Documente Academic
Documente Profesional
Documente Cultură
Plan de implementacin de la
ISO/IEC 27001:2005.
TFM-MISTIC: Juan Pablo Nieto Muoz
Este trabajo tiene como objetivo la
elaboracin de un plan de
implementacin de la ISO/IEC
27001:2005. Este plan incluir desde el
anlisis de la situacin actual hasta el
informe de cumplimiento de la auditora
de la norma.
Plan de
implementacin
de la ISO/IEC
27001:2005
MISTIC Mster
interuniversitario en la
Seguridad de las TIC.
Juan Pablo Nieto Muoz
Tutor: Arsenio Tortajada Gallego
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
Control de versiones.
Fecha
Versin
Autor
Revisin
11/MAR/13
0.1
15/MAR/13
1.0
20/MAR/13
2.0
28/MAR/13
2.1
04/ABR/13
2.2
08/ABR/13
3.0
19/ABR/13
3.1
25/ABR/13
3.2
09/MAY/13
3.3
14/MAY/13
4.0
24/MAY/13
4.1
03/JUN/13
5.0
06/JUN/13
6.0
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
nie
ndice ............................................................................................................................................. 3
Captulo 1....................................................................................................................................... 6
Situacin actual: Contextualizacin, objetivos y anlisis diferencial............................................. 6
1.1.- Introduccin al proyecto. .................................................................................................. 6
1.2.- Objetivos del proyecto. ..................................................................................................... 7
1.3.- Enfoque y seleccin de la empresa. .................................................................................. 8
1.3.1.- Descripcin actual de la empresa............................................................................... 8
1.3.1.- Organigrama. .............................................................................................................. 9
1.3.2.- Valores de la organizacin........................................................................................ 11
1.3.3.- Activos de la organizacin. ....................................................................................... 11
1.4.- Definicin de los objetivos: Anlisis diferencial ISO/IEC 27001-27002 y Plan Director de
Seguridad. ................................................................................................................................ 15
Plan Director de Seguridad. ................................................................................................. 16
1.5.- Anlisis diferencial de la empresa. .................................................................................. 17
1.5.1.- Anlisis diferencial detallado.................................................................................... 17
1.5.2.- Resumen anlisis diferencial. ................................................................................... 34
1.6.- Planificacin del proyecto. .............................................................................................. 35
Captulo 2..................................................................................................................................... 37
Sistema de gestin documental .................................................................................................. 37
2.1.- Introduccin. ................................................................................................................... 37
2.2.- Poltica de seguridad. ...................................................................................................... 37
2.3.- Procedimiento de auditoras internas. ............................................................................ 37
2.4.- Gestin de indicadores. ................................................................................................... 37
2.5.- Procedimiento de revisin de la direccin. ..................................................................... 45
2.6.- Gestin de roles y responsabilidades. ............................................................................. 46
2.6.1.- Comit de seguridad. ............................................................................................... 46
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx.
Confidencial y Privado | Confidential and Proprietary
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
Catulo
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
Anlisis de riesgos.
Plan de implementacin de la
ISO/IEC 27001:2005
IT-Consulting
Esquema documental.
Anlisis de riesgos.
Plan de proyectos.
Auditora de cumplimiento.
Presentacin de resultados.
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
Durante los tres ltimos aos ha obtenido ganancias y quieren aprovechar la situacin actual
para mejorar su gestin interna y optimizar los costes. Asimismo desean ampliar su cartera de
clientes e incorporar nuevos servicios y productos a su catlogo (por ejemplo: desarrollos en
plataformas mviles, servicios de marketing online, incentivar el I+D sector turismo, etc.)
3- O(ganig(ama
En este apartado incluimos el organigrama de la empresa.
Direccin general
PMO
Explotacin de
Sistemas
Infraestructura de
Sistemas y
comunicaciones
Areo
Administracin de
Sistemas
Sistemas
Corporativo
Administracin de
aplicaciones
Comunicaciones
Hoteles
Operaciones
Infraestructuras
Mayorista
Servicios Tcnicos
Gestin de cuentas
Desarrollo de
Software
Minorista
PersonasMarketing
Receptivo
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
Desarrollo de software.
Proyectos de Sistemas y Comunicaciones.
Servicios TI (Hosting, API, Servicios Reservas, etc.)
I+D Turismo.
Capital humano.
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
G(uo
Empleados
Des(iin
Directores
Secretarias
Responsables
Coordinadores
Gestores de cuenta
Consultores
Jefes de Proyecto
Arquitectos
Analistas
Programadores
Administradores de sistemas
Tcnicos de Sistemas
Tcnicos de Aplicaciones
Operadores
Tcnicos SSGG
Uniaes
4
1
6
4
7
1
18
3
15
30
5
5
10
5
3
Total
117
Hardware.
G(uo
Hardware
Tio
Equipos Oficinas
Impresoras Oficinas
Dispositivos Red
Des(iin
Porttiles Direccin-Responsables
Porttiles Comerciales
Tabletas 10" Direccin
Equipos Desarrollo
Equipos Sistemas
Equipos Ofimtica
Equipos (Repuesto)
Porttiles (Repuesto)
Impresora Laser B/N Oficina
Impresora Laser Color Oficina
Impresora Multifuncin Oficina
Impresora Multifuncion Despachos
Switches C3 Distribucin Oficinas
Switches C3 Distribucin CPD
Switches C6 Core CPD
Routers CPD
Firewalls
Uniaes
10
8
4
66
25
9
3
1
4
2
2
5
10
10
2
5
4
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
Servidores
Cabinas
Almacenamiento
Servidores de correo
Servidores Firewall
Servidores Web Presentacin
Servidores Web API
Servidores BackOffice
Servidores BBDD
Servidores Backup
Servidores CMS
Servidores Archivos
Servidores Aplicacin
Servidores Gestin Proyectos
Servidores SAP
Servidores Desarrollo Test
Servidores Desarrollo Pre-Produccin
Servidores control ambiental
Cabinas Almacenamiento
(Profesionales)
Cabinas Almacenamiento (Pyme)
2
2
10
10
5
5
2
4
2
5
2
2
5
5
1
2
2
Infraestructura tcnica.
G(uo
Infraestructura
Tio
CPD
Des(iin
SAI
Generadores elctricos
AACC Industriales
Cmaras vigilancia
Sensores ambientales
Armarios comunicaciones
Armarios
Uniaes
2
2
4
16
8
6
12
Licencias.
G(uo
Software
Tio
Servidores
Des(iin
MS Windows 2003-2008-2012
MS Exchange 2010
MS TMG
MS TFS
HP Dataprotector Backup
SAP
Oracle SGBD
Uniaes
40
2
2
2
2
2
5
06/06/2013 Edicin 6.0
Pgina 13 de 136
Plan de implementacin de la
ISO/IEC 27001:2005
IT-Consulting
Estaciones de
trabajo
Redhat SO
Meta4
10
1
MS Office 2010
MS Visio 2010
MS Project 2012
MS Visual Studio 2010
Adobe Photoshop
SAP
10
2
4
10
2
7
Cdigo fuente.
G(uo
Cdigo fuente
Tio
Aplicaciones
Des(iin
FrontOfficeVenta
BackOfficeVenta
API-Reservas
OTA-Reservas
CamasHotel
RecepTur
AirjetConecta
GestHoteles
ReserMay
Lneas igo
1000000 lneas
2000000 lneas
750000 lneas
500000 lneas
500000 lneas
500000 lneas
350000 lneas
450000 lneas
3000000 lneas
Obse($aiones
Venta Minorista
Procesos gestin Minorista
API Reservas
OTA Reservas
Banco Camas Hotel
Gestin Receptiva
Motor Venta Areo
Gestin Hotelera
Venta Mayorista
Informacin / Otros.
G(uo
Informacin
Tio
TI
Comercial
SSGG
Otros
Direccin
Mercado
Vehculos
Des(iin
Contratos TIC
Contratos mayoristas
Contratos empresas
BD clientes minoristas
BD clientes mayoristas
BD clientes empresa
Ofertas
Contratos servicios
Contabilidad
Finanzas
Plan estratgico 2015
Capacidad de Servicios
Imagen
Know How
Coche clase C
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
implementacin por control. Este informe servir a la organizacin para evaluar su estado de
madurez control por control y como gua de mejora, mediante las recomendaciones, para la
implementacin de la ISO/IEC 27001:2005.
En el Anexo B Anlisis diferencial ISO 27002 podemos encontrar el resultado del anlisis
realizado mediante un informe en forma de tabla.
Plan de implementacin de la
ISO/IEC 27001:2005
IT-Consulting
SEGURIDAD
SEGURIDAD
SEGURIDAD
Asignacin de
responsabilidades
en seguridad de la
informacin
SEGURIDAD
Proceso de
autorizacin de
recursos para la
seguridad de la
informacin
SEGURIDAD
Acuerdos de
confidencialidad
SEGURIDAD
No cumple
Coordinacin de la
seguridad de la
informacin
No cumple
Compromiso de la
Direccin con la
seguridad de la
informacin
Cumple
3-Proceso
definido
ORGANIZACIN INTERNA
No cumple
2-Repetible
No cumple
No cumple
Revisin de la
poltica de
seguridad de la
informacin
0-Inexistente
SEGURIDAD
No cumple
Documento de
poltica de
seguridad de la
informacin
0-Inexistente
0-Inexistente
1-Inicial/adHoc 2-Repetible
POLTICA DE SEGURIDAD
Plan de implementacin de la
ISO/IEC 27001:2005
IT-Consulting
Relacin con
grupos de inters
especial
SEGURIDAD
Revisin
independiente de la
seguridad de la
informacin
SEGURIDAD
COMPRAS
Identificacin de
riesgos derivados
del acceso de
terceros
Tratamiento de la
seguridad en la
relacin con los
clientes
NEGOCIO
Tratamiento de
seguridad en los
contratos con
terceros
COMPRAS
GESTIN DE ACTIVOS
Propietarios de los
activos
SISTEMASREDES
SISTEMASREDES
Cumple
Inventario de
activos
No cumple
3-Proceso definido
No cumple
TERCERAS PARTES
Cumple
No cumple
2-Repetible
Cumple
SEGURIDAD
No cumple
Cumple
1-Inicial/adHoc
2-Repetible
2-Repetible
Plan de implementacin de la
ISO/IEC 27001:2005
IT-Consulting
Directrices de
clasificacin
Etiquetado y
tratamiento de la
informacin
Funciones y
responsabilidades
Investigacin de
antecedentes
Trminos y
condiciones del
empleo
RRHH
RRHH
RRHH
Cumple
Cumple
Cumple
SEGURIDAD
FISICA
DURANTE EL EMPLEO
Responsabilidades
de la Direccin
RRHH
Cumple
RRHH
4-Gestionado y
evaluable
Cumple
CLASIFICACIN DE LA INFORMACIN
1-Inicial/adHoc
RRHH
Cumple
Uso aceptable de
los recursos
No cumple
3-Proceso definido
3-Proceso
definido
4-Gestionado y evaluable
Plan de implementacin de la
ISO/IEC 27001:2005
IT-Consulting
Proceso
disciplinario
Supresin de los
derechos de
acceso
REAS SEGURAS
Permetro de
seguridad fsica
Control fsicos de
entrada
Seguridad de
oficinas, despachos
y salas
SEGURIDAD
FISICA
SEGURIDAD
FISICA
SEGURIDAD
FISICA
Cumple
Cumple
RRHH
Cumple
RRHH
5-Optimizado
Cumple
Devolucin de
activos
RRHH
Cumple
Responsabilidad
del cese o cambio
Cumple
44Gestionado y Gestionado y
evaluable
evaluable
9
9
4-Gestionado y
evaluable
RRHH
5-Optimizado
5-Optimizado
RRHH
No cumple
No cumple
Concienciacin,
formacin y
capacitacin en
seguridad de la
informacin
0-Inexistente 0-Inexistente
Plan de implementacin de la
ISO/IEC 27001:2005
IT-Consulting
Acceso publico,
zonas de carga y
descarga
Cumple
Cumple
Cumple
SEGURIDAD
FISICA
5-Optimizado
Emplazamiento y
proteccin de los
equipos
Instalaciones de
suministro
Seguridad del
cableado
SEGURIDAD
FISICA
SEGURIDAD
FISICA
SISTEMASREDES
Cumple
SEGURIDAD
FISICA
Cumple
Trabajo en reas
seguras
Cumple
SEGURIDAD
FISICA
5-Optimizado
Proteccin contra
amenazas externas
y de origen
ambiental
5-Optimizado
5-Optimizado
5-Optimizado
5-Optimizado
Plan de implementacin de la
ISO/IEC 27001:2005
IT-Consulting
10
10
10
Cumple
Documentacin de
los procedimientos
de operaciones
SISTEMASREDES
Gestin de los
cambios
SISTEMASREDES
Cumple
10
No cumple
No cumple
SEGURIDAD
FISICA
1-Inicial/adHoc
Retirada de
materiales de
propiedad de la
empresa
2-Repetible
SISTEMASREDES
Seguridad de
equipos fuera de
los locales propios
No cumple
Seguridad en la
reutilizacin o
eliminacin de
equipos
Cumple
SEGURIDAD
FISICA
Mantenimiento de
los equipos
1-Inicial/adHoc
SISTEMASREDES
5-Optimizado
3-Proceso
definido
5-Optimizado
Plan de implementacin de la
ISO/IEC 27001:2005
IT-Consulting
10
10
10
10
10
Supervisin y
revisin de los
servicicios
prestados por
terceros
SISTEMASREDES
Gestin de cambios
en los servicios
prestados por
terceros
SISTEMASREDES
Cumple
Cumple
Cumple
SISTEMASREDES
Cumple
Provisin de
servicios
Cumple
Gestin de
capacidades
Aceptacin de
sistemas
SISTEMASREDES
Se gestiona, en la mayora de
servicios/sistemas, las capacidades de los
mismos y se ajusta el consumo. Adicionalmente
se realizan proyecciones de los requisitos
futuros de capacidad. No existe una poltica
clara y formal al respecto pero se lleva a cabo
de manera continua.
