implementacioniso2700-1

8/12/2019 ImplementacionISO2700-1

1/136

C Plan de implementacin de laISO/IEC 27001:2005. TFM-MISTIC: Juan Pablo Nieto Muoz

Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx. 19/04/2013 Edicin 3.1Confidencial y Privado | Confidential and Proprietary Pgina 1 de 136

E

ISO/IEC

27001:2005. E

.

T : A T G


2/136

C Plan de implementacin de laISO/IEC 27001:2005 TFM-MISTIC: Juan Pablo Nieto Muoz


C .

F V A R

11/MAR/13 0.1 JPN M I .

15/MAR/13 1.0 JPN M F 1 .

20/MAR/13 2.0 JPN M F 2 .

28/MAR/13 2.1 JPN M F 2 .

04/ABR/13 2.2 JPN M F 1 R .

08/ABR/13 3.0 JPN M F 3 .

19/ABR/13 3.1 JPN M F 3

25/ABR/13 3.2 JPN M F 4 .

09/MAY/13 3.3 JPN M F 4 .

14/MAY/13 4.0 JPN M F 5 .

24/MAY/13 4.1 JPN M F 5 .

03/JUN/13 5.0 JPN M F 6 .

06/JUN/13 6.0 JPN M F 6


3/136



............................................................................................................................................. 3

C 1. ...................................................................................................................................... 6

S : C , ...............................

1.1. I . .................................................................................................. 61.2. O . ..................................................................................................... 7

1.3. E . .................................................................................. 8

1.3.1. D ............................................................................... 8

1.3.1. O . .............................................................................................................. 9

1.3.2. V . ....................................................................................... 11

1.3.3. A . ....................................................................................... 11

1.4. D : A ISO/IEC 27001 27002 P DS . ................................................................................................................................ 15

P D S . ................................................................................................. 16

1.5. A . .................................................................................. 17

1.5.1. A . ................................................................................... 17

1.5.2. R . ................................................................................... 34

1.6. P . .............................................................................................. 35

C 2. .................................................................................................................................... 37

S .................................................................................................. 37

2.1. I . ................................................................................................................... 37

2.2. P . ...................................................................................................... 37

2.3. P . ............................................................................ 37

2.4. G . ................................................................................................... 37

2.5. P . ..................................................................... 45

2.6. G . ............................................................................. 46

2.6.1. C . ............................................................................................... 46


4/136


5/136



F N : S . .................................................... 114

F N : G . ........................ 11

F N : C . .................................................................... 116

F N : A , SI. ...................... 1

F N : G .

F N : G . .................................... 118

F N : C . .......................................................................... 118

5.5. P . .......................................................................................... 119

5.5.1. E . ..................................................................... 119

5.5.2. G . .................................................................................. 120

5.5.3. R NO C . ........................................................... 120

5.5.4. G . .................................................................. 121

5.6. C . ................................................................................................................. 121

C 6. .................................................................................................................................. 123

R .................................................................................................................... 123

B . ................................................................................................................................ 125A . ...................................................................................................................................... 126

A A. P . ............................................................................................. 126

A.1. I . ............................................................................................................. 126

A.2. F . ..................................................................... 127

A.3. M . ......................................................................................................... 131

A.4. A . ....................................................... 13

A.5. P . ........................................................................... 131A.6. A . ............................................................................... 132

A.7. R . .................................................................................................... 133

A.8. R . ..................................................................................... 133

A B. P . ........................................................................ 134


6/136



C

C

L

, , . L

, XXI . C

, ,

, (TI)

L , , ,

. .

L ( , , , .)

, .

E ( : , , , , .;

,

. S

: , , , , , .

U 27000:

. P


7/136



, , .

L , ISO/IEC 27000

A E ISO/IEC 27000

ISO/IEC 27000

TI.

D ,

; . A ISO/IEC 27000

, / .

E , ,

: . E . M

.

L .

2

E ISO/IEC 27001:2005 . E SGSI (S

G S I )

D .

D SGSI.

A .


8/136



o I .

o I , .

E ISO/IEC 27002:2005 .

P .

E .

C :

I .

E ISO/IEC 27001.

A .

P .

A .

P .

3

3 L , ,

. E

100 50 , ( ).

L P M (I B (CPD

(85%) CPD.

L

. H COBIT ITI .


9/136



D . A

( : , , I+D ,

3 E .

Direccin general

Gestin de cuentas Desarrollo deSoftwareExplotacin de

Sistemas

Infraestructura deSistemas y

comunicaciones

Areo

Corporativo

Hoteles

Mayorista

Minorista

Personas-Marketing

Receptivo

Administracin deSistemas

Administracin deaplicaciones

Operaciones

Servicios Tcnicos

Sistemas

Comunicaciones

Infraestructuras

PMO

L :

D : E . P

. E (1) D G (1) S D

PMO: E ,

D G , ,


10/136



(, , , , , .)

. P K H

. E (1) M (1) C . E

.

G : E (A M . T

. E G C , (7) A

M (1) D C .

D S : E ( ) . E 5

: J , .NET, SAP, B I I , 4 J P , A , A P . E

: (1) D D , (15) J P , (3) A , (15) A(30) P .

E S : E . E

( 1 FTE). E (34 + 1 D ):

A S : (5) A S C .

A A : (10) T S AM (1) C .

O : (5) O S (1) C .

S T : (5) T S (1) C .

I , S C : E I , S

C . E (3) J P (1) R .

S G : E

,


11/136



RRHH: (1) R RRHH (1) T RRHH

L : (1) R L (1) T L

A : (1) R A , (1) R F , (1)A (1) T F .

3 2 L ,

, . E : . N

.

A . L

D . P S C . S TI (H , API, S R , .) I+D T .

3 3 A L P M (B ),

(CPD). L 2 500 O CPD. E [P P O ]

; [P P CPD] AACC, SAI . E [S P O ] TI; [SP CPD] CPD.

L

T .

L , .

.


12/136



E D 4S 1R 6C 4G 7C 1J P 18A 3A 15

P 30A 5T S 5T A 10O 5T SSGG 3

T 117

.

H E O P D R

P C 8T 10" D 4E D 66E S 25E O 9E (R ) 3

P (R ) 1I O I L B/N O 4

I L C O 2I M O 2I M D 5

D R S C3 D O 10S C3 D CPD 10S C6 C CPD 2R CPD 5F 4


13/136



S S 2S F 2S W P 10S W API 10S B O 5S BBDD 5S B 2S CMS 4S A 2S A 5

S G P 2S SAP 2S D T 5S D P P 5S 1

CA

C A(P ) 2C A (P ) 2

.

I CPD SAI 2G 2AACC I 4C 16S 8A 6A 12

.

S S MS W 2003 2008 2012 40MS E 2010 2MS TMG 2MS TFS 2HP D B 2SAP 2O SGBD 5


14/136



R SO 10M 4 1

E MS O 2010 10

MS V 2010 2MS P 2012 4MS V S 2010 10A P 2SAP 7

.

C A F O V 1000000 V MB O V 2000000 P MAPI R 750000 API ROTA R 500000 OTA RC H 500000 B C HR T 500000 G RA C 350000 M V A

G H 450000 G HR M 3000000 V M

/ .

I TI C TICC C

C BD BD

BD O

SSGG C CF

D P 2015O M C S

IK H

V C C


15/136



4 A / C 27 E

, , ISO/IEC 27001:2005 P D S .

P , (SGSI)

ISO/IEC 27002:2005 E

GAP.

E (SGSI) ISO/IEC 27001. S

P DS SGSI.

P ISO/IEC 270

, ,

, .

E : ISO/IEC 27002:2005 GAP ISO/IEC 27002:200

ISO/IEC 270F

ISO/IEC 27001:2005.

