Upload
doandieu
View
214
Download
0
Embed Size (px)
Citation preview
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA (ICAI)
INGENIERO EN INFORMÁTICA
PROYECTO FIN DE CARRERA
PLAN DE SEGURIDAD INTEGRAL
DE MAKE SERVICES S. L.
AUTOR: DAVID ALCÁNTARA LÓPEZ
MADRID, JUNIO DE 2009
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ I
A mi familia por su ilusión,
a Leticia por los momentos compartidos,
a mis compañeros y amigos por las experiencias vividas,
a Mateo por su confianza y tiempo.
Mención especial a mis padres,
por su cariño, dedicación y entrega,
cuyo apoyo me sirve para mejorar como persona,
y sus consejos para superar los retos que me plantea la vida.
A todos ellos, muchas gracias.
David.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ II
El sabio busca en sí lo que anhela;
el necio lo busca en los demás.
Confucio.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ III
RESUMEN DEL PROYECTO
El Plan de Seguridad Integral (PSI) diseñado en el presente documento es el
resultado de la realización de un exhaustivo análisis de una empresa del sector de las
telecomunicaciones con un único objetivo claramente diferenciado: evaluar el nivel
de seguridad de los datos, procesos e infraestructuras en los que se sustenta dicha
empresa.
En primer lugar, y para saber dónde y cómo posicionarse ante el desarrollo de un
plan de seguridad de tanta envergadura, se ha llevado a cabo un estudio en
profundidad sobre la actividad empresarial que desarrolla la compañía, su ubicación,
su estructura y organización, sus procesos operativos y de negocio, así como los
métodos y herramientas de seguridad, tanto física como lógica, que están
implantados en la empresa para combatir las amenazas a las que está expuesta.
Una vez identificada la metodología, inadeacuada, que se sigue para garantizar la
seguridad de la empresa, se ha realizado un análisis de la situación actual de
seguridad de la empresa y se han identificado los riesgos que corre la compañía con
los métodos de seguridad vigentes, del mismo modo que se han identificado posibles
amenazas que pudiesen afectar al desarrollo normal de su actividad. Llegados a este
punto, se ha elaborado un plan de seguridad con el que se pretende mitigar aquellos
riesgos y vulnerabilidades, a la vez que se garantiza la continuidad del negocio ante
situaciones desfavorables, tales como incendios o cualquier otro tipo de catástrofe.
El plan propuesto debe tener la obligación, tanto legal como moral, de garantizar los
tres pilares básicos en los que se sustenta la seguridad de la información:
confidencialidad, integridad y disponibilidad de la información. Es por ello que se
han seguido una serie de pautas, de obligado cumplimiento por la ley, con el objetivo
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ IV
de preservar la identidad de todas aquellas personas que pueden verse afectadas por
el mal uso y/o tratamiento de la información de que dispone la empresa.
Por último, se ha analizado la viabilidad y puesta en marcha del plan propuesto,
analizando los recursos económicos, tecnológicos y humanos que son necesarios para
lograr la implantación del plan de seguridad en la compañía estudiada.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ V
ABSTRACT
The Comprehensive Security Plan (CSP) drawn up in the present document is the
result of a complex analysis performed in a telecommunication company in order to
evaluate the security level of the data, processes and infrastructure which supports
the company.
First of all, it is necessary to identify the company´s activity as well as its location and
business structure, in order to get an overview of its market share and try to evaluate
the results of the security methods introduced in the company and how they are
working to keep the company safe from any external or internal threats that the
organization is exposed to.
As soon as the wrong security methodology plan is identified, it is necessary to
scrutinize all of the different business processes to know how vulnerable they are to
the theats and risks the company may take, as well as the impact they may produce
in case they occur.
At this point, a revision of a security plan is required in order to eradicate, in the
most efficient way possible, the risks and vulnerabilities already detected and try to
maintain the continuity and stability of the company in case any disaster happens.
The suggested security plan must have the moral and legal obligation of
guaranteeing the Confidentiality, Integrity and Availability (CIA) of the company´s
information, just as any personal identity should not be revealed if there is a
fraudulent usage of this confidential information.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ VI
In the last phase of the plan, a feasibility study must be made in order to identify
which economic, technological and human resources are necessary to introduce this
plan in the company.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ VII
ÍNDICE
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ VIII
Índice
Parte I Memoria .............................................................................................1
Capítulo 1 Introducción...................................................................................2
1.1 Estado del arte......................................................................................2
1.2 Trabajos anteriores. .............................................................................5
1.3 Motivación del proyecto.....................................................................6
1.4 Objetivo.................................................................................................7
1.5 Metodología. ........................................................................................9
Capítulo 2 Escenario del proyecto ...............................................................11
2.1 Introducción. ......................................................................................11
2.2 Ámbito. ...............................................................................................11
2.3 Localización........................................................................................12
2.4 Organización y recursos. ..................................................................13
2.5 Sistemas de gestión. ..........................................................................15
2.6 Arquitectura tecnológica. .................................................................15
2.7 Cifras de negocio. ..............................................................................17
2.7.1 Gastos. ........................................................................................17
2.7.2 Ingresos. .....................................................................................19
2.8 Inventario de infraestructuras técnicas. ........................................20
2.9 Servicios informáticos. ......................................................................23
2.10 Copias de respaldo..........................................................................25
2.11 Vigilancia y protección de dependencias. ...................................27
Capítulo 3 Situación de la seguridad...........................................................28
3.1 Introducción. ......................................................................................28
3.2 Análisis de riesgos.............................................................................28
3.3 Estructura organizativa. ...................................................................30
3.4 Seguridad de las infraestructuras técnicas. ...................................31
3.5 Seguridad de la información............................................................33
3.6 Planes de contingencia......................................................................33
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ IX
Parte II Plan de seguridad............................................................................35
Capítulo 4 Políticas y normativas...............................................................36
4.1 Introducción. ......................................................................................36
4.2 Acciones estratégicas. .......................................................................37
4.3 Política de seguridad.........................................................................38
4.3.1 Activos críticos. .........................................................................38
4.3.2 Organización y funciones........................................................39
4.3.3 Normativa de seguridad. ........................................................40
4.3.3.1 Ámbitos de aplicación.....................................................41
4.3.3.2 Controles de la normativa. .............................................42
4.3.3.3 Análisis y gestión de riesgos. .........................................43
4.3.3.4 Obligatoriedad. ................................................................44
4.3.3.5 Metodología......................................................................45
4.3.3.6 Controles de seguridad...................................................49
4.3.3.6.1 OP100 Organización. ..............................................49
4.3.3.6.2 IR100 Activos críticos. ............................................50
4.3.3.6.3 OB100 Obligaciones del personal. ........................51
4.3.3.6.4 AI100 Activos de información. .............................55
4.3.3.6.5 IE100 Identificación de empleados.......................58
4.3.3.6.6 AA100 Accesos a dependencias y sistemas. .......61
4.3.3.6.7 AC100 Auditoría e inspección. .............................62
4.3.3.6.8 IT100 Sistemas, redes y terminales.......................64
4.3.3.6.9 LS100 Licencias de software..................................72
4.3.3.6.10 DM100 Desarrollo y mantenimiento..................73
4.3.3.6.11 CR100 Copias de respaldo...................................75
4.3.3.6.12 GS100 Gestión de soportes externos. .................76
4.3.3.6.13 CN100 Continuidad de negocio. ........................78
4.3.3.6.14 SF100 Seguridad física..........................................81
4.3.3.6.15 CL100 Legislación. ................................................83
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ X
4.3.3.7 Procedimientos y guías de seguridad...........................86
4.3.3.8 Estándares ISO/IEC 27002:2005 y COBIT 4.0..............88
Capítulo 5 Plan de acción..............................................................................90
5.1 Introducción. ......................................................................................90
5.2 Descripción de actividades. .............................................................91
5.2.1 Comité de Dirección.................................................................91
5.2.2 Comité de Seguridad. ..............................................................92
5.2.3 Direcciones funcionales. ..........................................................95
5.3 Implantación y puesta en marcha. ................................................101
5.3.1 Recursos internos...................................................................102
5.3.2 Recursos externos. ..................................................................103
5.3.3 Cronograma de actividades. .................................................104
5.3.4 Presupuesto. ............................................................................105
5.3.5 Entregables. .............................................................................106
5.4 Cuadro de mando de gestión.........................................................107
Capítulo 6 Conclusiones ..............................................................................109
Parte III Anexos.............................................................................................111
ANEXO I POLÍTICAS Y NORMATIVAS DE SEGURIDAD .............................112
ANEXO II PROCEDIMIENTOS Y GUÍAS DE SEGURIDAD.............................115
ANEXO III BIBLIOGRAFÍA. .......................................................................116
ANEXO IV RECURSOS Y VALORACIÓN ECONÓMICA................................118
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 1
Parte I MEMORIA
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 2
Capítulo 1 Introducción
1.1 Estado del arte.
La seguridad no es una disciplina de todo o nada. No existen sistemas 100% seguros.
Partiendo de estas dos premisas y sabiendo que el riesgo no puede eliminarse
completamente, pero puede reducirse drásticamente, se puede empezar a abordar el
tema de la seguridad informática como una utopía distópica necesariamente
alcanzable para cualquier empresa.
La seguridad de la información es una disciplina que se ocupa de gestionar el riesgo
dentro de los sistemas informáticos. Dicho de otro modo, mediante la aplicación de
sus principios, se implantarán en los sistemas informáticos las medidas capaces de
contrarrestar las amenazas a que se encuentran expuestos los activos de la
organización: la información y los elementos hardware y software que la soportan.
No se trata de implantar sin ton ni son medidas de seguridad, sino de evaluar los
riesgos reales a los que la información está expuesta y mitigarlo mediante la
aplicación de las medidas necesarias y en el grado adecuado, con el fin de satisfacer
las expectativas de seguridad generadas.
Resulta ilusorio creer que los riesgos pueden eliminarse por completo, en su lugar
deben reducirse a niveles aceptables. La determinación de este nivel dependerá en
gran medida de los objetivos concretos que se plantee la organización, del valor de
sus activos, de su dimensión y presupuesto de seguridad. Lo más sorprendente es,
por raro que parezca, que esta reducción del riesgo se puede conseguir con muy poco
esfuerzo y una modesta inversión. Es importante resaltar que, contrariamente a lo
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 3
que se suele pensar, ni todas las amenazas de seguridad se deben a ataques
maliciosos ni todos los ataques provienen del exterior, es por ello que no todas las
medidas de seguridad ni las más importantes deben basarse en la tecnología y por
tanto en la adquisición de software o hardware de seguridad, sino también en la
organización de tareas y responsabilidades, en la gestión racional de procesos y en la
formación y concienciación del personal.
La seguridad de la información requiere un enfoque holístico, que implique la
participación coordinada de la tecnología, personas y operaciones.
Con la seguridad informática en pleno auge, muchas empresas están empezando a
adoptar medidas preventivas para hacer frente a los riesgos y amenazas a los que
están expuestos y así poder garantizar, en primer lugar, la continuidad del negocio
en caso de producirse cualquier contratiempo y, en segundo lugar, la satisfacción de
los usuarios y clientes ante las expectativas generadas en torno a unos sistemas e
infraestructuras totalmente automatizados en los que se debe garantizar la
confidencialidad, integridad y disponibilidad de la información que por ellos circula.
El objetivo de la seguridad de la información no es conseguir sistemas 100% seguros,
espejismo imposible de alcanzar, sino sistemas tan seguros como sea necesario para
proteger los activos con un nivel que se corresponda con las expectativas creadas. En
definitiva, la seguridad de la información trata de proteger activos, tanto tangibles,
como por ejemplo un disco duro o una base de datos con información confidencial
sobre los clientes, como intangibles, como por ejemplo la reputación, la privacidad o
el nombre de la marca.
Deben implantarse y llevarse a cabo una serie de directrices, obligaciones y
responsabilidades en la alta dirección de la empresa que permitan el análisis, la
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 4
planificación y la definición de unos objetivos de seguridad que colaboren para que
las medidas adoptadas se implanten correctamente y no dificulten las expectativas de
seguridad. Como resultado, se disminuye el riesgo cumpliéndose las expectativas de
seguridad. Se trata de un proceso iterativo, hasta que las expectativas se vean
siempre cumplidas, con el mínimo coste de tiempo y dinero, a la vez que se garantiza
la operación normal del negocio; al fin y al cabo, el objetivo último y prioritario de la
seguridad es que la organización pueda cumplir su misión.
Para que las medidas de seguridad que una empresa debe llevar a cabo estén bien
definidas y surjan efecto, previamente debe analizarse cada uno de los procesos de
negocio de la organización, su cadena de valor, su estructura, su funcionamiento,
etc., ya que deben analizarse cada uno de los eslabones que componen la
organización y ver sus vulnerabilidades y amenazas para poder actuar sobre todos
ellos, sin dejar ninguno de ellos al margen por muy pequeño o irrelevante que sea,
teniendo presente que la cadena siempre se rompe por el eslabón más débil.
Si se quiere alcanzar un nivel de seguridad aceptable, siempre según unas
expectativas realistas, deben localizarse los eslabones más débiles y fortalecerlos. Si la
cadena tiene mil eslabones, basta que uno sólo sea débil, para que se rompa por él.
Que un intruso lo encuentre, será cuestión de tiempo o de suerte, pero debe asumirse
que tarde o temprano será descubierto. No sirve de nada aumentar más aún la
seguridad de los eslabones más fuertes. Mientras sigan existiendo eslabones débiles,
la seguridad global del sistema será idéntica.
Una vez rota la cadena, las medidas reactivas para mitigar la situación de
inseguridad a la que está expuesta una organización, suponen una fuerte inversión
de tiempo, dinero y esfuerzo que muchas empresas no están preparadas para ello y
ven ralentizada su actividad, pero que a su vez les hacen ver que la seguridad es un
área en la que deben realizar un mayor hincapié, tanto económico como de
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 5
formación y concienciación de los empleados y directivos. En cualquier caso, la
máxima “más vale prevenir que curar” resulta esencial para preservar la integridad
de cualquier organización, por muy pequeña que ésta sea.
Partiendo de las premisas expuestas, a continuación se describe la situación en la que
se encuentra la seguridad de las infraestructuras de sistemas y red de la empresa de
servicios informáticos MAKE SERVICES S. L. y, como consecuencia, la seguridad de
la información que almacenan y procesan.
Adicionalmente, y para completar el trabajo, también se hace mención a la situación
de la seguridad física de las oficinas y dependencias para incorporar las medidas
oportunas en este ámbito al Plan de Seguridad Integral que se propone en este
trabajo.
1.2 Trabajos anteriores.
La seguridad de la información es una materia que se ha tratado en diversos
Proyectos Fin de Carrera, desde ahora PFCs, a lo largo de los últimos años y desde
diferentes puntos de vista, pero con un único objetivo común: asegurar la
confidencialidad, integridad y disponibilidad de la información.
Bajo la dirección de Don Mateo Camps Llufríu se han llevado a cabo PFCs de distinta
índole, pero siempre con la seguridad de la información como tema principal.
En junio de 2006 se presentó un plan de contingencia ante una catástrofe que
aseguraba la continuidad del negocio de una empresa que ofrecía los servicios de un
Centro de Proceso de Datos (CPD) a sus clientes, en el que se detallaban los pasos y
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 6
políticas a seguir por una empresa cuyo objetivo es garantizar el servicio a sus
clientes ante una situación desfavorable, como puede ser la pérdida de cierta
información ante una catástrofe natural. Al año siguiente se volvió a presentar otro
PFC en el que se elaboró otro plan de contingencia, pero esta vez concretando para
una empresa del sector de seguros. Ya en otro PFC presentado en septiembre del año
pasado se abordó el tema de la seguridad en Internet y las medidas de seguridad
existentes en aquellos negocios dedicados al comercio electrónico.
Los otros PFCs relacionados con la seguridad de la información tienen como
escenario pequeñas empresas en las que las medidas de seguridad, o bien brillan por
su ausencia, o bien son, en muchos casos, insuficientes.
Ante esta situación se elaboró un plan de seguridad específico para cada una de ellas,
centrándose en gran parte en las medidas a adoptar tras una situación adversa que
no permita el buen funcionamiento del negocio.
1.3 Motivación del proyecto.
Ante la situación descrita anteriormente se decidió, en el mes de enero, llevar a cabo
un plan de seguridad de una empresa del sector de las telecomunicaciones en el que
se describiesen tanto las políticas y medidas preventivas que debe llevar a cabo
cualquier empresa, sin importar la magnitud de la misma, como las políticas y
medidas reactivas ante una situación contraria al buen desarrollo del negocio.
Las principales motivaciones que llevaron a desarrollar este PFC son:
• En primer lugar, la obtención del título de Ingeniero en Informática de la
Universidad Pontificia Comillas de Madrid ICAI - ICADE.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 7
• En segundo lugar, tratar de entender lo mejor posible, ante la inminente
entrada en el mundo laboral, la estructura y funcionamiento de una empresa:
organización, recursos, balance económico, servicios, seguridad, etc. En
definitiva, recorrer una empresa por todas sus áreas funcionales y tratar de
relacionar y entender los conceptos estudiados a lo largo de la carrera en una
empresa del mundo real.