Cumple
10
SISTEMASREDES
Cumple
10
3-Proceso definido
SISTEMASREDES
3-Proceso definido
10
3-Proceso definido
Separacin de los
entornos de
desarrollo, pruebas
y explotacin
3-Proceso
definido
10
5-Optimizado
SISTEMASREDES
3-Proceso
definido
10
Segregacin de
tareas
4-Gestionado y
evaluable
Plan de implementacin de la
ISO/IEC 27001:2005
IT-Consulting
10
10
10
10
10
Cumple
Cumple
Cumple
SISTEMASREDES
Controles de red
Seguridad de los
servicios de red
SISTEMASREDES
SISTEMASREDES
Cumple
Copias de
seguridad de la
informacin
Cumple
10
MANIPULACIN DE SOPORTES
Gestin de
soportes extrables
SISTEMASREDES
Retirada de
soportes
SISTEMASREDES
No cumple
COPIAS DE SEGURIDAD
No cumple
10
SISTEMASREDES
4-Gestionado y
evaluable
Controles contra
cdigo mvil
5-Optimizado
10
SISTEMASREDES
5-Optimizado
Controles contra
software malicioso
4-Gestionado y
evaluable
10
1-Inicial/adHoc
2-Repetible
10
5-Optimizado
Plan de implementacin de la
ISO/IEC 27001:2005
IT-Consulting
Polticas y
procedimientos de
intercambio de
informacin
SEGURIDAD
10
Acuerdos de
intercambio
RRHH
SEGURIDAD
FISICA
SISTEMASREDES
SISTEMASREDES
Correo electrnico
Sistemas de
informacin
empresariales
10
10
10
Cumple
Cumple
Cumple
10
Cumple
4-Gestionado y evaluable
5-Optimizado
10
Soportes fsicos en
transito
3-Proceso definido
10
Cumple
INTERCAMBIO DE INFORMACIN
No cumple
SISTEMASREDES
Cumple
10
50-Inexistente
Optimizado
Seguridad de la
documentacin de
los sistemas
SISTEMASREDES
3-Proceso
definido
10
Cumple
3-Proceso definido
10
Procedimiento de
manipulacin de la
informacin
4-Gestionado y
evaluable
Comercio
electrnico
SISTEMASREDES
Plan de implementacin de la
ISO/IEC 27001:2005
IT-Consulting
10 10
10 10
SISTEMASREDES
Proteccin de la
informacin de los
registros
SISTEMASREDES
Registros de
administracin y
operacin
SISTEMASREDES
Registros de fallos
SISTEMASREDES
Sincronizacin de
relojes
SISTEMASREDES
11
Cumple
No cumple
3-Proceso definido
CONTROL DE ACCESO
1
11
11
Poltica de control
de acceso
SEGURIDAD
Cumple
11
Cumple
Monitorizacin del
uso de los sistemas
Cumple
Cumple
10 10
SISTEMASREDES
Cumple
10 10
Registro de
auditoras
Cumple
10 10
5-Optimizado
10 10
MONITORIZACIN
5Optimizado
10 10
SISTEMASREDES
Cumple
Informacin con
acceso publico
SISTEMASREDES
4-Gestionado y
evaluable
Transacciones en
lnea
3-Proceso
definido
55-Optimizado
Optimizado
10
3-Proceso
definido
10
4-Gestionado y
evaluable
Plan de implementacin de la
ISO/IEC 27001:2005
IT-Consulting
Cumple
Cumple
Uso de las
contraseas
SISTEMASREDES
SISTEMASREDES
SISTEMASREDES
11
11
Poltica de puesto
de trabajo
despejado y
bloqueo de pantalla
11
3-Proceso definido
RESPONSABILIDAD DE USUARIO
Equipo de usuario
desatendido
11
Cumple
No cumple
SISTEMASREDES
4-Gestionado y evaluable
Revisin de los
derechos de
accesos
Cumple
11
SISTEMASREDES
Cumple
Gestin de las
contraseas de los
usuarios
Cumple
11
Cumple
SISTEMASREDES
0-Inexistente
11
Gestin de
privilegios
SISTEMASREDES
3-Proceso definido
Registro de usuario
4-Gestionado y
evaluable
11
3-Proceso
definido
11
3-Proceso definido
11
5-Optimizado
Poltica de uso de
los servicios de red
SISTEMASREDES
Plan de implementacin de la
ISO/IEC 27001:2005
IT-Consulting
Diagnstico remoto
y proteccin de los
puertos de
configuracin
SISTEMASREDES
11
11
SISTEMASREDES
Control de
encaminamiento en
la red
SISTEMASREDES
Cumple
Procedimiento
seguros de inicio
de sesin
SISTEMASREDES
11
Identificacin y
autenticacin de
usuario
SISTEMASREDES
SISTEMASREDES
11
Sistema de gestin
de contraseas
Cumple
5-Optimizado
11
No cumple
Control de
conexin a la red
Cumple
11
SISTEMASREDES
3-Proceso
definido
Segregaciones de
la red
5-Optimizado
11
Cumple
11
Cumple
SISTEMASREDES
Cumple
Identificacin de
equipos en la red
Cumple
Cumple
5-Optimizado
11
5-Optimizado
SISTEMASREDES
5-Optimizado
5-Optimizado
5-Optimizado
11
Autenticacin de
usuarios para
conexiones
externas
5-Optimizado
Plan de implementacin de la
ISO/IEC 27001:2005
IT-Consulting
11
Aislamiento de
sistemas sensibles
11
12
Ordenadores
porttiles y
comunicaciones
mviles.
Teletrabajo
SISTEMASREDES
RRHH
Cumple
Cumple
Cumple
No cumple
12
12
SISTEMASREDES
No cumple
11
Cumple
11
SISTEMASREDES
Cumple
Restriccin de
acceso a la
informacin
11
4-Gestionado y
evaluable
No cumple
SISTEMASREDES
4-Gestionado y
evaluable
11
Limitacin de las
ventanas de
conexin
4-Gestionado y
evaluable
SISTEMASREDES
5-Optimizado
11
Desconexin
automtica de
sesin
Uso de las
utilidades de los
sistemas operativos
1-Inicial/adHoc
SISTEMASREDES
1-Inicial/adHoc
11
3-Proceso definido
11
5-Optimizado
Plan de implementacin de la
ISO/IEC 27001:2005
IT-Consulting
12
Integridad de los
mensajes
DESARROLLO
Validacin de los
datos de salida
12
Gestin de claves
SEGURIDAD
12
Control del
software en
explotacin
12
Proteccin de los
datos de prueba
Control de acceso
al cdigo fuente
12
No cumple
SEGURIDAD
No cumple
Poltica de uso de
los controles
criptogrficos
SISTEMASREDES
Cumple
12
No cumple
CONTROLES CRIPTOGRFICOS
Cumple
12
12
4-Gestionado y
evaluable
DESARROLLO
Cumple
12
Validacin de los
datos de entrada
Cumple
No cumple
No cumple
12
12
2-Repetible
12
Plan de implementacin de la
ISO/IEC 27001:2005
IT-Consulting
12
12
12
13
13
Fuga de
informacin
Desarrollo
externalizado de
software
Cumple
Cumple
2-Repetible
4-Gestionado y
evaluable
SISTEMASREDES
Cumple
Restriccin en los
cambios a los
paquetes de
software
Cumple
SEGURIDAD
Cumple
Revisin tcnica de
las aplicaciones
despus de
cambios en los
sistemas operativos
SISTEMASREDES
Cumple
12
Procedimiento de
control de cambios
5-Optimizado
12
4-Gestionado y evaluable
12
4-Gestionado y
evaluable
12
3-Proceso definido
12
Control de
vulnerabilidades
tcnicas
SEGURIDAD
Plan de implementacin de la
ISO/IEC 27001:2005
IT-Consulting
Notificacin de los
eventos de
seguridad de la
informacin
HELP DESK
13
Notificacin de los
puntos dbiles de
la seguridad
HELP DESK
13
13
Responsabilidades
y procedimientos
HELP DESK
13
Aprendizaje de los
incidentes de
seguridad de la
informacin
HELP DESK
HELP DESK
Recopilacin de
evidencias
14
No cumple
No cumple
1-Inicial/adHoc 1-Inicial/adHoc
14
Continuidad de
negocio y anlisis
de riesgos
SEGURIDAD
No cumple
Desarrollo e
implantacin de
planes de
continuidad
incluyendo la
seguridad de la
informacin
SEGURIDAD
dem
No cumple
14
SEGURIDAD
No cumple
2-Repetible
14
Incluir la seguridad
de la informacin
en el proceso de
gestin de la
continuidad de
negocio
1-Inicial/adHoc
1-Inicial/adHoc
14
No cumple
2-Repetible
13
No cumple
No cumple
1-Inicial/adHoc
13
3-Proceso definido
Plan de implementacin de la
ISO/IEC 27001:2005
IT-Consulting
Prueba,
mantenimiento y
revisin de los
planes de
continuidad de
negocio
SEGURIDAD
dem
15
CUMPLIMIENTO
ASESORIA
JURIDICA
Cumple
Cumple
Derechos de
propiedad
intelectual
ASESORIA
JURIDICA
Proteccin de los
documentos de la
organizacin
ASESORIA
JURIDICA
ASESORIA
JURIDICA
15
RRHH
15
Regulacin de
controles
criptogrficos
SEGURIDAD
15
15
Cumple
Cumple
15
Proteccin de datos
de carcter
personal y
privacidad
Cumple
Cumple
Identificacin de la
legislacin
aplicable
No cumple
15
5-Optimizado
55-Optimizado
Optimizado
15
3-Proceso
definido
2-Repetible
15
15
No cumple
dem
No cumple
SEGURIDAD
1-Inicial/adHoc
5-Optimizado
14
5-Optimizado
14
Marco de
planificacin de la
continuidad de
negocio
1Inicial/adHoc
Cumplimiento de
las polticas y
normas de
seguridad.
AUDIT
Plan de implementacin de la
ISO/IEC 27001:2005
IT-Consulting
15
15
Cumple
Controles de
auditora de los
sistemas de
informacin
AUDIT
Proteccin de las
herramientas de
auditora de
sistemas de
informacin
AUDIT
Cumple
AUDIT
Cumple
15
5-Optimizado
4-Gestionado y
evaluable
15
Comprobacin del
cumplimiento
tcnico
5-Optimizado
Cumle
No umle
0%
100 %
36 %
64 %
60 %
40 %
78 %
22 %
77 %
23 %
87 %
13 %
84 %
16 %
60 %
40 %
0%
100 %
0%
100 %
15.- Cumplimiento.
90 %
10 %
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
Catulo 2
Nomb(e
Cdigo tico sobre el uso de los medios informticos
Estndares de autenticacin
Estndares de cifrado
Estndares de seguridad durante el desarrollo SW
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
Iniao(
5.1.2
6.1.8
15.3.1
8.2.2
9.1.4
9.1.2
9.2.1
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
11.3.2
11.7.1
15.2.1
9.2.6
10.1.1
10.8.1
10.1.2
12.4.1
12.5.1
10.3.1
10.4.2
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
10.7.2
10.8.2
10.9.1
10.9.2
10.10.2
11.2.1
11.6.1
11.2.1
11.2.2
11.2.4
11.4.2
11.4.3
11.4.6
11.4.3
11.4.6
Clculo: [(Nmero equipos sin asociacin dominio / Nmero total equipos) *100]
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
11.4.5
11.4.6
11.4.7
11.5.1
11.5.3
Clculo: [(Nmero servidores sin poltica seguridad / Nmero total servidores) *100]
Valor Tolerable: 10%
13.1.1
13.2.2
13.2.2
15.1.1
15.1.2
15.1.3
15.1.4
Todos
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
o
Comprobacin del conocimiento de las normas de seguridad por parte de las personas
que acceden a los sistemas de informacin de la organizacin.
o
Control, revisin y evaluacin de registros de: usuarios, incidencias de seguridad,
inventario de activos, etc.
o
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
Representante de la direccin.
Responsable de Seguridad de la Organizacin.
Responsable de Explotacin de Sistemas.
Responsable de Desarrollo y proyectos.
Responsable de Infraestructuras, Sistemas y Comunicaciones.
Responsable de Jurdico.
Responsable de Administracin y Personal.
Equipo de asesores especializados en seguridad.