H GAP ISO/IEC 27001:2005

, ,

. P ,

.

L A A .

C , ,


16/136



. E , ,

ISO/IEC 27001:2005.

E A B A ISO 27002 .

E P D S

, .

E P D S (G , ISO/IEC 27001:2005,

. E , .

E P D S , .

ISO/IEC 27001:2005 .

E P D S , (

SI). C / , ,

;


17/136



5 A 5 A

5 POLTICA DE SEGURIDAD

5 1 POLTICA DE SEGURIDAD DE LA INFORMACIN

5 1 1Documento de

poltica deseguridad de la

informacinSEGURIDAD

Existen normativas especficas respecto al usode los recursos de informacin as comoprocedimientos documentados sobre lasarquitecturas y sistemas pero no una PolticaGeneral de Seguridad (todas unidas tampoco laforman). La Direccin de la organizacin no esconsciente de ella y por ello no la ha aprobado.

0 - I n e x i s

t e n

t e

N o c u m p

l e

5 1 2Revisin de la

poltica deseguridad de la

informacinSEGURIDAD

No existe Poltica de Seguridad, tampoco hasido aprobada por la direccin por lo tanto no serevisa.

0 - I n e x

i s t e n

t e

N o c u m p

l e

6 ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN

6 1 ORGANIZACIN INTERNA

6 1 1Compromiso de laDireccin con laseguridad de la

informacinSEGURIDAD

No se ha creado formalmente el Comit deGestin de la Seguridad de la Informacin.Aunque la Direccin muestra su apoyo a laseguridad dentro de la organizacin y asignafunciones no lo hace a travs de directricesclaras, tampoco ha realizado una asignacinexplcita ni el reconocimiento deresponsabilidades.

0 - I n e x

i s t e n

t e

N o c u m p

l e

6 1 2Coordinacin de la

seguridad de lainformacin

SEGURIDADLas actividades relativas a la seguridad soncoordinadas y asignadas entre los diferentesroles y funciones aunque no existenprocedimientos documentados. 2 -

R e p e

t i b l e

N o c u m p

l e

6 1 3Asignacin de

responsabilidadesen seguridad de la

informacinSEGURIDAD

Los activos de informacin no estn claramentedefinidos y aunque en algunos casos existe unaasignacin de responsabilidades no es formal.

1 - I n

i c i a l / a d H o c

N o c u m p

l e

6 1 4

Proceso deautorizacin derecursos para laseguridad de la

informacin

SEGURIDADExiste un proceso de autorizacin para losnuevos recursos de procesados de informacinaunque no es formal ni est documentado.

3 - P r o c e s o

d e

f i n

i d o

N o c u m p

l e

6 1 5 Acuerdos deconfidencialidad SEGURIDADEn algunos casos se han establecidos acuerdosde confidencialidad pero no son revisados deforma peridica, tampoco cuando se incorporannuevos activos de informacin. 2 -

R e p e

t i b l e

C u m p

l e


18/136



6 1 6 Relacin con lasautoridades SEGURIDAD

Existen procedimientos de prevencin deriesgos y accidentes laborales (incendios,inundaciones, etc.) as como un protocolo deactuacin claramente documentado. En el casode la seguridad de la informacin, por ejemplorobos, ataques externos, incidentes terroristas,etc no se establece procedimiento formal.

2 - R e p e

t i b l e

C u m p

l e

6 1 7Relacin con

grupos de intersespecial

SEGURIDADSe establecen relaciones con grandesproveedores aunque ninguno de especialrelevancia en cuestiones de seguridad de lainformacin.

1 - I n


N o c u m p

l e

6 1 8Revisinindependiente de la


SEGURIDAD

Se realizan con frecuencia revisiones

independientes de seguridad (auditoras)aunque no en todas las reas (pe.Procedimientos, controles, etc.) No existe unapoltica clara que defina la frecuencia y lametologa.

2 - R e p e t i b

l e

C u m p l e

6 2 TERCERAS PARTES

6 2 1Identificacin de

riesgos derivadosdel acceso de

tercerosCOMPRAS

Se realiza un exahustivo anlisis en la seleccinde un proveedor (tercera parte) y siempre seconfia el servicio a un importante proveedor(representa su seriedad y buenas prcticas). Nose definen ni se identifican los riesgos quesuponen en procesado de la informacinaunque se establecen controles generales deasignacin de permisos y accesos.

2 - R e p e

t i b l e

N o c u m p

l e

6 2 2Tratamiento de laseguridad en larelacin con los

clientesNEGOCIO

Se revisan los requisitos de seguridad con losclientes y se establecen los controles que sesolicitan.

2 - R e p e

t i b l e

C u m p

l e

6 2 3Tratamiento de

seguridad en loscontratos con

tercerosCOMPRAS

Siempre que se contrata un servicio a untercero se realiza un contrato pero no en todaslas ocasionas este incluye las clusulas deseguridad correspondientes.

3 - P r o c e s o

d e

f i n

i d o

N o c u m p

l e

7 GESTIN DE ACTIVOS

7 1 RESPONSABILIDAD SOBRE LOS ACTIVOS

7 1 1 Inventario deactivosSISTEMAS-

REDES

Se realiza un inventario detallado de equipos,servidores y otros dispositivos propiedad de laorganizacin o utilizados en sus procesos denegocios pero no existe un inventario de losactivos de informacin. 3

- P r o c e s o

d e

f i n

i d o

C u m p

l e

7 1 2 Propietarios de losactivosSISTEMAS-

REDESEn el inventario existente se asigna unpropietario al activo pero no lo especificarazonablemente se hace de forma genrica.

3 - P r o c e s o

d e

f i n

i d o

N o c u m p

l e


19/136



7 1 3 Uso aceptable delos recursos RRHHHay publicado un cdigo de conducta y unagua general sobre el buen uso de los recursosde informacin de la organizacin.

4 - G e s

t i o n a

d o y e v a

l u a b

l e

C u m p

l e

7 2 CLASIFICACIN DE LA INFORMACIN

7 2 1Directrices declasificacin RRHH

Se cumple con la normativa vigente de LOPD ypor lo tanto se tiene clasificada la informacinque contiene datos personales segn lalegislacin vigente pero no se clasificanaquellos activos de informacin que nocontienen datos personales y tampoco seidentifican segn la criticidad para laorganizacin. 3

- P r o c e s o

d e

f i n i d o

C u m

p l e

7 2 2Etiquetado y

tratamiento de lainformacin

SEGURIDADFISICA

La informacin clasificada est etiquetada ytiene un tratamiento adecuado a lascaractersticas asignadas aunque como se hacomentado anteriormente no estcorrectamente clasificada. 3

- P r o c e s o

d e

f i n

i d o

N o c u m p

l e

8 SEGURIDAD LIGADA A LOS RRHH

8 1 ANTES DEL EMPLEO

8 1 1 Funciones yresponsabilidades RRHH

Existe un documento descriptivo de todos lospuesto de trabajo de la organizacin, donde sedescribe cuales son sus funciones yresposabilidades pero no en todos los casos sedefinen las responsabilidades de terceros.Muchas veces no se especifican lasresposabilidades respecto a la seguridad. 4

- G e s

t i o n a

d o y

e v a

l u a

b l e

C u m p

l e

8 1 2 Investigacin deantecedentes RRHHAntes de realizar una contratacin se solicitanreferencias y se investigan los antecedentes delempleador o tercero. Se solicita documentacinoficial sobre ttulos, etc.

