Nieto - WP2013 - PlanImplementacionISO2007 VER ZZZZZZZ PDF

IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005.
TFM-MISTIC: Juan Pablo Nieto Muoz
Este trabajo tiene como objetivo la
elaboracin de un plan de
implementacin de la ISO/IEC
27001:2005. Este plan incluir desde el
anlisis de la situacin actual hasta el
informe de cumplimiento de la auditora
de la norma.
Plan de
implementacin
de la ISO/IEC
27001:2005
MISTIC Mster
interuniversitario en la
Seguridad de las TIC.
Juan Pablo Nieto Muoz
Tutor: Arsenio Tortajada Gallego
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx.

Confidencial y Privado | Confidential and Proprietary
19/04/2013 Edicin 3.1

Pgina 1 de 136
IT-Consulting
ISO/IEC 27001:2005
Control de versiones.
Fecha
Versin
Autor
Revisin
11/MAR/13
0.1
JPNietoMuoz Inicio del documento.
15/MAR/13
1.0
JPNietoMuoz Fase1 completada.
20/MAR/13
2.0
JPNietoMuoz Fase2 inclusin.
28/MAR/13
2.1
04/ABR/13
2.2
JPNietoMuoz Fase1 Revisin.
08/ABR/13
3.0
19/ABR/13
3.1
JPNietoMuoz Fase3 completada
25/ABR/13
3.2
09/MAY/13
3.3
14/MAY/13
4.0
24/MAY/13
4.1
03/JUN/13
5.0
06/JUN/13
6.0
JPNietoMuoz Fase6 completada

06/06/2013 Edicin 6.0

Pgina 2 de 136
IT-Consulting
ISO/IEC 27001:2005
nie
ndice ............................................................................................................................................. 3
Captulo 1....................................................................................................................................... 6
Situacin actual: Contextualizacin, objetivos y anlisis diferencial............................................. 6
1.1.- Introduccin al proyecto. .................................................................................................. 6
1.2.- Objetivos del proyecto. ..................................................................................................... 7
1.3.- Enfoque y seleccin de la empresa. .................................................................................. 8
1.3.1.- Descripcin actual de la empresa............................................................................... 8
1.3.1.- Organigrama. .............................................................................................................. 9
1.3.2.- Valores de la organizacin........................................................................................ 11
1.3.3.- Activos de la organizacin. ....................................................................................... 11
1.4.- Definicin de los objetivos: Anlisis diferencial ISO/IEC 27001-27002 y Plan Director de
Seguridad. ................................................................................................................................ 15
Plan Director de Seguridad. ................................................................................................. 16
1.5.- Anlisis diferencial de la empresa. .................................................................................. 17
1.5.1.- Anlisis diferencial detallado.................................................................................... 17
1.5.2.- Resumen anlisis diferencial. ................................................................................... 34
1.6.- Planificacin del proyecto. .............................................................................................. 35
Captulo 2..................................................................................................................................... 37
Sistema de gestin documental .................................................................................................. 37
2.1.- Introduccin. ................................................................................................................... 37
2.2.- Poltica de seguridad. ...................................................................................................... 37
2.3.- Procedimiento de auditoras internas. ............................................................................ 37
2.4.- Gestin de indicadores. ................................................................................................... 37
2.5.- Procedimiento de revisin de la direccin. ..................................................................... 45
2.6.- Gestin de roles y responsabilidades. ............................................................................. 46
2.6.1.- Comit de seguridad. ............................................................................................... 46
06/06/2013 Edicin 6.0

Pgina 3 de 136
IT-Consulting
ISO/IEC 27001:2005
2.6.2.- Funciones y obligaciones del personal. .................................................................... 47

2.6.3.- Funciones y obligaciones del responsable de seguridad. ........................................ 50
2.7.- Metodologa de anlisis de riesgos. ................................................................................ 51
2.8.-Declaracin de aplicabilidad............................................................................................. 56
Captulo 3..................................................................................................................................... 67
Anlisis de riesgos........................................................................................................................ 67
3.1.- Introduccin. ................................................................................................................... 67
3.2.- Inventario de activos, valoracin y criticidad. ................................................................. 67
3.3.- Anlisis de amenazas. ...................................................................................................... 70
3.4.- Resumen Riesgo Intrnseco Activos................................................................................. 73
3.5.- Resumen Riesgo Intrnseco Amenazas. ........................................................................... 74
3.6.- Nivel aceptable del riesgo. .............................................................................................. 75
3.7.- Conclusiones.................................................................................................................... 78
Captulo 4..................................................................................................................................... 79
Propuesta de proyectos............................................................................................................... 79
4.1.- Introduccin. ................................................................................................................... 79
4.2.- Propuestas. ...................................................................................................................... 79
3.3.- Resumen ejecutivo. ......................................................................................................... 89
4.3.- Conclusiones.................................................................................................................... 91
RoapMap de proyectos ....................................................................................................... 92
Captulo 5..................................................................................................................................... 93
Auditora de cumplimiento.......................................................................................................... 93
5.1.- Introduccin. ................................................................................................................... 93
5.2.- Metodologa. ................................................................................................................... 93
5.3.- Evaluacin de cumplimiento. .......................................................................................... 95
5.4.- Fichas de NO conformidades y observaciones. ............................................................. 112
Ficha No conformidades: Poltica de seguridad. ............................................................... 112
Ficha No conformidades: Organizacin de la seguridad y la informacin. ....................... 112
Ficha No conformidades: Gestin de activos. ................................................................... 113
Ficha No conformidades: Seguridad ligada a los RRHH. .................................................... 113
06/06/2013 Edicin 6.0

Pgina 4 de 136
IT-Consulting
ISO/IEC 27001:2005
Ficha No conformidades: Seguridad fsica y ambiental..................................................... 114

Ficha No conformidades: Gestin de las comunicaciones y operaciones. ........................ 115
Ficha No conformidades: Control de acceso. .................................................................... 116
Ficha No conformidades: Adquisicin, desarrollo y mantenimiento de SI. ...................... 116
Ficha No conformidades: Gestin de incidencias de la seguridad de la informacin. ...... 117
Ficha No conformidades: Gestin de la continuidad del negocio. .................................... 118
Ficha No conformidades: Cumplimiento. .......................................................................... 118
5.5.- Presentacin de resultados. .......................................................................................... 119
5.5.1.- Estado de madurez de los controles. ..................................................................... 119
5.5.2.- Grfico radar nivel madurez. .................................................................................. 120
5.5.3.- Resumen de NO-Conformidades dominios. ........................................................... 120
5.5.4.- Grfico radar cumplimiento dominios. .................................................................. 121
5.6.- Conclusiones.................................................................................................................. 121
Captulo 6................................................................................................................................... 123
Resumen ejecutivo .................................................................................................................... 123
Bibliografa. ................................................................................................................................ 125
Anexos. ...................................................................................................................................... 126
Anexo A. Poltica de seguridad. ............................................................................................. 126
A.1.- Introduccin. ............................................................................................................. 126
A.2.- Funciones y obligaciones del personal...................................................................... 127
A.3.- Monitorizacin. ......................................................................................................... 131
A.4.- Actualizaciones de las directrices de seguridad. ....................................................... 131
A.5.- Poltica de usuarios y contraseas. ........................................................................... 131
A.6.- Acceso fsico a las instalaciones. ............................................................................... 132
A.7.- Responsabilidades. .................................................................................................... 133
A.8.- Resumen poltica seguridad. ..................................................................................... 133
Anexo B. Procedimiento auditorias internas. ........................................................................ 134

06/06/2013 Edicin 6.0

Pgina 5 de 136
IT-Consulting
ISO/IEC 27001:2005
Catulo
ituain atual Conte!tualizain"

ob#eti$os % an&lisis i'e(enial
- Int(ouin al (o%eto
La informacin gira en torno a nuestras vidas y al desarrollo de las organizaciones, ambos
necesitamos la informacin para ser competitivos, lograr objetivos, obtener ventajas y para
simplemente continuar con la actividad diaria. La informacin es imprescindible en la sociedad
en la que nos encontramos, en el siglo XXI el concepto ha cambiado y actualmente podemos
hablar de la sociedad de la informacin. Como es evidente la concepcin de empresa tambin
se ha transformado, nos encontramos en un mercado globalizado donde las
telecomunicaciones son muy importantes, las transacciones y el comercio electrnico han
crecido considerablemente, lo que ha supuesto que muchas empresas se conciencien
incluyendo el manejo de la tecnologa de la informacin (TI) en sus programas directivos.
La informacin es un activo que, como otros activos importantes de la empresa, es esencial
para las operaciones de la organizacin, y en consecuencia necesita ser adecuadamente
protegida. ISO 27002:2005.
La informacin se presenta en una organizacin en distintos medios (papel, almacenada
electrnicamente, trasmitida, etc.) y tiene importantes propiedades que se deben mantener:
disponibilidad, integridad y confidencialidad.
Es evidente que las organizaciones se enfrentan a amenazas (internas y externas) y
vulnerabilidades como por ejemplo: espionaje, sabotaje, vandalismo, incendios, etc.; por todo
ello aparece la necesidad de la seguridad de la informacin, rea que nos permitir protegerla
adecuadamente para que nuestra organizacin pueda mantener su competitividad,
rentabilidad y en general su existencia en la sociedad. Si la seguridad de la informacin fallara
o no se aplicara correctamente podramos tener distintos impactos en nuestra organizacin,
como por ejemplo: prdidas financieras, denuncias de las autoridades, prdidas de clientes,
prdida de cuota de mercado, interrupcin de las operaciones, dao en la imagen, etc.
Una las normas internacionalmente aceptadas para llevar a cabo nuestro objetivo es ISO/IEC
27000: conjunto de normas y estndares que proporcionan un marco de gestin de la
seguridad de la informacin aplicable a cualquier organizacin. Por ello consideramos
importante el estudio y anlisis de la norma para poder aplicarla correctamente en las
06/06/2013 Edicin 6.0

Pgina 6 de 136
IT-Consulting
ISO/IEC 27001:2005
organizaciones que gestionemos, sin lugar a dudas la aplicacin de la misma en la organizacin

mejorar su competitividad, imagen y seguridad.
Las organizaciones pblicas y privadas se estn concienciando de la necesidad de la seguridad
de la informacin, las normas ISO/IEC 27000 nos proporcionan una excepcional gua de
procesos y controles que nos ayudarn a asegurar la informacin de nuestra organizacin.
Actualmente en Espaa las normas ISO/IEC 27000 no son de obligada aplicacin en todos los
sectores pero nos proporcionan un sello diferenciador frente a otras organizaciones. La
certificacin de ISO/IEC 27000 demuestra al cliente y al proveedor que la organizacin lleva a
cabo una correcta gestin de la seguridad de la informacin y que sin lugar a dudas la calidad
est presente en la gestin de TI.
Durante la crisis econmica que estamos experimentando a nivel mundial, las organizaciones
buscan reducir los costes y producir un producto de mayor calidad para mantenerse en el
mercado; y los clientes un producto ms barato y de mayor calidad. Aunque parezca mentira
las normas ISO/IEC 27000 pueden ayudar a las organizaciones a conseguir este objetivo,
reduciendo sus costes, mejorando la calidad y haciendo de sus servicios y/o productos marcas
diferenciadoras frente a la competencia.
En conclusin, las organizaciones pblicas y privadas, grandes y pequeas necesitan adaptarse
a los tiempos reduciendo sus gastos y mejorando la calidad para sobrevivir a la competencia y
para ello buscarn profesionales que les ayuden a asegurar uno de sus activos ms
importantes: la informacin. El mercado debe estar preparado para estas nuevas necesidades
y requiere profesionales formados para guiarles en la nueva etapa. Mejorando la calidad y
seguridad de nuestra organizacin nos hace ms competitivos como empresa y como pas en
este planeta globalizado.
La buena gestin de los sistemas de informacin es el camino al xito de una empresa.
2- Ob#eti$os el (o%eto

El objetivo es elaborar un plan de implementacin de la ISO/IEC 27001:2005 en la organizacin
seleccionada. El proyecto establecer las bases para la implementacin de un SGSI (Sistema de
Gestin de la Seguridad de la Informacin) y por lo tanto deber abordar las siguientes fases:
-
Documentacin normativa sobre las mejores prcticas en la seguridad de la

informacin.
Definicin clara de la situacin actual y de los objetivos del SGSI.
Anlisis de riesgos.

06/06/2013 Edicin 6.0

Pgina 7 de 136
ISO/IEC 27001:2005
IT-Consulting
Identificacin y valoracin de los activos corporativos como punto de partida a

un anlisis de riesgos.
Identificacin de amenazas, evaluacin y clasificacin.
Evaluacin del nivel de cumplimiento de la ISO/IEC 27002:2005 a una organizacin.
Propuestas de proyectos para conseguir una gestin de la seguridad ptima.
Esquema documental.
Como entregables del proyecto se presentarn los siguientes productos:

-
Informe del anlisis diferencial.
Esquema documental ISO/IEC 27001.
Anlisis de riesgos.
Plan de proyectos.
Auditora de cumplimiento.
Presentacin de resultados.
3- En'oque % selein e la em(esa

3- Des(iin atual e la em(esa
La organizacin en cuestin es una mediana empresa privada, annima, dedicada la
investigacin y desarrollo de recursos tecnolgicos as como ofrecer servicios informticos y
telemticos a empresas del sector turismo. Esta organizacin a da de hoy tiene
aproximadamente 100 trabajadores y cuenta con una cartera de ms de 50 clientes de
envergadura, todos ellos empresas (no ofrecen servicios a personas fsicas).
La empresa est ubicada en un polgono tecnolgico de Palma de Mallorca (Illes Balears), en la
misma sede podemos encontrar las oficinas y el centro de procesamiento de datos (CPD). La
gran parte de los servicios (85%) que ofrece a los clientes estn hosteados en el CPD de su
propiedad.
La empresa tiene conocimientos sobre las buenas prcticas de la gestin de la informacin,
controles ya implementados y la intencin de mejora en su sistema de gestin de la seguridad
de la informacin. Hasta ahora ha utilizado guas de buenas prcticas como COBIT e ITIL pero
no ha llegado a implementarlas por completo.

06/06/2013 Edicin 6.0

Pgina 8 de 136
IT-Consulting
ISO/IEC 27001:2005
Durante los tres ltimos aos ha obtenido ganancias y quieren aprovechar la situacin actual
para mejorar su gestin interna y optimizar los costes. Asimismo desean ampliar su cartera de
clientes e incorporar nuevos servicios y productos a su catlogo (por ejemplo: desarrollos en
plataformas mviles, servicios de marketing online, incentivar el I+D sector turismo, etc.)
3- O(ganig(ama
En este apartado incluimos el organigrama de la empresa.
Direccin general
PMO
Explotacin de
Sistemas
Infraestructura de
Sistemas y
comunicaciones
Areo
Administracin de
Sistemas
Sistemas
Corporativo
Administracin de
aplicaciones
Comunicaciones
Hoteles
Operaciones
Infraestructuras
Mayorista
Servicios Tcnicos
Gestin de cuentas
Desarrollo de
Software
Minorista
PersonasMarketing
Receptivo
Las funciones de cada rea son las siguientes:

- Direccin general: Establece la estratgica corporativa y junto con los responsables de rea
gestiona la organizacin. Preside las reuniones del consejo de administracin y toma las
decisiones estratgicas. Est compuesta de (1) Director General y (1) Secretaria Direccin.
- PMO: Es un rea transversal a todos los departamentos que, siguiendo las directrices
estratgicas del Director General establece los procesos, metodologas, procedimientos y
06/06/2013 Edicin 6.0

Pgina 9 de 136
IT-Consulting
ISO/IEC 27001:2005
normas necesarias para gestionar operativamente los servicios de la empresa (gestin de

proyectos, incidencias, cambios, contratacin, facturacin, etc.) basndose en las decisiones
establecidas por los departamentos especficos. Proporciona un importante apoyo a la
direccin consolidando la informacin directiva y estableciendo el Know-How de la
organizacin. Est compuesto por (1) Manager y (1) Consultor. Esta rea incluye las funciones
de gestin de la calidad y seguridad de la empresa aunque la organizacin y funciones no estn
formalmente establecidas.
- Gestin de cuentas: Este equipo est compuesto por gestores de cuenta (Account Manager),
que se encargan de gestionar la demanda y servicios de los clientes. Tienen conocimiento de la
tecnologa que desarrollamos en la organizacin y los procesos de negocio del rea
correspondiente. Existe un Gestor de Cuenta por rea de negocio, en total (7) Account
Managers y (1) Director Comercial.
- Desarrollo de Software: Es el departamento encargado de desarrollar productos de software
(gestin de proyectos) y entregarlos para su puesta en produccin. Est compuesto por 5
grandes reas: Java, .NET, SAP, Business Inteligence e Integraciones, y contienen 4 perfiles,
Jefe de Proyectos, Arquitectos, Analistas y Programadores. En total est compuesto por (65)
empleados: (1) Director Desarrollo, (15) Jefes de Proyectos, (3) Arquitectos, (15) Analistas y
(30) Programadores.
- Explotacin de Sistemas: Esta rea se encarga de mantener en produccin los sistemas
previamente desarrollados. Entre sus funciones se incluye la implementacin de mejoras
menores que no requieran el desarrollo de un proyecto (inferior a 1 semana de trabajo de un
FTE). Est organizado en cuatro secciones (34 empleados + 1 Director):
- Administracin de Sistemas y comunicaciones: (5) Administradores de Sistemas y (1)
Coordinador de equipo.
- Administracin de Aplicaciones: (10) Tcnicos de Soporte AM y (1) Coordinador de
equipo.
- Operaciones: (5) Operadores de Sistemas y (1) Coordinador de equipo.
- Servicios Tcnicos: (5) Tcnicos de Sistemas y (1) Coordinador de equipo.
- Infraestructura, Sistemas y Comunicaciones: Este departamento es el encargado de
desarrollar e implementar los proyectos relacionados con Infraestructuras, Sistemas y
Comunicaciones. El equipo est compuesto por (3) Jefes de Proyectos y (1) Responsable de
equipo.
- Servicios Generales: El departamento de servicios centrales es el equipo que se encarga de
los procesos administrativos de la organizacin, est compuesto por cuatro equipos:
06/06/2013 Edicin 6.0

Pgina 10 de 136
IT-Consulting
ISO/IEC 27001:2005
- RRHH: (1) Responsable RRHH y (1) Tcnico RRHH

- Legal: (1) Responsable Legal y (1) Tcnico Legal
- Administracin: (1) Responsable Administracin, (1) Responsable Fiscal, (1)
Administrativo y (1) Tcnico Fiscal.
32- Valo(es e la o(ganizain

La empresa tiene como objeto principal proporcionar valor a organizaciones, cuya principal
actividad es el turismo, a travs de la tecnologa de la informacin. El valor central: Escuchar
las necesidades del cliente y proporcionar innovacin para solucionarlas. Nuestra organizacin
conoce el negocio del turismo y nos consideramos parte de l.
Aunque la empresa se dedica a desarrollar productos tecnolgicos se considera una empresa
del sector turismo. Las lneas principales de trabajo se orientan a las siguientes reas:
-
Desarrollo de software.
Proyectos de Sistemas y Comunicaciones.
Servicios TI (Hosting, API, Servicios Reservas, etc.)
I+D Turismo.
33- Ati$os e la o(ganizain

La empresa tiene su sede ubicada en un polgono tecnolgico de Palma de Mallorca (Illes
Balears), en la misma sede podemos encontrar las oficinas y el centro de procesamiento de
datos (CPD). La oficina cuenta con 2 plantas de 500 mts cuadrados dividas en dos partes
iguales de Oficinas y CPD. En la [Primera Planta Oficina] encontramos las reas de servicios
generales y direccin; [Primera Planta CPD] se ubican los AACC, generadores alternativos y
SAIs. En la [Segunda Planta Oficina] estn situados responsables y los equipos de TI; [Segunda
Planta CPD] podemos encontrar servidores y dispositivos de red del CPD.
Las oficinas cuentan con accesos restringidos mediante tarjeta y circuito cerrado de televisin.
Todos los despachos tienen puerta con llave y los puestos de trabajo poseen cajoneras
protegidas con cerradura.
Las oficinas no son de propiedad, se paga alquiler mensual ms gastos.
Capital humano.

06/06/2013 Edicin 6.0

Pgina 11 de 136
IT-Consulting
ISO/IEC 27001:2005
G(uo
Empleados
Des(iin
Directores
Secretarias
Responsables
Coordinadores
Gestores de cuenta
Consultores
Jefes de Proyecto
Arquitectos
Analistas
Programadores
Administradores de sistemas
Tcnicos de Sistemas
Tcnicos de Aplicaciones
Operadores
Tcnicos SSGG
Uniaes
4
1
6
4
7
1
18
3
15
30
5
5
10
5
3
Total
117
Hardware.
G(uo
Hardware
Tio
Equipos Oficinas
Impresoras Oficinas
Dispositivos Red
Des(iin
Porttiles Direccin-Responsables
Porttiles Comerciales
Tabletas 10" Direccin
Equipos Desarrollo
Equipos Sistemas
Equipos Ofimtica
Equipos (Repuesto)
Porttiles (Repuesto)
Impresora Laser B/N Oficina
Impresora Laser Color Oficina
Impresora Multifuncin Oficina
Impresora Multifuncion Despachos
Switches C3 Distribucin Oficinas
Switches C3 Distribucin CPD
Switches C6 Core CPD
Routers CPD
Firewalls

Uniaes
10
8
4
66
25
9
3
1
4
2
2
5
10
10
2
5
4
06/06/2013 Edicin 6.0

Pgina 12 de 136
IT-Consulting
ISO/IEC 27001:2005
Servidores
Cabinas
Almacenamiento
Servidores de correo
Servidores Firewall
Servidores Web Presentacin
Servidores Web API
Servidores BackOffice
Servidores BBDD
Servidores Backup
Servidores CMS
Servidores Archivos
Servidores Aplicacin
Servidores Gestin Proyectos
Servidores SAP
Servidores Desarrollo Test
Servidores Desarrollo Pre-Produccin
Servidores control ambiental
Cabinas Almacenamiento
(Profesionales)
Cabinas Almacenamiento (Pyme)
2
2
10
10
5
5
2
4
2
5
2
2
5
5
1
2
2
Infraestructura tcnica.
G(uo
Infraestructura
Tio
CPD
Des(iin
SAI
Generadores elctricos
AACC Industriales
Cmaras vigilancia
Sensores ambientales
Armarios comunicaciones
Armarios
Uniaes
2
2
4
16
8
6
12
Licencias.
G(uo
Software
Tio
Servidores
Des(iin
MS Windows 2003-2008-2012
MS Exchange 2010
MS TMG
MS TFS
HP Dataprotector Backup
SAP
Oracle SGBD

Uniaes
40
2
2
2
2
2
5
06/06/2013 Edicin 6.0
Pgina 13 de 136
ISO/IEC 27001:2005
IT-Consulting
Estaciones de
trabajo
Redhat SO
Meta4
10
1
MS Office 2010
MS Visio 2010
MS Project 2012
MS Visual Studio 2010
Adobe Photoshop
SAP
10
2
4
10
2
7
Cdigo fuente.
G(uo
Cdigo fuente
Tio
Aplicaciones
Des(iin
FrontOfficeVenta
BackOfficeVenta
API-Reservas
OTA-Reservas
CamasHotel
RecepTur
AirjetConecta
GestHoteles
ReserMay
Lneas igo
1000000 lneas
2000000 lneas
750000 lneas
500000 lneas
500000 lneas
500000 lneas
350000 lneas
450000 lneas
3000000 lneas
Obse($aiones
Venta Minorista
Procesos gestin Minorista
API Reservas
OTA Reservas
Banco Camas Hotel
Gestin Receptiva
Motor Venta Areo
Gestin Hotelera
Venta Mayorista
Informacin / Otros.
G(uo
Informacin
Tio
TI
Comercial
SSGG
Otros
Direccin
Mercado
Vehculos
Des(iin
Contratos TIC
Contratos mayoristas
Contratos empresas
BD clientes minoristas
BD clientes mayoristas
BD clientes empresa
Ofertas
Contratos servicios
Contabilidad
Finanzas
Plan estratgico 2015
Capacidad de Servicios
Imagen
Know How
Coche clase C

06/06/2013 Edicin 6.0

Pgina 14 de 136
IT-Consulting
ISO/IEC 27001:2005
4- De'iniin e los ob#eti$os An&lisis i'e(enial IO/IEC 2700-27002

% Plan Di(eto( e egu(ia
El objetivo principal del trabajo de fin de mster consiste en el anlisis de madurez de una
empresa, de tamao mediano, para la implantacin de la ISO/IEC 27001:2005 y la elaboracin
del Plan Director de Seguridad.
Para llevar a cabo este objetivo, se realizar una auditora superficial de los sistemas de gestin
de la seguridad de la informacin (SGSI) de la entidad comparndolo con los controles
establecidos en la norma ISO/IEC 27002:2005 y un anlisis de la documentacin relacionada.
Estas tareas generarn como resultado un chequeo del cumplimiento de la norma y un anlisis
diferencial GAP.
Esta tarea evaluar el grado de cumplimiento y madurez de su sistema de gestin de la
seguridad de la informacin (SGSI) respecto a la norma ISO/IEC 27001. Su resultado ser un
indicativo de las reas a mejorar y una entrada para la elaboracin del Plan Director de
Seguridad y la implantacin del SGSI.
Para realizar el anlisis del estado de madurez de la organizacin respecto ISO/IEC 27001:2005
necesitaremos que la direccin sea completamente sincera respecto a las cuestiones
planteadas y que el auditor, en este caso el autor del presente trabajo, tenga acceso a toda la
documentacin, sistemas y dispositivos de la organizacin que requiera para poder contrastar
mediante pruebas el anlisis realizado.
El anlisis del estado de la organizacin se realizar: examinando el cumplimiento de los
controles ISO/IEC 27002:2005 y mediante un anlisis diferencial GAP de ISO/IEC 27002:2005,
ser de ayuda en el caso de un proyecto de mejora continua o implantacin de ISO/IEC 27000.
Finalmente se realizar verificacin de un listado de la documentacin presente y ausente en
la entidad respecto al cumplimiento de la norma ISO/IEC 27001:2005.
Hemos seleccionado el anlisis diferencial GAP como herramienta principal del anlisis de
madurez de una organizacin respecto a ISO/IEC 27001:2005 porque se realiza en poco
tiempo, detecta las reas de carencia evidentes, permite identificar las acciones de mejora sin
esperar al anlisis de riesgos y finalmente permite conocer el nivel de madurez de la
organizacin respecto los controles. Para ello se analizan las reas donde se puede valorar la
madurez de la seguridad de la informacin y se establece una escala de puntuacin, del 0 al 5,
respecto la madurez del control.
Las reas analizadas y la identificacin de las escalas se pueden encontrar en el Anexo A reas
e identificacin de escalas en el Anlisis diferencial.
Como resultado del anlisis del estado actual se obtendr un informe con las evidencias
obtenidas, las recomendaciones realizadas, la madurez por rea y el porcentaje de
06/06/2013 Edicin 6.0

Pgina 15 de 136
IT-Consulting
ISO/IEC 27001:2005
implementacin por control. Este informe servir a la organizacin para evaluar su estado de
madurez control por control y como gua de mejora, mediante las recomendaciones, para la
implementacin de la ISO/IEC 27001:2005.
En el Anexo B Anlisis diferencial ISO 27002 podemos encontrar el resultado del anlisis
realizado mediante un informe en forma de tabla.
Plan Di(eto( e egu(ia

El Plan Director de Seguridad tiene como objetivo identificar los proyectos que deben
desarrollarse por la organizacin a corto, medio y largo plazo para garantizar una adecuada
gestin de la seguridad de la informacin y evitar incidentes de seguridad.
El Plan Director de Seguridad debe elaborarse despus del anlisis de diferencial (GAP) de la
norma de referencia, en nuestro caso ISO/IEC 27001:2005, y contrastndolo con el anlisis de
riesgos de la empresa. Este plan se basar en la estrategia del negocio y en sus necesidades
especficas, los procesos y los activos de la organizacin son fundamentales durante la
elaboracin de este plan ya que marcarn las prioridades del mismo.
En el desarrollo del Plan Director de Seguridad deben considerarse los aspectos humanos,
organizativos, procedimentales y tcnicos asociados con los sistemas de informacin. Para ello,
en este trabajo nos basaremos en la norma ISO/IEC 27001:2005 as como en otras normativas
aplicables a nuestro negocio.
En el Plan Director de Seguridad se debe establecer un plan de proyectos a corto, medio y
largo plazo as como identificar los proyectos Quick Wins (proyectos que requieren escasa
inversin pero que suponen una mejora significativa en la seguridad de SI). Cada uno de los
proyectos debe describir las medidas/tareas a realizar as como la prioridad, fechas, recursos y
costes asociados; de esta manera se facilitar la implantacin por parte de la empresa.

06/06/2013 Edicin 6.0

Pgina 16 de 136
ISO/IEC 27001:2005
IT-Consulting
5- An&lisis i'e(enial e la em(esa

5- An&lisis i'e(enial etallao
5
SEGURIDAD
No existe Poltica de Seguridad, tampoco ha

sido aprobada por la direccin por lo tanto no se
revisa.
SEGURIDAD
SEGURIDAD
Las actividades relativas a la seguridad son

coordinadas y asignadas entre los diferentes
roles y funciones aunque no existen
procedimientos documentados.
Asignacin de
responsabilidades
en seguridad de la
informacin
SEGURIDAD
Los activos de informacin no estn claramente

definidos y aunque en algunos casos existe una
asignacin de responsabilidades no es formal.
Proceso de
autorizacin de
recursos para la
seguridad de la
informacin
SEGURIDAD
Existe un proceso de autorizacin para los

nuevos recursos de procesados de informacin
aunque no es formal ni est documentado.
Acuerdos de
confidencialidad
SEGURIDAD
En algunos casos se han establecidos acuerdos

de confidencialidad pero no son revisados de
forma peridica, tampoco cuando se incorporan
nuevos activos de informacin.

No cumple
Coordinacin de la
seguridad de la
informacin
No cumple
Compromiso de la
Direccin con la
seguridad de la
informacin
Cumple
No se ha creado formalmente el Comit de

Gestin de la Seguridad de la Informacin.
Aunque la Direccin muestra su apoyo a la
seguridad dentro de la organizacin y asigna
funciones no lo hace a travs de directrices
claras, tampoco ha realizado una asignacin
explcita ni el reconocimiento de
responsabilidades.
3-Proceso
definido
ORGANIZACIN INTERNA
No cumple
2-Repetible
ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN
No cumple
No cumple
Revisin de la
poltica de
seguridad de la
informacin
0-Inexistente
SEGURIDAD
Existen normativas especficas respecto al uso

de los recursos de informacin as como
procedimientos documentados sobre las
arquitecturas y sistemas pero no una Poltica
General de Seguridad (todas unidas tampoco la
forman). La Direccin de la organizacin no es
consciente de ella y por ello no la ha aprobado.
No cumple
Documento de
poltica de
seguridad de la
informacin
0-Inexistente
POLTICA DE SEGURIDAD DE LA INFORMACIN
0-Inexistente
1-Inicial/adHoc 2-Repetible
POLTICA DE SEGURIDAD
06/06/2013 Edicin 6.0

Pgina 17 de 136
ISO/IEC 27001:2005
IT-Consulting
Relacin con
grupos de inters
especial
SEGURIDAD
Se establecen relaciones con grandes

proveedores aunque ninguno de especial
relevancia en cuestiones de seguridad de la
informacin.
Revisin
independiente de la
seguridad de la
informacin
SEGURIDAD
Se realizan con frecuencia revisiones

independientes de seguridad (auditoras)
aunque no en todas las reas (pe.
Procedimientos, controles, etc.) No existe una
poltica clara que defina la frecuencia y la
metologa.
COMPRAS
Se realiza un exahustivo anlisis en la seleccin

de un proveedor (tercera parte) y siempre se
confia el servicio a un importante proveedor
(representa su seriedad y buenas prcticas). No
se definen ni se identifican los riesgos que
suponen en procesado de la informacin
aunque se establecen controles generales de
asignacin de permisos y accesos.
Identificacin de
riesgos derivados
del acceso de
terceros
Tratamiento de la
seguridad en la
relacin con los
clientes
NEGOCIO
Se revisan los requisitos de seguridad con los

clientes y se establecen los controles que se
solicitan.
Tratamiento de
seguridad en los
contratos con
terceros
COMPRAS
Siempre que se contrata un servicio a un

tercero se realiza un contrato pero no en todas
las ocasionas este incluye las clusulas de
seguridad correspondientes.
GESTIN DE ACTIVOS
Propietarios de los
activos
SISTEMASREDES
Se realiza un inventario detallado de equipos,

servidores y otros dispositivos propiedad de la
organizacin o utilizados en sus procesos de
negocios pero no existe un inventario de los
activos de informacin.
SISTEMASREDES
En el inventario existente se asigna un

propietario al activo pero no lo especifica
razonablemente se hace de forma genrica.