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
No ceder datos de carcter personal ni usarlos con una finalidad distinta por la que han
sido recogidos (fichero).
Comunicar al responsable de seguridad cualquier incidencia respecto a la seguridad de
la informacin.
2.6.2.1- Personal con acceso privilegiado y personal tcnico.
El personal tcnico que administra el sistema de acceso a los sistemas de informacin no tiene
por qu estar presente en todos los casos, siendo en algunas ocasiones subcontratado o
asumido por otros roles. En cualquiera de los casos, se podra clasificar en las siguientes
categoras segn sus funciones:
Administradores (red, sistemas operativos, aplicaciones y bases de datos): sern los
responsables de los mximos privilegios, y por tanto con alto riesgo de que una actuacin
errnea o incorrecta pueda afectar a los sistemas. Tendr acceso a todos los sistemas
necesarios para desarrollar su funcin y resolver los problemas que surjan.
Operadores (red, sistemas operativos, aplicaciones y bases de datos): sus actuaciones estn
limitadas dentro de los sistemas de informacin y generalmente supervisadas por los
administradores, utilizarn las herramientas de gestin disponibles y autorizadas. En principio
no deben tener acceso a los ficheros que contengan datos personales salvo la tarea lo
requiera.
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx.
Confidencial y Privado | Confidential and Proprietary
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
Establecer los controles y medidas tcnicas y organizativas para asegurar los sistemas
de informacin.
Gestionar y analizar las incidencias de seguridad acaecidas en la organizacin y su
registro segn el procedimiento indicado en el Documento de Seguridad.
Coordinar la puesta en marcha de las medidas de seguridad y colaborar en el
cumplimiento y difusin del Documento de Seguridad.
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
Rango
Valo(
Muy Alta
300.000
Alta
Media
75.000
Baja
30.000
Muy baja
10.000
Plan de implementacin de la
ISO/IEC 27001:2005
IT-Consulting
Vulne(abilia
Rango
Frecuencia extrema
1 vez al da
Frecuencia Alta
Frecuencia Media
6/365
Frecuencia Baja
2/365
Valo(
1
1/365
C(itiia
Rango
Valo(
Crtico
95 %
Alto
75 %
Medio
50 %
Bajo
25 %
Impacto: Se entiende como impacto el tanto por ciento del activo que se pierde en
caso de que un impacto suceda sobre l.
Imato
Rango
Muy Alto
100%
Alto
75%
Medio
50%
Bajo
20%
Muy bajo 5%
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
95%
Alto
75%
Medio
50%
Bajo
30%
Muy bajo
10%
Fase 3 Anlisis de activos: Durante esta fase se identificaran los activos de la empresa que se
requieren para llevar a cabo la actividad. Se debe tener presente que en la organizacin puede
poseer distintos tipos de activos (fsicos, lgicos o de personal, infraestructura, intangibles,
etc.) y se valorarn teniendo en cuenta los parmetros de valoracin de activos.
Fase 4 Anlisis de amenazas: Las amenazas son aquellas situaciones que pueden provocar un
problema de seguridad. Las amenazas dependen del tipo de organizacin as como de su
configuracin y caractersticas. Segn MAGERIT las amenazas se pueden clasificar en cuatro
grandes grupos:
-
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
Fase 6 Valoracin de impactos: Las amenazas pueden daar los activos de la organizacin, es
necesario cuantificar el impacto de una amenaza sobre el activo. Por ejemplo: dao
econmico, prdidas cualitativas, etc.
Fase 7 Anlisis de riesgos intrnseco: Llegados a este punto y habiendo identificado los
valores anteriores podemos realizar el estudio de riesgos actuales de la organizacin y para
ello utilizaremos la siguiente frmula:
Riesgo = Valor del activo x Vulnerabilidad x Impacto
Debemos recordar que los riesgos intrnsecos son aquellos a los que la organizacin est
expuesta sin tener en consideracin las medidas de seguridad que podamos implantar.
Nivel aceptable de riesgos.
Durante esta fase se establecer el nivel aceptable de riesgos que se basar en la siguiente
tabla:
Ni$el aetable
e (iesgo
Valo(
Alto
75%
Medio
50%
Bajo
25%
Se asignarn los niveles aceptables de riesgos de forma manual y siempre estarn alineados
con la criticidad del activo en la organizacin.
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
Fase 8 Influencia de las salvaguardas: Tras identificar los riesgos se iniciar la fase de gestin
del riesgo donde debemos analizar cada uno de los riesgos y aplicar la mejor solucin tcnica
que permita reducirlos al mximo.
Utilizaremos dos tipos de salvaguardas:
-
Fase 10 Gestin de riesgos: La ltima fase del anlisis de riesgos comienza con la gestin del
riesgo, es decir la toma de decisiones de la organizacin ante las medidas de seguridad a
aplicar. Ante la seleccin de las medidas de seguridad se debe tener presente el umbral del
riesgo aceptable y el coste de la aplicacin de las medidas de seguridad. A la hora de gestionar
los riesgos existen distintas estrategias que a continuacin enumeraremos:
-
Reducirlos
Transferirlos
Aceptarlos
A la hora de gestionar los riesgos ser necesario establecer un plan de accin que contenga al
menos la siguiente informacin:
-
Establecimiento de prioridades
Anlisis coste / beneficio
Seleccin de controles
Asignacin de responsabilidades
Implantacin de controles
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
28-Dela(ain e aliabilia
Objeto de control
Control
Aplica
5.1
Poltica de seguridad de
la informacin
5.1.1
Documento de poltica de
seguridad de la
informacin
5.1.2
Revisin de la poltica de
seguridad e la informacin
6.1
Organizacin interna
6.1.1
Compromiso de la
Direccin con la seguridad
de la informacin.
SI
6.1.2
Coordinacin de la
seguridad de la
informacin
SI
6.1.3
Asignacin de
responsabilidades relativas Deben definirse claramente todas las responsabilidades
a la seguridad de la
relativas a la seguridad de la informacin.
informacin
SI
6.1.4
Proceso de autorizacin
de recursos para el
tratamiento de la
informacin
SI
6.1.5
Acuerdos de
confidencialidad
SI
6.1.6
SI
6.1.7
SI
Revisin independiente de
la seguridad de la
informacin
SI
6.1.8
SI
SI
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
6.2
Terceros
6.2.1
Identificacin de los
riesgos derivados del
acceso de terceros
6.2.2
Tratamiento de la
seguridad en la relacin
con los clientes
6.2.3
7.1
Responsabilidad sobre
los activos
7.1.1
Inventario de activos
SI
7.1.2
SI
7.1.3
SI
7.2
Clasificacin de la
informacin
7.2.1
Directrices de clasificacin
7.2.2
Etiquetado y manipulado
de la informacin
8.1
8.1.1
Funciones y
responsabilidades
SI
SI
SI
SI
SI
SI
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
8.1.2
Investigacin de
antecedentes
8.1.3
Trminos y condiciones de
contratacin
SI
SI
8.2
Durante el empleo
8.2.1
Responsabilidades de la
Direccin
8.2.2
Concienciacin, formacin
y capacitacin en
seguridad de la
informacin
8.2.3
Proceso disciplinario
8.3
8.3.1
SI
8.3.2
Devolucin de activos
SI
8.3.3
SI
9.1
reas seguras
9.1.1
Permetro de seguridad
fsica
9.1.2
9.1.3
SI
SI
SI
SI
SI
SI
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
9.1.4
9.1.5
9.1.6
9.2
Seguridad de los
equipos
9.2.1
Emplazamiento y
proteccin de equipos
9.2.2
9.2.3
9.2.4
9.2.5
9.2.6
9.2.7
10.1
10.1.1
Responsabilidades y
procedimientos de
operacin
Documentacin de los
procedimientos de
operacin.
SI
SI
SI
SI
SI
SI
SI
SI
SI
SI
SI
10.1.2
Gestin de cambios
10.1.3
Segregacin de tareas
SI
10.1.4
Separacin de los
recursos de desarrollo,
prueba y operacin.
SI
SI
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
10.2
Gestin de la provisin
de servicios por terceros
10.2.1
Provisin de servicios
10.2.2
Supervisin y revisin de
los servicios prestados por
terceros
SI
10.2.3
SI
10.3
Planificacin y
aceptacin del sistema
10.3.1
Gestin de capacidades
SI
10.3.2
SI
10.4
10.4.1
10.4.2
10.5
Copias de seguridad
10.5.1
Copias de seguridad de la
informacin
10.6
Gestin de la seguridad
de las redes
10.6.1
Controles de red
10.6.2
10.7
Manipulacin de los
soportes
10.7.1
Gestin de soportes
SI
SI
SI
SI
SI
SI
SI
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
extrables
soportes extrables.
10.7.2
Retirada de soportes
SI
10.7.3
Procedimientos de
manipulacin de la
informacin
SI
10.7.4
Seguridad de la
documentacin del
sistema
SI
10.8
10.8.1
10.8.2
10.8.3
10.8.4
10.8.5
SI
SI
SI
SI
SI
10.9
Servicios de comercio
electrnico
10.9.1
Comercio electrnico
SI
10.9.2
Transacciones en lnea
SI
10.9.3
Informacin pblicamente
disponible
SI
10.1
Supervisin
10.10.1
Registro de auditorias
SI
10.10.2
SI
10.10.3
Proteccin de la
informacin de los
registros
SI
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
10.10.4
Registros de
administracin y operacin
10.10.5
Registro de fallos
10.10.6
11.1
Requisitos de negocio
Objetivo: Controlar el acceso a la informacin
para el control de acceso
11.1.1
11.2
11.2.1
11.2.2
11.2.3
SI
SI
SI
SI
SI
SI
SI
11.2.4
11.3
Responsabilidades de
usuario
11.3.1
Uso de contraseas
SI
11.3.2
Equipo de usuario
desatendido
SI
11.3.3
Poltica de puesto de
trabajo despejado y
pantalla limpia
SI
11.4
Control de acceso a la
red
11.4.1
11.4.2
Autenticacin de usuario
para conexiones externas
11.4.3
Identificacin de los
equipos en las redes
11.4.4
Diagnstico remoto y
proteccin de los puertos
de configuracin
SI
11.4.5
SI
SI
SI
SI
SI
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
11.4.6
Control de la conexin a la
red
11.4.7
Control de
encaminamiento (routing)
de red
11.5
Control de acceso al
sistema operativo
11.5.1
Procedimientos seguros
de inicio de sesin
SI
11.5.2
Identificacin y
autenticacin de usuario
SI
11.5.3
Sistema de gestin de
contraseas
SI
11.5.4
SI
11.5.5
Desconexin automtica
de sesin.
11.5.6
11.6
11.6.1
SI
11.6.2
Aislamiento de sistemas
sensibles
SI
11.7
Ordenadores porttiles y
teletrabajo
11.7.1
Ordenadores porttiles y
comunicaciones mviles
SI
11.7.2
Teletrabajo
SI
12.1
Requisitos de seguridad
de los sistemas de
informacin
SI
SI
SI
SI
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
12.1.1
Anlisis y especificacin
de los requisitos de
seguridad
12.2
Tratamiento correcto de
las aplicaciones
12.2.1
SI
12.2.2
SI
12.2.3
12.2.4
12.3
Controles criptogrficos
12.3.1
12.3.2
Gestin de claves
12.4
Seguridad de los
archivos de sistema
12.4.1
12.4.2
12.4.3
12.5
12.5.1
12.5.2
12.5.3
Control de acceso al
cdigo fuente de los
programas
Seguridad en los
procesos de desarrollo y
soporte
Procedimientos de control
de cambios
Revisin tcnica de las
aplicaciones tras efectuar
cambios en el sistema
operativo.
Restricciones a los
cambios en los paquetes
de software
12.5.4
Fugas de informacin
12.5.5
Externalizacin del
desarrollo de software
SI
SI
SI
SI
SI
SI
SI
SI
SI
SI
SI
SI
SI
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
Gestin de la
vulnerabilidad tcnica
12.6.1
Control de las
vulnerabilidades tcnicas
13.1
Notificacin de eventos y
puntos dbiles de la
seguridad de la
informacin
13.1.1
Notificacin de eventos de
seguridad de la
informacin
SI
13.1.2
SI
13.2
Gestin de incidentes de
seguridad de la
informacin y mejoras
13.2.1
Responsabilidades y
procedimientos
12.6
13.2.2
13.2.3
14.1
14.1.1
Inclusin de la seguridad
de la informacin en el
proceso de gestin de la
continuidad del negocio
14.1.2
14.1.3
Desarrollo e implantacin
de planes de continuidad
que incluyan la seguridad
de la informacin
SI
SI
SI
SI
SI
SI
SI
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
14.1.4
SI
14.1.5
Pruebas, mantenimiento y
reevaluacin de los planes
de continuidad del negocio
SI
15.1
Cumplimiento de los
requisitos legales
15.1.1
Identificacin de la
legislacin aplicable
15.1.2
Derechos de propiedad
intelectual (IPR)
[Intellectual Property
Rights]
15.1.3
Proteccin de los
documentos de la
organizacin
SI
Proteccin de datos y
privacidad de la
informacin de carcter
personal
Prevencin del uso
indebido de los recursos
de tratamiento de la
informacin
Regulacin de los
controles criptogrficos
Cumplimiento de las
polticas y normas de
seguridad y
cumplimiento tcnico
SI
SI
SI
15.1.4
15.1.5
15.1.6
15.2
SI
SI
15.2.1
Cumplimiento de las
polticas y normas de
seguridad
SI
15.2.2
Comprobacin del
cumplimiento tcnico
SI
15.3
Consideraciones sobre
la auditora de los
sistemas de informacin
15.3.1
Controles de auditora de
los sistemas de
informacin
SI
15.3.2
Proteccin de las
herramientas de auditora
de los sistemas de
informacin
SI
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
Catulo 3
An&lisis e (iesgos
3- Int(ouin
El anlisis de riesgos es la fase ms importante del proceso de Seguridad de la Informacin,
esta tarea nos ayudar a descubrir que necesidades tiene la organizacin y cules son nuestras
vulnerabilidades y amenazas.