4 -

G e s

t i o n a

d o y

e v a

l u a

b l e

C u m p

l e

8 1 3 Trminos ycondiciones delempleo

RRHH

De acuerdo con la legislacin se les hace firmar

una clusula legal (genrica) aunque no uncdigo tico ni acuerdos. En contratos muyantiguos no se ha realizado nunca. Sucede conempleados y terceras partes.

3 - P r o c e s o d

e f i n

i d o

C u m p

l e

8 2 DURANTE EL EMPLEO

8 2 1 Responsabilidadesde la Direccin RRHHAunque se trasmite a los empleados una guadel buen uso de los recursos de la informacinno existe una poltica de seguridad clara.

1 - I n


C u m p

l e


20/136



8 2 2

Concienciacin,formacin y

capacitacin enseguridad de la

informacin

RRHHNo se realiza concienciacin, formacin ocapacitacin respecto a la seguridad de lainformacin.

0 - I n e x

i s t e n

t e

N o c u m p

l e

8 2 3 Procesodisciplinario RRHHNo existe un proceso disciplinario formal y claropara los empleados que hayan provocado laviolacin de la seguridad.

0 - I n e x

i s t e n

t e

N o c u m p

l e

8 3 CESE DEL EMPLEO O CAMBIO DE PUESTO DE TRABAJO

8 3 1 Responsabilidaddel cese o cambio RRHHExiste un procedimiento documentado respectoa la baja o cambio de puesto del personal. Sehan asignado claramente las responsabilidades.

4 -

G e s

t i o n a

d o y

e v a

l u a

b l e

C u m p

l e

8 3 2 Devolucin deactivos RRHHExiste un procedimiento (aunque nodocumentado) sobre la devolucin de losactivos de la organizacin al finalizar su empleo,contrato o acuerdo.

4 -

G e s

t i o n a

d o y

e v a

l u a

b l e

C u m p

l e

8 3 3Supresin de los

derechos deacceso

RRHH

Existe un procedimiento documentado yrevisado respecto a la supresin de derechosde acceso en el caso de cese o cambio defuncin. En algunos casos puntuales no soninformados los cambios de funcininmediatamente, 4 -

G e s

t i o n a

d o y

e v a

l u a

b l e

C u m p

l e

9 SEGURIDAD FSICA Y AMBIENTAL

9 1 REAS SEGURAS

9 1 1 Permetro deseguridad fsicaSEGURIDAD

FISICA

Las instalaciones de la organizacin estncerradas al personal ajeno a esta mediantemuros, barreras, puertas y otros elementosfsicos. No es posible el acceso a lasinstalaciones fsicas sin autorizacin. 5 -

O p

t i m

i z a

d o

C u m p

l e

9 1 2 Control fsicos deentradaSEGURIDAD

FISICA

Todas las instalaciones de la organizacin estncontroladas mediante un permetro deseguridad al cual se accede por tarjeta consupervisin de personal de la organizacin, sinella no es posible el acceso. Las zonassensibles estn protegidas con tarjeta y cdigo. 5

- O p

t i m

i z a

d o

C u m p

l e

9 1 3Seguridad de

oficinas, despachosy salas

SEGURIDADFISICA

Las salas sensibles (rack de switches,servidores, SAIs y otros aparatos) estnprotegidos mediante una puerta con llavesiempre cerrada a custodia de los responsables.Los despachos estn protegidos con puertascon cerradura y se cierran siempre que esnecesario.

5 - O p

t i m

i z a

d o

C u m p

l e


21/136



9 1 4Proteccin contra

amenazas externasy de origenambiental

SEGURIDADFISICA

La organizacin tiene instaladas proteccionescontra amenazas externas: sistemas deextincin de incendios en todos los espacios,proteccin del fuego en zonas medianteinfraestructuras especiales (puertas ignfugas,etc.). Zonas sensibles en espacios altos paraevitar daos en inundaciones acompaadas dedesages en zonas de riesgo. En cuanto aamenazas provocadas por el hombre cuentacon las barreras fsicas habituales (puertas,muros, etc).

5 - O p

t i m

i z a

d o

C u m p

l e

9 1 5 Trabajo en reas

seguras

SEGURIDAD

FISICA

La organizacin tiene implementada una seriede directrices para el uso de espacio comunes,asegurando las zonas de trabajo (no se puedeentrar alimentos, reas limpias de materiales,etc.) 5 -

O p t i m

i z a

d o

C u m p

l e

9 1 6Acceso publico,

zonas de carga ydescarga

SEGURIDADFISICA

En las zonas de acceso al pblico o zonas decarga y descarga siempre est presente unempleado de la organizacin supervisando elacceso o las tareas que se deben realizar.Estas zonas se mantienen libre del tratamientode informacin o est protegidaadecuadamente.

5 - O p

t i m

i z a

d o

C u m p

l e

9 2 SEGURIDAD DE LOS EQUIPOS

9 2 1Emplazamiento yproteccin de los

equiposSEGURIDADFISICA

Los equipos de la organizacin y otrosdispositivos de tratamiento o mantenimiento de

la informacin son adecuadamente ubicadosmediante la proteccin de los mismos; accesosno autorizados, problemas ambientales(goteras, lluvia, etc), etc. 5

- O p

t i m i z a

d o

C u m p

l e

9 2 2 Instalaciones desuministroSEGURIDAD

FISICA

Todas las instalaciones de la organizacin estnprotegidas ante fallos de alimentacin(Diferenciales, SAIs, grupos electrgenos yotros dispositivos). Las zonas especialmentesensibles estn reforzadas con un sistemaadicional y redundante que asegura elfuncionamiento y la continuidad de la operativaen caso de fallo elctricos o la proteccin antelos mismos.

5 - O p

t i m

i z a

d o

C u m p

l e

9 2 3 Seguridad delcableadoSISTEMAS-

REDES

Tanto el cableado elctrico como decomunicaciones est protegido anteinterceptaciones o daos. Se ubican en suscorrespondientes bandejas y los accesos delcableado especialmente protegido slo esconocido por el personal autorizado. 5

- O p

t i m

i z a

d o

C u m p

l e


22/136



9 2 4 Mantenimiento delos equiposSISTEMAS-

REDES

Los equipos (servidores, etc) y dispositivostienen un mantenimiento adecuado y semonitorizan constantemente ante falloshardware, en caso de fallo son inmediatamentereparados. Los equipos y dispositivosespecialmente crticos tienen asociado uncontrato de reparacin en caso de fallo (porimportantes proveedores). Aunque no existeuna evaluacin de riesgos ni una poltica clara.

5 - O p

t i m

i z a

d o

C u m p

l e

9 2 5Seguridad de

equipos fuera delos locales propios

SEGURIDADFISICA

Los equipos que se emplean fuera de laorganizacin cumplen las mismas medidas quelos equipos que se emplean dentro, no seaplican medidas especiales (encriptacin, etc) yaunque suele existir una autorizacin del

responsable no se lleva una buena gestin deellas. 1 - I n i c i a l / a d H o c

N o c u m p

l e

9 2 6Seguridad en lareutilizacin oeliminacin de

equipos

SISTEMAS-REDES

La organizacin es consciente de la importanciade las buenas prcticas de la retirada oreutilizacin de equipos por la importancia delos datos que contienen pero no existe ningunapoltica formal al respecto. Aunque losdispositivos de almancenamiento son retiradosy reutilizados de forma segura el procedimientono est controlado ni revisado. Se lleva elcontrol de las licencias a modo general (no muyexhaustivo).

2 - R e p e

t i b l e

N o c u m p

l e

9 2 7Retirada de

materiales depropiedad de la

empresa

SEGURIDADFISICA

Existen controles sobre la retirada de materialespero son dbiles y no estn documentados. Seprotege la salida de los activos propiedad de laorganizacin aunque no se est especialmenteconcienciado del peligro que conlleva.