Cumple
Inventario de
activos
No cumple
RESPONSABILIDAD SOBRE LOS ACTIVOS

3-Proceso
definido
3-Proceso definido
No cumple
TERCERAS PARTES
Cumple
No cumple
2-Repetible
3-Proceso definido 2-Repetible
Cumple
SEGURIDAD
No cumple
Relacin con las

autoridades
Cumple
1-Inicial/adHoc
2-Repetible
Existen procedimientos de prevencin de

riesgos y accidentes laborales (incendios,
inundaciones, etc.) as como un protocolo de
actuacin claramente documentado. En el caso
de la seguridad de la informacin, por ejemplo
robos, ataques externos, incidentes terroristas,
etc no se establece procedimiento formal.
2-Repetible
06/06/2013 Edicin 6.0

Pgina 18 de 136
ISO/IEC 27001:2005
IT-Consulting
Directrices de
clasificacin
Etiquetado y
tratamiento de la
informacin
SEGURIDAD LIGADA A LOS RRHH
Funciones y
responsabilidades
Investigacin de
antecedentes
Trminos y
condiciones del
empleo
RRHH
Existe un documento descriptivo de todos los

puesto de trabajo de la organizacin, donde se
describe cuales son sus funciones y
resposabilidades pero no en todos los casos se
definen las responsabilidades de terceros.
Muchas veces no se especifican las
resposabilidades respecto a la seguridad.
RRHH
Antes de realizar una contratacin se solicitan

referencias y se investigan los antecedentes del
empleador o tercero. Se solicita documentacin
oficial sobre ttulos, etc.
RRHH
De acuerdo con la legislacin se les hace firmar

una clusula legal (genrica) aunque no un
cdigo tico ni acuerdos. En contratos muy
antiguos no se ha realizado nunca. Sucede con
empleados y terceras partes.
Cumple
ANTES DEL EMPLEO
Cumple
Cumple
SEGURIDAD
FISICA
La informacin clasificada est etiquetada y

tiene un tratamiento adecuado a las
caractersticas asignadas aunque como se ha
comentado anteriormente no est
correctamente clasificada.
DURANTE EL EMPLEO
Responsabilidades
de la Direccin
RRHH
Aunque se trasmite a los empleados una gua

del buen uso de los recursos de la informacin
no existe una poltica de seguridad clara.

Cumple
RRHH
Se cumple con la normativa vigente de LOPD y

por lo tanto se tiene clasificada la informacin
que contiene datos personales segn la
legislacin vigente pero no se clasifican
aquellos activos de informacin que no
contienen datos personales y tampoco se
identifican segn la criticidad para la
organizacin.
4-Gestionado y
evaluable
Cumple
CLASIFICACIN DE LA INFORMACIN
43-Proceso definido Gestionado y

evaluable
Hay publicado un cdigo de conducta y una

gua general sobre el buen uso de los recursos
de informacin de la organizacin.
1-Inicial/adHoc
RRHH
Cumple
Uso aceptable de
los recursos
No cumple
3-Proceso definido
3-Proceso
definido
4-Gestionado y evaluable
06/06/2013 Edicin 6.0

Pgina 19 de 136
ISO/IEC 27001:2005
IT-Consulting
Proceso
disciplinario
Supresin de los
derechos de
acceso
SEGURIDAD FSICA Y AMBIENTAL
REAS SEGURAS
Permetro de
seguridad fsica
Control fsicos de
entrada
Seguridad de
oficinas, despachos
y salas
SEGURIDAD
FISICA
Las instalaciones de la organizacin estn

cerradas al personal ajeno a esta mediante
muros, barreras, puertas y otros elementos
fsicos. No es posible el acceso a las
instalaciones fsicas sin autorizacin.
SEGURIDAD
FISICA
Todas las instalaciones de la organizacin estn

controladas mediante un permetro de
seguridad al cual se accede por tarjeta con
supervisin de personal de la organizacin, sin
ella no es posible el acceso. Las zonas
sensibles estn protegidas con tarjeta y cdigo.
SEGURIDAD
FISICA
Las salas sensibles (rack de switches,

servidores, SAIs y otros aparatos) estn
protegidos mediante una puerta con llave
siempre cerrada a custodia de los responsables.
Los despachos estn protegidos con puertas
con cerradura y se cierran siempre que es
necesario.

Cumple
Cumple
RRHH
Existe un procedimiento documentado y

revisado respecto a la supresin de derechos
de acceso en el caso de cese o cambio de
funcin. En algunos casos puntuales no son
informados los cambios de funcin
inmediatamente,
Cumple
RRHH
Existe un procedimiento (aunque no

documentado) sobre la devolucin de los
activos de la organizacin al finalizar su empleo,
contrato o acuerdo.
5-Optimizado
Existe un procedimiento documentado respecto

a la baja o cambio de puesto del personal. Se
han asignado claramente las responsabilidades.
Cumple
Devolucin de
activos
RRHH
Cumple
Responsabilidad
del cese o cambio
Cumple
44Gestionado y Gestionado y
evaluable
evaluable
CESE DEL EMPLEO O CAMBIO DE PUESTO DE TRABAJO
9
9
No existe un proceso disciplinario formal y claro

para los empleados que hayan provocado la
violacin de la seguridad.
4-Gestionado y
evaluable
RRHH
5-Optimizado
No se realiza concienciacin, formacin o

capacitacin respecto a la seguridad de la
informacin.
5-Optimizado
RRHH
No cumple
No cumple
Concienciacin,
formacin y
capacitacin en
seguridad de la
informacin
0-Inexistente 0-Inexistente
06/06/2013 Edicin 6.0

Pgina 20 de 136
ISO/IEC 27001:2005
IT-Consulting
Acceso publico,
zonas de carga y
descarga
Cumple
Cumple
Cumple
SEGURIDAD
FISICA
En las zonas de acceso al pblico o zonas de

carga y descarga siempre est presente un
empleado de la organizacin supervisando el
acceso o las tareas que se deben realizar.
Estas zonas se mantienen libre del tratamiento
de informacin o est protegida
adecuadamente.
5-Optimizado
La organizacin tiene implementada una serie

de directrices para el uso de espacio comunes,
asegurando las zonas de trabajo (no se puede
entrar alimentos, reas limpias de materiales,
etc.)
SEGURIDAD DE LOS EQUIPOS
Emplazamiento y
proteccin de los
equipos
Instalaciones de
suministro
Seguridad del
cableado
SEGURIDAD
FISICA
Los equipos de la organizacin y otros

dispositivos de tratamiento o mantenimiento de
la informacin son adecuadamente ubicados
mediante la proteccin de los mismos; accesos
no autorizados, problemas ambientales
(goteras, lluvia, etc), etc.
SEGURIDAD
FISICA

protegidas ante fallos de alimentacin
(Diferenciales, SAIs, grupos electrgenos y
otros dispositivos). Las zonas especialmente
sensibles estn reforzadas con un sistema
adicional y redundante que asegura el
funcionamiento y la continuidad de la operativa
en caso de fallo elctricos o la proteccin ante
los mismos.
SISTEMASREDES
Tanto el cableado elctrico como de

comunicaciones est protegido ante
interceptaciones o daos. Se ubican en sus
correspondientes bandejas y los accesos del
cableado especialmente protegido slo es
conocido por el personal autorizado.

Cumple
SEGURIDAD
FISICA
Cumple
Trabajo en reas
seguras
Cumple
SEGURIDAD
FISICA
5-Optimizado
Proteccin contra
amenazas externas
y de origen
ambiental
5-Optimizado
5-Optimizado
5-Optimizado
La organizacin tiene instaladas protecciones

contra amenazas externas: sistemas de
extincin de incendios en todos los espacios,
proteccin del fuego en zonas mediante
infraestructuras especiales (puertas ignfugas,
etc.). Zonas sensibles en espacios altos para
evitar daos en inundaciones acompaadas de
desages en zonas de riesgo. En cuanto a
amenazas provocadas por el hombre cuenta
con las barreras fsicas habituales (puertas,
muros, etc).
5-Optimizado
06/06/2013 Edicin 6.0

Pgina 21 de 136
ISO/IEC 27001:2005
IT-Consulting
10
10
10
Cumple
GESTIN DE COMUNICACIONES Y OPERACIONES

1
RESPONSABILIDADES Y PROCEDIMIENTOS DE OPERACIONES
Documentacin de
los procedimientos
de operaciones
SISTEMASREDES
La mayora de los procedimientos de

operaciones estn correctamente
documentados y habitualmente se revisan. Se
modifican mediante autorizacin del
responsable y se lleva un control de las
versiones. Adems estn a disposicin de todos
los usuarios que los necesiten, tampoco permite
asociar los activos afectados (equipos, software,
informacin, etc).
Gestin de los
cambios
SISTEMASREDES
Se lleva un control de cambios (con un proceso

claro y previa autorizacin) aunque no es muy
exhaustivo y no identifica el rea de trabajo
(sistemas, comunicaciones, software, etc) ni
aplica ninguna clasificacin.

Cumple
10
No cumple
Existen controles sobre la retirada de materiales

pero son dbiles y no estn documentados. Se
protege la salida de los activos propiedad de la
organizacin aunque no se est especialmente
concienciado del peligro que conlleva.
No cumple
SEGURIDAD
FISICA
1-Inicial/adHoc
Retirada de
materiales de
propiedad de la
empresa
2-Repetible
SISTEMASREDES
Seguridad de
equipos fuera de
los locales propios
No cumple
Seguridad en la
reutilizacin o
eliminacin de
equipos
La organizacin es consciente de la importancia

de las buenas prcticas de la retirada o
reutilizacin de equipos por la importancia de
los datos que contienen pero no existe ninguna
poltica formal al respecto. Aunque los
dispositivos de almancenamiento son retirados
y reutilizados de forma segura el procedimiento
no est controlado ni revisado. Se lleva el
control de las licencias a modo general (no muy
exhaustivo).
Cumple
SEGURIDAD
FISICA
Los equipos que se emplean fuera de la

organizacin cumplen las mismas medidas que
los equipos que se emplean dentro, no se
aplican medidas especiales (encriptacin, etc) y
aunque suele existir una autorizacin del
responsable no se lleva una buena gestin de
ellas.
Mantenimiento de
los equipos
1-Inicial/adHoc
SISTEMASREDES
5-Optimizado
3-Proceso
definido
Los equipos (servidores, etc) y dispositivos

tienen un mantenimiento adecuado y se
monitorizan constantemente ante fallos
hardware, en caso de fallo son inmediatamente
reparados. Los equipos y dispositivos
especialmente crticos tienen asociado un
contrato de reparacin en caso de fallo (por
importantes proveedores). Aunque no existe
una evaluacin de riesgos ni una poltica clara.
5-Optimizado
06/06/2013 Edicin 6.0

Pgina 22 de 136
ISO/IEC 27001:2005
IT-Consulting
10
10
10
10
10
Supervisin y
revisin de los
servicicios
prestados por
terceros
SISTEMASREDES
Los niveles de servicios de terceros se

monitorizan con frecuencia. No se realizan
auditoras de los servicios de terceros ni existe
una poltica especfica para la gestin de
servicios de terceros.
Gestin de cambios
en los servicios
prestados por
terceros
SISTEMASREDES
Se gestionan los cambios realizados en

servicios de terceros, se actualizan los
procedimientos establecidos y se tiene presente
la criticidad del servicio para la organizacin.
Aunque su gestin no es ptima.
Cumple
Cumple
Cumple
SISTEMASREDES
Cumple
Provisin de
servicios
Cumple
Al contratar un servicio se comprueban las

definiciones, los acuerdos de provisin y los
recursos empleados por el tercero aunque no
existe una poltica general de revisin (check
list). No se revisan los acuerdos de forma
peridica salvo cause prdidas para la
organizacin.
PLANIFICACIN Y ACEPTACIN DE SISTEMAS
Gestin de
capacidades
Aceptacin de
sistemas
SISTEMASREDES
Se gestiona, en la mayora de
servicios/sistemas, las capacidades de los
mismos y se ajusta el consumo. Adicionalmente
se realizan proyecciones de los requisitos
futuros de capacidad. No existe una poltica
clara y formal al respecto pero se lleva a cabo
de manera continua.
Cumple
10
GESTIN DE LA PROVISIN DE SERVICIOS POR TERCEROS
SISTEMASREDES
Existen pruebas y revisiones de los sistemas

antes de ser puestos en explotacin por el
departamento receptor (est documentado y se
revisa frecuentemente), no sucede lo mismo
con los productos de software.
Cumple
10
3-Proceso definido
SISTEMASREDES
3-Proceso definido
10
3-Proceso definido
Separacin de los
entornos de
desarrollo, pruebas
y explotacin
Las reas de desarrollo y explotacin, tanto en

Sistemas como en Programacin, estn
diferenciadas aunque no de todas las
aplicaciones. Se segregan funciones en todos
los departamentos para evitar las
modificaciones no autorizadas o usos indevidos.
Como punto dbil, no existe documentacin o
poltica documentada al respecto.
3-Proceso
definido
10
Se segregan funciones y tareas en todos los

departamentos de forma indirecta para evitar las
5-Optimizado
SISTEMASREDES
3-Proceso
definido
10
Segregacin de
tareas
4-Gestionado y
evaluable
PROTECCIN CONTRA CDIGO MALICIOSO Y CDIGO MVIL

06/06/2013 Edicin 6.0

Pgina 23 de 136
ISO/IEC 27001:2005
IT-Consulting
10
10
10
10
10
Cumple
Cumple
Cumple
SISTEMASREDES
GESTIN DE LA SEGURIDAD DE LA RED
Controles de red
Seguridad de los
servicios de red
SISTEMASREDES
La organizacin cuenta con una red

segmentada (dependiendo de la criticidad de los
datos y la exposicin al exterior) por Firewalls y
asegurada por rutas y reglas de acceso.
Adicionalmente cuenta con dispositivos
avanzados que detectan comportamientos
extraos en la red.
SISTEMASREDES
Los servicios de red estn identificados y tienen

asignados las caractersticas de seguridad y
algunas veces los requisitos de gestin pero no
en todos los servicios (sobre todo los internos)
se identifican los acuerdos con la direccin.
Cumple
Copias de
seguridad de la
informacin
Cumple
10
La organizacin evalua la necesidad de las

copias de seguridad al poner en explotacin un
nuevo sistema y realiza un inventario y control
de las mismas. Adicionalmente se revisan de
forma peridica y se hacen pruebas puntuales
de recuperacin aunque no de todos los
sistemas. La mayora de procesos de copias de
seguridad estn documentados y existen
procedimientos para llevarlos a cabo.
MANIPULACIN DE SOPORTES
Gestin de
soportes extrables
SISTEMASREDES
Aunque se establecen controles tcnicos sobre

el uso de memorias extrables no se realizan
sobre unidades de CD/DVD u otros
dispositivos.Tampoco se establecen
procedimientos formales (por escrito) ni
recomendaciones.
Retirada de
soportes
SISTEMASREDES
Aunque no existe una poltica o procedimiento

formal (por escrito) la mayora de soportes se
destruyen manualmente al ser retirados aunque
no sucede as con las estaciones de trabajo u
otros dispositivos de menor envergadura.

No cumple
COPIAS DE SEGURIDAD
No cumple
10
SISTEMASREDES
4-Gestionado y
evaluable
Controles contra
cdigo mvil
Las barreras perimetrales de acceso a Internet

as como los antivirus locales (incluyen
antimalware) y la propia proteccin del
navegador protegen a los equipos y servidores
del cdigo mvil. Aunque no hay una poltica
especfica la organizacin es consciente de la
necesidad del control.
5-Optimizado
10
SISTEMASREDES
5-Optimizado
Controles contra
software malicioso
4-Gestionado y
evaluable
10
1-Inicial/adHoc
2-Repetible
10
Todos los equipos y servidores tienen

instalados antivirus locales (centralizados)
adems de sus correspondientes firewalls.
Adicionalmente se aplican protecciones
adicionales en las zonas en contacto con
Internet (Firewalls). El control est documentado
y se revisa frecuentemente.
5-Optimizado
06/06/2013 Edicin 6.0

Pgina 24 de 136
ISO/IEC 27001:2005
IT-Consulting
Polticas y
procedimientos de
intercambio de
informacin
SEGURIDAD
10
Acuerdos de
intercambio
RRHH
En ninguno de los casos se han establecido

acuerdos de intercambio de informacin entre la
organizacin y terceros.
SEGURIDAD
FISICA
La organizacin tiene una poltica clara y formal

sobre los procedimientos de trnsito de
soportes fsicos, se lleva a cabo correctamente
y se revisa con cierta frecuencia.
SISTEMASREDES
La informacin contenida en el correo

electrnico presenta las protecciones estndar
del producto, no se han aplicado certificados ni
encriptacin.
SISTEMASREDES
La interconexin de los sistemas empresariales

estn debidamente controlados y se gestiona
correctamente su alta, baja y modificacin de
accesos. Existe una documentacin asociada al
respecto.
Correo electrnico
Sistemas de
informacin
empresariales
10
10
10
Cumple
Cumple
Cumple
10
Cumple
5-Optimizado
10
Soportes fsicos en
transito
3-Proceso definido
10
Se han establecido polticas y procedimientos

para el intercambio de informacin sobre todo
aquella que contiene datos personales aunque
no ha sido comunicada a todas las partes. En
algunos casos no se observan clusulas de
confidencialidad y en la comunicacin de voz no
se han aplicado correctamente los controles
adecuados.
Cumple
INTERCAMBIO DE INFORMACIN
No cumple
SISTEMASREDES
Cumple
10
La documentacin y la informacin en general

est protegida mediante reglas de acceso
proporcionadas por los responsables de los
datos. Se est mejorando la gestin en la
centralizacin creando accesos por grupos de
recursos.
50-Inexistente
Optimizado
Seguridad de la
documentacin de
los sistemas
SISTEMASREDES
3-Proceso
definido
10
Cumple
La informacin se manipula correctamente y

existen controles/procedimientos que la
protegen contra los accesos no autorizados o el
uso indebido pero no existe poltica o
procedimiento por escrito sobre las prcticas o
recomendaciones.
3-Proceso definido
10
Procedimiento de
manipulacin de la
informacin
4-Gestionado y
evaluable
SERVICIOS DE COMERCIO ELECTRONICO
Comercio
electrnico
SISTEMASREDES
La organizacin utiliza el comercio electrnico y

por ello cumple con la legislacin vigente
asociada (LOPD, LSSI, etc) adicionalmente se
protege de actividades faudulentas y disputas
contractuales mediante sistemas de seguridad
(Firewalls, encriptacin, certificados digitales,
etc). Existe una poltica formal al respecto.

06/06/2013 Edicin 6.0

Pgina 25 de 136
ISO/IEC 27001:2005
IT-Consulting
10 10
10 10
SISTEMASREDES
Proteccin de la
informacin de los
registros
SISTEMASREDES
Los registros de seguridad de los sistemas se

protegen de forma adecuada de los accesos no
autorizadas y de manipulaciones indebidas. No
se revisan de forma frecuente.
Registros de
administracin y
operacin
SISTEMASREDES
Los registros de seguridad registran cualquier

evento del sistema, incluyendo aquellos
realizados por los operadores y los
administradores de sistemas. No existe ningn
procedimiento de revisin peridica.
Registros de fallos
SISTEMASREDES
Se realiza la gestin de fallos de los sistemas

mediante varias herramientas de monitorizacin
que permiten a los administradores actuar para
prevenir la interrupcin o solucionarla.
Sincronizacin de
relojes
SISTEMASREDES
Los relojes de todos los sistemas estn

sincronizados con una precisin de tiempo
acordada. Existe un procedimiento forma que se
revisa con cierta frecuencia.
11
Cumple
No cumple
3-Proceso definido
CONTROL DE ACCESO
1
11
11
REQUISITOS DE NEGOCIO PARA EL CONTROL ACCESO
Poltica de control
de acceso
SEGURIDAD
Aunque la organizacin lleva a cabo un control

de acceso siguiendo las indicaciones de la
direccin o los clientes (requisitos del negocio)
no existe ninguna poltica de control acceso
formal (documentada y revisada).
Cumple
11
Cumple
Monitorizacin del
uso de los sistemas
Cumple
La organizacin ha establecido los

procedimientos para la monitorizacin y
supervisin de los recursos de procesamiento
de informacin, estos se revisan
peridicamente. No existe una poltica formal
pero las medidas se toman de forma adecuada.
Cumple
10 10
SISTEMASREDES
Cumple
10 10
Registro de
auditoras
Cumple
10 10
Todos los sistemas de informacin tienen activo

el registro de eventos de seguridad pero no se
ha establecido ninguna poltica comn de
almacenamiento. Tampoco existe
documentacin respecto a la configuracin o los
requisitos del negocio.
5-Optimizado
10 10
MONITORIZACIN
5Optimizado
10 10
SISTEMASREDES
La informacin puesta a disposicin pblica est

debidamente protegida frente a modificaciones
no autorizadas y se revisa frecuentemente. Los
servidores estn correctamente actualizados y
presentan sistemas antivirus/antimalware
activos.
Cumple
Informacin con
acceso publico
SISTEMASREDES
4-Gestionado y
evaluable
Transacciones en
lnea
3-Proceso
definido
55-Optimizado
Optimizado
10
3-Proceso
definido
10
Las transacciones en lnea se realizan mediante

encriptacin del canal de comunicacin, ya sea
por certificados digitales u otros medios. Se
llevan a cabo otros controles que aseguran la
transaccin pero no existe una poltica formal al
respecto.
4-Gestionado y
evaluable
GESTIN DE ACCESO DE USUARIO

06/06/2013 Edicin 6.0

Pgina 26 de 136
ISO/IEC 27001:2005
IT-Consulting
Cumple
Cumple
Uso de las
contraseas
SISTEMASREDES
La organizacin ha establecido mtodos

tcnicos para que las contraseas cumplan con
unos requisitos de seguridad adecuados (no
est aplicado en las aplicaciones) pero no existe
una gua de recomendaciones en la seleccin
de contraseas para los usuarios.
SISTEMASREDES
Se han establecido controles tcnicos para el

bloqueo de equipos desatendidos (tanto en
estaciones de trabajo como servidores) pero no
existe una gua/formacin de concienciacin
dirigida a los usuarios.
SISTEMASREDES
No existe ninguna poltica formal de puesto de

trabajo despejado y bloqueo de pantalla aunque
la organizacin ha establecido mtodos tcnicos
para el bloqueo de sesiones.
11
11
Poltica de puesto
de trabajo
despejado y
bloqueo de pantalla
11
3-Proceso definido
RESPONSABILIDAD DE USUARIO
Equipo de usuario
desatendido
11
Cumple
No existe ningn procedimiento formal de

revisin de los derechos de acceso, los
responsables de la informacin confian en los
derechos establecidos y slo se revisan en caso
de error, anomala o incidencia.
No cumple
SISTEMASREDES
Revisin de los
derechos de
accesos
Cumple
11
SISTEMASREDES
Cumple
Gestin de las
contraseas de los
usuarios
Cumple
11
Se realiza una gestin correcta de las

contraseas de los usuarios tanto a nivel de
aplicacin como de sistema a travs de un
proceso formal (se establece caducidad y
bloqueo) aunque no existe ninguna poltica
formal sobre la gestin de contraseas (entrega,
cambio, etc). Tampoco se firman clusulas de
confidencialidad de la contrasea.
Cumple
SISTEMASREDES
La gestin de privilegios slo corresponde al

departamento de Administracin de Sistemas
(en el caso de sistemas comunes) y explotacin
de aplicaciones (en el caso de aplicaciones).
Ningn otro usuario puede realizar estas
funciones. Aunque no existe un esquema formal
de autorizacin el procedimiento se realiza
correctamente.
0-Inexistente
11
Gestin de
privilegios
SISTEMASREDES
3-Proceso definido
Registro de usuario
4-Gestionado y
evaluable
11
3-Proceso
definido
11
3-Proceso definido
11
La organizacin tiene un procedimiento formal

de alta, baja y modificacin de usuarios
mediante el cual se concenden y revocan los
derechos de acceso. Este documento se
actualiza y revisa con frecuencia.
5-Optimizado
CONTROL DE ACCESO A LA RED
Poltica de uso de
los servicios de red
SISTEMASREDES
El uso de los servicios de red (un gran

porcentaje) est controlado tcnicamente y slo
se habilita el acceso previa autorizacin pero no
existe una poltica formal sobre la solicitud de
acceso. Como debilidad la organizacin permite
el acceso a la red por DHCP si un dispositivo se
conecta a una toma (sin autorizacin previa).

06/06/2013 Edicin 6.0

Pgina 27 de 136
ISO/IEC 27001:2005
IT-Consulting
Diagnstico remoto
y proteccin de los
puertos de
configuracin
SISTEMASREDES
De forma general los puertos de configuracin

de equipos, servidores, switches y otros estn
protegidos ya sea por medidas lgicas como
fsicas.
11
11
SISTEMASREDES
La organizacin establece controles de

conexin a la red mediante enrutamientos,
firewalls y otros elementos. Adicionalmente se
monitorizan los accesos y se controla el
consumo de recursos.
Control de
encaminamiento en
la red
SISTEMASREDES
La organizacin tiene implementado un control

de encaminamiento de red, todas las redes que
estn controladas se encaminan a sus
correspondientes firewalls y en estos se
establecen las reglas de acceso.
Cumple
CONTROL DE ACCESO AL SISTEMA OPERATIVO
Procedimiento
seguros de inicio
de sesin
SISTEMASREDES
11
Identificacin y
autenticacin de
usuario
SISTEMASREDES
No todos los usuarios del sistema tienen

identificadores personales, existen muchos
usuarios genricos donde no se puede trazar la
persona (tanto en sistema como en aplicacin).
SISTEMASREDES
El sistema de gestin de contraseas es

correcto, se almacenan cifradas, se establece
una complejidad a las contraseas, un periodo
de caducidad, un historial recordatorio. Adems
se permite al usuario la modificacin de
contrasea en la mayora de casos, etc.
11
Sistema de gestin
de contraseas

Cumple
5-Optimizado
11
Se establecen mecanismos tcnicos de inicio de

sesin seguro: no muestra el ltimo usuario
logeado, bloqueo de contraseas por intentos
fallidos, tiempo de espera al bloqueo de cuenta,
comunicacin cifrada de la contrasea, etc pero
estos no se recogen en una poltica. Tampoco
se muestra un aviso general del acceso limitado
a los usuarios autorizados.
No cumple
Control de
conexin a la red
Cumple
11
SISTEMASREDES
3-Proceso
definido
Segregaciones de
la red
5-Optimizado
11
Las redes de la organizacin estn

completamente segregadas y protegidas
teniendo en cuenta su criticidad, exposicin al
exterior y el valor de la informacin que
protegen. Esto se complementa con dispositivos
avanzados de vigilancia de la red.
Cumple
11
Cumple
SISTEMASREDES
Cumple
Identificacin de
equipos en la red
Cumple
Cumple
5-Optimizado
11
Todos los equipos de la red estn identificados

e inventariados (de forma automtica), se
realiza un control sobre la incorporacin de
nuevos equipos (evala la autorizacin de su
acceso a la red). Existe una estructura definida
de la red y la asignacin de IPs por zonas.
5-Optimizado
SISTEMASREDES
5-Optimizado
5-Optimizado
Se establecen la autentificacin de usuarios

para conexiones externas mediante rangos de
IP y enrutamientos preestablecidos, estos
controles se acompaan de reglas de acceso en
Firewalls.
5-Optimizado
11
Autenticacin de
usuarios para
conexiones
externas
5-Optimizado
06/06/2013 Edicin 6.0

Pgina 28 de 136
ISO/IEC 27001:2005
IT-Consulting
11
Aislamiento de
sistemas sensibles
11
12
Los sistemas sensibles estn aislados y

correctamente protegidos bajo los requisitos del
negocio y del propietario de los datos.
Ordenadores
porttiles y
comunicaciones
mviles.
Teletrabajo
SISTEMASREDES
Aunque la mayor parte de la informacin est

centralizada y se utilizan protocolos seguros as
como mecanismos adicionales, no existe una
poltica formal sobre la utilizacin de equipos y
dispositivos porttiles o mviles.
RRHH
No existe una poltica formal de teletrabajo

donde se indiquen los requisitos necesarios
(antivirus, firewall, conexin, ubicacin fsica,
etc) as como acuerdos de licencia o propiedad
intelectual, reglas de uso (acceso a la familia,
I), etc.
Cumple
Cumple
Cumple
No cumple
ORDENADORES PORTTILES Y TELETRABAJO
ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE

INFORMACIN
12
12
SISTEMASREDES
No cumple
11
Las aplicaciones tienen asignados distintos

menus dependiendo el perfil del usuario, slo
los usuarios de soporte tienen acceso a toda la
informacin. Existe documentacin al respecto.
Cumple
11
SISTEMASREDES
Cumple
CONTROL DE ACCESO A LAS APLICACIONES Y A LA INFORMACIN
Restriccin de
acceso a la
informacin
11
4-Gestionado y
evaluable
Dadas las necesidades del negocio no se han

establecido ventanas de limitacin de conexin
ya que los clientes requieren el uso del sistema
en cualquier hora/da del ao.
No cumple
SISTEMASREDES
4-Gestionado y
evaluable
11
Limitacin de las
ventanas de
conexin
4-Gestionado y
evaluable
SISTEMASREDES
En el acceso a sistemas remotos se establece

un timeout de sesin (Citrix, Terminal Server,
TMG, etc) pero no sucede lo mismo en las
aplicaciones internas de la organizacin ni en
las sesiones de usuario en las estaciones de
trabajo.
5-Optimizado
11
Desconexin
automtica de
sesin
Uso de las
utilidades de los
sistemas operativos
1-Inicial/adHoc
SISTEMASREDES
1-Inicial/adHoc
11
3-Proceso definido
11
Tanto en equipos como en servidores se limita

el uso y acceso a las herramientas y utilidades
del sistema operativo que puedan daar parte
del mismo. Slo el personal tcnico
autorizado/capacitado tiene acceso a estas.
Adicionalmente todas las aplicaciones
innecesarias son eliminadas del sistema pero
no existe una poltica formal al respecto.
5-Optimizado
REQUISITOS DE SEGURIDAD EN SISTEMAS DE INFORMACIN
En el anlisis y especificaciones de los nuevos

Anlisis y
productos se suelen evaluar las caractersticas
especificaciones de
y controles de seguridad aunque no en todas
DESARROLLO
requisitos de
las ocasiones. Cuando se asumen debilidades
seguridad
de seguridad no se realiza una evaluacin de
riesgos.

06/06/2013 Edicin 6.0

Pgina 29 de 136
ISO/IEC 27001:2005
IT-Consulting
12
Integridad de los
mensajes
DESARROLLO
Validacin de los
datos de salida
No se realiza la validacin de los datos de

salida en todas las aplicaciones/informes
DESARROLLO aunque en todos los casos se proporciona a los
usuarios la informacin suficiente para que se
pueda evaluar correctamente.
12
Gestin de claves
No existe una poltica formal sobre el uso de los

controles criptogrficos que recoja la
informacin el enfoque, el anlisis de riesgos y
las medidas implementadas.
SEGURIDAD
La organizacin tiene un implementado un

sistema de gestin de claves en donde se
generan y almacenan los certificados, gestin
de claves, etc. Este sistema est protegido y
existe una poltica no formal sobre su uso.
SEGURIDAD EN LOS ARCHIVOS DE SISTEMA

Existen controles del software en explotacin
mediante la gestin de cambios y se realizan las
actualizaciones del sistema mediante un
proceso documentado y probado.
Adicionalmente existe un registro de auditora
de los cambios realizados y la posibilidad de
restaurar un sistema si en el cambio se
producen errores.
12
Control del
software en
explotacin
12
Proteccin de los
datos de prueba
No se establece proteccin adicional a los datos

DESARROLLO de pruebas, se utilizan los mismos mecanismos
y controles que con los datos reales.
Control de acceso
al cdigo fuente
La gestin del acceso al cdigo fuente se

realiza de forma correcta; slo los usuarios
autorizados tienen acceso al cdigo fuente y
DESARROLLO
este est protegido contra modificaciones.
Adicionalmente se realiza un registro de los
cambios.
12
No cumple
SEGURIDAD
No cumple
Poltica de uso de
los controles
criptogrficos
SISTEMASREDES

Cumple
12
No cumple
CONTROLES CRIPTOGRFICOS
Cumple
12
Las aplicaciones no incorporan la verificacin de

la integridad de los mensajes aunque existen
controles adicionales que pueden complementar
este objetivo.
3-Proceso definido 1-Inicial/adHoc
Las aplicaciones de la organizacin realizan un

Control del proceso
control interno de la informacin que manejan
DESARROLLO
interno
vigilando la integridad de los datos y evitando
los ataques estndar.
1-Inicial/adHoc 4-Gestionado y evaluable
12
Las aplicaciones tienen aplicada la validacin

de datos de entrada, detectando y evitando los
errores. Estos controles protegen a las
aplicaciones de ataques estndar.
4-Gestionado y
evaluable
DESARROLLO
Cumple
12
Validacin de los
datos de entrada
Cumple
No cumple
No cumple
12
12
PROCESO CORRECTO EN LAS APLICACIONES

442-Repetible Gestionado y Gestionado y
evaluable
evaluable
2-Repetible
12
06/06/2013 Edicin 6.0

Pgina 30 de 136
ISO/IEC 27001:2005
IT-Consulting
12
12
12
13
13
Fuga de
informacin
La organizacin no tiene a disposicin de los

empleados escneres u otros dispositivos
similares, adems limita el tamao de salida de
DESARROLLO
los correos, no permite el uso de sticks de
memoria, y otros controles similares que
impiden la fuga de informacin.
Desarrollo
externalizado de
software
Se realiza el desarrollo externalizado de

software pero no en todos los casos se han
DESARROLLO establecido: los contratos de licencia, propiedad
del cdigo, requisitos de calidad y seguridad del
software, etc.
Cumple
Cumple
2-Repetible
4-Gestionado y
evaluable
SISTEMASREDES
Cumple
Restriccin en los
cambios a los
paquetes de
software
La organizacin slo realiza cambios en

paquetes de software cuando el cliente tiene
una necesidad, el software presenta un
problema o con intencin de mejorar su
rendimiento/funcionamiento. Todos los cambios
son evaluados y probados, no se realizan sin
previa autorizacin y el software original se
conserva.
Cumple
SEGURIDAD
Siempre que se realiza un cambio a nivel de

sistema o a nivel de software se realiza una
revisin tcnica sobre el cambio realizado u
otros aspectos relacionados. Aunque es
necesario mejorar el rea de Quality y Testing.
Cumple
Revisin tcnica de
las aplicaciones
despus de
cambios en los
sistemas operativos
SISTEMASREDES
Cumple
12
Procedimiento de
control de cambios
5-Optimizado
12
La organizacin lleva a cabo un procedimiento

de gestin de cambios donde se establece el
nivel de autorizacin, los sistemas afectados,
los cambios realizados, etc. Esta gestin de
cambios realiza un registro de los pasos
realizados y permite trazar una auditora del
proceso. Aunque es necesario mejorarlo ya que
no se puede asociar el activo
12
SEGURIDAD EN LOS PROCESOS DE DESARROLLO Y SOPORTE
4-Gestionado y
evaluable
12
3-Proceso definido
12
GESTIN DE VULNERABILIDADES TCNICAS
Control de
vulnerabilidades
tcnicas
SEGURIDAD
Normalmente la organizacin lleva a cabo la

gestin de las vulnerabilidades tcnicas en
cuanto a sistemas operativos Microsoft pero no
en el resto de software (Acrobat, Java, etc. incluido aplicaciones Microsoft) y dispositivos
(Cisco, etc).
GESTIN DE INCIDENCIAS DE SEGURIDAD DE LA INFORMACIN

1
REPORTE DE INCIDENCIAS Y DEBILIDADES

06/06/2013 Edicin 6.0

Pgina 31 de 136
ISO/IEC 27001:2005
IT-Consulting
Notificacin de los
eventos de
seguridad de la
informacin
HELP DESK
13
Notificacin de los
puntos dbiles de
la seguridad
HELP DESK
Los empleados, contratistas y terceros notifican

las incidencias pero no estn obligados (por
poltica, por clusula, o similar) a notificar los
puntos dbiles de seguridad.
13
13
Responsabilidades
y procedimientos
HELP DESK
La organizacin no cuenta con un esquema

formal de responsabilidades y procedimientos
para el tratamiento de las incidencias de
seguridad (especfico).
13
Aprendizaje de los
incidentes de
seguridad de la
informacin
HELP DESK
La organizacin no cuenta con ningn

mecanismo que permita el aprendizaje sobre los
incidentes de seguridad.
HELP DESK
En caso de incidentes de seguridad la

organizacin realiza la recopilacin de
evidencias pero no sigue ningn procedimiento
especfico y muchas veces por desconocimiento
no las realiza rigurosamente.
Recopilacin de
evidencias
14
No cumple
No cumple
1-Inicial/adHoc 1-Inicial/adHoc
GESTIN DE LA CONTINUIDAD DE NEGOCIO

ASPECTOS DE SEGURIDAD DE LA INFORMACIN EN LA CONTINUIDAD DE
NEGOCIO
14
Continuidad de
negocio y anlisis
de riesgos
SEGURIDAD
La organizacin no ha realizado un plan de

continuidad a partir del anlisis de un anlisis de
riesgos.
No cumple
Desarrollo e
implantacin de
planes de
continuidad
incluyendo la
seguridad de la
informacin
SEGURIDAD
dem
No cumple
14
SEGURIDAD
La organizacin cuenta una gestin de la

continuidad del negocio a baja escala, sin
analizar grandes catstrofes/daos y sin incluir
la seguridad de la informacin.

