas las infrastructuras tcnicas informticas y de comunicaciones, no est automatizado. No existe un control de accesos que permita monitorizar las personas que han estado en la sala.
La garanta de soporte tcnico de mantenimiento y actualizacin del hardware y software. Un porcentaje alto de incidencias se resuelve a nivel interno. Una parte importante del inventario est fuera de mantenimiento
____________________________________________________________________________ 31
Plan de Seguridad Integral MAKE SERVICES S. L. al haberse superado el tiempo de soporte establecido por los suministradores.
La configuracin de servidores y sistemas no se realiza bajo ninguna normativa ni siguiendo controles de seguridad. La instalacin, acorde a la configuracin, se realiza en base a la premisa de funcionamiento inmediato, sin tener en cuenta estructuras de duplicidad de recursos de red, proceso y almacenamiento que garanticen la continuidad del servicio ante averas tcnicas o manipulaciones incontroladas.
La gestin de soporte tcnico, mantenimiento, cambios e incidencias. No hay procedimientos establecidos, lo que implica actuaciones y resultados diferentes dependiendo del equipo tcnico que realice la actividad.
El control de accesos a los sistemas y servicios informticos. No est unificado, cada aplicacin y/o servicio tiene su propio mecanismo de gestin y control de identidad.
La monitorizacin de los sistemas. No estn operativos mecanismos que faciliten la generacin de los accesos y las accciones realizadas en los sistemas, aplicaciones y bases de datos.
Los terminales. Carecen de sistemas de proteccion de archivos e informes crticos para la empresa almacenados en sus discos internos.
____________________________________________________________________________ 32
3.5 Seguridad de la informacin.
La actividad bsica de MAKE SERVICES S. L. es el diseo, desarrollo, mantenimiento y soporte de sistemas de informacin, es decir, uno de los activos ms importantes que tiene para su negocio, adems del conocimiento y experiencia de sus empleados, es la informacin que maneja y, sin embargo, carece de una norma interna de clasificacin de la informacin.
El sistema de gestin documental que utiliza facilita el acceso a cualquier informe por parte de los empleados pero no estn almacenados con criterios de criticidad para el negocio lo que podra facilitar, en algunas circunstancias, el uso de informacin estratgica por personas no autorizadas.
Los informes, presentaciones y documentos de los proyectos son utilizados por las reas funcionales acorde a sus requerimientos y necesidades, pero no existen responsables concretos de los mismos lo que facilita, junto a la inexistencia de una normativa de clasificacin de la informacin, que salga de la empresa informacin crtica, interna o de clientes, que pudiera afectar negativamente al negocio y a la imagen de la empresa en el mercado.
3.6 Planes de contingencia.
No existen planes de contigencia que abarquen otros escenarios de procesos, sistemas o servicios que no sean las copias de seguridad (backups) de los sistemas y las bases de datos que se realizan diariamente. Todo el sistema de respaldo est en manos de los operadores que son, finalmente, los responsables de que las copias se realicen en tiempo y forma y sean almacenadas en la sala habilitada en la segunda planta. El ____________________________________________________________________________ 33
Plan de Seguridad Integral MAKE SERVICES S. L. acceso a las copias de seguridad se realiza por los propios operadores cuando se precisa la recuperacin de cualquier sistema y/o base de datos.
El nmero de clientes de MAKE SERVICES S. L. as como el escenario de infraestructuras tcnicas en servicio exige un procedimiento con un plan de contingencias que permita la recuperacin del servicio ante cualquier problema en el edificio, en el equipamiento tcnico y en los datos.
En el momento actual slo existe un plan de recuperacin del servicio basado en los datos, cualquier problema grave que impida la recuperacin de las infraestructuras tcnicas informticas y/o del edificio dejara a la empresa en una situacin crtica para la continuidad del negocio. El equipamiento informtico de gestin debera estar distribuido entre las diferentes sedes, teniendo cada una de ellas copia de la ltima versin, con el objetivo de agilizar la recuperacin del sistema ante situaciones desfavorables.
____________________________________________________________________________ 34
Parte II PLAN DE SEGURIDAD
____________________________________________________________________________ 35
Captulo 4
Polticas y normativas
4.1 Introduccin.
La seguridad de los procesos, sistemas y servicios de la empresa, as como de la organizacin y las actividades que la soportan es bsica para la continuidad del negocio. El objetivo fundamental de la seguridad en la empresa es garantizar la disponibilidad, continuidad, integridad, confidencialidad y auditabilidad de los sistemas y los datos, entendiendo que tanto sistemas como datos, adems de las infraestructuras tcnicas y las personas de la organizacin son activos crticos de la empresa, adems de los activos inmobiliarios y financieros.
En el presente captulo del proyecto se aborda el plan de actividades a realizar en la empresa para prevenir riesgos e incidencias en esos activos y protegerlos contra situaciones que pudieran destruirlos o modificarlos y, en consecuencia, afectar al normal desarrollo de las actividades del negocio.
El rea de seguridad informtica es una actividad que tiene, cada vez, mayor importancia dada la implicacin e impacto que tienen los sistemas de informacin en los procesos y actividades de las empresas, adems de la evolucin del mbito operativo de los mismos que ha evolucionado desde los procesos internos hacia la globalidad que ofrece Internet.
La mayor parte de las incidencias en los servicios tienen como origen la falta de procedimientos y controles de seguridad que garanticen la operatividad y continuidad de los sistemas de informacin. El desarrollo, implantacin, explotacin ____________________________________________________________________________ 36
Plan de Seguridad Integral MAKE SERVICES S. L. y mantenimiento de los sistemas tiene muy en consideracin los aspectos de diseo y requerimientos del negocio en relacin a la usabilidad y presentacin de resultados, pero no tanto en los requisitios de seguridad que deben incorporar. El objetivo de este captulo es definir la importancia de los activos de informacin y la poltica a poner en prctica, en toda la organizacin de la empresa, con normativas de seguridad que debern formar parte de los procesos y actividades y de los sistemas e infraestructuras tcnicas que los soportan.
4.2 Acciones estratgicas.
La situacin de la seguridad en la empresa MAKE SERVICES S. L. descrita en el Captulo 3 puede resolverse poniendo en prctica una poltica de seguridad integral con el objetivo de implantar en la cultura de la empresa un modelo de gestin de procesos y actividades donde la seguridad forme parte de los sistemas e infraestructuras tcnicas que utiliza la organizacin.
El director general debe aprobar y desarrollar, para lograr mejorar la situacin de la seguridad en todo el mbito de la empresa, el conjunto de acciones estratgicas que corresponden al PSI propuesto:
1. Definir la poltica de seguridad de la empresa, que establecer los activos crticos para el normal funcionamiento de la empresa. 2. Elaborar la normativa de seguridad para prevenir riesgos y proteger esos activos crticos con controles especficos para cada mbito del negocio. 3. Establer el plan de accin para desarrollar la poltica de seguridad y poner en prctica la normativa y controles establecidos.
A continuacin se desarrollan las acciones estratgicas propuestas. ____________________________________________________________________________ 37
4.3 Poltica de seguridad.
La poltica de seguridad integral de la empresa tiene como misin prevenir riesgos y proteger a empleados, clientes, infraestructuras, productos y servicios mediante la vigilancia, el cumplimiento de la legislacin vigente, la elaboracin e implantacin de normativas corporativas, la optimizacin continua de los sistemas y recursos internos para evitar vulnerabilidades, la divulgacin de la cultura de seguridad entre los empleados y la colaboracin con los rganos competentes de la administracin.
Acorde a la misin de la seguridad en la empresa, se definirn los activos crticos para el negocio que sern objeto de proteccin ante potenciales incidentes internos o externos.
4.3.1 Activos crticos.
La poltica de seguridad define como activos crticos los datos y los sistemas que los tratan y manifiesta la determinacin que ha de tener toda la organizacin para prevenir los riesgos de robo, prdida o deterioro que pudieran afectar a los procesos de negocio y/o a los servicios al cliente.
La seguridad de la informacin se logra con la implantacin y gestin de controles adecuados en las actividades de la organizacin, en los procedimientos internos y en los servicios al cliente. La normativa de seguridad describe los controles que deben implantarse de forma obligatoria, independientemente del resultado de los anlisis de riesgos. Si hubiese riesgos adicionales, debern ser informados de forma inmediata para implantar controles adicionales acorde a la problemtica que pudiera derivarse. ____________________________________________________________________________ 38
4.3.2 Organizacin y funciones.
A continuacin se describe la estructura de gestin de la seguridad que se ha de implantar en la empresa con el modelo de organizacin y funciones para poner en prctica normativas de seguridad en los procesos, sistemas y servicios internos y de negocio con el objetivo de eliminar o reducir las vulnerabilidades internas y/o externas.
El Comit de Direccin de la empresa pondr en marcha el Comit de Seguridad, que ser el responsable de impulsar la seguridad buscando el compromiso y apoyo de los directores y empleados.
El Comit de Seguridad tiene como misin la prevencin de riesgos y la proteccin de los activos crticos, garantizando la disponibilidad de procesos, sistemas y servicios acorde a las necesidades del negocio.
El Comit lo componen el director general y los tres directores de las reas Financiera, Recursos Humanos y Tecnologa y Operaciones. Cuando el tema lo requiera, el Comit solicitar la participacin de otras reas funcionales de la organizacin. Las principales responsabilidades del Comit de Seguridad sern:
1. Definir los objetivos estratgicos de seguridad de acuerdo a los activos crticos y las necesidades y demandas relevantes del negocio.
2. Establecer sistemas de medida del desempeo de la funcin de la seguridad.
3. Supervisar el cumplimiento eficaz y eficiente de la normativa de seguridad.
____________________________________________________________________________ 39
Plan de Seguridad Integral MAKE SERVICES S. L. 4. Definir los ficheros con datos crticos para el negocio y, con especial atencin, los correspondientes a los de carcter personal que han de declararse en AEPD. Cada fichero tendr un responsable directo que velar por la
actualizacin, calidad, privacidad y confidencialidad de los datos.
5. Aprobar la creacin de comisiones de inspeccin y auditora ante incidentes que afecten al negocio.
6. Identificar, coordinar y apoyar iniciativas en materia de seguridad mediante una efectiva gestin del conocimiento los empleados. El Comit de Seguridad asignar, para cada iniciativa, un coordinador cuyas responsabilidades sern:
Definir los objetivos de la iniciativa. Proponer la composicin de los grupos de trabajo. Elaborar el plan de actividades. Involucrar a la organizacin en la consecucin de los objetivos.
4.3.3 Normativa de seguridad.
La normativa de seguridad que a continuacin se detalla define el conjunto de controles que sern de aplicacin obligatoria en toda la organizacin, tanto para las actividades internas como para los servicios a los clientes.
Complementariamente a las normas, se establece la necesidad en cada rea de gestin interna y de atencin al cliente, de aplicar los controles de seguridad que se identifiquen en los procesos de anlisis y gestin de riesgos en los servicios al cliente, con el objetivo de eliminar o reducir posibles incidencias residuales que pudieran ____________________________________________________________________________ 40
Plan de Seguridad Integral MAKE SERVICES S. L. afectar a los procesos de negocio. Todas las reas de la organizacin estarn
obligadas a poner los medios necesarios para conocer, divulgar, implantar y cumplir la normativa de seguridad como parte esencial del PSI.
4.3.3.1 mbitos de aplicacin.
La normativa tiene carcter obligatorio para todos los procesos de negocio, tanto internos como externos. Tambin ser de obligado cumplimento para los sistemas y servicios subcontratados a terceros.
La normativa es de aplicacin en todas las fases del ciclo de vida de la informacin: generacin, almacenamiento, procesamiento, distribucin, consulta y destruccin, y de los sistemas que la procesan: anlisis, diseo, arquitectura, desarrollo, implantacin, produccin, soporte tcnico y mantenimiento, acorde a los estndares internacionales sobre los que se ha diseado la normativa de seguridad.
La normativa est organizada en cuatro apartados:
1. Los criterios que deben seguir las reas de la organizacin en la aplicacin de los controles, con el objetivo de establecer un nivel adecuado y homogneo de seguridad y reducir el riesgo a un nivel aceptable para el negocio.
2. Los controles de seguridad relacionados con los recursos organizativos, tcnicos, operativos y legales de la empresa.
3. Los procedimientos y guas de seguridad que cada rea debe desarrollar para complementar los controles de seguridad. ____________________________________________________________________________ 41
Plan de Seguridad Integral MAKE SERVICES S. L. 4. La descripcin de los estndares internacionales en los que se apoyan los controles de seguridad: ISO/IEC 27002 (Information technology - Security techniques - Code of practice for information security management) y el COBIT 4.0 (Control OBjectives for Information and related Technology).
A continuacin se describen los controles que debern ponerse en prctica en los procesos, sistemas y servicios de la empresa.
4.3.3.2 Controles de la normativa.
Los controles de seguridad se corresponden con los principios, objetivos y requisitos bsicos definidos por la empresa para garantizar la prevencin de los riesgos en los servicios y operaciones de negocio, establecindose un nivel homogneo de seguridad en todas las reas de la organizacin. El nivel de seguridad mnimo se establece acorde a un subconjunto de controles. Cada rea funcional podr implantar un nivel ms restrictivo en la aplicacin de estos controles si lo considera necesario para sus procesos internos y/o de atencin al cliente.
Los controles debern ser implantados, administrados, monitorizados y revisados para mejorar la eficacia y eficiencia de los mismos y asegurar que los objetivos de seguridad del negocio son alcanzados. En los casos en que el coste de implantacin de un control sea mayor que el riesgo que se reduce o el beneficio que se consigue, se podr justificar la no implantacin del mismo.
En el apartado 4.3.3.6 se describen los controles de seguridad a establecer en 15 mbitos de gestin de la empresa. A continuacin se describe cada mbito y entre parntesis el nmero de controles: ____________________________________________________________________________ 42