1 - I n


N o c u m p l e

10 GESTIN DE COMUNICACIONES Y OPERACIONES

10 1 RESPONSABILIDADES Y PROCEDIMIENTOS DE OPERACIONES

10 1 1Documentacin delos procedimientos

de operacionesSISTEMAS-

REDES

La mayora de los procedimientos deoperaciones estn correctamentedocumentados y habitualmente se revisan. Semodifican mediante autorizacin delresponsable y se lleva un control de lasversiones. Adems estn a disposicin de todoslos usuarios que los necesiten, tampoco permiteasociar los activos afectados (equipos, software,informacin, etc).

5 - O p

t i m

i z a

d o

C u m p

l e

10 1 2 Gestin de loscambiosSISTEMAS-

REDES

Se lleva un control de cambios (con un procesoclaro y previa autorizacin) aunque no es muyexhaustivo y no identifica el rea de trabajo(sistemas, comunicaciones, software, etc) niaplica ninguna clasificacin. 3

- P r o c e s o

d e

f i n

i d o

C u m p

l e


23/136


24/136



10 4 1 Controles contrasoftware maliciosoSISTEMAS-

REDES

Todos los equipos y servidores tieneninstalados antivirus locales (centralizados)adems de sus correspondientes firewalls.Adicionalmente se aplican proteccionesadicionales en las zonas en contacto conInternet (Firewalls). El control est documentadoy se revisa frecuentemente.

5 - O p

t i m

i z a

d o

C u m p

l e

10 4 2 Controles contracdigo mvilSISTEMAS-

REDES

Las barreras perimetrales de acceso a Internetas como los antivirus locales (incluyenantimalware) y la propia proteccin delnavegador protegen a los equipos y servidoresdel cdigo mvil. Aunque no hay una polticaespecfica la organizacin es consciente de lanecesidad del control. 4

- G e s

t i o n a

d o y

e v a

l u a

b l e

C u m p

l e

10 5 COPIAS DE SEGURIDAD

10 5 1Copias de


SISTEMAS-REDES

La organizacin evalua la necesidad de lascopias de seguridad al poner en explotacin unnuevo sistema y realiza un inventario y controlde las mismas. Adicionalmente se revisan deforma peridica y se hacen pruebas puntualesde recuperacin aunque no de todos lossistemas. La mayora de procesos de copias deseguridad estn documentados y existenprocedimientos para llevarlos a cabo.

5 - O p

t i m

i z a

d o

C u m p

l e

10 6 GESTIN DE LA SEGURIDAD DE LA RED

10 6 1 Controles de red SISTEMAS-REDES

La organizacin cuenta con una redsegmentada (dependiendo de la criticidad de losdatos y la exposicin al exterior) por Firewalls yasegurada por rutas y reglas de acceso.Adicionalmente cuenta con dispositivosavanzados que detectan comportamientosextraos en la red.

5 - O p

t i m

i z a

d o

C u m p

l e

10 6 2 Seguridad de losservicios de redSISTEMAS-

REDES

Los servicios de red estn identificados y tienenasignados las caractersticas de seguridad yalgunas veces los requisitos de gestin pero noen todos los servicios (sobre todo los internos)se identifican los acuerdos con la direccin.

4 - G e s

t i o n a

d o y

e v a

l u a

b l e

C u m p

l e

10 7 MANIPULACIN DE SOPORTES

10 7 1 Gestin desoportes extrablesSISTEMAS-

REDES

Aunque se establecen controles tcnicos sobreel uso de memorias extrables no se realizansobre unidades de CD/DVD u otrosdispositivos.Tampoco se establecenprocedimientos formales (por escrito) nirecomendaciones. 1 -

I n i c i a l / a d H o c

N o c u m p

l e

10 7 2 Retirada desoportesSISTEMAS-

REDES

Aunque no existe una poltica o procedimientoformal (por escrito) la mayora de soportes sedestruyen manualmente al ser retirados aunqueno sucede as con las estaciones de trabajo uotros dispositivos de menor envergadura. 2

- R e p e

t i b l e

N o c u m p

l e


25/136



10 7 3Procedimiento demanipulacin de la

informacinSISTEMAS-

REDES

La informacin se manipula correctamente yexisten controles/procedimientos que laprotegen contra los accesos no autorizados o eluso indebido pero no existe poltica oprocedimiento por escrito sobre las prcticas orecomendaciones. 4 -

G e s

t i o n a

d o y

e v a

l u a

b l e

C u m p

l e

10 7 4Seguridad de la

documentacin delos sistemas

SISTEMAS-REDES

La documentacin y la informacin en generalest protegida mediante reglas de accesoproporcionadas por los responsables de losdatos. Se est mejorando la gestin en lacentralizacin creando accesos por grupos derecursos.

3 - P r o c e s o

d e

f i n

i d o

C u m p

l e

10 8 INTERCAMBIO DE INFORMACIN

10 8 1Polticas y

procedimientos deintercambio de

informacinSEGURIDAD

Se han establecido polticas y procedimientospara el intercambio de informacin sobre todoaquella que contiene datos personales aunqueno ha sido comunicada a todas las partes. Enalgunos casos no se observan clusulas deconfidencialidad y en la comunicacin de voz nose han aplicado correctamente los controlesadecuados. 3

- P r o c e s o

d e

f i n

i d o

C u m p

l e

10 8 2 Acuerdos deintercambio RRHHEn ninguno de los casos se han establecidoacuerdos de intercambio de informacin entre laorganizacin y terceros.

0 - I n e x

i s t e n

t e

N o c u m p

l e

10 8 3 Soportes fsicos entransitoSEGURIDAD

FISICALa organizacin tiene una poltica clara y formalsobre los procedimientos de trnsito desoportes fsicos, se lleva a cabo correctamentey se revisa con cierta frecuencia.

5 -

O p

t i m

i z a d

o

C u m p l e

10 8 4 Correo electrnico SISTEMAS-REDES

La informacin contenida en el correoelectrnico presenta las protecciones estndardel producto, no se han aplicado certificados niencriptacin. 3 -

P r o c e s o

d e

f i n

i d o

C u m p

l e

10 8 5Sistemas deinformacin

empresarialesSISTEMAS-

REDES

La interconexin de los sistemas empresarialesestn debidamente controlados y se gestionacorrectamente su alta, baja y modificacin deaccesos. Existe una documentacin asociada alrespecto.

4 - G e s t

i o n a

d o y e v a

l u a

b l e

C u m p

l e

10 9 SERVICIOS DE COMERCIO ELECTRONICO

10 9 1 ComercioelectrnicoSISTEMAS-

REDES

La organizacin utiliza el comercio electrnico ypor ello cumple con la legislacin vigenteasociada (LOPD, LSSI, etc) adicionalmente seprotege de actividades faudulentas y disputascontractuales mediante sistemas de seguridad(Firewalls, encriptacin, certificados digitales,etc). Existe una poltica formal al respecto.

5 - O p

t i m

i z a

d o

C u m p

l e


26/136



10 9 2 Transacciones enlneaSISTEMAS-

REDES

Las transacciones en lnea se realizan medianteencriptacin del canal de comunicacin, ya seapor certificados digitales u otros medios. Sellevan a cabo otros controles que aseguran latransaccin pero no existe una poltica formal alrespecto. 4 -

G e s

t i o n a

d o y

e v a

l u a

b l e

C u m p

l e

10 9 3 Informacin conacceso publicoSISTEMAS-

REDES

La informacin puesta a disposicin pblica estdebidamente protegida frente a modificacionesno autorizadas y se revisa frecuentemente. Losservidores estn correctamente actualizados ypresentan sistemas antivirus/antimalwareactivos. 4 -

G e s

t i o n a

d o y

e v a

l u a

b l e

C u m p

l e

10 10 MONITORIZACIN

10 10 1 Registro deauditorasSISTEMAS-

REDES

Todos los sistemas de informacin tienen activoel registro de eventos de seguridad pero no seha establecido ninguna poltica comn dealmacenamiento. Tampoco existedocumentacin respecto a la configuracin o losrequisitos del negocio.