• Por último, se trata de ver la importancia de los procedimientos y normativas
de seguridad para garantizar la continuidad de los procesos y sistemas de la
empresa y la continuidad del negocio.
Como curiosidad, decir que otro de los hechos que han llevado a desarrollar este
PFC, es lograr el objetivo de establecer una Red de Área Local (RAL) segura ante
posibles ataques a través de Internet y tratar de proteger a un usuario convencional,
no experto en la materia, ante posibles fraudes y virus transmitidos por la red
Internet.
1.4 Objetivo.
A partir de los datos suministrados por una empresa, que por motivos de
confidencialidad no se detallan los relativos a su localización y a sus clientes, se
expone la situación de la seguridad en sus procesos, sistemas y servicios de negocio,
y se propone un Plan de Seguridad Integral para proteger sus activos y prevenir
riesgos en los servicios y el negocio.
Los datos de la empresa sirven de base para construir un nuevo escenario de gestión
de los procesos y sistemas basado en la puesta en práctica de medidas de seguridad
que mejoren la situación de la seguridad. La empresa, que a partir de ahora se
denominará MAKE SERVICES S. L., se dedica a la prestación de servicios de
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 8
consultoría, soporte técnico, administración y formación en sistemas informáticos
empresariales a nivel estatal.
Las oficinas centrales de la empresa están situadas en Madrid y, además, tiene cuatro
delegaciones que atienden al mercado local de las zonas Norte, Sur, Este y Oeste del
Estado. La empresa, con un total de 175 empleados, 80 clientes y una facturación
anual de 20 millones de Euros, ha solicitado un Plan de Seguridad Integral de las
oficinas y las infraestructuras técnicas y de comunicaciones que usan los empleados y
atienden el servicio a los clientes.
El Plan de Seguridad Integral, en adelante PSI, ha de proponer las políticas,
normativas, procedimientos y operaciones que se han de poner en práctica para
proteger a las personas y los activos, prevenir los riesgos operacionales y dar
continuidad al servicio prestado a los clientes en caso de contingencia.
Para elaborar el PSI la empresa ha proporcionado datos de la organización y de las
infraestructuras informáticas y de comunicaciones utilizadas por los empleados y los
clientes. La situación de la empresa se describe en el Capítulo 2.
El núcleo básico del trabajo está relacionado con la seguridad informática de la
empresa, con la organizazión, los procesos, los sistemas y las infraestructuras
técnicas que los soportan y con la información que procesan. Se ha complementado
con la seguridad física de oficinas y dependencias.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 9
1.5 Metodología.
En este apartado se describirán la metodología y los pasos seguidos para elaborar el
PSI propuesto a la empresa de servicios informáticos MAKE SERVICES S. L. para su
implantación y puesta en práctica. La metodología seguida para desarrollar dicho
plan ha sido la siguiente:
1. Realizar la descripción de la empresa a estudiar de la forma más completa y
detallada posible: ámbito de actividades, estructura organizativa y de
sistemas, políticas y medidas implantadas, volumen de negocio, etc.
Figura 1. Estructura de procesos del Proyecto Fin de Carrera.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 10
2. Evaluar las lagunas de seguridad detectadas en la empresa.
3. Definir una política de seguridad con una misión concreta y unos recursos
determinados, una organización bien definida, unas funciones y normativas
basadas en unos estándares internacionales que permitan, y logren, mejorar la
situación actual.
4. Elaborar la normativa de seguridad a seguir, con sus respectivos controles,
para ponerla en marcha.
5. Detallar los controles de seguridad que se llevarán a cabo para cada ámbito de
proceso, servicio y sistema que, posteriormente, ayudarán a auditar y evaluar
la situación de seguridad.
6. Proponer un Plan de Implantación y Puesta en Marcha que garantice, en la
medida de lo posible, la seguridad de la empresa y cumpla con las
expectativas creadas.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 11
Capítulo 2 Escenario del proyecto
2.1 Introducción.
El objeto de este capítulo es presentar la actividad empresarial de la compañía MAKE
SERVICES S. L. en sus aspectos organizativos, técnicos, económicos y de servicio.
La empresa comenzó sus actividades de prestación de servicios de consultoría,
soporte técnico y administración de sistemas informáticos empresariales en el año
1996, cuando los servicios de “Outsourcing” en todos los sectores de la industria en
España, y en particular en el de tecnologías de la información y la comunicación,
comenzaban su despegue, después de su implantación en EEUU y resto de países de
Europa Occidental. El concepto de servicio informático comenzó a ser una realidad
como evolución al tradicional de soporte técnico de sistemas, habitual en las grandes
empresas, y desarrollo de aplicaciones.
En la actualidad los servicios en sistemas de información abarcan todo el espectro de
actividades: consultoría, desarrollo, mantenimiento, soporte técnico, administración
y operaciones en todo el ámbito de las infraestructuras de los centros de datos:
servidores, sistemas, redes de comunicaciones y terminales.
2.2 Ámbito.
La empresa ofrece servicios informáticos a empresas medias y corporaciones en los
ámbitos de desarrollo, explotación y soporte técnico de sistemas:
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 12
• Proyectos de consultoría y desarrollo de sistemas y servicios.
• Consultoría en gestión de contratos y servicios.
• Asesoramiento en arquitectura e ingeniería de sistemas.
• Asesoría en procesos, sistemas, aplicaciones y servicios.
• Configuración e instalación de sistemas.
• Soporte técnico y mantenimiento de sistemas y aplicaciones.
• Administración de bases de datos.
• Asignación de técnicos y operadores en los clientes.
• Formación especializada en ámbitos técnicos y operativos.
2.3 Localización.
Las oficinas y dependencias, en régimen de alquiler, están localizadas en uno de los
principales parques industriales de la Comunidad de Madrid. Ocupan un total de
1.360 m2 en un edificio de 5 plantas (sótano, planta baja y tres pisos) distribuidos en
despachos, salas de reuniones, oficinas, aulas de formación, zonas comunes de
reprografía, salas de descanso con máquinas de “vending” y almacenes de material
de oficina y técnico. Dispone de un aparcamiento en la planta sótano. Las
infraestructuras técnicas informáticas están localizadas en la planta baja del edificio.
La empresa dispone de cuatro oficinas en las zonas Norte, Sur, Este y Oeste del
Estado con 60 m2 cada una donde una pequeña delegación, de dos personas, atiende
el mercado local. La sede central dispone de una red de área local para los servicios
informáticos internos. Las sedes locales tienen conectividad y accesibilidad remota a
través de los servicios de red de banda ancha contratados a una operadora de
telecomunicaciones de implantación nacional.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 13
2.4 Organización y recursos.
La compañía dispone de un capital humano con alta cualificación técnica y operativa.
Está gestionada por un Director General con un equipo de cinco Directores que
componen el Comité de Dirección con carácter ejecutivo.
Figura 2. Estructura organizativa de la empresa.
La mayor parte de la plantilla de las áreas comercial, tecnología y operaciones
dedicada al servicio a clientes son licenciados y titulados de grado medio de
Ingeniería, básicamente Informática, Organización Industrial y Telecomunicaciones.
La plantilla también tiene titulados en Económicas y Administración y Dirección de
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 14
Empresas, para las áreas financiera, presupuestos, control de gestión, facturación,
cobros y contabilidad.
El área de Recursos Humanos se nutre de titulados en Derecho con formación en
Relaciones Laborales. El personal administrativo es seleccionado por sus
conocimientos y experiencia en herramientas ofimáticas, gestión documental y
gestión de proyectos.
Figura 3. Recursos internos por direcciones funcionales.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 15
2.5 Sistemas de gestión.
Los procesos internos utilizan sistemas informáticos que han evolucionado hacia un
modelo transaccional basado en la tecnología Web Server. La conexión y acceso a los
servicios y aplicaciones, ubicadas en un pequeño centro de datos de la sede central
con servidores conectados en Red de Área Local, se hace mediante un portal
corporativo en el que es preciso identificarse mediante código de usuario y clave. En
el portal corporativo hay conexiones a todos los servicios comunes: correo
electrónico, directorios, gestión documental e impresión y a las aplicaciones de
gestión que utilizan cada una de las áreas de la organización.
Se dispone de un equipamiento externo a los servidores de aplicaciones y datos para
la realización de copias de seguridad en discos y soportes magnéticos. Las oficinas
zonales disponen de un equipamiento local con conectividad y accesibilidad, en red
privada virtual (VPN), a los sistemas ubicados en la sede central. La red de área local
central tiene salida a Internet.
La gestión administrativa está basada en herramientas ofimáticas instaladas en los
terminales (ordenadores de sobremesa y portátiles) que tienen conectividad a
servidores de datos comunes accesibles por los empleados acorde a criterios de
autorización de cada área.
2.6 Arquitectura tecnológica.
Los servicios se ofrecen en dos modalidades: la presencia física permanente de los
recursos en las instalaciones del cliente acorde a la demanda establecida en cada
proyecto y el desarrollo de servicios o asesoría que se realiza desde las instalaciones
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 16
centrales. Los directores, gerentes, jefes y personal técnico y operativo utilizan
ordenadores portátiles que conectan a la red de área local en las oficinas. Las
personas de soporte administrativo utilizan ordenadores de sobremesa.
El soporte técnico y operativo de los sistemas internos con los servicios comunes de
correo, documentación y aplicaciones de gestión se realiza en la sede central. Todo el
equipamiento informático de gestión de la empresa reside en las instalaciones
centrales. En el gráfico siguiente se expone, de manera sucinta, el esquema de red de
servidores y terminales que utiliza la organización:
Figura 4. Infraestructuras tecnológicas de sistemas de información.
SERVIDORES SERVIDORES
APLICACIONES DE NEGOCIOAPLICACIONES DE NEGOCIODIRECTORIOS CORREODIRECTORIOS CORREO
Internet
PORTALPORTAL
ALMACENAMIENTO / ALMACENAMIENTO / BACKUPBACKUP’’ss
ROUTERROUTER
FIREWALLFIREWALL
GESTOR GESTOR
DOCUMENTALDOCUMENTAL
ROUTERROUTER
FIREWALLFIREWALL
WAN
RAL
PCPC´́ss
CONEXIÓN EN RED LOCAL E
INALÁMBRICA
PCPC´́ss
CONEXIÓN EN RED LOCAL E
INALÁMBRICA
PCPC´́ss
CONEXIÓN EN RED LOCAL E
INALÁMBRICA
PCPC´́ss
CONEXIÓN EN RED LOCAL E
INALÁMBRICA
PCPC´́ss
CONEXIÓN EN RED LOCAL E
INALÁMBRICA
PCPC´́ss
CONEXIÓN EN RED LOCAL E
INALÁMBRICA
PCPC´́ss
CONEXIÓN EN RED LOCAL E
INALÁMBRICA
PCPC´́ss
CONEXIÓN EN RED LOCAL E
INALÁMBRICA
SEDE CENTRAL
Oficinas Zona Norte
Oficinas Zona Este
Oficinas Zona Sur
Oficinas Zona Oeste
WAN
FILE & PRINTFILE & PRINT
CONEXICONEXIÓÓN EN RED LOCAL N EN RED LOCAL
E INALAMBRICAE INALAMBRICA
./.. ./..
SERVIDORES SERVIDORES
APLICACIONES DE NEGOCIOAPLICACIONES DE NEGOCIODIRECTORIOS CORREODIRECTORIOS CORREO
Internet
PORTALPORTAL
ALMACENAMIENTO / ALMACENAMIENTO / BACKUPBACKUP’’ss
ROUTERROUTER
FIREWALLFIREWALL
GESTOR GESTOR
DOCUMENTALDOCUMENTAL
ROUTERROUTER
FIREWALLFIREWALL
WAN
RAL
PCPC´́ss
CONEXIÓN EN RED LOCAL E
INALÁMBRICA
PCPC´́ss
CONEXIÓN EN RED LOCAL E
INALÁMBRICA
PCPC´́ss
CONEXIÓN EN RED LOCAL E
INALÁMBRICA
PCPC´́ss
CONEXIÓN EN RED LOCAL E
INALÁMBRICA
PCPC´́ss
CONEXIÓN EN RED LOCAL E
INALÁMBRICA
PCPC´́ss
CONEXIÓN EN RED LOCAL E
INALÁMBRICA
PCPC´́ss
CONEXIÓN EN RED LOCAL E
INALÁMBRICA
PCPC´́ss
CONEXIÓN EN RED LOCAL E
INALÁMBRICA
SEDE CENTRAL
Oficinas Zona Norte
Oficinas Zona Este
Oficinas Zona Sur
Oficinas Zona Oeste
WAN
FILE & PRINTFILE & PRINT
CONEXICONEXIÓÓN EN RED LOCAL N EN RED LOCAL
E INALAMBRICAE INALAMBRICA
./.. ./..
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 17
2.7 Cifras de negocio.
El cuadro siguiente detalla, de forma sucinta, la relación de costes internos anuales
clasificados por cuatro grandes áreas: salarios, gastos generales, alquileres y
mantenimiento de infraestructuras técnicas de sistemas informáticos y red de
telecomunicaciones.
2.7.1 Gastos.
Figura 5. Resumen de los costes internos de la empresa.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 18
La relación de empresas cliente, así cómo la facturación de servicios es orientativa y
sólo obedece al objetivo del trabajo, que es situar, como referencia, el escenario de
negocio de la empresa y acometer el PSI, objetivo del proyecto.
Para los clientes se ha tomado como referencia las empresas que, a 24 de abril de
2009, cotizaban en Bolsa Española tanto en el IBEX 35 como en el mercado continuo.
Figura 6. Distribución de la facturación por áreas de actividad.
En la página siguiente se detallan los ingresos, por cada uno de los 80 clientes,
ordenados por orden alfabético y la facturación en los seis ámbitos de negocio de la
empresa: consultoría de sistemas, asesoría de procesos y sistema, desarrollo de
servicios en ámbitos de servidores medios, soporte técnico bajo demanda, recursos
temporales en los clientes y formación.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 19
2.7.2 Ingresos.
Figura 7. Detalle de la facturación anual por clientes y áreas de actividad.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 20
2.8 Inventario de infraestructuras técnicas.
En los gráficos siguientes se detalla, de forma resumida, el inventario de
equipamiento hardware y software dedicado a la gestión interna y al desarrollo de
sistemas a los clientes. El equipamiento, el último se compró en el ejercicio 2.003, está
amortizado.
Figura 8. Resumen del inventario de las infraestructuras técnicas centrales (Hardware).
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 21
Una parte importante del equipamiento está fuera del periodo de mantenimiento
establecido por los suministradores, lo que implica que las incidencias se resuelven a
nivel interno y/o con la ayuda de terceros.
Figura 9. Resumen del inventario de ordenadores personales.
Los ordenadores de sobremesa y portátiles tienen instaladas herramientas ofimáticas:
Microsoft Office 2003 y Microsoft Project, Lotus Notes (correo electrónico), Adobe
Acrobat, Antivirus McAfee y software de acceso, en red privada virtual, a los
sistemas de gestión centrales.
Figura 10. Esquema de las infraestructuras de red.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 22
Figura 11. Resumen del inventario de infraestructuras técnicas centrales (Software).
La empresa cuenta con servicios de telecomunicaciones de voz y datos contratados a
una operadora con implantación estatal. Las oficinas disponen de equipos
multifunción de impresión, fax y escáner conectados en red para uso compartido y
ubicados en las zona comunes.
Los ordenadores personales, de sobremesa y portátiles, no tienen sistemas de
seguridad que impidan la copia, no autorizada, de archivos y documentos críticos de
la empresa a soportes externos. Tampoco disponen de herramientas que faciliten el
cifrado de registros en los discos internos o externos.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 23
2.9 Servicios informáticos.
Los servicios informáticos están basados en herramientas ofimáticas de mercado y en
aplicaciones de gestión desarrolladas internamente. La gestión administrativa está
soportada por Microsoft Office 2003 (PowerPoint, Word, Access, Excel). El aplicativo
Adobe Acrobat es utilizado por el área Comercial para la presentación de
documentación de los proyectos y ofertas a clientes y por todas las áreas para los
informes internos que circulan dentro de la empresa.
El equipo de Tecnología y Operaciones utiliza el producto Microsoft Project para la
elaboración y seguimiento de los planes de proyectos y servicios en todos los
ámbitos. Es norma de la empresa que todo proyecto y/o servicio contratado y en
desarrollo tenga el documento de plan de proyecto accesible por todas las áreas
implicadas en el mismo. El correo electrónico interno está basado en la aplicación
Lotus Notes que facilita, además, un servicio de mensajería instantánea. El acceso
remoto al correo se realiza a través de red privada virtual utilizando las capacidades
de Banda Ancha ADSL contratadas a la operadora de telecomunicaciones.
La gestión documental está basada en un producto que data de los comienzos de la
actividad de la empresa. Toda la documentación de la empresa en todos los ámbitos
de la gestión, está digitalizada y almacenada en un servidor dedicado. El acceso a los
documentos se realiza acorde a las demandas de cada área. No existe un
procedimiento de clasificación de la información y autorizaciones de uso,
distribución y destrucción. Cada área funcional actúa acorde a sus criterios.