No cumple
2-Repetible
14
Incluir la seguridad
de la informacin
en el proceso de
gestin de la
continuidad de
negocio
1-Inicial/adHoc
1-Inicial/adHoc
14
No cumple
GESTIN DE INCIDENCIAS DE SEGURIDAD Y MEJORAS
2-Repetible
13
No cumple
No cumple
1-Inicial/adHoc
13
La organizacin posee un help desk de soporte

24x365 (punto nico: web, telfono y correo
electrnico) donde usuarios y proveedores
pueden notificar las incidencias aunque no se
hace distincin entre problemas habituales o
incidencias de seguridad. No existe
documentacin del sistema de gestin de
incidencias.
3-Proceso definido
06/06/2013 Edicin 6.0

Pgina 32 de 136
ISO/IEC 27001:2005
IT-Consulting
Prueba,
mantenimiento y
revisin de los
planes de
continuidad de
negocio
SEGURIDAD
dem
15
CUMPLIMIENTO
ASESORIA
JURIDICA
La organizacin cumple con la propiedad

intelectual; compra las licencias a fuentes de
confianza, mantiene un inventario de los
productos, realiza un revisin anual de los
mismos, etc. Aunque no tiene publicada una
poltica sobre el cumplimiento de la DPI.
Cumple
La organizacin cumple con la LOPD, LSSI y

otra legislacin vigente y as lo demuestra los
informes de auditora presentados.
Cumple
Derechos de
propiedad
intelectual
ASESORIA
JURIDICA
Proteccin de los
documentos de la
organizacin
ASESORIA
JURIDICA
ASESORIA
JURIDICA

La organizacin realiza la prevencin del mal
uso de los recursos informticos mediante
medidas y controles tcnicas e informa a los
empleados sobre el uso indebido de estos.
La organizacin cumple con la regulacin de los
controles criptogrficos e implanta su uso
cuando es necesario aunque no existe una
documentacin especfica al respecto.
15
Prevencin del mal

uso de los recursos
informticos
RRHH
15
Regulacin de
controles
criptogrficos
SEGURIDAD
15
15
Cumple
Cumple
15
Proteccin de datos
de carcter
personal y
privacidad
Cumple
La organizacin almacena y protege

adecuadamente la documentacin oficial
requerida adems de establecer
adecuadamente los periodos de retencin de la
informacin. En su contra no se establece
ningn documento formal que indique el
calendario de conservacin o las directrices de
conservacin.
Cumple
Identificacin de la
legislacin
aplicable
No cumple
15
5-Optimizado
55-Optimizado
Optimizado
15
CUMPLIMIENTO DE LOS REQUISITOS LEGALES
3-Proceso
definido
2-Repetible
15
15
No cumple
dem
No cumple
SEGURIDAD
1-Inicial/adHoc
5-Optimizado
14
5-Optimizado
14
Marco de
planificacin de la
continuidad de
negocio
1Inicial/adHoc
CUMPLIMIENTO DE LAS POLTICAS Y NORMAS DE SEGURIDAD
Cumplimiento de
las polticas y
normas de
seguridad.
AUDIT
No se detectan informes formales sobre las

revisiones del cumplimiento por parte de los
directores aunque parece que informalmente se
realiza este seguimiento.

06/06/2013 Edicin 6.0

Pgina 33 de 136
ISO/IEC 27001:2005
IT-Consulting
15
15
Cumple
CONSIDERACIONES SOBRE LAS AUDITORIAS DE LOS SISTEMAS DE

INFORMACIN
Controles de
auditora de los
sistemas de
informacin
AUDIT
En la realizacin de las auditoras se ha

seleccionado el mbito y los controles
necesarios para minimizar el riesgo de las
interrupciones. No existe documento general
pero se prepara un contrato con cada auditora.
Proteccin de las
herramientas de
auditora de
sistemas de
informacin
AUDIT
Todas las herramientas de auditora estn

especialmente protegidas y slo son accesibles
para los administradores/auditores.
Cumple
AUDIT
Cumple
15
5-Optimizado
En los ltimos aos se han realizado auditoras

tcnicas y procedimentales, la organizacin
posee los informes resultados. Ha analizado los
informes y est implementando las mejoras.
4-Gestionado y
evaluable
15
Comprobacin del
cumplimiento
tcnico
5-Optimizado
52- Resumen an&lisis i'e(enial

Dominio
Cumle
No umle
5.- Poltica de seguridad.
0%
100 %
6.- Organizacin de la seguridad y la informacin.
36 %
64 %
7.- Gestin de activos.
60 %
40 %
8.- Seguridad ligada a los RRHH.
78 %
22 %
9.- Seguridad fsica y ambiental.
77 %
23 %
10.- Gestin de las comunicaciones y operaciones.
87 %
13 %
11.- Control de acceso.
84 %
16 %
12.- Adquisicin, desarrollo y mantenimiento de

sistemas de informacin.
60 %
40 %
13.- Gestin de incidencias de la seguridad de la

informacin.
0%
100 %
14.- Gestin de la continuidad del negocio.
0%
100 %
15.- Cumplimiento.
90 %
10 %

06/06/2013 Edicin 6.0

Pgina 34 de 136
IT-Consulting
ISO/IEC 27001:2005
6- Plani'iain el (o%eto

06/06/2013 Edicin 6.0

Pgina 35 de 136
IT-Consulting
ISO/IEC 27001:2005

06/06/2013 Edicin 6.0

Pgina 36 de 136
IT-Consulting
ISO/IEC 27001:2005
Catulo 2
istema e gestin oumental

2- Int(ouin
Todos los sistemas de gestin tienen como base un sistema de gestin documental segn
indica el cumplimiento normativo, en este captulo desarrollaremos la documentacin bsica
para implementar un SGSI segn la norma ISO/IEC 27001 y se proporcionarn las pautas para
trabajar la biblioteca.
La existencia de todos estos documentos constituyen una evidencia imprescindible para
certificar que el SGSI est funcionando correctamente.
22- Poltia e segu(ia

Incluida en el Anexo A de este documento.
23- P(oeimiento e auito(as inte(nas

Incluido en el Anexo B de este documento.
24- Gestin e iniao(es

En esta seccin vamos a definir los indicadores necesarios para medir la eficiencia de los
controles de seguridad implantados.
Para ello, uno de los indicadores de la buena aplicacin de los controles de seguridad es la
documentacin generada por el SGSI. A continuacin enumeramos un listado de la
documentacin que debera estar presente en nuestra biblioteca documental.
Nomb(e
Cdigo tico sobre el uso de los medios informticos
Estndares de autenticacin
Estndares de cifrado
Estndares de seguridad durante el desarrollo SW

06/06/2013 Edicin 6.0

Pgina 37 de 136
IT-Consulting
ISO/IEC 27001:2005
Estrategia de continuidad de suministro electrico

Gua de buen uso de las contraseas
Gua de clasificacin de la informacin
Gua para el uso de dispositivos porttiles en lugares pblicos
Gua sobre proteccin de datos en entorno de pruebas
Gua sobre SW malicioso
Manual de bienvenida
Manual de seguridad
Manual de seguridad LOPD
Marco de referencia de Planes de Continuidad
Mtodo de anlisis y gestin de riesgos
Mtodo de auditora
Metodologa de desarrollo
Norma de cableado seguro
Norma de revisin de los servicios de suministro
Norma de uso de los servicios ofimticos
Norma para el uso de material informtico fuera de las oficinas
Norma para la gestin de contraseas
Norma para procedimiento de inicio de sesin
Norma sobra carga y descarga de material
Norma sobre cambios en paquetes de SW
Norma sobre copias de respaldo
Norma sobre intercambio de informacin
Norma sobre manejo de soportes extrables
06/06/2013 Edicin 6.0

Pgina 38 de 136
IT-Consulting
ISO/IEC 27001:2005
Norma sobre permetros de seguridad

Norma sobre proteccin de los fuentes
Norma sobre publicacin de informacin
Norma sobre ubicacin de equipos
Normas de seguridad en reas seguras
Normas de seguridad en el edificio
Planes-acuerdos de recuperacin
Poltica de control de accesos
Poltica de medios porttiles
Poltica de puesto de trabajo despejado y pantalla limpia
Poltica de seguridad de la informacin
Poltica de teletrabajo
Poltica de uso de los controles criptogrficos
Poltica de uso de los servicios de red
Poltica sobre Propiedad intelectual
Procedimiento de acciones correctivas y preventivas
Procedimiento de actualizacin y revisin de los Planes de Continuidad del Negocio
Procedimiento de asignacin de contraseas
Procedimiento de asignacin de privilegios
Procedimiento de autorizacin de recursos para el tratamiento de la informacin
Procedimiento de autorizacin para el uso externo de recursos informticos
Procedimiento de borrado o reutilizacin seguro
Procedimiento de cese o cambio de puesto de trabajo
Procedimiento de comprobacin de antecedentes de RRHH
06/06/2013 Edicin 6.0

Pgina 39 de 136
IT-Consulting
ISO/IEC 27001:2005
Procedimiento de comprobacin de antecedentes en contratistas

Procedimiento de comprobacin y pruebas de las copias de respaldo
Procedimiento de comprobacin y registro de entrada y salida de material
Procedimiento de comunicacin y aceptacin de responsabilidades de los empleados
Procedimiento de comunicacin y aceptacin de responsabilidades de los terceros
contratados
Procedimiento de control de cambios en aplicativos
Procedimiento de copias de respaldo
Procedimiento de correccin de vulnerabilidades tcnicas
Procedimiento de gestin de cambios en los niveles de servicio
Procedimiento de gestin de capacidades
Procedimiento de gestin de incidencias
Procedimiento de gestin de la documentacin
Procedimiento de gestin de soportes
Procedimiento de gestin del mantenimiento
Procedimiento de inclusin de requerimientos de seguridad en Aplicaciones
Procedimiento de marcado/etiquetado
Procedimiento de monitorizacin y revisin de los servicios
Procedimiento de obtencin y presentacin de evidencias
Procedimiento de paso a produccin de HW-SW
Procedimiento de publicacin de informacin
Procedimiento de registro de usuarios
Procedimiento de reparacin contra SW malicioso
Procedimiento de reporte de incidencias

06/06/2013 Edicin 6.0

Pgina 40 de 136
IT-Consulting
ISO/IEC 27001:2005
Procedimiento de revisin de accesos a reas seguras

Procedimiento de revisin de derechos de acceso
Procedimiento de revisin de la monitorizacin
Procedimiento de revisin de la poltica de seguridad
Procedimiento de revisin de las incidencias
Procedimiento de revisin de logs
Procedimiento de revisin del inventario de activos
Procedimiento de revisiones de las obligaciones y de los acuerdos
Procedimiento de uso de datos reales en pruebas
Procedimiento disciplinario
Procedimientos de operaciones de T.I documentados
Procedimientos organizativos de adecuacin a la Ley
A parte de la documentacin se asignan los siguientes indicadores adicionales:

Cont(ol
Iniao(
5.1.2
Nmero de revisiones de la poltica de seguridad por parte de la Direccin.
6.1.8
Nmero de auditoras realizadas (internas y externas).
15.3.1
Nmero de No conformidades identificadas en las auditoras.
8.2.2
Nmero de cursos y asistentes por curso.
9.1.4
Nmero de chequeos de mantenimiento de los sistemas anti-incendio (Anuales)
9.1.2
% de accesos fallidos/irregulares a las instalaciones fsicas.

Clculo: [(Accesos Fallidos-Irregulares / Accesos Totales) * 100]
Valor Tolerable: 20%
9.2.1
% de dispositivos extraviados respecto del total.

06/06/2013 Edicin 6.0

Pgina 41 de 136
IT-Consulting
ISO/IEC 27001:2005
11.3.2
Clculo: [(Nmero de dispositivos extraviados / Nmero de dispositivos inventariados) * 100]
11.7.1
15.2.1
9.2.6
Nmero de equipos / dispositivos reutilizados.

Clculo: [Nmero de equipos-dispositivos reutilizados / Nmero de equipos-dispositivos
retirados+reutilizados]
10.1.1
% de documentacin de seguridad elaborada respecto a la esperada.
10.8.1
Clculo: [(Nmero documentos seguridad / Nmero ideal de documentos seguridad) * 100]

10.1.2
Nmero de cambios fallidos.
12.4.1
Clculo: [(Nmero de cambios fallidos / Nmero total de cambios) *100]
12.5.1
Nmero de rollbacks aplicados correctamente.

Clculo: [(Nmero de cambios fallidos / Nmero total de cambios) *100]
10.3.1
% de espacio libre en unidades de disco.

Clculo: [(MB libres discos / MB total discos) *100]
Valor Tolerable:20%
% de memoria disponible en servidores.

Clculo: [(MB libres memoria / MB total memoria) *100]
Valor Tolerable:20%
% de uso de procesador en servidores.

10.4.1
% de equipos sin antivirus instalado.
10.4.2
Clculo: [(Nmero equipos sin antivirus / Nmero total equipos) *100]

Valor Tolerable:10%

06/06/2013 Edicin 6.0

Pgina 42 de 136
IT-Consulting
ISO/IEC 27001:2005
Nmero de virus detectados en servidores / estaciones de trabajo (mensuales)

10.5.1
Nmero de copias de seguridad y volumen de datos copiados.

% de copias de seguridad fallidas (por semanas)
Clculo: [(Nmero copias fallidas / Nmero total copias) *100]
Valor Tolerable:10%
10.7.2
Nmero de soportes retirados.
10.8.2
Nmero de acuerdos de intercambio de datos.
10.9.1
Nmero de transacciones econmicas.
10.9.2
% de transacciones econmicas fallidas.

Clculo: [(Nmero transacciones fallidas / Nmero total transacciones) *100]
Valor Tolerable:5%
10.10.2
% de sistemas monitorizados respecto del total.

Clculo: [(Nmero sistemas monitorizados / Nmero total sistemas) *100]
11.2.1
% de accesos fallidos/irregulares a las aplicaciones.
11.6.1
Clculo: [(Nmero accesos fallidos / Nmero total accesos) *100]

11.2.1
Nmero de usuarios de baja en un ao.
11.2.2
Nmero de personas con permisos de Administrador/root.
11.2.4
11.4.2
Nmero de empleados con acceso VPN habilitado.
11.4.3
11.4.6
11.4.3
% de equipos sin asociacin a un dominio.
11.4.6
Clculo: [(Nmero equipos sin asociacin dominio / Nmero total equipos) *100]

06/06/2013 Edicin 6.0

Pgina 43 de 136
IT-Consulting
ISO/IEC 27001:2005
11.4.5
Nmero de equipos / dispositivos por sub-red.
11.4.6
% de accesos no autorizados a la red de la organizacin.

Clculo: [(Nmero accesos no autorizados a la red / Nmero total de accesos) *100]
11.4.7
Nmero de rutas por router.
11.5.1
% de servidores sin poltica de seguridad en contraseas.
11.5.3
Clculo: [(Nmero servidores sin poltica seguridad / Nmero total servidores) *100]
13.1.1
Nmero de incidentes de seguridad.
13.2.2
Tiempo de recuperacin medio por indisponibilidad.

% de disponibilidad de los sistemas de informacin.
% de disponibilidad de los sistemas de informacin.
13.2.2
% de problemas (incidencias repetitivas) identificados.

Clculo: [(Nmero de problemas / Nmero de incidencias) *100]
Valor Tolerable: 5%
15.1.1
% de aplicaciones instaladas por licencia.
15.1.2
Clculo: [(Nmero de aplicaciones instaladas / Nmero de licencias) *100]

15.1.3
Nmero de clusulas de confidencialidad para contratos, correos y otros

documentos (plantillas).
15.1.4
Todos
% de reduccin de amenazas anual.

06/06/2013 Edicin 6.0

Pgina 44 de 136
IT-Consulting
ISO/IEC 27001:2005
25- P(oeimiento e (e$isin e la i(ein

La implementacin de una poltica de seguridad sin el apoyo de la Direccin est destinada al
fracaso, por ello es imprescindible que la Direccin proporcione medios y apoyo para llevar a
cabo cualquier cambio en la cultura de la seguridad.
La Direccin de la organizacin deber participar en la toma de decisiones relacionada con la
seguridad de la informacin y hacer un seguimiento de los procedimientos, controles, u
otros mecanismos implementados para garantizar el buen funcionamiento del SGSI.
Este apartado tiene como objetivo describir cual ser el procedimiento de revisin de la
direccin como accin indispensable en el SGSI.
La Direccin realizar, con un periodo inferior a un ao, controles para verificar el
cumplimiento de todos los estndares, normas y procedimientos establecidos en el SGSI. El
Responsable de Seguridad ser el encargado de realizar esta revisin.
-
El anlisis de la situacin se realizar al menos sobre las siguientes reas / controles:
o
Comprobacin del conocimiento de las normas de seguridad por parte de las personas
que acceden a los sistemas de informacin de la organizacin.
o
Control, revisin y evaluacin de registros de: usuarios, incidencias de seguridad,
inventario de activos, etc.
o
Control de autorizaciones de delegacin de funciones relacionadas con la seguridad.
El Responsable de Seguridad realizar un breve informe sobre la revisin realizada

anualmente. En este se incluirn las incidencias y deficiencias detectadas y una relacin de
soluciones y propuestas de mejora.
La organizacin, adems de mantener actualizado los documentos del SGSI, y realizar
una revisin, teniendo presente los ltimos informes de auditora, las incidencias y las
revisiones internas.
La Direccin se encargar de revisar el resultado de las auditoras internas anuales y
hacer un seguimiento de las acciones correctivas (al menos semestralmente). Se actuar de la
misma manera con las auditoras externas con una frecuencia de 3 aos, haciendo un
seguimiento de las acciones al menos de forma anual.
De forma puntual se solicitar (al menos una vez al ao) un resumen de los indicadores
de seguridad y se analizarn en el comit de seguridad.

06/06/2013 Edicin 6.0

Pgina 45 de 136
IT-Consulting
ISO/IEC 27001:2005
26- Gestin e (oles % (esonsabiliaes

El organigrama de la organizacin, la asignacin de puestos de trabajo y las funciones
desarrolladas por cada uno de estos se hallan descritas en la descripcin de la empresa, en
este apartado desarrollaremos las funciones y obligaciones del personal clave que interacta
con el SGSI.
Como norma general se entender que las normas y obligaciones afectan por igual a todos
(internos y externos) salvo se indique expresamente lo contrario (bien desarrollado o
mediante una excepcin).
Cumpliendo con la obligacin de dar a conocer las normas de seguridad y las funciones de cada
puesto de trabajo, el responsable de seguridad comunicar a las partes afectadas el contenido
de la Poltica de Seguridad y establecer los medios y recursos necesarios para su
entendimiento.
26- Comit e segu(ia

El comit de seguridad multi-disciplina compuesto de los diferentes responsables de la
organizacin, sus funciones sern las siguientes:
-
Implantar las directrices del comit de direccin.

Asignar roles y funciones en materia de seguridad.
Presentar la aprobacin de polticas, normas y responsabilidades en materia de
seguridad.
Validar el mapa de riesgos y sus acciones.
Validar el plan director de seguridad.
Supervisar el plan de continuidad del negocio.
Velar por el cumplimiento de la legislacin vigente en materia de seguridad.
Promover la formacin y cultura de seguridad.
Aprobar y revisar peridicamente el SGSI.
En nuestra organizacin estar compuesto por las siguientes personas:

-
Representante de la direccin.
Responsable de Seguridad de la Organizacin.
Responsable de Explotacin de Sistemas.
Responsable de Desarrollo y proyectos.
Responsable de Infraestructuras, Sistemas y Comunicaciones.
Responsable de Jurdico.
Responsable de Administracin y Personal.
Equipo de asesores especializados en seguridad.

06/06/2013 Edicin 6.0

Pgina 46 de 136
IT-Consulting
ISO/IEC 27001:2005
262- Funiones % obligaiones el e(sonal

Las funciones que los empleados de la organizacin desarrollen, en relacin a los sistemas de
informacin, sern aquellas para las que hayan sido expresamente autorizados,
independientemente de las limitaciones (organizativas, tcnicas, automticas, etc.) que se
establecen para controlar sus accesos.
Los empleados y las entidades relacionadas con los sistemas de informacin estarn obligados
a respetar las normas, tanto con carcter general como especfico. A efectos de garantizar el
cumplimiento de estas obligaciones, se ha definido una poltica general, contenida en el
presente documento.
Independientemente de las funciones y responsabilidades especficas asignadas a los usuarios
y/o entidades sobre los respectivos sistemas de informacin, a cualquier empleado de la
organizacin o entidad colaboradora se les exige con carcter general:
Confidencialidad, respecto a la informacin y documentacin que reciben y/o usan
perteneciente a la organizacin o de su responsabilidad.
-
No incorporar a la organizacin informacin o datos sin autorizacin de la entidad.
No ceder datos de carcter personal ni usarlos con una finalidad distinta por la que han
sido recogidos (fichero).
Comunicar al responsable de seguridad cualquier incidencia respecto a la seguridad de
la informacin.
2.6.2.1- Personal con acceso privilegiado y personal tcnico.
El personal tcnico que administra el sistema de acceso a los sistemas de informacin no tiene
por qu estar presente en todos los casos, siendo en algunas ocasiones subcontratado o
asumido por otros roles. En cualquiera de los casos, se podra clasificar en las siguientes
categoras segn sus funciones:
Administradores (red, sistemas operativos, aplicaciones y bases de datos): sern los
responsables de los mximos privilegios, y por tanto con alto riesgo de que una actuacin
errnea o incorrecta pueda afectar a los sistemas. Tendr acceso a todos los sistemas
necesarios para desarrollar su funcin y resolver los problemas que surjan.
Operadores (red, sistemas operativos, aplicaciones y bases de datos): sus actuaciones estn
limitadas dentro de los sistemas de informacin y generalmente supervisadas por los
administradores, utilizarn las herramientas de gestin disponibles y autorizadas. En principio
no deben tener acceso a los ficheros que contengan datos personales salvo la tarea lo
requiera.
06/06/2013 Edicin 6.0

Pgina 47 de 136
IT-Consulting
ISO/IEC 27001:2005
Mantenimiento de los sistemas y aplicaciones: personal responsable de la resolucin de

incidencias en sistemas hardware y software. En principio no deben tener acceso a los datos
de los sistemas de informacin salvo la tarea lo requiera.
Como cualquier otro empleado de la organizacin el personal con acceso privilegiado y
personal tcnico debe cumplir con las obligaciones establecidas en el documento, extremando
an ms las precauciones al realizar acciones en el sistema de informacin. Para estas
categoras laborales sern de aplicacin las normas y obligaciones establecidas para todo el
personal con perfil de usuario.
A continuacin identificaremos algunas de las funciones y responsabilidades exclusivas del
personal de tcnico y con acceso privilegiado:
Procurar que la integridad, autentificacin, control de acceso auditora y registro se
contemplen e incorporen en el diseo, implantacin y operacin de los sistemas de
informacin y telecomunicaciones.
Procurar la confidencialidad y disponibilidad de la informacin almacenada en los
sistemas de informacin (ya sea de forma electrnica o no) as como su salvaguarda mediante
copias de seguridad de una forma peridica.
Conceder a los usuarios acceso nicamente a los datos y recursos a los que estn
autorizados y precisen para el desarrollo de su trabajo.
No acceder a los datos aprovechando sus privilegios sin autorizacin del Responsable
de Seguridad.
Custodiar con especial cuidado los identificadores y contraseas que dan acceso a los
sistemas con privilegios de administrador.
Notificar las incidencias oportunas ante cualquier violacin de las normas de seguridad
o vulnerabilidades detectadas en los sistemas.
No revelar a terceros ninguna posible debilidad en materia de seguridad de los
sistemas sin previa autorizacin del Responsable de Seguridad y con el propsito de su
correccin.
2.6.2.2- Personal con perfil de usuario.
Los usuarios con acceso a los sistemas de informacin y con acceso a los sistemas de
informacin slo podrn acceder a aquellos que estn autorizados y sean necesarios para el
desempeo de su funcin.
Por tanto, todos los usuarios involucrados en el uso de sistemas de informacin debern
cumplir con las siguientes obligaciones, dependiendo de la funcin que realicen:
06/06/2013 Edicin 6.0

Pgina 48 de 136
IT-Consulting
ISO/IEC 27001:2005
Guardar el secreto de la informacin a la que tuviere acceso, incluso an despus de

haber finalizado la relacin con la organizacin.
Conocer y cumplir la normativa interna en cuestin de seguridad de la informacin y
especialmente la referida a la proteccin de datos de carcter personal.
Conocer y atenerse a las responsabilidades y consecuencias en caso de incurrir en el
incumplimiento de la normativa interna.
Respetar los procedimientos, mecanismos y dispositivos de seguridad, evitando
cualquier intento de acceso no autorizado o recursos no permitidos.
Usar de forma adecuada los procedimientos, mecanismos y controles de identificacin
y autentificacin ante los sistemas de informacin. En el caso particular de usuarios y
contraseas, se deber cumplir lo especficamente previsto en la normativa adjunta (sintaxis,
distribucin, custodia, etc.).
Utilizar las contraseas segn las instrucciones recibidas al respecto, tampoco
informarlas ni cederlas a terceros ya que son de carcter personal y con uso exclusivo por
parte del titular.
Si un usuario tiene sospechas de que su acceso autorizado (identificador de usuario y
contrasea) ha sido comprometido o est siendo utilizado por otra persona, debe proceder al
cambio de contrasea y comunicar la correspondiente incidencia de seguridad.
Proteger especialmente los datos personales de la organizacin que con carcter
excepcional tuvieran que almacenarse, usarse o trasportarse fuera de trabajo (oficinas de
clientes, instalaciones temporales, propio domicilio, etc.).
Salir o bloquear el acceso de los ordenadores u otros dispositivos similares, cuando se
encuentre ausente de su puesto de trabajo.
Los usuarios deben notificar al Responsable de Seguridad de la organizacin cualquier
incidencia que detecten que afecte o pueda afectar a los datos de los sistemas de informacin
(prdida de informacin, acceso no autorizado por otras personas, recuperacin de datos,
etc.).
Entregar cuando sea requerido por la organizacin, y especialmente cuando cause baja
en la empresa, las llaves, claves, tarjetas de identificacin, material, documentacin, equipos
dispositivos y cuantos activos sean de propiedad de la empresa.

06/06/2013 Edicin 6.0

Pgina 49 de 136
IT-Consulting
ISO/IEC 27001:2005
263- Funiones % obligaiones el (esonsable e segu(ia

El Responsable de Seguridad es la persona la persona que coordina y controla las medidas de
seguridad aplicables en la organizacin.
A continuacin enumeraremos las principales funciones asociadas a los Responsables de
Seguridad:
Asesorar en la definicin de requisitos sobre las medidas de seguridad que se deben
adoptar.
-
Validar la implantacin de los requisitos de seguridad necesarios.
Revisar peridicamente los sistemas de informacin y elaborar un informe de las

revisiones realizadas y los problemas detectados.
Verificar la ejecucin de los controles establecidos segn lo dispuesto en el documento
de seguridad.
Mantener actualizadas las normas y procedimientos en materia de seguridad de
afecten a la organizacin.
Definir y comprobar la aplicacin del procedimiento de copias de respaldo y
recuperacin de datos.
Definir y comprobar la aplicacin del procedimiento de notificacin y gestin de
incidencias.
-
Controlar que la auditora de seguridad se realice con la frecuencia necesaria.
Analizar los informes de auditora y si lo considera necesario modificar las medidas

correctoras para prevenir incidentes.
-
Trasladar los informes de auditora a la direccin.
Establecer los controles y medidas tcnicas y organizativas para asegurar los sistemas
de informacin.
Gestionar y analizar las incidencias de seguridad acaecidas en la organizacin y su
registro segn el procedimiento indicado en el Documento de Seguridad.
Coordinar la puesta en marcha de las medidas de seguridad y colaborar en el
cumplimiento y difusin del Documento de Seguridad.

06/06/2013 Edicin 6.0

Pgina 50 de 136
IT-Consulting
ISO/IEC 27001:2005
27- Metoologa e an&lisis e (iesgos

El anlisis de riesgos es la primera y principal tarea de una organizacin antes de realizar
cualquier planteamiento en aspectos de seguridad; evidentemente cualquier anlisis de
riesgos debe realizarse atendiendo una metodologa, ya sea una de mercado o creada
especficamente por la organizacin, en este apartado describiremos como desarrollaremos
nuestro mtodo de anlisis de riesgos.
En nuestro caso particular nuestra metodologa de anlisis de riesgos se basar en MAGERIT
aunque se personalizarn alguno de los aspectos atendiendo las caractersticas de nuestra
organizacin.
Fase 1 - Toma de datos y proceso de informacin: En esta fase se definir el alcance y se
analizarn los procesos de la organizacin. Durante este proceso se debe tener en cuenta la
granularidad del anlisis ya que impactar directamente en el coste del anlisis de riesgos.
Fase 2 Establecimiento de parmetros: Durante esta actividad se identificarn los
parmetros que se utilizarn durante el anlisis de riesgos; sern los siguientes:
-
Valor de los activos: Se asignar un valor econmico al objeto analizado. A la hora de

asignar el valor econmico se tendr en cuenta el valor de reposicin, configuracin,
uso y prdida de oportunidad.
Valo(ain
Rango
Valo(
Muy Alta
Valor > 200.000
300.000
Alta
100.000 < Valor > 200.000 150.000
Media
50.000 < Valor > 100.000
75.000
Baja
10.000 < Valor > 50.000
30.000
Muy baja
Valor < 10.000
10.000
Vulnerabilidad: La vulnerabilidad se entiende como frecuencia de la ocurrencia de una

amenaza. Esta valoracin numrica se realizar mediante estimaciones anuales, para
ello se aplicar la siguientes frmula [Vulnerabilidad = Frecuencia estimada / das ao]

06/06/2013 Edicin 6.0

Pgina 51 de 136
ISO/IEC 27001:2005
IT-Consulting
Vulne(abilia
Rango
Frecuencia extrema
1 vez al da
Frecuencia Alta
1 vez cada 2 semanas 26/365
Frecuencia Media
1 vez cada 2 meses
6/365
Frecuencia Baja
1 vez cada 6 meses
2/365
Frecuencia Muy baja 1 vez cada ao
Valo(
1
1/365
Criticidad: Impacto en la organizacin si se produce un problema sobre el activo.
C(itiia
Rango
Valo(
Crtico
[100-90%]Parada total de todos los servicios o un servicio esencial de la

organizacin. Parada total de la actividad empresarial. Afecta a la imagen
de la organizacin. Causa un dao econmico muy elevado.
95 %
Alto
[89-75%]Parada de un servicio no esencial de la organizacin. Parada

parcial de la actividad empresarial. Causa daos econmicos elevados.
75 %
Medio
[74-25%]Parada de un departamento o equipo de trabajo. Causa daos

econmicos medios.
50 %
Bajo
[25-0%]Parada de un puesto de trabajo. No causa daos econmicos

apreciables.
25 %
Impacto: Se entiende como impacto el tanto por ciento del activo que se pierde en
caso de que un impacto suceda sobre l.
Imato
Rango
Muy Alto
100%
Alto
75%
Medio
50%
Bajo
20%
Muy bajo 5%

06/06/2013 Edicin 6.0

Pgina 52 de 136
IT-Consulting
ISO/IEC 27001:2005
Efectividad del control de seguridad: Este parmetro indicar la efectividad de las

medidas de proteccin de los riesgos, pueden reducir la vulnerabilidad o el impacto
dependiendo del control.
Va(iain Imato/Vulne(abilia Valo(
Muy Alto
95%
Alto
75%
Medio
50%
Bajo
30%
Muy bajo
10%
Fase 3 Anlisis de activos: Durante esta fase se identificaran los activos de la empresa que se
requieren para llevar a cabo la actividad. Se debe tener presente que en la organizacin puede
poseer distintos tipos de activos (fsicos, lgicos o de personal, infraestructura, intangibles,
etc.) y se valorarn teniendo en cuenta los parmetros de valoracin de activos.
Fase 4 Anlisis de amenazas: Las amenazas son aquellas situaciones que pueden provocar un
problema de seguridad. Las amenazas dependen del tipo de organizacin as como de su
configuracin y caractersticas. Segn MAGERIT las amenazas se pueden clasificar en cuatro
grandes grupos:
-
Accidentes: Situaciones no provocadas voluntariamente y que la mayor parte de las

veces no puede evitarse. Por ejemplo: incendio, inundacin, etc.
Errores: Situaciones provocadas involuntariamente provocadas por el desarrollo de las
actividades cotidianas ya sea por desconocimiento y/o descuido. Por ejemplo: Errores
de desarrollo, errores de actualizacin, etc.
Amenazas intencionales presenciales: Son provocadas por el propio personal de la
organizacin de forma voluntaria y conociendo el dao que puede ocasionar. Por
ejemplo: Accesos no autorizados, filtracin de datos, etc.
Amenazas intencionales remotas: Son provocadas por terceras personas ajenas a la
organizacin con el objetivo de daarla. Ejemplos: Suplantacin de origen, gusanos,
DoS, etc.