3 - P r o c e s o

d e

f i n i d o

N o c u m p

l e

10 10 2 Monitorizacin deluso de los sistemasSISTEMAS-

REDES

La organizacin ha establecido losprocedimientos para la monitorizacin ysupervisin de los recursos de procesamientode informacin, estos se revisanperidicamente. No existe una poltica formalpero las medidas se toman de forma adecuada. 5

- O p

t i m

i z a

d o

C u m p

l e

10 10 3 Proteccin de lainformacin de losregistros

SISTEMAS-REDES

Los registros de seguridad de los sistemas seprotegen de forma adecuada de los accesos noautorizadas y de manipulaciones indebidas. Nose revisan de forma frecuente.

5 -

O p

t i m

i z a

d o

C u m p

l e

10 10 4Registros de

administracin yoperacin

SISTEMAS-REDES

Los registros de seguridad registran cualquierevento del sistema, incluyendo aquellosrealizados por los operadores y losadministradores de sistemas. No existe ningnprocedimiento de revisin peridica. 3

- P r o c e s o

d e

f i n

i d o

C u m p

l e

10 10 5 Registros de fallos SISTEMAS-REDES

Se realiza la gestin de fallos de los sistemasmediante varias herramientas de monitorizacinque permiten a los administradores actuar paraprevenir la interrupcin o solucionarla.

5 - O p

t i m

i z a

d o

C u m p

l e

10 10 6 Sincronizacin derelojesSISTEMAS-

REDESLos relojes de todos los sistemas estnsincronizados con una precisin de tiempoacordada. Existe un procedimiento forma que serevisa con cierta frecuencia.

5 -

O p

t i m

i z a d

o

C u m p l e

11 CONTROL DE ACCESO

11 1 REQUISITOS DE NEGOCIO PARA EL CONTROL ACCESO

11 1 1 Poltica de controlde acceso SEGURIDAD

Aunque la organizacin lleva a cabo un controlde acceso siguiendo las indicaciones de ladireccin o los clientes (requisitos del negocio)no existe ninguna poltica de control accesoformal (documentada y revisada). 3

- P r o c e s o

d e

f i n

i d o

C u m p

l e

11 2 GESTIN DE ACCESO DE USUARIO


27/136



11 2 1 Registro de usuario SISTEMAS-REDESLa organizacin tiene un procedimiento formalde alta, baja y modificacin de usuariosmediante el cual se concenden y revocan losderechos de acceso. Este documento seactualiza y revisa con frecuencia. 5 -

O p

t i m

i z a d o

C u m p

l e

11 2 2 Gestin deprivilegiosSISTEMAS-

REDES

La gestin de privilegios slo corresponde aldepartamento de Administracin de Sistemas(en el caso de sistemas comunes) y explotacinde aplicaciones (en el caso de aplicaciones).Ningn otro usuario puede realizar estasfunciones. Aunque no existe un esquema formalde autorizacin el procedimiento se realizacorrectamente. 3

- P r o c e s o

d e

f i n

i d o

C u m p

l e

11 2 3Gestin de las

contraseas de losusuarios

SISTEMAS-REDES

Se realiza una gestin correcta de lascontraseas de los usuarios tanto a nivel deaplicacin como de sistema a travs de unproceso formal (se establece caducidad ybloqueo) aunque no existe ninguna polticaformal sobre la gestin de contraseas (entrega,cambio, etc). Tampoco se firman clusulas deconfidencialidad de la contrasea.

4 - G e s t

i o n a

d o y e v a

l u a b

l e

C u m p

l e

11 2 4Revisin de los

derechos deaccesos

SISTEMAS-REDES

No existe ningn procedimiento formal derevisin de los derechos de acceso, losresponsables de la informacin confian en losderechos establecidos y slo se revisan en casode error, anomala o incidencia. 0 -

I n e x

i s t e n

t e

N o c u m p

l e

11 3 RESPONSABILIDAD DE USUARIO

11 3 1 Uso de lascontraseasSISTEMAS-

REDES

La organizacin ha establecido mtodostcnicos para que las contraseas cumplan conunos requisitos de seguridad adecuados (noest aplicado en las aplicaciones) pero no existeuna gua de recomendaciones en la seleccinde contraseas para los usuarios.

3 - P r o c e s o

d e

f i n

i d o

C u m p

l e

11 3 2 Equipo de usuariodesatendidoSISTEMAS-

REDES

Se han establecido controles tcnicos para elbloqueo de equipos desatendidos (tanto enestaciones de trabajo como servidores) pero noexiste una gua/formacin de concienciacindirigida a los usuarios.

4 - G e s

t i o n a

d o y

e v a

l u a

b l e

C u m p

l e

11 3 3Poltica de puesto

de trabajodespejado y

bloqueo de pantalla

SISTEMAS-REDES

No existe ninguna poltica formal de puesto detrabajo despejado y bloqueo de pantalla aunquela organizacin ha establecido mtodos tcnicospara el bloqueo de sesiones. 3 -

P r o c e s o

d e

f i n

i d o

C u m p

l e

11 4 CONTROL DE ACCESO A LA RED

11 4 1 Poltica de uso delos servicios de redSISTEMAS-

REDES

El uso de los servicios de red (un granporcentaje) est controlado tcnicamente y slose habilita el acceso previa autorizacin pero noexiste una poltica formal sobre la solicitud deacceso. Como debilidad la organizacin permiteel acceso a la red por DHCP si un dispositivo seconecta a una toma (sin autorizacin previa). 3 -

P r o c e s o

d e

f i n

i d o

C u m p

l e


28/136



11 4 2Autenticacin deusuarios para

conexionesexternas

SISTEMAS-REDES

Se establecen la autentificacin de usuariospara conexiones externas mediante rangos deIP y enrutamientos preestablecidos, estoscontroles se acompaan de reglas de acceso enFirewalls. 5 -

O p

t i m

i z a d o

C u m p

l e

11 4 3 Identificacin deequipos en la redSISTEMAS-

REDES

Todos los equipos de la red estn identificadose inventariados (de forma automtica), serealiza un control sobre la incorporacin denuevos equipos (evala la autorizacin de suacceso a la red). Existe una estructura definidade la red y la asignacin de IPs por zonas. 5

- O p

t i m

i z a

d o

C u m p

l e

11 4 4Diagnstico remotoy proteccin de los

puertos deconfiguracin

SISTEMAS-

REDES

De forma general los puertos de configuracinde equipos, servidores, switches y otros estn

protegidos ya sea por medidas lgicas comofsicas. 5 - O p

t i m

i z a

d o

C u m p

l e

11 4 5 Segregaciones dela redSISTEMAS-

REDES

Las redes de la organizacin estncompletamente segregadas y protegidasteniendo en cuenta su criticidad, exposicin alexterior y el valor de la informacin queprotegen. Esto se complementa con dispositivosavanzados de vigilancia de la red. 5

- O p

t i m

i z a

d o

C u m p

l e

11 4 6 Control deconexin a la redSISTEMAS-

REDES

La organizacin establece controles deconexin a la red mediante enrutamientos,firewalls y otros elementos. Adicionalmente semonitorizan los accesos y se controla elconsumo de recursos. 5 -

O p

t i m

i z a

d o

C u m p

l e

11 4 7Control de

encaminamiento enla red

SISTEMAS-REDES

La organizacin tiene implementado un controlde encaminamiento de red, todas las redes queestn controladas se encaminan a suscorrespondientes firewalls y en estos seestablecen las reglas de acceso. 5 -

O p

t i m

i z a

d o

C u m p

l e

11 5 CONTROL DE ACCESO AL SISTEMA OPERATIVO

11 5 1Procedimiento

seguros de iniciode sesin

SISTEMAS-REDES

Se establecen mecanismos tcnicos de inicio desesin seguro: no muestra el ltimo usuariologeado, bloqueo de contraseas por intentosfallidos, tiempo de espera al bloqueo de cuenta,comunicacin cifrada de la contrasea, etc peroestos no se recogen en una poltica. Tampocose muestra un aviso general del acceso limitadoa los usuarios autorizados.