Las aplicaciones para la gestión interna (Recursos Humanos, Comercial, Facturación,
Cobros, Tesorería, etc.) fueron desarrolladas internamente acorde a los
requerimientos de cada área. Han evolucionado desde un escenario inicial, basado en
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 24
aplicaciones locales, hacia un modelo en el que todas las aplicaciones son accesibles a
través de “Browser” (Microsoft Explorer). Los sistemas se desarrollaron de forma
aislada y con tecnologías no siempre compatibles, por lo que hoy existe una
problemática de correlación de base de datos que debe mejorarse. El soporte técnico
y mantenimiento de las aplicaciones requiere un alto porcentaje de tiempo de
recursos internos.
Los servicios informáticos y el correo pueden ser utilizados desde el portal del
empleado, que es el “front/end” de acceso a todos los sistemas. Cada empleado ha
de identificarse con su código y clave al entrar al portal. El acceso a los servicios de
correo y aplicaciones precisa de nueva autenticación por el empleado. No existe una
identificación única a todos los sistemas. La situación descrita tiene como
consecuencia que los empleados olviden, a menudo, sus claves de acceso a los
sistemas cuando hace tiempo que entraron por última vez.
En el portal del empleado, además del acceso a los sistemas de gestión y correo
electrónico, hay otros servicios de ámbito general:
• Directorio con datos de los empleados.
• Descargas de plantillas de PowerPoint, Word y Excel.
• Acceso a prensa nacional y especializada.
• Callejeros e información meteorológica.
• Normativas internas y de Riesgos Laborales.
• Puestos vacantes.
• Noticias de actualidad de la empresa relacionadas con clientes y servicios.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 25
El soporte técnico y mantenimiento de servidores, sistemas, aplicaciones, redes y
terminales, hardware y software, lo realiza la gerencia de soporte técnico y
operaciones de la dirección de Tecnología y Operaciones. No hay procedimientos
establecidos para la configuración, instalación, cambios y gestión de incidencias.
Todo el conocimiento y experiencia está localizado en un equipo de personas que
hacen su trabajo con eficacia pero carece de normativas y controles de seguridad que
garanticen la disponibilidad y continuidad del servicio ante riesgos imprevistos. Los
sistemas no tienen implantados mecanismos de generación y almacenamiento de
registros que permitan auditar el acceso y uso que se hace de los mismos. No existe
un procedimiento de sincronización de tiempo en la inicialización de los sistemas, lo
que genera, en ocasiones, problemas de sincronización de procesos y bases de datos.
La empresa tiene definidos los ficheros afectados por la Ley Orgánica de Protección
de Datos de Caráter Personal (LOPD 15/1999, de 13 de Diciembre). Los ficheros
corresponden a las direcciones de Recursos Humanos, con los datos personales de los
empleados, y de Comercial, con los datos de los clientes. Cada fichero, declarado e
inscrito en la Agencia Española de Protección de Datos (AEPD), tiene un responsable
directo y un encargado de su tratamiento. El acceso, actualización y recuperación de
los datos de los ficheros declarados está restringido a personas autorizadas por las
direcciones de Recursos Humanos y Comercial. Los ficheros tienen copia de
respaldo diaria con una vigencia de 30 días. Las copias coincidentes con la fecha
final de cada mes tienen vigencial anual.
2.10 Copias de respaldo.
Las copias de seguridad de los sistemas y las bases de datos se hacen de forma
independiente. En cada servidor se arrancan procesos de “backup” diarios, al final de
la jornada laboral, usando como soporte de las copias cartuchos de banda magnética
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 26
ubicados en una librería conectada con cada servidor a través de la red de área local.
Las copias de respaldo tienen una vigencia que es determinada por los responsables
de las aplicaciones y bases de datos. Las correspondientes a los sistemas operativos y
otros productos de gestión instalados en los servidores son gestionadas por la
dirección de Tecnología y Operaciones. Todas las copias se almacenan en una sala,
habilitada al efecto, localizada en la segunda planta de las oficinas centrales. El hecho
de tener en el mismo edificio las infraestructuras técnicas y las copias de respaldo
tiene riesgos que podrían afectar a la continuidad del negocio. No existe un plan de
contingencia de los procesos y servicios. En el cuadro de la figura 12 se resume el
detalle de las copias de respaldo por servidor con el sistema operativo y el aplicativo
asociado. En la primera parte se detalla el ámbito de servidores y aplicaciones de
gestión interna y en la segunda parte los servidores dedicados al desarrollo de
proyectos y servicios a los clientes. La vigencia de las copias de seguridad es de un
año, excepto las correspondientes a proyectos a clientes, que son de 6 meses. Las
copias las realiza la dirección de Tecnología y Operaciones.
Figura 12. Cuadro resumen de las copias de respaldo.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 27
2.11 Vigilancia y protección de dependencias.
La actividad de seguridad, como área diferenciada, está enfocada al ámbito de la
vigilancia y protección de las personas, dependencias y oficinas:
• La elaboración y emisión de las tarjetas de identificación de empleados,
internos y externos.
• La instalación y mantenimiento de los equipos electrónicos de control de
entrada y salida de los empleados y vehículos.
• Los sistemas de video vigilancia en las zonas comunes de entrada y salida
de las dependencias.
• Los sistemas de protección contra incendios.
• Los sistemas de megafonía.
• La gestión de las llaves de acceso a las oficinas y salas de equipamiento
técnico.
Todo el equipamiento informático de gestión de la empresa reside en las
instalaciones centrales, en la planta baja, en una sala diferenciada de los equipos
técnicos de infraestructuras de los edificios. El acceso a las dependencias donde está
ubicado el equipamiento técnico, tanto informático como de infraestructuras de los
edificios, carece de sistemas de video vigilancia, similares a los localizados en las
zonas comunes de entrada y salida de personas y vehículos. Tampoco disponen de
control de accesos, estando limitada la seguridad al cierre con llave de las puertas
que da acceso a la salas donde están instalados los equipos. La persona que controla
los accesos de las personas y vehículos a las oficinas dispone de las llaves de acceso,
que le son requeridas por el personal técnico y de mantenimiento cuando es
necesaria la presencia física en las salas de equipos.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 28
Capítulo 3 Situación de la seguridad
3.1 Introducción.
En este capítulo se describe la situación en materia de seguridad que tiene MAKE
SERVICES S. L. en sus ámbitos de procesos, sistemas y servicios. A partir de la
información aportada por la empresa se expone, para cada entorno operativo y
técnico, las mejoras que podrían introducirse para, posteriomente, incorporarlas al
PSI propuesto.
3.2 Análisis de riesgos.
En la documentación aportada no se define a la seguridad como elemento básico
para el negocio, en consecuencia no existe una valoración de los riesgos asociados a
activos críticos que no están definidos.
La empresa MAKE SERVICES S. L. ha organizado sus procesos, sistemas y servicios
en base a un modelo de seguridad aislado. Cada área funcional ha incorporado, a su
criterio, elementos de seguridad que, básicamente, se resumen en autorizaciones de
acceso a los sistemas y servicios de su ámbito y copias de seguridad de los sistemas y
las bases de datos, actividad que corresponde a la dirección de Tecnología y
Operaciones y que realiza a su criterio para cada sistema, sin una normativa común.
La situación descrita obedece a la política de desarrollo y explotación de los sistemas
de información que se ha llevado a efecto desde el comienzo de la actividad
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 29
informática en la empresas, donde la seguridad sólo aparece, y muy localizada, en la
parte final de todo el proceso, en la explotación o producción donde las copias de
sistemas, archivos y bases de datos son el núcleo central de las actividades asociadas
a la seguridad. La empresa MAKE SERVICES S. L. no ha sido ajena a ese escenario.
A partir de la evaluación de los datos expuestos en el capítulo anterior, existen
lagunas importantes como la no existencia de una política de seguridad común a
todas las áreas y, por lo tanto, tampoco una valoración de los activos de la empresa ni
su grado de importancia para el negocio, en consecuencia, tampoco la evaluación de
las amenazas o riesgos asociados a los mismos, que son de todo tipo:
1. Naturales, como terremotos o inundaciones.
2. Estructurales, como cortes de agua, electricidad o comunicaciones.
3. Fortuitos o provocados, como incendios, rotura de tuberias de agua.
4. Accesos no autorizados a dependencias y sistemas informáticos.
5. Destrucción y corrupción de archivos y bases de datos,.
6. “Malware” en los sistemas informáticos centrales y los terminales.
7. Averías en las infraestructuras técnicas.
8. Hurtos y/o robos de material, equipamiento técnico, documentación e
información.
La definición de los activos críticos, las amenazas asociadas a los mismos y la política
empresarial para su protección y prevención de los riesgos serán elementos básicos
en el PSI que se propone.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 30
3.3 Estructura organizativa.
La función de seguridad en MAKE SERVICES S. L., a nivel de jefatura, depende del
Director de Recursos Humanos. El jefe de seguridad también tiene bajo su
responsabilidad los servicios generales de la empresa, relacionados con el
mantenimiento de las infraestructuras de los edificios, sistemas de protección contra
incendios, el mobiliario de oficinas, suministros de material, etc.
La seguridad informática y de la información no tiene estructura organizativa
dedicada. Las actividades de seguridad relacionada con las infraestructuras técnicas
informáticas y de comunicaciones forman parte, no diferenciada, del resto de las
actividades de administración, soporte técnico y mantenimiento de los servidores,
sistemas operativos, bases de datos, redes de comunicación y terminales que son
responsabilidad de la dirección de Tecnología y Operaciones, en concreto del gerente
de soporte técnico y operaciones.
En la situación descrita por la empresa las preguntas son: ¿Quién establece las
políticas a seguir en materia de seguridad informática? ¿ Donde está la función de
seguridad de la información ?
Se hecha en falta una politica de empresa que defina, dentro de la estrategia de
negocio, donde focalizar la función de la seguridad con visión integral; es decir,
incorporando todas las actividades de protección y prevención de riesgos de los
activos técnicos y de la información.
En la documentación entregada tampoco se hace referencia a ninguna política de
formación y certificación de los empleados del área técnica en materia de seguridad
informática.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 31
Es importante resaltar que MAKE SERVICES S. L. tiene por clientes a importantes
empresas, con proyectos informáticos de consultoría, desarrollo y soporte técnico que
requieren, cada vez mas, la consideración de elementos de seguridad en todas las
fases de los proyectos: requerimientos funcionales, diseño, desarrollo, implantación y
producción. La empresa tiene su negocio en el ámbito de las tecnologías de la
información y la comunicación y, sin embargo, carece de una estructura organizativa
de seguridad que tenga una visión general de todos los activos de los proyectos y
servicios y los riesgos asociados.
3.4 Seguridad de las infraestructuras técnicas.
Analizando los sistemas, redes y terminales, el inventario de equipos y la
información suministrada por la empresa, se echan en falta elementos de seguridad
importantes en todos los ámbitos: acceso a dependencias y sistemas, soporte técnico
y de mantenimiento, procedimientos de diseño, configuración, cambios y gestión de
incidencias en los sistemas, redes y terminales y en la disponibilidad de registros de
auditoría. En resumen, hay lagunas de seguridad importantes en los siguientes
entornos:
• El control de acceso a la sala de la planta baja, donde están instaladas las
infrastructuras técnicas informáticas y de comunicaciones, no está
automatizado. No existe un control de accesos que permita monitorizar las
personas que han estado en la sala.
• La garantía de soporte técnico de mantenimiento y actualización del
hardware y software. Un porcentaje alto de incidencias se resuelve a nivel
interno. Una parte importante del inventario está fuera de mantenimiento
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 32
al haberse superado el tiempo de soporte establecido por los
suministradores.
• La configuración de servidores y sistemas no se realiza bajo ninguna
normativa ni siguiendo controles de seguridad. La instalación, acorde a la
configuración, se realiza en base a la premisa de funcionamiento
inmediato, sin tener en cuenta estructuras de duplicidad de recursos de
red, proceso y almacenamiento que garanticen la continuidad del servicio
ante averías técnicas o manipulaciones incontroladas.
• La gestión de soporte técnico, mantenimiento, cambios e incidencias. No
hay procedimientos establecidos, lo que implica actuaciones y resultados
diferentes dependiendo del equipo técnico que realice la actividad.
• El control de accesos a los sistemas y servicios informáticos. No está
unificado, cada aplicación y/o servicio tiene su propio mecanismo de
gestión y control de identidad.
• La monitorización de los sistemas. No están operativos mecanismos que
faciliten la generación de los accesos y las accciones realizadas en los
sistemas, aplicaciones y bases de datos.
• Los terminales. Carecen de sistemas de proteccion de archivos e informes
críticos para la empresa almacenados en sus discos internos.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 33
3.5 Seguridad de la información.
La actividad básica de MAKE SERVICES S. L. es el diseño, desarrollo, mantenimiento
y soporte de sistemas de información, es decir, uno de los activos más importantes
que tiene para su negocio, además del conocimiento y experiencia de sus empleados,
es la información que maneja y, sin embargo, carece de una norma interna de
clasificación de la información.
El sistema de gestión documental que utiliza facilita el acceso a cualquier informe por
parte de los empleados pero no están almacenados con criterios de criticidad para el
negocio lo que podría facilitar, en algunas circunstancias, el uso de información
estratégica por personas no autorizadas.
Los informes, presentaciones y documentos de los proyectos son utilizados por las
áreas funcionales acorde a sus requerimientos y necesidades, pero no existen
responsables concretos de los mismos lo que facilita, junto a la inexistencia de una
normativa de clasificación de la información, que salga de la empresa información
crítica, interna o de clientes, que pudiera afectar negativamente al negocio y a la
imagen de la empresa en el mercado.
3.6 Planes de contingencia.
No existen planes de contigencia que abarquen otros escenarios de procesos, sistemas
o servicios que no sean las copias de seguridad (backups) de los sistemas y las bases
de datos que se realizan diariamente. Todo el sistema de respaldo está en manos de
los operadores que son, finalmente, los responsables de que las copias se realicen en
tiempo y forma y sean almacenadas en la sala habilitada en la segunda planta. El
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 34
acceso a las copias de seguridad se realiza por los propios operadores cuando se
precisa la recuperación de cualquier sistema y/o base de datos.
El número de clientes de MAKE SERVICES S. L. así como el escenario de
infraestructuras técnicas en servicio exige un procedimiento con un plan de
contingencias que permita la recuperación del servicio ante cualquier problema en el
edificio, en el equipamiento técnico y en los datos.
En el momento actual sólo existe un plan de recuperación del servicio basado en los
datos, cualquier problema grave que impida la recuperación de las infraestructuras
técnicas informáticas y/o del edificio dejaría a la empresa en una situación crítica
para la continuidad del negocio. El equipamiento informático de gestión debería
estar distribuido entre las diferentes sedes, teniendo cada una de ellas copia de la
última versión, con el objetivo de agilizar la recuperación del sistema ante situaciones
desfavorables.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 35
Parte II PLAN DE SEGURIDAD
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 36
Capítulo 4 Políticas y normativas
4.1 Introducción.
La seguridad de los procesos, sistemas y servicios de la empresa, así como de la
organización y las actividades que la soportan es básica para la continuidad del
negocio. El objetivo fundamental de la seguridad en la empresa es garantizar la
disponibilidad, continuidad, integridad, confidencialidad y auditabilidad de los
sistemas y los datos, entendiendo que tanto sistemas como datos, además de las
infraestructuras técnicas y las personas de la organización son activos críticos de la
empresa, además de los activos inmobiliarios y financieros.
En el presente capítulo del proyecto se aborda el plan de actividades a realizar en la
empresa para prevenir riesgos e incidencias en esos activos y protegerlos contra
situaciones que pudieran destruirlos o modificarlos y, en consecuencia, afectar al
normal desarrollo de las actividades del negocio.
El área de seguridad informática es una actividad que tiene, cada vez, mayor
importancia dada la implicación e impacto que tienen los sistemas de información en
los procesos y actividades de las empresas, además de la evolución del ámbito
operativo de los mismos que ha evolucionado desde los procesos internos hacia la
globalidad que ofrece Internet.
La mayor parte de las incidencias en los servicios tienen como origen la falta de
procedimientos y controles de seguridad que garanticen la operatividad y
continuidad de los sistemas de información. El desarrollo, implantación, explotación
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 37
y mantenimiento de los sistemas tiene muy en consideración los aspectos de diseño y
requerimientos del negocio en relación a la usabilidad y presentación de resultados,
pero no tanto en los requisitios de seguridad que deben incorporar. El objetivo de
este capítulo es definir la importancia de los activos de información y la política a
poner en práctica, en toda la organización de la empresa, con normativas de
seguridad que deberán formar parte de los procesos y actividades y de los sistemas e
infraestructuras técnicas que los soportan.
4.2 Acciones estratégicas.
La situación de la seguridad en la empresa MAKE SERVICES S. L. descrita en el
Capítulo 3 puede resolverse poniendo en práctica una política de seguridad integral
con el objetivo de implantar en la cultura de la empresa un modelo de gestión de
procesos y actividades donde la seguridad forme parte de los sistemas e
infraestructuras técnicas que utiliza la organización.
El director general debe aprobar y desarrollar, para lograr mejorar la situación de la
seguridad en todo el ámbito de la empresa, el conjunto de acciones estratégicas que
corresponden al PSI propuesto:
1. Definir la política de seguridad de la empresa, que establecerá los activos
críticos para el normal funcionamiento de la empresa.
2. Elaborar la normativa de seguridad para prevenir riesgos y proteger esos
activos críticos con controles específicos para cada ámbito del negocio.