En la segunda fase del anlisis de riesgos se inicia la gestin de riesgos, en donde se
seleccionarn las mejores soluciones de seguridad para afrontar los riesgos.
Este captulo contiene el desarrollo del anlisis de riesgos y su gestin, desde el inventario de
riesgos hasta la evaluacin del impacto potencial.
G(uo
Empleados
Des(iin
Mandos
Especialistas
Operarios
Administracin
Uniaes
22
72
20
2
Valo(
Muy Alta
Muy Alta
Muy Alta
Muy Alta
Valo(
C(itiia
300.000
Crtico
300.000
Crtico
300.000
Crtico
300.000
Crtico
Hardware.
Tio
Equipos Oficinas
Impresoras Oficinas
Des(iin
Porttiles
Tabletas
Equipos
Impresoras
Uniaes Valo(
Baja
19
4 Muy Baja
Media
103
Baja
13
Valo(
C(itiia
30.000
Bajo
10.000
Bajo
75.000
Medio
30.000
Bajo
06/06/2013 Edicin 6.0
Pgina 67 de 136
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
Dispositivos Red
Servidores
Cabinas
Almacenamiento
Media
10
Media
12
Baja
5
Media
4
Baja
2
Baja
2
20 Muy Alta
19 Muy Alta
Media
5
Baja
2
Baja
2
Alta
10
4
Alta
Switches Oficinas
Switches CPD
Routers CPD
Firewalls
Servidores de correo
Servidores Firewall
Servidores Web
Servidores Aplicacin
Servidores BBDD
Servidores Backup
Servidores SAP
Servidores Desarrollo
Cabinas
Almacenamiento
75.000
75.000
30.000
75.000
30.000
30.000
300.000
300.000
75.000
30.000
30.000
150.000
150.000
Medio
Crtico
Crtico
Crtico
Crtico
Medio
Crtico
Crtico
Crtico
Bajo
Medio
Medio
Crtico
Infraestructura tcnica.
Tio
Des(iin
CPD SAI
Generadores elctricos
AACC Industriales
Cmaras vigilancia + sensores
Armarios
Uniaes
2
2
4
24
18
Valo(
Media
Media
Media
Baja
Baja
Valo( C(itiia
75.000
Medio
75.000
Bajo
75.000
Crtico
30.000
Bajo
30.000
Bajo
Uniaes
Valo(
Valo( C(itiia
Media 75.000
Bajo
Licencias.
Tio
Servidores
Des(iin
Licencias SO
50
Licencias Aplicacin
11
Licencias SGBD
Estaciones de
trabajo
Licencias Ofimtica
Licencias Proyectos
Licencias SAP
Media 75.000
Bajo
Media 75.000
Bajo
5
Muy 10.000
Baja
Bajo
Baja 30.000
Bajo
Baja 30.000
Bajo
14
16
7
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
Cdigo fuente.
Des(iin
Lneas igo
FrontOfficeVenta 1000000 lneas
BackOfficeVenta
API-Reservas
OTA-Reservas
CamasHotel
RecepTur
AirjetConecta
GestHoteles
ReserMay
2000000 lneas
750000 lneas
500000 lneas
500000 lneas
500000 lneas
350000 lneas
450000 lneas
3000000 lneas
Obse($aiones
Venta Minorista
Procesos gestin
Minorista
API Reservas
OTA Reservas
Banco Camas Hotel
Gestin Receptiva
Motor Venta Areo
Gestin Hotelera
Venta Mayorista
Valo(
Valo(
Muy Alta 300.000
Alta
150.000
C(itiia
Crtico
Alto
Alta
Alta
Alta
Alta
Alta
Alta
Muy Alta
Crtico
Crtico
Crtico
Crtico
Crtico
Alto
Crtico
150.000
150.000
150.000
150.000
150.000
150.000
300.000
Informacin / Otros.
G(uo
Informacin
Tio
TI
Comercial
SSGG
Otros
Direccin
Mercado
Vehculos
Des(iin
Contratos TIC
Contratos Comerciales
BD Clientes
Ofertas
Contratos servicios
Contabilidad-Finanzas
Plan estratgico 2015
Capacidad de Servicios
Imagen
Know How
Coche clase C
Valo(
Baja
Media
Alta
Baja
Baja
Muy Baja
Alta
Muy Baja
Media
Media
Baja
Valo(
30.000
75.000
150.000
30.000
30.000
10.000
150.000
10.000
75.000
75.000
30.000
C(itiia
Bajo
Bajo
Crtico
Bajo
Bajo
Medio
Crtico
Medio
Crtico
Medio
Bajo
Plan de implementacin de la
ISO/IEC 27001:2005.
X
X
X
X
4 Ataque DoS
5 Intrusin hacker
8 Fallo hardware
Humana Ento(no
X
Natu(al
Amenaza
ID
Fuente
Moti$ain
Indeterminada
Obtencin de informacin
industrial
Obtencin de ventaja
competitiva
Indeterminado
Empresas competidoras
Indeterminado
Indeterminado
Obtencin de beneficio
Indeterminado
econmico
Obtencin de beneficio
Empleados descontentos o desleales
econmico
Obtencin de beneficio
Indeterminado
econmico
O(igen
Introduccin de datos
errneos por empleados
Insercin de fallas
hardware
Robo de informacin
Ataque al sistema
Ataque al sistema
Intrusin de cdigo
malicioso
Extraccin de informacin
confidencial
Ain
En este apartado expondremos las amenazas a las que est expuesta nuestra organizacin; su origen, motivacin y accin. A continuacin se proceder a
evaluar el impacto y frecuencia de cada amenaza sobre el activo.
Definimos amenazas como aquellas situaciones que podran materializarse en una empresa y que pueden llegar a daar a activos, provocando que no
funcionen correctamente impidiendo la actividad del negocio.
IT-Consulting
23 Asalto a empleados
24
20
21 Fraude econmico
19
17
Desastre natural
Desastre natural
Indeterminada
Indeterminada
Terremoto
Tormenta
Descontento con la
empresa o necesidad
econmica
Obtencin de beneficio
econmico
Obtencin de beneficio
econmico
Delincuencia
Indeterminado
Necesidad econmica
Descontento con la
empresa
Obtencin de beneficio
econmico
Descontento con la
empresa o necesidad
econmica
Descontento con la
empresa o necesidad
econmica
Descontento con la
empresa
Errores humanos de
empleados
Errores en controles de
seguridad
Errores humanos de
empleados
Uso indebido de la
tecnologa
Errores en controles de
seguridad
Ataque al sistema
Uso indebido de la
tecnologa
Errores de diseo o mala
implementacin
Obtencin de beneficio
econmico
Indeterminada
Empleados
Obtencin de ventaja
competitiva
16 Espionaje industrial
Obtencin de informacin
industrial
Obtencin de informacin
confidencial
Indeterminada
Empleados
Indeterminado
Indeterminado
Indeterminado
13 Intercepcin de informacin
Plan de implementacin de la
ISO/IEC 27001:2005
12 Acceso no autorizado
IT-Consulting
30 Incendio
X
X
Indeterminado
Indeterminado
Indeterminado
Desastre natural
Indeterminada
Indeterminada
Indeterminada
Indeterminada
Plan de implementacin de la
ISO/IEC 27001:2005
27
IT-Consulting
2.000.000,00
4.000.000,00
6.000.000,00
8.000.000,00
10.000.000,00
12.000.000,00
14.000.000,00
16.000.000,00
Plan de implementacin de la
ISO/IEC 27001:2005
IT-Consulting
20.000,00
40.000,00
60.000,00
80.000,00
100.000,00
120.000,00
140.000,00
Plan de implementacin de la
ISO/IEC 27001:2005
IT-Consulting
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005.
TFM-MISTIC: Juan Pablo Nieto Muoz
G(uo
Empleados
Ni$el (iesgo
Des(iin
aetable
Medio
Mandos
Medio
Especialistas
Medio
Operarios
Administracin Medio
Hardware.
Tio
Equipos Oficinas
Impresoras Oficinas
Dispositivos Red
Servidores
Des(iin
Porttiles
Tabletas
Equipos
Impresoras
Switches Oficinas
Switches CPD
Routers CPD
Firewalls
Servidores de correo
Servidores Firewall
Servidores Web
Servidores Aplicacin
Servidores BBDD
Ni$el (iesgo
aetable
Medio
Medio
Alto
Alto
Medio
Bajo
Medio
Medio
Bajo
Medio
Bajo
Bajo
Bajo
Plan de implementacin de la
ISO/IEC 27001:2005
IT-Consulting
Cabinas
Almacenamiento
Alto
Medio
Medio
Bajo
Servidores Backup
Servidores SAP
Servidores Desarrollo
Cabinas
Almacenamiento
Infraestructura tcnica.
Tio
Des(iin
CPD SAI
Generadores elctricos
AACC Industriales
Cmaras vigilancia + sensores
Armarios
Licencias.
Tio
Servidores
Estaciones de
trabajo
Des(iin
Licencias SO
Licencias Aplicacin
Licencias SGBD
Licencias Ofimtica
Licencias Proyectos
Licencias SAP
Ni$el (iesgo
aetable
Alto
Alto
Medio
Alto
Alto
Alto
Cdigo fuente.
Des(iin
Lneas igo
FrontOfficeVenta 1000000 lneas
BackOfficeVenta
API-Reservas
OTA-Reservas
CamasHotel
RecepTur
AirjetConecta
GestHoteles
ReserMay
2000000 lneas
750000 lneas
500000 lneas
500000 lneas
500000 lneas
350000 lneas
450000 lneas
3000000 lneas
Obse($aiones
Venta Minorista
Procesos gestin
Minorista
API Reservas
OTA Reservas
Banco Camas Hotel
Gestin Receptiva
Motor Venta Areo
Gestin Hotelera
Venta Mayorista
Ni$el (iesgo
aetable
Bajo
Bajo
Bajo
Bajo
Bajo
Bajo
Bajo
Bajo
Bajo
Plan de implementacin de la
ISO/IEC 27001:2005
IT-Consulting
Informacin / Otros.
G(uo
Informacin
Tio
TI
Comercial
SSGG
Otros
Direccin
Mercado
Vehculos
Des(iin
Contratos TIC
Contratos Comerciales
BD Clientes
Ofertas
Contratos servicios
Contabilidad-Finanzas
Plan estratgico 2015
Capacidad de Servicios
Imagen
Know How
Coche clase C
Ni$el (iesgo
aetable
Medio
Medio
Bajo
Alto
Alto
Medio
Medio
Medio
Bajo
Medio
Alto
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
37- Conlusiones
La aplicacin de la metodologa del anlisis de riesgos en nuestra organizacin nos proporciona
importantes conclusiones que sern el punto de partida para el establecimiento de los
proyectos de seguridad de la empresa.
Mediante el anlisis de amenazas podemos observar que la fuente ms representativa (73%)
entre las amenazas identificadas corresponde al origen humano, este hecho refleja la
importancia de prestar especial atencin a la aplicacin de medidas y controles relacionadas
con las personas (empleados, proveedores, clientes, etc.).
Respecto al riesgo intrnseco de activos observamos que entre los niveles ms altos de riesgos
se encuentran los activos relacionados con el Core de nuestra organizacin, es decir la
aplicaciones que soportan los servicios que proporcionamos a nuestros clientes (pe.
FrontOfficeVenta, ReserMay, etc.) y la infraestructura que mantiene estas aplicaciones es decir
servidores Web y Bases de Datos.
En cuanto a las amenazas que ms impacto tienen en nuestros activos podemos encontrar
Errores humanos de programacin. Esta amenaza impacta directamente en nuestras
Aplicaciones Core y otros activos que TIC (Servidores, Dispositivos de red, etc.) que requieren
de un software para funcionar.
El trabajo para reducir las amenazas y riesgos de seguridad debern orientarse a proyectos que
fortalezcan las aplicaciones de la organizacin y la infraestructura en donde se ubican as como
en procedimientos, controles y herramientas destinadas a evitar errores humanos en la
programacin.
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
Catulo 4
P(ouesta e (o%etos
4- Int(ouin
En esta fase tenemos a nuestra disposicin nuestro estado de cumplimiento de la ISO/IEC
27001:2005 y un anlisis de riesgos, es momento de proponer soluciones para mejorar nuestro
estado. Para ello, en este captulo se realizar la propuesta de un programa de proyectos y se
definirn cuales son las expectativas de mejora previstas si se llevan a cabo. La propuesta de
los proyectos tiene como objeto minimizar el riesgo y evolucionar el cumplimiento de la ISO.