06/06/2013 Edicin 6.0

Pgina 53 de 136
IT-Consulting
ISO/IEC 27001:2005
Fase 5 Establecimiento de las vulnerabilidades: Las vulnerabilidades son aquellos agujeros

que permiten explotar una amenaza daando un activo. En la metodologa MAGERIT no es
necesario listar las vulnerabilidades pero s tenerlas identificadas para poder estimar la
frecuencia de la ocurrencia de una determinada amenaza sobre un activo.
Fase 6 Valoracin de impactos: Las amenazas pueden daar los activos de la organizacin, es
necesario cuantificar el impacto de una amenaza sobre el activo. Por ejemplo: dao
econmico, prdidas cualitativas, etc.
Fase 7 Anlisis de riesgos intrnseco: Llegados a este punto y habiendo identificado los
valores anteriores podemos realizar el estudio de riesgos actuales de la organizacin y para
ello utilizaremos la siguiente frmula:
Riesgo = Valor del activo x Vulnerabilidad x Impacto
Debemos recordar que los riesgos intrnsecos son aquellos a los que la organizacin est
expuesta sin tener en consideracin las medidas de seguridad que podamos implantar.
Nivel aceptable de riesgos.
Durante esta fase se establecer el nivel aceptable de riesgos que se basar en la siguiente
tabla:
Ni$el aetable
e (iesgo
Valo(
Alto
75%
Medio
50%
Bajo
25%
Se asignarn los niveles aceptables de riesgos de forma manual y siempre estarn alineados
con la criticidad del activo en la organizacin.

06/06/2013 Edicin 6.0

Pgina 54 de 136
IT-Consulting
ISO/IEC 27001:2005
Fase 8 Influencia de las salvaguardas: Tras identificar los riesgos se iniciar la fase de gestin
del riesgo donde debemos analizar cada uno de los riesgos y aplicar la mejor solucin tcnica
que permita reducirlos al mximo.
Utilizaremos dos tipos de salvaguardas:
-
Preventivas (reducen las vulnerabilidades): Nueva vulnerabilidad = Vulnerabilidad x %

disminucin vulnerabilidad.
Correctivas (reducen el impacto): Nuevo impacto = Impacto x % disminucin impacto.
Fase 9 Anlisis de riesgos efectivos: Una vez finalizada la aplicacin de salvaguardas se

deber calcular el riesgo efectivo incluyendo la reduccin resultante despus de la aplicacin
de las salvaguardas.
Para el clculo del riesgo efectivo se utilizar la siguiente frmula:
Valor efectivo Nueva vulnerabilidad Nuevo Impacto = Valor activo (Vulnerabilidad
Porcentaje de disminucin de vulnerabilidad) (Impacto Porcentaje de disminucin de
impacto) = Riesgo intrnseco Porcentaje de disminucin de vulnerabilidad Porcentaje de
disminucin de impacto
Fase 10 Gestin de riesgos: La ltima fase del anlisis de riesgos comienza con la gestin del
riesgo, es decir la toma de decisiones de la organizacin ante las medidas de seguridad a
aplicar. Ante la seleccin de las medidas de seguridad se debe tener presente el umbral del
riesgo aceptable y el coste de la aplicacin de las medidas de seguridad. A la hora de gestionar
los riesgos existen distintas estrategias que a continuacin enumeraremos:
-
Reducirlos
Transferirlos
Aceptarlos
A la hora de gestionar los riesgos ser necesario establecer un plan de accin que contenga al
menos la siguiente informacin:
-
Establecimiento de prioridades
Anlisis coste / beneficio
Seleccin de controles
Asignacin de responsabilidades
Implantacin de controles

06/06/2013 Edicin 6.0

Pgina 55 de 136
IT-Consulting
ISO/IEC 27001:2005
28-Dela(ain e aliabilia
Objeto de control
Control
Aplica
Objetivo: La Direccin proporcionar indicaciones y dar apoyo la

seguridad de la informacin de acuerdo con los requisitos del
negocio y con la legislacin y las normativas aplicables.
5.1
Poltica de seguridad de
la informacin
5.1.1
Documento de poltica de
seguridad de la
informacin
5.1.2
Revisin de la poltica de
seguridad e la informacin
6.1
Organizacin interna
Objetivo: Gestionar la seguridad de la informacin dentro de la

organizacin
6.1.1
Compromiso de la
Direccin con la seguridad
de la informacin.
La Direccin debe prestar un apoyo activo a la seguridad dentro

de la organizacin a travs de directrices claras, un compromiso
demostrado, asignaciones explcitas y el reconocimiento de las
responsabilidades de seguridad de la informacin.
SI
6.1.2
Coordinacin de la
seguridad de la
informacin
Las actividades relativas a la seguridad de la informacin deben

ser coordinadas entre los representantes de las diferentes
partes de la organizacin con sus correspondientes roles y
funciones de trabajo.
SI
6.1.3
Asignacin de
responsabilidades relativas Deben definirse claramente todas las responsabilidades
a la seguridad de la
relativas a la seguridad de la informacin.
informacin
SI
6.1.4
Proceso de autorizacin
de recursos para el
tratamiento de la
informacin
Para cada nuevo recurso de tratamiento de la informacin, debe

definirse e implantarse un proceso de autorizacin por parte de
la Direccin.
SI
6.1.5
Acuerdos de
confidencialidad
Debe determinarse y revisarse peridicamente la necesidad de

establecer acuerdos de confidencialidad o no revelacin, que
reflejen las necesidades de la organizacin para la proteccin de
la informacin
SI
6.1.6
Contacto con las

autoridades
Deben mantenerse los contactos adecuados con las autoridades

competentes
SI
6.1.7
Contacto con grupos de

especial inters
Deben mantenerse los contactos adecuados con grupos de

inters especial u otros foros, y asociaciones profesionales
especializados en seguridad.
SI
Revisin independiente de
la seguridad de la
informacin
El enfoque de la organizacin para la gestin de la seguridad de

la informacin y su implantacin (es decir, los objetivos de
control, los controles, las polticas, los procesos y los
procedimientos para la seguridad de la informacin), debe
someterse a una revisin independiente a intervalos planificados
o siempre que se produzcan cambios significativos en la
implantacin de la seguridad.
SI
6.1.8
La Direccin debe aprobar un documento de poltica de

seguridad de la informacin, publicarlo y distribuirlo a todos los
empleados y terceros afectados.
La poltica de seguridad de la informacin debe revisarse a
intervalos planificados o siempre que se produzcan cambios
significativos, a fin de asegurar que se mantenga su idoneidad,
adecuacin y eficacia.

SI
SI
06/06/2013 Edicin 6.0

Pgina 56 de 136
IT-Consulting
ISO/IEC 27001:2005
Objetivo: Mantener la seguridad de la informacin de la organizacin

y de los dispositivos de tratamiento de la informacin que son objeto
de acceso, procesado, comunicacin o gestin por terceros.
6.2
Terceros
6.2.1
Identificacin de los
riesgos derivados del
acceso de terceros
6.2.2
Tratamiento de la
seguridad en la relacin
con los clientes
6.2.3
Los acuerdos con terceros que conlleven acceso, procesado,

comunicacin o gestin, bien de la informacin de la
Tratamiento de la
organizacin, o de los recursos de tratamiento de la informacin,
seguridad en contratos con
o bien la incorporacin de productos o servicios a los recursos
terceros
de tratamiento de la informacin, deben cubrir todos los
requisitos de seguridad pertinentes.
7.1
Responsabilidad sobre
los activos
Objetivo: Conseguir y mantener una proteccin adecuada

de los activos de la organizacin.
7.1.1
Inventario de activos
Todos los activos deben estar claramente identificados y debe

elaborarse y mantenerse un inventario de todos los activos
importantes.
SI
7.1.2
Propiedad de los activos
Toda la informacin y activos asociados con los recursos para el

tratamiento de la informacin deben tener un propietario que
forme parte de la organizacin y haya sido designado como
propietario.
SI
7.1.3
Uso aceptable de los

activos
Se deben identificar, documentar e implantar las reglas para el

uso aceptable de la informacin y los activos asociados con los
recursos para el tratamiento de la informacin.
SI
7.2
Clasificacin de la
informacin
Objetivo: Asegurar que la informacin recibe un nivel

adecuado de proteccin.
7.2.1
Directrices de clasificacin
7.2.2
Etiquetado y manipulado
de la informacin
Deben identificarse los riesgos para la informacin y para los

dispositivos de tratamiento de la informacin de la organizacin
derivados de los procesos de negocio que requieran de
terceros, e implantar los controles apropiados antes de otorgar
el acceso.
Deben tratarse todos los requisitos de seguridad identificados
antes de otorgar acceso a los clientes a los activos o a la
informacin de la organizacin.
La informacin debe ser clasificada segn su valor, los

requisitos legales, la sensibilidad y la criticidad para la
organizacin.
Se debe desarrollar e implantar un conjunto adecuado de
procedimientos para etiquetar y manejar la informacin, de
acuerdo con el esquema de clasificacin adoptado por la
organizacin.
8.1
Antes del empleo
Objetivo: Asegurar que los empleados, los contratistas y

los terceros conocen y comprenden sus responsabilidades,
y son adecuados para llevar a cabo las funciones que les
corresponden, as como para reducir el riesgo de robo,
fraude o de uso indebido de los recursos.
8.1.1
Funciones y
responsabilidades
Las funciones y responsabilidades de seguridad de los

empleados, contratistas y terceros se deben definir y
documentar de acuerdo con la poltica de seguridad de la

SI
SI
SI
SI
SI
SI
06/06/2013 Edicin 6.0

Pgina 57 de 136
IT-Consulting
ISO/IEC 27001:2005
8.1.2
Investigacin de
antecedentes
8.1.3
Trminos y condiciones de
contratacin
La comprobacin de los antecedentes de todos los candidatos al

puesto de trabajo, de los contratistas o de los terceros, se debe
llevar a cabo de acuerdo con las legislaciones, normativas y
cdigos ticos que sean de aplicacin y de una manera
proporcionada a los requisitos del negocio, la clasificacin de la
informacin a la que se accede y los riesgos considerados.
Como parte de sus obligaciones contractuales, los empleados,
los contratistas y los terceros deben aceptar y firmar los
trminos y condiciones de su contrato de trabajo, que debe
establecer sus responsabilidades y las de la organizacin en lo
relativo a seguridad de la informacin.
SI
SI
8.2
Durante el empleo
Objetivo: Asegurar que todos los empleados, contratistas y

terceros son conscientes de las amenazas y problemas que
afectan a la seguridad de la informacin y de sus
responsabilidades y obligaciones, y de que estn
preparados para cumplir la poltica de seguridad de la
organizacin, en el desarrollo habitual de su trabajo, y para
reducir el riesgo de error humano.
8.2.1
Responsabilidades de la
Direccin
La Direccin debe exigir a los empleados, contratistas y

terceros, que apliquen la seguridad de acuerdo con las polticas
y procedimientos establecidos en la organizacin.
8.2.2
Concienciacin, formacin
y capacitacin en
seguridad de la
informacin
8.2.3
Proceso disciplinario
8.3
Cese del empleo o

cambio de puesto de
trabajo
Objetivo: Asegurar que los empleados, contratistas y

terceros abandonan la organizacin o cambian de puesto
de trabajo de una manera ordenada.
8.3.1
Responsabilidad del cese

o cambio
Las responsabilidades para proceder al cese en el empleo o al

cambio de puesto de trabajo deben estar claramente definidas y
asignadas.
SI
8.3.2
Devolucin de activos
Todos los empleados, contratistas y terceros deben devolver

todos activos de la organizacin que estn en su poder al
finalizar su empleo, contrato o acuerdo.
SI
8.3.3
Retirada de los derechos

de acceso
Los derechos de acceso a la informacin y a los recursos de

tratamiento de la informacin de todos los empleados,
contratistas y terceros deben ser retirados a la finalizacin del
empleo, del contrato o del acuerdo, o bien deben ser adaptados
a los cambios producidos.
SI
9.1
reas seguras
Objetivo: Prevenir los accesos fsicos no autorizados, los

daos y las intromisiones en las instalaciones y en la
9.1.1
Permetro de seguridad
fsica
9.1.2
9.1.3
Todos los empleados de la organizacin y, cuando corresponda,

los contratistas y terceros, deben recibir una adecuada
concienciacin y formacin, con actualizaciones peridicas,
sobre las polticas y procedimientos de la organizacin, segn
corresponda con su puesto de trabajo.
Debe existir un proceso disciplinario formal para los empleados
que hayan provocado alguna violacin de la seguridad.
Se deben utilizar permetros de seguridad (barreras, muros,

puertas de entrada con control de acceso a travs de tarjeta, o
puestos de control) para proteger las reas que contienen la
informacin y los recursos de tratamiento de la informacin.
Las reas seguras deben estar protegidas por controles de
Controles fsicos de
entrada adecuados, para asegurar que nicamente se permite el
entrada
acceso al personal autorizado.
Se deben disear y aplicar las medidas de seguridad fsica para
Seguridad de oficinas,
despachos e instalaciones. las oficinas, despachos e instalaciones.

SI
SI
SI
SI
SI
SI
06/06/2013 Edicin 6.0

Pgina 58 de 136
IT-Consulting
ISO/IEC 27001:2005
9.1.4
Proteccin contra las

amenazas externas y de
origen ambiental.
9.1.5
Trabajo en reas seguras
9.1.6
reas de acceso pblico y

de carga y descarga
9.2
Seguridad de los
equipos
9.2.1
Emplazamiento y
proteccin de equipos
9.2.2
9.2.3
9.2.4
9.2.5
9.2.6
9.2.7
10.1
10.1.1
Se debe disear y aplicar una proteccin fsica contra el dao

causado por fuego, inundacin, terremoto, explosin, revueltas
sociales y otras formas de desastres naturales o provocados por
el hombre.
Se deben disear e implantar una proteccin fsica
y una serie de directrices para trabajar en las reas seguras.
Deben controlarse los puntos de acceso tales como las reas de
carga y descarga y otros puntos, a travs de los que personal no
autorizado puede acceder a las instalaciones, y si es posible,
dichos puntos se deben aislar de las instalaciones de
tratamiento de la informacin para evitar los accesos no
autorizados.
Responsabilidades y
procedimientos de
operacin
Documentacin de los
procedimientos de
operacin.
SI
SI
Objetivo: Evitar prdidas, daos, robos o circunstancias

que pongan en peligro los activos, o que puedan provocar
la interrupcin de las actividades de la organizacin.
Los equipos deben situarse o protegerse de forma que se

reduzcan los riesgos derivados de las amenazas y peligros de
origen ambiental as como las ocasiones de que se produzcan
accesos no autorizados.
Los equipos deben estar protegidos contra fallos de
Instalaciones de suministro alimentacin y otras anomalas causadas por fallos en las
instalaciones de suministro.
El cableado elctrico y de telecomunicaciones que transmite
Seguridad del cableado
datos o que da soporte a los servicios de informacin debe estar
protegido frente a interceptaciones o daos.
Mantenimiento de los
Los equipos deben recibir un mantenimiento correcto que
equipos
asegure su disponibilidad y su integridad.
Teniendo en cuenta los diferentes riesgos que conlleva trabajar
Seguridad de los equipos
fuera de las instalaciones de la organizacin, deben aplicarse
fuera de las instalaciones
medidas de seguridad a los equipos situados fuera dichas
instalaciones.
Todos los soportes de almacenamiento deben ser comprobados
para confirmar que todo dato sensible y todas las licencias de
Reutilizacin o retirada
software se han eliminado o bien se han borrado o sobreescrito
segura de equipos
de manera segura, antes de su retirada.
Retirada de materiales
propiedad de la empresa
SI
Los equipos, la informacin o el software no deben sacarse de

las instalaciones, sin una autorizacin previa.
SI
SI
SI
SI
SI
SI
SI
Objetivo: Asegurar el funcionamiento correcto y seguro de

los recursos de tratamiento de la informacin.
Deben documentarse y mantenerse los procedimientos de
operacin y ponerse a disposicin de todos los usuarios que los
necesiten.
Deben controlarse los cambios en los recursos y en los sistemas
de tratamiento de la informacin.
SI
10.1.2
Gestin de cambios
10.1.3
Segregacin de tareas
Las tareas y reas de responsabilidad deben segregarse para

reducir la posibilidad de que se produzcan modificaciones no
autorizadas o no intencionadas o usos indebidos de los activos
de la organizacin.
SI
10.1.4
Separacin de los
recursos de desarrollo,
prueba y operacin.
Deben separarse los recursos de desarrollo, de pruebas y de

operacin, para reducir los riesgos de acceso no autorizado o
los cambios en el sistema en produccin.
SI

SI
06/06/2013 Edicin 6.0

Pgina 59 de 136
IT-Consulting
ISO/IEC 27001:2005
Objetivo: Implantar y mantener el nivel apropiado de

seguridad de la informacin en la provisin del servicio, en
consonancia con los acuerdos de provisin de servicios
por terceros.
Se debe comprobar que los controles de seguridad, las
definiciones de los servicios y los niveles de provisin, incluidos
en el acuerdo de provisin de servicios por terceros, han sido
implantados, puestos en operacin y son mantenidos por parte
de un tercero.
10.2
Gestin de la provisin
de servicios por terceros
10.2.1
Provisin de servicios
10.2.2
Supervisin y revisin de
los servicios prestados por
terceros
Los servicios, informes y registros proporcionados por un tercero

deben ser objeto de supervisin y revisin peridicas, y tambin
deben llevarse a cabo auditorias peridicas.
SI
10.2.3
Gestin del cambio en los

servicios prestados por
terceros
Se deben gestionar los cambios en la provisin de los servicios,

incluyendo el mantenimiento y la mejora de las polticas, los
procedimientos y los controles de seguridad de la informacin
existentes, teniendo en cuenta la criticidad de los procesos y
sistemas del negocio afectados as como la reevaluacin de los
riesgos.
SI
10.3
Planificacin y
aceptacin del sistema
Objetivo: Minimizar el riesgo de fallos de los sistemas.
10.3.1
Gestin de capacidades
La utilizacin de los recursos se debe supervisar y ajustar as

como realizar proyecciones de los requisitos futuros de
capacidad, para garantizar el rendimiento requerido del sistema.
SI
10.3.2
Aceptacin del sistema
Se deben establecer los criterios para la aceptacin de nuevos

sistemas de informacin, de las actualizaciones y de nuevas
versiones de los mismos, y se deben llevar a cabo pruebas
adecuadas de los sistemas durante el desarrollo y previamente
a la aceptacin.
SI
10.4
Proteccin contra cdigo Objetivo: Proteger la integridad del software y de la

malicioso y descargable informacin.
10.4.1
Controles contra el cdigo

malicioso
10.4.2
Controles contra el cdigo

descargado en el cliente
10.5
Copias de seguridad
10.5.1
Copias de seguridad de la
informacin
10.6
Gestin de la seguridad
de las redes
10.6.1
Controles de red
10.6.2
Seguridad de los servicios

de red
10.7
Manipulacin de los
soportes
Objetivo: Evitar la revelacin, modificacin, retirada o

destruccin no autorizada de los activos, y la interrupcin
de las actividades de la organizacin.
10.7.1
Gestin de soportes
Se deben establecer procedimientos para la gestin de los
Se deben implantar controles de deteccin, prevencin y

recuperacin que sirvan como proteccin contra cdigo
malicioso y se deben implantar procedimientos adecuados de
concienciacin del usuario.
Cuando se autorice el uso de cdigo descargado en el cliente, la
configuracin debe garantizar que dicho cdigo autorizado
funciona de acuerdo con una poltica de seguridad claramente
definida, y se debe evitar que se ejecute el cdigo no
autorizado.
Objetivo: Mantener la integridad y disponibilidad de la
informacin y de los recursos de tratamiento de la
informacin.
Se deben realizar copias de seguridad de la informacin y del
software, y se deben probar peridicamente conforme a la
poltica de copias de seguridad acordada.
Objetivo: Asegurar la proteccin de la informacin en las
redes y la proteccin de la infraestructura de soporte.
Las redes deben estar adecuadamente gestionadas y
controladas, para que estn protegidas frente a posibles
amenazas y para mantener la seguridad de los sistemas y de
las aplicaciones que utilizan estas redes, incluyendo la
informacin en trnsito.
Se deben identificar las caractersticas de seguridad, los niveles
de servicio, y los requisitos de gestin de todos los servicios de
red y se deben incluir en todos los acuerdos relativos a servicios
de red, tanto si estos servicios se prestan dentro de la
organizacin como si se subcontratan.

SI
SI
SI
SI
SI
SI
SI
06/06/2013 Edicin 6.0

Pgina 60 de 136
IT-Consulting
ISO/IEC 27001:2005
extrables
soportes extrables.
10.7.2
Retirada de soportes
Los soportes deben ser retirados de forma segura cuando ya no

vayan a ser necesarios, mediante los procedimientos formales
establecidos.
SI
10.7.3
Procedimientos de
manipulacin de la
informacin
Deben establecerse procedimientos para la manipulacin y el

almacenamiento de la informacin, de modo que se proteja
dicha informacin contra la revelacin no autorizada o el uso
indebido.
SI
10.7.4
Seguridad de la
documentacin del
sistema
La documentacin del sistema debe estar protegida contra

SI
10.8
10.8.1
10.8.2
10.8.3
10.8.4
10.8.5
Objetivo: Mantener la seguridad de la informacin y del

software intercambiados dentro de una organizacin y con
un tercero.
Polticas y procedimientos Deben establecerse polticas, procedimientos y controles
formales que protejan el intercambio de informacin mediante el
de intercambio de
uso de todo tipo de recursos de comunicacin.
informacin
Deben establecerse acuerdos para el intercambio de
Acuerdos de intercambio
informacin y de software entre la organizacin y los terceros.
Durante el transporte fuera de los lmites fsicos de la
organizacin, los soportes que contengan informacin deben
Soportes fsicos en trnsito
estar protegidos contra accesos no autorizados, usos indebidos
o deterioro.
La informacin que sea objeto de mensajera electrnica debe
Mensajera electrnica
estar adecuadamente protegida.
Deben formularse e implantarse polticas y procedimientos para
Sistemas de informacin
proteger la informacin asociada a la interconexin de los
empresariales
sistemas de informacin empresariales.
Intercambio de
informacin
SI
SI
SI
SI
SI
10.9
Servicios de comercio
electrnico
Objetivo: Garantizar la seguridad de los servicios de

comercio electrnico, y el uso seguro de los mismos
10.9.1
Comercio electrnico
La informacin incluida en el comercio electrnico que se

transmita a travs de redes pblicas debe protegerse contra las
actividades fraudulentas, las disputas contractuales, y la
revelacin o modificacin no autorizada de dicha informacin.
SI
10.9.2
Transacciones en lnea
La informacin contenida en las transacciones en lnea debe

estar protegida para evitar transmisiones incompletas, errores
de direccionamiento, alteraciones no autorizadas de los
mensajes, la revelacin, la duplicacin o la reproduccin no
autorizadas del mensaje.
SI
10.9.3
Informacin pblicamente
disponible
La integridad de la informacin puesta a disposicin pblica se

debe proteger para evitar modificaciones no autorizadas.
SI
10.1
Supervisin
Objetivo: Detectar las actividades de tratamiento de la

informacin no autorizadas.
10.10.1
Registro de auditorias
Se deben generar registros de auditora de las actividades de

los usuarios, las excepciones y eventos de seguridad de la
informacin, y se deberan mantener estos registros durante un
periodo acordado para servir como prueba en investigaciones
futuras y en la supervisin del control de acceso.
SI
10.10.2
Supervisin del uso del

sistema
Se deben establecer procedimientos para supervisar el uso de

los recursos de tratamiento de la informacin y se deben revisar
peridicamente los resultados de las actividades de supervisin.
SI
10.10.3
Proteccin de la
informacin de los
registros
Los dispositivos de registro y la informacin de los registros

deben estar protegidos contra manipulaciones indebidas y
SI

06/06/2013 Edicin 6.0

Pgina 61 de 136
IT-Consulting
ISO/IEC 27001:2005
10.10.4
Registros de
administracin y operacin
10.10.5
Registro de fallos
10.10.6
Sincronizacin del reloj
11.1
Requisitos de negocio
Objetivo: Controlar el acceso a la informacin
para el control de acceso
11.1.1
11.2
11.2.1
11.2.2
11.2.3
Se deben registrar las actividades del administrador del sistema

y de la operacin del sistema.
Los fallos deben ser registrados y analizados y se deben tomar
las correspondientes acciones.
Los relojes de todos los sistemas de tratamiento de la
informacin dentro de una organizacin o de un dominio de
seguridad, deben estar sincronizados con una nica fuente
precisa y acordada de tiempo.
Se debe establecer, documentar y revisar una poltica de control

de acceso basada en los requisitos del negocio y de seguridad
para el acceso.
Objetivo: Asegurar el acceso de un usuario autorizado y
Gestin de acceso de
prevenir el acceso no autorizado a los sistemas de
usuario
informacin
Debe establecerse un procedimiento formal de registro y de
Registro de usuario
anulacin de usuarios para conceder y revocar el acceso a
todos los sistemas y servicios de informacin.
La asignacin y el uso de privilegios deben estar restringidos y
Gestin de privilegios
controlados.
Gestin de contraseas de La asignacin de contraseas debe ser controlada a travs de
usuario
un proceso de gestin formal.
Poltica de control de
acceso
SI
SI
SI
SI
SI
SI
SI
11.2.4
Revisin de los derechos

de acceso de usuario
La Direccin debe revisar los derechos de acceso de usuario a

intervalos regulares y utilizando un proceso formal.
11.3
Responsabilidades de
usuario
Objetivo: Prevenir el acceso de usuarios no autorizados, as

como evitar el que se comprometa o se produzca el robo de
informacin o de recursos de tratamiento de la informacin.
11.3.1
Uso de contraseas
Se debe requerir a los usuarios el seguir las buenas prcticas de

seguridad en la seleccin y el uso de las contraseas.
SI
11.3.2
Equipo de usuario
desatendido
Los usuarios deben asegurarse de que el equipo desatendido

tiene la proteccin adecuada.
SI
11.3.3
Poltica de puesto de
trabajo despejado y
pantalla limpia
Debe adoptarse una poltica de puesto de trabajo despejado de

papeles y de soportes de almacenamiento extrables junto con
una poltica de pantalla limpia para los recursos de tratamiento
de la informacin.
SI
11.4
Control de acceso a la
red
Objetivo: Prevenir el acceso no autorizado a los servicios

en red.
11.4.1
Poltica de uso de los

servicios en red
11.4.2
Autenticacin de usuario
para conexiones externas
11.4.3
Identificacin de los
equipos en las redes
11.4.4
Diagnstico remoto y
proteccin de los puertos
de configuracin
Se debe controlar el acceso fsico y lgico a los puertos de

diagnstico y de configuracin.
SI
11.4.5
Segregacin de las redes
Los grupos de servicios de informacin, usuarios y sistemas de

informacin deben estar segregados en redes.
SI
Se debe proporcionar a los usuarios nicamente el acceso a los

servicios para que los que hayan sido especficamente
autorizados.
Se deben utilizar los mtodos apropiados de autenticacin para
controlar el acceso de los usuarios remotos.
La identificacin automtica de los equipos se debe considerar
como un medio de autenticacin de las conexiones provenientes
de localizaciones y equipos especficos.

SI
SI
SI
SI
06/06/2013 Edicin 6.0

Pgina 62 de 136
IT-Consulting
ISO/IEC 27001:2005
11.4.6
Control de la conexin a la
red
11.4.7
Control de
encaminamiento (routing)
de red
11.5
Control de acceso al
sistema operativo
En redes compartidas, especialmente en aquellas que traspasen

las fronteras de la organizacin, debe restringirse la capacidad
de los usuarios para conectarse a la red, esto debe hacerse de
acuerdo a la poltica de control de acceso y a los requisitos de
las aplicaciones empresariales (vase 11.1).
Control Se deben implantar controles de encaminamiento
(routing) de redes para asegurar que las conexiones de los
ordenadores y los flujos de informacin no violan la poltica de
control de acceso de las aplicaciones empresariales.
Objetivo: Prevenir el acceso no autorizado a los sistemas
operativos
11.5.1
Procedimientos seguros
de inicio de sesin
El acceso a los sistemas operativos se debe controlar por medio

de un procedimiento seguro de inicio de sesin.
SI
11.5.2
Identificacin y
autenticacin de usuario
Todos los usuarios deben tener un identificador nico (ID de

usuario) para su uso personal y exclusivo, y se debe elegir una
tcnica adecuada de autenticacin para confirmar la identidad
solicitada del usuario.
SI
11.5.3
Sistema de gestin de
contraseas
Los sistemas para la gestin de contraseas deben ser

interactivos y establecer contraseas de calidad.
SI
11.5.4
Uso de los recursos del

sistema
Se debe restringir y controlar de una manera rigurosa el uso de

programas y utilidades que puedan ser capaces de invalidar los
controles del sistema y de la aplicacin.
SI
11.5.5
Desconexin automtica
de sesin.
11.5.6
Limitacin del tiempo de

conexin
11.6
Control de acceso a las

aplicaciones y a la
informacin
Objetivo: Prevenir el acceso no autorizado a la informacin

que contienen las aplicaciones.
11.6.1
Restriccin del acceso a la

informacin
Se debe restringir el acceso a la informacin y a las aplicaciones

a los usuarios y al personal de soporte, de acuerdo con la
poltica de control de acceso definida.
SI
11.6.2
Aislamiento de sistemas
sensibles
Los sistemas sensibles deben tener un entorno dedicado

(aislado) de ordenadores.
SI
11.7
Ordenadores porttiles y
teletrabajo
Objetivo: Garantizar la seguridad de la informacin cuando

se utilizan ordenadores porttiles y servicios de teletrabajo.
11.7.1
Ordenadores porttiles y
comunicaciones mviles
Se debe implantar una poltica formal y se deben adoptar las

medidas de seguridad adecuadas para la proteccin contra los
riesgos de la utilizacin de ordenadores porttiles y
comunicaciones mviles.
SI
11.7.2
Teletrabajo
Se debe redactar e implantar, una poltica de actividades de

teletrabajo, as como los planes y procedimientos de operacin
correspondientes.
SI
12.1
Requisitos de seguridad
de los sistemas de
informacin
Objetivo: Garantizar que la seguridad est integrada en los

Las sesiones inactivas deben cerrarse despus de un periodo

de inactividad definido.
Para proporcionar seguridad adicional a las aplicaciones de alto
riesgo, se deben utilizar restricciones en los tiempos de
conexin.