3. Establer el plan de acción para desarrollar la política de seguridad y poner en
práctica la normativa y controles establecidos.
A continuación se desarrollan las acciones estratégicas propuestas.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 38
4.3 Política de seguridad.
La política de seguridad integral de la empresa tiene como misión prevenir riesgos y
proteger a empleados, clientes, infraestructuras, productos y servicios mediante la
vigilancia, el cumplimiento de la legislación vigente, la elaboración e implantación de
normativas corporativas, la optimización continua de los sistemas y recursos internos
para evitar vulnerabilidades, la divulgación de la cultura de seguridad entre los
empleados y la colaboración con los órganos competentes de la administración.
Acorde a la misión de la seguridad en la empresa, se definirán los activos críticos
para el negocio que serán objeto de protección ante potenciales incidentes internos o
externos.
4.3.1 Activos críticos.
La política de seguridad define como activos críticos los datos y los sistemas que los
tratan y manifiesta la determinación que ha de tener toda la organización para
prevenir los riesgos de robo, pérdida o deterioro que pudieran afectar a los procesos
de negocio y/o a los servicios al cliente.
La seguridad de la información se logra con la implantación y gestión de controles
adecuados en las actividades de la organización, en los procedimientos internos y en
los servicios al cliente. La normativa de seguridad describe los controles que deben
implantarse de forma obligatoria, independientemente del resultado de los análisis
de riesgos. Si hubiese riesgos adicionales, deberán ser informados de forma
inmediata para implantar controles adicionales acorde a la problemática que pudiera
derivarse.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 39
4.3.2 Organización y funciones.
A continuación se describe la estructura de gestión de la seguridad que se ha de
implantar en la empresa con el modelo de organización y funciones para poner en
práctica normativas de seguridad en los procesos, sistemas y servicios internos y de
negocio con el objetivo de eliminar o reducir las vulnerabilidades internas y/o
externas.
El Comité de Dirección de la empresa pondrá en marcha el Comité de Seguridad, que
será el responsable de impulsar la seguridad buscando el compromiso y apoyo de los
directores y empleados.
El Comité de Seguridad tiene como misión la prevención de riesgos y la protección
de los activos críticos, garantizando la disponibilidad de procesos, sistemas y
servicios acorde a las necesidades del negocio.
El Comité lo componen el director general y los tres directores de las áreas
Financiera, Recursos Humanos y Tecnología y Operaciones. Cuando el tema lo
requiera, el Comité solicitará la participación de otras áreas funcionales de la
organización. Las principales responsabilidades del Comité de Seguridad serán:
1. Definir los objetivos estratégicos de seguridad de acuerdo a los activos críticos
y las necesidades y demandas relevantes del negocio.
2. Establecer sistemas de medida del desempeño de la función de la seguridad.
3. Supervisar el cumplimiento eficaz y eficiente de la normativa de seguridad.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 40
4. Definir los ficheros con datos críticos para el negocio y, con especial atención,
los correspondientes a los de carácter personal que han de declararse en
AEPD. Cada fichero tendrá un responsable directo que velará por la
actualización, calidad, privacidad y confidencialidad de los datos.
5. Aprobar la creación de comisiones de inspección y auditoría ante incidentes
que afecten al negocio.
6. Identificar, coordinar y apoyar iniciativas en materia de seguridad mediante
una efectiva gestión del conocimiento los empleados. El Comité de Seguridad
asignará, para cada iniciativa, un coordinador cuyas responsabilidades serán:
• Definir los objetivos de la iniciativa.
• Proponer la composición de los grupos de trabajo.
• Elaborar el plan de actividades.
• Involucrar a la organización en la consecución de los objetivos.
4.3.3 Normativa de seguridad.
La normativa de seguridad que a continuación se detalla define el conjunto de
controles que serán de aplicación obligatoria en toda la organización, tanto para las
actividades internas como para los servicios a los clientes.
Complementariamente a las normas, se establece la necesidad en cada área de
gestión interna y de atención al cliente, de aplicar los controles de seguridad que se
identifiquen en los procesos de análisis y gestión de riesgos en los servicios al cliente,
con el objetivo de eliminar o reducir posibles incidencias residuales que pudieran
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 41
afectar a los procesos de negocio. Todas las áreas de la organización estarán
obligadas a poner los medios necesarios para conocer, divulgar, implantar y cumplir
la normativa de seguridad como parte esencial del PSI.
4.3.3.1 Ámbitos de aplicación.
La normativa tiene carácter obligatorio para todos los procesos de negocio, tanto
internos como externos. También será de obligado cumplimento para los sistemas y
servicios subcontratados a terceros.
La normativa es de aplicación en todas las fases del ciclo de vida de la información:
generación, almacenamiento, procesamiento, distribución, consulta y destrucción, y
de los sistemas que la procesan: análisis, diseño, arquitectura, desarrollo,
implantación, producción, soporte técnico y mantenimiento, acorde a los estándares
internacionales sobre los que se ha diseñado la normativa de seguridad.
La normativa está organizada en cuatro apartados:
1. Los criterios que deben seguir las áreas de la organización en la aplicación de
los controles, con el objetivo de establecer un nivel adecuado y homogéneo de
seguridad y reducir el riesgo a un nivel aceptable para el negocio.
2. Los controles de seguridad relacionados con los recursos organizativos,
técnicos, operativos y legales de la empresa.
3. Los procedimientos y guías de seguridad que cada área debe desarrollar para
complementar los controles de seguridad.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 42
4. La descripción de los estándares internacionales en los que se apoyan los
controles de seguridad: ISO/IEC 27002 (Information technology - Security
techniques - Code of practice for information security management) y el
COBIT 4.0 (Control OBjectives for Information and related Technology).
A continuación se describen los controles que deberán ponerse en práctica en los
procesos, sistemas y servicios de la empresa.
4.3.3.2 Controles de la normativa.
Los controles de seguridad se corresponden con los principios, objetivos y requisitos
básicos definidos por la empresa para garantizar la prevención de los riesgos en los
servicios y operaciones de negocio, estableciéndose un nivel homogéneo de
seguridad en todas las áreas de la organización. El nivel de seguridad mínimo se
establece acorde a un subconjunto de controles. Cada área funcional podrá implantar
un nivel más restrictivo en la aplicación de estos controles si lo considera necesario
para sus procesos internos y/o de atención al cliente.
Los controles deberán ser implantados, administrados, monitorizados y revisados
para mejorar la eficacia y eficiencia de los mismos y asegurar que los objetivos de
seguridad del negocio son alcanzados. En los casos en que el coste de implantación
de un control sea mayor que el riesgo que se reduce o el beneficio que se consigue, se
podrá justificar la no implantación del mismo.
En el apartado 4.3.3.6 se describen los controles de seguridad a establecer en 15
ámbitos de gestión de la empresa. A continuación se describe cada ámbito y entre
paréntesis el número de controles:
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 43
1. Organización (2).
2. Activos críticos (2).
3. Obligaciones del personal (7).
4. Activos de información (6).
5. Identificación de empleados (4).
6. Accesos a edificios, sistemas y servicios (3).
7. Auditoría e inspección (3).
8. Sistemas, redes y terminales (11).
9. Licencias de software (2).
10. Desarrollo y mantenimiento (5).
11. Copias de respaldo (2).
12. Gestión de soportes externos (3).
13. Continuidad de negocio (6).
14. Seguridad física (4).
15. Legislación (6).
4.3.3.3 Análisis y gestión de riesgos.
Las áreas de la organización deben establecer procesos de análisis y gestión de
riesgos para identificar y aplicar los controles de seguridad adicionales a los que se
definen en esta normativa, con el objetivo de reducir el riesgo residual a un nivel
aceptable por la empresa.
El Comité de Seguridad liderará y coordinará la definición y establecimiento de los
procesos de análisis y gestión de riesgos.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 44
4.3.3.4 Obligatoriedad.
La normativa de seguridad establece la obligatoriedad de elaborar planes de
seguridad que deberán acompañarse de procesos formales de análisis y gestión de
riesgos que permitan implantar las soluciones idóneas o bien, asumir los riesgos
asociados a las desviaciones respecto de estas soluciones.
Los procesos de análisis y gestión de riesgos cuantifican de forma metodológica los
riesgos que soporta la empresa en función de la probabilidad de ocurrencia de unas
amenazas y el impacto que suponen.
Una vez cuantificados los riesgos, la empresa los gestionará mediante las siguientes
opciones:
1. Aplicar y priorizar los controles de seguridad adecuados que reduzcan estos
riesgos a un nivel aceptable, en función de un análisis coste-beneficio, es decir,
que el coste de los controles sea menor que el riesgo que ayudan a reducir.
Esos controles de seguridad o contramedidas pueden disminuir la
probabilidad de ocurrencia (preventivas) o el impacto en caso de ocurrencia
(reactivas).
2. Aceptar los riesgos de acuerdo al criterio de riesgo aceptable definido en la
empresa.
3. Transferir el riesgo, en la medida de lo posible, mediante la contratación de
pólizas de seguros.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 45
4. Evitar los riesgos y, por tanto, dejar de realizar aquellas acciones que son
origen de los mismos.
4.3.3.5 Metodología.
Cada dirección de la empresa debe definir su estrategia de análisis y gestión del
riesgo mediante la definición y estructuración de los siguientes puntos:
• Alcance de los análisis de riesgos, que afectarán a:
Los sistemas de información (ejemplo, sistema de facturación).
La información (ejemplo, documentos de estrategia de negocio).
Las procesos (ejemplo, ofertas a clientes).
Los servicios (ejemplo, soporte técnico a clientes).
Las oficinas y dependencias (ejemplo, sala de equipos técnicos).
Los accesos a los sistemas de información.
La entrada y salida de personas y vehículos.
• Las relaciones existentes entre los análisis de riesgos que se realicen.
• La planificación, periodicidad y prioridad de los mismos.
• El criterio de aceptación y gestión del riesgo de acuerdo a los objetivos de
negocio: máximo riesgo residual aceptable por la empresa, análisis coste-
beneficio, criterios de transferencia de riesgo, etc.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 46
• Los responsables de realizar los análisis de riesgos y la gestión del mismo. Por
defecto, el propietario de un activo de información (sistema de información,
información financiera de la empresa, datos de empleados de la empresa, etc.)
es el que realiza una función concreta con ese activo y lo actualiza y/o presta
un servicio con el mismo.
• El responsable del activo tiene la obligación de realizar el análisis de riesgos.
El propietario será responsable del impacto desproporcionado que ocasione la
materialización de un incidente de seguridad como consecuencia de no haber
realizado esa tarea.
Las direcciones de la empresa deberán mantener un inventario de activos para poder
afrontar los procesos de análisis y gestión de riesgos de acuerdo a la estrategia
elegida. Los análisis de riesgos deberán realizarse periódicamente o cuando existan
cambios significativos en los activos definidos en el alcance, en las amenazas,
vulnerabilidades, impactos, etc.
La realización de estos análisis debe realizarse de forma metodológica para poder
realizar comparaciones en el tiempo. Si se cambia el método de análisis será
complicado comparar resultados con otros anteriores.
Para la elaboración metodológica y homogénea de los análisis y gestión de riesgos
dentro de la empresa, cada dirección tendrá que elaborar los siguientes documentos:
• La "Guía de análisis y gestión de riesgos" en la que se indicará los aspectos de
riesgo que se deben tener en cuenta en todos los procesos procesos de negocio,
como son:
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 47
La definición del alcance mediante una lista exhaustiva y bien definida de
los activos sobre los que se realiza el análisis.
Los roles involucrados en el análisis de riesgos: propietario de los activos,
jefe de proyecto, encargado del tratamiento, analista de riesgos de
seguridad, verificador, etc.
Las fases del proceso de análisis y gestión de riesgos: inicio, valoración de
riesgos y controles, implantación de controles, verificación de controles,
acreditación, revisión y seguimiento.
La documentación que se genera en el proceso de análisis y gestión de
riesgos.
• El "Documento de análisis y gestión de riesgos" en el que se indicará el
formato del documento asociado a cada proceso de análisis y gestión de
riesgos que se realice internamente. En este documento debe indicarse:
Los datos de las personas que asumen los roles implicados a lo largo del
proceso de análisis y gestión de riesgos.
El alcance y caracterización de los activos involucrados en el análisis y
gestión de riesgos.
La lista de controles de seguridad aplicables a los activos definidos en el
alcance.
La lista de pruebas realizadas a los controles y activos. El propietario de los
activos aceptará el riesgo residual como consecuencia de la no
implantación de los controles o su incorrecta implantación.
• El "Procedimiento de valoración de riesgos y controles" con los pasos
necesarios para identificar controles de seguridad aplicables. El procedimiento
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 48
se basará en metodologías formales ligeras dependiendo del alcance del
análisis:
Metodología formal:
o Valorar e identificar los activos y sus vulnerabilidades.
o Cuantificar los riesgos y calcular su probabilidad.
o Elegir controles adecuados en función del coste-beneficio para reducir
el riesgo a un nivel aceptable por la empresa.
Metodología ligera:
o Definir un subconjunto de controles y categorizarlos por criticidad:
Alta.
Media.
Baja.
o Aplicar los controles establecidos.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 49
4.3.3.6 Controles de seguridad.
Los controles que se describen a continuación consideran quince ámbitos de
procesos, sistemas y servicios de la empresa. Para cada ámbito se utiliza un código de
dos letras y tres dígitos.
La codificación de los controles de seguridad, con numeración correlativa para cada
código, servirá para evaluar y objetivar el grado de implantación del PSI cuando se
realicen las auditorías periódicas establecidas por el Comité de Seguridad.
4.3.3.6.1 OP100 Organización.
Cada dirección, junto con el área de RRHH (empleados) y el área de Compras
(subcontrataciones), deberá seguir criterios en los procesos de selección e
incorporación de personal a la empresa. Se verificarán los antecedentes de los
candidatos y proveedores de acuerdo a la legislación aplicable y a los criterios de
responsabilidad social de la empresa.
La necesidad de esta verificación será determinada por los análisis de riesgos,
teniendo en cuenta la sensibilidad y naturaleza de los sistemas y servicios internos a
los tengan acceso y/o los que deban utilizar para la prestación de servicios a los
clientes.
1. Código OP101 Referencias.
• Verificar las referencias profesionales de trabajos previos así cómo lo
expuesto por el candidato en el “Curriculum Vitae”.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 50
2. Código OP102 Contratos.
• Incluir en los contratos la potestad de la empresa de vigilar el
cumplimiento de las normas de seguridad acorde a los controles
establecidos en la misma.
• Incorporar cláusulas de indemnización por incumplimiento legislativo
y de la normativa interna.
• Incluir responsabilidades ante incidentes provocados por los
incumplimientos.
4.3.3.6.2 IR100 Activos críticos.
Cada dirección deberá definir, con el VºBº del Comité de Seguridad, los activos
críticos del área y el uso que se hace de los mismos.
1. Código IR101 Identificación de activos.
• Identificar los procesos, sistemas y servicios que son críticos para el
desarrollo de las actividades del negocio.
2. Código IR102 Responsables de los activos.
• Identificar los responsables de los activos en las direcciones y asignarle
las siguientes funciones:
Decidir la finalidad, contenido y uso del activo de información.
Evaluar los controles de seguridad aplicables al activo.
Gestionar el uso del activo de información.
Comprobar el cumplimiento de los controles de seguridad
aplicables.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 51
Solicitar, si fuera preciso, auditorías en los sistemas acorde a los
criterios definidos por el área legal y el área de RRHH.
4.3.3.6.3 OB100 Obligaciones del personal.
El personal, empleados y subcontratados, está obligado a cumplir la normativa de
seguridad de acuerdo a los procedimientos, sistemas y herramientas puestas a su
disposición por la empresa. En líneas generales, los empleados deben cumplir los
siguientes controles de seguridad:
1. Código OB101 Identidad.
• Identificarse en los controles de acceso a edificios, dependencias,
infraestructuras de red, sistemas, aplicaciones y bases de datos.
• En los sistemas de información es obligado:
Mantener la confidencialidad de las credenciales de acceso y no
compartirlas con nadie, así como comunicar cualquier anomalía o
incidente (robo, pérdida, etc.) que tenga con las mismas.
Evitar la escritura, copia o reproducción de las mismas en papel.
Evitar almacenar las credenciales de acceso en archivos no
protegidos.
Cambiar las contraseñas iniciales en el primer acceso
Realizar cambios de contraseñas con periodicidad.
Evitar utilizar las mismas contraseñas en los servicios abiertos
externos y en los servicios de gestión interna.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 52
2. Código OB102 Emergencias.
• Seguir las indicaciones de seguridad ante situaciones críticas o de
emergencia.
• Realizar los simulacros de emergencia con objeto de garantizar una
respuesta adecuada ante este tipo de actuaciones.
• Poner en práctica los planes de contingencia de los servicios y
continuidad de negocio.
3. Código OB103 Utilización de recursos.
• Preservar los activos de la organización, incluyendo sistemas, equipos,
información, mobiliario y material de oficina. Estos activos deberán ser
utilizados para propósitos relacionados con el negocio de la empresa.
• Utilizar los recursos o instalaciones de la empresa con fines ilegales y/o
fraudulentos así como comerciales o profesionales distintos a los
permitidos por la empresa.