42- P(ouestas
A continuacin se presentan las propuestas de proyectos mediante una ficha tcnica muy
ejecutiva donde se identifican los siguientes datos:
-
ID y Nombre.
Objetivos.
Requisitos.
Especificaciones.
Esfuerzo (Plan de trabajo, coste y dificultad).
Implicaciones en la organizacin.
Impacto en la empresa (econmico y estratgico).
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
Proyecto 1:
Organizacin de
la seguridad y su
poltica de
aplicacin.
Requisitos
Esei'iaiones
Es'ue(zo
Elaboracin,
aceptacin y
comunicacin
poltica
seguridad.
Poltica de
seguridad
basada en el
estndar ISO
27001 y
alineada con el
alcance
proporcionado.
Plan de trabajo
Coste
1 mes.
5.000 Consultora
externa
especializada.
Definicin de
organigrama y
responsabilidades
de seguridad.
Definicin de
procesos y
elaboracin de
metodologas
bsicas de
seguridad.
Establecimiento
de medidas para
el aseguramiento
de la seguridad
de terceras
partes.
Dificultad
implantacin
2 FTE internos /
mes
Baja. La mxima
dificultad se
concentra en la
implicacin de la
Direccin
Imliaiones en la o(ganizain
Necesidad del establecimiento de la organizacin y
poltica de seguridad.
Imato
Econmico
Estratgico
Concienciacin de la
empresa en la seguridad.
Mejora y optimizacin de
los procesos de
seguridad.
Potencial:
-5% impacto amenazas =
20.000 aprox
-1% riesgo intrnseco =
1.500.000 aprox
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
Proyecto 2:
Formacin y
concienciacin
de seguridad.
Requisitos
Esei'iaiones
Es'ue(zo
Plan tri-anual
No aplica.
Plan de trabajo
Coste
1 mes
(desarrollo)
15.000
destinado a
formacin /ao
1 FTE interno /
ao
Dificultad
implantacin
Baja. La mxima
dificultad se
concentra en la
implicacin de
los trabajadores.
Imliaiones en la o(ganizain
Necesidad de desarrollo e implementacin de planes
de formacin (actualmente no existen).
Imato
Econmico
Estratgico
Incremento de la
productividad de los
empleados.
Incremento en la calidad y
seguridad de los servicios
ofrecidos.
Incremento productividad
+3% = 400.000 anuales
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
Proyecto 3:
Asegurando el
ciclo de vida del
software.
Requisitos
Esei'iaiones
Es'ue(zo
Establecimiento
de estndares
de requisitos de
seguridad.
Infraestructura
de Sistemas
(Virtualizada)
Plan de trabajo
Coste
3 meses
20.000
Consultora
externa
Diferenciacin
de entornos
Desarrollo, Test
y Produccin.
Definicin de las
actividades del
ciclo de vida de
software.
Poltica de
controles
criptogrficos.
40.000
Infraestructura
15 FTE internos
/ 3 meses
Dificultad
implantacin
Media.
La re-definicin
de procesos y
metodologas
requiere la
implicacin del
equipo de
personas.
Imliaiones en la o(ganizain
Necesidad de entornos independientes de produccin,
test y desarrollo.
Imato
Econmico
Estratgico
Mejora en la calidad y
seguridad del software.
Incremento productividad
+5% = 700.000
Descenso dedicacin
resolucin errores -10% =
500.000
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
Proyecto 4:
Mejora de la
gestin de
incidencias y
problemas.
Requisitos
Esei'iaiones
Es'ue(zo
Optimizacin del
proceso de
gestin de
incidencias y
problemas.
Modelo
estndar de
referencia: ITIL
Plan de trabajo
Coste
3 meses
10.000
consultora
externa
1 FTE interno /
mes
Definicin del
proceso y flujo
de actividades.
Adaptacin de la
herramienta de
ticketing.
Formacin y
training.
Establecimiento
del proceso de
mejora
continua.
Dificultad
implantacin
Media.
Requiere la
implicacin y
formacin de los
usuarios finales.
Imliaiones en la o(ganizain
Mejorar la eficacia y eficiencia de la gestin de
incidencias / problemas.
Imato
Econmico
Estratgico
Reduccin de incidencias.
Aumento de la
satisfaccin de los
clientes.
Mejora de productividad.
Incremento productividad
1% = 140.000
Descenso dedicacin
resolucin incidencias
-10% = 100.000
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
Proyecto 5:
Continuidad y
recuperacin del
negocio.
Requisitos
Esei'iaiones
Es'ue(zo
Anlisis de
riesgos
(amenazas)
Debe incluir un
estudio de la
zona (ubicacin)
y la
identificacin de
los desastres
naturales ms
probables.
Plan de trabajo
Coste
5 meses
40.000
Consultora
externa
Plan de
continuidad y
recuperacin
Pruebas y
simulacin.
Proceso de
mejora
continua.
100.000
Infraestructura
1,5 FTE Internos
/ Mes
Dificultad
implantacin
Alta.
Requiere una
importante
implicacin de la
direccin y
mandos
intermedios
Imliaiones en la o(ganizain
Proteger la continuidad de la empresa en el mercado
en caso de desastre.
Imato
Econmico
Estratgico
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
Proyecto 6:
Oficina de
Calidad, Testing
y Arquitectura.
Requisitos
Esei'iaiones
Es'ue(zo
Estructura
organizativa.
Separacin de
capas (negocio,
aplicacin,
presentacin y
BBDD).
Plan de trabajo
Coste
6 meses.
25.000
consultora
externa
Definicin de
roles y
funciones.
Diseo de
arquitectura de
aplicaciones y
BBDD.
Dificultad
implantacin
3 FTE internos /
ao
Estndares de
programacin
de fabricantes.
Establecimiento
de procesos,
procedimientos
y metodologas
de desarrollo.
Auditora y
control de la
normativa.
Formacin y
capacitacin del
equipo.
Media.
Requiere la
implicacin de
todo el equipo
de desarrollo y
modificacin en
los procesos de
trabajo.
Deber
elaborarse un
plan alternativo
de adaptacin
de cdigo
antiguo.
Imliaiones en la o(ganizain
Mejorar la organizacin implicada en el desarrollo de
aplicaciones, optimizacin de procesos, etc.
Imato
Econmico
Estratgico
Mejora de la imagen y
calidad de los productos
desarrollados.
Reduccin de tiempo de
resolucin de problemas.
Reduccin de riesgos de
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
seguridad.
Aumento del rendimiento
de aplicaciones.
Aumento 15%
rendimiento aplicaciones
= 100.000
Reduccin -5% resolucin
problemas = 50.000
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
Proyecto 7:
Evolucin de
plataformas de
desarrollo.
Requisitos
Esei'iaiones
Es'ue(zo
Aplicaciones de
control y
repositorios de
cdigo
(integradas).
Herramientas
integradas con
los fabricantes
de lenguajes de
programacin o
estndares de
facto.
Plan de trabajo
Coste
2 meses
15.000
consultora
externa
Establecimiento
de normas y
procedimientos
de uso.
Almacenamiento
del cdigo
antiguo en
nueva
aplicacin.
Formacin y
capacitacin del
equipo.
Dificultad
implantacin
Baja.
3.000 licencias
1 FTE /mes
La dificultad se
concentra en la
migracin del
cdigo y
formacin al
personal.
Imliaiones en la o(ganizain
Evolucionar las herramientas de trabajo de los
empleados.
Imato
Econmico
Estratgico
Aumento de la
productividad de los
empleados.
Evolucin de la
plataforma de trabajo
(desarrollo).
Aumento +5%
productividad = 700.000
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
Proyecto 8:
Aseguramiento
de
infraestructuras
crticas.
Requisitos
Esei'iaiones
Es'ue(zo
Segmentacin y
redundancia de
sistemas
crticos.
Virtualizacin de
servidores.
Plan de trabajo
Coste
7 meses
150.000
Infraestructura
Redundancia de
sistemas.
3 FTE Internos
/mes
Actualizacin y
modernizacin
de sistemas.
Simulacin de
amenazas y
traning al
equipo.
Dificultad
implantacin
Media.
Requiere
modificaciones
en la
infraestructura y
migracin de
sistemas.
Imliaiones en la o(ganizain
Resistencia ante incidentes de seguridad.
Imato
Econmico
Estratgico
Reduccin de daos
econmicos en caso de
incidente.
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
Antes
0%
36%
60%
78%
77%
87%
84%
60%
Desus
100%
54%
60%
88%
77%
87%
84%
100%
0%
100%
0%
90%
80%
90%
5.- Poltica de
seguridad.
15.- Cumplimiento.
14.- Gestin de la
continuidad del
negocio.
13.- Gestin de
incidencias de la
seguridad de la
informacin.
12.- Adquisicin,
desarrollo y
mantenimiento de
sistemas de
11.- Control de
acceso.
6.- Organizacin de
la seguridad y la
informacin.
7.- Gestin de
activos.
Antes
Despues
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
43- Conlusiones
Despus de analizar la propuesta de proyectos (esfuerzo e impacto) se ha elaborado un
RoapMap de ejecucin de los proyectos teniendo en cuenta su duracin e impacto en la
organizacin.
Podemos identificar que el proyecto que mayor impacto positivo tendr en la organizacin
bajo mnimo esfuerzo es Asegurando el ciclo de vida del software, por lo tanto lo hemos
posicionados en la primera fase del ao con el objeto de obtener los beneficios cuanto antes.
Aunque siendo coherentes previo a este proyecto se lanzan los dos proyectos bsicos e
imprescindibles de cualquier plan de SGSI, Organizacin de la seguridad y Formacin /
concienciacin de la seguridad, sin lugar a duda son clave para el xito del resto.
A continuacin el proyecto con mejor impacto, aunque con un importante grado de
complejidad es Continuidad y recuperacin del negocio, por ello se considera adecuado
lanzarlo cuanto antes asegurando la disponibilidad recursos internos.
Otro de los proyectos rentables del programa es Evolucin de plataformas de desarrollo, este
proyecto se planifica inmediatamente despus de Asegurando el ciclo de vida del software ya
que es requisito imprescindible para aumentar la calidad de los resultados (primero
metodologas/procesos, luego herramientas).
En junio se inician dos proyectos al mismo tiempo pero ambos muy diferentes, Mejora de la
gestin de incidencias y Aseguramiento de infraestructuras crticas. Este ltimo muy complejo
y con importantes requisitos econmicos aunque de vital importancia para soportar incidentes
de seguridad.
Y finalmente Oficina de calidad, testing y arquitectura, posicionado en la base de los ejes de
impacto y esfuerzo comparndolo con el resto pero de vital importancia para el
mantenimiento y la mejora continua del desarrollo de aplicaciones, core de nuestro negocio.
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
RoaMa e (o%etos
#
P(o%eto
Organizacin de la seguridad
Ene Feb Ma( Ab( Ma% Jun Jul Ago e Ot No$ Di
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
Catulo 5
Auito(a e umlimiento
5- Int(ouin
Este captulo llega el momento de evaluar el cumplimiento de la empresa en materia de
seguridad. La ISO/IEC 27002:2005 nos proporcionar un marco de control del estado de la
seguridad.
Durante el desarrollo de este trabajo se han llevado a cabo acciones de mejora y por lo tanto el
estado de madurez de la empresa ha mejorado respecto su situacin inicial pero es necesario
realizar una auditora de su estado actual para identificar las deficiencias y las oportunidades
de mejora.
Para llevar a cabo este trabajo se llevar a cabo la evaluacin de la madurez de cada uno de los
dominios de control y los controles de la ISO/IEC 27002:2005 y se elaborar un informe de
conclusiones de su anlisis.
52- Metoologa
En este apartado describiremos brevemente la metodologa de auditora empleada para llevar
a cabo el anlisis de madurez y cumplimiento de la ISO/IEC 27002:2005 de la organizacin.
El resumen de las actividades a realizar ser el siguiente:
1. Plan e auito(a. Definicin de objetivos de la auditora, estimacin de recursos y
esfuerzos y tiempo necesario para realizar la auditora.
2. An&lisis e la o(ganizain" (oesos e negoio % sistemas Identificacin y
entendimiento de los procesos de negocio y sistemas de informacin.
3. De'iniin el (og(ama % alane e la auito(a Seleccin de los objetivos de
control aplicables y elaboracin del programa de auditora.
4. E$aluain el sistema e ont(ol inte(no Identificacin de los controles existentes y
su eficiencia. Evaluacin del diseo y grado de proteccin.
5. De'iniin % iseo e las (uebas e auito(a
6. E#euin e las (uebas e auito(a
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx.