SI
SI
SI
SI
06/06/2013 Edicin 6.0

Pgina 63 de 136
IT-Consulting
ISO/IEC 27001:2005
12.1.1
Anlisis y especificacin
de los requisitos de
seguridad
En las declaraciones de los requisitos de negocio para los

nuevos sistemas de informacin, o para mejoras de los sistemas
de informacin ya existentes, se deben especificar los requisitos
de los controles de seguridad.
12.2
Tratamiento correcto de
las aplicaciones
Objetivo: Evitar errores, prdidas, modificaciones no

autorizadas o usos indebidos de la informacin en las
aplicaciones.
12.2.1
Validacin de los datos de

entrada
La introduccin de datos en las aplicaciones debe validarse para

garantizar que dichos datos son correctos y adecuados.
SI
12.2.2
Control del procesamiento

interno
Para detectar cualquier corrupcin de la informacin debida a

errores de procesamiento o actos intencionados, se deben
incorporar comprobaciones de validacin en las aplicaciones.
SI
12.2.3
Se deben identificar los requisitos para garantizar la autenticidad

Integridad de los mensajes y para proteger la integridad de los mensajes en las aplicaciones
y se deben identificar e implantar los controles adecuados.
12.2.4
Validacin de los datos de

salida
Los datos de salida de una aplicacin se deben validar para

garantizar que el tratamiento de la informacin almacenada es
correcto y adecuado a las circunstancias.
12.3
Controles criptogrficos
Objetivo: Proteger la confidencialidad, la autenticidad o la

integridad de la informacin por medios criptogrficos.
12.3.1
Poltica de uso de los

controles criptogrficos
Se debe formular e implantar una poltica para el uso de los

controles criptogrficos para proteger la informacin.
12.3.2
Gestin de claves
12.4
Seguridad de los
archivos de sistema
12.4.1
Control del software en

explotacin
12.4.2
Proteccin de los datos de

prueba del sistema
12.4.3
12.5
12.5.1
12.5.2
12.5.3
Control de acceso al
cdigo fuente de los
programas
Seguridad en los
procesos de desarrollo y
soporte
Procedimientos de control
de cambios
Revisin tcnica de las
aplicaciones tras efectuar
cambios en el sistema
operativo.
Restricciones a los
cambios en los paquetes
de software
12.5.4
Fugas de informacin
12.5.5
Externalizacin del
desarrollo de software
Debe implantarse un sistema de gestin de claves para dar

soporte al uso de tcnicas criptogrficas por parte de la
organizacin.
Objetivo: Garantizar la seguridad de los archivos de
sistema.
Deben estar implantados procedimientos para controlar la
instalacin de software en los sistemas en produccin o en
explotacin.
SI
SI
SI
SI
SI
SI
Los datos de prueba se deben seleccionar cuidadosamente y

deben estar protegidos y controlados.
SI
Se debe restringir el acceso al cdigo fuente de los programas.
SI
Objetivo: Mantener la seguridad del software y de la

informacin de las aplicaciones.
La implantacin de cambios debe controlarse mediante el uso
de procedimientos formales de control de cambios.
Cuando se modifiquen los sistemas operativos, las aplicaciones
empresariales crticas deben ser revisadas y probadas para
garantizar que no existen efectos adversos en las operaciones o
en la seguridad de la organizacin.
Se deben desaconsejar las modificaciones en los paquetes de
software, limitndose a los cambios necesarios, y todos los
cambios deben ser objeto de un control riguroso.
Deben evitarse las situaciones que permitan que se produzcan
fugas de informacin.
La externalizacin del desarrollo de software debe ser
supervisada y controlada por la organizacin.

SI
SI
SI
SI
SI
06/06/2013 Edicin 6.0

Pgina 64 de 136
IT-Consulting
ISO/IEC 27001:2005
Gestin de la
vulnerabilidad tcnica
Objetivo: Reducir los riesgos resultantes de la explotacin

de las vulnerabilidades tcnicas publicadas.
12.6.1
Control de las
vulnerabilidades tcnicas
Se debe obtener la informacin adecuada acerca de las

vulnerabilidades tcnicas de los sistemas de informacin que
estn siendo utilizados, evaluar la exposicin de la organizacin
a dichas vulnerabilidades y adoptar las medidas adecuadas para
afrontar el riesgo asociado.
13.1
Notificacin de eventos y
puntos dbiles de la
seguridad de la
informacin
Objetivo: Asegurarse de que los eventos de seguridad de la

informacin y las debilidades asociadas con los sistemas
de informacin, se comunican de manera que sea posible
emprender las acciones correctivas oportunas.
13.1.1
Notificacin de eventos de
seguridad de la
informacin
Los eventos de seguridad de la informacin se deben notificar a

travs de los canales adecuados de gestin lo antes posible.
SI
13.1.2
Notificacin de los puntos

dbiles de seguridad
Todos los empleados, contratistas, y terceros que sean usuarios

de los sistemas y servicios de informacin deben estar
obligados a anotar y notificar cualquier punto dbil que observen
o que sospechen exista, en dichos sistemas o servicios.
SI
13.2
Gestin de incidentes de
seguridad de la
informacin y mejoras
Objetivo: Garantizar que se aplica un enfoque coherente y

efectivo a la gestin de los incidentes de seguridad de la
informacin.
13.2.1
Responsabilidades y
procedimientos
Se deben establecer las responsabilidades y procedimientos de

gestin para garantizar una respuesta rpida, efectiva y
ordenada a los incidentes de seguridad de la informacin.
12.6
13.2.2
13.2.3
Deben existir mecanismos que permitan cuantificar y supervisar

Aprendizaje de los
incidentes de seguridad de los tipos, volmenes y costes de los incidentes de seguridad de
la informacin.
la informacin
Cuando se emprenda una accin contra una persona u
organizacin, despus de un incidente de seguridad de la
informacin, que implique acciones legales (tanto civiles como
Recopilacin de
penales), deben recopilarse las evidencias, y conservarse y
evidencias
presentarse conforme a las normas establecidas en la
jurisdiccin correspondiente.
14.1
Objetivo: Contrarrestar las interrupciones de las actividades

Aspectos de seguridad
empresariales y proteger los procesos crticos de negocio
de la informacin en la
de los efectos derivados de fallos importantes o
gestin de la continuidad
catastrficos de los sistemas de informacin, as como
del negocio
garantizar su oportuna reanudacin.
14.1.1
Inclusin de la seguridad
de la informacin en el
proceso de gestin de la
continuidad del negocio
14.1.2
Continuidad del negocio y

evaluacin de riesgos
14.1.3
Desarrollo e implantacin
de planes de continuidad
que incluyan la seguridad
de la informacin
Debe desarrollarse y mantenerse un proceso para la continuidad

del negocio en toda la organizacin, que gestione los requisitos
de seguridad de la informacin necesarios para la continuidad
del negocio.
Deben identificarse los eventos que puedan causar
interrupciones en los procesos de negocio, as como la
probabilidad de que se produzcan tales interrupciones, sus
efectos y sus consecuencias para la seguridad de la
informacin.
Deben desarrollarse e implantarse planes para mantener o
restaurar las operaciones y garantizar la disponibilidad de la
informacin en el nivel y en el tiempo requeridos, despus de
una interrupcin o un fallo de los procesos crticos de negocio.

SI
SI
SI
SI
SI
SI
SI
06/06/2013 Edicin 6.0

Pgina 65 de 136
IT-Consulting
ISO/IEC 27001:2005
14.1.4
Marco de referencia para

la planificacin de la
continuidad del negocio
Debe mantenerse un nico marco de referencia para los planes

de continuidad del negocio, para asegurar que todos los planes
sean coherentes, para cumplir los requisitos de seguridad de la
informacin de manera consistente y para identificar las
prioridades de realizacin de pruebas y del mantenimiento.
SI
14.1.5
Pruebas, mantenimiento y
reevaluacin de los planes
de continuidad del negocio
Los planes de continuidad del negocio deben probarse y

actualizarse peridicamente para asegurar que estn al da y
que son efectivos.
SI
15.1
Cumplimiento de los
requisitos legales
15.1.1
Identificacin de la
legislacin aplicable
15.1.2
Derechos de propiedad
intelectual (IPR)
[Intellectual Property
Rights]
15.1.3
Proteccin de los
documentos de la
organizacin
Los documentos importantes deben estar protegidos contra la

prdida, destruccin y falsificacin de acuerdo con los requisitos
legales, regulatorios, contractuales y empresariales.
SI
Proteccin de datos y
privacidad de la
informacin de carcter
personal
Prevencin del uso
indebido de los recursos
de tratamiento de la
informacin
Regulacin de los
controles criptogrficos
Cumplimiento de las
polticas y normas de
seguridad y
cumplimiento tcnico
Debe garantizarse la proteccin y la privacidad de los datos

segn se requiera en la legislacin y la reglamentacin
aplicables y, en su caso, en las clusulas contractuales
pertinentes.
SI
Se debe disuadir a los usuarios de utilizar los recursos de

tratamiento de la informacin para fines no autorizados.
SI
Los controles criptogrficos se deben utilizar de acuerdo con

todos los contratos, leyes y regulaciones pertinentes.
SI
15.1.4
15.1.5
15.1.6
15.2
Objetivo: Evitar incumplimientos de las leyes o de las

obligaciones legales, reglamentarias o contractuales y de
los requisitos de seguridad.
Todos los requisitos pertinentes, tanto legales como
reglamentarios o contractuales, y el enfoque de la organizacin
para cumplir dichos requisitos, deben estar definidos,
documentados y mantenerse actualizados de forma explcita
para cada sistema de informacin de la organizacin.
Deben implantarse procedimientos adecuados para garantizar el
cumplimiento de los requisitos legales, reglamentarios y
contractuales sobre el uso de material, con respecto al cual
puedan existir derechos de propiedad intelectual y sobre el uso
de productos de software propietario.
SI
SI
Objetivo: Asegurar que los sistemas cumplen las polticas y

normas de seguridad de la organizacin.
15.2.1
Cumplimiento de las
polticas y normas de
seguridad
Los directores deben asegurarse de que todos los

procedimientos de seguridad dentro de su rea de
responsabilidad se realizan correctamente con el fin de cumplir
las polticas y normas de seguridad.
SI
15.2.2
Comprobacin del
cumplimiento tcnico
Debe comprobarse peridicamente que los sistemas de

informacin cumplen las normas de aplicacin para la
implantantacin de la seguridad.
SI
15.3
Consideraciones sobre
la auditora de los
sistemas de informacin
Objetivo: Lograr que el proceso de auditora de los

sistemas de informacin alcance la mxima eficacia con las
mnimas interferencias.
15.3.1
Controles de auditora de
los sistemas de
informacin
Los requisitos y las actividades de auditora que impliquen

comprobaciones en los sistemas en produccin deben ser
cuidadosamente planificados y acordados para minimizar el
riesgo de interrupciones en los procesos del negocio.
SI
15.3.2
Proteccin de las
herramientas de auditora
de los sistemas de
informacin
El acceso a las herramientas de auditora de los sistemas de

informacin debe estar protegido para evitar cualquier posible
peligro o uso indebido.
SI

06/06/2013 Edicin 6.0

Pgina 66 de 136
IT-Consulting
ISO/IEC 27001:2005
Catulo 3
An&lisis e (iesgos
3- Int(ouin
El anlisis de riesgos es la fase ms importante del proceso de Seguridad de la Informacin,
esta tarea nos ayudar a descubrir que necesidades tiene la organizacin y cules son nuestras
vulnerabilidades y amenazas.
En la segunda fase del anlisis de riesgos se inicia la gestin de riesgos, en donde se
seleccionarn las mejores soluciones de seguridad para afrontar los riesgos.
Este captulo contiene el desarrollo del anlisis de riesgos y su gestin, desde el inventario de
riesgos hasta la evaluacin del impacto potencial.
32- In$enta(io e ati$os" $alo(ain % (itiia

El inventario de activos se encuentra detallado en el apartado 1.3.1 donde se describe la
organizacin. En este punto agruparemos los activos con el objetivo de simplificar el anlisis de
riesgos.
Capital humano.
G(uo
Empleados
Des(iin
Mandos
Especialistas
Operarios
Administracin
Uniaes
22
72
20
2
Valo(
Muy Alta
Muy Alta
Muy Alta
Muy Alta
Valo(
C(itiia
300.000
Crtico
300.000
Crtico
300.000
Crtico
300.000
Crtico
Hardware.
Tio
Equipos Oficinas
Impresoras Oficinas
Des(iin
Porttiles
Tabletas
Equipos
Impresoras
Uniaes Valo(
Baja
19
4 Muy Baja
Media
103
Baja
13

Valo(
C(itiia
30.000
Bajo
10.000
Bajo
75.000
Medio
30.000
Bajo
06/06/2013 Edicin 6.0
Pgina 67 de 136
IT-Consulting
ISO/IEC 27001:2005
Dispositivos Red
Servidores
Cabinas
Almacenamiento
Media
10
Media
12
Baja
5
Media
4
Baja
2
Baja
2
20 Muy Alta
19 Muy Alta
Media
5
Baja
2
Baja
2
Alta
10
4
Alta
Switches Oficinas
Switches CPD
Routers CPD
Firewalls
Servidores Firewall
Servidores Web
Servidores BBDD
Servidores Backup
Servidores SAP
Servidores Desarrollo
Cabinas
Almacenamiento
75.000
75.000
30.000
75.000
30.000
30.000
300.000
300.000
75.000
30.000
30.000
150.000
150.000
Medio
Crtico
Crtico
Crtico
Crtico
Medio
Crtico
Crtico
Crtico
Bajo
Medio
Medio
Crtico
Tio
Des(iin
CPD SAI
AACC Industriales
Cmaras vigilancia + sensores
Armarios
Uniaes
2
2
4
24
18
Valo(
Media
Media
Media
Baja
Baja
Valo( C(itiia
75.000
Medio
75.000
Bajo
75.000
Crtico
30.000
Bajo
30.000
Bajo
Uniaes
Valo(
Valo( C(itiia
Media 75.000
Bajo
Licencias.
Tio
Servidores
Des(iin
Licencias SO
50
Licencias Aplicacin
11
Licencias SGBD
Estaciones de
trabajo
Licencias Ofimtica
Licencias Proyectos
Licencias SAP
Media 75.000
Bajo
Media 75.000
Bajo
5
Muy 10.000
Baja
Bajo
Baja 30.000
Bajo
Baja 30.000
Bajo
14
16
7

06/06/2013 Edicin 6.0

Pgina 68 de 136
IT-Consulting
ISO/IEC 27001:2005
Cdigo fuente.
Des(iin
Lneas igo
FrontOfficeVenta 1000000 lneas
BackOfficeVenta
API-Reservas
OTA-Reservas
CamasHotel
RecepTur
AirjetConecta
GestHoteles
ReserMay
2000000 lneas
750000 lneas
500000 lneas
500000 lneas
500000 lneas
350000 lneas
450000 lneas
3000000 lneas
Obse($aiones
Venta Minorista
Procesos gestin
Minorista
API Reservas
OTA Reservas
Banco Camas Hotel
Gestin Receptiva
Motor Venta Areo
Gestin Hotelera
Venta Mayorista
Valo(
Valo(
Muy Alta 300.000
Alta
150.000
C(itiia
Crtico
Alto
Alta
Alta
Alta
Alta
Alta
Alta
Muy Alta
Crtico
Crtico
Crtico
Crtico
Crtico
Alto
Crtico
150.000
150.000
150.000
150.000
150.000
150.000
300.000
Informacin / Otros.
G(uo
Informacin
Tio
TI
Comercial
SSGG
Otros
Direccin
Mercado
Vehculos
Des(iin
Contratos TIC
Contratos Comerciales
BD Clientes
Ofertas
Contratos servicios
Contabilidad-Finanzas
Imagen
Know How
Coche clase C
Valo(
Baja
Media
Alta
Baja
Baja
Muy Baja
Alta
Muy Baja
Media
Media
Baja

Valo(
30.000
75.000
150.000
30.000
30.000
10.000
150.000
10.000
75.000
75.000
30.000
C(itiia
Bajo
Bajo
Crtico
Bajo
Bajo
Medio
Crtico
Medio
Crtico
Medio
Bajo
06/06/2013 Edicin 6.0

Pgina 69 de 136
ISO/IEC 27001:2005.
X
X
X
X
4 Ataque DoS
5 Intrusin hacker
6 Obtencin de informacin industrial
7 Sabotaje de los equipos hardware
Insercin de datos corruptos de

forma malintencionada
X
3 Recepcin de correo basura
8 Fallo hardware
2 Robo de informacin confidencial
Humana Ento(no
X
Natu(al
1 Infeccin de virus y/o malware
Amenaza

ID
Fuente
Moti$ain
Indeterminada
Ocasionar daos a empresa
Obtencin de informacin
industrial
Obtencin de ventaja
competitiva
19/04/2013 Edicin 3.1

Pgina 70 de 136
Empleados descontentos o desleales Ocasionar daos a empresa
Indeterminado
Empresas competidoras y personal

descontentos/desleales
Empresas competidoras
Indeterminado
Indeterminado
Obtencin de beneficio
Indeterminado
econmico
Empleados descontentos o desleales
econmico
Indeterminado
econmico
O(igen
Introduccin de datos
errneos por empleados
Error de diseo hardware

o mala fabricacin
Insercin de fallas
hardware
Robo de informacin
Ataque al sistema
Ataque al sistema
Envo de correos SPAM
Intrusin de cdigo
malicioso
Extraccin de informacin
confidencial
Ain
En este apartado expondremos las amenazas a las que est expuesta nuestra organizacin; su origen, motivacin y accin. A continuacin se proceder a
evaluar el impacto y frecuencia de cada amenaza sobre el activo.
Definimos amenazas como aquellas situaciones que podran materializarse en una empresa y que pueden llegar a daar a activos, provocando que no
funcionen correctamente impidiendo la actividad del negocio.
33- An&lisis e amenazas
IT-Consulting
Errores humanos de programacin

(cdigo)
26 Destruccin por un terremoto

25 Fallo elctrico por tormenta
23 Asalto a empleados
Venta de informacin industrial

confidencial
22 Ingeniera social negativa
24
Venta de informacin personal de

clientes
20
21 Fraude econmico
Explotacin econmica de datos

industriales
19
18 Insercin de cdigo malicioso
17
06/06/2013 Edicin 6.0

Pgina 71 de 136
Desastre natural
Desastre natural
Indeterminada
Indeterminada
Terremoto
Tormenta
Descontento con la
empresa o necesidad
econmica
econmico
econmico
Delincuencia
Indeterminado
Necesidad econmica
Descontento con la
empresa

econmico
Descontento con la
empresa o necesidad
econmica
Descontento con la
empresa o necesidad
econmica
Descontento con la
empresa
Errores humanos de
empleados
Errores en controles de
seguridad
Errores humanos de
empleados
Uso indebido de la
tecnologa
Errores en controles de
seguridad
Ataque al sistema
Uso indebido de la
tecnologa
Errores de diseo o mala
implementacin
Empleados descontentos o desleales Ocasionar daos a empresa
econmico

Indeterminada
Empleados
Obtencin de ventaja
competitiva
16 Espionaje industrial

15 Error de configuracin en el sistema

Indeterminada

14 Vulneracin de propiedad intelectual
industrial
confidencial
Indeterminada
Empleados
Indeterminado
Indeterminado
Indeterminado
13 Intercepcin de informacin
Empleados descontentos o desleales Beneficio propio
ISO/IEC 27001:2005
12 Acceso no autorizado
11 Errores del sistema (bugs)
10 Abuso del uso de tecnologa
IT-Consulting

30 Incendio
29 Fallo por vulnerabilidad del sistema
X
X
Inundacin del sistema por aguas

torrenciales
06/06/2013 Edicin 6.0

Pgina 72 de 136
Indeterminado
Indeterminado
Indeterminado
Desastre natural
Indeterminada
Indeterminada
Indeterminada
Indeterminada
ISO/IEC 27001:2005
28 Fallo lgico del sistema
27
IT-Consulting

implementacin
implementacin
Incendio por fuego u
otras causas
Inundacin por lluvias

2.000.000,00
4.000.000,00
6.000.000,00
8.000.000,00
10.000.000,00
12.000.000,00
14.000.000,00
16.000.000,00
06/06/2013 Edicin 6.0

Pgina 73 de 136
ISO/IEC 27001:2005
34- Resumen Riesgo Int(nseo Ati$os
IT-Consulting

20.000,00
40.000,00
60.000,00
80.000,00
100.000,00
120.000,00
140.000,00
06/06/2013 Edicin 6.0

Pgina 74 de 136
ISO/IEC 27001:2005
35- Resumen Riesgo Int(nseo Amenazas
IT-Consulting
IT-Consulting
ISO/IEC 27001:2005.
36- Ni$el aetable el (iesgo

El nivel aceptable del riesgo se ha establecido manualmente y analizando concienzudamente
cada activo. Se establecen tres niveles de riesgo (Bajo=75%, Medio=50%, Alto=25%) que se
aplicarn sobre el riesgo intrnseco anual del activo, a partir de este resultado se establecern
las medidas necesarias para gestionar el riesgo.
Evidentemente estos niveles aceptables del riesgo estn comunicados y autorizados por la
direccin de la organizacin.
Capital humano.
G(uo
Empleados
Ni$el (iesgo
Des(iin
aetable
Medio
Mandos
Medio
Especialistas
Medio
Operarios
Administracin Medio
Hardware.
Tio
Equipos Oficinas
Impresoras Oficinas
Dispositivos Red
Servidores
Des(iin
Porttiles
Tabletas
Equipos
Impresoras
Switches Oficinas
Switches CPD
Routers CPD
Firewalls
Servidores Firewall
Servidores Web
Servidores BBDD
Ni$el (iesgo
aetable
Medio
Medio
Alto
Alto
Medio
Bajo
Medio
Medio
Bajo
Medio
Bajo
Bajo
Bajo

19/04/2013 Edicin 3.1

Pgina 75 de 136
ISO/IEC 27001:2005
IT-Consulting
Cabinas
Almacenamiento
Alto
Medio
Medio
Bajo
Servidores Backup
Servidores SAP
Servidores Desarrollo
Cabinas
Almacenamiento
Tio
Des(iin
CPD SAI
AACC Industriales
Cmaras vigilancia + sensores
Armarios
Ni$el (iesgo aetable

Medio
Medio
Bajo
Alto
Alto
Licencias.
Tio
Servidores
Estaciones de
trabajo
Des(iin
Licencias SO
Licencias Aplicacin
Licencias SGBD
Licencias Ofimtica
Licencias Proyectos
Licencias SAP
Ni$el (iesgo
aetable
Alto
Alto
Medio
Alto
Alto
Alto
Cdigo fuente.
Des(iin
Lneas igo
FrontOfficeVenta 1000000 lneas
BackOfficeVenta
API-Reservas
OTA-Reservas
CamasHotel
RecepTur
AirjetConecta
GestHoteles
ReserMay
2000000 lneas
750000 lneas
500000 lneas
500000 lneas
500000 lneas
350000 lneas
450000 lneas
3000000 lneas
Obse($aiones
Venta Minorista
Procesos gestin
Minorista
API Reservas
OTA Reservas
Banco Camas Hotel
Gestin Receptiva
Motor Venta Areo
Gestin Hotelera
Venta Mayorista
Ni$el (iesgo
aetable
Bajo
Bajo
Bajo
Bajo
Bajo
Bajo
Bajo
Bajo
Bajo

06/06/2013 Edicin 6.0

Pgina 76 de 136
ISO/IEC 27001:2005
IT-Consulting
Informacin / Otros.
G(uo
Informacin
Tio
TI
Comercial
SSGG
Otros
Direccin
Mercado
Vehculos
Des(iin
Contratos TIC
Contratos Comerciales
BD Clientes
Ofertas
Contratos servicios
Contabilidad-Finanzas
Imagen
Know How
Coche clase C
Ni$el (iesgo
aetable
Medio
Medio
Bajo
Alto
Alto
Medio
Medio
Medio
Bajo
Medio
Alto

06/06/2013 Edicin 6.0

Pgina 77 de 136
IT-Consulting
ISO/IEC 27001:2005
37- Conlusiones
La aplicacin de la metodologa del anlisis de riesgos en nuestra organizacin nos proporciona
importantes conclusiones que sern el punto de partida para el establecimiento de los
proyectos de seguridad de la empresa.
Mediante el anlisis de amenazas podemos observar que la fuente ms representativa (73%)
entre las amenazas identificadas corresponde al origen humano, este hecho refleja la
importancia de prestar especial atencin a la aplicacin de medidas y controles relacionadas
con las personas (empleados, proveedores, clientes, etc.).
Respecto al riesgo intrnseco de activos observamos que entre los niveles ms altos de riesgos
se encuentran los activos relacionados con el Core de nuestra organizacin, es decir la
aplicaciones que soportan los servicios que proporcionamos a nuestros clientes (pe.
FrontOfficeVenta, ReserMay, etc.) y la infraestructura que mantiene estas aplicaciones es decir
servidores Web y Bases de Datos.
En cuanto a las amenazas que ms impacto tienen en nuestros activos podemos encontrar
Errores humanos de programacin. Esta amenaza impacta directamente en nuestras
Aplicaciones Core y otros activos que TIC (Servidores, Dispositivos de red, etc.) que requieren
de un software para funcionar.
El trabajo para reducir las amenazas y riesgos de seguridad debern orientarse a proyectos que
fortalezcan las aplicaciones de la organizacin y la infraestructura en donde se ubican as como
en procedimientos, controles y herramientas destinadas a evitar errores humanos en la
programacin.

06/06/2013 Edicin 6.0

Pgina 78 de 136
IT-Consulting
ISO/IEC 27001:2005
Catulo 4
P(ouesta e (o%etos
4- Int(ouin
En esta fase tenemos a nuestra disposicin nuestro estado de cumplimiento de la ISO/IEC
27001:2005 y un anlisis de riesgos, es momento de proponer soluciones para mejorar nuestro
estado. Para ello, en este captulo se realizar la propuesta de un programa de proyectos y se
definirn cuales son las expectativas de mejora previstas si se llevan a cabo. La propuesta de
los proyectos tiene como objeto minimizar el riesgo y evolucionar el cumplimiento de la ISO.
42- P(ouestas
A continuacin se presentan las propuestas de proyectos mediante una ficha tcnica muy
ejecutiva donde se identifican los siguientes datos:
-
ID y Nombre.
Objetivos.
Requisitos.
Especificaciones.
Esfuerzo (Plan de trabajo, coste y dificultad).
Implicaciones en la organizacin.
Impacto en la empresa (econmico y estratgico).

06/06/2013 Edicin 6.0

Pgina 79 de 136
IT-Consulting
ISO/IEC 27001:2005
Proyecto 1:
Organizacin de
la seguridad y su
poltica de
aplicacin.
Objetivos: Desarrollar la organizacin de la seguridad y su poltica de

aplicacin. Establecer la base del SGSI basado en ISO/IEC 27001. Implicar a
la Direccin y obtener su soporte.
Requisitos
Esei'iaiones
Es'ue(zo
Elaboracin,
aceptacin y
comunicacin
poltica
seguridad.
Poltica de
seguridad
basada en el
estndar ISO
27001 y
alineada con el
alcance
proporcionado.
Plan de trabajo
Coste
1 mes.
5.000 Consultora
externa
especializada.
Definicin de
organigrama y
responsabilidades
de seguridad.
Definicin de
procesos y
elaboracin de
metodologas
bsicas de
seguridad.
Establecimiento
de medidas para
el aseguramiento
de la seguridad
de terceras
partes.
Dificultad
implantacin
2 FTE internos /
mes
Baja. La mxima
dificultad se
concentra en la
implicacin de la
Direccin
Imliaiones en la o(ganizain
Necesidad del establecimiento de la organizacin y
poltica de seguridad.
Imato
Econmico
Estratgico
Indirecto. Reducir los

riesgos de seguridad e
impactos de las
amenazas.
Concienciacin de la
empresa en la seguridad.
Mejora y optimizacin de
los procesos de
seguridad.
Potencial:
-5% impacto amenazas =
20.000 aprox
-1% riesgo intrnseco =
1.500.000 aprox

06/06/2013 Edicin 6.0

Pgina 80 de 136
IT-Consulting
ISO/IEC 27001:2005
Proyecto 2:
Formacin y
concienciacin
de seguridad.
Objetivos: Establecer e implantar un plan de formacin, capacitacin y

concienciacin destinado a todos los empleados de la organizacin y a
terceros (colaboradores, proveedores, etc.)
Requisitos
Esei'iaiones
Es'ue(zo
Plan tri-anual
No aplica.
Plan de trabajo
Coste
1 mes
(desarrollo)
15.000
destinado a
formacin /ao
Incluir las reas

de formacin,
capacitacin y
concienciacin.
Destinado a
empleados y
terceros
(clientes,
proveedores,
etc)
1 FTE interno /
ao
Dificultad
implantacin
Baja. La mxima
dificultad se
concentra en la
implicacin de
los trabajadores.
Necesidad de desarrollo e implementacin de planes
de formacin (actualmente no existen).
Imato
Econmico
Estratgico
Incremento de la
productividad de los
empleados.
Incremento en la calidad y
seguridad de los servicios
ofrecidos.
Incremento productividad
+3% = 400.000 anuales

06/06/2013 Edicin 6.0

Pgina 81 de 136
IT-Consulting
ISO/IEC 27001:2005
Proyecto 3:
Asegurando el
ciclo de vida del
software.
Objetivos: Mejorar y optimizar el ciclo de vida del software (core de

nuestros servicios). Proporcionar las metodologas, herramientas e
infraestructura necesaria para asegurar las fases del ciclo de vida de las
aplicaciones.
Requisitos
Esei'iaiones
Es'ue(zo
Establecimiento
de estndares
de requisitos de
seguridad.
Infraestructura
de Sistemas
(Virtualizada)
Plan de trabajo
Coste
3 meses
20.000
Consultora
externa
Diferenciacin
de entornos
Desarrollo, Test
y Produccin.
Definicin de las
actividades del
ciclo de vida de
software.
Poltica de
controles
criptogrficos.
40.000
Infraestructura
15 FTE internos
/ 3 meses
Dificultad
implantacin
Media.
La re-definicin
de procesos y
metodologas
requiere la
implicacin del
equipo de
personas.
Necesidad de entornos independientes de produccin,
test y desarrollo.
Imato
Econmico
Estratgico
Reduccin de los errores

en produccin y su
correspondiente
dedicacin a resolucin.
Mejora en la calidad y
seguridad del software.
+5% = 700.000
Descenso dedicacin
resolucin errores -10% =
500.000

06/06/2013 Edicin 6.0

Pgina 82 de 136
IT-Consulting
ISO/IEC 27001:2005
Proyecto 4:
Mejora de la
gestin de
incidencias y
problemas.
Objetivos: Optimizar la gestin de incidencias y problemas. Definir y

formalizar los procesos. Identificar indicadores de productividad.
Incorporar mejoras o nuevas herramientas.
Requisitos
Esei'iaiones
Es'ue(zo
Optimizacin del
proceso de
gestin de
incidencias y
problemas.
Modelo
estndar de
referencia: ITIL
Plan de trabajo
Coste
3 meses
10.000
consultora
externa
1 FTE interno /
mes
Definicin del
proceso y flujo
de actividades.
Adaptacin de la
herramienta de
ticketing.
Formacin y
training.
Establecimiento
del proceso de
mejora
continua.
Dificultad
implantacin
Media.
Requiere la
implicacin y
formacin de los
usuarios finales.
Mejorar la eficacia y eficiencia de la gestin de
incidencias / problemas.
Imato
Econmico
Estratgico
Reduccin de incidencias.
Aumento de la
satisfaccin de los
clientes.
Mejora de productividad.
1% = 140.000
Descenso dedicacin
resolucin incidencias
-10% = 100.000

06/06/2013 Edicin 6.0

Pgina 83 de 136
IT-Consulting
ISO/IEC 27001:2005
Proyecto 5:
Continuidad y
recuperacin del
negocio.
Objetivos: Establecer un plan de continuidad y recuperacin del negocio

ante desastres.
Requisitos
Esei'iaiones
Es'ue(zo
Anlisis de
riesgos
(amenazas)
Debe incluir un
estudio de la
zona (ubicacin)
y la
identificacin de
los desastres
naturales ms
probables.
Plan de trabajo
Coste
5 meses
40.000
Consultora
externa
Plan de
continuidad y
recuperacin
Pruebas y
simulacin.
Proceso de
mejora
continua.
100.000
Infraestructura
1,5 FTE Internos
/ Mes
Dificultad
implantacin
Alta.
Requiere una
importante
implicacin de la
direccin y
mandos
intermedios
Proteger la continuidad de la empresa en el mercado
en caso de desastre.
Imato
Econmico
Estratgico
Refuerzo del valor de la

marca ante desastres.
Reduccin de las prdidas
econmicas en caso de
problemas.
Resistencia del negocio

ante desastres. No
desaparicin de la
empresa.
Reduccin 35% prdidas

econmicas en caso de
desastre = 1.750.000

06/06/2013 Edicin 6.0

Pgina 84 de 136
IT-Consulting
ISO/IEC 27001:2005
Proyecto 6:
Oficina de
Calidad, Testing
y Arquitectura.
Objetivos: Creacin de un rea / departamento destinado a la calidad,

testing y arquitectura de software.
Requisitos
Esei'iaiones
Es'ue(zo
Estructura
organizativa.
Separacin de
capas (negocio,
aplicacin,
presentacin y
BBDD).
Plan de trabajo
Coste
6 meses.
25.000
consultora
externa
Definicin de
roles y
funciones.
Diseo de
arquitectura de
aplicaciones y
BBDD.
Dificultad
implantacin
3 FTE internos /
ao
Estndares de
programacin
de fabricantes.
Establecimiento
de procesos,
procedimientos
y metodologas
de desarrollo.
Auditora y
control de la
normativa.
Formacin y
capacitacin del
equipo.
Media.
Requiere la
implicacin de
todo el equipo
de desarrollo y
modificacin en
los procesos de
trabajo.
Deber
elaborarse un
plan alternativo
de adaptacin
de cdigo
antiguo.
Mejorar la organizacin implicada en el desarrollo de
aplicaciones, optimizacin de procesos, etc.
Imato
Econmico
Estratgico
Reduccin de los errores

en el cdigo.
Mejora de la imagen y
calidad de los productos
desarrollados.
Reduccin de tiempo de
resolucin de problemas.
Reduccin de riesgos de

06/06/2013 Edicin 6.0

Pgina 85 de 136
IT-Consulting
ISO/IEC 27001:2005
seguridad.
Aumento del rendimiento
de aplicaciones.
Aumento 15%
rendimiento aplicaciones
= 100.000
Reduccin -5% resolucin
problemas = 50.000

06/06/2013 Edicin 6.0

Pgina 86 de 136
IT-Consulting
ISO/IEC 27001:2005
Proyecto 7:
Evolucin de
plataformas de
desarrollo.
Objetivos: Sustituir las plataformas y tecnologas de desarrollo por las

nuevas versiones, activar funcionalidades y establecer reglas de calidad y
control.
Requisitos
Esei'iaiones
Es'ue(zo
Aplicaciones de
control y
repositorios de
cdigo
(integradas).
Herramientas
integradas con
los fabricantes
de lenguajes de
programacin o
estndares de
facto.
Plan de trabajo
Coste
2 meses
15.000
consultora
externa
Establecimiento
de normas y
procedimientos
de uso.
Almacenamiento
del cdigo
antiguo en
nueva
aplicacin.
Formacin y
capacitacin del
equipo.
Dificultad
implantacin
Baja.
3.000 licencias
1 FTE /mes
La dificultad se
concentra en la
migracin del
cdigo y
formacin al
personal.
Evolucionar las herramientas de trabajo de los
empleados.
Imato
Econmico
Estratgico
Aumento de la
productividad de los
empleados.
Evolucin de la
plataforma de trabajo
(desarrollo).
Aumento +5%
productividad = 700.000

06/06/2013 Edicin 6.0

Pgina 87 de 136
IT-Consulting
ISO/IEC 27001:2005
Proyecto 8:
Aseguramiento
de
infraestructuras
crticas.
Objetivos: Asegurar la continuidad de las infraestructuras crticas ante

desastres naturales o incidentes.
Requisitos
Esei'iaiones
Es'ue(zo
Segmentacin y
redundancia de
sistemas
crticos.
Virtualizacin de
servidores.
Plan de trabajo
Coste
7 meses
150.000
Infraestructura
Redundancia de
sistemas.
3 FTE Internos
/mes
Actualizacin y
modernizacin
de sistemas.
Simulacin de
amenazas y
traning al
equipo.
Dificultad
implantacin
Media.
Requiere
modificaciones
en la
infraestructura y
migracin de
sistemas.
Resistencia ante incidentes de seguridad.
Imato
Econmico
Estratgico
Reduccin de daos
econmicos en caso de
incidente.
Continuidad del negocio

frente a desastres e
incidentes.
Reduccin de -20% daos

ante desastre = 1.000.000

06/06/2013 Edicin 6.0

Pgina 88 de 136
IT-Consulting
ISO/IEC 27001:2005
33- Resumen e#euti$o

En este apartado se incluye una representacin grfica de los proyectos basndonos en dos de
sus atributos: Impacto y Dificultad.
El grfico nos muestra de una forma clara y sencilla como estn posicionados los proyectos
respecto a estos dos atributos. Su objetivo permite identificar fcilmente cuales son los
prioritarios, es decir, requieren menos esfuerzo y tendrn mayor impacto positivo en la
organizacin.