Plan de Seguridad Integral MAKE SERVICES S. L. 1. Organizacin (2). 2. Activos crticos (2). 3. Obligaciones del personal (7). 4. Activos de informacin (6). 5. Identificacin de empleados (4). 6. Accesos a edificios, sistemas y servicios (3). 7. Auditora e inspeccin (3). 8. Sistemas, redes y terminales (11). 9. Licencias de software (2). 10. Desarrollo y mantenimiento (5). 11. Copias de respaldo (2). 12. Gestin de soportes externos (3). 13. Continuidad de negocio (6). 14. Seguridad fsica (4). 15. Legislacin (6).
4.3.3.3 Anlisis y gestin de riesgos.
Las reas de la organizacin deben establecer procesos de anlisis y gestin de riesgos para identificar y aplicar los controles de seguridad adicionales a los que se definen en esta normativa, con el objetivo de reducir el riesgo residual a un nivel aceptable por la empresa.
El Comit de Seguridad liderar y coordinar la definicin y establecimiento de los procesos de anlisis y gestin de riesgos. ____________________________________________________________________________ 43
4.3.3.4 Obligatoriedad.
La normativa de seguridad establece la obligatoriedad de elaborar planes de seguridad que debern acompaarse de procesos formales de anlisis y gestin de riesgos que permitan implantar las soluciones idneas o bien, asumir los riesgos asociados a las desviaciones respecto de estas soluciones.
Los procesos de anlisis y gestin de riesgos cuantifican de forma metodolgica los riesgos que soporta la empresa en funcin de la probabilidad de ocurrencia de unas amenazas y el impacto que suponen.
Una vez cuantificados los riesgos, la empresa los gestionar mediante las siguientes opciones:
1. Aplicar y priorizar los controles de seguridad adecuados que reduzcan estos riesgos a un nivel aceptable, en funcin de un anlisis coste-beneficio, es decir, que el coste de los controles sea menor que el riesgo que ayudan a reducir. Esos controles de seguridad o contramedidas pueden disminuir la probabilidad de ocurrencia (preventivas) o el impacto en caso de ocurrencia (reactivas).
2. Aceptar los riesgos de acuerdo al criterio de riesgo aceptable definido en la empresa.
3. Transferir el riesgo, en la medida de lo posible, mediante la contratacin de plizas de seguros.
____________________________________________________________________________ 44
Plan de Seguridad Integral MAKE SERVICES S. L. 4. Evitar los riesgos y, por tanto, dejar de realizar aquellas acciones que son origen de los mismos.
4.3.3.5 Metodologa.
Cada direccin de la empresa debe definir su estrategia de anlisis y gestin del riesgo mediante la definicin y estructuracin de los siguientes puntos:
Alcance de los anlisis de riesgos, que afectarn a: Los sistemas de informacin (ejemplo, sistema de facturacin). La informacin (ejemplo, documentos de estrategia de negocio). Las procesos (ejemplo, ofertas a clientes). Los servicios (ejemplo, soporte tcnico a clientes). Las oficinas y dependencias (ejemplo, sala de equipos tcnicos). Los accesos a los sistemas de informacin. La entrada y salida de personas y vehculos.
Las relaciones existentes entre los anlisis de riesgos que se realicen.
La planificacin, periodicidad y prioridad de los mismos.
El criterio de aceptacin y gestin del riesgo de acuerdo a los objetivos de negocio: mximo riesgo residual aceptable por la empresa, anlisis costebeneficio, criterios de transferencia de riesgo, etc.
____________________________________________________________________________ 45
Plan de Seguridad Integral MAKE SERVICES S. L. Los responsables de realizar los anlisis de riesgos y la gestin del mismo. Por defecto, el propietario de un activo de informacin (sistema de informacin, informacin financiera de la empresa, datos de empleados de la empresa, etc.) es el que realiza una funcin concreta con ese activo y lo actualiza y/o presta un servicio con el mismo.
El responsable del activo tiene la obligacin de realizar el anlisis de riesgos. El propietario ser responsable del impacto desproporcionado que ocasione la materializacin de un incidente de seguridad como consecuencia de no haber realizado esa tarea.
Las direcciones de la empresa debern mantener un inventario de activos para poder afrontar los procesos de anlisis y gestin de riesgos de acuerdo a la estrategia elegida. Los anlisis de riesgos debern realizarse peridicamente o cuando existan cambios significativos en los activos definidos en el alcance, en las amenazas, vulnerabilidades, impactos, etc.
La realizacin de estos anlisis debe realizarse de forma metodolgica para poder realizar comparaciones en el tiempo. Si se cambia el mtodo de anlisis ser complicado comparar resultados con otros anteriores.
Para la elaboracin metodolgica y homognea de los anlisis y gestin de riesgos dentro de la empresa, cada direccin tendr que elaborar los siguientes documentos:
La "Gua de anlisis y gestin de riesgos" en la que se indicar los aspectos de riesgo que se deben tener en cuenta en todos los procesos procesos de negocio, como son:
____________________________________________________________________________ 46
Plan de Seguridad Integral MAKE SERVICES S. L. La definicin del alcance mediante una lista exhaustiva y bien definida de los activos sobre los que se realiza el anlisis. Los roles involucrados en el anlisis de riesgos: propietario de los activos, jefe de proyecto, encargado del tratamiento, analista de riesgos de seguridad, verificador, etc. Las fases del proceso de anlisis y gestin de riesgos: inicio, valoracin de riesgos y controles, implantacin de controles, verificacin de controles, acreditacin, revisin y seguimiento. La documentacin que se genera en el proceso de anlisis y gestin de riesgos.
El "Documento de anlisis y gestin de riesgos" en el que se indicar el formato del documento asociado a cada proceso de anlisis y gestin de riesgos que se realice internamente. En este documento debe indicarse:
Los datos de las personas que asumen los roles implicados a lo largo del proceso de anlisis y gestin de riesgos. El alcance y caracterizacin de los activos involucrados en el anlisis y gestin de riesgos. La lista de controles de seguridad aplicables a los activos definidos en el alcance. La lista de pruebas realizadas a los controles y activos. El propietario de los activos aceptar el riesgo residual como consecuencia de la no implantacin de los controles o su incorrecta implantacin.
El "Procedimiento de valoracin de riesgos y controles" con los
pasos
necesarios para identificar controles de seguridad aplicables. El procedimiento ____________________________________________________________________________ 47
Plan de Seguridad Integral MAKE SERVICES S. L. se basar en metodologas formales ligeras dependiendo del alcance del anlisis:
Metodologa formal:
o
Valorar e identificar los activos y sus vulnerabilidades. Cuantificar los riesgos y calcular su probabilidad. Elegir controles adecuados en funcin del coste-beneficio para reducir el riesgo a un nivel aceptable por la empresa.
Metodologa ligera:
o
Definir un subconjunto de controles y categorizarlos por criticidad: Alta. Media. Baja.
Aplicar los controles establecidos.
____________________________________________________________________________ 48
4.3.3.6 Controles de seguridad.
Los controles que se describen a continuacin consideran quince mbitos de procesos, sistemas y servicios de la empresa. Para cada mbito se utiliza un cdigo de dos letras y tres dgitos.
La codificacin de los controles de seguridad, con numeracin correlativa para cada cdigo, servir para evaluar y objetivar el grado de implantacin del PSI cuando se realicen las auditoras peridicas establecidas por el Comit de Seguridad.
4.3.3.6.1 OP100 Organizacin.
Cada direccin, junto con el rea de RRHH (empleados) y el rea de Compras (subcontrataciones), deber seguir criterios en los procesos de seleccin e incorporacin de personal a la empresa. Se verificarn los antecedentes de los candidatos y proveedores de acuerdo a la legislacin aplicable y a los criterios de responsabilidad social de la empresa.
La necesidad de esta verificacin ser determinada por los anlisis de riesgos, teniendo en cuenta la sensibilidad y naturaleza de los sistemas y servicios internos a los tengan acceso y/o los que deban utilizar para la prestacin de servicios a los clientes.
1. Cdigo OP101 Referencias. Verificar las referencias profesionales de trabajos previos as cmo lo expuesto por el candidato en el Curriculum Vitae. ____________________________________________________________________________ 49
Plan de Seguridad Integral MAKE SERVICES S. L. 2. Cdigo OP102 Contratos. Incluir en los contratos la potestad de la empresa de vigilar el cumplimiento de las normas de seguridad acorde a los controles establecidos en la misma. Incorporar clusulas de indemnizacin por incumplimiento legislativo y de la normativa interna. Incluir responsabilidades ante incidentes provocados por los
incumplimientos.
4.3.3.6.2 IR100 Activos crticos.
Cada direccin deber definir, con el VB del Comit de Seguridad, los activos crticos del rea y el uso que se hace de los mismos.
1. Cdigo IR101 Identificacin de activos. Identificar los procesos, sistemas y servicios que son crticos para el desarrollo de las actividades del negocio.
2. Cdigo IR102 Responsables de los activos. Identificar los responsables de los activos en las direcciones y asignarle las siguientes funciones: Decidir la finalidad, contenido y uso del activo de informacin. Evaluar los controles de seguridad aplicables al activo. Gestionar el uso del activo de informacin. Comprobar el cumplimiento de los controles de seguridad aplicables. ____________________________________________________________________________ 50
Plan de Seguridad Integral MAKE SERVICES S. L. Solicitar, si fuera preciso, auditoras en los sistemas acorde a los criterios definidos por el rea legal y el rea de RRHH.
4.3.3.6.3 OB100 Obligaciones del personal.
El personal, empleados y subcontratados, est obligado a cumplir la normativa de seguridad de acuerdo a los procedimientos, sistemas y herramientas puestas a su disposicin por la empresa. En lneas generales, los empleados deben cumplir los siguientes controles de seguridad:
1. Cdigo OB101 Identidad. Identificarse en los controles de acceso a edificios, dependencias, infraestructuras de red, sistemas, aplicaciones y bases de datos. En los sistemas de informacin es obligado: Mantener la confidencialidad de las credenciales de acceso y no compartirlas con nadie, as como comunicar cualquier anomala o incidente (robo, prdida, etc.) que tenga con las mismas. Evitar la escritura, copia o reproduccin de las mismas en papel. Evitar almacenar las credenciales de acceso en archivos no protegidos. Cambiar las contraseas iniciales en el primer acceso Realizar cambios de contraseas con periodicidad. Evitar utilizar las mismas contraseas en los servicios abiertos externos y en los servicios de gestin interna.
____________________________________________________________________________ 51
Plan de Seguridad Integral MAKE SERVICES S. L. 2. Cdigo OB102 Emergencias. Seguir las indicaciones de seguridad ante situaciones crticas o de emergencia. Realizar los simulacros de emergencia con objeto de garantizar una respuesta adecuada ante este tipo de actuaciones. Poner en prctica los planes de contingencia de los servicios y continuidad de negocio.
3. Cdigo OB103 Utilizacin de recursos. Preservar los activos de la organizacin, incluyendo sistemas, equipos, informacin, mobiliario y material de oficina. Estos activos debern ser utilizados para propsitos relacionados con el negocio de la empresa. Utilizar los recursos o instalaciones de la empresa con fines ilegales y/o fraudulentos as como comerciales o profesionales distintos a los permitidos por la empresa. Utilizar los sistemas de informacin y redes de comunicaciones autorizados estrictamente para el cumplimiento de sus funciones dentro de la empresa. Los empleados podrn utilizar el correo
electrnico y los servicios de Internet con libertad y responsabilidad, en el sentido ms amplio posible, para el desempeo de las actividades de su puesto de trabajo. No deben usar esos servicios de forma que pongan en riesgo la seguridad y reputacin de la empresa, evitando navegar por sitios no confiables que puedan facilitar la propagacin de Malware (virus, spam, etc.) o realizar descargas de material protegido por copyright. Proteger y cuidar todos los sistemas y recursos que la empresa pone a su disposicin, especialmente fuera de las instalaciones de la misma. Finalizar las sesiones que tenga abiertas cuando no las necesite.
____________________________________________________________________________ 52
Plan de Seguridad Integral MAKE SERVICES S. L. Usar el protector de pantalla del sistema con un periodo de inactividad mximo de 20 minutos y que necesite ser desbloqueado por contrasea. No desactivar ni cambiar la configuracin de los mecanismos de proteccin instalados (cortafuegos personales, antivirus, etc.). Utilizar software homologado y licenciado por la empresa. Apagar de forma ordenada el ordenador al finalizar la jornada laboral. Eliminar cualquier programa o fichero que impida o dificulte el normal funcionamiento del sistema. Cumplir con las actualizaciones de seguridad de los sistemas y equipos de acuerdo a los mecanismos establecidos en la empresa. Guardar por tiempo indefinido y mxima reserva los documentos, metodologas, claves, anlisis, programas y dems informacin, en soporte material o electrnico, a la que tengan acceso durante su relacin laboral. No divulgar la informacin de la empresa a personas o empresas ajenas a la misma, salvo autorizacin previa. La obligacin se mantendr vigente tras la extincin del contrato laboral.
4. Cdigo OB104 Puesto de trabajo. No dejar documentacin en las mesas de trabajo. Guardar bajo llave la informacin sensible impresa en papel o almacenada en soportes externos. No desatender la documentacin en impresoras comunes, fax, etc. Destruir la documentacin sensible cuando se tire a la basura. Tener en cuenta la clasificacin de la informacin , los requerimientos contractuales y legales, as como los aspectos de mayor riesgo. ____________________________________________________________________________ 53
Plan de Seguridad Integral MAKE SERVICES S. L. 5. Cdigo OB105 Uso de informacin. Acceder slo a aquella informacin y recursos a los que se tiene acceso autorizado acorde a la clasificacin y tratamiento de la informacin elaborada por la empresa. Notificar a la mayor brevedad los incidentes sospechosos que afecten o pudieran afectar a la seguridad de la empresa mediante los procedimientos y canales definidos en la empresa. No intercambiar documentacin e informacin con empresas externas sin los controles definidos en la empresa. Cumplir con las restricciones de propiedad intelectual o industrial. Cumplir con la legislacin de proteccin de datos aplicable, en lo que se refiere a su actividad laboral en la entidad, velando que los datos son veraces, exactos y completos.
6. Cdigo OB106 Formacin. Asistir a los cursos y actividades facilitadas por la empresa en materia de seguridad y proteccin.
7. Cdigo OB107 Finalizacin actividad laboral. Devolver todos los activos de la empresa (ordenadores, telfonos mviles, tarjetas, etc) una vez terminada la relacin laboral. En caso de proveedores y personal externo, la empresa subcontratada ser la responsable de exigir la devolucin de los activos y recursos proporcionados.
____________________________________________________________________________ 54
4.3.3.6.4 AI100 Activos de informacin.
Cada direccin deber evaluar la informacin que es crtica y vital para el negocio y clasificarla acorde a su impacto en los procesos, sistemas y servicios. Ser la propietaria de la informacin y la responsable de su divulgacin acorde a su nivel de clasificacin.