• Utilizar los sistemas de información y redes de comunicaciones
autorizados estrictamente para el cumplimiento de sus funciones
dentro de la empresa. Los empleados podrán utilizar el correo
electrónico y los servicios de Internet con libertad y responsabilidad, en
el sentido más amplio posible, para el desempeño de las actividades de
su puesto de trabajo. No deben usar esos servicios de forma que
pongan en riesgo la seguridad y reputación de la empresa, evitando
navegar por sitios no confiables que puedan facilitar la propagación de
“Malware” (virus, spam, etc.) o realizar descargas de material
protegido por copyright.
• Proteger y cuidar todos los sistemas y recursos que la empresa pone a
su disposición, especialmente fuera de las instalaciones de la misma.
• Finalizar las sesiones que tenga abiertas cuando no las necesite.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 53
• Usar el protector de pantalla del sistema con un periodo de inactividad
máximo de 20 minutos y que necesite ser desbloqueado por contraseña.
• No desactivar ni cambiar la configuración de los mecanismos de
protección instalados (cortafuegos personales, antivirus, etc.).
• Utilizar software homologado y licenciado por la empresa.
• Apagar de forma ordenada el ordenador al finalizar la jornada laboral.
• Eliminar cualquier programa o fichero que impida o dificulte el normal
funcionamiento del sistema.
• Cumplir con las actualizaciones de seguridad de los sistemas y equipos
de acuerdo a los mecanismos establecidos en la empresa.
• Guardar por tiempo indefinido y máxima reserva los documentos,
metodologías, claves, análisis, programas y demás información, en
soporte material o electrónico, a la que tengan acceso durante su
relación laboral.
• No divulgar la información de la empresa a personas o empresas ajenas
a la misma, salvo autorización previa. La obligación se mantendrá
vigente tras la extinción del contrato laboral.
4. Código OB104 Puesto de trabajo.
• No dejar documentación en las mesas de trabajo.
• Guardar bajo llave la información sensible impresa en papel o
almacenada en soportes externos.
• No desatender la documentación en impresoras comunes, fax, etc.
• Destruir la documentación sensible cuando se tire a la basura.
• Tener en cuenta la clasificación de la información , los requerimientos
contractuales y legales, así como los aspectos de mayor riesgo.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 54
5. Código OB105 Uso de información.
• Acceder sólo a aquella información y recursos a los que se tiene acceso
autorizado acorde a la clasificación y tratamiento de la información
elaborada por la empresa.
• Notificar a la mayor brevedad los incidentes sospechosos que afecten o
pudieran afectar a la seguridad de la empresa mediante los
procedimientos y canales definidos en la empresa.
• No intercambiar documentación e información con empresas externas
sin los controles definidos en la empresa.
• Cumplir con las restricciones de propiedad intelectual o industrial.
• Cumplir con la legislación de protección de datos aplicable, en lo que se
refiere a su actividad laboral en la entidad, velando que los datos son
veraces, exactos y completos.
6. Código OB106 Formación.
• Asistir a los cursos y actividades facilitadas por la empresa en materia
de seguridad y protección.
7. Código OB107 Finalización actividad laboral.
• Devolver todos los activos de la empresa (ordenadores, teléfonos
móviles, tarjetas, etc…) una vez terminada la relación laboral.
• En caso de proveedores y personal externo, la empresa subcontratada
será la responsable de exigir la devolución de los activos y recursos
proporcionados.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 55
4.3.3.6.4 AI100 Activos de información.
Cada dirección deberá evaluar la información que es crítica y vital para el negocio y
clasificarla acorde a su impacto en los procesos, sistemas y servicios. Será la
propietaria de la información y la responsable de su divulgación acorde a su nivel de
clasificación.
1. Código AI101 Clasificación de la información.
• Clasificar los documentos acorde a cuatro niveles:
CONFIDENCIAL: Información crítica que debe ser protegida por su
relevancia para la empresa, como decisiones estratégicas, evaluaciones
financieras y oportunidades de negocio. Algunos ejemplos:
Evaluaciones financieras.
Nuevas alianzas estratégicas.
Investigación y desarrollo de productos y servicios.
Estudios de entrada en nuevos mercados.
La responsabilidad de clasificar la información a nivel Confidencial
corresponde al director general y al Comité de Dirección.
RESTRINGIDA: Información interna a las áreas y/o proyectos que sólo
debe utilizar un grupo reducido de personas y debe ser protegida por su
impacto en los intereses internos, de los clientes o asociados y de los
empleados. Algunos ejemplos:
Evaluaciones de suministradores y colaboradores.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 56
Análisis y estudios de clientes.
Ofertas de nuevos productos y servicios.
La responsabilidad de clasificar la información a nivel de Restringida
corresponde a los directores y gerentes/jefes.
USO INTERNO: Información que, sin ser confidencial ni restringida, debe
mantenerse en el ámbito interno de la empresa y no debe estar disponible
externamente, excepto a terceras partes involucradas previo compromiso
de confidencialidad y conocimiento de la empresa. Algunos ejemplos:
Proyectos y servicios a clientes.
Informes de mercado.
Guías de uso de servicios y sistemas.
La responsabilidad de clasificar la información a nivel de uso interno
corresponde a los gerentes/jefes y los empleados.
PÚBLICA: Información para el mercado. Algunos ejemplos:
Cuenta de resultados.
Oferta de productos y servicios.
Servicios a clientes, previa autorización de los mismos.
La desclasificación de una información será decidida por la persona que la
hubiese clasificado o por su superior jerárquico. La información no
clasificada será tratada como de uso interno y su divulgación solo será
autorizada por la dirección propietaria de la misma.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 57
2. Código AI102 Inventario información clasificada.
• Todos los activos de información serán identificados e inventariados
acorde a los niveles de clasificación descritos en el código anterior.
• El inventario y registro de la información clasificada será centralizado
en un sistema de gestión documental.
3. Código AI103 Tratamiento información clasificada.
• El acceso a la información estará restringido acorde al nivel de
clasificación establecido, con controles de identificación y autenticación
que corresponda en cada caso.
4. Código AI104 Reproducción información clasificada.
• La copia de información clasificada en formato electrónico o impreso
sólo se podrá realizar con autorización expresa de cada dirección
propietaria, exceptuando la información confidencial cuya copia debe
autorizarla el director general.
• El personal subcontratado no puede reproducir información de uso
interno o superior sin una justificación que atienda a la prestación del
servicio que realiza para la empresa y previo compromiso de
confidencialidad y autorización de cada dirección propietaria.
• Se pondrán los mecanismos necesarios, en el gestor documental donde
resida la información clasificada, para cumplir los controles de
seguridad expuestos en los apartados anteriores..
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 58
5. Código AI105 Distribución información clasificada.
• La distribución de información confidencial en formato papel o
electrónico, previa reproducción autorizada, sólo se realizará a las
personas autorizadas por el director general.
• La distribución de información restringida en formato papel o
electrónico, previa reproducción autorizada, sólo se realizará a las
personas autorizadas por la dirección propietaria.
• La distribución de información clasificada como confidencial o
restringida se realizará acorde a los siguientes criterios:
En medios electrónicos será tratada con algoritmos de criptografía.
En pael será enviada en sobre cerrado con garantías de integridad.
6. Código AI106 Destrucción información clasificada.
• La destrucción de información será autorizada acorde a su clasificación,
si es confidencial por el director general y si es restringida por la
dirección propietaria.
• La destrucción en formato electrónico o impreso se realizará de forma
que no pueda recuperarse ni total ni parcialmente por ningún medio.
• El personal subcontratado destruirá toda la información de la empresa,
clasificada o no, una vez finalizada la prestación del servicio a la
empresa.
4.3.3.6.5 IE100 Identificación de empleados.
Los empleados utilizarán credenciales, código de identificación personal y clave
privada, para el acceso a los sistemas y servicios de la empresa. El código servirá
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 59
para la identificación del empleado y la clave para su autenticación en el momento
del acceso. Ambos códigos, identificador y clave, definirán de forma inequívoca al
empleado que, en cada momento, use sistemas y servicios.
Todos los empleados dispondrán de esas credenciales que serán gestionadas acorde a
los procedimientos y registros determinados por la empresa. La robustez y fiabilidad
del mecanismo de identificación y autenticación estará en consonancia con la
criticidad del recurso. Las credenciales de los empleados serán:
1. Código IE101 Tarjeta identificación personal.
• Los empleados dispondrán una tarjeta, personal e intransferible, con el
logotipo y diseño corporativo de la empresa y los siguientes datos:
Nombre, apellidos y fotografía.
DNI o número de pasaporte
Número de empleado.
• Los empleados subcontratados dispondrán una tarjeta, personal e
intransferible, con el logotipo y diseño corporativo de la empresa y los
siguientes datos:
Nombre, apellidos y fotografía.
DNI o número de pasaporte.
Personal externo.
• La tarjeta será de uso obligatorio a la entrada y salida de las
dependencias y se llevará en lugar visible durante la jornada laboral. La
tecnología utilizada en la tarjeta (RFID, CHIP, etc.) para el control de
acceso a dependencias y servicios será la que determine el Comité de
Seguridad.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 60
2. Código IE102 Códigos identificación personal.
• Cada empleado tendrá su propio y único código de identificador
personal e intransferible. No se permiten códigos genéricos.
• Los sistemas informáticos inutilizarán los códigos de acceso no usados
durante el periodo de 60 días hábiles para los empleados internos y 45
días hábiles para los empleados subcontratados.
• El empleado es responsable de las acciones que se realicen con su
código identificador.
3. Código IE103 Claves privadas.
• La clave privada es personal e intransferible.
• El empleado está obligado a cambiar las claves de acceso cuando utilice
por vez primera un sistema o servicio y, posteriormente, de forma
periódica. Los sistemas proporcionarán facilidades para realizar dicho
cometido.
• Los sistemas inutilizarán la clave privada al tercer intento de acceso no
válido.
• El empleado es responsable de las acciones que se realicen con su clave
de acceso.
4. Código IE104 Información a los empleados.
• Las zonas de control de acceso a las dependencias y las áreas de trabajo
dispondrán en forma visible para todos los empleados información
respecto uso intransferible de tarjetas, claves y códigos personales.
• Los sistemas presentarán en su primera pantalla de acceso, antes de la
identificación y autenticación del empleado, el siguiente aviso:
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 61
“El sistema es propiedad de la empresa. Necesita autorización antes de
usarlo. El acceso no autorizado o el uso indebido del mismo es
contrario las normas de seguridad de la empresa y a la ley.”
La gestión de los sistemas de emisión de la tarjetas, claves de identificación personal,
claves privadas de acceso, formatos de las mismas y la actualización de los datos de
los empleados para esa finalidad son responsabilidad de la dirección de Recursos
Humanos para recursos internos. El área de Compras será la encargada de actualizar
los datos personales de los empleados subcontratados.
4.3.3.6.6 AA100 Accesos a dependencias y sistemas.
El Comité de Seguridad definirá la política de acceso a las dependencias y sistemas
de la empresa acorde a los requerimientos del negocio y basada en el principio de
que los empleados sólo pueden y deben acceder a la información y recursos
necesarios para realizar sus funciones. Los perfiles de acceso estarán relacionados
con los niveles organizativos, funciones y la situación de los empleados, internos o
subcontratados.
1. Código AA101 Niveles de acceso.
• Las direcciones serán responsables de definir:
Los requisitos de acceso a dependencias, sistemas y servicios.
Los niveles de acceso temporales de los empleados, internos y
subcontratados, se gestionarán acorde a las funciones internas.
• Las direcciones informarán periódicamente a Recursos Humanos de las
autorizaciones y revocaciones de acceso.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 62
• El Comité de Seguridad definirá las autorizaciones y revocaciones de
acceso.
2. Código AA102 Gestión de accesos.
• La dirección de Recursos Humanos será la responsable de la gestión,
mantenimiento y actualización de las autorizaciones de acceso,
coordinándose con el resto de áreas de negocio.
3. Código AA103 Sistema de gestión de identidad y recursos.
• Las autorizaciones de acceso a dependencias, sistemas y servicios
estarán ubicadas en un sistema de gestión de identidad y recursos
autorizados conectado en red con el resto de sistemas y servicios de la
empresa que lo utilizarán para gestionar las autorizaciones de acceso.
• La dirección de Recursos Humanos es la responsable del sistema de
gestión de identidad y recursos.
• Las direcciones están obligadas a mantener actualizados los datos de
los recursos y las autorizaciones de acceso correspondientes.
4.3.3.6.7 AC100 Auditoría e inspección.
Los sistemas dispondrán de registros de auditoría con datos relativos a los códigos
de identificación que los han utilizado, fecha y hora, recurso al que se accede, tipo de
acceso, autorización o denegación y ordenadores o terminales utilizados.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 63
1. Código AC101 Registros de auditoría.
• Con carácter general será necesario generar y almacenar registros de
auditoría con:
Los eventos requeridos por la legislación vigente.
Los intentos de autenticación fallidos.
Los eventos de configuración.
Los eventos de administración.
La operación de los sistemas.
Los errores de funcionamiento.
2. Código AC102 Integridad, confidencialidad y disponibilidad.
• Se garantizará la integridad de los registros de auditoría y los
mecanismos que los generan.
• El borrado o desactivación sólo será autorizado por el Comité de
Seguridad.
• El acceso a los registros de auditoría y el control de los mecanismos que
los generan sólo se permitirá a las personas autorizadas por el Comité
de Seguridad acorde a las directrices de las direcciones.
• Los registros de auditoría serán almacenados por un periodo de tiempo
aceptable que permita tenerlos disponibles para potenciales
investigaciones.
• El periodo de almacenamiento de registros de auditoría se realizará
acorde a la legislación vigente y aplicable.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 64
3. Código AC103 Sincronización y monitorización de actividad.
• Los relojes de todos los sistemas y servicios que generen registros de
auditoría deberán sincronizarse con la misma fuente de tiempo.
• Los registros podrán ser monitorizados para la elaboración de informes
periódicos.
4.3.3.6.8 IT100 Sistemas, redes y terminales.
Los sistemas, redes de comunicaciones y terminales dispondrán de procedimientos
operativos de seguridad para su configuración, administración, operación y gestión
de cambios.
1. Código IT101 Operación y mantenimiento de sistemas.
• Se elaborarán procedimientos operativos de seguridad para la
configuración, instalación y mantenimiento de:
Los sistemas operativos utilizados en la gestión interna de la
empresa.
Los sistemas operativos de desarrollo y pruebas de proyecto para
los clientes.
Las bases de datos.
Los servidores de aplicaciones.
Los servidores de correo.
• La configuración e instalación de servidores, sistemas operativos y
bases de datos se realizará acorde a estructura de máxima tolerancia a
fallos en software, hardware, alimentación eléctrica y climatización.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 65
2. Código IT102 Operación y mantenimiento de redes.
• Se elaborarán procedimientos operativos de seguridad para la
configuración, instalación, mantenimiento de:
La interconexión de redes:
o Área local (LAN).
o Área extendida (WAN).
Las rutas o protocolos de encaminamiento.
Las reglas de los cortafuegos (Firewall).
Los routers, switches y servidores de traducción de direcciones IP
(DNS).
3. Código IT103 Segregación de comunicaciones.
• La red interna de la empresa se segregará en varios segmentos lógicos
de acuerdo a niveles de riesgo. Los segmentos de red se aislarán
mediante dispositivos de encaminamiento que controlarán el acceso y
el tráfico entre los segmentos acorde a criterios de criticidad relativos a:
Los sistemas conectados al segmento.
La información que tratan.
La información que se transmite.
Los servicios existentes.
La exposición a amenazas externas desde Internet.
Los empleados que se conectan.
Los mecanismos de seguridad implantados.
La condición de la red: cableada o inalámbrica.
Las prioridades o necesidades de acceso.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 66
4. Código IT104 Configuración de red.
• Los encaminamientos y las rutas implementadas se realizarán de forma
que se garantice la correcta implementación de los criterios y políticas
que regulan el tráfico permitido entre los segmentos lógicos de la red.
• Los cortafuegos deberán establecer mecanismos que accesos no
autorizados.
• Se protegerá la integridad del servicio de traducción de direcciones IP
(DNS).
• Se protegerá la asignación dinámica de direcciones IP (DHCP).
• Se implantarán mecanismos que comprueben que la seguridad del
ordenador personal que se conecta de forma remota (Internet, ADSL,
etc.) es suficiente y no pone en peligro la seguridad de la red interna.
• Se dispondrá de mecanismos de análisis de configuración de los
ordenadores que se conectan para comprobar que tienen instalados y
operativos los sistemas operativos y de seguridad establecidos.
• Se establecerán controles para prevenir, registrar y monitorizar las
amenazas y proteger de las mismas a los sistemas y terminales que
hacen uso de la red y los registros de datos en tránsito.
5. Código IT105 Conexiones inalámbricas.
• Las redes inalámbricas establecerán mecanismos de seguridad que
garanticen la integridad y confidencialidad de las comunicaciones:
Autenticación y control de acceso a la red.
Filtrado de direcciones IP.
Cifrado de comunicaciones.
Detección de incidencias:
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 67
o Intrusos, puntos de acceso no autorizados, robos de sesión,
falsificación de parámetros de red, robo de credenciales de
autenticación, intentos de rotura de claves de sesión, etc.
o Barrido de frecuencias, denegación de servicio, alteración o
retransmisión de paquetes, reducciones de cobertura, etc.
