Guia Seguridad Pymes

g u i a d e S a I M F O R I R
Region de Murcia
C onse jeri a de Industr ie y M edio Ambiente. Direction General de Innovation Teenologica
y Sociedad de Is Informacian
L A S E G 1 E S U N P 0 0 U N
w w w .u d ig it a lr
tim er
AsocialI In Murciano deEmpresas
de Tecnologios de la leformacion y las Comunicacianes
UNION EUROPEA
Fondo Europeo de Desarrollo Regional
OE
re
q1c
;s1E,RFELTA,RIgEj
P?gina --
INDICE DE CONTENIDO
1
2 3
Introduccin ..................................................................................... 4 M a r c o N o r m a t iv o u til i z a d o . ... ... ... ... ... ... ..................................... .. 9 G e stin d e la S e gu rida d d e la Info rm a cin . ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 0 ...
3.1
Objetivos Globales.................................................................11
An alisis d e la cap tu ra d e d a tos de clie ntes ..................... . . . . . . . . . . . . . . . . . . . . . . . . . 1 2 . . ..
3.2 Caso prctico: Gestin de Clientes...........................................11 3.3 Conclusiones..................................................................... 16

4
4 4.1
Controles relacionados con el Negocio.................................... 19
Objetivos Generales........................................................... 1
D e fin ic i n d e la Po litica d e S e g u rid a d de la E m p re sa ..................1 9 C l a s i f i c a c i n y m a r c a d o d e l a i n f o r m a c i n . . . .............................21 . C o n t r a t o s c o n t e rc e r o s . . . . . . . . . . . . . . . . ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . 2 3 C a m b i o s e n l o s c o n t r a t o s d e t e r c e r o s . . . . . . . . . .............................26 . C Co m u n ic a cio n e s d e in fo rm a c i n co n te rce ro s ............................2 8 C o m i t d e s e g u r i d a d y L O P D . . . . . . . . . . . . . . . . . . . ..............................30 .. V a l i d e z j u r i d i c a d e l a s e v i d e n c i a s . . . . . . . . . . . . . . ..............................31
Controles relacionados con el Personal ................................... 34

5 5.1
Objetivos Generales........................................................... 34
D e fin ic i n d e Fu n cio n e s y R e sp o n sa bilid ad e s ............................3 4 C l a u s u l a s d e C o n f i d e n c i a l i d a d . . . . . . . . . . . . . . . . . . . . ............................36 C Con cien ciac i n y ed uc ac i n so bre n orm a s d e se gu rida d .............3 8 E Escrito rio lim pio y se gu rida d de eq uipo d esaten dido ..................4 0 R e s p o n s a b i l i d a d e n e l u s o d e c o n t r a s e i i a s . . . .............................41 . N o rm a s d e u s o d e s e rv ic i o s p b l ic o s. . . . .. . .. . . . . . . . . . . .. .. . . . . . . . . .. . . . . . . .4 4 N o rm a s d e se g u r id a d e n Co rr e o El e c tr n ic o . .. .. .. .. ... .. ... .. .. ... .. ... .4 6 F o r m a c i n s o b r e m a n e j o d e i n c i d e n c i a s . . . . . . .............................47
C o n t r o l e s r e l a c i o n a d o s c o n lo s S i s t e m a s d e I n f o r m a c i n . . . . . . . . . . . 5 0
6.1 Objetivos Generales........................................................... 5

6 6.2
Seguridad Fisica relacionada con el Entorno.......................... 5

P Perim etro fisic o d e seg urid ad y co ntrole s d e a cceso...................50 C Con trol d e a cc esos p ablico s, area s de ca rg a y de scarga .............5 2 Proteccin contra am ena zas externas y am bientales..................54
P?gina --
6 6.3
Seguridad Fisica relacionada con los Soportes....................... 55

Salidas de soportes con datos de las instalaciones ........................... 5 57 5 58
I n v e n t a r i o y e t i q u e t a d o d e s o p o r t e s . . . . . . . . . . . 55
Medidas de reutili zaci~ n / elim inacin de soportes M a n t e n i m i e n t o d e e q u i p o s 62 6 Proteccin contra fallos en el suministro electrico
N o rm a s d e u s o d e d i s p o s i t i v o s m v i le s y s o p o r t e s e x t ra i b le s60 6
63 6 65
6.4 Seguridad Lgica en los Sistemas

A n a l i s i s d e n e c e s i d a d e s p a r a e l s o f t w a r e . . . . . 65 6 Actuali zaciones de software 6 66
P r o t e c c i o n c o n t r a c o d i g o m a l i c i o s o . . . . . . . . . . . . . 67 6 Copias de seguridad 69 7 71
6.5 Seguridad Logica en las Comunicaciones

equipos 7 71 72
S e g u r i d a d e n e l a c c e s o a t r a v e s d e r e d e s . I d e n t i f i c a c i automatica de on
C i f r a d o
Controles relacionados con la Revision del sistema .................. 74
7.1 Objetivos Generales........................................................... 74

7 7.2
Auditoria del sistema ......................................................... 74

S i n c r o n i z a c i o n d e r e l o j e s 74 7 C o n t r o l d e r e g i s t r o s d e a c c e s o . . . . . . . . . . . . . . . . . . .75
8 Conclusione s....................................................................... 77 9 Glosario de Term inos ........................................................... 78
P?gina --
1 Introduccin
Los sistem as de informacin se han constituid o como una base imprescindible para el d e s a rr o ll o d e c u a l q u i e r a c tiv id a d e m p re sa r ia l ; e s t o s si s t e m a s h a n e v o lu c i o n a d o o re a f dm extraordinariamente e m b a rg o , e s ta velo z, aumentando ta m b i n ha la capacidad de gestion amena zas y y a l m a c e n a m i e n t o . E l c r e c i m ie n t o h a si d o c o n s t a n t e a lo la rg o d e l a s lt im a s d c a d a s , sin e v o lu c i n te c n o l g ic a g e n e ra d o n u e va s vuln erab ilidades para las organi zaciones. La d ifu sio n d e la s n o tic ia s re la c io n a d a s c o n la se g u rid a d in fo rm tica h a tra n sc e n d idlo de m b ito t c n i c o a l m b i to so ci a l, d o n d e re g u la rm e n t e s e p u e d e n le e r e n p retitulares nsa c como: Evitado el que podia haber sido el mayor robo bancario en R eino Unido -[1803 05] Fuente: http://delitosinformaticos.com/noticias/111113819358799.shtml
Nueva estafa de phising afecta a Cajamar y Cajam adrid [25-05] 03
Fuente: http://www.el mundo.es/navegante/2005/03/28/seguridad/1112004210.html La policia detiene a una mujer por participar en una novedosa estafa de un
"hacker" [27 04 - 05]
Fuente: http://www.entrebits.com/noticias/Internet/articulos/n81085.html
Virus PGPCoder.A cifra documentos y pide luego un rescate. [25-05] 05
Fuente: http://www.pandasoftware.es A m e n a z a s c o m o l o s v i r u s h a n t r a s c e n d i d o d e l m b i t o l o c a l , p e r m i t i e n d o c ramena ear zas que en cuestion de minutos pueden alcan zar a cualquier equipo conectado a Internet.
P?gina --
Rapidez y globalizacin de efectos
Personas
P?gina --
Procesos
Dimensiones de la seguridad
Tecnologia
Confidencialidad
Autenticaci6n
Disponibilidad
Lo importante no es tanto la ausencia de incidentes como la confianza en que estn bajo control: se sabe qu puede pasar y se sabe qu hacer cuando pasa. Conocer los riesgos para poder afrontarlos y controlarlos.
Ilustracin - dimensiones de la seguridad de la informacin. Los asp ectos a anali zar son am plios y la inversin a reali zar es igualm ente importante, s i n em bargo, es preciso definir una estrategia que p l a n i f i q u e l a s a c t u a c i o n e s a li za r, ta nto pa ra com p ro m e te r re cu rso s rea ec on m ico s co m o hu m a no s.
GG esi tiiim de ll a segt uriidad.
Es necesario que los tres elementos funcionen de forma conjunta y coordinada:

- Tecnologia: m ed id a s tec no lg ic as de prote cc i n. - Procesos: supervisar el correcto funcionam iento de la cn o lo g ia y la s te p e rso n a s. - Personas: utilizan la tecnologia y ejecutan losprocesos.
Ilustracin - gestin de la seguridad de la informacin. E sta p ro b le m tic a h a ce n e c e sa ria u n a e stra te g ia d e ap o yo a la s Pym e s y M ic ro p ym e s, q u e d e b e n s o l u c io n a r, e n s it u a c i n d e d e sv en ta ja fre n te a c o m p e tid o re s ms g ra n d e s , la seg urid ad de su in fo rm aci n y el cu m plim ie nto de su s obliga cio ne s leg ales.
Trazabilidad
Integridad
Seguridad de la Informacin
P?gina --
En el alio 2005 el Gobierno de la Region de Murcia lan za el Plan para el Desarrollo la Sociedad de la Informacion en la Region de Murcia (PDSI) 2005 2007
'
de
que se
constituye en la herramienta que tiene como mision "contribuir de manera efectiva a que la Region de Murcia consiga alcan zar los objetivos planteados por la Union Europea para el alio 2010 de constituirse en la economia del conocimiento mas competitiva y dinamica del mundo". El PDSI recoge en su tercera linea de actuacion, la "Accion 3.1. - Programa de sensibili zacion en materia de seguridad informatica y de adaptacion a la LOPD", como marco que facilite la puesta en marcha de actuaciones orientadas a sensibili zar a responsables de Organismos, Instituciones, Entidades y Empresas de la Region de Murcia sobre la necesidad de adoptar todas las medidas de seguridad informatica necesarias para la proteccion de sus sistemas, asi como las medidas de proteccion de datos de caracter personal de acuerdo con la Ley Organica de Proteccion de Datos (LOPD) Para la consecucion de este objetivo, la Consejeria de Industria y medio Ambiente y la Direccion General de Innovacion Tecnologica y Sociedad de la Informacion, con la colaboracion de la Asociacion Murciana de Empresas de Tecnologias de la Informacion y las Comunicaciones - TIMUR, presentan la "GUbA DE SEGURIDAD DE LA INF0RMACIoN PARA PYMES". Esta Guia pretende convertirse en el manual de referencia para Pequelias y Medianas empresas que abordan el problema de la seguridad de sus sistemas de informacion y el cumplimiento de la legislacion vigente. La Guia contiene informacion dirigida tanto a la direccion de la organi zacion como a los perfiles tecnicos de la misma. Con el fin de facilitar a todos ellos la lectura y comprension de esta informacion, la guia se ha estructurado en los siguientes apartados: A Apartados de introduccion para situar al lector: Marco Normativo , destaca las principales normas, estandares y leyes
a aplicables en materia de seguridad de la informacion. Gestion de la Seguridad de la Informacion , introduce el termino
"g e s ti on " co m o e s t ra t e g i a pa r a ab or d a r l as a ct u a ci o n e s q u e to d a organi zacion debe reali zar en materia de seguridad de la informacion. A Apartados que agrupan las medidas de seguridad: Controles relacionados con el negocio seguridad corporativas, de relaciones con , tales como politicas de terceros, acuerdos
P?gina --
c o n fid e n c ia l id a d , e t c . , q u e s e d e b e n t e n e r e n c u e n t a d e fo rm a c o m a n toda por l la organizacion. Controles relacionados con el personal formacion y c co ncienciacion, funciones, confidencialidad y recom endaciones a aplicar. Controles relacionados con el sistema de informacin l a s com unicaciones. c Controles relacionados con la revision del sistema posible aud itoria d el m ism o. A Apartados finales: Resumen , breve descripcion de las ideas mas im portantes desarrolladas en la guia para fac ilitar su lectu ra y co m p re nsio n. l Glosario de terminos , con la explicacion o detalle de los conceptos , anali zando la , incluyendo la , incluyendo
segurid ad fisica en el entorno y so p ortes, y la segurid ad lo g ica en
mas imp ortantes que aparecen en la guia.
P?gina --
2 Marco Norm ativo utilizado

Como base norm ativa para reali zar la presente guia de seguridad, se ha anali zado en p rim er lugar la legislacion vigen te, que afecta a l desa rrollo d e las actividad es e mp resariales en las p ymes y que imp lica la imp lan tacio n de form a exp licita de m e d id a s de se g u rid a d en lo s siste m a s de in fo rm a c io n . El m a rc o leg a l e n m a te ria d e s seguridad de la inform acion viene establecido por la siguiente legislacion: Ley Orgnica 15/1999, de 13 de diciembre, de Proteccion de Datos de C a r c te r Pe rso n a l, B O E d e 1 4 d e dicie m b re (e n a d e la n te LO PD ). R e a l D e c re to 9 9 4 /1 9 9 9 , d e 1 1 d e ju n io , so b re M e d id a s d e S e g u rid ae d d los ficheros auto mati zados que contengan datos d e carcter personal ( (en adelante RM S). D ir e c t i v a d e l a U n io n E u r o p e a 9 5 / 4 6 / C E , d e 2 4 d e o c t u b re , s o b r e proteccion de las personas fisicas en lo que respecta al tratam iento de d atos personales y a la lib re circulacion de sto s (DOCE 24-V II-1995). Ley 3 4/2002, de 11 de julio, de servicio s de la so ciedad de la inform acion y d e com ercio electronico. C o m o c o m p l e m e n t o a l a le g i s la c i n v i g e n t e e n m a t e r i a d e p ro t e c c i n d e d a t o s d e carcter personal, existe en la actualidad la norm a internacional UNE ISO/IEC 17799:2005 " Cdigo de Buenas Prcticas para la gestin de la seguridad de la informacin ", q u e se h a c o n fig u ra d o co m o u n e st n d a r facto a la h o ra d e a ud ita r s de lo a sp e c to s re la ci o n a d o s c o n l a se g u rid a d d e la in fo rm a c i n e n la s o rg a n i z a c io n e s.a E st n o r m a , q u e re c i e n t e m e n t e h a s i d o r e v i s a d a , c u b re a t r a v s d e s u s 1 1 d o m indio s e c o n t r o l - d i s t r i b u i d o s e n 1 3 3 c o n t r o l e-s l o s a s p e c t o s m s r e l e v a n t e s d e e s tproceso. , e
P?gina --
3 Gestin de Ia Seguridad de Ia Inform acin

Los sistem as de informacion de las organi zaciones desarrollan su m ision en un entorno h o st il. La s o rg a n i za c io n e s so n re sp o n sa b le s d e la p ro te cc io n d e la in fo rm a c io n q u e gestionan ante las amena zas de este entorno y deben, por todos los medios disponibles, garanti zar su confidencialidad, integridad y disp onibilid ad. D e s d e h a c e t ie m p o , s e p e rc ib e u n a c re c i e n t e p re o c u p a c io n p o r t o d o s l o s a s p e c t o s re la c i o n a d o s c o n la se g u rida d . To d a s la s o rg a n i za c io n e s, p a b lic a s o p riva d a s, g ra n d e s o pequenas, se enfrentan dia a dia a am ena zas contra sus recursos in form ticos, elevad o con riesgo de su frir inc ide ntes de a lto im p a cto e n su actividad . El imparable avance de las nuevas tecnologias en las organi zaciones y, en general, el d e s a rro l lo d e l a "S o c ie d a d d e l a I n fo rm a c i n " n o h a c e m s q u e a g ra v a r l a s it u a c Los . in riesgos que surgen relacionados con tecnologias y procesos de negocio, requieren m a s, siste so lu c io n e s y se rvic io s e m e rg e n te s. S olu c io n e s p a ra g a ra n ti za r, d e fo rm a t i n u a d a e n e l con t i e m p o , l a a c t i v i d a d d e l a s o r g a n i z a c i o n e s , l a s e g u r i d a d d e ina rm a c i n b a s e d e l l fo n e g o c i o y l o s d e re c h o s d e l o s in d iv i d u o s , e n u n a so c i e d a d c avea z m s inform ati zada, d cum pliendo al m ism o tiem po con leyes com o la LOPD, LSSI y otras. La seguridad no es un producto: es un proceso. controlado, gestionado y monitori zado. Con el objetivo de ilustrar el contenido de la guia, se anali zar a lo largo de los d ife r e n t e s c a p i t u l o s e l c a s o d e u n a p y m e m u rc ia n a d e l s e c t o r s e rv i c i o s , q u e o p e ra ae n l Reg io n de M urcia y que se p lantea ab o rdar una estrategia de seg urid ad d e la in fo rm ac io n pa ra p ro te ge r su s da tos e in fo rm ac io n. A c o n t i n u a c i o n , s e p r e s e n t a r l a p r o b l e m t i c a d e l a c a p t a c i o n gestion de y CLIENTES por parte de la empresa. Para este proceso y desde el punto de vista de la seguridad, es imprescindible poder garanti zar la exactitud de los datos de clientes y la d i s p o n i b i l i d a d d e l a s a p l ic a c i o n e s d e g e s t i o n , q u e s o n e l s o p o r t e p r i n c i p a l d e l a s a ctivid ad e s d e n e go cio d e to d a e m p re sa . El desarrollo de las actuaciones necesaria s en m ateria de seg uridad d e la inform acin , pa ra re d u c ir e l rie sg o a so c ia d o a la p rd id a o filt ra ci n d e lo s da to s d e lo s clie n te s la a y p rd id a d e disp on ib ilidad del sistem a d e in fo rm aci n d e la em presa, se ab orda rlos en siguientes capitulos. Un proceso continuo que debe ser
P?gina --
3.1 Objetivos Globales.

El objetivo d e este apartado es ilustrar con un caso practico las actuaciones a realipzara ar establecer una adecuada gestion de la seguridad de la inform acion. Las caracteristicas de la seguridad a considerar son: - Disponibilidad: asegurar que los usuarios autori zados tienen acceso cuando lo
requieran en los tiempos adecuados. - Integridad: garantia de la exactitud y de que la inform acion sea co mpleta, com o asi
los metodos de su procesam iento. - Confidencialidad: zados. - Autenticidad de los usuarios del servicio: asegurar la asegurar que la inform acion es solo accesible para aquellos autori
identid ad d e los usuarios que m anejan o acceden al activo. - Autenticidad del origen de los datos: - Trazabilidad del servicio: aseg urar la ide ntid ad origen de los datos. u
asegurar qu e en todo m om en to se podra
determ inar quien hi zo que y en que m omento. - Trazabilidad de los datos: asegurar que en todo momento se podra
determinar quien ha accedido a los datos. Se deben detectar las situaciones qu e se esten reali zando sin control adecuado y para ello deben ser anali zados los aspectos im portantes en materia de seguridad, com o la confidencia lid ad d e los da tos de clientes o la d isponib ilid ad d e los sistem as inform aticos de la empresa. Una adecuada gestin de la seguridad de la informacin debe contribuir a disminuir los riesgos que la empresa soporta de informacin
' '
y a minimizar los darios en los
activos
si alguno de los riesgos llega a materializarse.
3.2 Caso practico: Gesti~n de Clientes.