1. Cdigo AI101 Clasificacin de la informacin. Clasificar los documentos acorde a cuatro niveles:
CONFIDENCIAL: Informacin crtica que debe ser protegida por su relevancia para la empresa, como decisiones estratgicas, evaluaciones financieras y oportunidades de negocio. Algunos ejemplos: Evaluaciones financieras. Nuevas alianzas estratgicas. Investigacin y desarrollo de productos y servicios. Estudios de entrada en nuevos mercados.
La responsabilidad de clasificar la informacin a nivel Confidencial corresponde al director general y al Comit de Direccin.
RESTRINGIDA: Informacin interna a las reas y/o proyectos que slo debe utilizar un grupo reducido de personas y debe ser protegida por su impacto en los intereses internos, de los clientes o asociados y de los empleados. Algunos ejemplos: Evaluaciones de suministradores y colaboradores. ____________________________________________________________________________ 55
Plan de Seguridad Integral MAKE SERVICES S. L. Anlisis y estudios de clientes. Ofertas de nuevos productos y servicios.
La responsabilidad de clasificar la informacin a nivel de Restringida corresponde a los directores y gerentes/jefes.
USO INTERNO: Informacin que, sin ser confidencial ni restringida, debe mantenerse en el mbito interno de la empresa y no debe estar disponible externamente, excepto a terceras partes involucradas previo compromiso de confidencialidad y conocimiento de la empresa. Algunos ejemplos: Proyectos y servicios a clientes. Informes de mercado. Guas de uso de servicios y sistemas.
La responsabilidad de clasificar la informacin a nivel de uso interno corresponde a los gerentes/jefes y los empleados.
PBLICA: Informacin para el mercado. Algunos ejemplos: Cuenta de resultados. Oferta de productos y servicios. Servicios a clientes, previa autorizacin de los mismos.
La desclasificacin de una informacin ser decidida por la persona que la hubiese clasificado o por su superior jerrquico. La informacin no clasificada ser tratada como de uso interno y su divulgacin solo ser autorizada por la direccin propietaria de la misma. ____________________________________________________________________________ 56
Plan de Seguridad Integral MAKE SERVICES S. L. 2. Cdigo AI102 Inventario informacin clasificada. Todos los activos de informacin sern identificados e inventariados acorde a los niveles de clasificacin descritos en el cdigo anterior. El inventario y registro de la informacin clasificada ser centralizado en un sistema de gestin documental.
3. Cdigo AI103 Tratamiento informacin clasificada. El acceso a la informacin estar restringido acorde al nivel de clasificacin establecido, con controles de identificacin y autenticacin que corresponda en cada caso.
4. Cdigo AI104 Reproduccin informacin clasificada. La copia de informacin clasificada en formato electrnico o impreso slo se podr realizar con autorizacin expresa de cada direccin propietaria, exceptuando la informacin confidencial cuya copia debe autorizarla el director general. El personal subcontratado no puede reproducir informacin de uso interno o superior sin una justificacin que atienda a la prestacin del servicio que realiza para la empresa y previo compromiso de confidencialidad y autorizacin de cada direccin propietaria. Se pondrn los mecanismos necesarios, en el gestor documental donde resida la informacin clasificada, para cumplir los controles de seguridad expuestos en los apartados anteriores..
____________________________________________________________________________ 57
Plan de Seguridad Integral MAKE SERVICES S. L. 5. Cdigo AI105 Distribucin informacin clasificada. La distribucin de informacin confidencial en formato papel o electrnico, previa reproduccin autorizada, slo se realizar a las personas autorizadas por el director general. La distribucin de informacin restringida en formato papel o electrnico, previa reproduccin autorizada, slo se realizar a las personas autorizadas por la direccin propietaria. La distribucin de informacin clasificada como confidencial o restringida se realizar acorde a los siguientes criterios: En medios electrnicos ser tratada con algoritmos de criptografa. En pael ser enviada en sobre cerrado con garantas de integridad.
6. Cdigo AI106 Destruccin informacin clasificada. La destruccin de informacin ser autorizada acorde a su clasificacin, si es confidencial por el director general y si es restringida por la direccin propietaria. La destruccin en formato electrnico o impreso se realizar de forma que no pueda recuperarse ni total ni parcialmente por ningn medio. El personal subcontratado destruir toda la informacin de la empresa, clasificada o no, una vez finalizada la prestacin del servicio a la empresa.
4.3.3.6.5 IE100 Identificacin de empleados.
Los empleados utilizarn credenciales, cdigo de identificacin personal y clave privada, para el acceso a los sistemas y servicios de la empresa. El cdigo servir ____________________________________________________________________________ 58
Plan de Seguridad Integral MAKE SERVICES S. L. para la identificacin del empleado y la clave para su autenticacin en el momento del acceso. Ambos cdigos, identificador y clave, definirn de forma inequvoca al empleado que, en cada momento, use sistemas y servicios.
Todos los empleados dispondrn de esas credenciales que sern gestionadas acorde a los procedimientos y registros determinados por la empresa. La robustez y fiabilidad del mecanismo de identificacin y autenticacin estar en consonancia con la criticidad del recurso. Las credenciales de los empleados sern:
1. Cdigo IE101 Tarjeta identificacin personal. Los empleados dispondrn una tarjeta, personal e intransferible, con el logotipo y diseo corporativo de la empresa y los siguientes datos: Nombre, apellidos y fotografa. DNI o nmero de pasaporte Nmero de empleado. Los empleados subcontratados dispondrn una tarjeta, personal e intransferible, con el logotipo y diseo corporativo de la empresa y los siguientes datos: Nombre, apellidos y fotografa. DNI o nmero de pasaporte. Personal externo. La tarjeta ser de uso obligatorio a la entrada y salida de las dependencias y se llevar en lugar visible durante la jornada laboral. La tecnologa utilizada en la tarjeta (RFID, CHIP, etc.) para el control de acceso a dependencias y servicios ser la que determine el Comit de Seguridad.
____________________________________________________________________________ 59
Plan de Seguridad Integral MAKE SERVICES S. L. 2. Cdigo IE102 Cdigos identificacin personal. Cada empleado tendr su propio y nico cdigo de identificador personal e intransferible. No se permiten cdigos genricos. Los sistemas informticos inutilizarn los cdigos de acceso no usados durante el periodo de 60 das hbiles para los empleados internos y 45 das hbiles para los empleados subcontratados. El empleado es responsable de las acciones que se realicen con su cdigo identificador.
3. Cdigo IE103 Claves privadas. La clave privada es personal e intransferible. El empleado est obligado a cambiar las claves de acceso cuando utilice por vez primera un sistema o servicio y, posteriormente, de forma peridica. Los sistemas proporcionarn facilidades para realizar dicho cometido. Los sistemas inutilizarn la clave privada al tercer intento de acceso no vlido. El empleado es responsable de las acciones que se realicen con su clave de acceso.
4. Cdigo IE104 Informacin a los empleados. Las zonas de control de acceso a las dependencias y las reas de trabajo dispondrn en forma visible para todos los empleados informacin respecto uso intransferible de tarjetas, claves y cdigos personales. Los sistemas presentarn en su primera pantalla de acceso, antes de la identificacin y autenticacin del empleado, el siguiente aviso:
____________________________________________________________________________ 60
Plan de Seguridad Integral MAKE SERVICES S. L. El sistema es propiedad de la empresa. Necesita autorizacin antes de usarlo. El acceso no autorizado o el uso indebido del mismo es contrario las normas de seguridad de la empresa y a la ley.
La gestin de los sistemas de emisin de la tarjetas, claves de identificacin personal, claves privadas de acceso, formatos de las mismas y la actualizacin de los datos de los empleados para esa finalidad son responsabilidad de la direccin de Recursos Humanos para recursos internos. El rea de Compras ser la encargada de actualizar los datos personales de los empleados subcontratados.
4.3.3.6.6 AA100 Accesos a dependencias y sistemas.
El Comit de Seguridad definir la poltica de acceso a las dependencias y sistemas de la empresa acorde a los requerimientos del negocio y basada en el principio de que los empleados slo pueden y deben acceder a la informacin y recursos necesarios para realizar sus funciones. Los perfiles de acceso estarn relacionados con los niveles organizativos, funciones y la situacin de los empleados, internos o subcontratados.
1. Cdigo AA101 Niveles de acceso. Las direcciones sern responsables de definir: Los requisitos de acceso a dependencias, sistemas y servicios. Los niveles de acceso temporales de los empleados, internos y subcontratados, se gestionarn acorde a las funciones internas. Las direcciones informarn peridicamente a Recursos Humanos de las autorizaciones y revocaciones de acceso.
____________________________________________________________________________ 61
Plan de Seguridad Integral MAKE SERVICES S. L. El Comit de Seguridad definir las autorizaciones y revocaciones de acceso.
2. Cdigo AA102 Gestin de accesos. La direccin de Recursos Humanos ser la responsable de la gestin, mantenimiento y actualizacin de las autorizaciones de acceso, coordinndose con el resto de reas de negocio.
3.
Cdigo AA103 Sistema de gestin de identidad y recursos. Las autorizaciones de acceso a dependencias, sistemas y servicios estarn ubicadas en un sistema de gestin de identidad y recursos autorizados conectado en red con el resto de sistemas y servicios de la empresa que lo utilizarn para gestionar las autorizaciones de acceso. La direccin de Recursos Humanos es la responsable del sistema de gestin de identidad y recursos. Las direcciones estn obligadas a mantener actualizados los datos de los recursos y las autorizaciones de acceso correspondientes.
4.3.3.6.7 AC100 Auditora e inspeccin.
Los sistemas dispondrn de registros de auditora con datos relativos a los cdigos de identificacin que los han utilizado, fecha y hora, recurso al que se accede, tipo de acceso, autorizacin o denegacin y ordenadores o terminales utilizados.
____________________________________________________________________________ 62
Plan de Seguridad Integral MAKE SERVICES S. L. 1. Cdigo AC101 Registros de auditora. Con carcter general ser necesario generar y almacenar registros de auditora con: Los eventos requeridos por la legislacin vigente. Los intentos de autenticacin fallidos. Los eventos de configuracin. Los eventos de administracin. La operacin de los sistemas. Los errores de funcionamiento.
2. Cdigo AC102 Integridad, confidencialidad y disponibilidad. Se garantizar la integridad de los registros de auditora y los mecanismos que los generan. El borrado o desactivacin slo ser autorizado por el Comit de Seguridad. El acceso a los registros de auditora y el control de los mecanismos que los generan slo se permitir a las personas autorizadas por el Comit de Seguridad acorde a las directrices de las direcciones. Los registros de auditora sern almacenados por un periodo de tiempo aceptable que permita tenerlos disponibles para potenciales
investigaciones. El periodo de almacenamiento de registros de auditora se realizar acorde a la legislacin vigente y aplicable.
____________________________________________________________________________ 63
Plan de Seguridad Integral MAKE SERVICES S. L. 3. Cdigo AC103 Sincronizacin y monitorizacin de actividad. Los relojes de todos los sistemas y servicios que generen registros de auditora debern sincronizarse con la misma fuente de tiempo. Los registros podrn ser monitorizados para la elaboracin de informes peridicos.
4.3.3.6.8 IT100 Sistemas, redes y terminales.
Los sistemas, redes de comunicaciones y terminales dispondrn de procedimientos operativos de seguridad para su configuracin, administracin, operacin y gestin de cambios.
1. Cdigo IT101 Operacin y mantenimiento de sistemas. Se elaborarn procedimientos operativos de seguridad para la configuracin, instalacin y mantenimiento de: Los sistemas operativos utilizados en la gestin interna de la empresa. Los sistemas operativos de desarrollo y pruebas de proyecto para los clientes. Las bases de datos. Los servidores de aplicaciones. Los servidores de correo. La configuracin e instalacin de servidores, sistemas operativos y bases de datos se realizar acorde a estructura de mxima tolerancia a fallos en software, hardware, alimentacin elctrica y climatizacin.
____________________________________________________________________________ 64
Plan de Seguridad Integral MAKE SERVICES S. L. 2. Cdigo IT102 Operacin y mantenimiento de redes. Se elaborarn procedimientos operativos de seguridad para la configuracin, instalacin, mantenimiento de: La interconexin de redes:
o
rea local (LAN). rea extendida (WAN).
Las rutas o protocolos de encaminamiento. Las reglas de los cortafuegos (Firewall). Los routers, switches y servidores de traduccin de direcciones IP (DNS).
3. Cdigo IT103 Segregacin de comunicaciones. La red interna de la empresa se segregar en varios segmentos lgicos de acuerdo a niveles de riesgo. Los segmentos de red se aislarn mediante dispositivos de encaminamiento que controlarn el acceso y el trfico entre los segmentos acorde a criterios de criticidad relativos a: Los sistemas conectados al segmento. La informacin que tratan. La informacin que se transmite. Los servicios existentes. La exposicin a amenazas externas desde Internet. Los empleados que se conectan. Los mecanismos de seguridad implantados. La condicin de la red: cableada o inalmbrica. Las prioridades o necesidades de acceso. ____________________________________________________________________________ 65
Plan de Seguridad Integral MAKE SERVICES S. L. 4. Cdigo IT104 Configuracin de red. Los encaminamientos y las rutas implementadas se realizarn de forma que se garantice la correcta implementacin de los criterios y polticas que regulan el trfico permitido entre los segmentos lgicos de la red. Los cortafuegos debern establecer mecanismos que accesos no autorizados. Se proteger la integridad del servicio de traduccin de direcciones IP (DNS). Se proteger la asignacin dinmica de direcciones IP (DHCP). Se implantarn mecanismos que comprueben que la seguridad del ordenador personal que se conecta de forma remota (Internet, ADSL, etc.) es suficiente y no pone en peligro la seguridad de la red interna. Se dispondr de mecanismos de anlisis de configuracin de los ordenadores que se conectan para comprobar que tienen instalados y operativos los sistemas operativos y de seguridad establecidos. Se establecern controles para prevenir, registrar y monitorizar las amenazas y proteger de las mismas a los sistemas y terminales que hacen uso de la red y los registros de datos en trnsito.
5. Cdigo IT105 Conexiones inalmbricas. Las redes inalmbricas establecern mecanismos de seguridad que garanticen la integridad y confidencialidad de las comunicaciones: Autenticacin y control de acceso a la red. Filtrado de direcciones IP. Cifrado de comunicaciones. Deteccin de incidencias: ____________________________________________________________________________ 66