5 - O p

t i m

i z a

d o

C u m p

l e

11 5 2Identificacin y

autenticacin deusuario

SISTEMAS-REDES

No todos los usuarios del sistema tienenidentificadores personales, existen muchosusuarios genricos donde no se puede trazar lapersona (tanto en sistema como en aplicacin). 3 -

P r o c e s o

d e

f i n

i d o

N o c u m p

l e

11 5 3 Sistema de gestinde contraseasSISTEMAS-

REDES

El sistema de gestin de contraseas escorrecto, se almacenan cifradas, se estableceuna complejidad a las contraseas, un periodode caducidad, un historial recordatorio. Ademsse permite al usuario la modificacin decontrasea en la mayora de casos, etc. 5

- O p

t i m

i z a

d o

C u m p

l e


29/136



11 5 4Uso de las

utilidades de lossistemas operativos

SISTEMAS-REDES

Tanto en equipos como en servidores se limitael uso y acceso a las herramientas y utilidadesdel sistema operativo que puedan daar partedel mismo. Slo el personal tcnicoautorizado/capacitado tiene acceso a estas.Adicionalmente todas las aplicacionesinnecesarias son eliminadas del sistema perono existe una poltica formal al respecto.

5 - O p

t i m i z a

d o

C u m p

l e

11 5 5Desconexinautomtica de

sesinSISTEMAS-

REDES

En el acceso a sistemas remotos se estableceun timeout de sesin (Citrix, Terminal Server,TMG, etc) pero no sucede lo mismo en lasaplicaciones internas de la organizacin ni enlas sesiones de usuario en las estaciones detrabajo. 4 -

G e s

t i o n a

d o y

e v a

l u a

b l e

C u m p

l e

11 5 6Limitacin de las

ventanas deconexin

SISTEMAS-REDES

Dadas las necesidades del negocio no se hanestablecido ventanas de limitacin de conexinya que los clientes requieren el uso del sistemaen cualquier hora/da del ao.

4 - G e s

t i o n a

d o y

e v a

l u a

b l e

C u m p

l e

11 6 CONTROL DE ACCESO A LAS APLICACIONES Y A LA INFORMACIN

11 6 1Restriccin de

acceso a lainformacin

SISTEMAS-REDES

Las aplicaciones tienen asignados distintosmenus dependiendo el perfil del usuario, slolos usuarios de soporte tienen acceso a toda lainformacin. Existe documentacin al respecto.

4 - G e s

t i o n a

d o y

e v a

l u a

b l e

C u m p

l e

11 6 2 Aislamiento desistemas sensiblesSISTEMAS-

REDESLos sistemas sensibles estn aislados ycorrectamente protegidos bajo los requisitos delnegocio y del propietario de los datos.

5 - O p

t i m

i z a d o

C u m p

l e

11 7 ORDENADORES PORTTILES Y TELETRABAJO

11 7 1Ordenadoresporttiles y

comunicacionesmviles.

SISTEMAS-REDES

Aunque la mayor parte de la informacin estcentralizada y se utilizan protocolos seguros ascomo mecanismos adicionales, no existe unapoltica formal sobre la utilizacin de equipos ydispositivos porttiles o mviles.

1 - I n


N o c u m p

l e

11 7 2 Teletrabajo RRHH

No existe una poltica formal de teletrabajodonde se indiquen los requisitos necesarios

(antivirus, firewall, conexin, ubicacin fsica,etc) as como acuerdos de licencia o propiedadintelectual, reglas de uso (acceso a la familia,

), etc. 1 - I n i c i a l / a

d H o c

N o c u m

p l e

12 ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DEINFORMACIN

12 1 REQUISITOS DE SEGURIDAD EN SISTEMAS DE INFORMACIN

12 1 1Anlisis y

especificaciones derequisitos de

seguridadDESARROLLO

En el anlisis y especificaciones de los nuevosproductos se suelen evaluar las caractersticasy controles de seguridad aunque no en todaslas ocasiones. Cuando se asumen debilidadesde seguridad no se realiza una evaluacin deriesgos.

3 - P r o c e s o

d e

f i n

i d o

N o c u m p

l e


30/136



12 2 PROCESO CORRECTO EN LAS APLICACIONES

12 2 1 Validacin de losdatos de entrada DESARROLLOLas aplicaciones tienen aplicada la validacinde datos de entrada, detectando y evitando loserrores. Estos controles protegen a lasaplicaciones de ataques estndar.

4 -

G e s

t i o n a

d o y

e v a

l u a

b l e

C u m p

l e

12 2 2 Control del procesointerno DESARROLLOLas aplicaciones de la organizacin realizan uncontrol interno de la informacin que manejanvigilando la integridad de los datos y evitandolos ataques estndar.

4 -

G e s

t i o n a

d o y

e v a

l u a

b l e

C u m p

l e

12 2 3 Integridad de losmensajes DESARROLLOLas aplicaciones no incorporan la verificacin dela integridad de los mensajes aunque existencontroles adicionales que pueden complementareste objetivo. 2 -

R e p e

t i b l e

N o c u m p

l e

12 2 4 Validacin de losdatos de salida DESARROLLO

No se realiza la validacin de los datos desalida en todas las aplicaciones/informesaunque en todos los casos se proporciona a losusuarios la informacin suficiente para que sepueda evaluar correctamente. 2

- R e p e

t i b l e

N o c u m p

l e

12 3 CONTROLES CRIPTOGRFICOS

12 3 1Poltica de uso de

los controlescriptogrficos

SEGURIDADNo existe una poltica formal sobre el uso de loscontroles criptogrficos que recoja lainformacin el enfoque, el anlisis de riesgos ylas medidas implementadas.

1 - I n


N o c u m p

l e

12 3 2 Gestin de claves SEGURIDAD

La organizacin tiene un implementado unsistema de gestin de claves en donde segeneran y almacenan los certificados, gestinde claves, etc. Este sistema est protegido yexiste una poltica no formal sobre su uso.

3 - P r o c e s o

d e

f i n i d o

N o c u m p

l e

12 4 SEGURIDAD EN LOS ARCHIVOS DE SISTEMA

12 4 1Control delsoftware enexplotacin

SISTEMAS-REDES

Existen controles del software en explotacinmediante la gestin de cambios y se realizan lasactualizaciones del sistema mediante unproceso documentado y probado.Adicionalmente existe un registro de auditorade los cambios realizados y la posibilidad de

restaurar un sistema si en el cambio seproducen errores. 4 - G e s

t i o n a

d o y e v a

l u a

b l e

C u m p

l e

12 4 2 Proteccin de losdatos de prueba DESARROLLONo se establece proteccin adicional a los datosde pruebas, se utilizan los mismos mecanismosy controles que con los datos reales.