A continuacion se analizara de fo rm a sim ple la problem atica asociada a la gestion de clientes en la em presa; este proceso afecta a todas las organi zaciones, por lo que es comanmente conocido. La gestion de los clientes aporta a la empresa datos sobre p ersonas fisicas, que tienen que s e r t r a t a d o s d e a c u e r d o a l a l e g i s l a c i n v i g e n t e ( L O P D - R M S ) . L o s d a t o s cliente si del este es persona fisica, o de contactos del cliente, representantes, etc., deben re co gid os ser en fic he ro s, decla ra do s a nte la Ag en cia Esp a no la de Protec cin d e D atos
P?gina --
y deb en serle s a plica da s las m ed ida s de seg urid ad c orre sp on dien te s, dep en dien dotipo d el de datos. D e fo rm a h a b i t u a l , l o s datos de los clientes llegar a la organizacin pueden
a travs de m ail, fax, correo,
te l fo n o , y su e le n se r rec a b a do s po r in icia tiva d e l c lie n te que solicita un servicio. Es importante informar y solicitar el consentimiento del cliente ( si st e e s n e c e s a ri o ) p a r a ll e v a r a c a b o e l t ra t a m i e n t o d e l o s d a to s d e c a r a c t e r p e r s o n a l . A s i m i s m o , e s t o s d a t o s d e b e validarse antes de ser n introducidos en el sistema de informacion , ya que el clien te puede existir ya en s la b a se s d e da t o s de la e m p re sa , o p u e d e h a b e r c a m b iad o p a rte d e su s da to s. U n a ve z c a p t u ra d o s lo s da to s, e l c li e n te p a sa a fo rm a r p a rt e d e l c irc u it o c o m e rc iala d e l empresa, reali zando pedidos a los que se asocian entregas de material y emision de facturas.
L a c a p t u r a y m e c a n iz a c io n d e lo s d a t o s d e l c l ie n t e e n e l si st e m a d e in fo rm a c i o n , e n e qu l a m a yo r p a r t e d e lo s c a so s e s t a i n fo rm a t i za d o y c u y o s d a to s e st a n a l m a c e n ae n su n do s e rvid o r c e n tra l , se d e b e co n sid e ra r c o m o s u b p ro c e so d e l a g e s tio n d e c lie n t e . es la Esta c asuistic a q u e se ra a na li za da po r se r la m as hab itua l.
Anlisis de la captura de datos de clientes

U n a v e z recibida la solicitud de alta del cliente , e l p e rs o n a l e n c a rg a d o d e s u . P a r a e ll o
g e s t i o n d e b e re a l i z a r u n aconsulta de la base de datos de clientes
P?gina --
accede a un ordenador
'
n o rm a lm e n t e p e rso n a l d e a d m i n i st r a c i n , y u t i l i z a la q u e p e r m i t e a c c e d e r a lo s d a t o s d e lo s
aplicacin de gestin de la empresa c lien te s o c re ar nu evos cliente s.
Descom poniendo en pasos el proceso anterior, el personal c lien te s ac ce de a u n equipo comunicaciones de red
encargado de la gestin de
'
en el qu e se ejecut a u naaplicacin
y a tra v s de las
reali za la consulta al servidor
que contiene los datos . Este en el sistema de
a n l i s i s p e r m i t e c o n c l u i r q u e s o n n e c e s a r i o seis elementos s
i n f o r m a c i n p a r a l l e v a r a c a b o l a s a l t a s y c o n s u l t a s s o b r e c l i e n t e s d e l a e m p r e sa , e le m e n t o s q u e p u e d e n s e r im p re s c i n d i b l e s, e n m a y o r o m e n o r m e d i d a , e n fu n c i nlad e c ap a cidad de ser sustitu id os e n ca so de ind ispo nibilid ad. A d i c io n a lm e n te , s e d e b e c on si d e ra r q u e e sto s e le m e n t o s d e p e n d e n a s u ve z d e o de s tro m en or n ivel, p ero indisp en sa bles e n e l p ro ce so , c om o so n el sum in istro elec tric o,e d d e r la r e a lo c a l , e t c . T o d o s e s t o s e l e m e n t o s s o n i m p o r t a n t e s p o r d a r s o p o r t e proc eso al g en eral de co nsulta de clie ntes.
En la im agen se m uestra la relacin de dependencia que los datos tienen d e la disponibilidad del servidor. A su ve z, lo s eq uipos info rm ticos dependen de la dispo nibilid ad del sum in istro elec trico, d el fu ncio na m ien to de la s co m u nica cion es y d el
P?gina --
local en el que esten u bicados (cualquier incidente que dafie el local donde esten los equipos p odria afectar seriamente la disp onibilidad de los eq uipos en el alm acen ados). A nalizand o glob alm ente el p ro ceso d e gestion de un alta d e clientes, este pue de q u e d a r re fle ja d o d e fo rm a gre fica e n e l sig u ie n te e rb o l d e d ep e n d e n c ia s (q u e m u e de stra u n a form a se ncilla todo s lo s a ctivos y las re la cion es existe nte s e ntre ellos).
S e p u e d e v e r e l rbol de dependencias como un castillo
'
donde el fallo de
c u a lq u ie r e le m e n to de la ba se g e n e ra la c a id a pa rc ia l o to ta l d e l e d ificio . Esta fo rm a g re fica evid en cia qu e lo s fa llos en elem en to s de ba jo nive l p ue de n se r arra strad os y p r o d u c i r p a ra d a s e n l o s p ri n c ip a l e s se r v ic io s d e la e m p re sa . E st a s r e la c i o n e s s o nq lu e as p r o d u c e n l o s " e f e c t o s b o l a d e n i e v e o a v a l a n c h a " , d o n d e u n i n c id e n t e , m eso b r e u n nor e le m e n t o poco i m p o rt a n te , puede te n e r c o n s e c u e n c ia s g ra v e s en fu n ci n l d e a i m p o r t a n c i a g e n e r a l q u e t e n g a e l e l e m e n t o a f e c t a d o e n l a c o n t i n u i d a d d e pl ro ce so s os d e n e g o cio a lo s q u e d a so p orte . Una ve z identificados los procesos involucrad os en la gestion d e clientes, el siguienteo pas e s i d e n t i f i c a r la s p r in c i p a l e s a m e n a z a s q u e p u e d e n a fe c t a r a l o s a c t iv o sinform a cin . de Las am en a zas p ue de n ten er un o rige n na tu ra l o hu m a no , y pu ed en accidentales o se r deliberadas. Ilustracion. Identificacion de Activos (Arbol de dependencias)
P?gina --
Amenazas del entorno: Las amena zas generadas por el entorno pueden ser catstrofes naturales
(inundaciones, tormentas, terrem otos, etc.), acciones de origen humano intencionadas (po sibles robos, asaltos, erro res tcnicos, etc.), o accidentales co mo el corte del sum inistro electrico.
Amenazas propias del sistema de informacin: Las p rin cip ales a m e n a za s q ue pue de n sufrir lo s sistem as d e in fo rm ac i n so n las q ue afectan a alg uno de los elemen tos que lo form an o explotan. Podem os distinguir grupos: tres - hardware - software - p e rso n a l q u e u t ili za c u a lq u ie ra d e lo s d o s re c u rso s a n t e rio re s. En l o s equipos fisicos del sistema de informacin (servidores, equipos
in fo rm tic o s y h a rd w a re d e c o m u n ic a c io n e s), e xiste n a m e n a za s d eb id a s a e rro re s so u de o m a n te n im ie n to , y a fa llo s o a ve rfa s d e cu a lq u ie ra d e su s co m p o n e n te s.
P?gina --
En relacin al software de tratamiento de la informacin
(sistem a operativos,
aplicaciones de negocio, ofimtica, etc.) las principales amena zas pueden ser fallos en p r o g r a m a c i n ( q u e p e r m i t a n l a e x i s t e n c i a d e p u e r t a s t r a s e r a s , e r r o r e s e n la l i re a z a c i n d e c lc u l o s , e t c . ), y c d ig o m a l ic io so c o m o s o n l o s v i ru s i n fo r m t i cg u sa n o s, os, tro ya n o s, e tc .
R e sp e c to a l uso que realiza el personal de la empresa
e n e l d e sa rro llo d e la
g e s ti n d e l p e d id o , l a s p o s ib le s a m e n a z a s so n : e rro re s n o in te n c io n a dc o m o e lb o rra d o os
a c c id e n t a l d e in fo rm a c i n o la m a la in tro d u c c i n d e d a -to y a m e n a z a s d e origen s inten cionado, com o posibles robos o filtraciones de inform acin.
3.3 Conclusiones
L a g e st i n d e la s e g u rid a d d e la in fo rm a c i n d e b e a te n d e r u n o b je ti vo c lareducir el ro : nivel de riesgo al que la organizacion se encuentra expuesta. Para ello el proceso a seguir es: - Analizar los principales activos de informacion negocio y determ inar su valor para la organ i zaci n. involucrados en los procesos de
P?gina --
- Identificar las potenciales amenazas inventariados. - Estimar el impacto
qu e p u e d e n a fe c ta r a c a d a u n o d e lo s activos
que tendrian para la em presa la materiali zacin de las
am ena zas sob re los diferente s activos. Se debe consid erar que el coste de un i n c i d e n t e d e s e g u r i d a d n o e s s o l a m e n t e l a s p rd i d a s e c o n m i c a s d i re c t a s d e r iv ad e ls da m ism o, sino que tambin
-
aparecen
costes
i n d i r e c t o-s e l a c i o n a d o s r
con
las
con secuencias que conlleva como pueden ser las h oras d e prdida de produccin, las , posibles sanciones por los incu m plim ientos legales q ue se p rodu zcan, los d afios en la im agen co rporativa, etc. - Valorar el riesgo de los activos de la organi zacin.
Con to da esta in fo rm ac i n y las de cision es e st ra t gica s tom ad as sob re lo s objetivos a alcan zar, se deben definir las lineas de actuacion en materia de seguridad de la fo rm a c i n , in seguridad de los d e u n a fo rm a ra ci o n a l y p ro p o rc io n a l a l o s n ive l e s d e rie s g o a su m id T s .d a s e s t a s oo actuaciones se pueden desarro llar dentro del Plan director de la sistemas de informacion. P a ra re d u c ir l a vu ln e ra b ilid ad q u e p re se n t a to d o sist e m a d e in fo rm a c i n , e xist e la p o s ib il id a d d e i m p la n t a r m ed i d a s d e s e g u rid a d . C o m o m a rc o d e re fe r e n c ia se p uu t i ei edl z a r l a n o r m a U N E IS O / I E C 1 7 7 9 9 " C d ig o d e b u e n a s p r c t i c a s e n m a t e r i a se g u rida d de d e la in fo rm aci n", qu e relac io n a los po sibles con troles a eleg ir en ba se a diferentes conjuntos de objetivos planteados. Loscontroles se pueden agrupar en: relacionados con el negocio
'
controles
tales com o po liticas de segu ridad y norm as c la sific a c i n de

'
d e la in fo rm a c i n ; co n tro lesrelacionados con el personal
tale s c o m o d e f i n i c i n d e
f u n c i o n e s , c l u s u l a s d e c o n f i d e n c i a l i d a d y n o r m a s d e u s o equipos y contrasefias; de controles relacionados con los sistemas de informacin seguridad fisica y lgica; y controles relacionados con la informacin , tales como auditorias y registros.
Los capitu los siguientes: 4, 5, 6 y 7 estn dirigidos al personal tcndirectivo de laorgani ico
, clasificados en medidas de revision de los sistemas de
zacin y en ellos se anali zarn los principales bloques de control definidos en la norma.
P?gina --
P?gina --
4 Controles relacionados con el Negocio

4.1 Objetivos Generales
E n e l m a r c o d e l a s e g u r i d a d d e l a i n f o r m a c i n c o m o e s t r a t e g i a p a r a p ro t e g e r l o s activo s de inform aci n de la organi zacin, esta deb e contemplar los objetivos del negocio como un requisito imprescindible para la planificacin de actuaciones . Pa ra q ue las m ed ida s ad optadas sea n efec tiva s, la direc cin deb e adop ta r y m an teun r ne com prom iso co n los plan es de seguridad de la organi zacin. Entre las principales actuaciones que han de tener el respaldo directo de la direccin estn: establecer una politica de seguridad, definir directrices claras para el tratam iento de la informacin, pro mover una e structu ra de clasificacin de la info rm aci n, definir norm as de etiquetado de soportes, establecer procedimientos que regulen las comunicacion es y relaciones con terceros y asegurar el cumplim iento de todos los aspectos legales que obliguen a la organi zacin en materia de tratamiento de la inform acin. A con tinuaci n se re lacionan las p rincip ales m ed id as d e segurid ad relacio nad as directam ente con el m odelo de negocio de la organi zacin. Por parte del personal de la organi zacin, es importante considerar u a c i o n e s d e r e f u e r z o act p a r a e l c o r r e c t o c u m p l i m i e n t o d e l am e d i d a s d e s e g u r id a d ; p a r a e l l o s e p ro p o n e a n a l i s z a r , d e fo rm aparalela a cada m edida, po sibles form as de vigilancia. Medidas disciplinarias: Pa ra e l caso de q ue a lg n m iem b ro d el pe rson al de la o rg an i za cin in cu m p la la s d i re c t ric e s e st a b le c i d a s e n la s m e d id a s d e s e g u rid a d d e la o rg a n i za c i n , se d e b e n e sta b le ce r la s p o sib le s m e d id a s disc ip lin a ria s q u e p u e d e tomar la empresa Vigilancia y control: S e d e b e n e s t a b l e c e r p r o c e d i m i e n t o s y m e d id a s p a r a c o n t r o l a r q u e e l u s u a r i o n o incumple las m edidas previstas.
Definicion de la Politica de Seguridad de la Empresa
E stab le ce r u na ad ec ua da Po litica d e S egu rida d tien e un doble p ro p sito, in fo rm ar y c o n c i e n c i a r a t o d o s l o s e m p l e a d o s s o b r e l a e s t r a t e g i a d e s e g u r i d a d d eorgani la zacin y definir las lineas generales de actuacin para evitar amena zas y reaccionar ante incidentes de seguridad.
P?gina --
Para la consecu cin de su objetivo, la politica debe estab lecer directrices claras, n o rm a s p a ra e l tra ta m ie n to d e la in fo rm a ci n y d e fin ir lo s re sp o n sa b le s d e su d e s a r r o l l o , i m p l a n t a c i n y g e s t i n . A s i m i s m o , d e b e r a r e c o g e r l a f u n c i n d e "seg urid ad d e la in fo rm ac i n" pa ra ge stio n a r la protec ci n d e lo s re cu rso s sistema del de informacin. Implantacin de la medida La politica debera estar aprobada por la Direccin de la organi zacin para evitar d u d a s re s p e c t o a su im p o rt a n ci a y a l c o m p ro m iso d e la d ire c c i n . S e d e b e ra la a r d m axim a difusin para que todo el personal que teng a relacin co n los sistem as de informacin de la organi zacin cono zca de su existencia y alcance. El indice de la politica de seguridad A Alcance de la politica N o r m a s p a r a e l t r a t a m i e n t o d e l informacin ia Responsables del desarrollo, implantacingestin de la politica gy G e s t i n d e r e c u r s o s d e l s i s t e m a d informacin e A modo d e detalle, las siguien tes directrices deben form ar parte de la politica: Existe una prohibicin expresa del uso de los activos de la empresa, tanto recursos informticos (co rreo electrnico, Internet, ofimatica, espacio en disco, etc.), como informacin (de clientes, de terceros, etc.), para finalidades distintas a las e estrictamente aprobadas por la Direccin. Existe la obligacin por p arte del usuario de bloquear los puestos de trabajo desde los que opera cuando sean abandon ado s, bien temporalmente o bien al finali zar el turno de trabajo. Normativa La im plantacin de norm as sobre politicas de seguridad I ISO 17799 en los siguientes puntos: La direccin debera aprobar, publicar y comunicar a todos los empleados, en la forma adecuada, un documento de p o l i t i c a d e s e g u rid a d d e la i n fo rm a c i n . D e b e ra e st a b le c e r e l c o m p ro m is o d e laDireccin y el enfoque de la Organi zacin para gestionar la seguridad de informacin. (Punto 5.1.1 ISO1799:2005) la esta reflejada en la norma podria ser el siguiente:
P?gina --
La po litica deb er tener un p rop ie tario que sea resp onsable de su m anten im iento y revision, conforme a un pro ceso de revision definido. (Pu n to 5 .1.2 IS 0 1 7 7 9 9 :2 0 0 5 ) Ejemplo: Pe rc ep cion de la seg urid ad d e lo s usua rio s de la em presa en su tra ba jo diario . S Sin medidas: Si la organizacin no establece una politica de seguridad clara para el t r a t a m i e n t o d e l s i s t e m a d e i n f o r m a c i n , u n u s u a r i o n o c o n o c e s u s ob lig ac ion es re sp ecto a l tratam ie nto d e la in fo rm ac i n, pu ed e llega r a utili zar de forma indiscriminada los equipos, aplicaciones y soportes que a l m a c e n a n datos y ser muy dificil para la d i r e c c i n e x i g i r l ere sp on sa bilida de s po r u so s no ade cu ad os.
D Definiendo medidas: Si en la organizacin se establecen norm as de uso del sistem a d e inform acin y se facilitan a todo el personal, los usuarios conocen sus r e s p o n s a b i l i d a d e s y las posibles medidas d i s c i p l i n a r i a s e n c a s o d e c u m p li m i e n t o . S i a d e m s se e st a b le c e n in c o n t r o le s p e ri o d i c o s p a ra o m p r o b a r q u e l a s m e d id a s d e s c r i t a s e n c l a p o l i t i c a s e c u m p l e n , s econtar con la colaboracin de los usuarios para proteger el sistem a de i informacin. Paso 1 - D e fin ir la p o l iti ca d e se g u rid a d fo rm a lm e n te y e n t re g a rl a atodo s los usuarios. t
Clasificacion y marcado de la informacion

No toda la informacion existente en la organizacion es igual de importante , los in fo rm es d e d irec cion c on lo s p lan es de la e m p re sa n o d ebe n e r ten la m i s m a p ro t e c c i o n q u e lo s in fo rm e s d e sa l u d d e l o s t ra b a j a d o r e s, c o s ia s de la p se g u rid a d in fo rm a c io n o la s debe c irc u la re s p a ra c o n vo ca r re u n io n e s. La cla sific a c io n las m e d id a s lae d de p e rm it ir establecer diferencias e n t re
seguridad a aplicar que, de forma general, atendern a criterios de disponib ilidad, integridad y confidencialidad de lo s datos.
P?gina --
Estab le ce r u n esqu em a de clasifica cin d e la in fo rm ac i n d ebe ser riguroso y agil a la ve z, los esquemas demasiado complejosede n pu ser im prac tica bles por m ole stos o co stosos. Con estas consideraciones se debe generar una clasificacin en pocos niveles, pero que se aplique a toda la inform acin de la organi zacin, siendo recomendable considerar de forma gen rica los tipos: Pblica, Restrin gida y Confidencial.
Im plantacin de la medida Para disenar un esquema de clasificacin y marcado de la informacin, se r rec om ie nd an las sigu ie ntes a ctua cion es: Establecer un s is t e m a f c i l las y g il de c l a si fic a c i n de la
in fo rm a c i n , s i g u i e n d o
reco mendacio nes
anteriormente
citad as. Podria ser: P Pblica, Restringida y Confidencial. Definir el tratamiento de cada uno de los tipos de
in fo rm a c i n , inclu yend o el p ersonal autori zado , soportes en l o s q u e s e p u e d ealm acenar y usu arios o destinatarios autori zados d de dicha inform acin. Agrupar los procedim ientos de clasificacin de la
i n f o r m a c i n y tratamiento de la misma en un documento com n a toda la organi zacindenom inado " Guia de clasificacin de la informacin" ; esta guia deb er dispo ne r de la ap ro ba ci n d e la dire cc i n y se deb e com un icar a d o e l p e rs o n a l, t a n t o p ro p io to c o m o su b c o n t ra t a d o , q u e p u e d a t e n e r acceso a dich a inform acin. Normativa L a im p la n t a c i n d e n o rm a s la c l a si fic a c i n y m a r c a d o d e l a in fo rm a c i n e s t a r refle ja da en la no rm a IS O 17 79 9 en e l sigu ie nte pu nto: La Inform acin deb eria ser clasificad a en trm inos de su v a l o r , exigencias legales, sensibilidad y criticidad para la organi zacin. (Punto7 . 2 . 1 IS 0 1 7 7 9 9 : 2 0 0 5 ) Ejemplo L a e m p r e sa d i sp o n e d e in fo rm a c i n p b li c a q u e se p u e d e d ifu n d i r fu e r a d e l a org an i zacin, e informacin restringida que solo debe conocer el person al de la empresa.
P?gina --
Sin medidas: Si la empresa no clasifica la informacin, pueden utili zarse p o r t e s ( d i s q u e t e s , so c d r o m , . . . ) t a n t o p a r a e l e n v i o d ie fo rm a c i n a lo s c o m e rc ia le s d e la e m p re sa n c o m o a lo sc l i e n t e s . E n e l e n v io s e p u e d e n m e z c l a r l o s s o p o rt e se n v i a r a lo s y clientes info rm acin restring id a; de igual rm a, cuando un clie nte so licita fo a m p l i a r i n f o r m a c i ns o b r e u n a o p e r a c i n , e l c o m e r c i a l l e p u e d e e n v i a r informacin restringida sob re nuevas politicas de precios todavia en proceso de revisin. S o n m u c h o s y c l a ro s l o s e j e m p lo s y s i t u a c i o n e s q u e s e p u e d e n d a r s i l a inform acin no est clasificada y los usuario s desconocen el procedim iento para tratarla. Definiendo medidas: La em presa decide que la inform acin tendr dos niveles de clasificacin: Pblico y Restringido, edita una guia de clasificaci n donde co ntem pla loss i b l e s po casos de tratam iento de la informacin restringida, personal autori zado, soportes, envios al exterior, y adem s, establece las m edidas ci p l in a ria s a d is a p li ca r e n e l c a s o d e in cu m p lim ie n t o y e st a b le ce c o n tro lde m onitori zacin es d el cum plim iento (inventario de soportes, control de los envios al exterior, etc.). Con estas m edidas dism inu ye notablem ente la probabilidad de erro r en el t tratamiento de la inform acin. Paso 2 de - Estab le ce r un sistem a fcil y gil de clasificacin p ublic ar el co nten ido en un . do cu m ento
l a inform a cin ,
d en o m ina do Guia de Clasificacin de la informacin
Contratos con terceros