o
Intrusos, puntos de acceso no autorizados, robos de sesin, falsificacin de parmetros de red, robo de credenciales de autenticacin, intentos de rotura de claves de sesin, etc.
Barrido de frecuencias, denegacin de servicio, alteracin o retransmisin de paquetes, reducciones de cobertura, etc.
6. Cdigo IT106 Configuracin de terminales. Se definirn e implantarn controles orientados a proteger la informacin en los terminales: ordenadores de sobremesa y porttiles, agendas electrnicas, telfonos mviles, etc. Los terminales dispondrn de dispositivos, hardware y/o software para: Control de acceso lgico. Contrasea de arranque. Tarjeta inteligente para ordenadores personales crticos. Cifrado de registros de ficheros en disco. Cifrado de comunicaciones. Proteccin frente a virus. Proteccin perimetral: cortafuegos personal. Salvaguarda de la informacin:
o
Backup remoto. Copias de seguridad cifradas en dispositivo externo.
Conexin a la red interna de la empresa. Actualizacin peridica de sistema operativo y software instalado. Los terminales ms crticos dispondrn de seguro y procedimiento ante prdidas o robos del equipo. ____________________________________________________________________________ 67
Plan de Seguridad Integral MAKE SERVICES S. L. Cuando los datos de carcter personal se almacenen en dispositivos porttiles y se traten fuera de los locales de la empresa ser preciso que exista una autorizacin previa del propietario de la informacin, y en todo caso deber garantizarse su seguridad. En los ordenadores externos de acceso remoto:
o
No se dejar informacin de la sesin al terminar la conexin. Se instalaran cortafuegos internos para evitar que el ordenador haga de pasarela entre la red interna y otras redes externas.
7. Cdigo IT107 Configuracin de sistemas. Se dispondr de una herramienta para mantener el inventario de los equipos y software instalado: versiones, configuraciones, ubicacin, responsable y documentacin asociada. Los servidores de aplicaciones y datos, as como los equipos de la red de comunicaciones que soporten aplicaciones bsicas del negocio, sern configurados con elementos duplicados que garanticen la
disponibilidad y continuidad del servicio si uno o varios de los componentes bsicos, hardware y/o software, tiene alguna incidencia en su funcionamiento normal. Los sistemas ms crticos para el negocio dispondrn de recursos informticos dedicados y aislados del resto, en funcin de la criticidad de la informacin o del servicio que ofrezcan. El nivel de criticidad de los sistemas ser definido por el Comit de Seguridad acorde al nivel de riesgo.
____________________________________________________________________________ 68
Plan de Seguridad Integral MAKE SERVICES S. L. 8. Cdigo IT108 Control de la capacidad. Se monitorizar el uso de los recursos en los sistemas y en los dispositivos de la red con el objetivo de ajustar y planificar la capacidad de los mismos de acuerdo al rendimiento esperado. En la planificacin de cada sistema debern tenerse en cuenta: Los requisitos de los nuevos sistemas, as como la tendencia actual y proyectada del uso de los recursos. Los plazos de provisin de los sistemas y dispositivos.
9. Cdigo IT109 Gestin de cambios. Se realizar seguimiento y control de los cambios en los equipos, sistemas operativos, software de base y elementos de la red de comunicaciones. Se revisarn los sistemas y aplicaciones afectadas con el fin de asegurar que el cambio no tendr efecto negativo en las actividades de negocio. Se dispondr de varios procedimientos de gestin de cambios que deben incluir los siguientes aspectos: Identificar los cambios de actualizacin de versiones de software e instalacin de modificaciones (parches). Planificar y probar previamente los cambios. Anlisis de riesgos cuando los cambios sean significativos. Autorizacin previa del cambio por la direccin responsable del servicio. Comunicacin de los detalles del cambio a todas las personas que usen el sistema o servicio objeto del cambio.
____________________________________________________________________________ 69
Plan de Seguridad Integral MAKE SERVICES S. L. Procedimiento de vuelta a atrs para recuperar el estado inicial en caso de que el cambio sea fallido. Registro de los cambios realizados. Se dispondr de una herramienta para mantener el inventario de software instalado: versiones instaladas, configuraciones, ubicacin, responsable y documentacin asociada.
10. Cdigo IT110 Gestin de vulnerabilidades. Se gestionarn las vulnerabilidades que afecten a los sistemas operativos y software de base de forma efectiva y sistemtica, minimizando el tiempo de exposicin de los sistemas y el riesgo de que puedan ser explotadas. Se deber tener en cuenta los siguientes criterios: Utilizar la herramienta de inventario de software instalado. Gestionar una o varias fuentes de informacin de vulnerabilidades y parches aplicables. Las fuentes sern de los propios fabricantes o fuentes de contrastado prestigio y credibilidad que abarquen todas las plataformas instaladas en la empresa. Definir los procedimientos de actuacin para:
o
La identificacin de vulnerabilidad, anlisis y aplicacin del parche.
Las soluciones alternativas caso de no existir el parche o no poder aplicarlo.
La verificacin final.
Definir y monitorizar los tiempos mximos de exposicin de los sistemas ante vulnerabilidades graves.
____________________________________________________________________________ 70
Plan de Seguridad Integral MAKE SERVICES S. L. 11. Cdigo IT111 Gestin de incidencias. Se cuantificarn los tipos, volumen, frecuencia, daos y costes producidos por los incidentes de seguridad con el objetivo de identificar las mejoras a establecer y controles necesarios a poner en prctica. A tal efecto: Se establecern procedimientos y responsabilidades en la gestin y respuesta a las incidencias de seguridad en los servicios. Se definir un procedimiento de registro de todas las incidencias gestionadas. Cuando las incidencias notificadas correspondan con un evento que ha causado una prdida en la empresa se activar la gestin y respuesta al incidente. El procedimiento deber incluir los siguientes aspectos:
o
Los servicios afectados y comunicacin realizada. El rea o direccin responsable de la resolucin. Las acciones a realizar en funcin de la naturaleza y gravedad del incidente: Fallos de sistemas y/o prdida/denegacin de servicio. Cdigo malicioso. Prdida confidencialidad y/o integridad de informacin. Fuga o abuso de informacin.
Las fases por las que pasa la gestin del incidente: Recopilacin de datos y evidencias. Comunicacin a las direcciones y/o clientes afectados. Investigacin y evaluacin de riesgo. Resolucin: Acciones de prevencin y proteccin. Seguimiento del servicio.
____________________________________________________________________________ 71