Confidencial y Privado | Confidential and Proprietary
Plan de implementacin de la
ISO/IEC 27001:2005
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
IT-Consulting
Documento de
poltica de
seguridad de la
informacin
SEGURIDAD
Revisin de la
poltica de
seguridad de la
informacin
SEGURIDAD
Coordinacin de la
seguridad de la
informacin
Asignacin de
responsabilidades
en seguridad de la
informacin
SEGURIDAD
SEGURIDAD
SEGURIDAD
Proceso de
autorizacin de
recursos para la
seguridad de la
informacin
Acuerdos de
confidencialidad
Cumple
Cumple
Cumple
4-Gestionado y 3-Proceso
evaluable
definido
No cumple
SEGURIDAD
Cumple
SEGURIDAD
Compromiso de la
Direccin con la
seguridad de la
informacin
2-Repetible
2-Repetible
Cumple
4-Gestionado y
evaluable
4Gestionado y
evaluable
4-Gestionado y
evaluable
POLTICA DE SEGURIDAD
Cumple
Plan de implementacin de la
ISO/IEC 27001:2005
IT-Consulting
Relacin con
grupos de inters
especial
SEGURIDAD
Revisin
independiente de la
seguridad de la
informacin
SEGURIDAD
Identificacin de
riesgos derivados
del acceso de
terceros
COMPRAS
Tratamiento de la
seguridad en la
relacin con los
clientes
NEGOCIO
Tratamiento de
seguridad en los
contratos con
terceros
COMPRAS
Inventario de
activos
Propietarios de los
activos
SISTEMASREDES
SISTEMASREDES
Cumple
No cumple
3-Proceso
definido
GESTIN DE ACTIVOS
3-Proceso definido
Cumple
TERCERAS PARTES
Cumple
No cumple
4-Gestionado y
evaluable
Cumple
SEGURIDAD
No cumple
Cumple
1-Inicial/adHoc
4-Gestionado y
evaluable
2-Repetible
Plan de implementacin de la
ISO/IEC 27001:2005
IT-Consulting
Directrices de
clasificacin
Etiquetado y
tratamiento de la
informacin
Funciones y
responsabilidades
Investigacin de
antecedentes
Trminos y
condiciones del
empleo
RRHH
RRHH
RRHH
Cumple
Cumple
Cumple
SEGURIDAD
FISICA
DURANTE EL EMPLEO
Responsabilidades
de la Direccin
RRHH
Cumple
RRHH
4-Gestionado y
evaluable
Cumple
CLASIFICACIN DE LA INFORMACIN
3-Proceso
definido
RRHH
Cumple
Uso aceptable de
los recursos
No cumple
3-Proceso definido
3-Proceso
definido
4-Gestionado y evaluable
Plan de implementacin de la
ISO/IEC 27001:2005
IT-Consulting
Proceso
disciplinario
Responsabilidad
del cese o cambio
RRHH
Devolucin de
activos
RRHH
Supresin de los
derechos de
acceso
RRHH
Permetro de
seguridad fsica
Control fsicos de
entrada
Seguridad de
oficinas, despachos
y salas
Cumple
Cumple
Cumple
SEGURIDAD
FISICA
SEGURIDAD
FISICA
SEGURIDAD
FISICA
Cumple
5-Optimizado
REAS SEGURAS
Cumple
Cumple
5-Optimizado
9
9
RRHH
444-Gestionado y
Gestionado y Gestionado y
evaluable
evaluable
evaluable
5-Optimizado
RRHH
No cumple
No cumple
Concienciacin,
formacin y
capacitacin en
seguridad de la
informacin
0-Inexistente 0-Inexistente
Plan de implementacin de la
ISO/IEC 27001:2005
IT-Consulting
Acceso publico,
zonas de carga y
descarga
Cumple
Cumple
Cumple
SEGURIDAD
FISICA
5-Optimizado
Emplazamiento y
proteccin de los
equipos
Instalaciones de
suministro
Seguridad del
cableado
SEGURIDAD
FISICA
SEGURIDAD
FISICA
SISTEMASREDES
Cumple
SEGURIDAD
FISICA
Cumple
Trabajo en reas
seguras
Cumple
SEGURIDAD
FISICA
5-Optimizado
Proteccin contra
amenazas externas
y de origen
ambiental
5-Optimizado
5-Optimizado
5-Optimizado
5-Optimizado
Plan de implementacin de la
ISO/IEC 27001:2005
IT-Consulting
10
10
10
Cumple
Documentacin de
los procedimientos
de operaciones
SISTEMASREDES
Gestin de los
cambios
SISTEMASREDES
Cumple
10
No cumple
No cumple
SEGURIDAD
FISICA
1-Inicial/adHoc
Retirada de
materiales de
propiedad de la
empresa
2-Repetible
SISTEMASREDES
Seguridad de
equipos fuera de
los locales propios
No cumple
Seguridad en la
reutilizacin o
eliminacin de
equipos
Cumple
SEGURIDAD
FISICA
Mantenimiento de
los equipos
1-Inicial/adHoc
SISTEMASREDES
5-Optimizado
3-Proceso
definido
5-Optimizado
Plan de implementacin de la
ISO/IEC 27001:2005
IT-Consulting
10
10
10
10
10
Supervisin y
revisin de los
servicicios
prestados por
terceros
SISTEMASREDES
Gestin de cambios
en los servicios
prestados por
terceros
SISTEMASREDES
Cumple
Cumple
Cumple
SISTEMASREDES
Cumple
Provisin de
servicios
Cumple
Gestin de
capacidades
Aceptacin de
sistemas
SISTEMASREDES
Se gestiona, en la mayora de
servicios/sistemas, las capacidades de los
mismos y se ajusta el consumo. Adicionalmente
se realizan proyecciones de los requisitos
futuros de capacidad. No existe una poltica
clara y formal al respecto pero se lleva a cabo
de manera continua.
Cumple
10
SISTEMASREDES
Cumple
10
3-Proceso definido
SISTEMASREDES
3-Proceso definido
10
3-Proceso definido
Separacin de los
entornos de
desarrollo, pruebas
y explotacin
3-Proceso
definido
10
5-Optimizado
SISTEMASREDES
3-Proceso
definido
10
Segregacin de
tareas
4-Gestionado y
evaluable
Plan de implementacin de la
ISO/IEC 27001:2005
IT-Consulting
10
10
10
10
10
Cumple
Cumple
Cumple
SISTEMASREDES
Controles de red
Seguridad de los
servicios de red
SISTEMASREDES
SISTEMASREDES
Cumple
Copias de
seguridad de la
informacin
Cumple
10
MANIPULACIN DE SOPORTES
Gestin de
soportes extrables
SISTEMASREDES
No cumple
COPIAS DE SEGURIDAD
Retirada de
soportes
SISTEMASREDES
No cumple
10
SISTEMASREDES
4-Gestionado y
evaluable
Controles contra
cdigo mvil
5-Optimizado
10
SISTEMASREDES
5-Optimizado
Controles contra
software malicioso
4-Gestionado y
evaluable
10
1-Inicial/adHoc
2-Repetible
10
5-Optimizado
Plan de implementacin de la
ISO/IEC 27001:2005
IT-Consulting
Polticas y
procedimientos de
intercambio de
informacin
SEGURIDAD
10
Acuerdos de
intercambio
RRHH
SEGURIDAD
FISICA
SISTEMASREDES
SISTEMASREDES
Correo electrnico
Sistemas de
informacin
empresariales
10
10
10
Cumple
Cumple
Cumple
10
Cumple
4-Gestionado y evaluable
5-Optimizado
10
Soportes fsicos en
transito
3-Proceso definido
10
Cumple
INTERCAMBIO DE INFORMACIN
No cumple
SISTEMASREDES
Cumple
10
50-Inexistente
Optimizado
Seguridad de la
documentacin de
los sistemas
SISTEMASREDES
3-Proceso
definido
10
Cumple
3-Proceso definido
10
Procedimiento de
manipulacin de la
informacin
4-Gestionado y
evaluable
Comercio
electrnico
SISTEMASREDES
Plan de implementacin de la
ISO/IEC 27001:2005
IT-Consulting
10 10
10 10
SISTEMASREDES
Proteccin de la
informacin de los
registros
SISTEMASREDES
Registros de
administracin y
operacin
SISTEMASREDES
Registros de fallos
SISTEMASREDES
Sincronizacin de
relojes
SISTEMASREDES
11
Cumple
No cumple
3-Proceso definido
CONTROL DE ACCESO
1
11
11
Poltica de control
de acceso
SEGURIDAD
Cumple
11
Cumple
Monitorizacin del
uso de los sistemas
Cumple
Cumple
10 10
SISTEMASREDES
Cumple
10 10
Registro de
auditoras
Cumple
10 10
5-Optimizado
10 10
MONITORIZACIN
5Optimizado
10 10
SISTEMASREDES
Cumple
Informacin con
acceso publico
SISTEMASREDES
4-Gestionado y
evaluable
Transacciones en
lnea
3-Proceso
definido
55-Optimizado
Optimizado
10
3-Proceso
definido
10
4-Gestionado y
evaluable
Plan de implementacin de la
ISO/IEC 27001:2005
IT-Consulting
Cumple
Cumple
Uso de las
contraseas
SISTEMASREDES
SISTEMASREDES
SISTEMASREDES
11
11
Poltica de puesto
de trabajo
despejado y
bloqueo de pantalla
11
3-Proceso definido
RESPONSABILIDAD DE USUARIO
Equipo de usuario
desatendido
11
Cumple
No cumple
SISTEMASREDES
4-Gestionado y evaluable
Revisin de los
derechos de
accesos
Cumple
11
SISTEMASREDES
Cumple
Gestin de las
contraseas de los
usuarios
Cumple
11
Cumple
SISTEMASREDES
0-Inexistente
11
Gestin de
privilegios
SISTEMASREDES
3-Proceso definido
Registro de usuario
4-Gestionado y
evaluable
11
3-Proceso
definido
11
3-Proceso definido
11
5-Optimizado
Poltica de uso de
los servicios de red
SISTEMASREDES
Plan de implementacin de la
ISO/IEC 27001:2005
IT-Consulting
Diagnstico remoto
y proteccin de los
puertos de
configuracin
SISTEMASREDES
11
11
SISTEMASREDES
Control de
encaminamiento en
la red
SISTEMASREDES
Cumple
Procedimiento
seguros de inicio
de sesin
SISTEMASREDES
11
Identificacin y
autenticacin de
usuario
SISTEMASREDES
SISTEMASREDES
11
Sistema de gestin
de contraseas
Cumple
5-Optimizado
11
No cumple
Control de
conexin a la red
Cumple
11
SISTEMASREDES
3-Proceso
definido
Segregaciones de
la red
5-Optimizado
11
Cumple
11
Cumple
SISTEMASREDES
Cumple
Identificacin de
equipos en la red
Cumple
Cumple
5-Optimizado
11
5-Optimizado
SISTEMASREDES
5-Optimizado
5-Optimizado
5-Optimizado
11
Autenticacin de
usuarios para
conexiones
externas
5-Optimizado
Plan de implementacin de la
ISO/IEC 27001:2005
IT-Consulting
11
Aislamiento de
sistemas sensibles
11
Ordenadores
porttiles y
comunicaciones
mviles.
Teletrabajo
SISTEMASREDES
RRHH
Cumple
Cumple
Cumple
No cumple
12
12
SISTEMASREDES
No cumple
11
Cumple
11
SISTEMASREDES
Cumple
Restriccin de
acceso a la
informacin
11
4-Gestionado y
evaluable
Cumple
SISTEMASREDES
4-Gestionado y
evaluable
11
Limitacin de las
ventanas de
conexin
4-Gestionado y
evaluable
SISTEMASREDES
5-Optimizado
11
Desconexin
automtica de
sesin
Uso de las
utilidades de los
sistemas operativos
1-Inicial/adHoc
SISTEMASREDES
1-Inicial/adHoc
11
3-Proceso
definido
11
5-Optimizado
12
12
Plan de implementacin de la
ISO/IEC 27001:2005
IT-Consulting
12
12
Poltica de uso de
los controles
criptogrficos
Gestin de claves
SEGURIDAD
SEGURIDAD
Control del
software en
explotacin
12
Proteccin de los
datos de prueba
Control de acceso
al cdigo fuente
12
Cumple
Cumple
No cumple
No cumple
12
12
No cumple
12
CONTROLES CRIPTOGRFICOS
No cumple
Validacin de los
datos de salida
SISTEMASREDES
Cumple
12
No cumple
Cumple
12
Integridad de los
mensajes
2-Repetible
12
12
4-Gestionado y
evaluable
12
Validacin de los
datos de entrada
Plan de implementacin de la
ISO/IEC 27001:2005
IT-Consulting
12
12
12
13
13
Fuga de
informacin
Desarrollo
externalizado de
software
Cumple
Cumple
Cumple
Cumple
4-Gestionado y
evaluable
SISTEMASREDES
5-Optimizado
Restriccin en los
cambios a los
paquetes de
software
SEGURIDAD
Cumple
Revisin tcnica de
las aplicaciones
despus de
cambios en los
sistemas operativos
SISTEMASREDES
Cumple
12
Procedimiento de
control de cambios
4-Gestionado y evaluable
12
4-Gestionado y
evaluable
12
3-Proceso definido
12
2-Repetible
Control de
vulnerabilidades
tcnicas
SEGURIDAD
Plan de implementacin de la
ISO/IEC 27001:2005
IT-Consulting
Notificacin de los
eventos de
seguridad de la
informacin
HELP DESK
13
Notificacin de los
puntos dbiles de
la seguridad
HELP DESK
13
Aprendizaje de los
incidentes de
seguridad de la
informacin
Recopilacin de
evidencias
14
HELP DESK
Continuidad de
negocio y anlisis
de riesgos
SEGURIDAD
Desarrollo e
implantacin de
planes de
continuidad
incluyendo la
seguridad de la
informacin
SEGURIDAD
dem
Marco de
planificacin de la
continuidad de
negocio
SEGURIDAD
dem
14
14
No cumple
No cumple
No cumple
14
SEGURIDAD
No cumple
1-Inicial/adHoc
1-Inicial/adHoc
14
Incluir la seguridad
de la informacin
en el proceso de
gestin de la
continuidad de
negocio
2-Repetible
1Inicial/adHoc
14
HELP DESK
Cumple
No cumple
13
HELP DESK
No cumple
1-Inicial/adHoc
2-Repetible
13
3-Proceso
definido
Responsabilidades
y procedimientos
13
No cumple
Cumple
3-Proceso
definido
13
3-Proceso definido
Plan de implementacin de la
ISO/IEC 27001:2005
IT-Consulting
SEGURIDAD
15
CUMPLIMIENTO
Proteccin de los
documentos de la
organizacin
ASESORIA
JURIDICA
Proteccin de datos
de carcter
personal y
privacidad
ASESORIA
JURIDICA
RRHH
SEGURIDAD
Cumple
Cumple
Cumple
ASESORIA
JURIDICA
Cumple
15
Regulacin de
controles
criptogrficos
15
15
Cumplimiento de
las polticas y
normas de
seguridad.