La evolucin de los sistemas de inform aci n perm iten un m ayor grado de su b co n t ra ta c i n a l a s o rg a n i za c io n e s , a se so ria s fi sc a l e s y la b o ra l e s, e m p req u e sas o f r e c e n h o s t i n g ( a l q u i l e r e s ) d e s e r v i d o r e s o p g i n a s w e b , c o p i a s sd e u r id a d eg re a l i z a d a s e n re m o t o , e t c , so n a l g u n o s d e la l a rg a l i st a d e se r v icqus se pu ede n io e con tratar. S i e stos terce ro s no c ono ce n la po litica de se gu rid a d la o rg a n i za c i n , de n o p od r n se r c ap a c e s d e p resta r lo s se rvic io s co n tra ta d o s co n
P?gina --
las garantias minim as exigidas, es pues recomendable y en algan caso im p re sc in d ib le , re g u la r fo rm a lm e n te lo s se rvic io s qu e in vo lu cre n a p e rso n a l o recursos externos a la organi zacion. T r a t a r l o s d a t o s d e u n a f o r m a d i s t i n t a a l a a c o r d a d a , re a l i z a r u n u s o d e l o s m ism os pa ra otra fin alid ad d istin ta a la inicialm en te co n tra ta da , n o ap lic ar las medidas de seguridad exigidas, no inform ar a los usuarios acerca de su deber de s e c r e t o , so n a sp e c t o s q u e d e b e n e st a r p e rfe c t a m e n t e d e fi n id o s a l re g u l a r e l co ntra to de p re stacio n de servicio s. Implantacion de Medidas To d a s la s re la c io n e s co n e m p re s a s y o rg a n i za c io n e s a je n a s, q u e im p liq u e n e l acceso a los dato s e informa cion propio s de la organi zacion deben estar r reguladas m ediante contrato, estos contratos deberan contemp lar com o m inimo: La id e n t ific a c io n d e to d a s la s p e rso n a s fi si c a s y j u rid ic a s q u e t tend ran acceso a la inform acion. La finalidad de la p restacion d e servicios. Los m ecanism os de intercambio de inform acion. Las med id as d e segu ridad a a plicar a lo s d atos. La obligacion de mantener el deber de secreto y de informar del m ism o a todos los usuarios que puedan acceder a la inform acion. La s c o n d ic io n e s p a ra l a fin a li za c io n d e l co n tr a t o , in c l u y e n d o m encion especifica a las acciones de devolucion o destruccion la de inform acion objeto del con trato. Y tam b in seria recom endable: Esta b lec er los fu eros y trib un ales a los qu e re cu rrir en ca so d e i incumplimiento. L a s p o si b l e s c o n t ra m e d id a s a a p li c a r e n c a so d e in c u m p l i m i e n t o . Normativa La redaccion de contratos con terceros para la p restacio n d e s e r v i c i o s a l a o rg a n i z a c i o n e s t a r e fl e j a d a , t a n t o e n l a L e y d e
La re a li za ci o n d e tr a t a m ie n t o s p o r c u e n t a d e t e rc e ro s, d e b e r e s ta r reg ulada en un contrato, que h ard con star por escrito o en alguna otra form a que perm ita acreditar su celebracion y contenido, establecindose
P?gina --
expresam ente que el encargado del tratam iento Cn icam ente tratar datos los co nform e a las instruc cion e s d el re sp on sa ble de l tra ta m ien to , qu e los no aplicar o u tili zar con fin distinto al que figure en dicho contrato, u e n o y q l o s c o m u n i c a r - n i s i q u i e r a p a r a s u c o n s e r v a c i -na o t r a s p e r s o n a s . E n e l c o n t r a t o s e e s t i p u l a r n , a s i m i s m o , l a s m e d i d a s d e urid ad qu e e st seg o obligad o a im plem en ta r. (A rticulo 1 2.2 LO PD) El respo nsab le d el fich ero, y en su caso el en ca rg ad o de l t ra ta m ien to , deber adoptar las m edidas de indole tcnica y organi zativa necesarias que g a ra n tic e n la se g u ri d a d d e lo s d a to s d e ca r ct er p e rso n a l y e v itsu en alteracin, prdida, tratam iento o acceso no autori zado. (Articu lo 9 L LOPD) El re sp on sa ble d e fich ero y quien es interve ng an e n cua lqu ie r fase de l tratam iento de los datos de carcter personal, estn obligados al s se creto pro fe sion al respe cto d e los m ism o s. (A rticulo 1 0.1 LO PD) L a o rg a n i za c i n d e b e a s e g u ra r s e d e q u e l a s m e d id a s d e s e g u r id a d , servicios y niveles de entrega incluidos en los contratos de servicio con terceros, se ponen en prctica y se mantienen. (Punto 10.2.1 I IS 0 1 7 7 9 9 : 2 0 0 5 ) La s e xi g e n c ia s p a ra la c o n fi d e n c ia li d a d y a cu e r d o s d e n o d ivu lg a c i n , que reflejan las necesidades de la organi zacin para la proteccin de la i n fo rm a c i n , d e b e r n s e r id e n t ifi c a d a s y r e vi s a d a s c o n re g u l a ri d a d . ( (Pu n to 6 .1.5 IS 0 1 7 7 9 9 :2 0 0 5 ) La direccin d eber req uerir a emplea do s, contratistas y u su ario s terce ro s, la ap licaci n d e las m ed id as de seg u rid ad co nfo rm e a la po litica e sta b le c id a y lo s p ro c e d im ie n to s d e la o rg a n i za c i n . (Pu n 8 . 2 . 1 to s I IS 0 1 7 7 9 9 : 2 0 0 5 ) S e d e b e r c o n t ro la r q u e l a s m e d id a s d e s e g u ri d a d p a ra e l t ra t a m i e n t od e la in fo rm a c i n , q u e r e a li z a n t e rc e ro s a j e n o s a l a e m p re s a , c u m p lec o n la s e xig e n c ia s d e la m ism a . (Pu n to s 6 .2 .2 IS 0 1 7 7 9 9 :2 0 0 5 ) Ejemplo Para la reali zacin de las tareas contables de la emp resa, se ha decidido c o n t ra t a r a u n a e m p r e s a e x t e rn a q u e a p o rt a u n t ra b a j a d o r a t i e m p o p a rc i a l
(T ra b a ja d o r 1 ), a l q u e s e e n tre g a u n e q u ip o y p ro p o rc ion a u n d e sp a c h o d e n deo la tr
organi zacin. Sin medidas: S i la e m p re sa de cid e n o fo rm a li za r los e n c a rg o s d e tra b a jo , e l T ra b a ja-d o r 1 c a re ce d e in stru c c io n e s d e u so d e l e q u ip o y d e la in fo rm a c i n q u e co n tie n e ,
P?gina --
t a m p o c o c o n o c e l a s p o s ib l e s m e d i d a s d i sc i p l i n a r i a s a la s q u e s e e n f r e p oa nt r h a c e r u n u s o in d e b id o d e lo s e q u ip o s, p u d ie n d o to m a r l a d e c i si n d e descargar msica y videos, probar aplicaciones inform ticas o reali zar t ra n sm isi o n e s d e d a to s p e rs o n a l e s a tr a v s d e la re d d e l a o rg a n i za ciE sta s n. a c tu a c io n e s su p o n e n a m e n a za s p a ra la se g u rid a d d e la in fo rm a ci n como: t tales Infeccin de virus Instalacin de software no legal Transmisiones de datos inseguros Robo de informacin Definiendo m edidas: S i l a e m p r e s a d e c i d e fo rm a l i z a r l o s e n c a rg o s d e t ra t a m i e n t o , r e d a c tfai r y a m u n c o n t r a t o q u e r e g u l a l a a c t i v i d a d d e l T r a b a j a d- o r e n e l q u e e s t a b l e c e 1, l a s m e d i d a s d e s e g u r i d a d a a d o p t a r p a r a e l t r a t a m i e n t o inform acin , las de obligaciones de con fidencialidad de los datos y la lim itaci n u so d e lo s d el e e qu ipo s a la fin alid ad re co gid a en e l con trato. Paso 3 - Regular mediante contrato d e tratam iento terceros de datos y todos los encargos de servicios con
p restaci n
q u e impliquen el intercam bio de inform acin. i
Cambios en los contratos de terceros

C u a lq u ie r c a m b io e n la s c o nd icio n e s o fin a lid a d d e lo s se rvic io s co n t ra ta do s a t e r c e ro s d e b e s e r re v i s a d o , p a r a c o m p r o b a r q u e l a s m e d i d a s d e s e g u ri d a d y c on fide nc ia lid ad e xigid as sig uen vige ntes. El c aso con creto de la fin ali zaci nu n e d c o n tra to de p re sta ci n de se rvic io s, se d eb e re a li za r d e fo rm a o rd e n a dm inuciosa a y y debe estar contemplado en la redaccin del contrato que regula servicios. los L o s p rin c ip a le s a sp e c to s q u e h a n d e s e r t e n id o s e n c u e n ta e n c u a lq u i e r c a m b io en l lo s servic io s co ntra ta do s so n : R evisi n d e lo s cam b io s en la finalid ad d e la p restacin d el servicio servicio. que pueden afectar a los compromisos de c o n fid e n cia lid a d , m e d id a s d e se g u rid a d a ap lica r o co n d ic io n e s del
P?gina --
R e visi n d e lo s c o m p ro m iso s d e n ive le s d e se rvic io y ad e cu a ci n al n nuevo contrato. R e v i s i n d e l a s c l a u s u l a s d e p ro t e c c i n d e d a t o s d e c a r a c t e r p personal. R e vi si n d e l d e b e r d e se cr e t o p op a r t e d e t o d o s l o s u s u a r i o s r implicados en el servicio. Implantacin de Medidas Se ha n de verificar to do s lo s co ntra to s de e nc argo t r a t a m i e n t o o p r e s t a c i n d e de s e r v i c i o s , p a r ai n c l u i r l a s c l a u s u l a s q u e r e c o j a n p o s i b l e s modificaciones de los mismos y verificar que existen protocolos de finali zacin de servicio , haciend o esp ecial hincapi en lo s datos de caracter p erso nal y/o especialmente confidenciales para la organi zacin. Normativa Las norm as sobre la finali zacin de contrato de servicios prestado por terceros n esta re flejad as, ta nt o e n la Ley d e Pro te cci n d e Dato s co m o en la n o rm a IS O 17799, en l los siguientes puntos: U n a v e z c u m p l i d a l a p r e s t a c i n c o n t r a c t u a l , lo s d a t o s d e c a r a c t e r pe rson al d ebe ra n se r d estruido s o de vuelto s a l respo nsab le d el fich ero, al igual que cualquier soporte o docum entos en el que conste algn dato de c caracter personal objeto del tratam iento. (Articulo 12.3 LOPD) Lo s ca m b i o s e n l a p re s ta c i n d e s e rvi cio s p a ra la m e jo ra d e la p o litdea ic seguridad de la organi zacin deberan tener en cuenta lo criticos que los son sistem as de negocio y daran lugar a la reevaluacin de riesgos. (Punto 10.2.3 ISO17799:2005) Ejemplo La empresa contrata el servicio de una asesoria laboral para reali zar las nminas m e n s u a l e s d e l p e r s o n a l , t ra s d o s a n o s t ra b a ja n d o c o n d i c h o t e r c e ro , d e c i d e encargar la gestin laboral a otra asesoria. Sin medidas: S i la e m p re sa n o disp o n e de co n trato d e p re sta c i n d e se rvic io s, o e steen t a so a c t u a l i z a d o , h a e st a d o r e a l i z a n d o u n a c e s i n i l e g a l d e d a t o s a asesoria la sancio nable en el marco de la LOPD.
P?gina --
Definiendo medidas: S i la em presa defin e y firm a u n co ntra to d e p re staci n d e servic io s co n la a se so ria la b o ra l, e n e l q u e re g ula e l tra ta m ie n to d e lo s da to s d e c a ra c te r p erso na l y la s m ed ida s de seg urid ad a ap lica r, y ade m a s el co ntra to se h a actuali zado en el tiempo recogiendo la situacin real de cad a m omento, se r a hab c u m p l i d o c o n l a s o b l i g a c i o n e s l e g a l e s e x i s t e s . S i a d e m a s s e in a h cluido en e l co ntra to un p rotoco lo d e de volu cin de so porte s e n caso finalizacin, al de finali zar este podra reclamar la devolucin de los soportes nc arga r el se rvicio a ey u u n nu evo te rc ero. Paso 4 contratos - Vigilar la validez y alcance de to dos los
de prestacin de servicios para asegurar que se ajustan
a la realidad de lao rg an izac i n . En c aso d e c am b io, re flejar la n nu eva re alid ad.
Comunicaciones de informaci6n con terceros

Uno de los procesos que mas amena zas puede generar en re la cio n e s c o n lo s te rc e ro s las e s e l in te rca m b io d e in fo rm ac io nE l e n v i o d e d a t o s a t r a v e s d e so p o r t e s ( d i sq u e t e s , . c d ro m , l l a v e s u s b , . . . ) o r e d e s d e t e l e c o m u n i c a c i o n e s ( c o r r e o electronico, m ensajeria, ...), generan amena zas a la integridad de los datos, pero tam b ie n a la co nfid en cialidad de los m ism os. Evita r pe rd ida s, in te rc ep cion es o alteraciones de la inform acion, es una prio ridad para la organizacion. Implantacion de Medidas Lo s p ro c e so s de co m u n ic a cion d eb e n e sta r p e rfe c ta m e n te d e fin id o s y re g u lae n s do los contratos de prestacion de servicios. De forma adicional, se deben e s t a b l e c e r n o rm a s y m e c a n i s m o s q u e p e r m i t a n re a l i z a r c o m u n i c a c i o n e s d e in form acion de form a segura, dentro de la organizacion y con terceros. Dichas norm as d eben estar recogidas form alm ente y ser difundidas a todos los im plicados en el envio o recepcion de informacion . Normativa La necesidad de definir e implantar norm as sobre la comunicacin de in form a cin con terce ro s e sta refle ja da , ta nto en la Ley d e Protec cin d e Da to s o com en la norm a ISO 17799, en los siguien tes puntos:
P?gina --
L a sa l id a d e s o p o r t e s i n fo rm e t i c o s qu e c o n t e n g a n d a t o s d e c a re c t e r personal fuera de los locales en los que est ubicado el fichero, Cnicamente podre ser autori zada por el responsable de fichero. (Articulo 13.2 R RMS) Debere establecerse un sistema de registro de entrada y salid a de s so po rtes in fo rm tic os. (A rticu lo 2 0.1 / 20 .2 RM S ) La distribucin de los soportes que contengan datos de carecter personal se realizare cifrando dichos datos, o bien utili zando cualquier otro m e c a n ism o qu e g a ra n tic e q u e dich a in fo rm a c i n n o se a in te lig ib le ni m a nip ulad a duran te su tran sp o rte . (A rticu lo 2 3.1 R M S) Se debe establecer procedim ientos y n ormas form ales para
proteger elintercam bio de informacin, asi como los mecanism os de com unicacine m p le a d o s. (Pu n to 1 0 .8 .1 IS 0 1 7 7 9 9 :2 0 0 5 ) Ejemplo L a e m p r e sa , e n vi rt u d d e l c o n t ra t o d e p re s t a c i n d e se rv i c io s firm a d o c o n l a asesoria la boral, e nvia por m ail lo s datos de los n ue vo s em p le ado s con tratad os a la a s e so ria , y re c ib e d e l m is m o m o d o lo s co n t ra to s y la s n m in a s d i ri g id o s a l d ep a rta m e n to d e a d m in istra c i n . U n a ve z re c ib id a s, la s n m in a s se im p rim ese y n en treg an en p ape l al dep arta m e nto fin an ciero. Sin medidas: S i l a e m p r e s a n o d e f i n e n i n g n p ro c e d i m i e n t o n i m e d i d a s d e p r o t e c cp n a i ar d i c h a s c o m u n i c a c i o n e s , p u e d e s u fr i r a c c e so s n o a u t o ri za d o s a ldatos, os alteraciones de la inform acin conten ida en los correos, e inclu sosustraccin la de dicha in fo rm acin. Definiendo m edidas: Si la organi zacin decide establecer n orm as y m edidas de seguridad para proteger las comunicaciones, estas se deben documentar en un proc edim ien to y ser c om un ic ada s a to do s los afec ta do s. A m o d o d e re su m e n , la s n o rm a s d efin id a s so n : E n e l e n v io d e in fo rm a c i n e n t r e la e m p r e s a y la a s e so r i a l a b o rtodos los al, mensajes deberen ir firmados y cifrados, siendo eliminados todos aquellos que no l lo estn. Una ve z recibidas las nm inas por el departam ento de adm inistracin, se c o n fi rm a re su re c e p c i n a la a s e so ri a y s e p ro c e d e re a s u im p re s i n y a la destrucci n del m ail recib ido.
P?gina --
La entrega de las nominas en papel desde el departamento de
adm inistracin y su correspondiente recepcin por parte del departamento financiero, se reali zar siem pre median te la introduccin de dichas nm inas en un so bre sellado, que ser transportado por p ersonal autori zado por el r respon sable d el departam en to de adm inistracin. Paso 5 la - Regular los intercambios de informacin con za cin y a los te rc eros involuc ra do s en dich os
terceros fo rm alm e nt e, co m un ic an do lo s req uisito s al pe rson al de org an i i interca m b io s.
Comite de seguridad y L0PD

Definir una estructura de seguridad implica tom ar decisiones sobre las lineas de ac tu aci n a d esarro llar y la implan ta cin de m ed id a s con cretas en c ada un adichas de l+neas. Generalm ente estas decisiones abarcan a todos los departam entosla organi de zacin, juridico, organi zativo, recursos humanos y personal, calidad, e tc., d e e sta fo rm a, la s actu ac io ne s en m a te ria de seg urid ad deb en de sa rrolla rse form a de estructurad a y con el m ayor consenso y colaboraci n posible. Es conveniente generar un r u p o g d e b a t i r ya d o p t a r l a s p r i n c i p a l e s i n i c i a t i v a s e n m a t e r i a d e g u rid a d d e la in fo rm a c i n y O P D . S e r i a d e s e a b l e se L qu e elc om it in icias e su a n d ad u ra liderado por el p ersonal asignado a seguridad de la inform acin , y que ste fuese
organi zando tanto el en vio de inform acin con carcter previo a las reun iones ,
de
trabajo
en
l ao r g a n i z a c i n p a r a
com o el re gistro de las dec ision e s adop ta da s pa ra su a proba cin po r la dire cc i n de la organi zacin. Implantacin de Medidas La direccin debe crear el com it de seg uridad y lopd y asignar los puesto s deben que ocupar en su distribucin los diferentes departamentos de la organi zacin. bin Tam re su lta d e espe cial im porta ncia c re ar un ca na l flu ido para en viar adireccin las la decisiones acordadas en el comit de seguridad. Ejemplo
P?gina --
La empresa se plantea la planificacin de las actuaciones en materia de se gu rida d de la inform a cin para el a fio prxim o . Sin medidas: La e m p r e sa se l e c ci o n a a lg u n a d e la s q u e c o n sid e ra p ri o rid a d e s e n m a t e ria de seguridad s siguientes: N o a t e n d e r a lo s m a y o re s ri e sg o s q u e a m e n a za n la o r g a n i za c i n Definir e implantar medidas de seguridad que no tengan en cuenta al u usuario final Restar productividad al personal por establecer controles demasiado tediosos Definiendo medidas: La e m p re sa c re a e l c o m it d e se g u ri d a d y lo p d , n o m b ra r e p re se n t a n t e sl o s de p r i n c i p a l e s d e p a r t a m e n t o s p a r a s u c o n s t i t u c i n y f u n c i o n a m i e nAo . ism o , t sim n o m b ra al d e p a rta m e n to d e se g urid a d de la in fo rm a c i n c o m o director del com it y le encarg a las funciones de envio de in fo rm acin con cter previo a ca r la s reu nion es y re da cci n fo rm al d e lo s ac ue rd os qu e obtengan. se La d ire c c i n d e l c o m it se b a sa e n u n p r o c e so d e g e s ti n d e lo s m a yo re s riesgos en m ateria de seguridad de la informacin de la organi zacin; para establecer las lineas de actuacin, selecciona m edidas de seguridad a s o c i a d a s a e s t a s l i n e a s y l a s e n vi a a l c o m it . E n e l c o m it s e d e b a t e n , co nsid eran do a sp ec to s com o inc idenc ia e n e l p erso na l, re flejo e n la po litic a de c a l id a d d e l a o r g a n i z a c i n , y s e a p r u e b a n l a s m e d i d a s c o n s i d e r a d a s o com p t im a s p a ra l a o rg a n i za c i n . D ir e c c i n re c i b e e l i n fo rm e c o n m s d i d a s la e a p r o b a d a s p o r e l c o m i t y s e l e c c i o n a l a s q u e c o n s i d e r a madecuadas. as Paso 6 - Definir un comite de seguridad y lopd las actuaciones a reali zar en la organi zacin. a que coordine info rm tica, como son politica a ntivirus y cifrado de las c o m u n ic a c io n e s. La s p o sib le s a m e n a za s re sp e c to a la s e g u rid a d s o n la s
Validez juridica de las evidencias