06/06/2013 Edicin 6.0

Pgina 89 de 136
IT-Consulting
ISO/IEC 27001:2005
A continuacin se presenta una estimacin del cumplimiento de los dominios ISO/IEC

27001:2005 despus de implementar los proyectos. Primero con datos y despus mediante un
grfico de tipo radar.
Dominio
12.- Adquisicin, desarrollo y mantenimiento de
13.- Gestin de incidencias de la seguridad de la
informacin.
15.- Cumplimiento.
Antes
0%
36%
60%
78%
77%
87%
84%
60%
Desus
100%
54%
60%
88%
77%
87%
84%
100%
0%
100%
0%
90%
80%
90%
5.- Poltica de
seguridad.
15.- Cumplimiento.
14.- Gestin de la
continuidad del
negocio.
13.- Gestin de
incidencias de la
seguridad de la
informacin.
12.- Adquisicin,
desarrollo y
mantenimiento de
sistemas de
11.- Control de
acceso.
6.- Organizacin de
la seguridad y la
informacin.
7.- Gestin de
activos.
8.- Seguridad ligada

a los RRHH.
9.- Seguridad fsica

y ambiental.
10.- Gestin de las
comunicaciones y
operaciones.
Antes
Despues

06/06/2013 Edicin 6.0

Pgina 90 de 136
IT-Consulting
ISO/IEC 27001:2005
43- Conlusiones
Despus de analizar la propuesta de proyectos (esfuerzo e impacto) se ha elaborado un
RoapMap de ejecucin de los proyectos teniendo en cuenta su duracin e impacto en la
organizacin.
Podemos identificar que el proyecto que mayor impacto positivo tendr en la organizacin
bajo mnimo esfuerzo es Asegurando el ciclo de vida del software, por lo tanto lo hemos
posicionados en la primera fase del ao con el objeto de obtener los beneficios cuanto antes.
Aunque siendo coherentes previo a este proyecto se lanzan los dos proyectos bsicos e
imprescindibles de cualquier plan de SGSI, Organizacin de la seguridad y Formacin /
concienciacin de la seguridad, sin lugar a duda son clave para el xito del resto.
A continuacin el proyecto con mejor impacto, aunque con un importante grado de
complejidad es Continuidad y recuperacin del negocio, por ello se considera adecuado
lanzarlo cuanto antes asegurando la disponibilidad recursos internos.
Otro de los proyectos rentables del programa es Evolucin de plataformas de desarrollo, este
proyecto se planifica inmediatamente despus de Asegurando el ciclo de vida del software ya
que es requisito imprescindible para aumentar la calidad de los resultados (primero
metodologas/procesos, luego herramientas).
En junio se inician dos proyectos al mismo tiempo pero ambos muy diferentes, Mejora de la
gestin de incidencias y Aseguramiento de infraestructuras crticas. Este ltimo muy complejo
y con importantes requisitos econmicos aunque de vital importancia para soportar incidentes
de seguridad.
Y finalmente Oficina de calidad, testing y arquitectura, posicionado en la base de los ejes de
impacto y esfuerzo comparndolo con el resto pero de vital importancia para el
mantenimiento y la mejora continua del desarrollo de aplicaciones, core de nuestro negocio.

06/06/2013 Edicin 6.0

Pgina 91 de 136
IT-Consulting
ISO/IEC 27001:2005
RoaMa e (o%etos
#
P(o%eto
Organizacin de la seguridad
Formacin y concienciacin de seguridad
Asegurando el ciclo de vida del software
Mejora de la gestin de incidencias y problemas
Continuidad y recuperacin del negocio
Oficina de Calidad, Testing y Arquitectura
Evolucin de plataformas de desarrollo
Aseguramiento de infraestructuras crticas
Ene Feb Ma( Ab( Ma% Jun Jul Ago e Ot No$ Di

06/06/2013 Edicin 6.0

Pgina 92 de 136
IT-Consulting
ISO/IEC 27001:2005
Catulo 5
Auito(a e umlimiento
5- Int(ouin
Este captulo llega el momento de evaluar el cumplimiento de la empresa en materia de
seguridad. La ISO/IEC 27002:2005 nos proporcionar un marco de control del estado de la
seguridad.
Durante el desarrollo de este trabajo se han llevado a cabo acciones de mejora y por lo tanto el
estado de madurez de la empresa ha mejorado respecto su situacin inicial pero es necesario
realizar una auditora de su estado actual para identificar las deficiencias y las oportunidades
de mejora.
Para llevar a cabo este trabajo se llevar a cabo la evaluacin de la madurez de cada uno de los
dominios de control y los controles de la ISO/IEC 27002:2005 y se elaborar un informe de
conclusiones de su anlisis.
52- Metoologa
En este apartado describiremos brevemente la metodologa de auditora empleada para llevar
a cabo el anlisis de madurez y cumplimiento de la ISO/IEC 27002:2005 de la organizacin.
El resumen de las actividades a realizar ser el siguiente:
1. Plan e auito(a. Definicin de objetivos de la auditora, estimacin de recursos y
esfuerzos y tiempo necesario para realizar la auditora.
2. An&lisis e la o(ganizain" (oesos e negoio % sistemas Identificacin y
entendimiento de los procesos de negocio y sistemas de informacin.
3. De'iniin el (og(ama % alane e la auito(a Seleccin de los objetivos de
control aplicables y elaboracin del programa de auditora.
4. E$aluain el sistema e ont(ol inte(no Identificacin de los controles existentes y
su eficiencia. Evaluacin del diseo y grado de proteccin.
5. De'iniin % iseo e las (uebas e auito(a
6. E#euin e las (uebas e auito(a
06/06/2013 Edicin 6.0

Pgina 93 de 136
ISO/IEC 27001:2005
IT-Consulting
7. E$aluain e los (esultaos obtenios en las (uebas e auito(a

8. Elabo(ain el in'o(me e (esultaos e auito(a Elaboracin del resumen de
observaciones. Desarrollo y aprobacin del informe preliminar. Elaboracin y emisin
del informe final de auditora.
Durante la evaluacin de los dominios de control de la ISO/IEC 27002:2005 se utilizar un
orden basado en el objetivo y funcin de cada control. Es decir, primero se analizarn los
dominios estratgicos, despus los tcticos y finalmente los operativos. A continuacin
clasificamos los dominios con los criterios seleccionados.
Estratgicos:
- 5.1. Poltica de seguridad.
- 6. Organizacin de la seguridad.
Tcticos
- 7. Gestin de activos.
- 11. Control de accesos.
- 15. Cumplimiento.
- 13. Gestin de incidencias de la seguridad de la informacin.
- 8. Seguridad ligada a los RRHH.
- 9. Seguridad fsica y ambiental.
Operativos:
- 12. Adquisicin, desarrollo y mantenimiento de sistemas de informacin.
- 10. Gestin de las comunicaciones y operaciones.
- 14. Gestin de la continuidad del negocio.
Para llevar a cabo cada una de las tareas se llevarn a cabo las siguientes acciones:
- Observacin de instalaciones, metodologas y procesos de negocio.
- Anlisis de la documentacin.
- Pruebas de auditora.
06/06/2013 Edicin 6.0

Pgina 94 de 136
ISO/IEC 27001:2005
IT-Consulting
53- E$aluain e umlimiento

Este apartado incluye la evaluacin del cumplimiento de cada uno de los 133 controles que
contiene la norma ISO/IEC 27002:2005 y la identificacin del estado de madurez basndonos
en el Modelo de Madurez de la Capacidad (CMM). Esta informacin mostrar las evidencias
del cumplimiento de la norma.
POLTICA DE SEGURIDAD DE LA INFORMACIN
Documento de
poltica de
seguridad de la
informacin
SEGURIDAD
Revisin de la
poltica de
seguridad de la
informacin
SEGURIDAD
La direccin revisa y aprueba la poltica de

seguridad y existe un procedimiento que
establece como debe revisarse.
ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN

ORGANIZACIN INTERNA
Las actividades relativas a la seguridad son

coordinadas y asignadas entre los diferentes
roles y funciones; existen procedimientos
documentados.
Coordinacin de la
seguridad de la
informacin
Asignacin de
responsabilidades
en seguridad de la
informacin
SEGURIDAD
Se han definido y comunicado las funciones y

obligaciones del personal, en especial aquellos
que intervienen directamente en la gestin de la
seguridad.
SEGURIDAD
Existe un proceso de autorizacin para los

nuevos recursos de procesados de informacin
aunque no es formal ni est documentado.
SEGURIDAD
En algunos casos se han establecidos acuerdos

de confidencialidad pero no son revisados de
forma peridica, tampoco cuando se incorporan
nuevos activos de informacin.
Proceso de
autorizacin de
recursos para la
seguridad de la
informacin
Acuerdos de
confidencialidad

Cumple
Cumple
Cumple
4-Gestionado y 3-Proceso
evaluable
definido
No cumple
SEGURIDAD
Cumple
SEGURIDAD
Existe un Comit de Gestin de la Seguridad de

la Informacin y la Direccin muestra su apoyo
a la seguridad dentro de la organizacin y
asigna funciones y responsabilidades a travs
de directrices claras (documentado).
Compromiso de la
Direccin con la
seguridad de la
informacin
2-Repetible
2-Repetible
Cumple
Existen normativas especficas respecto al uso

de los recursos de informacin as como
procedimientos documentados sobre las
arquitecturas y sistemas.
Se ha establecido una Poltica General de
Seguridad que ha sido revisada y aprobada por
la Direccin.
4-Gestionado y
evaluable
4Gestionado y
evaluable
4-Gestionado y
evaluable
POLTICA DE SEGURIDAD
Cumple
06/06/2013 Edicin 6.0

Pgina 95 de 136
ISO/IEC 27001:2005
IT-Consulting
Relacin con
grupos de inters
especial
SEGURIDAD
Se establecen relaciones con grandes

proveedores aunque ninguno de especial
relevancia en cuestiones de seguridad de la
informacin.
Revisin
independiente de la
seguridad de la
informacin
SEGURIDAD
Se realizan con frecuencia revisiones

independientes de seguridad (auditoras)
aunque no en todas las reas (pe.
Procedimientos, controles, etc.) Existe una
poltica clara que define la frecuencia y la
metodologa
Identificacin de
riesgos derivados
del acceso de
terceros
COMPRAS
Se realiza un exhaustivo anlisis en la seleccin

de un proveedor (tercera parte) y siempre se
confa el servicio a un importante proveedor
(representa su seriedad y buenas prcticas).
Existe una metodologa de la gestin del riesgo
y se ha realizado un anlisis exhaustivo de los
riesgos a los que est sometida la organizacin.
Tratamiento de la
seguridad en la
relacin con los
clientes
NEGOCIO
Se revisan los requisitos de seguridad con los

clientes y se establecen los controles que se
solicitan.
Tratamiento de
seguridad en los
contratos con
terceros
COMPRAS
Siempre que se contrata un servicio a un

tercero se realiza un contrato pero no en todas
las ocasionas este incluye las clusulas de
seguridad correspondientes.
Inventario de
activos
Propietarios de los
activos
SISTEMASREDES
Se realiza un inventario detallado de equipos,

servidores y otros dispositivos propiedad de la
organizacin o utilizados en sus procesos de
negocios pero no existe un inventario de los
activos de informacin.
SISTEMASREDES
En el inventario existente se asigna un

propietario al activo pero no lo especifica
razonablemente se hace de forma genrica.

Cumple
RESPONSABILIDAD SOBRE LOS ACTIVOS
No cumple
3-Proceso
definido
GESTIN DE ACTIVOS
3-Proceso definido
Cumple
TERCERAS PARTES
Cumple
No cumple
4-Gestionado y
evaluable
3-Proceso definido 2-Repetible
Cumple
SEGURIDAD
No cumple
Relacin con las

autoridades
Cumple
1-Inicial/adHoc
4-Gestionado y
evaluable
Existen procedimientos de prevencin de

riesgos y accidentes laborales (incendios,
inundaciones, etc.) as como un protocolo de
actuacin claramente documentado. En el caso
de la seguridad de la informacin, por ejemplo
robos, ataques externos, incidentes terroristas,
etc no se establece procedimiento formal.
2-Repetible
06/06/2013 Edicin 6.0

Pgina 96 de 136
ISO/IEC 27001:2005
IT-Consulting
Directrices de
clasificacin
Etiquetado y
tratamiento de la
informacin
SEGURIDAD LIGADA A LOS RRHH
Funciones y
responsabilidades
Investigacin de
antecedentes
Trminos y
condiciones del
empleo
RRHH
Existe un documento descriptivo de todos los

puesto de trabajo de la organizacin, donde se
describe cules son sus funciones y
responsabilidades pero no en todos los casos
se definen las responsabilidades de terceros.
Muchas veces no se especifican las
responsabilidades respecto a la seguridad.
RRHH
Antes de realizar una contratacin se solicitan

referencias y se investigan los antecedentes del
empleador o tercero. Se solicita documentacin
oficial sobre ttulos, etc.
RRHH
De acuerdo con la legislacin se les hace firmar

una clusula legal (genrica) aunque no un
cdigo tico ni acuerdos. En contratos muy
antiguos no se ha realizado nunca. Sucede con
empleados y terceras partes.
Cumple
ANTES DEL EMPLEO
Cumple
Cumple
SEGURIDAD
FISICA
La informacin clasificada est etiquetada y

tiene un tratamiento adecuado a las
caractersticas asignadas aunque como se ha
comentado anteriormente no est
correctamente clasificada.
DURANTE EL EMPLEO
Responsabilidades
de la Direccin
RRHH
Aunque se trasmite a los empleados una gua

del buen uso de los recursos de la informacin.
Existe una poltica clara de las
responsabilidades

Cumple
RRHH
Se cumple con la normativa vigente de LOPD y

por lo tanto se tiene clasificada la informacin
que contiene datos personales segn la
legislacin vigente pero no se clasifican
aquellos activos de informacin que no
contienen datos personales y tampoco se
identifican segn la criticidad para la
organizacin.
4-Gestionado y
evaluable
Cumple
CLASIFICACIN DE LA INFORMACIN
43-Proceso definido Gestionado y

evaluable
Hay publicado un cdigo de conducta y una

gua general sobre el buen uso de los recursos
de informacin de la organizacin.
3-Proceso
definido
RRHH
Cumple
Uso aceptable de
los recursos
No cumple
3-Proceso definido
3-Proceso
definido
06/06/2013 Edicin 6.0

Pgina 97 de 136
ISO/IEC 27001:2005
IT-Consulting
Proceso
disciplinario
Responsabilidad
del cese o cambio
RRHH
Existe un procedimiento documentado respecto

a la baja o cambio de puesto del personal. Se
han asignado claramente las responsabilidades.
Devolucin de
activos
RRHH
Existe un procedimiento (aunque no

documentado) sobre la devolucin de los
activos de la organizacin al finalizar su empleo,
contrato o acuerdo.
Supresin de los
derechos de
acceso
RRHH
Existe un procedimiento documentado y

revisado respecto a la supresin de derechos
de acceso en el caso de cese o cambio de
funcin. En algunos casos puntuales no son
informados los cambios de funcin
inmediatamente,
Permetro de
seguridad fsica
Control fsicos de
entrada
Seguridad de
oficinas, despachos
y salas
Cumple
Cumple
Cumple
SEGURIDAD
FISICA
Las instalaciones de la organizacin estn

cerradas al personal ajeno a esta mediante
muros, barreras, puertas y otros elementos
fsicos. No es posible el acceso a las
instalaciones fsicas sin autorizacin.
SEGURIDAD
FISICA

controladas mediante un permetro de
seguridad al cual se accede por tarjeta con
supervisin de personal de la organizacin, sin
ella no es posible el acceso. Las zonas
sensibles estn protegidas con tarjeta y cdigo.
SEGURIDAD
FISICA
Las salas sensibles (rack de switches,

servidores, SAIs y otros aparatos) estn
protegidos mediante una puerta con llave
siempre cerrada a custodia de los responsables.
Los despachos estn protegidos con puertas
con cerradura y se cierran siempre que es
necesario.

Cumple
5-Optimizado
REAS SEGURAS
Cumple
Cumple
SEGURIDAD FSICA Y AMBIENTAL
5-Optimizado
No existe un proceso disciplinario formal y claro

para los empleados que hayan provocado la
violacin de la seguridad.
CESE DEL EMPLEO O CAMBIO DE PUESTO DE TRABAJO
9
9
RRHH
444-Gestionado y
Gestionado y Gestionado y
evaluable
evaluable
evaluable
No se realiza concienciacin, formacin o

capacitacin respecto a la seguridad de la
informacin.
5-Optimizado
RRHH
No cumple
No cumple
Concienciacin,
formacin y
capacitacin en
seguridad de la
informacin
0-Inexistente 0-Inexistente
06/06/2013 Edicin 6.0

Pgina 98 de 136
ISO/IEC 27001:2005
IT-Consulting
Acceso publico,
zonas de carga y
descarga
Cumple
Cumple
Cumple
SEGURIDAD
FISICA
En las zonas de acceso al pblico o zonas de

carga y descarga siempre est presente un
empleado de la organizacin supervisando el
acceso o las tareas que se deben realizar.
Estas zonas se mantienen libre del tratamiento
de informacin o est protegida
adecuadamente.
5-Optimizado
La organizacin tiene implementada una serie

de directrices para el uso de espacio comunes,
asegurando las zonas de trabajo (no se puede
entrar alimentos, reas limpias de materiales,
etc.)
SEGURIDAD DE LOS EQUIPOS
Emplazamiento y
proteccin de los
equipos
Instalaciones de
suministro
Seguridad del
cableado
SEGURIDAD
FISICA
Los equipos de la organizacin y otros

dispositivos de tratamiento o mantenimiento de
la informacin son adecuadamente ubicados
mediante la proteccin de los mismos; accesos
no autorizados, problemas ambientales
(goteras, lluvia, etc), etc.
SEGURIDAD
FISICA

protegidas ante fallos de alimentacin
(Diferenciales, SAIs, grupos electrgenos y
otros dispositivos). Las zonas especialmente
sensibles estn reforzadas con un sistema
adicional y redundante que asegura el
funcionamiento y la continuidad de la operativa
en caso de fallo elctricos o la proteccin ante
los mismos.
SISTEMASREDES
Tanto el cableado elctrico como de

comunicaciones est protegido ante
interceptaciones o daos. Se ubican en sus
correspondientes bandejas y los accesos del
cableado especialmente protegido slo es
conocido por el personal autorizado.

Cumple
SEGURIDAD
FISICA
Cumple
Trabajo en reas
seguras
Cumple
SEGURIDAD
FISICA
5-Optimizado
Proteccin contra
amenazas externas
y de origen
ambiental
5-Optimizado
5-Optimizado
5-Optimizado
La organizacin tiene instaladas protecciones

contra amenazas externas: sistemas de
extincin de incendios en todos los espacios,
proteccin del fuego en zonas mediante
infraestructuras especiales (puertas ignfugas,
etc.). Zonas sensibles en espacios altos para
evitar daos en inundaciones acompaadas de
desages en zonas de riesgo. En cuanto a
amenazas provocadas por el hombre cuenta
con las barreras fsicas habituales (puertas,
muros, etc).
5-Optimizado
06/06/2013 Edicin 6.0

Pgina 99 de 136
ISO/IEC 27001:2005
IT-Consulting
10
10
10
Cumple
GESTIN DE COMUNICACIONES Y OPERACIONES

1
RESPONSABILIDADES Y PROCEDIMIENTOS DE OPERACIONES
Documentacin de
los procedimientos
de operaciones
SISTEMASREDES
La mayora de los procedimientos de

operaciones estn correctamente
documentados y habitualmente se revisan. Se
modifican mediante autorizacin del
responsable y se lleva un control de las
versiones. Adems estn a disposicin de todos
los usuarios que los necesiten, tampoco permite
asociar los activos afectados (equipos, software,
informacin, etc).
Gestin de los
cambios
SISTEMASREDES
Se lleva un control de cambios (con un proceso

claro y previa autorizacin) aunque no es muy
exhaustivo y no identifica el rea de trabajo
(sistemas, comunicaciones, software, etc) ni
aplica ninguna clasificacin.

Cumple
10
No cumple
Existen controles sobre la retirada de materiales

pero son dbiles y no estn documentados. Se
protege la salida de los activos propiedad de la
organizacin aunque no se est especialmente
concienciado del peligro que conlleva.
No cumple
SEGURIDAD
FISICA
1-Inicial/adHoc
Retirada de
materiales de
propiedad de la
empresa
2-Repetible
SISTEMASREDES
Seguridad de
equipos fuera de
los locales propios
No cumple
Seguridad en la
reutilizacin o
eliminacin de
equipos
La organizacin es consciente de la importancia

de las buenas prcticas de la retirada o
reutilizacin de equipos por la importancia de
los datos que contienen pero no existe ninguna
poltica formal al respecto. Aunque los
dispositivos de almancenamiento son retirados
y reutilizados de forma segura el procedimiento
no est controlado ni revisado. Se lleva el
control de las licencias a modo general (no muy
exhaustivo).
Cumple
SEGURIDAD
FISICA
Los equipos que se emplean fuera de la

organizacin cumplen las mismas medidas que
los equipos que se emplean dentro, no se
aplican medidas especiales (encriptacin, etc) y
aunque suele existir una autorizacin del
responsable no se lleva una buena gestin de
ellas.
Mantenimiento de
los equipos
1-Inicial/adHoc
SISTEMASREDES
5-Optimizado
3-Proceso
definido
Los equipos (servidores, etc) y dispositivos

tienen un mantenimiento adecuado y se
monitorizan constantemente ante fallos
hardware, en caso de fallo son inmediatamente
reparados. Los equipos y dispositivos
especialmente crticos tienen asociado un
contrato de reparacin en caso de fallo (por
importantes proveedores). Aunque no existe
una evaluacin de riesgos ni una poltica clara.
5-Optimizado
06/06/2013 Edicin 6.0

Pgina 100 de 136
ISO/IEC 27001:2005
IT-Consulting
10
10
10
10
10
Supervisin y
revisin de los
servicicios
prestados por
terceros
SISTEMASREDES
Los niveles de servicios de terceros se

monitorizan con frecuencia. No se realizan
auditoras de los servicios de terceros ni existe
una poltica especfica para la gestin de
servicios de terceros.
Gestin de cambios
en los servicios
prestados por
terceros
SISTEMASREDES
Se gestionan los cambios realizados en

servicios de terceros, se actualizan los
procedimientos establecidos y se tiene presente
la criticidad del servicio para la organizacin.
Aunque su gestin no es ptima.
Cumple
Cumple
Cumple
SISTEMASREDES
Cumple
Provisin de
servicios
Cumple
Al contratar un servicio se comprueban las

definiciones, los acuerdos de provisin y los
recursos empleados por el tercero aunque no
existe una poltica general de revisin (check
list). No se revisan los acuerdos de forma
peridica salvo cause prdidas para la
organizacin.
PLANIFICACIN Y ACEPTACIN DE SISTEMAS
Gestin de
capacidades
Aceptacin de
sistemas
SISTEMASREDES
Se gestiona, en la mayora de
servicios/sistemas, las capacidades de los
mismos y se ajusta el consumo. Adicionalmente
se realizan proyecciones de los requisitos
futuros de capacidad. No existe una poltica
clara y formal al respecto pero se lleva a cabo
de manera continua.
Cumple
10
GESTIN DE LA PROVISIN DE SERVICIOS POR TERCEROS
SISTEMASREDES
Existen pruebas y revisiones de los sistemas

antes de ser puestos en explotacin por el
departamento receptor (est documentado y se
revisa frecuentemente), no sucede lo mismo
con los productos de software.
Cumple
10
3-Proceso definido
SISTEMASREDES
3-Proceso definido
10
3-Proceso definido
Separacin de los
entornos de
desarrollo, pruebas
y explotacin
Las reas de desarrollo y explotacin, tanto en

Sistemas como en Programacin, estn
diferenciadas aunque no de todas las
aplicaciones. Se segregan funciones en todos
los departamentos para evitar las
3-Proceso
definido
10
Se segregan funciones y tareas en todos los

departamentos de forma indirecta para evitar las
5-Optimizado
SISTEMASREDES
3-Proceso
definido
10
Segregacin de
tareas
4-Gestionado y
evaluable
PROTECCIN CONTRA CDIGO MALICIOSO Y CDIGO MVIL

06/06/2013 Edicin 6.0

Pgina 101 de 136
ISO/IEC 27001:2005
IT-Consulting
10
10
10
10
10
Cumple
Cumple
Cumple
SISTEMASREDES
GESTIN DE LA SEGURIDAD DE LA RED
Controles de red
Seguridad de los
servicios de red
SISTEMASREDES
La organizacin cuenta con una red

segmentada (dependiendo de la criticidad de los
datos y la exposicin al exterior) por Firewalls y
asegurada por rutas y reglas de acceso.
Adicionalmente cuenta con dispositivos
avanzados que detectan comportamientos
extraos en la red.
SISTEMASREDES
Los servicios de red estn identificados y tienen

asignados las caractersticas de seguridad y
algunas veces los requisitos de gestin pero no
en todos los servicios (sobre todo los internos)
se identifican los acuerdos con la direccin.
Cumple
Copias de
seguridad de la
informacin
Cumple
10
La organizacin evala la necesidad de las

copias de seguridad al poner en explotacin un
nuevo sistema y realiza un inventario y control
de las mismas. Adicionalmente se revisan de
forma peridica y se hacen pruebas puntuales
de recuperacin aunque no de todos los
sistemas. La mayora de procesos de copias de
seguridad estn documentados y existen
procedimientos para llevarlos a cabo.
MANIPULACIN DE SOPORTES
Gestin de
soportes extrables
SISTEMASREDES
Aunque se establecen controles tcnicos sobre

el uso de memorias extrables no se realizan
sobre unidades de CD/DVD u otros dispositivos.
Tampoco se establecen procedimientos
formales (por escrito) ni recomendaciones.
No cumple
COPIAS DE SEGURIDAD
Retirada de
soportes
SISTEMASREDES
Aunque no existe una poltica o procedimiento

formal (por escrito) la mayora de soportes se
destruyen manualmente al ser retirados aunque
no sucede as con las estaciones de trabajo u
otros dispositivos de menor envergadura.
No cumple
10
SISTEMASREDES
4-Gestionado y
evaluable
Controles contra
cdigo mvil
Las barreras perimetrales de acceso a Internet

as como los antivirus locales (incluyen
antimalware) y la propia proteccin del
navegador protegen a los equipos y servidores
del cdigo mvil. Aunque no hay una poltica
especfica la organizacin es consciente de la
necesidad del control.
5-Optimizado
10
SISTEMASREDES
5-Optimizado
Controles contra
software malicioso
4-Gestionado y
evaluable
10
1-Inicial/adHoc
2-Repetible
10
Todos los equipos y servidores tienen

instalados antivirus locales (centralizados)
adems de sus correspondientes firewalls.
Adicionalmente se aplican protecciones
adicionales en las zonas en contacto con
Internet (Firewalls). El control est documentado
y se revisa frecuentemente.
5-Optimizado

06/06/2013 Edicin 6.0

Pgina 102 de 136
ISO/IEC 27001:2005
IT-Consulting
Polticas y
procedimientos de
intercambio de
informacin
SEGURIDAD
10
Acuerdos de
intercambio
RRHH
En ninguno de los casos se han establecido

acuerdos de intercambio de informacin entre la
organizacin y terceros.
SEGURIDAD
FISICA
La organizacin tiene una poltica clara y formal

sobre los procedimientos de trnsito de
soportes fsicos, se lleva a cabo correctamente
y se revisa con cierta frecuencia.
SISTEMASREDES
La informacin contenida en el correo

electrnico presenta las protecciones estndar
del producto, no se han aplicado certificados ni
encriptacin.
SISTEMASREDES
La interconexin de los sistemas empresariales

estn debidamente controlados y se gestiona
correctamente su alta, baja y modificacin de
accesos. Existe una documentacin asociada al
respecto.
Correo electrnico
Sistemas de
informacin
empresariales
10
10
10
Cumple
Cumple
Cumple
10
Cumple
5-Optimizado
10
Soportes fsicos en
transito
3-Proceso definido
10
Se han establecido polticas y procedimientos

para el intercambio de informacin sobre todo
aquella que contiene datos personales aunque
no ha sido comunicada a todas las partes. En
algunos casos no se observan clusulas de
confidencialidad y en la comunicacin de voz no
se han aplicado correctamente los controles
adecuados.
Cumple
INTERCAMBIO DE INFORMACIN
No cumple
SISTEMASREDES
Cumple
10
La documentacin y la informacin en general

est protegida mediante reglas de acceso
proporcionadas por los responsables de los
datos. Se est mejorando la gestin en la
centralizacin creando accesos por grupos de
recursos.
50-Inexistente
Optimizado
Seguridad de la
documentacin de
los sistemas
SISTEMASREDES
3-Proceso
definido
10
Cumple
La informacin se manipula correctamente y

existen controles/procedimientos que la
protegen contra los accesos no autorizados o el
uso indebido pero no existe poltica o
procedimiento por escrito sobre las prcticas o
recomendaciones.
3-Proceso definido
10
Procedimiento de
manipulacin de la
informacin
4-Gestionado y
evaluable
SERVICIOS DE COMERCIO ELECTRONICO
Comercio
electrnico
SISTEMASREDES
La organizacin utiliza el comercio electrnico y

por ello cumple con la legislacin vigente
asociada (LOPD, LSSI, etc.) adicionalmente se
protege de actividades fraudulentas y disputas
contractuales mediante sistemas de seguridad
(Firewalls, encriptacin, certificados digitales,
etc.). Existe una poltica formal al respecto.