1 - I n


N o c u m p

l e

12 4 3 Control de accesoal cdigo fuente DESARROLLO

La gestin del acceso al cdigo fuente serealiza de forma correcta; slo los usuariosautorizados tienen acceso al cdigo fuente yeste est protegido contra modificaciones.Adicionalmente se realiza un registro de loscambios. 4 -

G e s

t i o n a

d o y

e v a

l u a

b l e

C u m p

l e


31/136



12 5 SEGURIDAD EN LOS PROCESOS DE DESARROLLO Y SOPORTE

12 5 1 Procedimiento decontrol de cambiosSISTEMAS-

REDES

La organizacin lleva a cabo un procedimientode gestin de cambios donde se establece elnivel de autorizacin, los sistemas afectados,los cambios realizados, etc. Esta gestin decambios realiza un registro de los pasosrealizados y permite trazar una auditora delproceso. Aunque es necesario mejorarlo ya queno se puede asociar el activo

2 - R e p e

t i b l e

C u m p

l e

12 5 2

Revisin tcnica delas aplicaciones

despus decambios en los

sistemas operativos

SEGURIDAD

Siempre que se realiza un cambio a nivel desistema o a nivel de software se realiza unarevisin tcnica sobre el cambio realizado uotros aspectos relacionados. Aunque es

necesario mejorar el rea de Quality y Testing. 4 - G e s

t i o n a

d o y

e v a

l u a

b l e

C u m p

l e

12 5 3Restriccin en los

cambios a lospaquetes de

software

SISTEMAS-REDES

La organizacin slo realiza cambios enpaquetes de software cuando el cliente tieneuna necesidad, el software presenta unproblema o con intencin de mejorar surendimiento/funcionamiento. Todos los cambiosson evaluados y probados, no se realizan sinprevia autorizacin y el software original seconserva.

5 - O p

t i m

i z a

d o

C u m p

l e

12 5 4 Fuga deinformacin DESARROLLO

La organizacin no tiene a disposicin de losempleados escneres u otros dispositivos

similares, adems limita el tamao de salida delos correos, no permite el uso de sticks dememoria, y otros controles similares queimpiden la fuga de informacin.

4 - G e s

t i o n a

d o y e v a

l u a

b l e

C u m p

l e

12 5 5Desarrollo

externalizado desoftware

DESARROLLO

Se realiza el desarrollo externalizado desoftware pero no en todos los casos se hanestablecido: los contratos de licencia, propiedaddel cdigo, requisitos de calidad y seguridad delsoftware, etc.

4 - G e s

t i o n a

d o y

e v a

l u a

b l e

C u m p

l e

12 6 GESTIN DE VULNERABILIDADES TCNICAS

12 6 1Control de

vulnerabilidadestcnicas

SEGURIDAD

Normalmente la organizacin lleva a cabo lagestin de las vulnerabilidades tcnicas encuanto a sistemas operativos Microsoft pero noen el resto de software (Acrobat, Java, etc. -incluido aplicaciones Microsoft) y dispositivos(Cisco, etc).

3 - P r o c e s o

d e

f i n

i d o

C u m p

l e

13 GESTIN DE INCIDENCIAS DE SEGURIDAD DE LA INFORMACIN

13 1 REPORTE DE INCIDENCIAS Y DEBILIDADES


32/136



13 1 1Notificacin de los

eventos deseguridad de la

informacinHELP DESK

La organizacin posee un help desk de soporte24x365 (punto nico: web, telfono y correoelectrnico) donde usuarios y proveedorespueden notificar las incidencias aunque no sehace distincin entre problemas habituales oincidencias de seguridad. No existedocumentacin del sistema de gestin deincidencias. 3

- P r o c e s o

d e

f i n i d o

N o c u m p

l e

13 1 2Notificacin de lospuntos dbiles de

la seguridadHELP DESK

Los empleados, contratistas y terceros notificanlas incidencias pero no estn obligados (porpoltica, por clusula, o similar) a notificar lospuntos dbiles de seguridad.

1 - I n


N o c u m p

l e

13 2 GESTIN DE INCIDENCIAS DE SEGURIDAD Y MEJORAS

13 2 1 Responsabilidadesy procedimientos HELP DESKLa organizacin no cuenta con un esquemaformal de responsabilidades y procedimientospara el tratamiento de las incidencias deseguridad (especfico).

1 - I n


N o c u m p

l e

13 2 2Aprendizaje de los

incidentes deseguridad de la

informacinHELP DESK

La organizacin no cuenta con ningnmecanismo que permita el aprendizaje sobre losincidentes de seguridad.

1 - I n


N o c u m p

l e

13 2 3 Recopilacin deevidencias HELP DESK

En caso de incidentes de seguridad laorganizacin realiza la recopilacin deevidencias pero no sigue ningn procedimientoespecfico y muchas veces por desconocimientono las realiza rigurosamente. 2

- R e p e

t i b l e

N o c u m

p l e

14 GESTIN DE LA CONTINUIDAD DE NEGOCIO

14 1 ASPECTOS DE SEGURIDAD DE LA INFORMACIN EN LA CONTINUIDAD DENEGOCIO

14 1 1

Incluir la seguridadde la informacinen el proceso de

gestin de lacontinuidad de

negocio

SEGURIDADLa organizacin cuenta una gestin de lacontinuidad del negocio a baja escala, sinanalizar grandes catstrofes/daos y sin incluirla seguridad de la informacin. 2 -

R e p e

t i b l e

N o c u m p

l e

14 1 2Continuidad de

negocio y anlisisde riesgos

SEGURIDADLa organizacin no ha realizado un plan decontinuidad a partir del anlisis de un anlisis deriesgos.

1 - I n


N o c u m p

l e

14 1 3

Desarrollo eimplantacin de

planes decontinuidad

incluyendo laseguridad de la

informacin

SEGURIDAD dem

1 - I n


N o c u m p

l e


33/136



14 1 4 Marco deplanificacin de lacontinuidad denegocio

SEGURIDAD dem 1 -

I n i c i a l / a d H

o c

N o c u m p

l e

14 1 5

Prueba,mantenimiento yrevisin de los

planes decontinuidad de

negocio

SEGURIDAD dem

1 - I n


N o c u m p

l e

15 CUMPLIMIENTO

15 1 CUMPLIMIENTO DE LOS REQUISITOS LEGALES

15 1 1 Identificacin de lalegislacinaplicable

ASESORIAJURIDICA

La organizacin cumple con la LOPD, LSSI yotra legislacin vigente y as lo demuestra losinformes de auditora presentados.

5 - O p

t i m

i z a

d o

C u m p l e

15 1 2Derechos de

propiedadintelectual

ASESORIAJURIDICA

La organizacin cumple con la propiedadintelectual; compra las licencias a fuentes deconfianza, mantiene un inventario de losproductos, realiza un revisin anual de losmismos, etc. Aunque no tiene publicada unapoltica sobre el cumplimiento de la DPI. 5

- O p

t i m

i z a

d o

C u m p

l e

15 1 3Proteccin de losdocumentos de la

organizacinASESORIAJURIDICA

La organizacin almacena y protegeadecuadamente la documentacin oficialrequerida adems de establecer

adecuadamente los periodos de retencin de lainformacin. En su contra no se estableceningn documento formal que indique elcalendario de conservacin o las directrices deconservacin.

5 - O p

t i m i z a

d o

C u m p

l e

15 1 4Proteccin de datos

de carcterpersonal yprivacidad

ASESORIAJURIDICA

La organizacin cumple con la LOPD, LSSI yotra legislacin vigente y as lo demuestra losinformes de auditora presentados.