L a m a y o r ia d e la s a c t u a c io n e s q u e se ll e v a n a c a b o e n e l m a rc o d e l a se g u rid a d de la informacin en una o rgani zaci n cum plen con el ob jetivo de disuadir al usuario, interno o externo, d e reali zar actuaciones no autori zadas, o b ien de
P?gina --
i m p e d i r la e j e c u c i n d e d ic h a s a c t u a c io n e s . N o o b s t a n t e , s i s e p r o d u c e u n a incidencia relacionada con la seguridad d e la inform acin, siem pre se piensa las que prue ba s in crim in arn al infractor; pe ro este e xtre m o resulta de l todo in atil osi se n ha co ntem p lad o e sta fina lidad en el d iseiio de las po litic as d e seg urid ad la organi de zacin. Es ta b l e c e r e n to d a s la s m e d id a s d e s e g u rid a d a d o p t a d a s e l ca r ct e r d e p ru p b ra ea a p o d e r d e m o s tra r p o sib le s in c u m p lim ie n t o s c o n la s n o r m a s e st a b le ci d a sel n e uso de la informacin de la organi zacin. Implantacin de Medidas S e r o b je tivo d e u n g ru p o d e tra b a jo m u ltid iscip lin a r, (e n e l qu e se d eb e c o n ta r co n
ap o yo ju rid ic o , t cn ic o y o rga n i za tivo e fin id o e n la p re se n te g u ia c o mc o m i t d e d o s e g u r i d a d y l o p d) , d o t a r d e v a l i d e z j u r i d i c a a l a s p r u e b a s d e incum p lim ien to
de las m edidas de seguridad definidas sobre la seguridad deinformacin. la Ejemplo L a e m p r e s a d e c i d e c r e a r u n a i n f r a e s t r u c t u r a d e P K I p ae m itir c ertifica d o s dig itale s ra a su s trab ajado re s y clie ntes, con objeto de que se identifiquen al en trar en su pgina el web y realicen pedidos y compras de forma segura. Sin medidas: S i n o h a te n ido e n c u e n ta la ley d e firm a e le c tr n ic a , e sta r a su m ie n d o la figura de prestador de servicios sin cum plir con los requisitos legales, dandoa r lu g a p o sib le s re s p o n s a b il id a d e s a d m in is tra t iv a s. A d e m s, si se p ro d u ce fraude un con uno de los certificados, no podr reclam ar por el m al uso del o, ya q ue m ism no ha establecido norm as para el usuario final.
Definiendo medidas: La e m p re sa c u e n ta co n a se so ra m ie n to le g a l e n m a te ria d e firm a e le c tr nyica cumple con los requisitos para co nstitu irse en PKI, publica las politicas y requisitos de seguridad, se somete a las inspecciones y auditorias legalmente establecidas y da valide z juridica a sus certificados digitales. En caso de fraude, podr atender a las reclamaciones legalmente establecidas.
P?gina --
Paso 7 - Como funcin del comit de seguridad y Iopd informacin.
est anali zar la
valide z juridica de las medidas a implantar en el sistema de seguridad de la
Personas
Procesos
P?gina --
5 Controles relacionados con el Personal

El perso na l que m an eja el siste m a d e inform a cin , e s u no de lo s e le m e ntos prin cipa n s e le e l a n lisis de m e did a s d e se g u rid a d d e la in fo rm a c i n , d e su c o lab o ra c i n d ep e e n e nd buena m edida el xito o fracaso de muchas de las medidas de seguridad a implantar.
Tecnologia
A t e n d i e n d o a l p ri n c ip i o d e q u e "l a c a d e n a e s t a n f u e rt e c o m o e l m s d b i l d e su s esla bo n e s", en tod a o rg an i zac i n se cum p le q ue e l esla b n m s db il e s e l perso na l. En to d as las no rm as interna cion ales relac io na da s co n la seg urid ad de la in fo rm aci n ya en l LO P D , se a ti e n d e e sp e cia lm e n t e a la i n fo rm a ci n a l p e r so n a l so b re la s m e d id e s da se g u rid a d a do p t a d a s po r la o rg a n i za ci n y su im p lic a ci n e n la e je c u c i n d emismas. la s
En e l p re se n te ap a rta d o de la g u ia , se esta b le ce r n aq u e lla s m e d id a s qu e in c id e n d e forma esencial sobre el p ersonal, ya sea respecto al uso que hacen de los sistemasinde rm ac i n , fo m a ne jo de inc id e ncia s de se gu rida d o n orm a s de se gu rida d a aplicar.
Definicion de Funciones y Responsabilidades
U n a d e la s p rin c ip ale s am e n a zas d e to d a o rg a n i za ci n e s e l a c c e so d e u su a no s rio autori zados (internos o externos) que puedan consultar, m odificar, borrar e incluso robar informacin a la que no deberfan acceder. El usuario del sistema in fo rm a c i n de d eb e se r in fo rm a d o d e fo rm a c la ra y p re c isa a ce rc a de su s fu n c io n e obliga cio ne s y s en e l tratam ie nto de lo s da tos. Im plantacin de Medidas S e d e b e n d e fi n i r la s fu n c i o n e s y re s p o n sa b i l id a d e s d e se g u rid a d p a ra c a d a u n o de los usuarios d el sistem a d e inform acin; para ello se ap licar el principio de establecer los m inimos privilegios necesarios para el desarrollo labores. de dichas
P?gina --
C a d a p ro c e s o d e s e g u rid a d de b e i d e n t ific a r a u n p ro p ie t a r io , u n d e p o sit a rio l y s oa usuarios que participarn en el mismo. De esta forma se evitarn m a le n te n d id o s a ce rc a de la s re sp o n sa b ilid a d e s so b re lo s e le m e n to s d e l sist ede a m inform acin. To d as las funcio nes y resp o nsabilidad es deb en co mu nica rse a lo s u su ario s in voluc ra do s en su ejec uc i n, de u na form a clara y a se gu ra nd o su rec ep cin y entendimiento. Se prestar especial atencin al tratamiento de datos de carcter personal. Normativa La de fin ic i n d e fu n cio n e s y re sp o n sa b ilid a d e s d e l p e rso n a l c o n a cc e so a d a tots es re g u la d a , t a n t o e n l a L e y d e P ro t e c c i n d e D a t o s c o m o e n la n o rm a IS O 17799, en l los siguientes puntos: L a s fu n c io n e s y o b lig a c io n e s d e c a d a u n a d e la s p e rso n a s c o n a c c e so a l o s d a t o s d e c a r c t e r p e r s o n a l y a l o s s i s t e m a s d e i n f o r m a c iesta r n n c cla ra m e n te d efin id as y doc um en ta da s. (A rtic ulo 9 .1 R MS ) Las funciones de seguridad y las responsabilidades de los empleados, contratistas y usuarios terceros, deben estar definidas y d o c u m e n t a d a s co n fo rm e a la p o litic a de se g u rid a d d e la in fo rm a c den i la org an i za cin . (Pun to 8 .1.1 IS 01 77 99 :200 5) Eiemplo Un usuario es contratado por la empresa para c e r s e c a r g o d e l a R e c e p c i n ; e n t r e ha sus funciones est atender todas las l l a m a d aq u e s entren a las oficinas p r i n c i p a l e s d e l a e m p r e s a y p a s a r l a s c o n e l d e p a r t a m e n tc o r r e s p o n d i e n t e . o P a r a l a g e s t i n d e l a sllamadas se le facilita un equipo con acceso siste m a d e al tra ta m ie n t o d e la e m p re sa . Sin medidas: En una em presa en la que no se informa de sus funciones a los usuarios, el rio usua p ued e acce de r a lo s fic he ro s d e co ntabilid ad pa ra ver la fa cturac d e l a e m p re s a , i n a c c e d e r a l a s c a rp e t a s q u e co n t ie n e n fu t u ro s p ro y e c t o sc,c e d e r a lo s d o cu m e n to s a d e re c u rso s h u m a n o s y ve r la s n o m in a s d e su s m p a iie ro s. C o n e sta s a ctu a c io n e s co p od ria p ro vo c a r: co n flicto s e n tre e l p e rso n a l y la e m p re sa a l com e n ta r lo s su e ld o s d e lo s d e m s co m p a iie ro s.
P?gina --
a cc esos n o a uto ri za d o s a lo s d a to s de la c on tab ilid ad d e la o organi zacin con la posibilidad de elim in acin de datos. r o b o d e i n f o r m a c i n , c o n la p o s i b i li d a d d e s u s t r a e r i n f o r m a c i n confidencial de la empresa y entrega de la misma a agentes externos. Definiendo medidas: En u na e m p re sa e n la qu e se inform a a l usua rio so bre su s fun cion es e n la e m p r e s a , s u s r e s p o n s a b i l i d a d e s y l a s p o s i b l e s m e d i d a s d i s c i p l i n a r i a s ce n a so d e in c u m p l im ie n to d e l a s m ism a s, q u e d a n d o c o n s ta n c ia fo rm a l m e n t e q ue h a de recib ido dich a in fo rm ac i n . S e lim ita su ac ce so de ntro d e l sistem a de in fo rm ac i n a un nive l ad ecua d o pa ra e l de sa rrollo de su s fu nc io ne s. S e a u d i ta n lo s in te n t o s d e a c c e so de ca d a u su a rio a r e c u rso s a lo s q u eeste no autori zado. Esta persona se limita a atend er la s llam adas recibidas en las oficinas p p rin cip ale s de la em presa y rem itirla s al d ep arta m e nto co rrespo nd ie nte. Paso 8 - Definir las funciones y responsabilidades de
to do e l personal formalmente,comunicarlas a los usuarios de una forma clara y asegurando su recepcin y entendim ien to.
Clausulas de Confidencialidad
Adem as de la inform acin de que datos tratar y de que form a, todo usuario debe recibir informacin acerca de la obligacin de m antener secreto profesio nal sobre los datos que cono zca en el desarrollo de sus fu nciones, aan despu es de finali la zar relacin laboral que le une a la organi zacin. E l u su a rio d e b e firm a r u n a c u e rd o d e c o n fid e n c i a lid a d , e n e l q u e s e in fo rm esus de funciones y ob lig aciones respecto a la inform acin de la organi zacin . Im plantacin de Medidas S e d eb e n d e fin ir e xig e n c ia s d e c o n fid e n c ia lid a d y n o d ivu lg a ci n d e d a to s pta rao od e l p e r s o n a l q u e d i s p o n e d e a c c e s o a l s i s t e m a d e i n f o r m a c i n p a r ad e sa rr o ll o l d e s u s fu n c i o n e s , t a n to p a ra e l p e r so n a l c o n t ra t a d o c o m o p a r a pe lrs o n a l e e x t e rn o . recepcin. Estas e x ig e n c i a s se d e fi n i re n fo r m a l m e n t e en a c u e rd o s de confidencialidad, que todo el personal debere firmar com o prueba de su
P?gina --
Normativa L a c o n fi d e n c ia l i d a d d e l p e rso n a l c o n a c c e s o a d a t o s e s t a re g u la d a , t a n to e n ela L y d e P r o t e c c i n d e d a t o s c o m o e n l a n o r m a I S O 1 7 7 9 9 , e n l o s s i g u i e npuntos: pe s t E l re sp on sa ble d e fich ero y quien es in te rvenga n e n cu alq uier fase d el t r a t a m i e n t o 1 0.1 LO PD )
de
los
datos
de
caracter
personal,
estan
o b l i g a d o s a l sec re to p ro fe sion al re sp ec to d e lo s m ism o s. (A rticu lo
Las exig encias d e con fid encia lidad y acuerdo s d e no divulgaci n, que reflejan las necesidades de la organi zacin en materia de proteccin de inform acin, deberan ser identificadas y revisadas regularmente. (Punto 6.1.5 1SO17799:2005 )
Ejemplo S e c o n t ra t a u n a p e rso n a t e m p o ra lm e n t e p a ra la re a li z a c i n las de tarea s co ntab le s, pa ra sup lir un a ba ja te m po ra l d el u su ario encargado de dichas funciones; durante este tiempo esa persona a cc e d e a tod o s lo s da to s c on ta b le s d e la e m p re sa . Sin medidas: S i en la em presa n o se establecen m edidas, el usuario pu ede reali zar come ntario s, fu era de l am bito labo ral, acerca de la factu racin de la o rg a n i za c i n , la s c o m p r a s q u e r e a li za y lo s p ro c e d i m ie n t o s c o n t a b le s . C ua nd o ac aba e l con trato pu ed e lle va rse los dato s d e todo s lo s clie ntes co n los q ue trabaja la em presa. Principales am ena zas d e seguridad: Filtraciones de informacin sobre el estado contable de la empresa a t terceros no autori zados a acceder a esa inform acin. Filtracio nes fuera de la em p resa d e d ato s sob re cliente s. Definiendo medidas: En el contrato se incluye una clausula de confidencialidad con los datos que trate, estab leciend o las med id as leg ales y disciplin arias e n el caso d e i incum plim iento de esta confidencialidad. Antes de ofrecer y com entar inform acin so bre la em presa lo piensas do veces, ya que asume las m edidas legales y disciplinarias e establecidas en el contrato. En el caso de sustraccin o vulneracin de dicha confidencialidad, la e m p re sa p od ria e m p re n d e r m e d id a s leg ale s c o n tra l.
P?gina --
Paso 9
- S e d e fi n i r n clusulas de informacin
so b re e l deber de
secreto y confidencialidad s sistem a d eb ern firm ar.
de los datos que todos los usuarios con acceso al
Concienciacion y educacion sobre normas de seguridad

P a ra q u e lo s u s u a r io s p u e d a n c o l a b o ra r c o n la g e st i n d e la s e g u rid a d , se dleb e es co n c ie n c ia r e i n fo rm a r a fin d e q u e cu m p l a n c o n la s m e d id a s e st a b le c id a s la por organi zacin en el desem peno habitual de sus funciones. E s p r e c i s o i n s t ru ir a l p e r so n a l d e fo rm a a p r o p ia d a s o b re s e g u ri d a d y e l u s o correcto de los sistem as de informacin y sus recursos, asi como sobre la im portancia de la seguridad en el tratam iento de los datos en la organi zacin. Implantacin de Medidas Se d ebe form a r a todo el p erso na l d e la em p re sa q ue vaya a ta r d a to s d e l siste m a tra d e in fo rm a ci n so b re la s n o rm a s du t i l i z a c i n y m e d i d a s d e s e g u r i d a d q u e d e b e e c o n t e m p l a r dicho tratam ie nto. C on se g u ir qu e to do u su ario con o zc a la s t r u c c i o n e s ins para tratar lo s recursos, la respuesta a n t e c id e n c ia s in de se g u rid a d y el m a n te n im ie n to d e lo s re cu rso s, e s u n a fo rm a d e inu ir lo s e rrore s de tra ta m ien to y dism los m a los usos d e los re cu rso s de l sistem a informacin. de Normativa L a re g u la c i n s o b re l a fo r m a c i n y c o n c i e n c i a c i n d e l p e rs o n a l c o n a c c e sd a ao s o t e s t r e g u l a d a , t a n t o e n l a Le y d e P r o t e c c i n d e d a t o s c o m o e n l a I17799, en SO l los siguientes puntos: El respo n sab le d e fic he ro y qu ie ne s interve ngan en c ua lqu ie r fa se de l t r a t a m i e n t o 1 10.1 LOPD) La o rg ani za ci n deb er identificar y revisa r las necesidad es d e c o n fid e n c ia l id a d y r e c o g e rl a s e n a c u e r d o s d e n o d i v u lg a c i n . (P u n t o 6.1.5 ISO17799:2005) Ejemplo Se contratan dos trabajadores para introducir las altas d e nuevos clientes en el sistem a de in fo rm ac i n, e in fo rm arle s so b re los se rvicio s q ue o frece la em p re sa . Se les facilita un equipo para la ejecucin de sus funciones. de los datos de carcter personal, estn o b l i g a d o s a l secreto profesional respecto de los m ismos. (Articulo
P?gina --
Sin medidas: Es ta s p e rso n a s in ic ia n su tra b a j o s in fo rm a c i n s o b re n o rm a s d e tra b a joso u o de las aplicaciones. U n a d e e ll a s m e c a n i z a l o s c l i e n t e s c o n e l f o r m a t o n o m b r e y a p e l l i d o s , tlaa o r lo h a c e c o n a p e l l id o s y n o m b re , l a s o f e r t a s e i n fo rm a c i n e n v i a d a sl o a s c li e n t e s s e g u a rd a n e n e q u i p o s l o c a le s y c u a n d o se p ro d u c e a l g n fa ll o e l en equip o lo reinician y no reportan la incidencia al departamento c o rre s p o n d ie n t e . E st a s a c t u a c ion e s g e n e ra n a m e n a z a s d e se g u rid a d , la s p principales son: Duplicidad de clientes, al n o existir un criterio Cinico de introduccinde datos. d Duplicid ad en la informacin enviada a los clientes. Las incidencias no so n reportadas al departamento ap ropiado, con lo q u e n o se tie n e co n sta n c ia d e e lla s, n i se p u e d e n e stud ia r pa ra suanlisis y solucin. a E r ro r e s e n la a t e n c i n d e l o s d e r e c h o s d e l a s p e r s o n a s fi s i c a s a l existir duplicados. Definiendo m edidas: A n te s d e in icia r e l tra b a jo se fo rm a a lo s tra b a ja d o re s so b re e l u so d e la s a p l ic a c io n e s y re c u rs o s d e l si st em a , se le s c o m u n ic a u n a fo rm a co m n pla ra a introduccin de clientes con el formato apellidos y nombre, se les comunica que las ofertas se almacenan en una carpeta comn en el se rvid or, y se les in dica un pro ce dim ie nto para rep orta r inc ide nc ia s en lo s equipos o en el tratam iento de inform acin; adem s se les informa sobre la l legislacin aplicable en m ateria de proteccin de datos de carcter personal. Am bas encuentran los clientes correctam ente. No se envia inform acin d uplicad a a lo s clientes, ya que a m b a s disp on en de un re po sito rio com n d e inform a cin . d To da s las in cid en cias so n e stud ia da s a yu d a nd o a m ejorar el sistem ade informacin. d Se evita el riesgo de incumplimientos legales. Paso 10 - Se concienciar y formar al personal l a aplicacin de las medidas de seguridad zacin en el correcto desem peho de su s funciones. sobre la importancia d e d e f i n i d a s p o r l aorgani
P?gina --
Escritorio limpio y seguridad de equipo desatendido
El escritorio del equipo informtico y el entorno de trabajo son dos elementos del sistem a de informaci~n cuyo uso inapropiado puede generar amena zas sobre la confidencialidad de los datos, tales com o acceso a inform aci~n confidencial por personas no autori zadas o robos de inform acion. Implantacion de Medidas S e d e b e n e s t a b l e c e r n o r m a s y m e c a n i s m o s p a r a q u e personal tenga el el escritorio sin inform aci~n visible que pueda prometer la confidencialidad de los com datos, de igual form a la esa de trabajo debe estar libre de docum entos confidenciales. m Se debe adoptar un a politica de escritorio lim p io de papeles mye dio s de
alm a ce na m ien to e xtra ib le s, un a politica d e pan ta lla lim p ia p a ra las l i c a c i o n e s ap i n f o r m t i c a s , a s i c o m o n o rm a s d e s e g u r i d a d p a r a p r o t e g e r informaci~n cuando la el usuario abandona el entorno de trabajo. Normativa La im p la n ta c i~ n d e n o rm a s so b re e sc rito rio lim pio y e sta b le cim ie n to d e n o rm e s da se g u ri d a d p a ra lo s e q u ip o s d e sa te n d id o s e st n r e g u l ad a s e n la n o r m a IS O 17799, e en los siguientes puntos: Los usuarios deben asegurar que el equipo desatendido t i e n e l a proteccion apropiada. (Punto 11.3.2 IS017799:2005) p Se debe definir u na politica de escritorio limpio de papeles y m edios de alm acenam iento extraibles, asi com o una politica de pan talla limp ia para las aplicacion es in form ticas. (Punto 11.3.3 IS017799:200 5) Ejemplo U n m i e m b ro d e l p e rso n a l, e n c a rg a d o d e la s o b lig a c io n e s fis ca le s y la b o ra le sl ad e e m p re s a , d isp o n e d e u n c e rt ific a d o d ig it a l i n sta la d o e n su e q u ip o p a ra l a s comunicaciones con la administracion pblica y la reali zaci~n de pagos por medio de banca on line a travs de Internet.
Sin medidas: La mesa de trabajo del em pleado est en un rea donde trabajan m s p e rs o n a s , so b r e l a m e s a e s t n l a s n m i n a s d e l m e s e n c u rs o d e t o d o e l p e rs o n a l , l a t a r j e t a d e c o d i g o s d e v a l i d a c i~ n d e d a t o s p a ra l o s p a g otra v s s a d e In te rn e t y lo s d o c u m e n to s fisca le s de la e m p re sa . R e c ib e a l re sto
P?gina --
d e p e rso n a l p a ra e n tre g a rle s u s n m in a s. C u a n d o sa l e a m e d i a m a li a n a a tom ar caf deja su equipo sin ninguna proteccin. Las principales am ena de zas s seguridad son: Confidencialidad de la informacin com prom etida, cuando el
p ersonal recoge su nm ina puede ver otras nm inas y docu m entos f fiscales de la em presa. Acceso a informacin por parte de usuarios no autori zados, ya que al a u s e n t a r s e d e l p u e s t o d e t r a b a jo o t r a p e r s o n a p u e d e a c c e d e r a l m ism o con los privilegios d e este usuario (visuali zaci n de documentos, comunicaciones con la administracin pblica, pago por ban cos, etc.). Definiendo m edidas: En la m e sa de trab ajo el em p le ado s lo tie ne do cu m e ntos pb lico s, gu ard a ba jo lla ve la ta rje ta de va lid a c i n d e pa g o s p o r In te rn e t y d a to s fisca le s.a n d o Cu d e j a e l e q u i p o d e s a t e n d i d o b l o q u e a e l e q u i p o p a ra q u e s o l o usu ario pueda su desblo quearlo. La entrega de las nm inas se reali za m ediante un sobre cerrado y nominativo. Paso 11 - Se definiran normas de abandono del puesto de trabajo y gestion del escritorio que se com unicaran a los usuarios form almente.
Responsabilidad en el uso de contrasetias