o
El estado de situacin del incidente, con fecha y hora, clasificado por: ABIERTO : Incidente notificado. RESOLUCIN : En fase de anlisis y solucin. SEGUIMIENTO : Resuelto y servicio restablecido. CERRADO : Funcionamiento normal del servicio.
4.3.3.6.9 LS100 Licencias de software.
Los productos comprados o licenciados para uso interno y/o en los clientes, deber regirse por la normativa del suministrador o distribuidor y ser compatible con las versiones del software en servicio y la plataforma vigente de sistemas, redes y terminales.
1. Cdigo LS101 Productos y licencias de uso. Los sistemas operativos y programas producto debern estar en consonancia con la arquitectura y estndares de sistemas, redes y terminales. La oferta de los distintos suministradores ha de cumplir los criterios y estndares de seguridad de la empresa. Las propuestas sern vinculantes mediante la inclusin de clusulas especficas en los contratos de adquisicin. El software comercial que se utilice en la empresa estar debidamente licenciado y su uso se limitar a lo establecido en el contrato. Estar debidamente soportado por el proveedor, el cul garantizar por escrito la resolucin de las incidencias.
____________________________________________________________________________ 72
Plan de Seguridad Integral MAKE SERVICES S. L. El uso de software denominado libre o gratuito y que proceda de fuentes fiables solo ser autorizado por el Comit de Seguridad.
2. Cdigo LS102 Actualizaciones software. La actualizacin, nuevas versiones o parches de las licencias compradas y/o licenciadas se realizar acorde a los requerimientos oficiales de los suministradores. Todos los cambios se realizarn segn los procedimientos de gestin de cambios incluidos en la normativa de seguridad. El mantenimiento peridico se realizar acorde a los requisitos de los suministradores y a las necesidades de la empresa. Los mantenimientos remotos automticos, salvo emergencias y control del rea de seguridad, no estn permitidos.
4.3.3.6.10 DM100 Desarrollo y mantenimiento.
Los sistemas desarrollados deben ser compatibles con las infraestructuras de tcnicas de sistemas, redes y terminales de la empresa, garantizando el cumplimiento de los procedimientos y servicios internos.
1. Cdigo DM101 Desarrollo de proyectos. Los desarrollos de sistemas y/o aplicaciones, internos o de clientes y las infraestructuras documentacin, tecnolgicas especificacin, seguirn pruebas, un proceso de formal calidad de e
control
implantacin de acuerdo los controles de seguridad de esta normativa.
____________________________________________________________________________ 73
Plan de Seguridad Integral MAKE SERVICES S. L. Antes de la entrada en explotacin de nuevos sistemas e
infraestructuras tecnolgicas, se verificar que estn implantados los controles de seguridad definidos en esta normativa. Los sistemas desarrollados han de utilizar las soluciones y servicios tcnicos comunes de la empresa con los controles de seguridad establecidos en esta normativa.
2. Cdigo DM102 Mantenimiento de sistemas. Los mantenimientos de sistemas y/o aplicaciones, internos o de clientes y las infraestructuras tecnolgicas consecuencia de los mismos, seguirn un proceso formal de documentacin, especificacin, pruebas, control de calidad e implantacin de acuerdo a la gestin de cambios y los controles de seguridad definidos en esta normativa.
3. Cdigo DM103 Separacin de entornos. Los entornos de desarrollo, pruebas o certificacin y produccin contarn con sistemas y recursos separados para reducir los riesgos de acceso o cambios en el software y en los servicios. Se establecern reglas para transferir, previa autorizacin, el software de los sistemas y aplicaciones entre los entornos de desarrollo, pruebas y produccin.
4. Cdigo DM104 Cdigo fuente. El acceso al cdigo fuente de los programas, as como a los documentos de diseo, especificaciones, arquitectura tecnolgica, planes de pruebas, etc. estar restringido al personal autorizado.
____________________________________________________________________________ 74
Plan de Seguridad Integral MAKE SERVICES S. L. 5. Cdigo DM105 Servicios subcontratados. Se definir claramente la propiedad del software desarrollado y los derechos de propiedad intelectual. El desarrollo y mantenimiento de sistemas y aplicaciones empresas subcontratadas ser monitorizado y controlado para garantizar la calidad y seguridad del software. Las empresas subcontratadas firmarn acuerdos o clusulas de confidencialidad y no divulgacin.
4.3.3.6.11 CR100 Copias de respaldo.
El Comit de Seguridad definir los criterios de copia y respaldo de la informacin de los sistemas, aplicaciones y servicios acorde a las necesidades del negocio.
1. Cdigo CR101 Procedimientos de copia. Se dispondr de procedimientos, dispositivos y soportes para la realizacin de las copias de respaldo y posterior recuperacin en caso de desastre o fallo de los sistemas y/o servicios soportes de acuerdo a los criterios de respaldo y recuperacin establecidos. Las copias de respaldo se realizarn y se verificar su usabilidad de forma peridica acorde a criterios establecidos. La copia de datos de carcter personal y su vigencia se realizar acorde a la legalidad vigente.
____________________________________________________________________________ 75
Plan de Seguridad Integral MAKE SERVICES S. L. 2. Cdigo CR102 Recuperacin de informacin. La recuperacin de informacin a partir de las copias de respaldo deber realizarse cuando el proceso, sistema o servicio lo demande y deber ser autorizada por el propietario de la misma.
4.3.3.6.12 GS100 Gestin de soportes externos.
Los soportes externos con documentacin y datos de la empresa y/o de proyectos y servicios sern inventariados y etiquetados con la informacin suficiente para su identificacin, conservacin, distribucin y uso.
1. Cdigo GS101 Identificacin. Se mantendr un registro o inventario con los datos identificativos de cada soporte, por ejemplo: Cdigo identificacin. Tipo soporte: CD/DVD, cartucho, disco externo, etc. Localizacin: interno/externo. Situacin: usable o destruido y fecha asociada. Tiempo de vigencia de la informacin almacenada. Informacin almacenada: documentos, presentaciones, diseos y
desarrollos de proyecto, cdigos fuente, ofertas a clientes, copia de bases datos y/o archivos, etc.
____________________________________________________________________________ 76
Plan de Seguridad Integral MAKE SERVICES S. L. 2. Cdigo GS102 Conservacin. Los soportes externos sern almacenados en lugares cuyas condiciones ambientales de humedad y temperatura cumplan los requisitos de conservacin especificados por los fabricantes de los mismos. Si la informacin almacenada en un soporte externo debe conservarse durante un plazo mayor que el tiempo de vida del soporte deber copiarse la informacin a un soporte nuevo. Los soportes no necesarios, por informacin obsoleta o caducidad del mismo, debern ser destruidos de forma que sea imposible recuperar la informacin que contienen.
3. Cdigo GS103 Distribucin y uso. El acceso al contenido de los soportes externos estar restringido acorde a los niveles de clasificacin de la informacin almacenada. Se implantarn procedimientos de entrada/salida de los soportes externos. Se mantendr registro en el que se refleje la siguiente informacin: Cdigo identificacin del soporte. Tipo: CD/DVD, Cartucho, Disco externo, etc. Fecha y hora de entrada/salida. Emisor/destinatario. Motivo entrada/salida. Se establecern mecanismos de proteccin que garanticen la
confidencialidad e integridad de la informacin y controles que permitan detectar si se ha producido algn acceso no autorizado.
____________________________________________________________________________ 77
4.3.3.6.13 CN100 Continuidad de negocio.
Se definirn planes de contingencia de los procesos, sistemas y servicios para reducir las consecuencias derivadas de incidencias que afecten, total o parcialmente, a la capacidad operativa de la empresa y garantizar la recuperacin inmediata de la actividad de negocio. La elaboracin del plan de contingencia de un proceso, sistema o servicio la realizar el responsable o propietario del mismo.
1. Cdigo CN101 Recursos crticos y responsabilidades. Se definirn los procesos, sistemas o servicios que sean considerados criticos para el negocio. Los procesos, sistemas y servicios crticos debern incluirse dentro del alcance del plan de contingencia. Se determinar el propietario de cada proceso, sistema y servicio crtico.
2. Cdigo CN102 Anlisis de impacto. Se realizar un anlisis de impacto de los procesos, sistemas y servicios crticos con las consecuencias para el negocio ante cualquier incidencia. Los anlisis de impacto tendrn en cuenta los siguientes puntos: Clasificar los eventos, internos o externos, que pueden causar una prdida, deterioro o paralizacin de los recursos crticos, tanto directa como indirectamente: fallos en las infraestructuras tcnicas de sistemas, redes y terminales, errores humanos, fuego, desastres naturales, accidentes, actos terroristas, etc. Evaluar el mximo tiempo que el negocio puede aguantar antes de contraer prdidas. ____________________________________________________________________________ 78
Plan de Seguridad Integral MAKE SERVICES S. L. 3. Cdigo CN103 Alternativas de respaldo. Establecer las alternativas de respaldo para cada evento en funcin los tiempos mximos sin servicio. Evaluar las alternativas de respaldo acorde al balance entre la perdida ocasionada por la indisponibilidad de los recursos y el coste necesario para recuperarlos.
4. Cdigo CN104 Seleccin de estrategias de respaldo. Definir la estrategia global de respaldo como la integracin y priorizacin de las diferentes alternativas de respaldo analizadas en el punto anterior. La estrategia de respaldo tratar de recuperar los recursos afectados de la manera ms rpida y efectiva posible. En la seleccin de las estrategias de respaldo se tendr en cuenta las capacidades de los suministradores externos, tanto de plataformas tcnicas como de servicios, y las necesidades de los clientes. Evaluar la bsqueda de acuerdos con otras empresas para llegar a posibles asociaciones y sinergias en las estrategias de respaldo.
5. Cdigo CN105 Desarrollo e implantacin. Acorde a las estrategias de respaldo se establecern los equipos de emergencia, los procedimientos y los planes de actuacin necesarios para garantizar la recuperacin de los procesos, sistemas y servicios dentro de los parmetros de tiempo y calidad establecidos. En todo el proceso de desarrollo e implantacin se garantizar la seguridad de los sistemas y los datos. Se tendrn en cuenta los siguientes puntos:
____________________________________________________________________________ 79
Plan de Seguridad Integral MAKE SERVICES S. L. La identificacin de los recursos incluidos en el alcance del plan de contingencia: personas, infraestructuras fsicas y tcnicas,
capacidades de proceso, sistemas, servicios, bases de datos, datos, documentos, etc. Las relaciones y dependencias con otros planes de contingencia existentes en la empresa. Los datos de contacto de todas las personas involucradas en el desarrollo del plan de contingencia: responsable, coordinadores, equipos de emergencia, suministradores involucrados, etc. La definicin de los criterios y condiciones de activacin. La contratacin de los recursos, infraestructuras externas y prestacin de servicios para la puesta en marcha de la estrategia de respaldo. La revisin de todas las prestaciones de servicios ya existentes que entren a formar parte de la estrategia de respaldo. Los recursos y organizacin de los equipos de emergencia con el detalle de responsabilidades, funciones y dependencias orgnicas. Los planes de contingencia se probarn, actualizarn y revisarn regularmente para comprobar su eficacia y actualizacin. Los planes de contingencia se revisarn y actualizarn en los procesos de cambio de la empresa que afecten a: La organizacin. Las infraestructuras tcnicas. Las estrategias de negocio y de servicio. El Comit de Seguridad determinar los plazos de revisin peridicos.
____________________________________________________________________________ 80
Plan de Seguridad Integral MAKE SERVICES S. L. 6. Cdigo CN106 Estructura. Los planes de contingencia se estructurarn de forma consistente y relacionada, de modo que un plan de contingencia englobar e incluir los planes de contingencia de rango o alcance inferior y al mismo tiempo, se englobar y supeditar a los planes de contingencias de rango o alcance superior. El rango o alcance de los planes de contingencia sern: El negocio: plan de contingencia de la empresa. Todos o parte de los procesos, sistemas y servicios: plan de contingencia parcial, ejemplo plan de contingencia de la facturacin de los servicios. Todos o parte de las infraestructuras que soportan los procesos, sistemas y servicios de negocio: ejemplo plan de contingencia de servidores informticos, plan de contingencia de las oficinas, etc.
4.3.3.6.14 SF100 Seguridad fsica.
Se disearn e implantarn medidas de proteccin fsica orientadas a prevenir riesgos en las oficinas y recursos de la empresa. Las medidas de vigilancia y proteccin estarn adaptadas a la legislacin vigente.
1. Cdigo SF101 Permetros de acceso. Se establecern barreras fsicas a la entrada y salida de los edificios para personas, vehculos y paquetera. Se establecern puestos de vigilancia y control de acceso de personas, vehculos y paquetera. ____________________________________________________________________________ 81
Plan de Seguridad Integral MAKE SERVICES S. L. Se instalarn dispositivos de video vigilancia en los permetros de acceso con sistemas que faciliten el registro y grabacin. Los puntos de entrada y salida de material y otros en los que personal no autorizado pueda acceder a los locales, debern estar protegidos y aislados del resto de las dependencias.
2. Cdigo SF102 Controles de acceso. Se establecern controles de acceso de personas y vehculos acorde a las autorizaciones establecidas por la empresa. Las visitas a las oficinas y dependencias se regirn por los controles de acceso establecidos, identificndose con una tarjeta temporal que le ser suministrada en el puesto de vigilancia. Los empleados y las visitas estn obligados a portar su tarjeta de identificacin personal o temporal en lugar visible durante su estancia en las oficinas y dependencias.
3. Cdigo SF103 Proteccin dependencias. Se disearn e implantarn medidas de proteccin fsica orientadas a proteger los despachos, las oficinas y salas de infraestructuras tcnicas: Los despachos, armarios, archivadores u otros elementos en los que se almacenen documentos de la empresa debern ubicarse en reas o salas en las que el acceso est restringido nica y exclusivamente al personal autorizado. El acceso a dichas reas estar protegido con puertas y sistemas de apertura/cierre mediante llave u otro dispositivo equivalente. Las reas protegidas debern permanecer cerradas cuando no sea preciso su acceso. ____________________________________________________________________________ 82
Plan de Seguridad Integral MAKE SERVICES S. L. Se disearn e implantarn medidas de proteccin frente a incendios, perdidas de agua u otro desastre casual o provocado.
4. Cdigo SF104 Proteccin de infraestructuras tcnicas. El equipamiento tcnico deber ubicarse y protegerse para reducir el riesgo de amenazas del entorno (agua, fuego, etc.) as como las oportunidades de accesos no autorizados. Los equipos se protegern frente a fallos elctricos y otras anomalas en el suministro necesario: agua, ventilacin, aire acondicionado, etc. El cableado de energa y telecomunicaciones que porten datos o soporten servicios de informacin se protegern contra interceptacin o daos. Los locales donde se encuentren ubicados los equipos tendrn controles de temperatura y humedad, de manera que los equipos mantengan su operatividad y disponibilidad. Los equipos no saldrn de los locales de la empresa sin previa autorizacin.
4.3.3.6.15 CL100 Legislacin.
Los controles de seguridad establecidos en esta normativa han de estar adaptados al cumplimiento de la legalidad vigente.
1. Cdigo CL101 Legislacion aplicable. Se identificarn los requisitos de las leyes aplicables en todos los controles. ____________________________________________________________________________ 83
Plan de Seguridad Integral MAKE SERVICES S. L. Se definirn los responsables internos de velar por su cumplimiento. Se identificarn las implicaciones legales en otros pases a los que est obligada la empresa por los servicios prestados a los clientes.