AUDIT
No cumple
15
Comprobacin del
cumplimiento
tcnico
AUDIT
Cumple
Cumple
15
2-Repetible
Derechos de
propiedad
intelectual
ASESORIA
JURIDICA
5-Optimizado
15
Identificacin de la
legislacin
aplicable
Cumple
15
5-Optimizado
5-Optimizado
15
55-Optimizado
Optimizado
3-Proceso
definido
15
15
dem
No cumple
5-Optimizado
14
Prueba,
mantenimiento y
revisin de los
planes de
continuidad de
negocio
1-Inicial/adHoc
Plan de implementacin de la
ISO/IEC 27001:2005
IT-Consulting
Proteccin de las
herramientas de
auditora de
sistemas de
informacin
AUDIT
Cumple
AUDIT
Cumple
15
Controles de
auditora de los
sistemas de
informacin
5-Optimizado
15
4-Gestionado y
evaluable
15
NC Menor: 2
Descripcin de la no-conformidades:
6.1.4: Se identifican recursos de tratamiento de informacin que no tienen definidos
formalmente el proceso de autorizacin por parte de la Direccin.
6.1.7: No se evidencian contactos con grupos de inters especial, foros o asociaciones
especializadas con la seguridad.
6.2.3: Se evidencian contratos con terceros que conllevan tratamiento de informacin que no
contienen clusulas NDA
Prrafos de la norma: 6.1.4, 6.1.7 y 6.2.3
Plan de implementacin de la
ISO/IEC 27001:2005
IT-Consulting
Revisar todos los contratos que impliquen tratamiento de informacin y comprobar que
cumplen los requisitos de seguridad. En caso necesario incluir los anexos necesarios firmados
por ambas partes.
NC Menor: 2
Descripcin de la no-conformidades:
7.1.2: Aunque todos los activos tienen identificado un propietario en algunos casos no se
puede asignar la responsabilidad a una persona o entidad. Se evidencian identificaciones de
propietarios difusas.
7.2.2: No se identifica una poltica formal y clara del etiquetado y manipulado de la
informacin, aunque se evidencian clusulas de privacidad y confidencialidad en la mayora
de documentacin
Prrafos de la norma: 7.1.2 y 7.2.2
NC Mayor: 2
NC Menor: 0
Descripcin de la no-conformidades:
8.2.2: No se identifican evidencias de la formacin y concienciacin de los empleados y/o
terceros respecto la seguridad de la informacin.
8.2.3: No se evidencia proceso disciplinario formal para los empleados que hayan provocado
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx.
Confidencial y Privado | Confidential and Proprietary
Plan de implementacin de la
ISO/IEC 27001:2005
IT-Consulting
NC Menor: 1
Descripcin de la no-conformidades:
9.2.5: Los equipos y dispositivos que se utilizan fuera de las instalaciones no tienen asignadas
medidas de seguridad adicionales a los que se utilizan en las instalaciones.
9.2.6: No se evidencia ningn procedimiento formal para la reutilizacin o retirada segura de
equipos. Los equipos se retiran y se guardan en un almacn sin tomar medidas adicionales.
9.2.7: La organizacin no tiene ningn control sobre los equipos y/o dispositivos que se sacan
fuera de la organizacin. El ejemplo ms claro son los porttiles y dispositivos mviles.
Prrafos de la norma: 9.2.5, 9.2.6 y 9.2.7
Plan de implementacin de la
ISO/IEC 27001:2005
IT-Consulting
NC Menor: 2
Descripcin de la no-conformidades:
10.7.1: Se evidencia la aplicacin de ninguna medida de control sobre los soportes pticos
(CDROM, DVDROM, etc.). Se localizan discos pticos no almacenados bajo control
adicionalmente no existe ningn inventario de este tipo de soportes.
10.7.2: No existe una poltica de reutilizacin y/o retirada de soportes. Asimismo se constata
que las estaciones de trabajo retiradas no tienen los discos duros borrados.
10.8.2: Se evidencia la carencia de una poltica clara de intercambio de informacin, no todos
los contratos que conllevan el intercambio de informacin incluyen clusulas para su
proteccin.
10.10.1: Existen registros de auditoria pero los periodos de retencin e informacin contenida
en algunos casos no corresponde con la necesaria. No existe una poltica clara de gestin de
registros de auditoria.
Prrafos de la norma: 10.7.1, 10.7.2, 10.8.2 y
10.10.1
Plan de implementacin de la
ISO/IEC 27001:2005
IT-Consulting
NC Menor: 1
Descripcin de la no-conformidades:
11.2.4: No hay evidencias de ningn proceso formal de revisin de derechos usuarios por
parte de la Direccin.
11.5.2: Se evidencia el uso de usuarios genricos utilizados por varias personas al mismo
tiempo.
11.7.1: No existe una poltica formal especfica para la proteccin de los ordenadores
porttiles y comunicaciones mviles.
11.7.2: Se evidencia la existencia de empleados que realizan teletrabajo pero no existe una
poltica de actividades especfica para el teletrabajo.
Prrafos de la norma: 11.2.4, 11.5.2, 11.7.1 y
11.7.2
NC Menor: 3
Descripcin de la no-conformidades:
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx.
Confidencial y Privado | Confidential and Proprietary
Plan de implementacin de la
ISO/IEC 27001:2005
IT-Consulting
NC Menor: 2
Descripcin de la no-conformidades:
13.1.1: Se evidencia un proceso para la notificacin de incidencias de seguridad pero no existe
documentacin sobre el sistema de notificacin de incidencias. Tampoco est notificado a los
usuarios el objeto del mismo.
13.2.2: Se evidencia la notificacin y gestin de los eventos de seguridad pero no se realizan
anlisis post-morten de los incidentes. Tampoco se reflexiona sobre el coste del incidente y
como evitarlo en un futuro.
13.2.3: No existe ningn procedimiento de recopilacin de evidencias en caso de incidentes
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx.
Confidencial y Privado | Confidential and Proprietary
Plan de implementacin de la
ISO/IEC 27001:2005
IT-Consulting
NC Menor: 1
Descripcin de la no-conformidades:
No se est gestionando la continuidad del negocio con ningn tipo de plan o procedimiento.
Prrafos de la norma: N/A
NC Mayor: 1
NC Menor: 0
Descripcin de la no-conformidades:
15.2.1: No existen evidencias de la revisin peridica por parte de la Direccin de los
procedimientos de seguridad dentro de su rea de responsabilidad.
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
5.- Poltica de
seguridad.
100
90
80
70
60
50
40
30
20
10
0
15.- Cumplimiento.
14.- Gestin de la
continuidad del
negocio.
13.- Gestin de
incidencias de la
seguridad de la
12.- Adquisicin,
desarrollo y
mantenimiento de
11.- Control de
acceso.
6.- Organizacin de
la seguridad y la
informacin.
7.- Gestin de
activos.
Actual
8.- Seguridad ligada
a los RRHH.
Objetivo
Ma%o(es Meno(es
15.- Cumplimiento.
17
15
Total
Se entienden como disconformidades mayores (CMM = L0-L1) y disconformidades menores (CMM= L2-L3).
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx.
Confidencial y Privado | Confidential and Proprietary
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
80
14.- Gestin de la
continuidad del
negocio.
60
13.- Gestin de
incidencias de la
seguridad de la
12.- Adquisicin,
desarrollo y
mantenimiento de
11.- Control de
acceso.
40
6.- Organizacin de
la seguridad y la
informacin.
7.- Gestin de
activos.
20
Actual
8.- Seguridad ligada
a los RRHH.
Objetivo
56- Conlusiones
Tras finalizar la auditora de cumplimiento ISO/IEC 27002:2005 observamos que la
organizacin ha experimentado una importante mejora en la seguridad de la informacin
respecto su posicin inicial aunque todava se identifican dominios con niveles de madurez
muy bajos a los que deberan dedicarse esfuerzos para obtener un mejor resultado general.
Un 54% de los controles se mantienen en niveles de madurez L5 y L4, un 33% en niveles de L3L2 y un 13% en niveles de L1-L0, esto datos demuestran que la organizacin est a medio
camino de obtener un estado maduro de la seguridad de la informacin y que existen un
nmero elevado controles (13%) que no estn definidos o que se encuentran en un estado
inicial.
Respecto a la situacin de los controles por dominios, evidenciamos un elevado nivel de
madurez en los dominios de Poltica de seguridad, Seguridad Fsica y Ambiental, Gestin de las
operaciones y comunicaciones y control de acceso; todos ellos por encima del 75% de
madurez. Pero por el contrario dominios con un bajo control de madurez o simplemente
deficientes como por ejemplo: Gestin de incidencias de seguridad y Gestin de la continuidad
del negocio, este ltimo de vital importancia para obtener la continuidad del negocio en caso
de incidente. Se recomienda tomar medidas inmediatas para mejorar estos dos dominios,
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx.
Confidencial y Privado | Confidential and Proprietary
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
pilares bsicos del SGSI, ya que sin ellos no se podr evidenciar el buen funcionamiento del
SGSI. El resto de dominios se encuentran en un nivel de madurez intermedio y requieren
potenciar su eficiencia para mejorar su posicionamiento.
Durante la auditora se han identificado 17 No-conformidades-Mayores y 15 Noconformidades-menores, limitando las conformidades a una por control lo que evidencia que
32 controles (32/133 = 24%) de nuestro SGSI no estara apto de superar una auditora real.
Entre los dominios ms afectados, la Gestin de la continuidad del negocio y el Control de
acceso; y entre los mejores posicionados la Poltica de la seguridad de la informacin y el
dominio de Cumplimiento.
Se recomienda a la organizacin fortalecer el proceso de mejora continua para mejorar el
funcionamiento de los controles ms dbiles y tomar acciones rpidas y contundentes sobre el
dominio de la Gestin de la continuidad sin lugar a dudas vital para la supervivencia de la
empresa en caso de desastre.
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
Catulo 6
Resumen e#euti$o
La informacin gira en torno a nuestras vidas y al desarrollo de las organizaciones, ambos
necesitamos la informacin para ser competitivos, lograr objetivos, obtener ventajas y para
simplemente continuar con la actividad diaria. La informacin es imprescindible en la sociedad
en la que nos encontramos, en el siglo XXI el concepto ha cambiado y actualmente podemos
hablar de la sociedad de la informacin. Como es evidente la concepcin de empresa tambin
se ha transformado, nos encontramos en un mercado globalizado donde las
telecomunicaciones son muy importantes, las transacciones y el comercio electrnico han
crecido considerablemente, lo que ha supuesto que muchas empresas se conciencien
incluyendo el manejo de la tecnologa de la informacin (TI) en sus programas directivos.
La informacin es un activo que, como otros activos importantes de la empresa, es esencial
para las operaciones de la organizacin, y en consecuencia necesita ser adecuadamente
protegida. ISO 27002:2005.
La informacin se presenta en una organizacin en distintos medios (papel, almacenada
electrnicamente, trasmitida, etc.) y tiene importantes propiedades que se deben mantener:
disponibilidad, integridad y confidencialidad.
Es evidente que las organizaciones se enfrentan a amenazas (internas y externas) y
vulnerabilidades como por ejemplo: espionaje, sabotaje, vandalismo, incendios, etc.; por todo
ello aparece la necesidad de la seguridad de la informacin, rea que nos permitir protegerla
adecuadamente para que nuestra organizacin pueda mantener su competitividad,
rentabilidad y en general su existencia en la sociedad. Si la seguridad de la informacin fallara
o no se aplicara correctamente podramos tener distintos impactos en nuestra organizacin,
como por ejemplo: prdidas financieras, denuncias de las autoridades, prdidas de clientes,
prdida de cuota de mercado, interrupcin de las operaciones, dao en la imagen, etc.