En la actualidad, la m ayoria de los sistemas de inform acin utili zan sistemas de a u t e n t i c a c i n d e u s u a ri o s b a s a d o s e n co n t ra s e li a s , l im i t a n d o e l a c c e s o a lo s recursos del sistem a segan el perfil de trabajo al que pertenece el usuario. Diariamente se recibe informacin sobre am ena zas, como p l a n t a c i n d e i d e n t i d a d su de los usuarios, acceso no utori zado a los sistem as de informacin, acceso no a autori zado a datos, etc., que form an parte de la realidad cotidiana en las em presas. L a p ri n c ip a l e st ra t e g ia p a ra q u e lo s u su a rio s u t il ic e n s u s con traselia s e n el siste m a de form a se gu ra , e s form a rlos sob re su co rrec to uso. Implantacin de medidas
P?gina --
La entrega d e las credenciales al usu ario (n om bre de u suario y contrase fia) debel i rea z a r s e p o r a l g n p r o c e d i m i e n t o q u e o b l i g u e a l u s u a r i o a c a m b i a rc oa tra se fia ln e n e l sig u ie n te in ic io d e se si n , lo q u e ga ra n ti za q u e so la m e n te conoce la el contrasefia. S e debe fo rm ar a los usuarios en la seleccin y em pleo de sus contrasefia s, para g aran ti zar q ue las m ism as tien en una calid ad minim a frente a intento s d e acceso. S e d e b e c o n c ie n ci a r a lo s u su a rio s d e l a c o n fid e n c ia l id a d d e la co n tra s e fia , yq u e d la re ve la c i n d e la m ism a su p o n e u n a s u p la n t a c i n d e s u id e n t id a d d ig it a l e qu , p uede ten er repercu sione s disciplin arias y legales. Normativa Las m edidas sobre la responsabilidad de los usuarios en el uso de sus c o n tra se fia s e st n re g u la d a s, ta n t o e n la Le y d e Pro te c c i n d e da to s c o m o e n la IS O 1 7799, en los sigu ientes p untos: S e d e b e r e q u e r i r a l o s u s u a ri o s b u e n a s p r c t i c a s d e s e g u r id a d e n la selec cin y e m pleo de sus co ntra se fia s. (Pu nto 11 .3 .1 IS O 1 17 79 9:20 05 ) Cuand o e l m eca nism o de autenticaci n se base en la existe ncia de c o n t ra se fia s, y e xist ir un p ro c e d i m ie n t o que de a sig n a c i n , su d istrib u c i n almacenam iento garantice
c o n f i d e n c i a l i d a d e i n t e g r i d a d(A rticulo 11.2 R MS) (. La s c o n tra se fia s se ca m b ia r n c o n la p e rio d icid a d qu e se d e te rm in e e n e l d o c u m e n t o d e se g u ri d a d y m ie n tr a s e s t n vig e n t e s se a lm a c e n a r n form a ininteligib le. (Articu lo 11.3 de R RMS ) Se lim itar la posibilidad de intentar reiteradam ente el acceso n o au tori zado al sistem a de inform acin. (Articulo 18.2 R MS) a La asignacin de contrasefias deberia ser controlada por un proceso ded ire c c i n fo rm a l. (Pu n to 1 1 .2 .3 IS 0 1 7 7 9 9 :2 0 0 5 ) Todos los usuarios deberian tener un identificador 9nico para su empleo p e r s o n a l y u n a t c n i c a c o n v e n i e n t e d e a u t e n t i c a c i n d e b e r i a s e re scog id a p ara ju st ific ar la se gu rida d de ide ntificac i n de los usua rios.(P u n to 1 1 .5.2 IS 0 1 7 7 9 9 :2 0 0 5 ) ( Los sistemas de contrasefias debern asegurar la calidad de las mism as.(Pu n to 1 1 .5 .3 IS 0 1 7 7 9 9 :2 0 0 5 )
P?gina --
Ejemplo
P?gina --
El adm inistrad or del sistem a de in form acin se encarg a de la asignacin de las contrasefias de acceso al sistema de informacin del personal y las comunica por escrito. Sin medidas: Un usuario guarda en su ca.n una libreta que contiene todas las c o n t ra se fi a s q u e h a u t ili z a d o c o m o u su a rio , e i n c lu so la C ilt im a la ti e n e a n o t a d a e n u n p a p e l p e g a d o e n e l m o n ito r d e s u e q u ip o . E l a d m in i s t ra d e lr o sistem a tie ne otro lista do con lo s u su ario s y con trase fia s d e tod os u su a rio s. lo s L a s p ri n c ip a le s a m e n a z a s re l a c i o n a d a s co n la se g u ri d a d d e inform acin la s son: Las contrasefias no estan protegidas, cualquier acceso a las listas de c contrasefias pueden perm itir accesos no autori zados. Cu alq u ie ra qu e te n g a a cc eso a l e qu ip o disp on e de u na co ntra se fia v va lida pa ra ac ced er al siste m a de inform a cin . El adm in istrador pued e reali zar cualquier accin dentro del sistem a de informacin usurpando la identidad de otro usuario, invalidando cualquier evidencia con valide z legal. Definiendo m edidas: La emp resa establece norm as sobre la responsabilidad de los usuarios en el uso de sus contrasefias y les inform a form almente. Los usuarios mem ori zan sus co ntra se fia s o la s gu arda n en un luga r do nd e slo ello s pu ed en a ccedE l er. a d m in is t ra d o r o b li g a a c a m b i a r la c o n t r a se fi a a l o s u su a rio s la p r im e ra z ve que inician sesin, quedando esta Cinicamente en conocimiento de dicho u usuario. S lo e s e u su a rio t e n d r a a c c e so a l si st e m a de i n fo rm a c i n c o n s u n nom bre de usu ario y con trasefia. S i s e g a ra n t i z a q u e la s p ru e b a s n o so n a lte ra b le s , la s a c tu a c io n e s d el usua rio podran te ne r c arac te r pro batorio de sus a ccio ne s.
Paso 12
- Se debera seleccionar unprocedimiento de asignaci6n de asi como concienciar y formar a los usuarios sobre la y so bre la elec cin de
contraserias
im p o rta ncia d e la con fide nc ia lida d d e las contraserias contrasefias robustas.
P?gina --
Normas de uso de servicios publicos
El uso de servicios pablicos com o puede ser Internet o conexiones con terceros a traves de las redes de com unicaciones de la em presa, puede dar lugar a a m e n a za s d e la se g u rid a d d e la in fo rm a c io n , t a le s c o m o a cc e so a p ag in a s n o s e g u ra s , d e sc a rg a d e d a to s y/o p ro g ra m a s n o se g u ro s, in st a l a c io n d e so ft wn o a re a u t o r i z a d o , e j e c u c i o n d e c o d i g o s m a l i c i o s o s , a c c e s o d e p e r s o n a l an o ri u to z a d o a l si st e m a d e in fo rm ac io n , e t c. Es ta s so n a lg u n a s d e la s a m e n a za s que residen en dicho uso. Medidas de apoyo S e d e b e n e s t a b l e c e r n o rm a s d e u s o d e lo s si s t e m a s q u e a c c e d e n a s e r v ic i o s pblicamente disponibles (por ejemplo Internet), y lim itar dicho acceso exclusivamente a usuarios autori zados. Formar a los usuario s autori zados so bre el uso de servicio s p blicos evita p o sib le s in fe c cio n e s p o r co d igo m a lic io so , su stra c c io n e s d e c o n tra se h a s, a cc ea s so la inform acin por terceros no autori zados... y adems, m inimi za la posibilidad de posibles fallos de seguridad al utili zar dichos servicios. Normativa A u n q u e n o e xiste u n a n o rm a tiva q u e re g u le e xa c ta m e n te e ste p u n to , d a do e l crecim iento del uso de Internet y com unicaciones entre redes emp resariale s, e b e d se e st a b le ce r n o r m a s p a r a p r e ve n ir y re g u la r e l u s o d e d i c h o s s e rvic i o s p o r del parte personal de la em presa. Estas no rm as se d eben incluir en la politica de seguridad de la emp resa, asi como en la definicion de las obligaciones y responsabilidades del personal. Ejemplo E n l a e m p r e s a s e h a f a c i li t a d o e l a c c e s o a I n t e r n e t e n os los equipos de tod tratam iento de inform acion, tam biens e ha instalado un servidor de c o m u n i c a c i o n e s q u eperm ite a los usuarios acceder al sistem a de inform acion sd e de u bica cio ne s rem otas. A los trab aja dores se les ha facilitado un a cuenta de acceso y un nom bre de usuario ycon trasena para acceder desde fuera de la oficina en caso d e necesidad. Sin medidas:
P?gina --
Un usuario (Usuario 1) accede a pginas que perm iten la descarga de so ft w a re ile g a l, d e sc a rg a so ft w a re y lo in st a l a e n e l e q u ip o , e n t ra a tra d s ve W e b a s u c o r re o p e rs o n a l , v i s i ta p g i n a s d e d u d o s a s e g u r i d a d . O t r o l o s de u s u a r i o s ( U s u a r i o 2 ) h a s a l i d o f u e r a d e la s i n s t a l a c i o n e s y n e c e sa t a ed er al i cc sistem a d e in fo rm ac i n , ac ced e al siste m a de inform a cin d e e la p re sa d e sd e m u n o d e lo s e q u i p o s d e u n c y b e rc af . L o s p u n to s v u ln e ra dson lo s siguientes: so s El equ ipo d el Usua rio 1, insta la cin d e so ftw a re no reg ulado po r la em presa e ilegal e El equipo del Usuario 1, posibilidad de infeccin por m alware ubicadoe n la s pa g in a s W eb 's o d e sc a rg a d o d e sd e su co rre o E l U s u a ri o 2 , p o s i b l e i n f e c c i n d e l s i s t e m a d e i n f o r m a c i n El Usuario 2, posible robo de inform acin El U s u a rio 2 , p o s ib le ro b o d e cre d e n c ia l e s p a ra e l a c c e so a l sist e m a de in form acin de la em presa A m b o s u s u a ri o s p o d ri a n a l e g a r q u e h a n e fe c t u a d o d i c h a s a c c io n e s p o rq u e no co noc en la politica d e seg urid ad de la em presa. Definiendo m edidas: La em p re sa e stab le ce no rm as pa ra e l uso de co m u nica cion es, "no con ec ta r d e s d e e q u i p o s d e t ra t a m i e n t o q u e n o s e a n fi a b l e s o se g u ro s " , "n o a c c e a le r d siste m a d e sd e sitio s d o n d e no se te n g a p riva c id ad p a ra e l tra ta m ie n to lo s de da to s", "tip o d e p g in a s q u e n o se d e b e n visita r", "c m o y d e sd e d n d e reali zar las com unicaciones", etc. y las incluye dentro de las obligaciones y re sp o n sa b i li d a d e s d e l p e rs o n a l y e n la p o lit ic a d e se g u ri d a d d e la e m p reD e . sa e s te m o d o , lo s u s u a ri o s sa b e n d e q u e m o d o tra t a r lo s se rv ic io s q u e m p re sa e la pon e a su dispo sicin para la rea li zac i n de sus fun cion es. Paso 13 - S e d e b e restringir el uso de los servicios pablicos a . Los el
aquellos usuarios autorizados expresamente para su uso usuarios autori zados debern recibir formacin complementaria sobre
uso de ta le s siste m a s y las po sib le s a m e na za s q u e p ued en presen ta r.
P?gina --
Normas de seguridad en Correo Electronic
El uso del co rreo e lectro nico gene ra im po rtantes am en a zas al sistem a d e in fo rm a cio n . In fe c c io n d e eq u ipo s p o r m a lw a re , e n vio s d e in fo rm a c io n sin la s m edidas de seguridad correctas o sustraccion de inform acion son algunas amena zas. A. Implantacion de Medidas Deben establecerse normas de seguridad para el uso del correo electronico, que recojan las medidas de seguridad minim as para garanti zar un uso responsable y seguro del servicio. La Inform a ci n c on fide nc ia l en via da a tra v s de m e nsajeria elec trn ic a d ebest a r e r p r o t e g id a d e m a n e ra a p ro p ia d a , p a ra q u e n i n g n te rc e r o n o a u to ri z a d o pueda tener acceso a la mism a. Normativa La im plantacin de normas sobre seguridad en el uso del correo electronico est r reflejada en la norm a ISO 17799 en el siguiente punto: La Informacin confidencial enviada a travs de mensajeria electrnica deberia ser protegida de manera apropiada. (Punto 10.8.4 IS017799:2005) Ejemplo En la e m p re sa se fa c ilita a tod o s lo s u su a rio s u n a cu e n ta de c o rre o e le ctro n ic o y se configura en sus equipos. Sin medidas: N o s e i n f o r m a a l o s u s u a r i o s s o b r e e l m o d o d e zar y gestionar el servicio utili de correo electronico,ni de las m edidas de seguridad que deben tom ar. Un m iembro del personal de la em presa abre todos s c o rr e o s q u e l l e g a n a su lo cuenta, d e s c a rg a lo s a r c h i v o s adjuntos que contienen sin v e r i f ic a r la proc ede nc ia , en via in fo rm ac i n co nfid en cial d e la p resa sin proteger. Los em p puntos vu lnerados son los sigu ientes: P Posible infeccin de malware Posible interceptacin de la informacin enviada Lo s u su ario s, en c aso de q ue ocu rra a lgu na inc id en cia, p od r n aleg ar que desconocen las accion es que pueden o no llevar a cabo.
La em presa facilita form alm ente al personal las norm as de seguridad para manejar el correo electronico. "No abrir correos sospechosos, de direcciones de sc on ocida s o co n a su ntos poco fiab le s", "n o ab rir n in g n a rc hivo ad jusin nto a n te s a n a li za rlo co n u n a n tiviru s", "n o e n via r in fo rm a ci n co n fid e n c ia l sin cifrad o", son a sp ec to s rec og ido s e n dic ha s n orm a s. Paso 14 - Se debe restringir el uso del correo electrnico a aquellos . Los usuarios autori zados deberan con especial atencin a las posibles
usuarios autorizados expresamente recibir formacin complementaria am ena zas que pueden presentar.
Formacin sobre manejo de incidencias
La form acion de los usuarios sobre el manejo de incidencias es fundamental para mantener y gestionar correctamente el sistema de informacion de la organizacion. Sin una adecuada politica de m anejo de incidencias, los tiempos de m antenim iento se alargan y los problem as de segu ridad se increm entan, sin lu ga r dar a ac cio ne s in m ed ia ta s pa ra su so lu cion . Implantacion de Medidas Deben existir canales establecidos para inform ar, lo m as rapidam ente posible,los de incidentes relativos a la seguridad y al mal funcionam iento de los sistemas de informacion. T o d o s lo s e m p le a d o s d e la o rg a n i za c io n , i n c lu id o s lo s e xt e rn o s, d e b e n c o n olos r ce procedimientos de comunicacion de incidencias, asi com o las infraccionesm a t e r i a en de seguridad que pueden tener un im pacto en la seguridad de los activos de inform acion. La fo rm a c i n a yu d a ra a la h o ra de lo c a li za r, re so lve r y a n a li za r la s in c id e n ciae qu s o curre n en e l sistem a de in fo rm ac i n de la em p re sa , an te s d e que e l dafio producido p ueda extenderse o agravarse. Normativa Existe reg ulaci n so b re la fo rm aci n so b re incid encias d el p e rso n a l c o n a c c e so a d a to s, e sta re g u la d a ta n to e n la Le y de
P?gina --
P Pro te c c i n d e d a to s c o m o e n la n o rm a IS O 1 7 7 9 9 , e n lo s sig u ie n te s p u n to s: El procedimiento de n o t i fi c a c i n un y gestin en el de que in c i d e n c i a s se haga
c o n t e n d r n e c e s a r i a m e n t e
reg istro
c o n s t a r e l t i p o d ein c id e n c ia , e l m o m e n t o e n q u e s e h a p ro d u c i d o , l a p e rs o n a q u e re a li z aa n o t i fic a c i n , a q u i e n s e l e c o m u n ic a y l o s l e fe c t o s q u e se h u b ie r a n e riva d o d e la m ism a . (A rticu lo 1 0 .1 R M S ) d Se deben e s ta b l e c e r de p ro c e d im ie n t o s incidencias de documentados seguridad. Todos de los
c o m u n i ca c i n formal
em pleados, contratistas yusuarios terceros deben con ocer dichos pro cedim ientos, para identificar s d i st i n t o s tip o s d e i n c i d e n c i a s y lo d e b il id a d e s q u e p o d ri a n t e n e r u nm p a c t o s o b r e l a s e g u r i d a d i d e l s i s t e m a d e i n fo rm a c i n d e la rgani zacin. Se debe o r e q u e r i r q u e e l l o s c o m u n i q u e n c u a l q u i e r c id e n c ia de se g u rid a d in d e la in fo rm a c i n , ta n r p id a m e n te co m o se a sib le , a l p u n to d e po c o n ta c to de sig n a d o . (Pu n to 1 3 .1 IS O 1 7 7 9 9 : 2 0 05 ) Ejemplo Sin medidas: E n l a e m p r e s a n o s e i n f o r m a a l p e r s o n a l d e l a s a c t u a c i o n e s a s e g u i r alase nt incidencias ocurridas en el tratam iento de la inform acin. Un u su a rio (Usu a rio 1 ) su fre e l b loq u e o de su e q u ip o in fo rm tico m ie n traali re s za su s fun cion es, y de cide apag arlo y vo lverlo a en ce nd er c ad a ve z q e l ue ocurre. Otro usuario (Usuario 2) cada ve z que intenta m odificar los archivos del serv id or recibe un m ensaje de erro r, por lo que opta po r g ra b a rl o s c o n d i st i n t o s n o m b r e s . U n t e r c e ro ( u s u a ri o 3 ) d e t e c t a q u e s u e q u ip o se re in ic ia c a d a c ie rto tiem p o m ie n tra s e st tra b a ja n d o , a n te e st a sit u a c i n e sp e ra q u e v u e lv a a en c e n d e rse d i ch o e q u ip o . O t ro (U su a rio 4 )
g u a r d a e x p e d i e n t e s e n u n a c a r p e t a e n p a p eq u e e x t r a v i a- , p o r l o q u ev u e l v e l
a i m p r i m i r t o d o s l o s e x p e d i e n t e s y c r e a u n a c a r p e t a n u e v a . Lp un tos de os s seg urid ad vulne ra do s son los sig uien te s: Posible dafio en los equipos de tratamiento Posible dafio a los datos del sistema de informacin Robo o sustraccin de informacin La em presa, al no conocer la existencia de stos incidentes y no tratarlos a t ie m p o , n o p u e d e r e a c c i o n a r a n t e e l lo s , i n v e s t ig a r p o r q u h a n p a s a d o y po ne r e n m a rcha la s m edid as qu e lo so lu cion en .
P?gina --
En la em p resa, se in fo rm a a tod o el p ersonal co n acceso al sistem a de in form acin, sobre el procedim iento a seguir si se detecta cualqu ier fallo o in cidencia en el sistem a de tratamiento de inform acin. D e e ste m o d o , la d e te cc i n d e in cid e n c ia s a lc a n za r a tod o s lo s u su a rio slad e organi zacin y perm itir su correcta gestin y solucin. Paso 15 - S e d e b e definir un procedimiento de gestin de y entregar a cada usuario sus obligaciones para el
incidencias de seguridad
adecuado cum p lim iento d el m ism o.
Controles relacionados con los Sistemas de Inform acion

E l s iste m a d e in fo rm a c i o n e m p le a d o , a si c o m o su c o n fig u ra c io n y g e st io n , e s o tr o d e los factores cuyo anlisis resulta imprescindible para crear una adecuada estrategiaseguridad de de la inform acion. Los controles a considerar se pueden agrupar en fisicos y logicos. Los controles fisicos c o n te m p l a n a q u e l lo s e l e m e n to s re la c i o n a d o s co n e l e n t o rn o (c o m o p u e d e n se r lo s locales), o co n los soportes (com o p ueden ser los discos d uros, el p apel...) y los c o n tr o le s lo g i co s a g ru p a n lo s s is te m a s (c o m o p u e d e n se r l a s a p lic a c io n e s, la s c o p ie s da d a t o s , e t c . ) y l a s c o m u n i c a c i o n e s ( c o m o p u e d e n s e r r e d e s l o c a l e s , c o n e x i od esde el nes exterior, etc.). Es prec iso de fin ir norm a s de fu ncio na m ien to y uso pa ra todo s e llo s.
6.2 Se guridad Fisica relacionada con el Entorno