2. Cdigo CL102 Propiedad intelectual. El uso de software, productos y material licenciado cumplir con las restricciones definidas en la legislacin aplicable. El software o material producido por la empresa susceptible de proteccin intelectual ser registrado a nombre de la empresa.
3. Cdigo CL103 Registros de auditora. La generacin, almacenamiento y acceso a los registros de auditora de los sistemas de informacin y redes de comunicaciones cumplir con los requisitos legales establecidos en la LOPD.
4. Cdigo CL104 Proteccin de datos de carcter personal. El tratamiento de informacin con datos de carcter personal cumplir con los requisitos legales establecidos en la LOPD. Se definir una poltica de proteccin y privacidad de datos de carcter personal de la empresa y ser comunicada a todos los empleados.
5. Cdigo CL105 Monitorizacin de sistemas y servicios. Los empleados internos y externos sern informados de sus obligaciones y limitaciones en el uso de los sistemas de informacin y redes de comunicaciones de la empresa.
____________________________________________________________________________ 84
Plan de Seguridad Integral MAKE SERVICES S. L. La empresa se reserva la potestad de vigilar el cumplimiento de estas obligaciones y limitaciones a travs de la monitorizacin del uso de los mismos.
6. Cdigo CL106 Auditora. El cumplimiento de la normativa de seguridad ser revisado de forma peridica por una entidad, interna o externa, independiente del rea auditada. Las revisiones sern definidas y autorizadas por el Comit de Seguridad. El informe de situacin ser remito al Comit de Seguridad.
____________________________________________________________________________ 85
Plan de Seguridad Integral MAKE SERVICES S. L. Como resumen, en la figura siguiente se detallan los controles de seguridad descritos en los mbitos de gestin, recursos internos de soporte y operaciones de la empresa.
Figura 13. Resumen de los controles establecidos en la normativa de seguridad.
4.3.3.7 Procedimientos y guas de seguridad.
Los procedimientos operativos y guas de usuario que debern realizar las direcciones de la empresa establecern los pasos necesarios a seguir para realizar una determinada tarea y cumplir con uno o varios de los controles de esta normativa. Los procedimientos podrn referenciar a otros existentes y podrn ser auditados. Las ____________________________________________________________________________ 86
Plan de Seguridad Integral MAKE SERVICES S. L. guas de usuario debern complementar los procedimientos operativos y estarn orientadas a los jefes de proyecto y empleados. Detallarn todos los aspectos tcnicos y operativos para cumplir con los controles de seguridad. A continuacin se detallan los procedimientos y guas complementarias a poner en prctica para cumplir con la normativa de seguridad y los controles establecidos:
1. Seleccin e incorporacin de personal. 2. Registro y control de identidades. 3. Obligaciones del personal. 4. Definicin y clasificacin de activos crticos. 5. Anlisis y valoracin de riesgos. 6. Clasificacin y tratamiento de informacin. 7. Derechos y autorizaciones de acceso. 8. Gestin de accesos a sistemas y servicios. 9. Controles de acceso a oficinas y areas internas. 10. Gestin y monitorizacin de los registros de auditora. 11. Gestin de configuracin en las infraestructuras tcnicas de sistemas, redes y terminales. 12. Segmentacin del trfico en las redes. 13. Gestin de cambios en las infraestructuras de sistemas, redes y terminales. 14. Desarrollo y mantenimiento de sistemas y servicios. 15. Pruebas y certificacin para la explotacin de sistemas de gestin interna. 16. Pruebas y certificacin para la entrega y explotacin de sistemas de servicio a clientes. 17. Gestin y respuesta a incidentes. 18. Copias de respaldo y recuperacin. 19. Distribucin y uso de soportes externos. 20. Planes de contingencia. 21. Vigilancia y proteccin de dependencias. 22. Proteccin de locales con infraestructuras tcnicas. ____________________________________________________________________________ 87
4.3.3.8 Estndares ISO/IEC 27002:2005 y COBIT 4.0.
El PSI propuesto est desarrollado conforme a las directrices de:
1. El estndar
ISO/IEC 27002:2005 (anteriormente ISO/IEC 17799) para la
seguridad de la informacin publicado por International Organization for Standardization y por la Comisin Electrotcnica Internacional en el ao 2000 con el ttulo de Information technology - Security techniques - Code of practice for information security management. Se public en el ao 2005 un nuevo documento actualizado denominado ISO/IEC 17799:2005.
El estndar ISO/IEC 17799 tiene su origen en la norma britnica British Standard BS 7799-1 que fue publicada por primera vez en 1995. En Espaa se ha elaborado la publicacin UNE-ISO/IEC 17799 elaborada por el comit tcnico de Aenor AEN/CTN 71 y titulada Cdigo de buenas prcticas para la gestin de la seguridad de la informacin que es una copia idntica y traducida de la norma internacional ISO/IEC 17799:2000. El estndar proporciona recomendaciones de las mejores prcticas en la gestin de la seguridad de la informacin en las empresas. El estndar define la seguridad de la informacin como la preservacin de la confidencialidad para que slo accedan a la informacin las personas o sistemas autorizados, la integridad para la informacin sea exacta y completa acorde a sus mtodos de proceso y disponibilidad, asegurando que los usuarios autorizados tienen acceso a la informacin y a sus activos asociados cuando lo requieran. Incluye las acciones, controles y prcticas a realizar en cada uno de los mbitos de gestin de sistemas de informacin de la empresa.
2. El estndar COBIT 4.0 (Control OBjectives for Information and related Technology) es el modelo para la gestin de las tecnologas de la informacin (TI) desarrollado ____________________________________________________________________________ 88
Plan de Seguridad Integral MAKE SERVICES S. L. por la Information Systems Audit and Control Association (ISACA) y el IT Governance Institute (ITGI).
COBIT 4.0 proporciona a la direccin, gerentes, jefes de proyecto, tcnicos y usuarios de las tecnologas de la informacin un conjunto de medidas, indicadores, procesos y mejores prcticas de gerencia y usabilidad de las TI para maximizar sus ventajas en la empresa con modelos de organizacin y gestin experimentados. Describe un marco de gestin de las TI con elementos de control, escenearios tcnicos y evaluacin de riesgos de negocio.
COBIT facilita el desarrollo polticas y prcticas para el control de TI en todos los mbitos de la empresa con una serie de guas a todos los niveles: visin general ejecutiva, estructura, objetivos de control, directivas de gestin y modelos a seguir basados en las mejores prcticas para la definicin de planes estratgicos en TI, arquitecturas de sistemas, consideraciones para las adquisicin de hardware y software, continuidad del servicio y supervisin del funcionamiento.
Independientemente de la realidad tecnolgica de cada empresa, COBIT determina, con el respaldo de las principales normas tcnicas internacionales, un conjunto de mejores prcticas para la seguridad, la calidad, la eficacia y la eficiencia que son necesarias para alinear las TI con el negocio, identificar riesgos, entregar valor al negocio, gestionar recursos y medir el desempeo, el cumplimiento de objetivos y el nivel de madurez de los procesos de la organizacin.
____________________________________________________________________________ 89
Captulo 5
Plan de accin
5.1 Introduccin.
En el captulo anterior se han definido el conjunto de actividades que conforman el PSI a poner en prctica por la direccin de la empresa basado en tres acciones estratgicas. Las dos primeras se han desarrollado anteriormente:
Definir la poltica de seguridad de la empresa con los activos crticos para el normal funcionamiento de la empresa.
Elaborar la normativa de seguridad con controles especficos para los crticos del negocio.
En este captulo se desarrolla el plan de accin para poner en prctica la poltica de seguridad con la normativa que la sustenta. En primer lugar se detallarn las actividades previas que deber realizar el Comit de Direccin y, en segundo lugar, las actividades que debern realizar todas las reas implicadas y el plan de implantacin.
Finalmente, se propone un cuadro de mando de gestin para evaluar, peridicamente, el nivel de seguridad de la empresa y unas consideraciones finales de evolucin de futuro.
____________________________________________________________________________ 90
5.2 Descripcin de actividades.
Las actividades a poner en prctica involucran al Comit de Direccin, al Comit de Seguridad y a cada una de las direcciones de la organizacin. A continuacin se describen las responsabilidades y objetivos.
5.2.1 Comit de Direccin.
En primer lugar, el Comit de Direccin ha de poner en marcha un plan previo con la implicacin de todas las direcciones. El plan de trabajo consiste en:
Elaborar el documento Polticas y normativas de seguridad de MAKE SERVICES S. L. para convertirla en la herramienta de uso generalizado en toda la organizacin. El contenido bsico se describe en el apartado 4.3. El esquema que deber tener el documento se describe en el ANEXO I. El objetivo de la poltica y normativa de seguridad es:
Unificar criterios de seguridad en toda la organizacin. Disponer de una norma comn y herramienta de gestin de la seguridad adaptada a los estndares internaciones.
Aprobar el documento Polticas y normativas de Seguridad de MAKE SERVICES S. L. en el Comit de Direccin de la empresa. El objetivo, una vez aprobado, es disponer de:
____________________________________________________________________________ 91
Plan de Seguridad Integral MAKE SERVICES S. L. La organizacin de seguridad en la empresa cuyo mximo mbito de decisin ser el Comit de Seguridad. La herramienta para la gestin de la seguridad, cuyo mximo exponente es la normativa de seguridad con un conjunto de sesenta y seis controles que abarcan quince mbitos de procesos, sistemas y servicios de la empresa.
Preparar un Plan de Divulgacin para todos los empleados en el que se explique el nuevo modelo de gestin de la seguridad en la empresa.
El Plan de Divulgacin ha de utilizar todos los medios:
Reuniones de los directores con sus equipos. Informacin en el portal del empleado. Carteles visibles en las oficinas.
El contenido de las reuniones de las direcciones, la informacin en el portal y la correspondiente a los carteles se disear acorde a las directrices del Comit de Direccin con el apoyo de una empresa especializada en seguridad de la informacin.
5.2.2 Comit de Seguridad.
El Comit de Seguridad comenzar su plan de actividades un vez que el Comit de Direccin ha concluido el plan previo con la elaboracin, aprobacin y divulgacin
____________________________________________________________________________ 92
Plan de Seguridad Integral MAKE SERVICES S. L. del documento de Polticas y normativas de seguridad de MAKE SERVICES S. L. de RRHH.
El plan de actividades, liderado por el Comit de Seguridad y en el que se implicarn todas las direcciones consistir, en primer lugar, en:
Definir y clasificar los activos crticos. Anlizar y valorar los riesgos.
Una vez definidos lo activos crticos y hecha la valoracin de riesgos, el siguiente paso ser elaborar los procedimientos de seguridad y guas que ayuden a las reas a aplicar los controles de seguridad establecidos. El objetivo es establecer mtodos de trabajo en los procesos y en las infraestructuras tcnicas adaptados a la normativa de seguridad.
Los procedimientos y guas han de abarcar todos los mbitos de la gestin operativa y tcnica:
Procedimientos de gestin operativa: Seleccin e incorporacin de personal. Registro y control de identidades. Obligaciones del personal. Clasificacin y tratamiento de la informacin. Derechos y autorizaciones de acceso. Distribucin y uso de soportes externos. Controles de acceso a oficinas y areas internas.
____________________________________________________________________________ 93
Plan de Seguridad Integral MAKE SERVICES S. L. Planes de contingencia. Vigilancia y proteccin de dependencias.
Procedimientos de gestin tcnica: Gestin de accesos a sistemas y servicios. Gestin y monitorizacin de los registros de auditora. Gestin de configuracin en las infraestructuras tcnicas de sistemas, redes y terminales. Segmentacin del trfico en las redes. Gestin de cambios en las infraestructuras de sistemas, redes y terminales. Desarrollo y mantenimiento de sistemas y servicios. Pruebas y certificacin para la explotacin de sistemas de gestin interna. Pruebas y certificacin para la entrega y explotacin de sistemas de servicio a clientes. Gestin y respuesta a incidentes. Copias de respaldo y recuperacin. Proteccin de locales con infraestructuras tcnicas.
El Comit de Seguridad encargar la elaboracin de los procedimientos de seguridad y guas de seguridad a las reas funcionales, siendo los directores los mximos responsables de conseguir los objetivos propuestos e informarn al Comit de Seguridad de los avances hasta alcanzarlos.
La elaboracin de los procedimientos y guas se realizar con la ayuda de los suministradores externos. Para los procedimientos de gestin operativa las direcciones se ayudarn de una subcontratacin especializada en sistemas y servicios ____________________________________________________________________________ 94
Plan de Seguridad Integral MAKE SERVICES S. L. de seguridad. Para los procedimientos de gestin tcnica se utilizarn las capacidades de los suministradores de las infraestructuras tcnicas contratados para su mantenimiento ms la implicacin de los equipos de tecnologa y soporte tcnico de la direccin de Tecnologa y Operaciones. El formato y contenido que debern tener los Procedimientos y guas de seguridad se describe en el ANEXO II.
El Comit de Seguridad elaborar un cuadro de mando de gestin con el detalle de datos relativos a cada uno de los procedimientos y guias: rea funcional responsable, fechas previstas de comienzo y final, avances e incidencias en la elaboracin. El Comit de Seguridad realizar un seguimiento semanal del grado de avance de los procedimientos y guas que presentarn cada una de las direcciones implicadas en su elaboracin.
5.2.3 Direcciones funcionales.
La elaboracin detallada de los procedimientos y guas descritos anteriormente implica a todas las direcciones de la empresa Financiera, Recursos Humanos, Facturacin y Cobros, Tecnologa y Operaciones y Comercial. Todas las direcciones estn implicadas en la elaboracin de los procedimientos comunes:
Seleccin e incorporacin de personal. Registro y control de identidades. Obligaciones del personal. Clasificacin y tratamiento de informacin. Derechos y autorizaciones de acceso. Distribucion y uso de soportes externos.
____________________________________________________________________________ 95
Plan de Seguridad Integral MAKE SERVICES S. L. Controles de acceso a oficinas y reas internas. Planes de contingencias. Vigilancia y proteccin de dependencias. Gestin de accesos a sistemas y servicios. Gestin y monitorizacin de los registros de auditora. Gestin de cambios en las infraestructuras de sistemas, redes y terminales. Desarrollo y mantenimiento de sistemas y servicios. Pruebas y certificacin para la explotacin de sistemas de gestin interna. Gestin y respuesta a incidentes. Copias de respaldo y recuperacin. Proteccin de locales con infraestructuras tcnicas.
La direccin de Recursos Humanos ser responsable de los procedimientos operativos relacionados con:
Seleccin e incorporacin de personal. Registro y control de identidades. Obligaciones del personal. Controles de acceso a oficinas y reas internas (rea de Seguridad). Vigilancia y proteccin de dependencias (rea de Seguridad).
La direccin de Tecnologa y Operaciones ser la responsable de los procedimientos relacionados con:
____________________________________________________________________________ 96
Plan de Seguridad Integral MAKE SERVICES S. L. Procedimientos de gestin operativa: Clasificacin y tratamiento de la informacin. Derechos y autorizaciones de acceso. Distribucion y uso de soportes externos. Planes de contingencia. Gestin de accesos a sistemas y servicios. Controles de acceso a oficinas y areas internas. Gestin y monitorizacin de los registros de auditora.
Procedimientos de gestin tcnica: Gestin de accesos a sistemas y servicios. Gestin y monitorizacin de los registros de auditora. Gestin de configuracin en las infraestructuras tcnicas de sistemas, redes y terminales:
o
Sistemas operativos: Windows NT. Windows 2000. HP/UX. IBM/AIX. LINUX. Sun Solaris.
Base de datos: DB2/UDB. Oracle.
____________________________________________________________________________ 97
Plan de Seguridad Integral MAKE SERVICES S. L. SQL. Sybase.