5 - O p

t i m

i z a

d o

C u m p

l e

15 1 5Prevencin del maluso de los recursos

informticosRRHH

La organizacin realiza la prevencin del maluso de los recursos informticos mediantemedidas y controles tcnicas e informa a losempleados sobre el uso indebido de estos.

5 -

O p

t i m

i z a

d o

C u m p

l e

15 1 6Regulacin de

controlescriptogrficos

SEGURIDADLa organizacin cumple con la regulacin de loscontroles criptogrficos e implanta su usocuando es necesario aunque no existe unadocumentacin especfica al respecto. 3 -

P r o c e s o

d e

f i n

i d o

C u m p

l e

15 2 CUMPLIMIENTO DE LAS POLTICAS Y NORMAS DE SEGURIDAD

15 2 1Cumplimiento de

las polticas ynormas deseguridad.

AUDITNo se detectan informes formales sobre lasrevisiones del cumplimiento por parte de losdirectores aunque parece que informalmente serealiza este seguimiento. 2 -

R e p e

t i b l e

N o c u m p

l e


34/136



15 2 2Comprobacin del

cumplimientotcnico

AUDITEn los ltimos aos se han realizado auditorastcnicas y procedimentales, la organizacinposee los informes resultados. Ha analizado losinformes y est implementando las mejoras.

5 - O p

t i m

i z a

d o

C u m p

l e

15 3 CONSIDERACIONES SOBRE LAS AUDITORIAS DE LOS SISTEMAS DEINFORMACIN

15 3 1Controles de

auditora de lossistemas de

informacin

AUDIT

En la realizacin de las auditoras se haseleccionado el mbito y los controlesnecesarios para minimizar el riesgo de lasinterrupciones. No existe documento generalpero se prepara un contrato con cada auditora. 5 - O

p t i m

i z a

d o

C u m p

l e

15 3 2

Proteccin de lasherramientas de

auditora desistemas deinformacin

AUDITTodas las herramientas de auditora estnespecialmente protegidas y slo son accesiblespara los administradores/auditores.

4 - G e s t

i o n a

d o y

e v a

l u a

b l e

C u m p

l e

5 2 C

5. P . 0 % 100 %

6. O .36 % 64 %

7. G . 60 % 40 %

8. S RRHH. 78 % 22 %

9. S . 77 % 23 %

10. G .87 % 13 %

11. C . 84 % 16 %

12. A , .

60 % 40 %

13. G .

0 % 100 %

14. G . 0 % 100 %

15. C . 90 % 10 %


35/136



6


36/136




37/136



C 2

2 T

, SGSI ISO/IEC 27001

.

L SGSI .

2 2 I A A .

2 3 I A B .

2 4 E

.

P , SGSI. A .

C

E

E

E SW


38/136



E

G

G

G

G

G SW

M M

M LOPD

M P C

M

M

M

N

N

N

N

N

N

N

N SW

N

N

N


39/136



N

N

N

N

N

N

P P

P

P

P

P

P

P

P P

P

P P C N

P

P

P

P

P

P

P RRHH


40/136



P

P

P

P

P

P

P

P

P

P

P

P

P

P

P A

P /

P

P P HW SW

P

P

P SW

P


41/136



P

P

P

P

P

P

P P

P

P

P T.I

P L

A :

C

5.1.2 N D .

6.1.8

15.3.1

N ( ).

N N .

8.2.2 N .

9.1.4 N (A )

9.1.2 % / .

[(A F I / A T ) * 100]

V T : 20%

9.2.1 % .


42/136



11.3.2

11.7.1

15.2.1

[(N / N ) * 100]

V T : 10%

9.2.6 N / .

[N / N + ]

V T : 75%

10.1.1

10.8.1

% .

[(N / N ) * 100]

V T : 75%

10.1.2

12.4.1

12.5.1

N .

[(N / N ) *100]

V T : 10%

N .[(N / N ) *100]

V T : 90%

10.3.1 % .

[(MB / MB ) *100]

V T :20%

% .

[(MB / MB ) *100]

V T :20%

% .

10.4.1

10.4.2

% .

[(N / N ) *100]

V T :10%


43/136



N / ( )

10.5.1 N .

% ( )

[(N / N ) *100]

V T :10%

10.7.2 N .

10.8.2 N .

10.9.1

10.9.2

N .

% .

[(N / N ) *100]

V T :5%

10.10.2 % .

[(N / N ) *100]

V T : 10%

11.2.1

11.6.1

% / .

[(N / N ) *100]

V T : 20%

11.2.1

11.2.2

11.2.4

N .

N A / .

11.4.2

11.4.3

11.4.6

N VPN .

11.4.3

11.4.6

% .

[(N / N ) *100]


44/136



V T : 10%

11.4.5 N / .

11.4.6 % .

[(N / N ) *100]

V T : 20%

11.4.7 N .

11.5.1

11.5.3

% .

[(N / N ) *100]

V T : 10%

13.1.1

13.2.2

N .

T .

% .

% .

13.2.2 % ( ) .

[(N / N ) *100]

V T : 5%

15.1.1

15.1.2

% .

[(N / N ) *100]

V T : 90%

15.1.3

15.1.4

N , ( ).

T % .


45/136



2 5 L D

, D .

L D ,

SGSI.

E

SGSI. L D , ,

, SGSIR S .

E /

C .

C , : , , .

C

E R S . E .

L , SGSI, , ,

.

L D ( ). S 3 ,

.

D ( ) .


46/136



2 6 E ,

SGSI.

C ( ) (

).

C , P S

.

2 6 C E

, :

I .

A . P , .

V . V . S . V . P . A SGSI.

E : R . R S O . R E S . R D . R I , S C . R J . R A P . E .


47/136



2 6 2 L ,

, , ( , , , .)

.

L , . A

, , .

I / ,

:

C , / .

N

N

( ). C

.

. . . .E

, . E ,

:

A ( , , ): ,

. T .

O ( , , ):

, . E

.


48/136



M : . E

.

C ,

. P

.

A

:

P , , ,

.

P ( )

.

C .

N R S .

C .

N .

N R S

.

. . . .L

.

P ,

, :


49/136



G , .

C .

C .

R , , .

U , . E

, (, , .).

U ,

.

S (

) , .

P , (

, , , .).

S , .

L R S

( , , .).

E , , , , , , ,

.


50/136



2 6 3 E R S

.

A R S :

A .

V .

R .

V .

M .

D

.

D .

C

A .

T .

E .

G D S .

C D S .


51/136



2 7 E

; ,

, .

E MA

.

F 1 T : E . D

F 2 E : D ; :

V : S . A ,

.

M A V > 200.000 300.000

A 100.000 < V > 200.000 150.000

M 50.000 < V > 100.000 75.000

B 10.000 < V > 50.000 30.000

M V < 10.000 10.000

V : L . E ,

[V = F /


52/136



F 1 1

F A 1 2 26/365

F M 1 2 6/365

F B 1 6 2/365

F M 1 1/365

C : I

C

C [100 90%]P . P . A

. C .

95 %

A [89 75%]P . P . C .

75 %

M [74 25%]P . C .

50 %

B [25 0%]P . N .

25 %

I : S .

M A 100%

A 75%

M 50%

B 20%

M 5%


53/136



E : E ,

.

/

M A 95%

A 75%

M 50%

B 30%

M 10%

F 3 A : D . S

( , , , .) .

F 4 A : L . L

. S MAGERIT :

A : S . P : , , .

E : S

/ . P : E , , .

A : S . P

: A , , . A : S

. E : S , D S, .


54/136



F 5 E : L . E MAGERIT

.

F 6 V : L . P : , , .

F 7 A : L

:

R = V V I

D .

N .D

:

A 75%

M 50%

B 25%

S .


55/136



F 8 I : T

implementacioniso2700-1

Documents