La p rim e ra b a rre ra pa ra el a cc e so a l siste m a de in fo rm a c i n de la o rg a n iza c i n e s e l a cc eso fisico . Pro te gien do el ac ce so a los lo ca le s se p ro teg e e l a cc eso fisico al sistem a de informacin. Estab le ce r un perim etro fisico , co ntro le s fisico s de en trad a a los lo cales o en las zod e s na c a rg a y de sca rg a , so n la s p rim e ra s m e d id a s d e se g u rid a d a re co g e r e n e l siste m a .
Perimetro fisico de seguridad y controles de acceso.
Los m ecanism os de proteccion para el sistem a de inform acion de la organizaciona n pas p o r d e f i n i r u n p e r i m e t r o f i s i c o d e s e g u r i d a d q u e i m p i d a e l a c c e s o autori zado no a la inform acion. U n a ve z e st a b le c id o u n p e rim e t ro d e se g u ri d a d , se d e b e re g u la r e l a cc e s o fisic o a d i c h o p e ri m e tro ; p a ra e llo , se de b e n e sta b le c e r c o n tro l e s fi si c o s d e se g u ri d a d e e n t r a d a a lo s l o c a le s y a la s u b i c a c i o n e s q u e p e rm i t a n u n a c c e s o a l si st ede a m inform acion. Im plantacin de Medidas E s t a b l e c e r u n p e ri m e t r o fi s ic o d e se g u ri d a d q u e p ro t e j a la i n fo rm a c i n d e l a organizaci n es vital para prevenir incidencias. El perim etro fisico es la prim era b a rre ra d e p ro te c c i n d e l sist e m a d e in fo rm a ci n q u e ga ra n ti za e n g ra n m e d id a el fun cio n am ie nto de l re sto d e m ed ida s.
Pgina -52-
El acceso al local, mediante v+as de acceso autori zadas y controladas, barreras arquitectnicas com o p ared es o ventanas, elem entos adicio nales com o areas de descarga controladas, debe ser gestionado para proteger las zonas que contienen instalaciones inform ticas o permiten el acceso a las m ism as. D e n t ro d e l p e r im e t ro d e s e g u rid a d , se d e b e n id e n t i fic a r l a s u b ic a c io n e s q u e alm acenan soportes que puedan con tener datos confidenciales o especialm en te proteg idos (en el caso de datos de cara cter p ersona l); estas ubica cio nes d i sp o n d ra n d e u n a i d e n t ifi c a c i n p e rs o n a l d e lo s u su a ri o s q u e p e rm it a v a lique dar disponen de autori zacin para el acceso. S e d e b e n va li d a r l a s m e d id as d e s e g u r id a d fi sic a se a cc e so a l p e rim e t ro d e d se g u rid a d , c om p u e sta spor puertas, cerraduras, alarmas, vigilancia, etc., f y r m a l i o z a r l a s e n i n s t r u c c i o n e s d e a c c e s o a l ol s c a le s, q u e d e b e r a n se r c o m u n i c a r l a s a o t o d o e l personal. Normativa La im pla ntaci n de n o rm as sobre seg urid ad en de finicin d e u n p e rim e tro fisico de la seg urid ad y con troles fisico s de en trad a al ism o e sta re fle ja d a , ta n to e n la Le y de m Pro te c c i n d e Da to s c o m o e n la n o rmISO 17799, en los siguientes puntos: Ia Exclu sivam en te ubicados el p e rson al de a uto ri za do en el doc um en to de de
seg urid ad p o d r a t e n e r a c c e s o a l o s l o c a l e s d o n d e s e e n c u e n t r e n l o s sistem as inform acin con datos caracter personal. (A rticulo 19.1 R RMS) P e rim e t ro s d e S e g u rid a d (b a rre ra s co m o p are d e s , ta rje t a d e c o n tr o l p u e rta s instalaciones I IS017799:2005) La s a re a s se g u ra s de b e ra n e sta r p ro te g id a s p o r co n tro le s d e e n tra d a a p r o p i a d o s , p a r a a s e g u r a r q u e p e r m i t e n e l a c c e s o s l o a l p e r s o n a lautori zado. (Punto 9.1.2 IS017799:2005) a L a se g u rid a d fis ic a p a ra o fic in a s, c u a rt o s e in st a la c io n e s d e b e ra s e r diseliada y aplicada. (Pun to 9.1.3 IS017799:2005) Ejemplo La em presa dispone de una nave de trabajo y oficinas situadas en la parte superior de la nave. de e n tra d a e o co n tro l en lo s e scrito rio s (Punto de re ce p c i n ) d eb e rfa nser usados y p roteger las areas que contienen inform aticas informacin. 9.1.1
Pgina -53-
Sin medidas: Si la o rgani zacin no define ningn perim etro fisico q ue restringa el acceso al p e rs o n a l a u t o ri za d o , p u e d e no a t e n d e r a e le m e n t o s c o m o p u e rt a s y v e n t a q u s nae o c a s i o n e n r o b o s d e e q u i p o s o d e i n f o r m a c i n , y p e r m i t i r a c u a l q uemrpleado ie que puede transitar y utili zar los espacios de la oficina, accediendon f o r m a c i n e n i a papel clasificada como restringida, o pro vocando dahos en sistem as de in fo rm ac i n al n o dispo ne r d e instruc cion e s so bre su u so . Definiendo medidas: La e m presa d elim ita com o pe rim e tro d e seg urid ad la u bica ci n d e la s ofic in aslae n pla nt a su pe rior d e la na ve , e stab le ce m ed ida s d e re stricc i n de ac ce so a m i s m a s , las asegura puertas y ventanas e informa a todo el personal de sus funciones. Paso 16 - Se debe definir un perimetro de seguridad que represente la
prim era b arre ra de ac ce so a los sistem a s d e inform a cin . S e d efin irn las norm as de acceso al interior de dicho perim etro para personal auto ri zad o. Dich as n orm a s se ra n difun dida s y de ob ligad o cu m plim ien to .
Control de accesos publicos
'
areas de carga y descarga
La s a re a s d e ca rg a y d e sca rg a d e m e rc a n cia s, lo s a c ce so s p a b lico s y lo s a c c ed e s so entrega de m aterial a las oficinas de la organi zacin, suponen am ena zasa de e s o s cc n o a u to ri z a d o s y p o r t a n t o , re q u ie r e n d e u n t ra t a m ie n t o e s p e c ifi c o cto a las respe m e did as de se gu rida d a im p la ntar. Implantacin de Medidas De forma habitual, una organi zacin necesita elementos de comunicacin con el exterior, esto s elem entos o esp acio s p erm iten el transito d e m erca ncia s y pe rson as y su po ne n d e u na fo rm a m a n ifiesta a m e n a zas a la seg u rid ad . S e d e b e n d e fin i r n o rm a s d e u so d e d i c h o s e s p a c io s, d e fo rm a q u e e n n i n g n m o m e n to q u e d e n d e sa t e n d id o s d e p e rso n a l d e la o rg a n i za c i n q u e vig ile lo s posib le s a ccesos q ue pu ed an p rod ucirse d esde e stos e le m e ntos. Las m ed idas d e seguridad aplicables a estos espacios pueden ir, desde puertas blind ada s, alarm a s, sistem as de se gu rida d profesio na le s co n vig ila nc ia 2 4h , etc.
Pgina -54-
Normativa La im plantacin de norm as sobre seguridad en el control de los accesos pblicos, areas de carg a y descarga o areas de entrega, estan reflejad as en la n orm a ISO 17799 en el s siguien te p unto: Los puntos de acceso a la organi zacin tales com o zon as de entreg a de mercancias, areas de carga y descarga y otros puntos donde personas n o autori zadas pueden entrar sin perm iso deben ser controlado s y, de ser p o s i b l e , aislado s de las instalaciones inform ticas y sistema de inform acin de la empresa para asi evitar el acceso no autori zado. (Punto.1 .6 1 S 0 1 7 7 9 9 :2 0 0 5 ) 9 Eiemplo La em presa dispone de un area de carga y descarga de m ercancias en la que existe un acceso a la oficina p r i n c i p a l , t a m b i n e x i s t e u n a c c e s o d e s d e e l e x t e r io r para clientes y proveedores. Sin medidas: Los accesos a las oficinas desde las areas de carga y descarga no son c o n t ro la d o s , y lo s a c c e s o s d e s d e e l e x te rio r q u e d a n a b ie rt o s e n h o ra ri o la b o ra l sin n i n g n t ip o d e v i g i l a n c i a n i c o n t r o l . D i c h a s i t u a c i n p u d e d a r l u g a r a siguientes las s situaciones: Acceso por terceros no autori zados al sistem a de inform acin Sustraccin de informacin Definiendo medidas: En la e m presa se de fine n y cu m plen las sigu ie nt es m ed ida s: Lo s ac ce so s d esde el area d e ca rg a y de sc arga e stan con trolado s m e dian te un a p u e rta c e rra d a , q u e so lo se pu e d e a b rir m ed ia n te u n c d ig o , y s lo e l p e rso n a l autori zado dispone de cdigo de apertura. Lo s a c c e s o s p b li co s p e rm an e c e n c e rra d o s y e x iste u n a p e rso n a e n c a rg a d aabrir de dichos accesos a terceros. Lo s t e rce ro s q u e te n g a n q ue a c c e d e r a la s o fic in a s p a ra l a e n t re g a d e a lg u n a docum entacin siem pre so n acom pahados por p ersonal autori zado. Esta s n orm a s d e se gu rida d se fo rm ali za n y se en treg an al pe rson al en ca rg ad o de la vigila nc ia y d esca rg a d e m erca nc ia s.
Pgina -55-
Paso 17
- Se debe establecer un adecuado control de los espacios de , normali zar los accesos a
acceso pablico y areas de carga y descarga d dicha s zon as y vigilar su co rrec to cu m plim ien to .
Proteccion contra amenazas externas y ambientales

La mayor parte de las am ena zas externas y ambien tales no son controlables pa rte por d e la o rg a n i za c i n , e n su an lisis se d e b e n d e fin ir m e d id a s de se g u rid a d evitar para impactos en la organi zacin, tales como la perdida total o parcial sistem a d e del inform acin de la empresa. Implantacin de Medidas Las medidas de seguridad que pueden paliar los efectos am ena zas externas estn de relacionadas con la disponibilidad e l o s si st e m a s (P la n e s d e R e c u p e ra c i n a n t e d d e sa st re s) yl a c o n t i n u i d a d d e l n e g o c i o ( P l a n e s d e c o n t i n u i d a d d e negocio). E s t a s m e d i d a s e s t n c o n d i c i o n a d a s e n su m a yo r p a rt e p o r l o s re q u is it o s d e negocio establecidos al anali zar los principales riesgos de la organi zacin. Normativa La im plantacin de norm as sobre proteccin contra am ena zas externas y a ambientales estn reflejadas en la ISO 17799 en el siguiente punto: La p ro te c c i n fisic a co n tra artificial el da8o del fu e g o , ser in u n d a c i n , y
te rre m o to , exp losin, terceros m alintencionados y otras form as de desastre natural o deberia disehada aplicada. (Punto 9.1.4 IS017799:2005) Ejemplo La em presa est ubicada en los mrgen es del rio, en una nave antigua. Sin medidas: L a e m p re s a n o e s t a b l e c e n i n g u n a m e d id a d e s e g u r id a d p r e ve n t iv a c o nlara ts p o s ib le s i n u n d a c i o n e s . L o s p u n to s d e s e g u r i d a d v u l n e ra d o s s o n siguientes: so s l P Prdida de recursos del sistema de informacin Prdida de informacin
Pgina -56-
Definiendo medidas: L a e m p r e s a d e c i d e e s t a b l e c e r u n s i s t e m a d e e v a c u a c i o n d e e m e r g e n c iia a s t, e l C e n t r o d e P r o c e s o d e D a t o s ( C P D ) e n l a p a r t e a l t a d e l e d i f i cad , s se i o em in stru ye al p erso na l sob re la s ta re as a lle va r a c abo e n ca so inundacion. de
Paso 18 - Se debe establecer un Plan de Continuidad de Negocio garan tice la rec up erac io n d e los sistem as en caso de de sa stre.
que
6 6.3
Seguridad Fisica relacionada con los Soportes

Inventario y etiquetado de soportes
In cluido e n la "Gu ia de c la sificacion de la inform a cion " (ve r pag in a 21 ), se deb e definir la forma de identificar el tipo de informacion que contiene cada uno de los d i f e r e n t e s s o p o r t e s u t i l i z a d o s e n l a o r g a n i z a c i o n . E s t o s p ro c e d i m i e n t o s d e tratam ie nto de la inform a cion debe n c ubrir ta nto los fo rm atos fisico s com o los f fo rm atos log ico s, in cluyen do p ara ca da tip o: Copia Alm acenam iento Transmisio n po r correo, fax y correo electronico Transm ision o ral, inclu ida telefonia m ovil, transm isio n de vo z y m aq uinas de respuesta autom atica Destruccion El e tiq ue ta do d e la in fo rm ac io n p u e de re ali zarse d e diferen te s form a s, pero se deberia hacer de m anera que se distinga de una form a facil el tipo de in fo rm ac io n qu e co ntie ne e l doc um en to . El in ve n tario de so p o rtes pe rm itira lle va r u n a m e jor ge stio n de la inform a cion , co n tro la n do e n to do m o m e n to lo s tra ta m ie n to s y sa lid a s d e in fo rm a cio n fu e ralad e organi zacion. Implantacion de Medidas Tra s l a a p ro b a c io n p o r l a d i re cc io n la G u ia d e c la si fic a c io n d e in fo rm a c io n , se dispone del respaldo necesario para abordar el inventario y etiquetado de soportes. U n a ve z se le c cio n a d o e l p ro c e dim ien to d e e tiq u e ta d o , se p ro c e d e r a id e n tific a r en el inventario tod os los so portes y a etiq uetarlos segn el contenido qu e
Pgina -57-
a lm a c e n a n o tra ta n . D ich o in ve n ta rio se ra m a n te n id o d e fo rm a p e rid ic a , selosn ga requisitos establecidos en la Guia d e clasificacin de la informacin. Normativa L a im p la n t a c i n d e n o rm a s s o b re i n v e n ta ri a d o y e t iq u e t a d o d e so p o rt e s e s ta reflejada, tanto en la Ley d e Protecci n de Datos com o en la ISO 17799, en los s siguientes puntos: L o s s o p o rt e s informacin q u e informaticos c o n ti e n e n , que ser
contengan datos de caracter personal deberan perm itir identificar el tipo de i n v e n t a r i a d o s y a l m a c e n a r s e e n uln g a r c o n a c c e s o r e s t r i n g i d o a l u personal autori zado para ello. (Articulo 1 13.1 RMS) Todo activo del sistem a de inform acin deberia ser c l a r a m e n t e identificado e inventariado . (Punto 7.1.1 I IS017799:2005) Un a p r o p ia d o ju e g o de p ro c e d i m i e n to s p a ra el m anejo y
e tiq u e ta d o d e la informacin deberia ser desarrollado y puesto en practica conforme al sq ue m a d e clasific ac i n adop ta do po r la o rga n i e zac i n. (Pu nto 7.2.2 IS017799:2005) Ejemplo Sin medidas: La empresa no h a etiquetado los soportes n i dispone de inventario. Todos los equipo s se ubica n en la m ism a sala, do nde reali za su trabajo el p personal de la empresa. L Los equipos no disponen de m edidas d e segurid ad especificas. S e p u e d e e s t a r t ra t a n d o i n fo rm a c i n R e s t ri n g id a p o r u s u a r i o s autori no zados.
Respecto a las com unicaciones, no se controla si la inform acin r restringida sale de la organi zacin. No se detecta la prd ida de un soporte con copias de seg uridad. Definiendo medidas: La empresa publica y com unica a todos los trabajadores una Guia de clasificacin de la inform acin. Cada soporte dispone de una etiqueta id e n t ifica tiva y e sta re la cio n a d o en e l in ve n ta rio d e so p o rte s. S e c u sto d ia n
Pgina -58-
co n m edid as especiales aq uellos so po rtes que alm acenan in fo rm aci n restringida. Se crea un procedim ie nto para revisar la co nform idad del inventa rio m mensualmente. Se pueden detectar posibles prdidas o sustracciones de soportes E s m a s f c i l c a t a l o g a r y a p l ic a r m e d i d a s d e s e g u ri d a d a l o s so p o r t e s Paso 19 - S e d e b e c re a r u n inventario de soportes y p ro c e d e r a s u
e tiq u e ta d o d e a cu e rd o a la s n o rm a s re c o g id a s e n la G u ia d e c la sifica c i n d e l la inform acin.
Salidas de soportes con datos de las instalaciones

U na ve z in ve ntaria do s y etiq ue tad os lo s so porte s, se d ebe co ntro la r cu alq uier m ovim iento d e los m ism os fuera del perim etro de seguridad establecido en las instalaciones de la organi zacin. Implantacin de Medidas P a ra c u m p li r c o n e l co n t ro l d e la s a li d a d e s o p o rt e s se d e b e r e st a b le c e r u n registro que inclu ya: la identificacin del soporte que sale de la organi zacin,ula ri a to za c i n p o r p a rt e d e l re sp o n sa b le e n ca rg a do d e su su p e rvi si n , e l d e stin o del so p o rte , la fe c h a y h o ra d e l e nvio y la fin a lid a d de l m ism o . S i e l so p o rt e i n c lu ye d a t o s d e ca r ct e r p e rs o n a l , a d e m s le se r n d e a p lic a c i n la s m e d id a s re c o g id a s e n e l R M S , q u e e sta b l e c e m e d id a s d e id e n t ific a c i n fu nc i n en d el tip o d e dato s q ue co nten ga. Normativa L a i m p l a n t a c i n d e p ro c e d im i e n t o s q u e co n t ro l a n l a s s a l id a s d e so p o rt e s d o no s c at d e l a s i n s t a l a c i o n e s d e l a e m p r e s a e s t r e f l e j a d a , t a n t o e n l a L e y Pro te c c i n de d e D a to s co m o e n la n o rm a IS O 1 7 7 9 9 , e n lo s sig u ie n te s p u n t o s: La s a lid a de so p o rt e s in fo rm t ic o s que c on te n g a n d a to s de
c a r c te r p e r s o n a l f u e r a d e l o s l o c a l e s e n l o s q u e e s t e u b i c a d o e l f i c h e r o , Cnicamente podr ser autori zada por el responsable de fichero. (Articulo 1 13.2 RMS) Igualm ente se disp ondr de un sistem a de registro de salid a d e soportes inform ticos que perm ita, directa o indirectam ente, conocer los
Pgina -59-
datos de dicha salida. Dicha salida deber estar debidam ente a autori zada. (Articulo 20.2 RMS) Los equipo s, la inform acin o el softw are no debern salir fuera de los locales de la empresa sin autori zacin previa. (Punto 9.2.7 IS017799:2005) Ejemplo Sin medidas: S i e n la e m p re sa n o se im pla n ta n m e d id a sa r a e l c o n t r o l d e s o p o r t e s , e x i s t e n p a amena zas de: S Salidas de soportes no autori zadas S Salidas de soportes sin constancia en la empresa Salidas de sop ortes sin las m edidas de seguridad correspondientes
Definiendo medidas: E n la e m p re s a se s o l i c it a u n a a u t o ri z a c i n p o r e s c ri t o p a ra s a c a r c u a l q u i e r so p o rt e d e la s in s t a l a c io n e s, se re a l i z a n c o m p r o b a c io n e s d e l a s m e d id a s d e seguridad antes de salir y se refleja dicha salida en un registro. Co n e sta s a c tu a c io n e s, la em p re sa tie n e c o n tro la d a s la s sa lid a s d e so p o rte s q u e se rea li za n en su s in stalac io ne s, a si c om o las m ed ida s d e seg urid ad aplicadalasa s mismas.
Paso 20 - Se debe crear unregistro de salida y entrada de soportes
q ue
p erm ita n ide ntific ar e l so porte , la fin alid ad de l m ovim ie nto, la fecha oyr a , h la autori zacin del responsable y el destino del m ism o, com o requisitos m inim os.
Medidas de reutilizacion / eliminacion de soportes