6. Código IT106 Configuración de terminales.
• Se definirán e implantarán controles orientados a proteger la
información en los terminales: ordenadores de sobremesa y portátiles,
agendas electrónicas, teléfonos móviles, etc.
• Los terminales dispondrán de dispositivos, hardware y/o software
para:
Control de acceso lógico.
Contraseña de arranque.
Tarjeta inteligente para ordenadores personales críticos.
Cifrado de registros de ficheros en disco.
Cifrado de comunicaciones.
Protección frente a virus.
Protección perimetral: cortafuegos personal.
Salvaguarda de la información:
o Backup remoto.
o Copias de seguridad cifradas en dispositivo externo.
Conexión a la red interna de la empresa.
Actualización periódica de sistema operativo y software instalado.
Los terminales más críticos dispondrán de seguro y procedimiento
ante pérdidas o robos del equipo.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 68
Cuando los datos de carácter personal se almacenen en dispositivos
portátiles y se traten fuera de los locales de la empresa será preciso
que exista una autorización previa del propietario de la
información, y en todo caso deberá garantizarse su seguridad.
En los ordenadores externos de acceso remoto:
o No se dejará información de la sesión al terminar la conexión.
o Se instalaran cortafuegos internos para evitar que el ordenador
haga de pasarela entre la red interna y otras redes externas.
7. Código IT107 Configuración de sistemas.
• Se dispondrá de una herramienta para mantener el inventario de los
equipos y software instalado: versiones, configuraciones, ubicación,
responsable y documentación asociada.
• Los servidores de aplicaciones y datos, así como los equipos de la red
de comunicaciones que soporten aplicaciones básicas del negocio, serán
configurados con elementos duplicados que garanticen la
disponibilidad y continuidad del servicio si uno o varios de los
componentes básicos, hardware y/o software, tiene alguna incidencia
en su funcionamiento normal.
• Los sistemas más críticos para el negocio dispondrán de recursos
informáticos dedicados y aislados del resto, en función de la criticidad
de la información o del servicio que ofrezcan.
• El nivel de criticidad de los sistemas será definido por el Comité de
Seguridad acorde al nivel de riesgo.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 69
8. Código IT108 Control de la capacidad.
• Se monitorizará el uso de los recursos en los sistemas y en los
dispositivos de la red con el objetivo de ajustar y planificar la capacidad
de los mismos de acuerdo al rendimiento esperado.
• En la planificación de cada sistema deberán tenerse en cuenta:
Los requisitos de los nuevos sistemas, así como la tendencia actual y
proyectada del uso de los recursos.
Los plazos de provisión de los sistemas y dispositivos.
9. Código IT109 Gestión de cambios.
• Se realizará seguimiento y control de los cambios en los equipos,
sistemas operativos, software de base y elementos de la red de
comunicaciones.
• Se revisarán los sistemas y aplicaciones afectadas con el fin de asegurar
que el cambio no tendrá efecto negativo en las actividades de negocio.
• Se dispondrá de varios procedimientos de gestión de cambios que
deben incluir los siguientes aspectos:
Identificar los cambios de actualización de versiones de software e
instalación de modificaciones (“parches”).
Planificar y probar previamente los cambios.
Análisis de riesgos cuando los cambios sean significativos.
Autorización previa del cambio por la dirección responsable del
servicio.
Comunicación de los detalles del cambio a todas las personas que
usen el sistema o servicio objeto del cambio.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 70
Procedimiento de vuelta a atrás para recuperar el estado inicial en
caso de que el cambio sea fallido.
Registro de los cambios realizados.
• Se dispondrá de una herramienta para mantener el inventario de
software instalado: versiones instaladas, configuraciones, ubicación,
responsable y documentación asociada.
10. Código IT110 Gestión de vulnerabilidades.
• Se gestionarán las vulnerabilidades que afecten a los sistemas
operativos y software de base de forma efectiva y sistemática,
minimizando el tiempo de exposición de los sistemas y el riesgo de que
puedan ser explotadas. Se deberá tener en cuenta los siguientes
criterios:
Utilizar la herramienta de inventario de software instalado.
Gestionar una o varias fuentes de información de vulnerabilidades y
“parches” aplicables. Las fuentes serán de los propios fabricantes o
fuentes de contrastado prestigio y credibilidad que abarquen todas
las plataformas instaladas en la empresa.
Definir los procedimientos de actuación para:
o La identificación de vulnerabilidad, análisis y aplicación del
“parche”.
o Las soluciones alternativas caso de no existir el “parche” o no
poder aplicarlo.
o La verificación final.
Definir y monitorizar los tiempos máximos de exposición de los
sistemas ante vulnerabilidades graves.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 71
11. Código IT111 Gestión de incidencias.
• Se cuantificarán los tipos, volumen, frecuencia, daños y costes
producidos por los incidentes de seguridad con el objetivo de
identificar las mejoras a establecer y controles necesarios a poner en
práctica. A tal efecto:
Se establecerán procedimientos y responsabilidades en la gestión y
respuesta a las incidencias de seguridad en los servicios.
Se definirá un procedimiento de registro de todas las incidencias
gestionadas. Cuando las incidencias notificadas correspondan con
un evento que ha causado una pérdida en la empresa se activará la
gestión y respuesta al incidente. El procedimiento deberá incluir los
siguientes aspectos:
o Los servicios afectados y comunicación realizada.
o El área o dirección responsable de la resolución.
o Las acciones a realizar en función de la naturaleza y gravedad
del incidente:
Fallos de sistemas y/o pérdida/denegación de servicio.
Código malicioso.
Pérdida confidencialidad y/o integridad de información.
Fuga o abuso de información.
o Las fases por las que pasa la gestión del incidente:
Recopilación de datos y evidencias.
Comunicación a las direcciones y/o clientes afectados.
Investigación y evaluación de riesgo.
Resolución: Acciones de prevención y protección.
Seguimiento del servicio.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 72
o El estado de situación del incidente, con fecha y hora, clasificado
por:
ABIERTO : Incidente notificado.
RESOLUCIÓN : En fase de análisis y solución.
SEGUIMIENTO : Resuelto y servicio restablecido.
CERRADO : Funcionamiento normal del servicio.
4.3.3.6.9 LS100 Licencias de software.
Los productos comprados o licenciados para uso interno y/o en los clientes, deberá
regirse por la normativa del suministrador o distribuidor y será compatible con las
versiones del software en servicio y la plataforma vigente de sistemas, redes y
terminales.
1. Código LS101 Productos y licencias de uso.
• Los sistemas operativos y programas producto deberán estar en
consonancia con la arquitectura y estándares de sistemas, redes y
terminales.
• La oferta de los distintos suministradores ha de cumplir los criterios y
estándares de seguridad de la empresa. Las propuestas serán
vinculantes mediante la inclusión de cláusulas específicas en los
contratos de adquisición.
• El software comercial que se utilice en la empresa estará debidamente
licenciado y su uso se limitará a lo establecido en el contrato. Estará
debidamente soportado por el proveedor, el cuál garantizará por
escrito la resolución de las incidencias.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 73
• El uso de software denominado libre o gratuito y que proceda de
fuentes fiables solo será autorizado por el Comité de Seguridad.
2. Código LS102 Actualizaciones software.
• La actualización, nuevas versiones o “parches” de las licencias
compradas y/o licenciadas se realizará acorde a los requerimientos
oficiales de los suministradores. Todos los cambios se realizarán según
los procedimientos de gestión de cambios incluidos en la normativa de
seguridad.
• El mantenimiento periódico se realizará acorde a los requisitos de los
suministradores y a las necesidades de la empresa.
• Los mantenimientos remotos automáticos, salvo emergencias y control
del área de seguridad, no están permitidos.
4.3.3.6.10 DM100 Desarrollo y mantenimiento.
Los sistemas desarrollados deben ser compatibles con las infraestructuras de técnicas
de sistemas, redes y terminales de la empresa, garantizando el cumplimiento de los
procedimientos y servicios internos.
1. Código DM101 Desarrollo de proyectos.
• Los desarrollos de sistemas y/o aplicaciones, internos o de clientes y las
infraestructuras tecnológicas seguirán un proceso formal de
documentación, especificación, pruebas, control de calidad e
implantación de acuerdo los controles de seguridad de esta normativa.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 74
• Antes de la entrada en explotación de nuevos sistemas e
infraestructuras tecnológicas, se verificará que están implantados los
controles de seguridad definidos en esta normativa.
• Los sistemas desarrollados han de utilizar las soluciones y servicios
técnicos comunes de la empresa con los controles de seguridad
establecidos en esta normativa.
2. Código DM102 Mantenimiento de sistemas.
• Los mantenimientos de sistemas y/o aplicaciones, internos o de clientes
y las infraestructuras tecnológicas consecuencia de los mismos,
seguirán un proceso formal de documentación, especificación, pruebas,
control de calidad e implantación de acuerdo a la gestión de cambios y
los controles de seguridad definidos en esta normativa.
3. Código DM103 Separación de entornos.
• Los entornos de desarrollo, pruebas o certificación y producción
contarán con sistemas y recursos separados para reducir los riesgos de
acceso o cambios en el software y en los servicios.
• Se establecerán reglas para transferir, previa autorización, el software
de los sistemas y aplicaciones entre los entornos de desarrollo, pruebas
y producción.
4. Código DM104 Código fuente.
• El acceso al código fuente de los programas, así como a los documentos
de diseño, especificaciones, arquitectura tecnológica, planes de pruebas,
etc. estará restringido al personal autorizado.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 75
5. Código DM105 Servicios subcontratados.
• Se definirá claramente la propiedad del software desarrollado y los
derechos de propiedad intelectual.
• El desarrollo y mantenimiento de sistemas y aplicaciones empresas
subcontratadas será monitorizado y controlado para garantizar la
calidad y seguridad del software.
• Las empresas subcontratadas firmarán acuerdos o cláusulas de
confidencialidad y no divulgación.
4.3.3.6.11 CR100 Copias de respaldo.
El Comité de Seguridad definirá los criterios de copia y respaldo de la información
de los sistemas, aplicaciones y servicios acorde a las necesidades del negocio.
1. Código CR101 Procedimientos de copia.
• Se dispondrá de procedimientos, dispositivos y soportes para la
realización de las copias de respaldo y posterior recuperación en caso
de desastre o fallo de los sistemas y/o servicios soportes de acuerdo a
los criterios de respaldo y recuperación establecidos.
• Las copias de respaldo se realizarán y se verificará su usabilidad de
forma periódica acorde a criterios establecidos.
• La copia de datos de carácter personal y su vigencia se realizará acorde
a la legalidad vigente.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 76
2. Código CR102 Recuperación de información.
• La recuperación de información a partir de las copias de respaldo
deberá realizarse cuando el proceso, sistema o servicio lo demande y
deberá ser autorizada por el propietario de la misma.
4.3.3.6.12 GS100 Gestión de soportes externos.
Los soportes externos con documentación y datos de la empresa y/o de proyectos y
servicios serán inventariados y etiquetados con la información suficiente para su
identificación, conservación, distribución y uso.
1. Código GS101 Identificación.
• Se mantendrá un registro o inventario con los datos identificativos de
cada soporte, por ejemplo:
Código identificación.
Tipo soporte: CD/DVD, cartucho, disco externo, etc.
Localización: interno/externo.
Situación: usable o destruido y fecha asociada.
Tiempo de vigencia de la información almacenada.
Información almacenada: documentos, presentaciones, diseños y
desarrollos de proyecto, códigos fuente, ofertas a clientes, copia de bases
datos y/o archivos, etc.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 77
2. Código GS102 Conservación.
• Los soportes externos serán almacenados en lugares cuyas condiciones
ambientales de humedad y temperatura cumplan los requisitos de
conservación especificados por los fabricantes de los mismos.
• Si la información almacenada en un soporte externo debe conservarse
durante un plazo mayor que el tiempo de vida del soporte deberá
copiarse la información a un soporte nuevo.
• Los soportes no necesarios, por información obsoleta o caducidad del
mismo, deberán ser destruidos de forma que sea imposible recuperar la
información que contienen.
3. Código GS103 Distribución y uso.
• El acceso al contenido de los soportes externos estará restringido acorde
a los niveles de clasificación de la información almacenada.
• Se implantarán procedimientos de entrada/salida de los soportes
externos. Se mantendrá registro en el que se refleje la siguiente
información:
Código identificación del soporte.
Tipo: CD/DVD, Cartucho, Disco externo, etc.
Fecha y hora de entrada/salida.
Emisor/destinatario.
Motivo entrada/salida.
• Se establecerán mecanismos de protección que garanticen la
confidencialidad e integridad de la información y controles que
permitan detectar si se ha producido algún acceso no autorizado.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 78
4.3.3.6.13 CN100 Continuidad de negocio.
Se definirán planes de contingencia de los procesos, sistemas y servicios para reducir
las consecuencias derivadas de incidencias que afecten, total o parcialmente, a la
capacidad operativa de la empresa y garantizar la recuperación inmediata de la
actividad de negocio. La elaboración del plan de contingencia de un proceso, sistema
o servicio la realizará el responsable o propietario del mismo.
1. Código CN101 Recursos críticos y responsabilidades.
• Se definirán los procesos, sistemas o servicios que sean considerados
criticos para el negocio.
• Los procesos, sistemas y servicios críticos deberán incluirse dentro del
alcance del plan de contingencia.
• Se determinará el propietario de cada proceso, sistema y servicio
crítico.
2. Código CN102 Análisis de impacto.
• Se realizará un análisis de impacto de los procesos, sistemas y servicios
críticos con las consecuencias para el negocio ante cualquier incidencia.
• Los análisis de impacto tendrán en cuenta los siguientes puntos:
Clasificar los eventos, internos o externos, que pueden causar una
pérdida, deterioro o paralización de los recursos críticos, tanto
directa como indirectamente: fallos en las infraestructuras técnicas
de sistemas, redes y terminales, errores humanos, fuego, desastres
naturales, accidentes, actos terroristas, etc.
Evaluar el máximo tiempo que el negocio puede aguantar antes de
contraer pérdidas.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 79
3. Código CN103 Alternativas de respaldo.
• Establecer las alternativas de respaldo para cada evento en función los
tiempos máximos sin servicio.
• Evaluar las alternativas de respaldo acorde al balance entre la perdida
ocasionada por la indisponibilidad de los recursos y el coste necesario
para recuperarlos.
4. Código CN104 Selección de estrategias de respaldo.
• Definir la estrategia global de respaldo como la integración y
priorización de las diferentes alternativas de respaldo analizadas en el
punto anterior. La estrategia de respaldo tratará de recuperar los
recursos afectados de la manera más rápida y efectiva posible.
• En la selección de las estrategias de respaldo se tendrá en cuenta las
capacidades de los suministradores externos, tanto de plataformas
técnicas como de servicios, y las necesidades de los clientes.
• Evaluar la búsqueda de acuerdos con otras empresas para llegar a
posibles asociaciones y sinergias en las estrategias de respaldo.
5. Código CN105 Desarrollo e implantación.
• Acorde a las estrategias de respaldo se establecerán los equipos de
emergencia, los procedimientos y los planes de actuación necesarios
para garantizar la recuperación de los procesos, sistemas y servicios
dentro de los parámetros de tiempo y calidad establecidos.
• En todo el proceso de desarrollo e implantación se garantizará la
seguridad de los sistemas y los datos.
• Se tendrán en cuenta los siguientes puntos:
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 80
La identificación de los recursos incluidos en el alcance del plan de
contingencia: personas, infraestructuras físicas y técnicas,
capacidades de proceso, sistemas, servicios, bases de datos, datos,
documentos, etc.
Las relaciones y dependencias con otros planes de contingencia
existentes en la empresa.
Los datos de contacto de todas las personas involucradas en el
desarrollo del plan de contingencia: responsable, coordinadores,
equipos de emergencia, suministradores involucrados, etc.
La definición de los criterios y condiciones de activación.
La contratación de los recursos, infraestructuras externas y
prestación de servicios para la puesta en marcha de la estrategia de
respaldo.
La revisión de todas las prestaciones de servicios ya existentes que
entren a formar parte de la estrategia de respaldo.
Los recursos y organización de los equipos de emergencia con el
detalle de responsabilidades, funciones y dependencias orgánicas.
• Los planes de contingencia se probarán, actualizarán y revisarán
regularmente para comprobar su eficacia y actualización.
• Los planes de contingencia se revisarán y actualizarán en los procesos
de cambio de la empresa que afecten a:
La organización.
Las infraestructuras técnicas.
Las estrategias de negocio y de servicio.
• El Comité de Seguridad determinará los plazos de revisión periódicos.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 81
6. Código CN106 Estructura.
• Los planes de contingencia se estructurarán de forma consistente y
relacionada, de modo que un plan de contingencia englobará e incluirá
los planes de contingencia de rango o alcance inferior y al mismo
tiempo, se englobará y supeditará a los planes de contingencias de
rango o alcance superior.
• El rango o alcance de los planes de contingencia serán:
El negocio: plan de contingencia de la empresa.
Todos o parte de los procesos, sistemas y servicios: plan de
contingencia parcial, ejemplo plan de contingencia de la facturación
de los servicios.