06/06/2013 Edicin 6.0

Pgina 103 de 136
ISO/IEC 27001:2005
IT-Consulting
10 10
10 10
SISTEMASREDES
Proteccin de la
informacin de los
registros
SISTEMASREDES
Los registros de seguridad de los sistemas se

protegen de forma adecuada de los accesos no
autorizadas y de manipulaciones indebidas. No
se revisan de forma frecuente.
Registros de
administracin y
operacin
SISTEMASREDES
Los registros de seguridad registran cualquier

evento del sistema, incluyendo aquellos
realizados por los operadores y los
administradores de sistemas. No existe ningn
procedimiento de revisin peridica.
Registros de fallos
SISTEMASREDES
Se realiza la gestin de fallos de los sistemas

mediante varias herramientas de monitorizacin
que permiten a los administradores actuar para
prevenir la interrupcin o solucionarla.
Sincronizacin de
relojes
SISTEMASREDES
Los relojes de todos los sistemas estn

sincronizados con una precisin de tiempo
acordada. Existe un procedimiento forma que se
revisa con cierta frecuencia.
11
Cumple
No cumple
3-Proceso definido
CONTROL DE ACCESO
1
11
11
REQUISITOS DE NEGOCIO PARA EL CONTROL ACCESO
Poltica de control
de acceso
SEGURIDAD
Aunque la organizacin lleva a cabo un control

de acceso siguiendo las indicaciones de la
direccin o los clientes (requisitos del negocio)
no existe ninguna poltica de control acceso
formal (documentada y revisada).
Cumple
11
Cumple
Monitorizacin del
uso de los sistemas
Cumple
La organizacin ha establecido los

procedimientos para la monitorizacin y
supervisin de los recursos de procesamiento
de informacin, estos se revisan
peridicamente. No existe una poltica formal
pero las medidas se toman de forma adecuada.
Cumple
10 10
SISTEMASREDES
Cumple
10 10
Registro de
auditoras
Cumple
10 10
Todos los sistemas de informacin tienen activo

el registro de eventos de seguridad pero no se
ha establecido ninguna poltica comn de
almacenamiento. Tampoco existe
documentacin respecto a la configuracin o los
requisitos del negocio.
5-Optimizado
10 10
MONITORIZACIN
5Optimizado
10 10
SISTEMASREDES
La informacin puesta a disposicin pblica est

debidamente protegida frente a modificaciones
no autorizadas y se revisa frecuentemente. Los
servidores estn correctamente actualizados y
presentan sistemas antivirus/antimalware
activos.
Cumple
Informacin con
acceso publico
SISTEMASREDES
4-Gestionado y
evaluable
Transacciones en
lnea
3-Proceso
definido
55-Optimizado
Optimizado
10
3-Proceso
definido
10
Las transacciones en lnea se realizan mediante

encriptacin del canal de comunicacin, ya sea
por certificados digitales u otros medios. Se
llevan a cabo otros controles que aseguran la
transaccin pero no existe una poltica formal al
respecto.
4-Gestionado y
evaluable
GESTIN DE ACCESO DE USUARIO

06/06/2013 Edicin 6.0

Pgina 104 de 136
ISO/IEC 27001:2005
IT-Consulting
Cumple
Cumple
Uso de las
contraseas
SISTEMASREDES
La organizacin ha establecido mtodos

tcnicos para que las contraseas cumplan con
unos requisitos de seguridad adecuados (no
est aplicado en las aplicaciones) pero no existe
una gua de recomendaciones en la seleccin
de contraseas para los usuarios.
SISTEMASREDES
Se han establecido controles tcnicos para el

bloqueo de equipos desatendidos (tanto en
estaciones de trabajo como servidores) pero no
existe una gua/formacin de concienciacin
dirigida a los usuarios.
SISTEMASREDES
No existe ninguna poltica formal de puesto de

trabajo despejado y bloqueo de pantalla aunque
la organizacin ha establecido mtodos tcnicos
para el bloqueo de sesiones.
11
11
Poltica de puesto
de trabajo
despejado y
bloqueo de pantalla
11
3-Proceso definido
RESPONSABILIDAD DE USUARIO
Equipo de usuario
desatendido
11
Cumple
No existe ningn procedimiento formal de

revisin de los derechos de acceso, los
responsables de la informacin confan en los
derechos establecidos y slo se revisan en caso
de error, anomala o incidencia.
No cumple
SISTEMASREDES
Revisin de los
derechos de
accesos
Cumple
11
SISTEMASREDES
Cumple
Gestin de las
contraseas de los
usuarios
Cumple
11
Se realiza una gestin correcta de las

contraseas de los usuarios tanto a nivel de
aplicacin como de sistema a travs de un
proceso formal (se establece caducidad y
bloqueo) aunque no existe ninguna poltica
formal sobre la gestin de contraseas (entrega,
cambio, etc.). Tampoco se firman clusulas de
confidencialidad de la contrasea.
Cumple
SISTEMASREDES
La gestin de privilegios slo corresponde al

departamento de Administracin de Sistemas
(en el caso de sistemas comunes) y explotacin
de aplicaciones (en el caso de aplicaciones).
Ningn otro usuario puede realizar estas
funciones. Aunque no existe un esquema formal
de autorizacin el procedimiento se realiza
correctamente.
0-Inexistente
11
Gestin de
privilegios
SISTEMASREDES
3-Proceso definido
Registro de usuario
4-Gestionado y
evaluable
11
3-Proceso
definido
11
3-Proceso definido
11
La organizacin tiene un procedimiento formal

de alta, baja y modificacin de usuarios
mediante el cual se conceden y revocan los
derechos de acceso. Este documento se
actualiza y revisa con frecuencia.
5-Optimizado
CONTROL DE ACCESO A LA RED
Poltica de uso de
los servicios de red
SISTEMASREDES
El uso de los servicios de red (un gran

porcentaje) est controlado tcnicamente y slo
se habilita el acceso previa autorizacin pero no
existe una poltica formal sobre la solicitud de
acceso. Como debilidad la organizacin permite
el acceso a la red por DHCP si un dispositivo se
conecta a una toma (sin autorizacin previa).

06/06/2013 Edicin 6.0

Pgina 105 de 136
ISO/IEC 27001:2005
IT-Consulting
Diagnstico remoto
y proteccin de los
puertos de
configuracin
SISTEMASREDES
De forma general los puertos de configuracin

de equipos, servidores, switches y otros estn
protegidos ya sea por medidas lgicas como
fsicas.
11
11
SISTEMASREDES
La organizacin establece controles de

conexin a la red mediante enrutamientos,
firewalls y otros elementos. Adicionalmente se
monitorizan los accesos y se controla el
consumo de recursos.
Control de
encaminamiento en
la red
SISTEMASREDES
La organizacin tiene implementado un control

de encaminamiento de red, todas las redes que
estn controladas se encaminan a sus
correspondientes firewalls y en estos se
establecen las reglas de acceso.
Cumple
CONTROL DE ACCESO AL SISTEMA OPERATIVO
Procedimiento
seguros de inicio
de sesin
SISTEMASREDES
11
Identificacin y
autenticacin de
usuario
SISTEMASREDES
No todos los usuarios del sistema tienen

identificadores personales, existen muchos
usuarios genricos donde no se puede trazar la
persona (tanto en sistema como en aplicacin).
SISTEMASREDES
El sistema de gestin de contraseas es

correcto, se almacenan cifradas, se establece
una complejidad a las contraseas, un periodo
de caducidad, un historial recordatorio. Adems
se permite al usuario la modificacin de
contrasea en la mayora de casos, etc.
11
Sistema de gestin
de contraseas

Cumple
5-Optimizado
11
Se establecen mecanismos tcnicos de inicio de

sesin seguro: no muestra el ltimo usuario
logeado, bloqueo de contraseas por intentos
fallidos, tiempo de espera al bloqueo de cuenta,
comunicacin cifrada de la contrasea, etc pero
estos no se recogen en una poltica. Tampoco
se muestra un aviso general del acceso limitado
a los usuarios autorizados.
No cumple
Control de
conexin a la red
Cumple
11
SISTEMASREDES
3-Proceso
definido
Segregaciones de
la red
5-Optimizado
11
Las redes de la organizacin estn

completamente segregadas y protegidas
teniendo en cuenta su criticidad, exposicin al
exterior y el valor de la informacin que
protegen. Esto se complementa con dispositivos
avanzados de vigilancia de la red.
Cumple
11
Cumple
SISTEMASREDES
Cumple
Identificacin de
equipos en la red
Cumple
Cumple
5-Optimizado
11
Todos los equipos de la red estn identificados

e inventariados (de forma automtica), se
realiza un control sobre la incorporacin de
nuevos equipos (evala la autorizacin de su
acceso a la red). Existe una estructura definida
de la red y la asignacin de IPs por zonas.
5-Optimizado
SISTEMASREDES
5-Optimizado
5-Optimizado
Se establecen la autentificacin de usuarios

para conexiones externas mediante rangos de
IP y enrutamientos preestablecidos, estos
controles se acompaan de reglas de acceso en
Firewalls.
5-Optimizado
11
Autenticacin de
usuarios para
conexiones
externas
5-Optimizado
06/06/2013 Edicin 6.0

Pgina 106 de 136
ISO/IEC 27001:2005
IT-Consulting
11
Aislamiento de
sistemas sensibles
11
Los sistemas sensibles estn aislados y

correctamente protegidos bajo los requisitos del
negocio y del propietario de los datos.
Ordenadores
porttiles y
comunicaciones
mviles.
Teletrabajo
SISTEMASREDES
Aunque la mayor parte de la informacin est

centralizada y se utilizan protocolos seguros as
como mecanismos adicionales, no existe una
poltica formal sobre la utilizacin de equipos y
dispositivos porttiles o mviles.
RRHH
No existe una poltica formal de teletrabajo

donde se indiquen los requisitos necesarios
(antivirus, firewall, conexin, ubicacin fsica,
etc.) as como acuerdos de licencia o propiedad
intelectual, reglas de uso (acceso a la familia,
I), etc.
Cumple
Cumple
Cumple
No cumple
ORDENADORES PORTTILES Y TELETRABAJO
ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE

INFORMACIN
12
12
SISTEMASREDES
No cumple
11
Las aplicaciones tienen asignados distintos

menus dependiendo el perfil del usuario, slo
los usuarios de soporte tienen acceso a toda la
informacin. Existe documentacin al respecto.
Cumple
11
SISTEMASREDES
Cumple
CONTROL DE ACCESO A LAS APLICACIONES Y A LA INFORMACIN
Restriccin de
acceso a la
informacin
11
4-Gestionado y
evaluable
Dadas las necesidades del negocio no se han

establecido ventanas de limitacin de conexin
ya que los clientes requieren el uso del sistema
en cualquier hora/da del ao.
Cumple
SISTEMASREDES
4-Gestionado y
evaluable
11
Limitacin de las
ventanas de
conexin
4-Gestionado y
evaluable
SISTEMASREDES
En el acceso a sistemas remotos se establece

un timeout de sesin (Citrix, Terminal Server,
TMG, etc) pero no sucede lo mismo en las
aplicaciones internas de la organizacin ni en
las sesiones de usuario en las estaciones de
trabajo.
5-Optimizado
11
Desconexin
automtica de
sesin
Uso de las
utilidades de los
sistemas operativos
1-Inicial/adHoc
SISTEMASREDES
1-Inicial/adHoc
11
3-Proceso
definido
11
Tanto en equipos como en servidores se limita

el uso y acceso a las herramientas y utilidades
del sistema operativo que puedan daar parte
del mismo. Slo el personal tcnico
autorizado/capacitado tiene acceso a estas.
Adicionalmente todas las aplicaciones
innecesarias son eliminadas del sistema pero
no existe una poltica formal al respecto.
5-Optimizado
12
12
REQUISITOS DE SEGURIDAD EN SISTEMAS DE INFORMACIN
En el anlisis y especificaciones de los nuevos

Anlisis y
productos se suelen evaluar las caractersticas
especificaciones de
DESARROLLO y controles de seguridad. Existe una
requisitos de
metodologa de gestin del riesgo aplicable a
seguridad
toda la organizacin.
PROCESO CORRECTO EN LAS APLICACIONES

06/06/2013 Edicin 6.0

Pgina 107 de 136
ISO/IEC 27001:2005
IT-Consulting
12
12
Poltica de uso de
los controles
criptogrficos
Gestin de claves
SEGURIDAD
No existe una poltica formal sobre el uso de los

controles criptogrficos que recoja la
informacin el enfoque, el anlisis de riesgos y
las medidas implementadas.
SEGURIDAD
La organizacin tiene un implementado un

sistema de gestin de claves en donde se
generan y almacenan los certificados, gestin
de claves, etc. Este sistema est protegido y
existe una poltica no formal sobre su uso.
Existen controles del software en explotacin

mediante la gestin de cambios y se realizan las
actualizaciones del sistema mediante un
proceso documentado y probado.
Adicionalmente existe un registro de auditora
de los cambios realizados y la posibilidad de
restaurar un sistema si en el cambio se
producen errores.
Control del
software en
explotacin
12
Proteccin de los
datos de prueba
No se establece proteccin adicional a los datos

DESARROLLO de pruebas, se utilizan los mismos mecanismos
y controles que con los datos reales.
Control de acceso
al cdigo fuente
La gestin del acceso al cdigo fuente se

realiza de forma correcta; slo los usuarios
autorizados tienen acceso al cdigo fuente y
DESARROLLO
este est protegido contra modificaciones.
Adicionalmente se realiza un registro de los
cambios.
12
Cumple
Cumple
No cumple
No cumple
SEGURIDAD EN LOS ARCHIVOS DE SISTEMA
12
12
No cumple
12
CONTROLES CRIPTOGRFICOS
No cumple
Validacin de los
datos de salida
SISTEMASREDES
Cumple
12
No se realiza la validacin de los datos de

salida en todas las aplicaciones/informes
DESARROLLO aunque en todos los casos se proporciona a los
usuarios la informacin suficiente para que se
pueda evaluar correctamente.
No cumple
Las aplicaciones no incorporan la verificacin de

la integridad de los mensajes aunque existen
DESARROLLO
controles adicionales que pueden complementar
este objetivo.
Cumple
12
Integridad de los
mensajes
2-Repetible
Las aplicaciones de la organizacin realizan un

control interno de la informacin que manejan
Control del proceso
DESARROLLO
vigilando la integridad de los datos y evitando
interno
los ataques estndar.
3-Proceso definido 1-Inicial/adHoc
12
1-Inicial/adHoc 4-Gestionado y evaluable
12
Las aplicaciones tienen aplicada la validacin

de datos de entrada, detectando y evitando los
DESARROLLO
errores. Estos controles protegen a las
aplicaciones de ataques estndar.
4-Gestionado y
evaluable
12
Validacin de los
datos de entrada
442-Repetible Gestionado y Gestionado y

evaluable
evaluable
SEGURIDAD EN LOS PROCESOS DE DESARROLLO Y SOPORTE

06/06/2013 Edicin 6.0

Pgina 108 de 136
ISO/IEC 27001:2005
IT-Consulting
12
12
12
13
13
Fuga de
informacin
Desarrollo
externalizado de
software
Se realiza el desarrollo externalizado de

software pero no en todos los casos se han
DESARROLLO establecido: los contratos de licencia, propiedad
del cdigo, requisitos de calidad y seguridad del
software, etc.
Cumple
Cumple
Cumple
Cumple
La organizacin no tiene a disposicin de los

empleados escneres u otros dispositivos
similares, adems limita el tamao de salida de
DESARROLLO
los correos, no permite el uso de sticks de
memoria, y otros controles similares que
impiden la fuga de informacin.
4-Gestionado y
evaluable
SISTEMASREDES
La organizacin slo realiza cambios en

paquetes de software cuando el cliente tiene
una necesidad, el software presenta un
problema o con intencin de mejorar su
rendimiento/funcionamiento. Todos los cambios
son evaluados y probados, no se realizan sin
previa autorizacin y el software original se
conserva.
5-Optimizado
Restriccin en los
cambios a los
paquetes de
software
SEGURIDAD
Siempre que se realiza un cambio a nivel de

sistema o a nivel de software se realiza una
revisin tcnica sobre el cambio realizado u
otros aspectos relacionados. Aunque es
necesario mejorar el rea de Quality y Testing.
Cumple
Revisin tcnica de
las aplicaciones
despus de
cambios en los
sistemas operativos
SISTEMASREDES
Cumple
12
Procedimiento de
control de cambios
12
4-Gestionado y
evaluable
12
3-Proceso definido
12
La organizacin lleva a cabo un procedimiento

de gestin de cambios donde se establece el
nivel de autorizacin, los sistemas afectados,
los cambios realizados, etc. Esta gestin de
cambios realiza un registro de los pasos
realizados y permite trazar una auditora del
proceso. Aunque es necesario mejorarlo ya que
no se puede asociar el activo
2-Repetible
GESTIN DE VULNERABILIDADES TCNICAS
Control de
vulnerabilidades
tcnicas
SEGURIDAD
Normalmente la organizacin lleva a cabo la

gestin de las vulnerabilidades tcnicas en
cuanto a sistemas operativos Microsoft pero no
en el resto de software (Acrobat, Java, etc. incluido aplicaciones Microsoft) y dispositivos
(Cisco, etc.).
GESTIN DE INCIDENCIAS DE SEGURIDAD DE LA INFORMACIN

1
REPORTE DE INCIDENCIAS Y DEBILIDADES

06/06/2013 Edicin 6.0

Pgina 109 de 136
ISO/IEC 27001:2005
IT-Consulting
Notificacin de los
eventos de
seguridad de la
informacin
HELP DESK
13
Notificacin de los
puntos dbiles de
la seguridad
HELP DESK
Los empleados, contratistas y terceros notifican

las incidencias y en la poltica se indica que su
notificacin es de obligado cumplimiento.
13
Aprendizaje de los
incidentes de
seguridad de la
informacin
Recopilacin de
evidencias
14
La organizacin no cuenta con ningn

mecanismo que permita el aprendizaje sobre los
incidentes de seguridad.
HELP DESK
En caso de incidentes de seguridad la

organizacin realiza la recopilacin de
evidencias pero no sigue ningn procedimiento
especfico y muchas veces por desconocimiento
no las realiza rigurosamente.
GESTIN DE LA CONTINUIDAD DE NEGOCIO
Continuidad de
negocio y anlisis
de riesgos
SEGURIDAD
La organizacin no ha realizado un plan de

continuidad a partir del anlisis de un anlisis de
riesgos.
Desarrollo e
implantacin de
planes de
continuidad
incluyendo la
seguridad de la
informacin
SEGURIDAD
dem
Marco de
planificacin de la
continuidad de
negocio
SEGURIDAD
dem
14
14

No cumple
No cumple
La organizacin cuenta una gestin de la

continuidad del negocio a baja escala, sin
analizar grandes catstrofes/daos y sin incluir
la seguridad de la informacin.
No cumple
14
SEGURIDAD
No cumple
1-Inicial/adHoc
1-Inicial/adHoc
14
Incluir la seguridad
de la informacin
en el proceso de
gestin de la
continuidad de
negocio
2-Repetible
ASPECTOS DE SEGURIDAD DE LA INFORMACIN EN LA CONTINUIDAD DE

NEGOCIO
1Inicial/adHoc
14
HELP DESK
Cumple
No cumple
13
HELP DESK
No cumple
1-Inicial/adHoc
2-Repetible
13
La organizacin cuenta con un esquema formal

de responsabilidades y procedimientos para el
tratamiento de las incidencias de seguridad (se
incluye en el apartado de roles y
responsabilidades.
3-Proceso
definido
GESTIN DE INCIDENCIAS DE SEGURIDAD Y MEJORAS
Responsabilidades
y procedimientos
13
No cumple
Cumple
3-Proceso
definido
13
La organizacin posee un help desk de soporte

24x365 (punto nico: web, telfono y correo
electrnico) donde usuarios y proveedores
pueden notificar las incidencias aunque no se
hace distincin entre problemas habituales o
incidencias de seguridad. No existe
documentacin del sistema de gestin de
incidencias.
3-Proceso definido
06/06/2013 Edicin 6.0

Pgina 110 de 136
ISO/IEC 27001:2005
IT-Consulting
SEGURIDAD
15
CUMPLIMIENTO
Proteccin de los
documentos de la
organizacin
ASESORIA
JURIDICA
La organizacin almacena y protege

adecuadamente la documentacin oficial
requerida adems de establecer
adecuadamente los periodos de retencin de la
informacin. En su contra no se establece
ningn documento formal que indique el
calendario de conservacin o las directrices de
conservacin.
Proteccin de datos
de carcter
personal y
privacidad
ASESORIA
JURIDICA

RRHH
La organizacin realiza la prevencin del mal

uso de los recursos informticos mediante
medidas y controles tcnicas e informa a los
empleados sobre el uso indebido de estos.
SEGURIDAD
La organizacin cumple con la regulacin de los

controles criptogrficos e implanta su uso
cuando es necesario aunque no existe una
documentacin especfica al respecto.
Cumple
Cumple
Cumple
ASESORIA
JURIDICA
La organizacin cumple con la propiedad

intelectual; compra las licencias a fuentes de
confianza, mantiene un inventario de los
productos, realiza un revisin anual de los
mismos, etc. Aunque no tiene publicada una
poltica sobre el cumplimiento de la DPI.
Cumple

15
Regulacin de
controles
criptogrficos
15
15
Cumplimiento de
las polticas y
normas de
seguridad.
AUDIT
No se detectan informes formales sobre las

revisiones del cumplimiento por parte de los
directores aunque parece que informalmente se
realiza este seguimiento.
No cumple
15
Comprobacin del
cumplimiento
tcnico
AUDIT
En los ltimos aos se han realizado auditoras

tcnicas y procedimentales, la organizacin
posee los informes resultados. Ha analizado los
informes y est implementando las mejoras.
Cumple
Cumple
15
Prevencin del mal

uso de los recursos
informticos
2-Repetible
Derechos de
propiedad
intelectual
ASESORIA
JURIDICA
5-Optimizado
15
Identificacin de la
legislacin
aplicable
Cumple
15
5-Optimizado
5-Optimizado
15
CUMPLIMIENTO DE LOS REQUISITOS LEGALES
55-Optimizado
Optimizado
3-Proceso
definido
15
15
dem
No cumple
5-Optimizado
14
Prueba,
mantenimiento y
revisin de los
planes de
continuidad de
negocio
1-Inicial/adHoc
CUMPLIMIENTO DE LAS POLTICAS Y NORMAS DE SEGURIDAD

06/06/2013 Edicin 6.0

Pgina 111 de 136
ISO/IEC 27001:2005
IT-Consulting
Proteccin de las
herramientas de
auditora de
sistemas de
informacin
AUDIT
Cumple
En la realizacin de las auditoras se ha

seleccionado el mbito y los controles
necesarios para minimizar el riesgo de las
interrupciones. No existe documento general
pero se prepara un contrato con cada auditora.
AUDIT
Todas las herramientas de auditora estn

especialmente protegidas y slo son accesibles
para los administradores/auditores.
Cumple
15
Controles de
auditora de los
sistemas de
informacin
5-Optimizado
15
CONSIDERACIONES SOBRE LAS AUDITORIAS DE LOS SISTEMAS DE

INFORMACIN
4-Gestionado y
evaluable
15
54- Fihas e NO on'o(miaes % obse($aiones

Fiha No on'o(miaes Poltia e segu(ia
No se identifican NO Conformidades de este dominio.
Fiha No on'o(miaes O(ganizain e la segu(ia % la in'o(main

Organizacin de la seguridad y la informacin
NC Mayor: 1
NC Menor: 2
Descripcin de la no-conformidades:
6.1.4: Se identifican recursos de tratamiento de informacin que no tienen definidos
formalmente el proceso de autorizacin por parte de la Direccin.
6.1.7: No se evidencian contactos con grupos de inters especial, foros o asociaciones
especializadas con la seguridad.
6.2.3: Se evidencian contratos con terceros que conllevan tratamiento de informacin que no
contienen clusulas NDA
Prrafos de la norma: 6.1.4, 6.1.7 y 6.2.3
Documentos SGSI: N/A
Accin correctora propuesta:

Analizar los recursos de tratamiento de informacin y establecer el proceso de autorizacin
por parte de la Direccin para aquellos para los cuales no estn definidos.
Establecer contactos con grupos de especial inters, foros o boletines de noticias
especializados con la seguridad, algunas recomendaciones: HISPASEC, INTECO, etc.
06/06/2013 Edicin 6.0

Pgina 112 de 136
ISO/IEC 27001:2005
IT-Consulting
Revisar todos los contratos que impliquen tratamiento de informacin y comprobar que
cumplen los requisitos de seguridad. En caso necesario incluir los anexos necesarios firmados
por ambas partes.
Fiha No on'o(miaes Gestin e ati$os

Gestin de activos
NC Mayor: 0
NC Menor: 2
7.1.2: Aunque todos los activos tienen identificado un propietario en algunos casos no se
puede asignar la responsabilidad a una persona o entidad. Se evidencian identificaciones de
propietarios difusas.
7.2.2: No se identifica una poltica formal y clara del etiquetado y manipulado de la
informacin, aunque se evidencian clusulas de privacidad y confidencialidad en la mayora
de documentacin
Prrafos de la norma: 7.1.2 y 7.2.2
Documentos SGSI: Listado de activos

Siempre que sea posible asignar una persona fsica como propietario de los activos, en caso
de no ser posible identificar claramente la entidad que tiene esta responsabilidad.
Elaborar una poltica de clasificacin de la informacin, revisar el etiquetado aplicado y
realizar las modificaciones del etiquetado adecundola a la poltica de clasificacin.
Fiha No on'o(miaes egu(ia ligaa a los RRHH
NC Mayor: 2
NC Menor: 0
8.2.2: No se identifican evidencias de la formacin y concienciacin de los empleados y/o
terceros respecto la seguridad de la informacin.
8.2.3: No se evidencia proceso disciplinario formal para los empleados que hayan provocado
06/06/2013 Edicin 6.0

Pgina 113 de 136
ISO/IEC 27001:2005
IT-Consulting
alguna violacin de seguridad.

Prrafos de la norma: 8.2.2 y 8.2.3

Elaborar un plan de formacin respecto la seguridad de la informacin y recopilar evidencias
de la implementacin del mismo.
Elaborar y formalizar los procesos disciplinarios en caso de incumplimiento de las normas de
seguridad. Comunicar a empleados y terceras partes (recopilar evidencias).
Fiha No on'o(miaes egu(ia 'sia % ambiental

Seguridad fsica y ambiental
NC Mayor: 2
NC Menor: 1
9.2.5: Los equipos y dispositivos que se utilizan fuera de las instalaciones no tienen asignadas
medidas de seguridad adicionales a los que se utilizan en las instalaciones.
9.2.6: No se evidencia ningn procedimiento formal para la reutilizacin o retirada segura de
equipos. Los equipos se retiran y se guardan en un almacn sin tomar medidas adicionales.
9.2.7: La organizacin no tiene ningn control sobre los equipos y/o dispositivos que se sacan
fuera de la organizacin. El ejemplo ms claro son los porttiles y dispositivos mviles.

Elaborar una poltica de seguridad ms estricta para los equipos que se utilizan fuera de las
instalaciones y se debera acompaar de una gua de uso y buenas prcticas para los usuarios
que los utilizan.
Establecer un procedimiento formal de reutilizacin y retirada de equipos y recopilar
evidencias de su uso.
Identificar a los empleados y terceras partes que trabajan fuera de la oficina, inventariar sus
activos y controlar su entrada/salida. Establecer controles tecnolgicos para evitar un uso
indebido.
06/06/2013 Edicin 6.0

Pgina 114 de 136
ISO/IEC 27001:2005
IT-Consulting
Fiha No on'o(miaes Gestin e las omuniaiones % oe(aiones

Gestin de las comunicaciones y operaciones
NC Mayor: 2
NC Menor: 2
10.7.1: Se evidencia la aplicacin de ninguna medida de control sobre los soportes pticos
(CDROM, DVDROM, etc.). Se localizan discos pticos no almacenados bajo control
adicionalmente no existe ningn inventario de este tipo de soportes.
10.7.2: No existe una poltica de reutilizacin y/o retirada de soportes. Asimismo se constata
que las estaciones de trabajo retiradas no tienen los discos duros borrados.
10.8.2: Se evidencia la carencia de una poltica clara de intercambio de informacin, no todos
los contratos que conllevan el intercambio de informacin incluyen clusulas para su
proteccin.
10.10.1: Existen registros de auditoria pero los periodos de retencin e informacin contenida
en algunos casos no corresponde con la necesaria. No existe una poltica clara de gestin de
registros de auditoria.
Prrafos de la norma: 10.7.1, 10.7.2, 10.8.2 y
10.10.1

Se deberan aplicar las mismas medidas de gestin aplicadas a los soportes magnticos que a
los soportes pticos.
Establecer una poltica de retirada de soportes y recoger evidencias de su aplicacin.
Identificar los intercambios de informacin e asegurar que se establecen acuerdos para su
tratamiento, ya sea por medio de contratos, procedimientos, normas, etc.
Identificar los requisitos necesarios para la gestin de registros de auditora y establecer una
poltica de uso, retencin y supervisin.

06/06/2013 Edicin 6.0

Pgina 115 de 136
ISO/IEC 27001:2005
IT-Consulting
Fiha No on'o(miaes Cont(ol e aeso

Control de acceso
NC Mayor: 3
NC Menor: 1
11.2.4: No hay evidencias de ningn proceso formal de revisin de derechos usuarios por
parte de la Direccin.
11.5.2: Se evidencia el uso de usuarios genricos utilizados por varias personas al mismo
tiempo.
11.7.1: No existe una poltica formal especfica para la proteccin de los ordenadores
porttiles y comunicaciones mviles.
11.7.2: Se evidencia la existencia de empleados que realizan teletrabajo pero no existe una
poltica de actividades especfica para el teletrabajo.
Prrafos de la norma: 11.2.4, 11.5.2, 11.7.1 y
11.7.2

Establecer un proceso formal, al menos trimestral, de revisin de derechos de accesos de
usuarios por parte de la Direccin.
Eliminar / bloquear los usuarios genricos. Se debera asignar a todo el personal usuarios
personales y asegurar una entrega correcta de la contrasea.
Analizar los riesgos que conllevan los ordenadores porttiles y comunicaciones mviles y
establecer una poltica especfica para la proteccin de estos dispositivos.
Identificar las actividades autorizadas para el teletrabajo y establecer una poltica formal para
llevarla a cabo.
Fiha No on'o(miaes Aquisiin" esa((ollo % mantenimiento e I

Adquisicin, desarrollo y mantenimiento de SI.
NC Mayor: 2
NC Menor: 3
06/06/2013 Edicin 6.0

Pgina 116 de 136
ISO/IEC 27001:2005
IT-Consulting
12.2.3: No existen evidencias de la identificacin de requisitos para garantizar la autenticidad

e integridad de los mensajes.
12.2.4: No existen evidencias de la aplicacin de mtodos de validacin de los datos de salida.
12.3.1: No existe ninguna poltica del uso de controles criptogrficos aunque si se evidencia el
uso de este tipo de tecnologa en algunos productos puntuales.
12.3.2: Dado que no existe ninguna poltica de uso de tcnicas criptogrficas tampoco existe
una gestin clara de las claves.
12.4.2: Los datos de pruebas de tratan de igual manera que los datos reales.
Prrafos de la norma: 12.2.3, 12.2.4, 12.3.1,
12.3.2 y 12.4.2

Identificar y seleccionar una tecnologa criptogrfica y establecer una poltica formal sobre su
uso y gestin de claves.
Los datos de pruebas estn accesibles a personas o terceras partes no controladas, se
deberan tomar medidas especiales para proteger los datos de pruebas: autorizaciones
independientes, borrado tras uso, pruebas de auditora, etc.
Fiha No on'o(miaes Gestin e inienias e la segu(ia e la

in'o(main
Gestin de incidencias de la seguridad de la informacin
NC Mayor: 1
NC Menor: 2
13.1.1: Se evidencia un proceso para la notificacin de incidencias de seguridad pero no existe
documentacin sobre el sistema de notificacin de incidencias. Tampoco est notificado a los
usuarios el objeto del mismo.
13.2.2: Se evidencia la notificacin y gestin de los eventos de seguridad pero no se realizan
anlisis post-morten de los incidentes. Tampoco se reflexiona sobre el coste del incidente y
como evitarlo en un futuro.
13.2.3: No existe ningn procedimiento de recopilacin de evidencias en caso de incidentes
06/06/2013 Edicin 6.0

Pgina 117 de 136
ISO/IEC 27001:2005
IT-Consulting
de seguridad que implique acciones legales.


Comunicar a los usuarios el objetivo y funcin de la notificacin de incidencias de seguridad;
documentar la herramienta, su uso y finalidad.
Establecer un procedimiento de gestin de incidentes post-morten (evaluacin de costes y
mejora continua).
Establecer un procedimiento de recopilacin de evidencias, es recomendable que este
servicio se realice por personal altamente cualificado y con experiencia.
Fiha No on'o(miaes Gestin e la ontinuia el negoio

Gestin de la continuidad del negocio
NC Mayor: 4
NC Menor: 1
No se est gestionando la continuidad del negocio con ningn tipo de plan o procedimiento.
Prrafos de la norma: N/A

Elaborar un proyecto de implantacin de la gestin de la continuidad del negocio.
Fiha No on'o(miaes Cumlimiento
NC Mayor: 1
NC Menor: 0
15.2.1: No existen evidencias de la revisin peridica por parte de la Direccin de los
procedimientos de seguridad dentro de su rea de responsabilidad.