o
Servidores Web y de Aplicaciones: CICS. ITS for SAP/R3. Notes/Domino. Tuxedo. Web Logic. iPlanet Web Server.
Discos almacenamiento externo: Dell, Hitachi. Robot cartuchos backup: StorageTek. Elementos de red: routers, firewall, DNS, switch. PCs y porttiles: Windows 2000 Pro. Windows XP Pro.
Segmentacin del trfico en las redes. Gestin cambios en las nfraestructuras tcnicas:
o
Sistemas. Redes. Terminales.
Desarrollo y mantenimiento de sistemas y servicios. Pruebas y certificacin para la explotacin de sistemas de gestin interna. Pruebas y certificacin para la entrega y explotacin de sistemas de servicio a clientes. ____________________________________________________________________________ 98
Plan de Seguridad Integral MAKE SERVICES S. L. Gestin y respuesta a incidentes. Copias de respaldo y recuperacin. Proteccin de locales con infraestructuras tcnicas.
Todos los elementos de las infraestructuras tcnicas han de estar con la garanta de soporte tcnico y mantenimiento, si no fuera as se realizar la evolucin a nuevas versiones en el menor plazo de tiempo posible y acorde a las necesidades del negocio. La direccin Comercial colaborar con la direccin de Tecnologa y Operaciones con el procedimiento relacionado con pruebas y certificacin para la entrega y explotacin de sistemas de servicio a clientes.
____________________________________________________________________________ 99
Plan de Seguridad Integral MAKE SERVICES S. L. A continuacin se resume el conjunto de actividades previas para poner en marcha el PSI.
Figura 14. Resumen de actividades y responsabilidades del PSI por direccin.
____________________________________________________________________________ 100
5.3 Implantacin y puesta en marcha.
En el apartado anterior se han descrito las actividades de las que son responsables el director general y las direcciones funcionales de la empresa, coordinadas por el Comit de Seguridad, y cuyo objetivo es elaborar los procedimientos y guas en cada uno de los mbitos de procesos, sistemas y servicios contemplados en la normativa de seguridad, que son elementos bsicos del PSI de la empresa. La situacin de elaboracin de cada uno de los procedimientos y guas se presentarn semanalmente al Comit de Seguridad. Una vez elaborados los procedimientos y guas de seguridad se establecer el plan de implantacin progresivo de los procedimientos y las guas en cada una de las direcciones funcionales.
Uno de los objetivos del director general ser que el PSI tenga la mxima difusin entre todos los empleados. Adems de las actividades propias del Plan de Divulgacin y los medios empleados, el Comit de Seguidad pondr en marcha un nuevo portal de seguridad, accesible desde el portal de empleado, en el que se detallarn los elementos bsicos del PSI:
La poltica de la empresa en materia de seguridad y los objetivos. La normativa de seguridad y los controles establecidos. Las funciones y composicin del Comit de Seguridad. Los procedimientos y guas de seguridad en cada mbito de proceso, sistema y servicio.
A continuacin se propone una valoracin de los recursos dedicados, internos y externos, que se necesitarian para cada una de las actividades descritas y un posible cronograma de actividades. ____________________________________________________________________________ 101
5.3.1 Recursos internos.
En la tabla siguiente se detallan las actividades que requieren dedicacin exclusiva interna.
Figura 15. Resumen de recursos internos y jornadas dedicadas al PSI por direccin.
____________________________________________________________________________ 102
5.3.2 Recursos externos.
En la tabla siguiente se detallan las actividades que requieren de colaboracin externa especializada. El resto de actividades es posible realizarlas con las capacidades y dedicacin de los recursos de plantilla valorados anteriormente.
Figura 16. Resumen de recursos externos y jornadas dedicadas al PSI por direccin.
____________________________________________________________________________ 103
5.3.3 Cronograma de actividades.
La valoracin de recursos internos y externos expuesta anteriormente as como las jornadas por recurso dedicadas a cada actividad, algunas de ellas paralelas en el tiempo, permite proponer un plan de fechas de ejecucin. Una de las actividades, la elaboracin del procedimiento relativo a los planes de contingencia, se realizar en paralelo al resto de actividades, una vez concluidos los procedimientos de definicin de los activos crticos con la evaluacin y valoracin de riesgos y el de clasificacin y tratamiento de la informacin.
Figura 17. Cronograma de actividades del PSI.
____________________________________________________________________________ 104
Plan de Seguridad Integral MAKE SERVICES S. L. El procedimiento de planes de contingencia tiene una correspondencia muy estrecha con todos los procedimientos operativos y tcnicos, por eso precisa ese paralelismo hasta su elaboracin final. Se estima una duracin del proyecto de once meses. Con los periodos de descanso de Navidad y verano el desarrollo del proyecto llevara un ao.
El cronograma de actividades propuesto determina el plazo de desarrollo del PSI en lo referente a la elaboracin y disponibilidad de las metodologas y normativas de trabajo, paso previo y bsico para que toda la organizacin ponga en prctica, con esas herramientas, el nuevo modelo de gestin de los procesos, sistemas y servicios donde la aplicacin de los controles de seguridad de la normativa en los mbitos operativos y tcnicos sea la garantia de ejecucin de la nueva poltica de seguridad integral de la empresa.
5.3.4 Presupuesto.
La estimacin de costes del proyecto se hace en base a los recursos externos y las jornadas laborales dedicadas al proyecto. Segn los datos detallados en el apartado 5.3.2, se estiman un total de 967 jornadas a contratar a una empresa especializada en la seguridad de la informacin y la seguridad de las infraestructuras tcnicas de sistemas, red y terminales. En el sector de la seguridad informtica, el precio medio de jornada completa de un consultor se estima en 450 . Con ese precio de mercado, el presupuesto para el desarrollo del proyecto, en recursos externos, se estima en 435.150 .
Adems del coste externo, es preciso tener en cuenta el corresponsiente a los recursos tcnicos y operativos internos. Mientras se desarrolla el PSI no se dedican a las actividades de negocio y, en consecuencia, no producen ingresos. El precio medio de ____________________________________________________________________________ 105
Plan de Seguridad Integral MAKE SERVICES S. L. un recurso interno, en los mbitos operativo y tcnico de sistemas, es de 339 . Se ha estimado un total de 921 jornadas dedicadas por la plantilla, lo que supone un coste interno de 312.219 .
En resumen, el presupuesto para el desarrollo del PSI, con los costes internos y los recursos externos, se cifra en un total de 747.369 .
5.3.5 Entregables.
El desarrollo de PSI tiene como resultado un conjunto de entregables que, en definitiva, son las herramientas que MAKE SERVICES S. L. debe utilizar para ejecutar el PSI propuesto. La documentacin entregable ser:
1. La Poltica y normativa de seguridad de MAKE SERVICES S. L. 2. La organizacin y funciones del Comit de Seguridad. 3. El Plan de Divulgacin a los empleados de los nuevos mtodos de trabajo en la empresa para la puesta en prctica de controles de seguridad en los procesos, sistemas y servicios. 4. Los Procedimientos operativos y tcnicos que faciliten a las reas funcionales la implantacin de los cdigos de seguridad en sus mbitos de actividad. En resumen, y agrupando por mbitos operativos y tcnicos: La definicin de los activos crticos de la empresa y la evaluacin de riesgos. La clasificacin y uso de la informacin crtica para el negocio. El diseo, configuracin e instalacin de infraestructuras tcnicas. La gestin de los cambios y control de las incidencias.
____________________________________________________________________________ 106
Plan de Seguridad Integral MAKE SERVICES S. L. La gestin y control de accesos a dependencias y sistemas. La calidad en la implantacin y puesta en marcha de los servicios internos y externos. La monitorizacin de acceso y uso de los recursos. Los planes de contingencia para la continuidad del servicio y del negocio.
5.4 Cuadro de mando de gestin.
Una vez concluido el desarrollo de los procedimientos y guas que faciliten a la organizacin la aplicacin operativa de los controles y cdigos de seguridad, se hace preciso evaluar el grado de cumplimiento de la seguridad en los procesos, sistemas y servicios.
Se trata de medir, de la manera mas sencilla posible, el nivel real de puesta en prctica del PSI. Como no es posible gestionar lo que no se mide, a continuacin se hace una propuesta de cuadro de mando que, peridicamente y acorde a las directrices del Comit de Seguridad, deben completar todas las direcciones funcionales.
El cuadro de mando hace referencia a todos los controles y cdigos de seguridad y las direcciones implicadas en su gestin y/o cumplimentacin. Las direcciones responsables de cada procedimiento sern las encargadas de valorar el grado de implantacin de los controles en su rea funcional y en el resto de direcciones.
Se expone, como ejemplo, el modelo de cuadro de mando para uno de los controles, el relacionado con los activos de informacin. El mismo modelo deber extenderse a ____________________________________________________________________________ 107
Plan de Seguridad Integral MAKE SERVICES S. L. todos los controles de seguridad. El Comit de Seguridad evaluar, peridicamente, la situacin de cada uno de los controles en las reas funcionales. El objetivo es poner una fecha lmite para la puesta en prctica de todos los controles de seguridad de la normativa.
Figura 18. Ejemplo de cuadro de mando de gestin de seguridad.
El cuadro de mando propuesto facilitar al Comit de Seguridad la medida del grado de implantacin de la normativa de seguridad de una forma rpida y sencilla.
____________________________________________________________________________ 108
Captulo 6
Conclusiones
Tras haber realizado el correspondiente anlisis de la situacin de seguridad en la que se encontraba la empresa, haber diagnosticado las amenazas, riesgos y vulnerabilidades a los que dicha empresa se expona y haber propuesto un plan de seguridad para erradicar, en la medida de lo posible, cualquier situacin desaconsejable que entorpezca el buen funcionamiento de la actividad empresarial, se puede concluir que, una vez elaborado y puesto en marcha el plan de accin propuesto, hay muchos aspectos organizativos y funcionales en los que las empresas, del tipo y magnitud que sean, deben poner un nfasis mucho mayor, en lo que a la seguridad de la informacin se refiere, y tener en consideracin una serie de polticas de control que muchas veces se creen innecesarias.
Los aspectos y consideraciones a tener en cuenta para llevar a cabo una poltica de seguridad eficaz y eficiente, deben basarse en las siguientes premisas:
1. Implicar y concienciar a la alta direccin, al igual que al resto de empleados de una organizacin, de la importancia de la seguridad informtica para el buen funcionamiento del negocio. Muchas veces se precisa de mucho esfuerzo y dinero para lograr esta concienciacin pero, sin lugar a duda, toda inversin realizada en adoptar medidas preventivas, por pequeas que stas sean, nunca es suficiente si se analizan las posibles variantes, por extraas y remotas que sean, en las que puede verse envuelta una empresa tras una situacin adversa que lleve a una situacin de caos en la organizacin.
____________________________________________________________________________ 109
Plan de Seguridad Integral MAKE SERVICES S. L. 2. Ser conscientes de que las tcnicas de ataque informtico han evolucionado al mismo ritmo que lo han hecho las tecnologas. Se debe estar preparado ante posibles ataques que hace pocos aos se crean imposibles.
3. Saber cules son los riesgos y amenazas que pueden afectar a una organizacin, as como las vulnerabilidades, tanto hardware como software, que presenta dicha organizacin.
4. Debe asegurarse la confidencialidad, integridad y disponibilidad de la informacin, as como preservar la intimidad de los individuos tal y como se recoge en la Ley Orgnica de Proteccin de Datos de carcter personal.
5. La elaboracin de un plan de contingencia y continuidad del negocio es imprescindible para garantizar la actividad empresarial y asegurar el servicio a los clientes en caso de catstrofe.
En definitiva, proteger los activos crticos de la empresa y, entre ellos, la informacin clasificada, del tipo, formato y soporte donde resida, es un requisito del negocio, un imperativo tico y legal y, siempre, una obligacin de servicio al cliente.
____________________________________________________________________________ 110
Parte III ANEXOS
____________________________________________________________________________ 111
ANEXO I POLTICAS Y NORMATIVAS DE SEGURIDAD