Todos o parte de las infraestructuras que soportan los procesos,
sistemas y servicios de negocio: ejemplo plan de contingencia de
servidores informáticos, plan de contingencia de las oficinas, etc.
4.3.3.6.14 SF100 Seguridad física.
Se diseñarán e implantarán medidas de protección física orientadas a prevenir
riesgos en las oficinas y recursos de la empresa. Las medidas de vigilancia y
protección estarán adaptadas a la legislación vigente.
1. Código SF101 Perímetros de acceso.
• Se establecerán barreras físicas a la entrada y salida de los edificios para
personas, vehículos y paquetería.
• Se establecerán puestos de vigilancia y control de acceso de personas,
vehículos y paquetería.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 82
• Se instalarán dispositivos de video vigilancia en los perímetros de
acceso con sistemas que faciliten el registro y grabación.
• Los puntos de entrada y salida de material y otros en los que personal
no autorizado pueda acceder a los locales, deberán estar protegidos y
aislados del resto de las dependencias.
2. Código SF102 Controles de acceso.
• Se establecerán controles de acceso de personas y vehículos acorde a las
autorizaciones establecidas por la empresa.
• Las visitas a las oficinas y dependencias se regirán por los controles de
acceso establecidos, identificándose con una tarjeta temporal que le será
suministrada en el puesto de vigilancia.
• Los empleados y las visitas están obligados a portar su tarjeta de
identificación personal o temporal en lugar visible durante su estancia
en las oficinas y dependencias.
3. Código SF103 Protección dependencias.
• Se diseñarán e implantarán medidas de protección física orientadas a
proteger los despachos, las oficinas y salas de infraestructuras técnicas:
Los despachos, armarios, archivadores u otros elementos en los que
se almacenen documentos de la empresa deberán ubicarse en áreas
o salas en las que el acceso esté restringido única y exclusivamente
al personal autorizado.
El acceso a dichas áreas estará protegido con puertas y sistemas de
apertura/cierre mediante llave u otro dispositivo equivalente.
Las áreas protegidas deberán permanecer cerradas cuando no sea
preciso su acceso.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 83
Se diseñarán e implantarán medidas de protección frente a
incendios, perdidas de agua u otro desastre casual o provocado.
4. Código SF104 Protección de infraestructuras técnicas.
• El equipamiento técnico deberá ubicarse y protegerse para reducir el
riesgo de amenazas del entorno (agua, fuego, etc.) así como las
oportunidades de accesos no autorizados.
• Los equipos se protegerán frente a fallos eléctricos y otras anomalías en
el suministro necesario: agua, ventilación, aire acondicionado, etc.
• El cableado de energía y telecomunicaciones que porten datos o
soporten servicios de información se protegerán contra interceptación o
daños.
• Los locales donde se encuentren ubicados los equipos tendrán controles
de temperatura y humedad, de manera que los equipos mantengan su
operatividad y disponibilidad.
• Los equipos no saldrán de los locales de la empresa sin previa
autorización.
4.3.3.6.15 CL100 Legislación.
Los controles de seguridad establecidos en esta normativa han de estar adaptados al
cumplimiento de la legalidad vigente.
1. Código CL101 Legislacion aplicable.
• Se identificarán los requisitos de las leyes aplicables en todos los
controles.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 84
• Se definirán los responsables internos de velar por su cumplimiento.
• Se identificarán las implicaciones legales en otros países a los que esté
obligada la empresa por los servicios prestados a los clientes.
2. Código CL102 Propiedad intelectual.
• El uso de software, productos y material licenciado cumplirá con las
restricciones definidas en la legislación aplicable.
• El software o material producido por la empresa susceptible de
protección intelectual será registrado a nombre de la empresa.
3. Código CL103 Registros de auditoría.
• La generación, almacenamiento y acceso a los registros de auditoría de
los sistemas de información y redes de comunicaciones cumplirá con
los requisitos legales establecidos en la LOPD.
4. Código CL104 Protección de datos de carácter personal.
• El tratamiento de información con datos de carácter personal cumplirá
con los requisitos legales establecidos en la LOPD.
• Se definirá una política de protección y privacidad de datos de carácter
personal de la empresa y será comunicada a todos los empleados.
5. Código CL105 Monitorización de sistemas y servicios.
• Los empleados internos y externos serán informados de sus
obligaciones y limitaciones en el uso de los sistemas de información y
redes de comunicaciones de la empresa.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 85
• La empresa se reserva la potestad de vigilar el cumplimiento de estas
obligaciones y limitaciones a través de la monitorización del uso de los
mismos.
6. Código CL106 Auditoría.
• El cumplimiento de la normativa de seguridad será revisado de forma
periódica por una entidad, interna o externa, independiente del área
auditada.
• Las revisiones serán definidas y autorizadas por el Comité de
Seguridad.
• El informe de situación será remito al Comité de Seguridad.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 86
Como resumen, en la figura siguiente se detallan los controles de seguridad descritos
en los ámbitos de gestión, recursos internos de soporte y operaciones de la empresa.
Figura 13. Resumen de los controles establecidos en la normativa de seguridad.
4.3.3.7 Procedimientos y guías de seguridad.
Los procedimientos operativos y guías de usuario que deberán realizar las
direcciones de la empresa establecerán los pasos necesarios a seguir para realizar una
determinada tarea y cumplir con uno o varios de los controles de esta normativa.
Los procedimientos podrán referenciar a otros existentes y podrán ser auditados. Las
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 87
guías de usuario deberán complementar los procedimientos operativos y estarán
orientadas a los jefes de proyecto y empleados. Detallarán todos los aspectos técnicos
y operativos para cumplir con los controles de seguridad. A continuación se detallan
los procedimientos y guías complementarias a poner en práctica para cumplir con la
normativa de seguridad y los controles establecidos:
1. Selección e incorporación de personal.
2. Registro y control de identidades.
3. Obligaciones del personal.
4. Definición y clasificación de activos críticos.
5. Análisis y valoración de riesgos.
6. Clasificación y tratamiento de información.
7. Derechos y autorizaciones de acceso.
8. Gestión de accesos a sistemas y servicios.
9. Controles de acceso a oficinas y areas internas.
10. Gestión y monitorización de los registros de auditoría.
11. Gestión de configuración en las infraestructuras técnicas de sistemas, redes y
terminales.
12. Segmentación del tráfico en las redes.
13. Gestión de cambios en las infraestructuras de sistemas, redes y terminales.
14. Desarrollo y mantenimiento de sistemas y servicios.
15. Pruebas y certificación para la explotación de sistemas de gestión interna.
16. Pruebas y certificación para la entrega y explotación de sistemas de servicio a
clientes.
17. Gestión y respuesta a incidentes.
18. Copias de respaldo y recuperación.
19. Distribución y uso de soportes externos.
20. Planes de contingencia.
21. Vigilancia y protección de dependencias.
22. Protección de locales con infraestructuras técnicas.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 88
4.3.3.8 Estándares ISO/IEC 27002:2005 y COBIT 4.0.
El PSI propuesto está desarrollado conforme a las directrices de:
1. El estándar ISO/IEC 27002:2005 (anteriormente ISO/IEC 17799) para la
seguridad de la información publicado por “International Organization for
Standardization” y por la “Comisión Electrotécnica Internacional” en el año
2000 con el título de “Information technology - Security techniques - Code of
practice for information security management”. Se publicó en el año 2005 un
nuevo documento actualizado denominado ISO/IEC 17799:2005.
El estándar ISO/IEC 17799 tiene su origen en la norma británica “British Standard
BS 7799-1” que fue publicada por primera vez en 1995. En España se ha elaborado
la publicación UNE-ISO/IEC 17799 elaborada por el comité técnico de Aenor
AEN/CTN 71 y titulada “Código de buenas prácticas para la gestión de la
seguridad de la información” que es una copia idéntica y traducida de la norma
internacional ISO/IEC 17799:2000. El estándar proporciona recomendaciones de
las mejores prácticas en la gestión de la seguridad de la información en las
empresas. El estándar define la seguridad de la información como la preservación
de la confidencialidad para que sólo accedan a la información las personas o
sistemas autorizados, la integridad para la información sea exacta y completa
acorde a sus métodos de proceso y disponibilidad, asegurando que los usuarios
autorizados tienen acceso a la información y a sus activos asociados cuando lo
requieran. Incluye las acciones, controles y prácticas a realizar en cada uno de los
ámbitos de gestión de sistemas de información de la empresa.
2. El estándar COBIT 4.0 (Control OBjectives for Information and related Technology) es
el modelo para la gestión de las tecnologías de la información (TI) desarrollado
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 89
por la “Information Systems Audit and Control Association (ISACA)” y el “IT
Governance Institute (ITGI)”.
COBIT 4.0 proporciona a la dirección, gerentes, jefes de proyecto, técnicos y
usuarios de las tecnologías de la información un conjunto de medidas,
indicadores, procesos y mejores prácticas de gerencia y usabilidad de las TI para
maximizar sus ventajas en la empresa con modelos de organización y gestión
experimentados. Describe un marco de gestión de las TI con elementos de control,
escenearios técnicos y evaluación de riesgos de negocio.
COBIT facilita el desarrollo políticas y prácticas para el control de TI en todos los
ámbitos de la empresa con una serie de guías a todos los niveles: visión general
ejecutiva, estructura, objetivos de control, directivas de gestión y modelos a
seguir basados en las mejores prácticas para la definición de planes estratégicos
en TI, arquitecturas de sistemas, consideraciones para las adquisición de
hardware y software, continuidad del servicio y supervisión del funcionamiento.
Independientemente de la realidad tecnológica de cada empresa, COBIT
determina, con el respaldo de las principales normas técnicas internacionales, un
conjunto de mejores prácticas para la seguridad, la calidad, la eficacia y la
eficiencia que son necesarias para alinear las TI con el negocio, identificar riesgos,
entregar valor al negocio, gestionar recursos y medir el desempeño, el
cumplimiento de objetivos y el nivel de madurez de los procesos de la
organización.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 90
Capítulo 5 Plan de acción
5.1 Introducción.
En el capítulo anterior se han definido el conjunto de actividades que conforman el
PSI a poner en práctica por la dirección de la empresa basado en tres acciones
estratégicas. Las dos primeras se han desarrollado anteriormente:
• Definir la política de seguridad de la empresa con los activos críticos para el
normal funcionamiento de la empresa.
• Elaborar la normativa de seguridad con controles específicos para los críticos
del negocio.
En este capítulo se desarrolla el plan de acción para poner en práctica la política de
seguridad con la normativa que la sustenta. En primer lugar se detallarán las
actividades previas que deberá realizar el Comité de Dirección y, en segundo lugar,
las actividades que deberán realizar todas las áreas implicadas y el plan de
implantación.
Finalmente, se propone un cuadro de mando de gestión para evaluar,
periódicamente, el nivel de seguridad de la empresa y unas consideraciones finales
de evolución de futuro.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 91
5.2 Descripción de actividades.
Las actividades a poner en práctica involucran al Comité de Dirección, al Comité de
Seguridad y a cada una de las direcciones de la organización. A continuación se
describen las responsabilidades y objetivos.
5.2.1 Comité de Dirección.
En primer lugar, el Comité de Dirección ha de poner en marcha un plan previo con la
implicación de todas las direcciones. El plan de trabajo consiste en:
• Elaborar el documento “Políticas y normativas de seguridad de MAKE
SERVICES S. L.” para convertirla en la herramienta de uso generalizado en
toda la organización. El contenido básico se describe en el apartado 4.3. El
esquema que deberá tener el documento se describe en el ANEXO I. El
objetivo de la política y normativa de seguridad es:
Unificar criterios de seguridad en toda la organización.
Disponer de una norma común y herramienta de gestión de la
seguridad adaptada a los estándares internaciones.
• Aprobar el documento “Políticas y normativas de Seguridad de MAKE
SERVICES S. L.” en el Comité de Dirección de la empresa. El objetivo, una
vez aprobado, es disponer de:
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 92
La organización de seguridad en la empresa cuyo máximo ámbito
de decisión será el Comité de Seguridad.
La herramienta para la gestión de la seguridad, cuyo máximo
exponente es la normativa de seguridad con un conjunto de sesenta
y seis controles que abarcan quince ámbitos de procesos, sistemas y
servicios de la empresa.
• Preparar un Plan de Divulgación para todos los empleados en el que se
explique el nuevo modelo de gestión de la seguridad en la empresa.
• El Plan de Divulgación ha de utilizar todos los medios:
Reuniones de los directores con sus equipos.
Información en el portal del empleado.
Carteles visibles en las oficinas.
El contenido de las reuniones de las direcciones, la información en el portal y la
correspondiente a los carteles se diseñará acorde a las directrices del Comité de
Dirección con el apoyo de una empresa especializada en seguridad de la
información.
5.2.2 Comité de Seguridad.
El Comité de Seguridad comenzará su plan de actividades un vez que el Comité de
Dirección ha concluido el plan previo con la elaboración, aprobación y divulgación
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 93
del documento de “Políticas y normativas de seguridad de MAKE SERVICES S. L.”
de RRHH.
El plan de actividades, liderado por el Comité de Seguridad y en el que se implicarán
todas las direcciones consistirá, en primer lugar, en:
• Definir y clasificar los activos críticos.
• Análizar y valorar los riesgos.
Una vez definidos lo activos críticos y hecha la valoración de riesgos, el siguiente
paso será elaborar los procedimientos de seguridad y guías que ayuden a las áreas a
aplicar los controles de seguridad establecidos. El objetivo es establecer métodos de
trabajo en los procesos y en las infraestructuras técnicas adaptados a la normativa de
seguridad.
Los procedimientos y guías han de abarcar todos los ámbitos de la gestión operativa
y técnica:
• Procedimientos de gestión operativa:
Selección e incorporación de personal.
Registro y control de identidades.
Obligaciones del personal.
Clasificación y tratamiento de la información.
Derechos y autorizaciones de acceso.
Distribución y uso de soportes externos.
Controles de acceso a oficinas y areas internas.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 94
Planes de contingencia.
Vigilancia y protección de dependencias.
• Procedimientos de gestión técnica:
Gestión de accesos a sistemas y servicios.
Gestión y monitorización de los registros de auditoría.
Gestión de configuración en las infraestructuras técnicas de sistemas, redes
y terminales.
Segmentación del tráfico en las redes.
Gestión de cambios en las infraestructuras de sistemas, redes y terminales.
Desarrollo y mantenimiento de sistemas y servicios.
Pruebas y certificación para la explotación de sistemas de gestión interna.
Pruebas y certificación para la entrega y explotación de sistemas de
servicio a clientes.
Gestión y respuesta a incidentes.
Copias de respaldo y recuperación.
Protección de locales con infraestructuras técnicas.
El Comité de Seguridad encargará la elaboración de los procedimientos de seguridad
y guías de seguridad a las áreas funcionales, siendo los directores los máximos
responsables de conseguir los objetivos propuestos e informarán al Comité de
Seguridad de los avances hasta alcanzarlos.
La elaboración de los procedimientos y guías se realizará con la ayuda de los
suministradores externos. Para los procedimientos de gestión operativa las
direcciones se ayudarán de una subcontratación especializada en sistemas y servicios
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 95
de seguridad. Para los procedimientos de gestión técnica se utilizarán las
capacidades de los suministradores de las infraestructuras técnicas contratados para
su mantenimiento más la implicación de los equipos de tecnología y soporte técnico
de la dirección de Tecnología y Operaciones. El formato y contenido que deberán
tener los “Procedimientos y guías de seguridad” se describe en el ANEXO II.
El Comité de Seguridad elaborará un cuadro de mando de gestión con el detalle de
datos relativos a cada uno de los procedimientos y guias: área funcional responsable,
fechas previstas de comienzo y final, avances e incidencias en la elaboración.
El Comité de Seguridad realizará un seguimiento semanal del grado de avance de los
procedimientos y guías que presentarán cada una de las direcciones implicadas en su
elaboración.
5.2.3 Direcciones funcionales.
La elaboración detallada de los procedimientos y guías descritos anteriormente
implica a todas las direcciones de la empresa Financiera, Recursos Humanos,
Facturación y Cobros, Tecnología y Operaciones y Comercial. Todas las direcciones
están implicadas en la elaboración de los procedimientos comunes:
• Selección e incorporación de personal.
• Registro y control de identidades.
• Obligaciones del personal.
• Clasificación y tratamiento de información.
• Derechos y autorizaciones de acceso.
• Distribuciñon y uso de soportes externos.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 96
• Controles de acceso a oficinas y áreas internas.
• Planes de contingencias.
• Vigilancia y protección de dependencias.
• Gestión de accesos a sistemas y servicios.
• Gestión y monitorización de los registros de auditoría.
• Gestión de cambios en las infraestructuras de sistemas, redes y terminales.
• Desarrollo y mantenimiento de sistemas y servicios.
• Pruebas y certificación para la explotación de sistemas de gestión interna.
• Gestión y respuesta a incidentes.
• Copias de respaldo y recuperación.
• Protección de locales con infraestructuras técnicas.
La dirección de Recursos Humanos será responsable de los procedimientos
operativos relacionados con:
• Selección e incorporación de personal.
• Registro y control de identidades.
• Obligaciones del personal.
• Controles de acceso a oficinas y áreas internas (área de Seguridad).
• Vigilancia y protección de dependencias (área de Seguridad).