Lo s so p o rte s q u e se re u tili za n o e lim in a n , d e b e n se r ob je to d e u n p ro ce so d e elim inaci n o borrado de lo s dato s qu e alm acena n, p ara evitar p o sterio re s acceso s no autori zados a la inform acin que contienen .
Pgina -60-
El p ro c e s o d e b o rra d o , d e b er q u e d a r re g i st ra d o e n e l i n v e n ta ri o d e s o p o rt e s indican do la fecha y hora, el responsable q ue lo ha reali zado y la n ueva finalidad del soporte. Implantacin de Medidas Se deben definir procedim ientos form ales que definan las m edidas de seguridad pa ra la re utili zac i n y e lim in a ci n d e lo s so porte s d el siste m a de inform a cin la e d empresa. M e d i d a s co m o la e lim in a c i n tot a l y s e g u r a d e lo s d a t o s d e to d o s lo s s o p o rtete s an s d e su re u tili za c i n , o la d e stru cc i n fisic a d e lo s m ism o s p a ra su de se ch o ,deben se im plantar form alm ente en la organi zacin. Normativa L a im p la n t a c i n d e m e d id a s d e re u t i li za c i n / e l im in a c i n d e s o p o r t e s e s t re fl e ja d a , t a n to e n la Le y d e Pro te cc i n d e D a t o s c o m o e n la n o rm a IS O 1 7 7en , 99 l los siguientes puntos: Cuando un soporte vaya a ser desechado o reutili zado, se adoptarn las medidas necesarias para impedir cualquier recuperacin posterior de la in fo rm a c i n alm a ce n a d a e n l, p re via m e n te a q u e se p ro ced a a su b a jae n el inven ta rio. (Articu lo 20 .3 R M S) Lo s so p o rt e s q u e a lm a c e n e n d a t o s d e b e r n se r e l i m i n a d o s d e m o d o seguro cuando se desechen, usando para ello procedim ientos form ales.(Pu n to 1 0 .7 .2 IS 0 1 7 7 9 9 :2 0 0 5 ) Ejemplo Se compra un ordenador nuevo para el responsable de los proyectos de la em presa, d ejan d o e l eq uipo a ntigu o a l adm in istrat ivo q ue ha n c on tratado nuen evo prcticas. Sin medidas: Si la em presa no defin e m edidas para la reutili zacin y elim inacin de soportes: Lo s disqu etes d esec ha do s se tiran a la pap elera sin m s. L La s am en a za s a las qu e se expon e la e m p re sa son las sigu ie ntes: Acceso a informacin no autori zado Robo de informacin
Pgina -61-
Definiendo medidas: La empresa decide definir las medidas de reutili zacin y desecho de los soportes de la emp resa. Antes de cam biar de ub icaci n el eq uipo se procede a la elim inacin d e toda la info rm acin del disco duro del equipo. Para los disquetes y CD's de desechados destrucci n se establecen medidas fisica
an tes de tirarlos a la papelera. Co n e st a s m e d id a s s e im p ide e l a c c e so a l o s datos que contenian los soportes antes de su reutili zacin o desecho.
Paso
21
Se
deben
establecer que
procesos formales de eliminacin y reutilizacin de soportes inform acin alm acenada en ellos. g aranticen la con fid encialid ad d e la
Normas de uso de dispositivos mviles y soportes extraibles
Lo s d isp o s it iv o s m vil e s ( p orta ti le s, a g e n d a s e le c tr n ic a s, ta b le t p c , e t c. ), a sc o m o l o s i so p o rtes extraib les (llaves usb , discos duros portatiles) seguridad capacidad g en eran vu ln erab ilid ad es del de sistemas de en la info rm aci n, y politicas
d e b i d o a s uf a c i l i d a d d e u s o , a l t a m o v i l i d a d , alm acenam iento perm isivas por parte de las organi zaciones, que perm iten el flujo de informacin erga da en los alb so po rt es sin c on trol a lgu no . Pre g u n ta s co n t ro la com o la si un e m p le a d o puede en
a lm a ce n a r in fo rm a c i n e n u n a lla ve u sb , s e si i n fo rm a c i n a lm a c e n a d a p o rta ti le s y a g e n d a s e le c t r n i c a s o estan si controladas las unidades grabadoras de CD de
Pgina -62-
los equipos, tienen
dificilr e s p u e s t a
si
la
informacin no esta clasificada y se han d e s a r r o l l a d o in stru cc io ne s p ara su m a ne jo por p arte d e los usua rios. Implantacin de Medidas Las actuaciones para conseguir un control sobre el una uso de dispositivos contempla de mviles la reali ys o p o r t e s zacin de q ue extraibles
clasificacin
l a inform a cin ,
in cluya la ide ntific aci n de lo s sopo rtes y la in fo rm aci n quealm acena. Se deben reali zar las sigu ientes actuaciones:
Pgina -63-
Inventariar todos los soportes existentes, a asign an do a cada uno de ellos un respon sable. Etiquetar de form a visible cada sopo rte, segn norm as recogidas en la las guia de clasificacin la informacin. d de P r o h i b i r l a c r e a c i n y u s o d e s o p o r t e s na u t o r i z a d o s q u e n o d e j e n o r e g i s t r o e n e linventario de la organi zacin. i Establecer instrucciones de uso de cada tipo desp o s it i v o m v i l o so p o r t e s , di i n c l u y e n d o l o s u s u a r i o s a u t o r i za d o s , entradas y salidas de la organi zacin y la notificacin de las incidencias que puedan p resentarse en materia de seguridad de la inform acin. Normativa L a im p la n t a c i n d e n o rm a s de u so d e so p o rte s e x tra i b le s e st re fle ja d a e n la norma I ISO 17799 en el siguiente punto: D e b e ria h a b e r p ro c e d im ie n to s q u e d e scrib a n la s m ed id a s d e se g u rid a d para el m an ejo de m edios extraibles. (Puntos 10.7.1 IS017799:2005) Ejemplo L a e m p r e sa d e cid e q u e fa c i lita r a l re sp o n sa b l e d e l d e p a rt a m e n to c o n t a b lel p i un z d e m e m o r i a U S B , p a r a l a r e a li z a c i n d e l a s c o p i a s d e s e g u r i d a d d e l a contabilidad de la organi zacin. Sin medidas: S i l a e m p re sa n o d e fi n e n in g u na n o rm a d e u til i z a c i n d e d i c h o l p i z d e m e m o r ia , e l r e s p o n s a b l e d e l u s o d e l l p i z , c o m o l e s o b ra e s p a c i o e n e l sop orte tras reali zar la copia de seguridad, decide conectar el lpi z en eldPC e s u c a sa p a ra g u a rd a r e n e l m i sm o u n a s fo t o s p e rs o n a l e s, y m s ic a q u e se d e sca rg a d e In te rn e t p a ra e scu ch a rla lu e g o e n la o fic in a . La s po sibam ena le s z zas de seguridad que pueden ocurrir son: R Robo de informacin Infeccin de malware del sistema de informacin de la empresa Definiendo medidas: La em p re sa de fine n orm a s d e u so d e dicho lp i z, lo etiqu eta com o alm a d en c i n f o r m a c i n R e s t r in g i d a , lo re fl e j a e n e l i n v e n t a r i o d e s o p o r t e s yentrega al lo usuario responsable del mism o. Al m ism o tiempo, se definen norm as de uso las del soporte, que inclu yen m edidas disciplinarias en caso in cu m p lim ie n to de la s de m ism a s, e n tre g n d o se la s p o r escrito a l re sp o n sa b lee l d ep arta m e nto d e d c on tab ilidad . De ntro de las n o rm as tam bin se inc lu ye
Pgina -64-
la in fo rm ac i n d e qu e p erid icam en te , sin a viso , se le p od r solic itar qu e entregue el soporte para com probar que dichas norm as de uso se cumplen correctam ente. Tod as las m edidas quedan reflejadas form alm ente m ediann u te escrito firm ado. El responsable del lpi z de memoria cumple con todas las norm as de seguridad establecidas p or la empresa.
Paso 22 - Se deben establecernormas de uso de dispositivos moviles soportes extraibles a alm acenada en ellos.
que garanticen la confidencialidad de la informacin
Mantenimiento de equipos
El m a n te n im ie n to d e lo s e q u ip o s a fe c ta dire c ta m e n te a la se g u rid a d d el siste m a de inform acin, fallos en los discos de almacenamiento de datos pueden originar p rdid as de in fo rm ac i n, por lo q u e se d ebe lle va r u n co nt ro l d e l m an te nim ien to tod os los de eq uip os y so po rtes q u e co m pon en el siste m a de inform a cin deempresa. la Implantacin de Medidas Los equipos del sistema de informacin se deben m antener adecuadamente para asegurar su disponibilidad dentro del sistem a de in form acin, para ello existen r e c o m e n d a c i o n e s d e m a n t e n i m i e n t o e s p e c i f i c a d a s p o r e l f a b r i c a n t e , q u ed eb e n se se g u ir sie m p re q u e se a po sib le . El m antenim iento d eb e reali zarlo personal cualificado y se debe llevar un control de todas las actuaciones reali zadas en el sistem a. Las incidencias de seguridad, debidas a errores o defectos d e los equipos o del mantenimiento, debern ser documentadas y formar parte de posibles reclam aciones al fabrican te. Normativa La implantacin de procedimientos de de
mantenimiento de equipos del sistema 1 17799 en el siguiente punto: Los equipos inform ticos debern ser mantenidos correctamente para
informacin est reflejada en la norm a ISO
asegu rar su disp onibilid ad e integridad con tinua da. (Pu nto 9.2.4 1S017799:2005) Ejemplo L a e m p re s a c u e n t a c o n va ri o s e q u ip o s i n f o r m t i c o s d e n t ro d e s u s i st e m a d e informacin. Sin medidas: Una ve z instalados y configurados los equipos no se contempla la posibilidad de llevar un mantenimiento continuo de los mismos. Las posiblesena am z zas existentes son: Da8os en sistemas informticos Prdida de datos por fallo de hardware Definiendo medidas: Se con su lta co n la e m presa qu e ha insta la do lo s eq uip os y se e stab le ce qus lo e equip os deberfan pasar, como m inim o una revisi n anual, para com proba r qu e tod os lo s com pon en te s fun cion an c orre ct am en te , po r lo qu e la e m p re s a d o c u m e n t a y a c u e rd a fo rm a l m e n t e c o n la e m p re sa la re v is ann i ual de todos los equipo s. Con esta m edida la em presa dism inuye la posibilidad de dahos en el ha rd w a re de los eq uip os de su sistem a de in fo rm ac i n.
Paso 23 equipos p peridica.
- Se deben establecer procedimientos de mantenimiento de y garanti zar que son ejecutados por personal cualificado de forma
Proteccion contra fallos en el suministro electrico

El su m in istro e l c trico es fu n d a m e n ta l pa ra e l fu n c io n a m ie n to d e l siste m a d e in fo rm a c i n , e rro re s e n e l dise h o d e l siste m a e l c trico d e a lim e n ta c i n , e n la aplicacin de controles para estabili zar la corrien te de entrada, o en la dimensin de lo s si st e m a s d e re s p a ld o , p u e d e n d a r l u g a r a p rd id a s d e h o ra s d e tr a b a jo y de informacin. Im plantacin de Medidas
P?gina --
S e d e b e re a li z a r u n d ise fio a d e c u a d o d e l si st e m a d e su m in i st ro e l e c tric o p o r profesionales, incluyendo sistem as que estab ilicen la tensin sum inistrada a los eq uip os y sistem a s d e respa ldo pa ra su m inistrar e ne rg ia e n c aso d e fallo e n el suministro. Normativa La im plan ta cin d e m ed ida s de p ro te cc in con tra fa llos de l sum in istro e le ctrico est r re flejad a e n la n orm a IS O 1 7 7 99 e n el sig uien te pun to : Los equipos debern estar protegidos ante posibles fallos de suministroelectrico y (Punto 9.2.2 IS 0 1 7 7 9 9 : 2 0 0 5 ) Ejemplo Sin medidas: La em presa d ecide no proteger los equipo s contra posibles fallos de sum inistro e electrico. Los fallos en seguridad son los siguientes: otras interrupciones relacionadas.
Dafios en lo s sistem as inform ticos po r cortes de sum inistro o a altibajos de tensin. D a fi o s e n lo s d a t o s q u e t r a t a n l o s e q u ip o s p o r c o rt e s d e s u m i n i s t r o .
Definiendo medidas: La empresa decide instalar un SAI estabili zador para todo el sistema inform tico , se d o c u m e n ta d i ch o si st e m a y la s n o rm a s p a r a q u e s lo e l m a t e ria l i n fo rm tic o de tra ta m ie n to d e d a to s se a co n e ct a d o a dic h o S A I. Co n e sta m e d id a se p re vie n e n lo s p o sib le s co rte s d e su m in istro y va ria c io n e s bruscas de tensin.
Paso 24
- S e d e b e diseriar un sistema de suministro elctrico
incluyendo medidas de respaldo
, acorde a las necesidades del sistema de
in fo rm ac i n y revisa rlo en fu nc i n d e lo s cam b ios in trod uc ido s e n el m ism o .
P?gina --
6 6.4
Se guridad L gica en los Sistemas

Analisis de necesidades para el software
La adquisicin de software para la organi zacin debe se r fru to d e u n e stu d io de n ec e sid a d e s, q u e in c lu ya lo s re q u isito s m in im o s q u e la o rg a n i za c i n q uie re garanti zar en informacin. materia de seguridad de la
Implantacin de Medidas Com o paso previo a la adquisicin de cualquier softw are, se deben an ali zar los requisitos de seguridad del sistem a de informacin corporativo, este paso evitar am ena zas de seguridad respecto a la identificacin de usuarios, defectos en las m e did as de se gu rida d o reg istros de in cid en te s, e tc. Normativa La im p la n t a c i n d e p r o c e d im ie n to s d e a n li sis d e n e c e sid a d e s p a ra e l so ft wd e a re t r a t a m i e n t o d e i n f o r m a c i n e s t r e f l e j a d a e n l a n o r m a I S O 1 7 7 9 9 e nsiguiente el p punto: Se debern estudiar las exigencias de negocio para nuevos sistem as de informacin o m ejoras de los sistem as de informacin existentes, especificando IS 0 1 7 7 9 9 : 2 0 0 5 ) Ejemplo La em presa decide instalar un nuevo software para la gestin de los clientes y la facturacin a los m ism os. Sin medidas: La empresa com pra un softw are directam ente, sin ningn tipo de requisito p revio . El nuevo softw are puede no disponer d e lo s m eca nism o s d e id e n t ific a c i n a d e cu a d o s m e d i a n te u so de c o n t ra se h a s i n d i vid u a le s . Las p posib les am ena zas a las que se enfrenta la organi zacin serfan: Acceso no autori zado a datos. Definiendo medidas: L a e m p r e s a d e c id e re a l i z a r u n e s t u d i o d e l o s re q u is i t o s q u e d e b e t e n e r e l s o ft w a re a n t e s d e c o m p r a r l o . D e c i d e l o s c a m p o s m i n i m o s q u e d e b e l l e v a r , las funcionalidades que debe cumplir con respecto a las medidas de las exigencias de seguridad. (Punto 12.1.1
P?gina --
seg urid ad , deb e de id en tifica r a lo s u su ario s y lle va r un reg istro de ac ced e s so dichos u suarios. El software que adquiera dicha empresa cubrir todas las necesidades de la empresa. Paso 25 garantizar - C o m o p a s o p r e v i o a l a a d q u i s i c i n d e s o f t w a r e , deben se y p robar que se cum p len.
definir los requisitos de seguridad minimos que el software debe
Actualizaciones de software
L a s a c t u a l i z a c io n e s d e l s o ftw a re d e l a o r g a n i za c i n d e b e n s e r o b j e t o d e u n tratam iento especifico, que incluya la definicin de un en torno de pru eb as, en u e q el se valide que las actuali zacio nes permiten la ejecucin de todas las ap lica cio ne s in m e rsas en e l en to rn o de p rod uc cin . Establecer cauces de recepcin de los parches o actuali zaciones por parte de los fabricantes, su revisin y prueba y la puesta en produccin de una form a efica z, garanti za que se minim i za la probabilidad de ser infectados por virus o software da8ino que utilice defectos en el so ftw are. Im plantacin de Medidas Se d eb e definir u n procedim ien to de actuali zacin d el softw are instalado en la e m p re s a , e s t a b l e c ie n d o e l c a u c e d e r e c e p c i n d e p a rc h e s y a c t u a l i z a c io n e s, n o r m a s p a r a l a r e a li z a c i n d e p ru e b a s y t r a s p a so d e l a s a c t u a l i z a c io n e s a l entorno de prod uccin. Normativa La im plantaci n de norm as y pro cedim ie ntos para las actuali zaciones de s softw are est re flejad a e n la norm a ISO 17 79 9 en los sigu ie ntes pu ntos: La puesta en prctica de cam bios deber estar controlada m ediante el e m p l e o d e p r o c e d i m i e n t o s d e c o n t r o l d e c a m b i o s f o r m a l e s . ( P u n t o 1 2 .5 .1 IS 0 1 7 7 9 9 :2 0 0 5 ) Cuand o se re ali zan cam bios y/o actuali za cion es en sistem as d e in fo rm a ci n c ru c ia le s pa ra la o rg a n i za ci n , stos se d e b e r n p ro b a r previa m e nte para a se gu ra r qu e no ha y n in g n im pac to ad ve rso so breo p e r a c i o n e s d e o r g a n i z a c i n o s u s e g u r i d a d . ( P u n t o 1 2 . 5 . 2IS 0 1 7 7 9 9 :2 0 0 5 )
Eiemplo L a e m p r e s a r e c i b e s e m e s t r a l m e n t e u n a a c t u a l i z a c i n d e software de gestin su de empresa. Sin medidas: La empresa reali za las actuali zacion es directam en te en todos eq u ip os del los siste m a d e inform a cin . A l insta la rla, se dacuenta que la actu ali zacin ha n borrado todos los telfonos de los clien tes qyu e y a n o fu n c i o n a e l m o d u l o d e c o n t a b i l id a d . L o s p o si b l e s d a fio s e n e l s sistema de inform acin de la empresa son: P Prdida de datos Prdida de productividad (Tiempo) Definiendo medidas: La em presa, segn su p olitica de actuali zacin, la instala en un equipo de p ru e b a s fu e ra d e l siste m a d e in fo rm a c i n p rin c ip a l, c o n u n a b a se d e d ad e s to p ru e b a , d e te c ta n d o la s po sib les a n o m a lia s a n te s de la im p la n ta c i n todo el en sistem a de informacin.
Paso 26
- S e d e b e d e f i n i r u n procedimiento de actualizacin de , a se g u ra n d o q u e dic h a s a ctu a li za c io n e s se h a n
parches y de equipos
p p ro b ado p re viam en te a su pu esta en p rod uccin .
Proteccion contra codigo malicioso