El contenido del documento ha de contemplar los siguientes apartados:
Introduccin. Objetivos. Ambitos de aplicacin. Vigencia.
Definicin de activos crticos. Descripcin. Evaluacin de riesgos. Metodologa de anlisis de riesgos.
Organizacin y funciones de seguridad Misin. Descripcin de funciones y actividades. rganos de gestin:

o
Comit de Direccin. Comit de seguridad.
Normativas de seguridad. Objetivos.
____________________________________________________________________________ 112
Plan de Seguridad Integral MAKE SERVICES S. L. mbitos de aplicacin. Obligaciones de las reas.
Descripcin de los controles de seguridad en los mbitos de: Organizacin:

o
Obligaciones del personal. Identificacin de empleados.
Activos crticos:
o
Dependencias y oficinas. Proteccin perimetral e interna. Infraestructuras tcnicas de sistemas y redes. Configuracin de plataformas hardware y software.
Informacin. Clasificacin y uso de documentacin.
Accesos a dependencias, oficinas, infraestructuras e informacin:

o
Controles de identificacin y autenticacin. Registro y monitorizacin de uso.
Productos y servicios internos y a clientes.

o
Administracin y soporte de infraestructuras tcnicas. Desarrollo y mantenimiento de sistemas.
Contingencias y continuidad de negocio.

o
Copias de respaldo y recuperacin de sistemas y datos. Planes de contingencia.
____________________________________________________________________________ 113
Plan de Seguridad Integral MAKE SERVICES S. L. Legislacin.

o
Proteccin de datos personales. Licencias de uso productos y servicios. Propiedad intelectual.
Descripcin general de los Procedimientos y guas de seguridad mbitos de: Gestin: procesos y actividades.
en los
Operacin: configuracin, soporte y administracin de sistemas y redes y plataformas tcnicas asociadas.
____________________________________________________________________________ 114
ANEXO II PROCEDIMIENTOS Y GUAS DE SEGURIDAD

Los documentos establecern los pasos necesarios para realizar una determinada tarea con el objetivo de cumplir con uno o varios de los controles establecidos en el documento Polticas y normativas de seguridad. Los procedimientos y guas son ejecutados por personas de la organizacin y deben dejar evidencias de su cumplimiento para, en su caso, poder ser auditados. Tendrn un modelo de formato nico con los siguientes apartados:
Introduccin.
Objetivos.
Definicin de activos y elementos bsicos implicados. Inventario de procesos, sistemas, terminales e informacin. Controles aplicables de la normativa de seguridad.
Actividades y operativa para el cumplimiernto de los controles de seguridad.
Responsabilidades directas.
Relaciones con otros procedimientos y guas.
Fechas de aprobacin, vigencia y actualizacin del documento.
____________________________________________________________________________ 115
ANEXO III BIBLIOGRAFA

[SANC07] La seguridad corporativa, nuevos retos nuevas exigencias. Manuel Snchez Gmez-Melero. 2007 Biblioteca de Seguridad E. T. Estudios Tcnicos, S.A.
[INTE06]
Gua para proteger la red WIFI en la empresa. 2006 Instituto Nacional de Tecnologas de la Comunicacin.
[COMP06]
Soluciones de vanguardia adaptadas al negocio: claves tecnolgicas y claves de xito. Computing REDES&TELECOM. 2006 VNU Business publications Espaa.
[CISC06]
Seguridad en la red Cisco System. Cisco System. 2006 VNU Business publications Espaa.
[ASEN06]
Seguridad en Internet. Gonzalo Asensio. 2006 Ediciones Nowtilus, S. L.
[ALPE04]
Seguridad informtica para empresas y particulares. Gonzalo lvarez Maran, Pedro Pablo Prez Garca. 2004 McGraw-Hill / Interamericana de Espaa S.A.U.
[GCLS03]
La proteccin de datos personales en entornos Microsoft. G. Gallo, I. Coello de Portugal, F. Larrondo, H. Snchez. 2003 Microsoft Ibrica S.L.
____________________________________________________________________________ 116
Plan de Seguridad Integral MAKE SERVICES S. L. [JOHN99] Guide to High Availability. Jeannie Johnstone Kobert. 1999 Sun Microsystems, Inc.
[BIAL99]
Solaris Guide for Windows NT Administrators. Tom Bialaski. 1999 Sun Microsystems, Inc.
[ANAY97]
Construccin de una INTRANET corporativa. 1997 Ediciones Anaya Multimedia, S.A.
[WYGA96]
Clusters for High Availability. Peter S. Wygant 1996 Hewlett-Packard Company
____________________________________________________________________________ 117
ANEXO IV RECURSOS Y VALORACIN ECONMICA

Para el desarrollo del PFC se han utilizado los siguientes recursos: El ordenador porttil Fujitsu-Siemens Modelo Amilo M1425 con Sistema Operativo Microsoft Windows XP. El producto Microsoft Office 2003 (Word, Excel y Powerpoint). El servicio ADSL de conexin y acceso a Internet. La plantilla (Microsoft Office Word) de presentacin de PFCs suministrado por la UPCO-ICAI. La bibliografa detallada en el documento y conversaciones con los compaeros con experiencia en la realizacin y presentacin del PFC. Los conocimientos adquiridos en la carrera y el tiempo de lectura, consultas, elaboracin de borradores y documento final del PFC. El servicio de impresin y encuadernacin.
Figura 19. Detalle de los recursos dedicados y su valoracin econmica.
____________________________________________________________________________ 118

4 A 4329010 B 71 A

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

4 A 4329010 B 71 A

Transféré par

Droits d'auteur :

Formats disponibles

UNIVERSIDAD PONTIFICIA COMILLAS

ESCUELA TCNICA SUPERIOR DE INGENIERA (ICAI)

PROYECTO FIN DE CARRERA

PLAN DE SEGURIDAD INTEGRAL DE MAKE SERVICES S. L.

AUTOR: DAVID ALCNTARA LPEZ MADRID, JUNIO DE 2009

Plan de Seguridad Integral MAKE SERVICES S. L.

A todos ellos, muchas gracias.

Plan de Seguridad Integral MAKE SERVICES S. L.

El sabio busca en s lo que anhela; el necio lo busca en los dems.

Plan de Seguridad Integral MAKE SERVICES S. L.

RESUMEN DEL PROYECTO

Plan de Seguridad Integral MAKE SERVICES S. L.

Plan de Seguridad Integral MAKE SERVICES S. L.

Plan de Seguridad Integral MAKE SERVICES S. L.

Plan de Seguridad Integral MAKE SERVICES S. L.

1.1 Estado del arte.

1.2 Trabajos anteriores.

1.3 Motivacin del proyecto.

Las principales motivaciones que llevaron a desarrollar este PFC son:

Plan de Seguridad Integral MAKE SERVICES S. L.

Figura 1. Estructura de procesos del Proyecto Fin de Carrera.

Plan de Seguridad Integral MAKE SERVICES S. L.

Escenario del proyecto

Plan de Seguridad Integral MAKE SERVICES S. L.

2.4 Organizacin y recursos.

Figura 3. Recursos internos por direcciones funcionales.

Plan de Seguridad Integral MAKE SERVICES S. L.

2.5 Sistemas de gestin.

2.6 Arquitectura tecnolgica.

Figura 4. Infraestructuras tecnolgicas de sistemas de informacin.

CONEXIN EN RED LOCAL E INALMBRICA

CONEXIN EN RED LOCAL E INALMBRICA

Oficinas Zona Norte

Oficinas Zona Este

CONEXIN EN RED LOCAL E INALMBRICA

CONEXIN EN RED LOCAL E INALMBRICA

Oficinas Zona Sur

Oficinas Zona Oeste

SERVIDORES APLICACIONES DE NEGOCIO

Plan de Seguridad Integral MAKE SERVICES S. L.

2.7 Cifras de negocio.

Figura 6. Distribucin de la facturacin por reas de actividad.

Plan de Seguridad Integral MAKE SERVICES S. L.

Plan de Seguridad Integral MAKE SERVICES S. L.

2.8 Inventario de infraestructuras tcnicas.

Figura 8. Resumen del inventario de las infraestructuras tcnicas centrales (Hardware).

Figura 9. Resumen del inventario de ordenadores personales.

Figura 10. Esquema de las infraestructuras de red.

Plan de Seguridad Integral MAKE SERVICES S. L.

Plan de Seguridad Integral MAKE SERVICES S. L.

2.9 Servicios informticos.

2.10 Copias de respaldo.

Figura 12. Cuadro resumen de las copias de respaldo.

Plan de Seguridad Integral MAKE SERVICES S. L.

2.11 Vigilancia y proteccin de dependencias.

La elaboracin y emisin de las tarjetas de identificacin de empleados, internos y externos.

Plan de Seguridad Integral MAKE SERVICES S. L.

3.2 Anlisis de riesgos.

Plan de Seguridad Integral MAKE SERVICES S. L.

3.3 Estructura organizativa.

3.4 Seguridad de las infraestructuras tcnicas.

Plan de Seguridad Integral MAKE SERVICES S. L.

3.5 Seguridad de la informacin.