La dirección de Tecnología y Operaciones será la responsable de los procedimientos
relacionados con:
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 97
• Procedimientos de gestión operativa:
Clasificación y tratamiento de la información.
Derechos y autorizaciones de acceso.
Distribucion y uso de soportes externos.
Planes de contingencia.
Gestión de accesos a sistemas y servicios.
Controles de acceso a oficinas y areas internas.
Gestión y monitorización de los registros de auditoría.
• Procedimientos de gestión técnica:
Gestión de accesos a sistemas y servicios.
Gestión y monitorización de los registros de auditoría.
Gestión de configuración en las infraestructuras técnicas de sistemas, redes
y terminales:
o Sistemas operativos:
Windows NT.
Windows 2000.
HP/UX.
IBM/AIX.
LINUX.
Sun Solaris.
o Base de datos:
DB2/UDB.
Oracle.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 98
SQL.
Sybase.
o Servidores Web y de Aplicaciones:
CICS.
ITS for SAP/R3.
Notes/Domino.
Tuxedo.
Web Logic.
iPlanet Web Server.
o Discos almacenamiento externo: Dell, Hitachi.
o Robot cartuchos backup: StorageTek.
o Elementos de red: routers, firewall, DNS, switch.
o PCs y portátiles:
Windows 2000 Pro.
Windows XP Pro.
Segmentación del tráfico en las redes.
Gestión cambios en las nfraestructuras técnicas:
o Sistemas.
o Redes.
o Terminales.
Desarrollo y mantenimiento de sistemas y servicios.
Pruebas y certificación para la explotación de sistemas de gestión interna.
Pruebas y certificación para la entrega y explotación de sistemas de
servicio a clientes.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 99
Gestión y respuesta a incidentes.
Copias de respaldo y recuperación.
Protección de locales con infraestructuras técnicas.
Todos los elementos de las infraestructuras técnicas han de estar con la garantía de
soporte técnico y mantenimiento, si no fuera así se realizará la evolución a nuevas
versiones en el menor plazo de tiempo posible y acorde a las necesidades del
negocio. La dirección Comercial colaborará con la dirección de Tecnología y
Operaciones con el procedimiento relacionado con pruebas y certificación para la
entrega y explotación de sistemas de servicio a clientes.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 100
A continuación se resume el conjunto de actividades previas para poner en marcha el
PSI.
Figura 14. Resumen de actividades y responsabilidades del PSI por dirección.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 101
5.3 Implantación y puesta en marcha.
En el apartado anterior se han descrito las actividades de las que son responsables el
director general y las direcciones funcionales de la empresa, coordinadas por el
Comité de Seguridad, y cuyo objetivo es elaborar los procedimientos y guías en cada
uno de los ámbitos de procesos, sistemas y servicios contemplados en la normativa
de seguridad, que son elementos básicos del PSI de la empresa. La situación de
elaboración de cada uno de los procedimientos y guías se presentarán semanalmente
al Comité de Seguridad. Una vez elaborados los procedimientos y guías de
seguridad se establecerá el plan de implantación progresivo de los procedimientos y
las guías en cada una de las direcciones funcionales.
Uno de los objetivos del director general será que el PSI tenga la máxima difusión
entre todos los empleados. Además de las actividades propias del Plan de
Divulgación y los medios empleados, el Comité de Seguidad pondrá en marcha un
nuevo portal de seguridad, accesible desde el portal de empleado, en el que se
detallarán los elementos básicos del PSI:
• La política de la empresa en materia de seguridad y los objetivos.
• La normativa de seguridad y los controles establecidos.
• Las funciones y composición del Comité de Seguridad.
• Los procedimientos y guías de seguridad en cada ámbito de proceso, sistema
y servicio.
A continuación se propone una valoración de los recursos dedicados, internos y
externos, que se necesitarian para cada una de las actividades descritas y un posible
cronograma de actividades.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 102
5.3.1 Recursos internos.
En la tabla siguiente se detallan las actividades que requieren dedicación exclusiva
interna.
Figura 15. Resumen de recursos internos y jornadas dedicadas al PSI por dirección.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 103
5.3.2 Recursos externos.
En la tabla siguiente se detallan las actividades que requieren de colaboración
externa especializada. El resto de actividades es posible realizarlas con las
capacidades y dedicación de los recursos de plantilla valorados anteriormente.
Figura 16. Resumen de recursos externos y jornadas dedicadas al PSI por dirección.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 104
5.3.3 Cronograma de actividades.
La valoración de recursos internos y externos expuesta anteriormente así como las
jornadas por recurso dedicadas a cada actividad, algunas de ellas paralelas en el
tiempo, permite proponer un plan de fechas de ejecución. Una de las actividades, la
elaboración del procedimiento relativo a los planes de contingencia, se realizará en
paralelo al resto de actividades, una vez concluidos los procedimientos de definición
de los activos críticos con la evaluación y valoración de riesgos y el de clasificación y
tratamiento de la información.
Figura 17. Cronograma de actividades del PSI.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 105
El procedimiento de planes de contingencia tiene una correspondencia muy estrecha
con todos los procedimientos operativos y técnicos, por eso precisa ese paralelismo
hasta su elaboración final. Se estima una duración del proyecto de once meses. Con
los periodos de descanso de Navidad y verano el desarrollo del proyecto llevara un
año.
El cronograma de actividades propuesto determina el plazo de desarrollo del PSI en
lo referente a la elaboración y disponibilidad de las metodologías y normativas de
trabajo, paso previo y básico para que toda la organización ponga en práctica, con
esas herramientas, el nuevo modelo de gestión de los procesos, sistemas y servicios
donde la aplicación de los controles de seguridad de la normativa en los ámbitos
operativos y técnicos sea la garantia de ejecución de la nueva política de seguridad
integral de la empresa.
5.3.4 Presupuesto.
La estimación de costes del proyecto se hace en base a los recursos externos y las
jornadas laborales dedicadas al proyecto. Según los datos detallados en el apartado
5.3.2, se estiman un total de 967 jornadas a contratar a una empresa especializada en
la seguridad de la información y la seguridad de las infraestructuras técnicas de
sistemas, red y terminales. En el sector de la seguridad informática, el precio medio
de jornada completa de un consultor se estima en 450 €. Con ese precio de mercado,
el presupuesto para el desarrollo del proyecto, en recursos externos, se estima en
435.150 €.
Además del coste externo, es preciso tener en cuenta el corresponsiente a los recursos
técnicos y operativos internos. Mientras se desarrolla el PSI no se dedican a las
actividades de negocio y, en consecuencia, no producen ingresos. El precio medio de
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 106
un recurso interno, en los ámbitos operativo y técnico de sistemas, es de 339 €. Se ha
estimado un total de 921 jornadas dedicadas por la plantilla, lo que supone un coste
interno de 312.219 €.
En resumen, el presupuesto para el desarrollo del PSI, con los costes internos y los
recursos externos, se cifra en un total de 747.369 €.
5.3.5 Entregables.
El desarrollo de PSI tiene como resultado un conjunto de entregables que, en
definitiva, son las herramientas que MAKE SERVICES S. L. debe utilizar para
ejecutar el PSI propuesto. La documentación entregable será:
1. La “Política y normativa de seguridad de MAKE SERVICES S. L.”
2. La organización y funciones del Comité de Seguridad.
3. El Plan de Divulgación a los empleados de los nuevos métodos de trabajo en
la empresa para la puesta en práctica de controles de seguridad en los
procesos, sistemas y servicios.
4. Los Procedimientos operativos y técnicos que faciliten a las áreas funcionales
la implantación de los códigos de seguridad en sus ámbitos de actividad. En
resumen, y agrupando por ámbitos operativos y técnicos:
• La definición de los activos críticos de la empresa y la evaluación de
riesgos.
• La clasificación y uso de la información crítica para el negocio.
• El diseño, configuración e instalación de infraestructuras técnicas.
• La gestión de los cambios y control de las incidencias.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 107
• La gestión y control de accesos a dependencias y sistemas.
• La calidad en la implantación y puesta en marcha de los servicios internos
y externos.
• La monitorización de acceso y uso de los recursos.
• Los planes de contingencia para la continuidad del servicio y del negocio.
5.4 Cuadro de mando de gestión.
Una vez concluido el desarrollo de los procedimientos y guías que faciliten a la
organización la aplicación operativa de los controles y códigos de seguridad, se hace
preciso evaluar el grado de cumplimiento de la seguridad en los procesos, sistemas y
servicios.
Se trata de medir, de la manera mas sencilla posible, el nivel real de puesta en
práctica del PSI. Como no es posible gestionar lo que no se mide, a continuación se
hace una propuesta de cuadro de mando que, periódicamente y acorde a las
directrices del Comité de Seguridad, deben completar todas las direcciones
funcionales.
El cuadro de mando hace referencia a todos los controles y códigos de seguridad y
las direcciones implicadas en su gestión y/o cumplimentación. Las direcciones
responsables de cada procedimiento serán las encargadas de valorar el grado de
implantación de los controles en su área funcional y en el resto de direcciones.
Se expone, como ejemplo, el modelo de cuadro de mando para uno de los controles,
el relacionado con los activos de información. El mismo modelo deberá extenderse a
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 108
todos los controles de seguridad. El Comité de Seguridad evaluará, periódicamente,
la situación de cada uno de los controles en las áreas funcionales. El objetivo es poner
una fecha límite para la puesta en práctica de todos los controles de seguridad de la
normativa.
Figura 18. Ejemplo de cuadro de mando de gestión de seguridad.
El cuadro de mando propuesto facilitará al Comité de Seguridad la medida del grado
de implantación de la normativa de seguridad de una forma rápida y sencilla.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 109
Capítulo 6 Conclusiones
Tras haber realizado el correspondiente análisis de la situación de seguridad en la
que se encontraba la empresa, haber diagnosticado las amenazas, riesgos y
vulnerabilidades a los que dicha empresa se exponía y haber propuesto un plan de
seguridad para erradicar, en la medida de lo posible, cualquier situación
desaconsejable que entorpezca el buen funcionamiento de la actividad empresarial,
se puede concluir que, una vez elaborado y puesto en marcha el plan de acción
propuesto, hay muchos aspectos organizativos y funcionales en los que las empresas,
del tipo y magnitud que sean, deben poner un énfasis mucho mayor, en lo que a la
seguridad de la información se refiere, y tener en consideración una serie de políticas
de control que muchas veces se creen innecesarias.
Los aspectos y consideraciones a tener en cuenta para llevar a cabo una política de
seguridad eficaz y eficiente, deben basarse en las siguientes premisas:
1. Implicar y concienciar a la alta dirección, al igual que al resto de empleados de
una organización, de la importancia de la seguridad informática para el buen
funcionamiento del negocio. Muchas veces se precisa de mucho esfuerzo y dinero
para lograr esta concienciación pero, sin lugar a duda, toda inversión realizada en
adoptar medidas preventivas, por pequeñas que éstas sean, nunca es suficiente si
se analizan las posibles variantes, por extrañas y remotas que sean, en las que
puede verse envuelta una empresa tras una situación adversa que lleve a una
situación de caos en la organización.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 110
2. Ser conscientes de que las técnicas de ataque informático han evolucionado al
mismo ritmo que lo han hecho las tecnologías. Se debe estar preparado ante
posibles ataques que hace pocos años se creían imposibles.
3. Saber cuáles son los riesgos y amenazas que pueden afectar a una organización,
así como las vulnerabilidades, tanto hardware como software, que presenta dicha
organización.
4. Debe asegurarse la confidencialidad, integridad y disponibilidad de la
información, así como preservar la intimidad de los individuos tal y como se
recoge en la Ley Orgánica de Protección de Datos de carácter personal.
5. La elaboración de un plan de contingencia y continuidad del negocio es
imprescindible para garantizar la actividad empresarial y asegurar el servicio a
los clientes en caso de catástrofe.
En definitiva, proteger los activos críticos de la empresa y, entre ellos, la información
clasificada, del tipo, formato y soporte donde resida, es un requisito del negocio, un
imperativo ético y legal y, siempre, una obligación de servicio al cliente.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 111
Parte III ANEXOS
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 112
ANEXO I POLÍTICAS Y NORMATIVAS DE SEGURIDAD
El contenido del documento ha de contemplar los siguientes apartados:
• Introducción.
Objetivos.
Ambitos de aplicación.
Vigencia.
• Definición de activos críticos.
Descripción.
Evaluación de riesgos.
Metodología de análisis de riesgos.
• Organización y funciones de seguridad
Misión.
Descripción de funciones y actividades.
Órganos de gestión:
o Comité de Dirección.
o Comité de seguridad.
• Normativas de seguridad.
Objetivos.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 113
Ámbitos de aplicación.
Obligaciones de las áreas.
• Descripción de los controles de seguridad en los ámbitos de:
Organización:
o Obligaciones del personal.
o Identificación de empleados.
Activos críticos:
o Dependencias y oficinas.
Protección perimetral e interna.
Infraestructuras técnicas de sistemas y redes.
Configuración de plataformas hardware y software.
o Información.
Clasificación y uso de documentación.
Accesos a dependencias, oficinas, infraestructuras e información:
o Controles de identificación y autenticación.
o Registro y monitorización de uso.
Productos y servicios internos y a clientes.
o Administración y soporte de infraestructuras técnicas.
o Desarrollo y mantenimiento de sistemas.
Contingencias y continuidad de negocio.
o Copias de respaldo y recuperación de sistemas y datos.
o Planes de contingencia.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 114
Legislación.
o Protección de datos personales.
o Licencias de uso productos y servicios.
o Propiedad intelectual.
• Descripción general de los “Procedimientos y guías de seguridad” en los
ámbitos de:
Gestión: procesos y actividades.
Operación: configuración, soporte y administración de sistemas y redes y
plataformas técnicas asociadas.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 115
ANEXO II PROCEDIMIENTOS Y GUÍAS DE SEGURIDAD
Los documentos establecerán los pasos necesarios para realizar una determinada
tarea con el objetivo de cumplir con uno o varios de los controles establecidos en el
documento “Políticas y normativas de seguridad”. Los procedimientos y guías son
ejecutados por personas de la organización y deben dejar evidencias de su
cumplimiento para, en su caso, poder ser auditados. Tendrán un modelo de formato
único con los siguientes apartados:
• Introducción.
• Objetivos.
• Definición de activos y elementos básicos implicados.
Inventario de procesos, sistemas, terminales e información.
Controles aplicables de la normativa de seguridad.
• Actividades y operativa para el cumplimiernto de los controles de seguridad.
• Responsabilidades directas.
• Relaciones con otros procedimientos y guías.
• Fechas de aprobación, vigencia y actualización del documento.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 116
ANEXO III BIBLIOGRAFÍA
[SANC07] “La seguridad corporativa, nuevos retos nuevas exigencias.”
Manuel Sánchez Gómez-Melero.
2007 “Biblioteca de Seguridad” E. T. Estudios Técnicos, S.A.
[INTE06] “Guía para proteger la red WIFI en la empresa.”
2006 Instituto Nacional de Tecnologías de la Comunicación.
[COMP06] “Soluciones de vanguardia adaptadas al negocio: claves
tecnológicas y claves de éxito.”
Computing REDES&TELECOM.
2006 VNU Business publications España.
[CISC06] “Seguridad en la red” Cisco System.
Cisco System.
2006 VNU Business publications España.
[ASEN06] “Seguridad en Internet.”
Gonzalo Asensio.
2006 Ediciones Nowtilus, S. L.
[ALPE04] “Seguridad informática para empresas y particulares.”
Gonzalo Álvarez Marañón, Pedro Pablo Pérez García.
2004 McGraw-Hill / Interamericana de España S.A.U.
[GCLS03] “La protección de datos personales” en entornos Microsoft.
G. Gallo, I. Coello de Portugal, F. Larrondo, H. Sánchez.
2003 Microsoft Ibérica S.L.
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 117
[JOHN99] “Guide to High Availability.”
Jeannie Johnstone Kobert.
1999 Sun Microsystems, Inc.
[BIAL99] “Solaris Guide for Windows NT Administrators.”
Tom Bialaski.
1999 Sun Microsystems, Inc.
[ANAY97] “Construcción de una INTRANET corporativa.”
1997 Ediciones Anaya Multimedia, S.A.
[WYGA96] “Clusters for High Availability.”
Peter S. Wygant
1996 Hewlett-Packard Company
Plan de Seguridad Integral MAKE SERVICES S. L.
____________________________________________________________________________ 118
ANEXO IV RECURSOS Y VALORACIÓN ECONÓMICA
Para el desarrollo del PFC se han utilizado los siguientes recursos:
• El ordenador portátil Fujitsu-Siemens Modelo Amilo M1425 con Sistema
Operativo Microsoft Windows XP.
• El producto Microsoft Office 2003 (Word, Excel y Powerpoint).
• El servicio ADSL de conexión y acceso a Internet.
• La plantilla (Microsoft Office Word) de presentación de PFCs suministrado por la
UPCO-ICAI.
• La bibliografía detallada en el documento y conversaciones con los compañeros
con experiencia en la realización y presentación del PFC.
• Los conocimientos adquiridos en la carrera y el tiempo de lectura, consultas,
elaboración de borradores y documento final del PFC.
• El servicio de impresión y encuadernación.
Figura 19. Detalle de los recursos dedicados y su valoración económica.