06/06/2013 Edicin 6.0

Pgina 118 de 136
IT-Consulting
ISO/IEC 27001:2005
Prrafos de la norma: 15.2.1

Elaborar un checklist de procedimientos de seguridad por rea de trabajo y asignar un
responsable de revisin. Recopilar evidencias de su verificacin.
55- P(esentain e (esultaos

55- Estao e mau(ez e los ont(oles

06/06/2013 Edicin 6.0

Pgina 119 de 136
IT-Consulting
ISO/IEC 27001:2005
552- G(&'io (aa( ni$el mau(ez
5.- Poltica de
seguridad.
100
90
80
70
60
50
40
30
20
10
0
15.- Cumplimiento.
14.- Gestin de la
continuidad del
negocio.
13.- Gestin de
incidencias de la
seguridad de la
12.- Adquisicin,
desarrollo y
mantenimiento de
11.- Control de
acceso.
6.- Organizacin de
la seguridad y la
informacin.
7.- Gestin de
activos.
Actual
a los RRHH.
Objetivo
9.- Seguridad fsica

y ambiental.
10.- Gestin de las
comunicaciones y
operaciones.
553- Resumen e NO-Con'o(miaes ominios

No on'o(miaes
Dominio
Ma%o(es Meno(es
12.- Adquisicin, desarrollo y mantenimiento de SI.
13.- Gestin de incidencias de la seguridad de la informacin.
15.- Cumplimiento.
17
15
Total
Se entienden como disconformidades mayores (CMM = L0-L1) y disconformidades menores (CMM= L2-L3).
06/06/2013 Edicin 6.0

Pgina 120 de 136
IT-Consulting
ISO/IEC 27001:2005
554- G(&'io (aa( umlimiento ominios

5.- Poltica de
seguridad.
100
15.- Cumplimiento.
80
14.- Gestin de la
continuidad del
negocio.
60
13.- Gestin de
incidencias de la
seguridad de la
12.- Adquisicin,
desarrollo y
mantenimiento de
11.- Control de
acceso.
40
6.- Organizacin de
la seguridad y la
informacin.
7.- Gestin de
activos.
20
Actual
a los RRHH.
Objetivo
9.- Seguridad fsica

y ambiental.
10.- Gestin de las
comunicaciones y
operaciones.
56- Conlusiones
Tras finalizar la auditora de cumplimiento ISO/IEC 27002:2005 observamos que la
organizacin ha experimentado una importante mejora en la seguridad de la informacin
respecto su posicin inicial aunque todava se identifican dominios con niveles de madurez
muy bajos a los que deberan dedicarse esfuerzos para obtener un mejor resultado general.
Un 54% de los controles se mantienen en niveles de madurez L5 y L4, un 33% en niveles de L3L2 y un 13% en niveles de L1-L0, esto datos demuestran que la organizacin est a medio
camino de obtener un estado maduro de la seguridad de la informacin y que existen un
nmero elevado controles (13%) que no estn definidos o que se encuentran en un estado
inicial.
Respecto a la situacin de los controles por dominios, evidenciamos un elevado nivel de
madurez en los dominios de Poltica de seguridad, Seguridad Fsica y Ambiental, Gestin de las
operaciones y comunicaciones y control de acceso; todos ellos por encima del 75% de
madurez. Pero por el contrario dominios con un bajo control de madurez o simplemente
deficientes como por ejemplo: Gestin de incidencias de seguridad y Gestin de la continuidad
del negocio, este ltimo de vital importancia para obtener la continuidad del negocio en caso
de incidente. Se recomienda tomar medidas inmediatas para mejorar estos dos dominios,
06/06/2013 Edicin 6.0

Pgina 121 de 136
IT-Consulting
ISO/IEC 27001:2005
pilares bsicos del SGSI, ya que sin ellos no se podr evidenciar el buen funcionamiento del
SGSI. El resto de dominios se encuentran en un nivel de madurez intermedio y requieren
potenciar su eficiencia para mejorar su posicionamiento.
Durante la auditora se han identificado 17 No-conformidades-Mayores y 15 Noconformidades-menores, limitando las conformidades a una por control lo que evidencia que
32 controles (32/133 = 24%) de nuestro SGSI no estara apto de superar una auditora real.
Entre los dominios ms afectados, la Gestin de la continuidad del negocio y el Control de
acceso; y entre los mejores posicionados la Poltica de la seguridad de la informacin y el
dominio de Cumplimiento.
Se recomienda a la organizacin fortalecer el proceso de mejora continua para mejorar el
funcionamiento de los controles ms dbiles y tomar acciones rpidas y contundentes sobre el
dominio de la Gestin de la continuidad sin lugar a dudas vital para la supervivencia de la
empresa en caso de desastre.

06/06/2013 Edicin 6.0

Pgina 122 de 136
IT-Consulting
ISO/IEC 27001:2005
Catulo 6
Resumen e#euti$o
La informacin gira en torno a nuestras vidas y al desarrollo de las organizaciones, ambos
necesitamos la informacin para ser competitivos, lograr objetivos, obtener ventajas y para
simplemente continuar con la actividad diaria. La informacin es imprescindible en la sociedad
en la que nos encontramos, en el siglo XXI el concepto ha cambiado y actualmente podemos
hablar de la sociedad de la informacin. Como es evidente la concepcin de empresa tambin
se ha transformado, nos encontramos en un mercado globalizado donde las
telecomunicaciones son muy importantes, las transacciones y el comercio electrnico han
crecido considerablemente, lo que ha supuesto que muchas empresas se conciencien
incluyendo el manejo de la tecnologa de la informacin (TI) en sus programas directivos.
La informacin es un activo que, como otros activos importantes de la empresa, es esencial
para las operaciones de la organizacin, y en consecuencia necesita ser adecuadamente
protegida. ISO 27002:2005.
La informacin se presenta en una organizacin en distintos medios (papel, almacenada
electrnicamente, trasmitida, etc.) y tiene importantes propiedades que se deben mantener:
disponibilidad, integridad y confidencialidad.
Es evidente que las organizaciones se enfrentan a amenazas (internas y externas) y
vulnerabilidades como por ejemplo: espionaje, sabotaje, vandalismo, incendios, etc.; por todo
ello aparece la necesidad de la seguridad de la informacin, rea que nos permitir protegerla
adecuadamente para que nuestra organizacin pueda mantener su competitividad,
rentabilidad y en general su existencia en la sociedad. Si la seguridad de la informacin fallara
o no se aplicara correctamente podramos tener distintos impactos en nuestra organizacin,
como por ejemplo: prdidas financieras, denuncias de las autoridades, prdidas de clientes,
prdida de cuota de mercado, interrupcin de las operaciones, dao en la imagen, etc.
Una las normas internacionalmente aceptadas para llevar a cabo nuestro objetivo es ISO/IEC
27000: conjunto de normas y estndares que proporcionan un marco de gestin de la
seguridad de la informacin aplicable a cualquier organizacin. Por ello consideramos
importante el estudio y anlisis de la norma para poder aplicarla correctamente en las
organizaciones que gestionemos, sin lugar a dudas la aplicacin de la misma en la organizacin
mejorar su competitividad, imagen y seguridad.
06/06/2013 Edicin 6.0

Pgina 123 de 136
IT-Consulting
ISO/IEC 27001:2005
La buena gestin de los sistemas de informacin es el camino al xito de una empresa.

Este trabajo tiene objetivo principal la implementacin de la ISO/IEC 27001:2005 en una
organizacin de tamao mediano dedicada al sector TIC para el turismo. En las primeras fases
se ha descrito y contextualizado la organizacin sobre la que se ha trabajado y a continuacin
se ha elaborado un anlisis diferencial. En este se ha observado que la organizacin cuenta
amplios conocimientos de las tecnologas de la informacin y con intencin de mejorar su
sistema de gestin de la seguridad pero no est preparada para superar una certificacin
oficial de la norma ISO/IEC 27001:2005 y donde sus grandes debilidades: son el apoyo y
concienciacin de la direccin, el establecimiento de normas, polticas y procedimientos de
seguridad bajo una criterio comn y la falta de personal cualificado.
En la siguiente fase se ha desarrollado el sistema de gestin documental elaborando
documentos tan importantes como la Poltica de seguridad, Gestin de indicadores,
metodologa de anlisis de riesgos, etc. La empresa no contaba con ninguno de los
documentos elaborados en este captulo, evidencia que demostraba su fuerte debilidad a la
formalizacin de polticas, metodologas y procesos de seguridad. Este apartado ha sido vital
para proporcionar una fuerte base para la implementacin de la ISO/IEC 27001:2005.
A continuacin se ha elaborado el anlisis de riesgos de la organizacin, punto de partida
imprescindible para desarrollar un SGSI. Los resultados demuestran importantes amenazas
provenientes del factor humano por errores y/o desconocimiento e identifica los activos
crticos de la organizacin (aplicaciones core). Este output es el ms importante input para el
plan estratgico de seguridad.
Una vez identificadas las amenazas, los activos crticos y realizado el clculo de riesgos ha sido
necesario elaborar el plan estratgico de seguridad, vital para mejorar y evolucionar la
seguridad de la organizacin. La mayora de estos proyectos orientados a solucionar los
problemas ms graves de seguridad y a reducir los riesgos evidenciados. Entre estos proyectos
el ms destacable: Continuidad y recuperacin del negocio. Para finalizar este apartado se ha
realizado una simulacin de mejoras para identificar los beneficios que obtendra la
organizacin en caso de llevarlos a cabo.
Y finalmente hemos concluido el trabajo con una auditora de la organizacin tomando como
referente la norma ISO/IEC 27002:2005 y de esta manera evidenciar las mejoras obtenidas y
detectar las no conformidades no superadas. Con su resultado se evidencia la necesidad de
llevar a cabo los proyectos planteados y continuar trabajando en el SGSI.

06/06/2013 Edicin 6.0

Pgina 124 de 136
IT-Consulting
ISO/IEC 27001:2005
Cibliog(a'a
Normas UNE ISO/IEC 27001:2005, AENOR.
Normas UNE ISO/IEC 27002:2005, AENOR.
Anlisis GAP ISO/IEC 27002:2005. Adhoc Security. Tristan Ramaget.
Chequeo de cumplimiento ISO/IEC 27001:2005 por Vinod Kumar.
(Material didctico curso Aenor S0-B) Especialista implantador de sistemas de gestin de la
seguridad de la informacin. AENOR Formacin.
Normas ISO de la seguridad de la informacin. Carlos Ormella Meyer.
ISO/IEC 27000: Implantacin y certificacin. TFC JP Nieto Muoz.
Implantacin de la LOPD en la PYMEM. TFC JP Nieto Muoz.
Sistema de gestin de la seguridad de la informacin. UOC. Daniel Cruz / Silvia Garre.
Enfoque metodolgico de auditora a las tecnologas de informacin y comunicaciones.
OLACEFS. Carlos Yaes de la Melena / Sigfrid Enrique Ibsen Muoz

06/06/2013 Edicin 6.0

Pgina 125 de 136
ISO/IEC 27001:2005
IT-Consulting
Ane!os
Ane!o A Poltia e segu(ia
Control de versiones.
Fecha
Versin
Autor
Revisin
19/MAR/13
0.1
JPNietoMuoz Creacin poltica de seguridad.
A- Int(ouin
La prdida o uso indebido de informacin confidencial y/o sensible as como el deterioro o
indisponibilidad de los Sistemas de Informacin pueden causar la interrupcin total o parcial
de los procesos de negocio de nuestra organizacin, produciendo efectos negativos sobre la
productividad, beneficios, calidad del servicio e imagen de la entidad.
Garantizar la confidencialidad, integridad y disponibilidad de la informacin, as como
minimizar la probabilidad de que los riesgos a los que est expuesta nuestra organizacin se
manifiesten es el propsito que persigue la definicin de las Directrices generales de
Seguridad.
El mbito de aplicacin de las Directrices Generales de Seguridad alcanza a todos los Sistemas
de Informacin, instalaciones informticas y redes de comunicaciones que se encuentren bajo
la gestin y responsabilidad de la organizacin.
El Responsable de Seguridad se compromete a implantar y actualizar esta normativa de
obligado cumplimiento. Todas las personas que tengan acceso a los sistemas de informacin se
encuentran obligadas a cumplir lo establecido en este documento, y sujetas a las
consecuencias que pudieran incurrir en caso de incumplimiento.
Las medidas de seguridad presentadas en esta poltica de seguridad afectan a toda la
organizacin y deben ser comprendidas, cumplidas y observadas por todo el personal. Esto
incluye a las terceras partes (clientes, proveedores, colaboradores, etc.) que pudieran emplear
los sistemas de informacin de la organizacin.
Recordemos que estas directrices como el resto de normas, procedimientos, estndares o
cualquier documento relacionado con la seguridad de la informacin y los datos que tratan
tienen un carcter confidencial y slo est permitida su uso y difusin con carcter interno y
por personal autorizado.

06/06/2013 Edicin 6.0

Pgina 126 de 136
IT-Consulting
ISO/IEC 27001:2005
A2- Funiones % obligaiones el e(sonal

En este apartado se recogen las funciones y obligaciones para el personal con acceso a los
Sistemas de Informacin de esta organizacin. La definicin de las funciones y obligaciones del
personal tienen como objeto:
Proteger los Sistemas de informacin y las redes de comunicacin propiedad de la
organizacin o bajo su responsabilidad, contra el acceso o uso no autorizado, alteracin
indebida, destruccin, mal uso o robo.
Proteger la informacin perteneciente o proporcionada a la organizacin, contra
revelaciones no autorizadas o accidentales, alteracin, destruccin o mal uso.
A efectos de garantizar el cumplimiento de estas obligaciones, independientemente de su
funcin y responsabilidad, la entidad exige con carcter general a cualquier empleado el
cumplimiento de los siguientes aspectos:
-
Confidencialidad de la informacin.
Propiedad intelectual.
Control de acceso fsico.
Salidas de informacin.
Incidencias.
Uso apropiado de los recursos.
Software.
Hardware.
Conectividad a Internet.
Correo electrnico.
A.2.1.- Confidencialidad de la informacin.

Se debe proteger la informacin, propia o confiada a la organizacin, evitando un uso
indebido o su envo no autorizado al exterior a travs de cualquier medio de comunicacin.
Se deber guardar mxima reserva, por tiempo indefinido, la informacin,
documentos, metodologas, claves, anlisis, programas y el resto de informacin a la que se
tenga acceso.

06/06/2013 Edicin 6.0

Pgina 127 de 136
IT-Consulting
ISO/IEC 27001:2005
En caso de tratar con informacin confidencial, en cualquier tipo de soporte, se deber

entender que la posesin de esta es temporal, con obligacin de secreto y sin que ello le
concediera derecho alguno de posesin, titularidad o copia sobre esta. Inmediatamente
despus de la finalizacin de las tareas que hubieran originado el uso, debera devolverse a la
entidad.
A.2.2.- Propiedad Intelectual.
Queda totalmente prohibido en los Sistemas de Informacin de la organizacin:
El uso de aplicaciones informticas sin la correspondiente licencia. Los programas
informticos propiedad de la organizacin estn protegidos por la propiedad intelectual y por
lo tanto est prohibida su reproduccin, modificacin, cesin o comunicacin sin autorizacin.
El uso, reproduccin, modificacin, cesin o comunicacin de cualquier otro tipo de
obra protegida por la propiedad intelectual sin debida autorizacin.
A.2.3.- Control de acceso fsico.
Las normas en cuanto al acceso fsico a las instalaciones de la organizacin que albergan los
Sistemas de Informacin y los locales de tratamiento son las siguientes:
El acceso a las instalaciones donde se encuentran los Sistemas de Informacin y los
locales de tratamiento, se realizar previo paso por un sistema de control de acceso fsico o
con autorizacin del responsable de las instalaciones.
A.2.4.- Salidas de informacin.
Toda salida de informacin de datos de carcter personal (en soportes informticos o sistemas
de informacin) deber ser realizada por el personal autorizado y ser necesario autorizacin
formal del Responsable del Fichero del que provienen los datos.
En la salida de informacin de nivel alto / confidencial se debern cifrar los mismos o utilizar
cualquier otro mecanismo que no permita el acceso o su manipulacin durante el transporte.
A.2.5.- Incidencias.
El personal de la organizacin y terceras partes (clientes, proveedores, etc.) tienen como
obligacin comunicar cualquier incidencia que se produzca y est relacionada con los sistemas
de informacin o cualquier otro recurso informtico de la entidad.
La comunicacin, gestin y resolucin de las incidencias de seguridad se realizarn mediante el
sistema de gestin de incidencias habilitado por la organizacin. Toda esta informacin est
recogida en el captulo Notificacin y gestin de incidencias.
A.2.6.- Uso apropiado de los recursos.
Los recursos informticos ofrecidos por la organizacin (datos, software, comunicaciones, etc.)
estn disponibles exclusivamente para cumplir con las obligaciones laborales y con una
06/06/2013 Edicin 6.0

Pgina 128 de 136
IT-Consulting
ISO/IEC 27001:2005
finalidad corporativa. Por lo tanto, queda terminantemente prohibido cualquier uso distinto al
indicado, algunos ejemplos:
El uso de los recursos de la organizacin o aquellos que estn bajo su supervisin para
actividades no relacionadas con la finalidad de la entidad.
El uso de equipos, dispositivos o aplicaciones que no estn especificados como parte
de software y/o hardware contenidos en la organizacin.
Introducir en los sistemas de informacin o red corporativa contenidos ilegales,
inmorales u ofensivos y en general, sin utilidad para los procesos de negocio de la
organizacin.
Introducir voluntariamente programas, virus, spyware o cualquier otro software
malicioso que sean susceptibles de causar alteraciones en los recursos informticos de la
organizacin o de terceros.
Desactivar o inutilizar los programas antivirus y de proteccin del equipo (pe. Firewall)
y sus actualizaciones.
Intentar eliminar, modificar, inutilizar los datos, programas o cualquier otra
informacin propios de la organizacin o confiados a ella.
Conectarse a la red corporativa a travs de otros medios que no sean los definidos y
administrados por la empresa.
-
Intentar falsear los registros de software (logs) de los sistemas de informacin.
Intentar descubrir o descifrar las claves de acceso o cualquier otro elemento de

seguridad que intervenga en los procesos telemticos de la organizacin.
A.2.7.- Software.
Los usuarios deben utilizar nicamente las versiones de software facilitadas por la
organizacin y seguir sus normas de utilizacin.
El servicio de informtica (o en su defecto el encargado de su funcin) es el
responsable de definir los programas de uso estandarizado en la organizacin y de realizar las
instalaciones en los PCs.
-
Los usuarios no deben instalar ni borrar ningn tipo de programa informtico en su PC.

06/06/2013 Edicin 6.0

Pgina 129 de 136
IT-Consulting
ISO/IEC 27001:2005
A.2.8.- Hardware.
Los usuarios, en su actividad laboral, deben hacer uso nicamente del hardware
instalado en los equipos propiedad de la organizacin y cuya funcin lo requiera para el
trabajo que desempea.
El usuario en ningn caso acceder fsicamente al interior del equipo que tiene
asignado para su trabajo o que pertenezca a la propiedad de la organizacin. En caso necesario
se comunicar la incidencia, segn protocolo habilitado, para que el departamento indicado (o
en su defecto el encargado de su funcin) realice las tareas de reparacin, instalacin o
mantenimiento.
Los usuarios no manipularn los mecanismos de seguridad que la organizacin
implemente en los dispositivos (equipos, porttiles, mviles, smartphones, etc.) de su parque
informtico.
No sacar equipos, dispositivos o soportes de las instalaciones sin la autorizacin
necesaria, y en todo caso, con los controles y medidas que se hayan establecido para cada
supuesto.
A.2.9.- Conexin a Internet.
La autorizacin de acceso a Internet se podra conceder o bloquear de manera acorde con la
labor que los usuarios desempean en la organizacin. Los accesos a Internet podran estar
regulados y controlados por el servicio de informtica de la entidad (o en su defecto el
encargado de su funcin).
El acceso a Internet se realiza exclusivamente a travs de la red establecida para ello y
por los medios facilitados por la organizacin.
El uso de Internet es un servicio que la organizacin pone a disposicin de los usuarios
para un uso estrictamente profesional en las tareas asignadas en la organizacin.
La transferencia de datos a/desde Internet se realizar exclusivamente cuando las
actividades propias del trabajo lo exijan. En el caso de tratarse de datos de carcter personal
de nivel alto slo se podrn transferir en forma cifrada.
A.2.10.- Correo electrnico.
Las normas referentes al correo electrnico son:
El servicio de correo electrnico (o cuentas de correo) que la organizacin pone a
disposicin de los usuarios tiene un uso estrictamente profesional y destinado a cubrir las
necesidades de su puesto.

06/06/2013 Edicin 6.0

Pgina 130 de 136
IT-Consulting
ISO/IEC 27001:2005
Queda terminantemente prohibido intentar leer, borrar, copiar o modificar mensajes

de correo electrnico de otros usuarios.
Los usuarios no deben enviar mensajes de correo electrnico de forma masiva o de
tipo piramidal con fines publicitarios o comerciales. En el caso que sea necesario, dada la
funcin del usuario, este tipo de mensajes se gestionarn con la direccin de la organizacin y
con el responsable de seguridad.
El servicio de informtica (o en su defecto el encargado de su funcin) velar por el uso
correcto del correo electrnico con el fin de prevenir actividades que puedan afectar a la
seguridad de los sistemas de informacin y de los datos.
A3- Monito(izain
Con el fin de velar por el uso correcto de los distintos sistemas de informacin de la
organizacin, as como garantizar la integridad, confidencialidad y disponibilidad de los datos
de la organizacin, la organizacin a travs de los mecanismos formales y tcnicos que
considere oportuno, podra comprobar, ya sea de forma peridica o cuando la situacin
tcnica lo requiera, la correcta utilizacin de los recursos de la organizacin por todo el
personal.
En el caso de apreciar un uso incorrecto de los recursos asignados al usuario (aplicaciones,
correo electrnico, conexin a Internet, etc.) se le comunicar la circunstancia y se le facilitar
la formacin necesaria para el uso correcto de los recursos.
En el caso de apreciarse mala fe en la utilizacin de los recursos informticos, la organizacin
podra ejercer las acciones legales que le amparen para la proteccin de sus derechos.
A4- Atualizaiones e las i(et(ies e segu(ia

Dada la evolucin de la tecnologa, de las amenazas de seguridad y las nuevas aportaciones
legales en la materia, la organizacin se reserva el derecho a modificar cualquiera de los
aspectos incluidos en este captulo Directrices de seguridad cuando sea necesario. Los
cambios realizados en esta sern divulgados a todas las personas de la organizacin y en
especial a aquellas que tengan acceso a los sistemas de informacin.
Es responsabilidad final de cada persona la lectura y conocimiento de las directrices aqu
expuestas.
A5- Poltia e usua(ios % ont(aseas

Todos los usuarios con acceso al sistema de informacin dispondrn de una
autorizacin de acceso compuesta de usuario y contrasea.

06/06/2013 Edicin 6.0

Pgina 131 de 136
IT-Consulting
ISO/IEC 27001:2005
Se usarn usuarios personales y se evitarn el uso de usuarios genricos (su uso slo
estar justificado cuando se pueda asociar su acceso con una nica persona).
El nombre de usuario y contrasea asignados a una persona se comunicarn de forma
verbal junto con una copia de las obligaciones del personal en materia de seguridad de la
informacin. La primera vez que la persona inicie sesin en el sistema deber modificar la
contrasea proporcionada para que esta slo sea conocida por l.
El almacenamiento de usuarios y contraseas se realizar utilizando los mecanismos
propios de los Sistemas Operativos y aplicaciones, de manera que estos no sean inteligibles y
preferentemente utilizando cifrado.
La longitud ser igual o superior a 6 caracteres alfabticos, numricos y especiales. Se
obligar el uso de la longitud mnima.
-
La vigencia mxima de las contraseas (caducidad) ser de 180 das.
El sistema inhabilitar, siempre que tecnolgicamente se permita, el acceso que

intente conectarse de forma consecutiva mediante identificadores y/o contraseas
incorrectas. El nmero mximo de intentos permitidos es 5.
A6- Aeso 'sio a las instalaiones

Este apartado tiene como objeto el control de acceso fsico a las instalaciones para prevenir el
acceso accidental, no autorizado de terceros a los datos, as como prevenir accidentes y daos
sobre los sistemas de informacin de la organizacin.
Los entornos a proteger sern los centros de procesamiento de datos (en el caso de que
existan), despachos o ubicaciones con ordenadores personales y/o servidores, armarios y
otras ubicaciones similares destinadas al tratamiento y almacenamiento de datos personales.
Slo el personal autorizado tendr el acceso permitido a los locales, instalaciones o
despachos donde se encuentren los sistemas de informacin con datos de carcter personal.
En el caso en donde su ubicacin sea una zona comn se bloquear el acceso a este mediante
las medidas oportunas.
La seguridad de los centros de tratamiento y almacenamiento de datos de carcter
personal sern responsabilidad del Responsable del Fichero y Responsable de Seguridad.
En las ubicaciones en donde no exista control de acceso fsico, las personas que
trabajan en el mismo y el personal de seguridad (si existe) deber controlar especialmente el
acceso de personas.

06/06/2013 Edicin 6.0

Pgina 132 de 136
ISO/IEC 27001:2005
IT-Consulting
Los equipos, soportes y documentos que contengan datos personales no sern sacados
de las dependencias sin autorizacin expresa del Responsable del Fichero tal y como indica la
poltica general de la organizacin.
Si los usuarios dejan su puesto desatendido debern guardar todos los soportes que
contengan datos personales (CD, DVD, documentos, expedientes, etc.) de forma que no
puedan ser accedidos por personas no autorizadas.
A7- Resonsabiliaes
En todo momento el Responsable de Seguridad velar por el cumplimiento de las normas
descritas en la Poltica de Seguridad y la legislacin vigente, y si detectan el incumplimiento de
las mismas, ya sea de forma deliberada o accidental, alertar a los causantes realizando un
seguimiento hasta asegurarse de que desaparece el problema.
En el caso de un incumplimiento deliberado, reincidente o de relevante gravedad se analizarn
las circunstancias pudiendo incurrir en la imputacin de una falta disciplinaria, leve, grave o
muy grave dependiendo de los hechos acontecidos. En tal caso, se adoptarn las medidas
previstas y se informar a las autoridades competentes.
A8- Resumen oltia segu(ia

El comit de direccin de la organizacin considera que la informacin y los sistemas del
negocio son activos estratgicos por lo que manifiesta su determinacin para mantener y
garantizar su seguridad.
Este documento denominado Poltica de Seguridad tiene como objeto proporcionar las
directrices bsicas para garantizar los sistemas de informacin de la empresa en base a los
criterios de confidencialidad, integridad y disponibilidad.
Alcance.
Dado su carcter de poltica es de obligado conocimiento y cumplimiento para toda la
organizacin y terceras partes (clientes, proveedores, asociados, etc.) que utilicen los sistemas
de informacin corporativos.
Especificaciones.
La Direccin de la organizacin concede un inters prioritario y el mximo apoyo a la
proteccin de la informacin por su carcter estratgico para el negocio y su continuidad.
Esta poltica tiene como objetivo preservar los tres componentes bsicos de la seguridad de la
informacin: Confidencialidad, Integridad y Disponibilidad; Y ser de aplicacin en todas las

06/06/2013 Edicin 6.0

Pgina 133 de 136
IT-Consulting
ISO/IEC 27001:2005
fases del ciclo de vida de la informacin, desde la generacin hasta su destruccin, as como
para los sistemas que la soportan: desde el anlisis hasta la explotacin y mantenimiento.
La Poltica debe ser comunicada fehacientemente a toda la Organizacin y otras partes
interesadas (clientes, proveedores, colaboradores, etc.).
La funcin de seguridad recae sobre el Comit de seguridad, que ser el encargado de
establecer las directrices y principios bsicos de seguridad, as como velar por su
cumplimiento.
Cada activo de informacin tendr asignado un responsable que ser el que velar por su
utilizacin y proteccin, asimismo todo usuario de los sistemas de informacin es responsable
del uso adecuado de los mismos y de cumplir con los controles y recomendaciones
establecidas.
La empresa tiene la obligacin de cumplir con la legislacin vigente en materia de proteccin y
seguridad de la informacin, por lo tanto debern identificarse las leyes aplicables en el
tratamiento y seguridad de la informacin as como establecer los mecanismos para
cumplirlas.
Formacin y concienciacin.
El mtodo ms efectivo para mejorar y mantener la seguridad es mediante la formacin
continuada, por ello se incluirn en los planes de formacin de la empresa cursos especficos
de seguridad acorde con los destinatarios. Asimismo se realizarn campaas de concienciacin
dirigida a todo el personal, proveedores y otras terceras partes.
Vigencia.
Esta poltica de seguridad est en vigencia desde el da de hoy y ser revisada al menos
anualmente.
Ane!o C P(oeimiento auito(ias inte(nas

La certificacin de una organizacin es la valoracin de los propios esfuerzos en la
implementacin del SGSI as como la oportunidad de ampliacin de mercado y diferenciacin
con respecto a la competencia. Recordemos que obtener la certificacin significa adherirse a
un estndar internacional de referencia ISO/IEC 27001:2005 demostrando la conformidad con
el mismo por medio de evidencias objetivas adems de demostrar la eficacia del SGSI. Aunque
el objetivo puede parecer sencillo debemos recordar que implica una serie de tareas que
requieren la asignacin de recursos y el compromiso de la direccin.

06/06/2013 Edicin 6.0

Pgina 134 de 136
IT-Consulting
ISO/IEC 27001:2005
Entre las tareas que se deben realizar para acceder y mantener la certificacin se incluye el
procedimiento de auditoras internas. Este apartado describe el procedimiento de auditoras
internas, que actuar de forma similar a los procesos de auditora externa de re-certificacin.
1.- Fase 1 - Auditora documental: Durante esta fase los auditores deben revisar la
documentacin del SGSI (segn lo previsto en el requerimiento 4.3.1 del estndar) para
comprobar si la organizacin cuenta con un sistema suficientemente maduro y completo como
para superar la fase 2. En esta fase los auditores revisan la poltica y el alcance del SGSI, el
anlisis de riesgos, la seleccin de controles y los procedimientos establecidos.
Con el resultado de estas valoraciones se prepara un informe en donde se recogern los
puntos fuertes y los puntos dbiles del SGSI as como las no conformidades halladas, con
indicacin de su gravedad. Existen tres tipos de hallazgos:
No conformidades mayores: indican un incumplimiento de requisito de la norma o del
SGSI, el auditor considera que pone en peligro la seguridad de la informacin de la
organizacin. Estas no conformidades deben estar resueltas antes de comenzar la fase 2.
No conformidades menores: son incumplimientos parciales o menores de la norma o
de alguna de las reglas internas. Debe estar como mnimo en fase de resolucin antes de llegar
a la fase 2.
Observaciones u oportunidades de mejora: son anotaciones que no requieren ser
tratadas de momento pero que en prximas auditoras puede ser revisado su estado para
determinar si la situacin ha empeorado.
2.- Fase 2 - Auditora de certificacin: En esta fase los auditores deben confirmar que la
organizacin cumple con las polticas, objetivos y procedimientos del SGSI y que estos son
eficaces. Para ello se realizarn pruebas de cumplimiento, es decir, se buscarn evidencias
objetivas del cumplimiento y eficacia de las normas establecidas por la organizacin. Algunos
ejemplos:
-
Revisin de los registros de incidencias, para comprobar que se gestionan.
Informes de pruebas de recuperacin, para comprobar que se realizan.
A continuacin se describe la normativa a aplicar para la realizacin de auditoras.

La organizacin establecer una auditora interna cada ao, que verificar el
cumplimiento de los requerimientos de la certificacin ISO.
Se realizarn auditoras externas cada tres aos, previas a las auditoras de recertificacin (al menos con 6 meses de antelacin). En estas auditoras se simular la auditora
de todo el SGSI como si de la entidad certificadora se tratase.
06/06/2013 Edicin 6.0

Pgina 135 de 136
IT-Consulting
ISO/IEC 27001:2005
El Responsable de Seguridad trasmitir el informe de auditora al comit de Seguridad.
Los informes de auditora sern analizados por el Responsable de Seguridad, que

tomar las medidas correctoras oportunas.
Los informes de las auditoras realizadas se depositarn y archivarn en la organizacin
junto a la documentacin relativa al SGSI. Esta documentacin quedar a disposicin de las
entidades de certificacin.

06/06/2013 Edicin 6.0

Pgina 136 de 136

Nieto - WP2013 - PlanImplementacionISO2007 VER ZZZZZZZ PDF

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Nieto - WP2013 - PlanImplementacionISO2007 VER ZZZZZZZ PDF

Încărcat de

Drepturi de autor:

Formate disponibile

IT-Consulting

Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx.

19/04/2013 Edicin 3.1

JPNietoMuoz Inicio del documento.

JPNietoMuoz Fase1 completada.

JPNietoMuoz Fase2 inclusin.

JPNietoMuoz Fase2 completada.

JPNietoMuoz Fase1 Revisin.

JPNietoMuoz Fase3 inclusin.

JPNietoMuoz Fase3 completada

JPNietoMuoz Fase4 inclusin.

JPNietoMuoz Fase4 completada.

JPNietoMuoz Fase5 inclusin.

JPNietoMuoz Fase5 completada.

JPNietoMuoz Fase6 inclusin.

JPNietoMuoz Fase6 completada

Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx.

06/06/2013 Edicin 6.0

06/06/2013 Edicin 6.0

2.6.2.- Funciones y obligaciones del personal. .................................................................... 47

06/06/2013 Edicin 6.0

Ficha No conformidades: Seguridad fsica y ambiental..................................................... 114

Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx.

06/06/2013 Edicin 6.0

ituain atual Conte!tualizain"

06/06/2013 Edicin 6.0

organizaciones que gestionemos, sin lugar a dudas la aplicacin de la misma en la organizacin

2- Ob#eti$os el (o%eto

Documentacin normativa sobre las mejores prcticas en la seguridad de la

Definicin clara de la situacin actual y de los objetivos del SGSI.

Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx.

06/06/2013 Edicin 6.0

TFM-MISTIC: Juan Pablo Nieto Muoz

Identificacin y valoracin de los activos corporativos como punto de partida a

Identificacin de amenazas, evaluacin y clasificacin.

Evaluacin del nivel de cumplimiento de la ISO/IEC 27002:2005 a una organizacin.

Propuestas de proyectos para conseguir una gestin de la seguridad ptima.

Como entregables del proyecto se presentarn los siguientes productos:

Informe del anlisis diferencial.

Esquema documental ISO/IEC 27001.

3- En'oque % selein e la em(esa

Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx.

06/06/2013 Edicin 6.0

Las funciones de cada rea son las siguientes:

06/06/2013 Edicin 6.0

normas necesarias para gestionar operativamente los servicios de la empresa (gestin de

06/06/2013 Edicin 6.0

- RRHH: (1) Responsable RRHH y (1) Tcnico RRHH

32- Valo(es e la o(ganizain

33- Ati$os e la o(ganizain

Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx.

06/06/2013 Edicin 6.0

Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx.

06/06/2013 Edicin 6.0

Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx.

TFM-MISTIC: Juan Pablo Nieto Muoz

Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx.

06/06/2013 Edicin 6.0

4- De'iniin e los ob#eti$os An&lisis i'e(enial IO/IEC 2700-27002

06/06/2013 Edicin 6.0

Plan Di(eto( e egu(ia

Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx.

06/06/2013 Edicin 6.0

ituain atual Conte!tualizain"

2- Ob#eti$os el (o%eto

3- En'oque % selein e la em(esa

32- Valo(es e la o(ganizain

33- Ati$os e la o(ganizain

4- De'iniin e los ob#eti$os An&lisis i'e(enial IO/IEC 2700-27002

Plan Di(eto( e egu(ia

5- An&lisis i'e(enial e la em(esa