Una las normas internacionalmente aceptadas para llevar a cabo nuestro objetivo es ISO/IEC
27000: conjunto de normas y estndares que proporcionan un marco de gestin de la
seguridad de la informacin aplicable a cualquier organizacin. Por ello consideramos
importante el estudio y anlisis de la norma para poder aplicarla correctamente en las
organizaciones que gestionemos, sin lugar a dudas la aplicacin de la misma en la organizacin
mejorar su competitividad, imagen y seguridad.
Plan de implementacion de la ISO-IEC 27001-2005-v.20130607.docx.
Confidencial y Privado | Confidential and Proprietary
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
Cibliog(a'a
Normas UNE ISO/IEC 27001:2005, AENOR.
Normas UNE ISO/IEC 27002:2005, AENOR.
Anlisis GAP ISO/IEC 27002:2005. Adhoc Security. Tristan Ramaget.
Chequeo de cumplimiento ISO/IEC 27001:2005 por Vinod Kumar.
(Material didctico curso Aenor S0-B) Especialista implantador de sistemas de gestin de la
seguridad de la informacin. AENOR Formacin.
Normas ISO de la seguridad de la informacin. Carlos Ormella Meyer.
ISO/IEC 27000: Implantacin y certificacin. TFC JP Nieto Muoz.
Implantacin de la LOPD en la PYMEM. TFC JP Nieto Muoz.
Sistema de gestin de la seguridad de la informacin. UOC. Daniel Cruz / Silvia Garre.
Enfoque metodolgico de auditora a las tecnologas de informacin y comunicaciones.
OLACEFS. Carlos Yaes de la Melena / Sigfrid Enrique Ibsen Muoz
Plan de implementacin de la
ISO/IEC 27001:2005
IT-Consulting
Ane!os
Ane!o A Poltia e segu(ia
Control de versiones.
Fecha
Versin
Autor
Revisin
19/MAR/13
0.1
A- Int(ouin
La prdida o uso indebido de informacin confidencial y/o sensible as como el deterioro o
indisponibilidad de los Sistemas de Informacin pueden causar la interrupcin total o parcial
de los procesos de negocio de nuestra organizacin, produciendo efectos negativos sobre la
productividad, beneficios, calidad del servicio e imagen de la entidad.
Garantizar la confidencialidad, integridad y disponibilidad de la informacin, as como
minimizar la probabilidad de que los riesgos a los que est expuesta nuestra organizacin se
manifiesten es el propsito que persigue la definicin de las Directrices generales de
Seguridad.
El mbito de aplicacin de las Directrices Generales de Seguridad alcanza a todos los Sistemas
de Informacin, instalaciones informticas y redes de comunicaciones que se encuentren bajo
la gestin y responsabilidad de la organizacin.
El Responsable de Seguridad se compromete a implantar y actualizar esta normativa de
obligado cumplimiento. Todas las personas que tengan acceso a los sistemas de informacin se
encuentran obligadas a cumplir lo establecido en este documento, y sujetas a las
consecuencias que pudieran incurrir en caso de incumplimiento.
Las medidas de seguridad presentadas en esta poltica de seguridad afectan a toda la
organizacin y deben ser comprendidas, cumplidas y observadas por todo el personal. Esto
incluye a las terceras partes (clientes, proveedores, colaboradores, etc.) que pudieran emplear
los sistemas de informacin de la organizacin.
Recordemos que estas directrices como el resto de normas, procedimientos, estndares o
cualquier documento relacionado con la seguridad de la informacin y los datos que tratan
tienen un carcter confidencial y slo est permitida su uso y difusin con carcter interno y
por personal autorizado.
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
Confidencialidad de la informacin.
Propiedad intelectual.
Salidas de informacin.
Incidencias.
Software.
Hardware.
Conectividad a Internet.
Correo electrnico.
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
finalidad corporativa. Por lo tanto, queda terminantemente prohibido cualquier uso distinto al
indicado, algunos ejemplos:
El uso de los recursos de la organizacin o aquellos que estn bajo su supervisin para
actividades no relacionadas con la finalidad de la entidad.
El uso de equipos, dispositivos o aplicaciones que no estn especificados como parte
de software y/o hardware contenidos en la organizacin.
Introducir en los sistemas de informacin o red corporativa contenidos ilegales,
inmorales u ofensivos y en general, sin utilidad para los procesos de negocio de la
organizacin.
Introducir voluntariamente programas, virus, spyware o cualquier otro software
malicioso que sean susceptibles de causar alteraciones en los recursos informticos de la
organizacin o de terceros.
Desactivar o inutilizar los programas antivirus y de proteccin del equipo (pe. Firewall)
y sus actualizaciones.
Intentar eliminar, modificar, inutilizar los datos, programas o cualquier otra
informacin propios de la organizacin o confiados a ella.
Conectarse a la red corporativa a travs de otros medios que no sean los definidos y
administrados por la empresa.
-
Los usuarios no deben instalar ni borrar ningn tipo de programa informtico en su PC.
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
A.2.8.- Hardware.
Los usuarios, en su actividad laboral, deben hacer uso nicamente del hardware
instalado en los equipos propiedad de la organizacin y cuya funcin lo requiera para el
trabajo que desempea.
El usuario en ningn caso acceder fsicamente al interior del equipo que tiene
asignado para su trabajo o que pertenezca a la propiedad de la organizacin. En caso necesario
se comunicar la incidencia, segn protocolo habilitado, para que el departamento indicado (o
en su defecto el encargado de su funcin) realice las tareas de reparacin, instalacin o
mantenimiento.
Los usuarios no manipularn los mecanismos de seguridad que la organizacin
implemente en los dispositivos (equipos, porttiles, mviles, smartphones, etc.) de su parque
informtico.
No sacar equipos, dispositivos o soportes de las instalaciones sin la autorizacin
necesaria, y en todo caso, con los controles y medidas que se hayan establecido para cada
supuesto.
A.2.9.- Conexin a Internet.
La autorizacin de acceso a Internet se podra conceder o bloquear de manera acorde con la
labor que los usuarios desempean en la organizacin. Los accesos a Internet podran estar
regulados y controlados por el servicio de informtica de la entidad (o en su defecto el
encargado de su funcin).
El acceso a Internet se realiza exclusivamente a travs de la red establecida para ello y
por los medios facilitados por la organizacin.
El uso de Internet es un servicio que la organizacin pone a disposicin de los usuarios
para un uso estrictamente profesional en las tareas asignadas en la organizacin.
La transferencia de datos a/desde Internet se realizar exclusivamente cuando las
actividades propias del trabajo lo exijan. En el caso de tratarse de datos de carcter personal
de nivel alto slo se podrn transferir en forma cifrada.
A.2.10.- Correo electrnico.
Las normas referentes al correo electrnico son:
El servicio de correo electrnico (o cuentas de correo) que la organizacin pone a
disposicin de los usuarios tiene un uso estrictamente profesional y destinado a cubrir las
necesidades de su puesto.
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
A3- Monito(izain
Con el fin de velar por el uso correcto de los distintos sistemas de informacin de la
organizacin, as como garantizar la integridad, confidencialidad y disponibilidad de los datos
de la organizacin, la organizacin a travs de los mecanismos formales y tcnicos que
considere oportuno, podra comprobar, ya sea de forma peridica o cuando la situacin
tcnica lo requiera, la correcta utilizacin de los recursos de la organizacin por todo el
personal.
En el caso de apreciar un uso incorrecto de los recursos asignados al usuario (aplicaciones,
correo electrnico, conexin a Internet, etc.) se le comunicar la circunstancia y se le facilitar
la formacin necesaria para el uso correcto de los recursos.
En el caso de apreciarse mala fe en la utilizacin de los recursos informticos, la organizacin
podra ejercer las acciones legales que le amparen para la proteccin de sus derechos.
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
Se usarn usuarios personales y se evitarn el uso de usuarios genricos (su uso slo
estar justificado cuando se pueda asociar su acceso con una nica persona).
El nombre de usuario y contrasea asignados a una persona se comunicarn de forma
verbal junto con una copia de las obligaciones del personal en materia de seguridad de la
informacin. La primera vez que la persona inicie sesin en el sistema deber modificar la
contrasea proporcionada para que esta slo sea conocida por l.
El almacenamiento de usuarios y contraseas se realizar utilizando los mecanismos
propios de los Sistemas Operativos y aplicaciones, de manera que estos no sean inteligibles y
preferentemente utilizando cifrado.
La longitud ser igual o superior a 6 caracteres alfabticos, numricos y especiales. Se
obligar el uso de la longitud mnima.
-
Plan de implementacin de la
ISO/IEC 27001:2005
IT-Consulting
Los equipos, soportes y documentos que contengan datos personales no sern sacados
de las dependencias sin autorizacin expresa del Responsable del Fichero tal y como indica la
poltica general de la organizacin.
Si los usuarios dejan su puesto desatendido debern guardar todos los soportes que
contengan datos personales (CD, DVD, documentos, expedientes, etc.) de forma que no
puedan ser accedidos por personas no autorizadas.
A7- Resonsabiliaes
En todo momento el Responsable de Seguridad velar por el cumplimiento de las normas
descritas en la Poltica de Seguridad y la legislacin vigente, y si detectan el incumplimiento de
las mismas, ya sea de forma deliberada o accidental, alertar a los causantes realizando un
seguimiento hasta asegurarse de que desaparece el problema.
En el caso de un incumplimiento deliberado, reincidente o de relevante gravedad se analizarn
las circunstancias pudiendo incurrir en la imputacin de una falta disciplinaria, leve, grave o
muy grave dependiendo de los hechos acontecidos. En tal caso, se adoptarn las medidas
previstas y se informar a las autoridades competentes.
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
fases del ciclo de vida de la informacin, desde la generacin hasta su destruccin, as como
para los sistemas que la soportan: desde el anlisis hasta la explotacin y mantenimiento.
La Poltica debe ser comunicada fehacientemente a toda la Organizacin y otras partes
interesadas (clientes, proveedores, colaboradores, etc.).
La funcin de seguridad recae sobre el Comit de seguridad, que ser el encargado de
establecer las directrices y principios bsicos de seguridad, as como velar por su
cumplimiento.
Cada activo de informacin tendr asignado un responsable que ser el que velar por su
utilizacin y proteccin, asimismo todo usuario de los sistemas de informacin es responsable
del uso adecuado de los mismos y de cumplir con los controles y recomendaciones
establecidas.
La empresa tiene la obligacin de cumplir con la legislacin vigente en materia de proteccin y
seguridad de la informacin, por lo tanto debern identificarse las leyes aplicables en el
tratamiento y seguridad de la informacin as como establecer los mecanismos para
cumplirlas.
Formacin y concienciacin.
El mtodo ms efectivo para mejorar y mantener la seguridad es mediante la formacin
continuada, por ello se incluirn en los planes de formacin de la empresa cursos especficos
de seguridad acorde con los destinatarios. Asimismo se realizarn campaas de concienciacin
dirigida a todo el personal, proveedores y otras terceras partes.
Vigencia.
Esta poltica de seguridad est en vigencia desde el da de hoy y ser revisada al menos
anualmente.
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz
Entre las tareas que se deben realizar para acceder y mantener la certificacin se incluye el
procedimiento de auditoras internas. Este apartado describe el procedimiento de auditoras
internas, que actuar de forma similar a los procesos de auditora externa de re-certificacin.
1.- Fase 1 - Auditora documental: Durante esta fase los auditores deben revisar la
documentacin del SGSI (segn lo previsto en el requerimiento 4.3.1 del estndar) para
comprobar si la organizacin cuenta con un sistema suficientemente maduro y completo como
para superar la fase 2. En esta fase los auditores revisan la poltica y el alcance del SGSI, el
anlisis de riesgos, la seleccin de controles y los procedimientos establecidos.
Con el resultado de estas valoraciones se prepara un informe en donde se recogern los
puntos fuertes y los puntos dbiles del SGSI as como las no conformidades halladas, con
indicacin de su gravedad. Existen tres tipos de hallazgos:
No conformidades mayores: indican un incumplimiento de requisito de la norma o del
SGSI, el auditor considera que pone en peligro la seguridad de la informacin de la
organizacin. Estas no conformidades deben estar resueltas antes de comenzar la fase 2.
No conformidades menores: son incumplimientos parciales o menores de la norma o
de alguna de las reglas internas. Debe estar como mnimo en fase de resolucin antes de llegar
a la fase 2.
Observaciones u oportunidades de mejora: son anotaciones que no requieren ser
tratadas de momento pero que en prximas auditoras puede ser revisado su estado para
determinar si la situacin ha empeorado.
2.- Fase 2 - Auditora de certificacin: En esta fase los auditores deben confirmar que la
organizacin cumple con las polticas, objetivos y procedimientos del SGSI y que estos son
eficaces. Para ello se realizarn pruebas de cumplimiento, es decir, se buscarn evidencias
objetivas del cumplimiento y eficacia de las normas establecidas por la organizacin. Algunos
ejemplos:
-
IT-Consulting
Plan de implementacin de la
ISO/IEC 27001:2005
TFM-MISTIC: Juan Pablo Nieto Muoz