L o s e rr o r e s g e n e r a d o s e n e l so ft w a re i n s t a la d o e n l a a p l ic a c i n , p u e d e n se r a p ro ve ch a d o s p o r so ft w a re m a lic io so p a ra p ro d u c i r d a n o s e n e l siste m a , eh e c h o s te am ena za la integ ridad y la co nfid encialidad d e los d atos y d eb e ser gestionado adecuadamente. Los virus informaticos son aplicacion es o tro zos cdigo que de aprovechan estos errores. Implantacin de Medidas S e d e b e e sta b le c e r u n a politica d e p ro te c ci n d e l siste m a de in fo rm a ci n incluya que la instalacin en todos lo s equipos de un software antivirus. Se deben adoptar medidas de seguridad
c o m p le m e n t a ria s a la in st a la c i n d e u n an t ivi ru s, c o m o so n e sta b le c e r u n a pla n ific a ci n d e a c tu ali za cio n e s de l m ism o, form ar y concien ciar al personal para que eviten
P?gina --
la ejecucin de archivos o lectura de mensajes no reconocidos, recomendando la e lim in aci n d e lo s m ism o s. Tam b in se deb e co n tem p lar en las m ed id as la prohibicin de instalacin de softw are sin licencia, ya que dicho softw are podria e ncub rir al so ftw a re m alicioso (virus, tro yano s, etc.), asi co mo e l uso d e software no autori zado especificamente por la organi zacin. Normativa La im pla n ta c i n d e n o rm a s d e p ro te c ci n c o n tra c d ig o m a lic io so e st re fle jan a ed l la no rm a IS O 1 7 7 9 9 e n e l sig u ie n te p u n to: S e d eb e r n po n e r e n m a rch a m e d id a s p a ra la de te c c i n , p re ve n ci n y recuperacin del sistem a frente a cdigo malicioso, asi com o procedimientos de concienciacin de los usuarios. ( P u n t o 1 0 . 4IS 0 1 7 7 9 9 : 2 0 0 5 ) Ejemplo Sin medidas: En la e m p re sa n o s e h a d e fin id o ni n g u n a p o li ti ca d e s e g u rid a d c o n re s p ealt o c m a lw a re y cd igo s m aliciosos. Los eq uip os no tien en in stalad a ning un au c i n sol a n t iv i ru s (p o r q u e n o se c o n e c t a n a In t e r n e t ), e n lo s o rd e n a d o re s i n s t a l a u n se s o f t w a r e n o l e g a l d e u n a a p l i c a c i n q u e s e d e s c a r g e n c asa un o de los su m iem b ro s de la e m p re sa de fue ntes n o fiab le s. Los u su ariotili za n C D 's y us disq u e te s de fu e ra de la s in stala c io n e s en lo s e q u ip o s dsistem a el de i inform acin d e la em presa. Am ena zas posib les: Posible infeccin desde soportes extraibles Posible infeccin por instalacin de softw are no fiab le Violacin de la ley de propiedad intelectual
Definiendo m edidas: La e m presa d ec id e in stalar e n todo s los e qu ipo s u n an tiviru s y m an te ne rlo a c tu a l i za d o , y e st a b le ce n o rm a s p a ra q u e c u a lq u i e r so p o rte q u e se u t ilic e (que no pertene zca a la em presa) primero se escanee con dicho antivirus. b i n Ta m e sta b le ce n o rm a s p a ra q u e so lo e l so ftw a re le g a l y a u to ri za d o po re m p re sa la se a in sta la d o e n lo s e q u ip o s d e l siste m a de in fo rm a c i n .
P?gina --
Paso 27
- S e d e b e d e f i n i r u n procedimiento de instalacin y
'
actualizacin de antivirus en la organizacin
desarrollando
a c t u a c i o n e s d e fo rm a c i n y c o n c i e n c i a c i n c o m p le m e n t a r i a s a u s u a ri o s , pa ra evitar la e ntra da d e cdigo m alic io so e n el siste m a .
Copias de seguridad
de datos que necesitan para su funcionamiento, los datos
En la actualidad, las organi zaciones experimentan un continuo increm ento de la cantidad auto mati zad o s p ued en co nsid erarse como criticos pa ra la continu id ad d el negocio y deben estar expuestos al menor riesgo posible de prdida, alteracin o a c c e so n o a u to ri z a d o . Un a e st ra te g ia d e c o p ia s d e se g u rid a d a d e c u a d a , e s e l seguro ms efectivo contra posibles desastres que puedan afectar al sistem a de in fo rm a c i n d e l a o r g a n i za c i n , t a l e s c o m o i n c e n d i o s , i n u n d a c i o n e s , f a l lo s hardw are, errores hum anos, robos, virus, etc. Implantacin de Medidas Se deben establecer procedim ientos para la gestin de copias de seguridad, que perm itan recuperar la totalidad de los datos y configuracin de los sistem as sta nte in al an te rio r a la p rdid a d e da tos. En fun ci n de la c riticidad de los da tos y tiem p o de l m xim o pa ra e fe ctua r la rec up erac i n, e xisten diferen te s estrateg d es c o p ia s d e ia se g u ri d a d : c i n t a , c d , d v d , d i s c o d u r o , d i s p o s it i v o s u s b , e t c . E st a s opciones a son con siderar antes de defin ir la politica de copias. L a s c o p i a s d e s e g u r i d a d t e n d r n q u e e s t airn c l u i d a s garanti zada su c on fide n cia lid ad , red uc ie nd o su en el inventario de
s o p o r t e s , c o n t r o l a d o s s u s m o v i m i e n t o s e n t r e l organi zacin y el exterior, y a m a nipu laci ny acceso e x c l u s i v a m e n t e a p e r s o n a autori zado. l S i l a s c o p i a s in c l u y e n d a to s d e c a r c t e r p e r s o n a l , le s e r n d e a p l i c a c i n l a s medidas de seguridad recogidas en el RMS. Normativa La im plantacin de pro cedim ientos de reali zacin de copias de seguridad est re fle ja d a , ta n to e n la Le y d e Pro te cc i n d e Da to s co m o e n la n o rm a IS O 1 7 7en , 99 los siguientes puntos:
P?gina --
El respo nsab le de fichero se encarg ar de verificar la definici n y correcta aplicacin de los procedim ientos de reali zacin de copias de r respaldo y de recuperacin de datos. (Articulo 14.1 RMS) Los pro cedim iento s estab lecidos para la re ali za cin d e co pias d e re s p a l d o y p a r a la re c u p e ra c i n d e lo s d a t o s d e b e r n g a ra n t i za r s u r e c o n s t r u c c i n , e n e l e s t a d o e n q u e s e e n c o n t r a b a n a l t i e m p o d eproducirse la prdida o destruccin. (Articulo 14.2 RMS) p D e b e r n re a li za rse c o p ia s d e re sp a ld o al m e n o s se m a n a lm e n te , sa lvo que en dicho periodo no se hu biera p roducido ninguna actuali zacin delos datos. (Articulo 14.3 RMS) l D eb er con se rva rse u na c opia de resp aldo y de los proc edim ien to s de recuperacin de los datos, en un lugar diferente de aquel en el que se encuentren los equipos R RMS) L a s c o p i a s d e r e s p a l d o d e i n f o r m a c i n softw are deb eria n ser y rea li zad as y proba da s con re gu la rida d, c on fo rm e l a p o l it i c a d e a se g u ri d a d y d e c o n t i n u i d a d d e n e g o c i o . (Pu n t o 1 0IS017799:2005) .5 Eiemplo Sin medidas: La e m p re sa d e c id e n o re a li za r c o p ia s d e se g u rid a d . La s po sib le s a m e n a a s za l las que se enfrenta son: Prdida de informacin. Definiendo medidas: L a e m p re s a d e c id e e s t a b l e c e r m e c a n is m o s d e re a l i z a c i n d e c o p ia s d e seguridad diarias, enviando fu era de las instalacion es una de las copias una ve z a la semana. De esta forma, la emp resa asegura la recuperacin de los datos en caso de desastre hasta la ltima copia de seguridad reali zada. Paso 28 - Se debe establecer unapolitica de copias de seguridad que garanticen la reconstruccin de los datos y configuracin de los sistemas al instan te anterior a la prdida de inform acin. informticos que lo tratan, c u m p l i e n d o e n t o d o c a s o l a s m e d i d a s dseguridad exigidas. (Articulo 25.1 e
P?gina --
6 6.5 Se guridad L gica en las Comunicaciones
Seguridad en el acceso a travs de redes. Identificacion automtica de equipos

El a cc e s o e xt e rn o a l siste m a d e i n fo rm a ci n c o rp o ra t iv o d e b e e sta r l im ita d o , a s e g u ra n d o d i c h o a c c e s o s o l a m e n t e a l p e rso n a l a u to ri z a d o . U n a m e d id a q yu da aue a garan ti za r e ste a cc eso e s e xigir la id en tifica cin a utom tica d el eq u q uo ip e a c c e d e , e v it a n d o a s i la c o n e x i n d e sd e e q u i p o s n o s e g u r o s, o e q u ip o s q u eestn no autori zados por la organi zacin. Implantacin de Medidas Pa ra a q u e lla s o rg a n i za cio n e s q u e p e rm ite n a cc e so s e xte rn o s a su siste m a d e in fo rm a c i n , se de b e n e sta b le c er m e ca n ism o s p a ra la id e n tific a ci n a u to m tic a de los equipos al acceder al sistem a de info rm acin, autenticando asi las c o n e xio n e s d e sd e t e rm i n a le s d e t e rm i n a d o Se debe tam bin im plantar algn sistem a s. de p ro te cc i n fisic a a lo s e q u ip o s, p a ra p ro te g lar seguridad de su identificador. e Normativa La implantacin de mecanismos de
identificacin autom tica de equip os ante s i s t e m a e s t r e c o g i d a , t a n t o e n l a L e y el d e P ro t e c c i n d e D a t o s co m o e n la n o rm a IS17799, en los siguientes puntos: 1 O La s m edid as d e seg urid ad , e xig ibles a lo s a cc esos a d a to s d e carcte r pe rson al a travs de re de s de com un ic acione s, deb ern ga ra n ti za r nivel un de seguridad equivalente al correspondiente a los accesos en modo local. ( (Articulo 5.1 RMS) La transmisin de datos de carcter personal a travs d e red es de com u n ic ac io ne s se re ali za r cifra nd o dic ho s da to s, o bien u tili za nd o c u a l q u i e r o t r o m e c a n is m o q u e g a ra n t ic e q u e l a in fo rm a c i n n o s e a i inteligible ni manipulada por terceros. (Articulo 26 RMS) La red deb eria esta r sufic ie ntem e nte p ro tegid a pa ra evitar am en a t a n t o zas e n lo s s i st e m a s q u e la co m p o n e n c o m o e n la i n fo r m a c i n qtransita por ue e ella. (Punto 10.6.1 IS017799:2005) Pa ra re de s co m pa rtid as, so b re todo aq ue llas que se e xtie nd en fue ra las de fronteras de la organi zacin , la capacidad de acceso de los usu arios
P?gina --
a la re d d ebe ria se r restrin gida , al igu al que el ac ce so a las a plica cion es de gestin, poniendo en prctica los requisitos de seguridad e st a b le c id o s. (Pu n to 1 1 .4 .6 IS 0 1 7 7 9 9 :2 00 5 ) La identificacin de equipo autom tica, deber ser considerada como el m e dio de a u te n tica r co n e xio n e s d e p o sic io n e s e sp e c ifica s y e q u ip o s.(Pu n to 1 1 .4 .3 IS 0 1 7 7 9 9 :2 0 0 5 ) Eiemplo L a e m p r e sa d is p o n e d e a c c e s o s e x t e rn o s a l si s t e m a d e in fo rm a c i n d e sd e e l exterior. Sin medidas: La e m p re sa n o de fin e n in g u n a m e did a d e id e n tific a c i n de lo s e q u ip o s q u e se conectan desde el exterior. De esta form a, los usuarios autori zadospse ri a n od conectar d e sd e c u a lq u i e r e q u ip o al s iste m a de in fo rm a ci n . La s v vu ln erab ilid ad es de seg urid ad q ue pod rian d arse son : Acceso no autori zado Acceso desde equipos no seguros Infecci n de l sistem a d e informa cin por equipos no seguros Definiendo medidas: La em presa decide definir qu e los usuarios externos solo podrn conectarse desde unos equipos determinados, que garanti zan los niveles de seguridad exigidos por la em presa. De esta form a evita que se p ueda acceder al sistem a de inform acin desde term in ales qu e n o sean de co nfian za.
Paso 29 - P a ra a q u e lla s o rg a n i za c io n e s q u e pe rm ite n a cc e so s e xte rn o s u a sistema de i n f o r m a c i n se debe establecer un sistema de para garanti zar que el identificacin automtica de los equipos externos a acceso est autori zado.
Cifrado
E n l a s o c a s i o n e s e n q u e e l n i v e l d e s e g u r id a d l e g a l m e n t e e s t a b l e c i d o y/ o l a confidencialidad de los datos asi lo requiera, se debe im plantar en el sistem a de in fo rm a c i n d e la o rg a n i za c i n e l u s o d e s i st e m a s y t c n ic a s c ri p to g r fi c a s , siem pre que otras medidas y controles no proporcionen la proteccin adecuada o requerida.
P?gina --
El c ifra d o e s u n a t c n ic a p a ra p ro t e g e r la c o n fid e n c ia l id a d d e la in fo r m a c i n clasificada de la organi zacin que pueda verse comprom etida. Implantacin de Medidas E n l a s o c a s i o n e s e n q u e e l n i v e l d e s e g u r i d alegalm ente establecido y/o la d confidencialidad de los datos asi lo requiera, se debe im plantar en sistem a de el inform aci n de la organi zacin el usoe s i s t e m a s y t c n i c a s c r i p t o g r f i c a s , c u a n d o d o t r a s m e d i d a s y c o n t r o l e s n o p r o p o r c i o n e n proteccin adecuada o requerida. la Para ello, se deb en establecer procedim ientos y m ecanism os que contem plen clos s a so e n e l q u e la in fo rm a c i n d e b e c ifra rs e , y lo s m e c a n ism o s a u ti li z a r p dicho a ra cifrado. Normativa La im p la n ta c i n d e n o rm a s y m e ca n ism o s d e c ifra d o e st re fle ja d a e n la n o rm a ISO 1 17799 en los siguientes puntos: Una politica de empleo de controles criptogrficos para la proteccin de informacin deberia ser desarrollada y puesta en prctica. (Punto 12.3.1IS017799:2005) I Los controles criptogrficos todos los deberian acuerdos ser usados d esde leyes el y
cum plim iento con
relevantes,
regulaciones. (Punto 15.1.6 IS017799:2005) Paso 30 - Para el tratamiento de datos de carcter personal,
e sp e c ia lm e n te p ro te g ido s, o q u e pa ra la o rg a n i za ci n se a n c o n fid e n cia le s, se debe definir un procedimiento de cifrado de la informacin que garantice la confidencialidad de los datos.
P?gina --
7 Controles relacionados con la Revision del sistem a

En este u ltim o ap arta do se re la ta n la s m ed id a s d e seg u rid ad qu e se deb en ap lica r a l sistem a de inform acin para perm itir una adecuada revisin de los sistem as y medidas implantad as, y para establecer registros fiables que recojan pruebas de au ditoria para e va lu a r e l c u m p lim ie n to de la s m e d id a s d e se g u rid a d . 7 7.2
Auditoria del sistema

Sincronizacion de relojes
L a c o rr e c ta s in c ro n i za c i n d e re l o j e s d e lo s p ro c e sa d o re s e s e s e n c ia l p a ra l a e x a c t i t u d d e l o s d a t o s r e f l e j a d o s e n lo s a r c h i v o s d e r e g i s t r o ( l o g ' s ) y p a r a l a reali zacin de au ditorias, investigacin de incid encias, o com o prueba en casosa l e s o leg d i s c i p l i n a r i o s . L a i n e x a c t i t u d d e l o s r e g i s t r o s d e a u d i t o r i a p u einutili zar las de evidencias recogidas.
Im plantacin de Medidas T o d o s l o s r e l o j e s d e l o s e q u i p o s d e l s i s t e m a dn f o r m a c i n s e d e b e r i a n s i n c r o n i ie z a r a j u s t a d o a l anorma acordada UTC (Tiem po Un iversal Coordinado)ajustado a la hora y local norm ali zada. Este hecho perm ite la correcta reali zaci n de un lisis del rastro dejado por una an e v i d e n c i a e n l asecuencia de acciones cronolgicamente correcta en tiempo. el Normativa La im plan tacin de m ecanism os de sincroni zacin de relojes est reflejada en la 17799 ISO e en el siguiente punto: Los relo jes de todos los sistemas d e inform tica relevantes d e t ra t a m ie n t o d e i n fo rm a c i n o d e d o m i n io de se g u ri d a d , d e b e r n s e rsin cron i za dos co n un a fu en te de tie m po re co no cida y e xa cta. (Pu nt o1 0 .1 0 .6 IS 0 1 7 7 9 9 : 2 0 0 5 )
P?gina --
Ejemplo L a e m p re s a s u fr e u n a p rd i d a d e i n fo rm a c i n e n s u s is t e m a , y q u i e re a n a l i porr za q u , ya q ue n o h a te nido nin g n p rob le m a fisico n i lgico qu e se con o zca.
Sin medidas: La em p re sa n o defin i ni aplic esta m ed ida . En c ad a eq uipo lo s re gistro s identifican en una hora distinta las acciones, con lo que es mucho ms dificil pod er esta blec er c m o se pe rd i dicha inform a cin .
Definiendo medidas: La e m p re sa d e fin i tod o s lo s e q u ip os p a ra q u e sin c ro n i za ra n la ho ra d e e l e sd servidor, con lo que le permite comprobar qu equip os estaban con ectados en el sistem a de info rmacin, y al m irar los registros de dichos e qu ipo s, p ue de lleg ar a u n a con clu si n sob re lo ocu rrid o.
Paso 31 - Sincronizar los relojes
d e lo s s e r v i d o re s c o n a rre g lo a l a .
norma UCT (Tiempo universal Coordinado)
Control de registros de acceso
La co rre c ta c o n fig u ra c i n d e lo s re g istro s d e a c c e so a lo s siste m a s, de te c ta e l inten to de intru sin de personal externo a la organi zacin, o de personal interno q ue inten ta a cc ed er a rec urso s a los qu e n o esta au to ri zad o. Es im po rtante una corre cta co nfig uraci n de los registro s de acceso y una peridica revisin de dichos registros para detectar incidencias de seguridad que pueden ser corregidas. Im plantacin de Medidas Se deben configurar procedim ientos y registros de co ntro l de acceso, para validar que los usuarios que acceden a los recursos estn autori zados y alm acenar evidencias de cualquier intento de acceso no auto ri zad o. Los registro s de acceso deben estar protegidos ante m anipulaciones o alteraciones. Normativa La im pla n taci n de co ntro le s p ara los re gistro s de a cceso e sta refle ja da , ta nto en la Le y d e Pro te c c i n d e D a to s co m o e n la IS O 1 7 7 9 9 , e n lo s sig u ie n te s p u n to s:
P?gina --
El
responsable
de
seguridad
competente
s en ca rg ar de re visa r e
p eriod ic am en te la in fo rm ac io n control registrada, y elaborar un inform e de de las revisiones reali zadas y los problem as detectados menos una ve z al m es. al ( (Articulo 24.5 RMS) L o s e r r o r e s d e a c c e s o d e b e r n s e r r e g i s t r a d oanali zados y servir s, com o soporte para llevar a cabo acciones correctivas. 1 15017799:2005) La s a ctivid a d e s de a u d ito ria y ve rific a cio n de siste m a s (Punto 10.10.5
o p e ra c io n a le sdebern ser planificad as para evitar interrupciones en los procesos denegocio. (Punto 15.3.1 15017799:2005) n Los re gistro s d e las in stalac io ne s y la inform a ci6n de los lo g s d ebe r n e s t a r protegido s contra el acceso no autori zado. ( P u n t o 1 0 . 1 0 . 315017799:2005)
Paso 32 - Se deben configurar registros de acceso identificacion de los accesos al sistem a.
que contengan la
P?gina --
8 Conclusiones
Es necesario que las pym es aborden la problem tica de la Seguridad de la Inform acin y el cum p lim ien to d e sus obligaciones legales. Esta Gu ia de Se gu rida d p re te nde ser e l p rim e r pa so para qu e la s p ym es tom en c o n c i e n c i a d e e s t e h e c h o e i n ic i e n a c c i o n e s d ir ig i d a s a p o n e r e n m a rc h a s u s planes de seguridad, siendo importante para ello contar con el asesoram iento de profesionales especiali zados. Por ultim o , de stac ar q u e la segurid ad n o es un p rod ucto sin o un p ro ce so , c uya im plan ta ci n e xige un cam b io cultu ra l y o rg an i zativo e n las e m p re sa s, qu e dser ebe liderado por la direccin.
P?gina --
9 Glosario de Trm inos

1. Acceso A ccio n m ed ia nte la c ua l un u su ario entra en u n de te rm in ad o rec urso, (lo ca l, sistem a d e inform acion, eq uipo inform tico, red...) 2. Activo L o s a c t i v o s s o n l o s re c u r s o s d e l s i st e m a d e i n fo r m a c i n o re l a c i o n a d o s c o n este, necesarios para que la organizacin funcione correctamente y alcance o b j e t i v o s los p ro p u e st o s p o r s u d i re c c i n . E j e m p l o s d e a c t i v o s p u e d e n s e r lo s se rvid ore s de da to s, las aplic acion es inform tica s o lo s e xp edien te s en p ape l. 3. Actualizacin E s e l t rm i n o q u e se u t ili za p a ra id e n tifi ca r lo s d i fe re n t e s tip o s d e p a q u eq e s tu e pueden hacer que un sistema este al dia y/o incluya nuevas funcionalidades. 4. Amenaza Evento que puede produ cir un dafio en el sistem a de inform acin. 5. Antivirus Software para la deteccin y prevencin de virus. 6. Auditoria Pro ceso d e ob te ncio n y an lisis de evid encias a fin d e su evaluacio n y la elaboracion de un inform e acerca d e la fiabilidad de los registros anali zados. 7. Autenticacin Pro ce so m edian te el cu al se c om p rueb a la id en tidad d e u n u su ario . 8. Autorizacin Derecho otorgado a un individuo autenticado o proceso para utili zar el sistema de inform a cion y la inform a cion q ue e ste con tien e.
P?gina --
9. Certificado Digital S i st e m a d e a c re d it a c i o n q u e c o n t ie n e in fo rm a c i o n d e u n u s u a ri o o s e rv i d o r, para la verific acio n de su ide nt id ad en e l sistem a de in fo rm ac io n. 10. Cesin de Datos Toda revelacin de datos reali zada a una perso na distinta del interesado. No se considera cesion de datos cuando el acceso sea necesario para la prestacion de un servicio al responsab le del fichero. 11. Codigo malicioso (Malware) H a rd w a re , s o ftw a r e o fir m w a re q u e e s i n t e n c io n a lm e n t e in tro d u c id o e n u n sistem a de inform acin con un fin m alicioso o no autori zado, (virus, troyanos, gusanos, rootkit...). 12. Comunicaciones Transm ision y recepcion de info rm acio n que se rea li za entre dos o m s eq uip os o sopo rtes d e u n siste m a de inform a cion . 13. Confidencialidad Po liticas y norm as para ga ranti za r que los datos no se an com un icados in correctam en te n i a person al no autori zado. 14. Contraselia Ca d ena d e caracteres q ue u n usua rio o ser vicio utili za p ara verifica r su id e ntid ad fren te a u n eq uip o, so po rte o sistem a d e in fo rm acio n. 15. Control de Acceso Mecanism o que en funci~n de la identificacin ya autentificada perm ite acceder a datos o recursos de un sistem a de informacin, dejando un registro de dicho acceso. 16. Controles Fisicos Me dida s de seg urid ad q ue vig ila n y reg istran a cc esos fisicos a u n sistem a de informacion. 17. Controles L6gicos
P?gina --
Co njun to d e p rincip io s y no rm as q ue vig ila n y reg istran los a ccesos a d a to s, procesos e in form acion. 18. Datos de Carcter Personal Cualquier inform acion concern iente a personas fisicas que las identifique ohaga las identificables. 19. Disponibilidad Garanti zar que los recurso s estn disp onibles cuando se necesiten. 20. Dispositivo movil Soporte de tratamiento o alm acenam iento de informacion extraible y/o transportable. 21. Divulgacion La exposic i n de inform a cin a terce ro s qu e n o tien en ac ce so a ella. 22. Documento de Seguridad D o c u m e n to q u e c o n tie n e la s m e did a s d e se g u rid a d ap lica d a s p o r la e m p re sa , p ara proteger los d atos de carcter personal de accesos n o au tori zados. 23. Encargo de Tratamiento C o n c e sio n d e a c ce so a d a to s d e c a r c te r p e r so n a l, d e le g a n d o la e je c u c i nu d e n s e rv i c i o n e c e s a ri o p a ra l a re l a c i n e n t r e e l re s p o n s a b l e d e fic h e ro y l o s afectados. 24. Encriptacion Proceso m ediante el cual la informacion es codificada para evitar el acceso a la m ism a por terceros no autori zados. 25. Entorno C o n ju n to d e e le m e n to s q u e ro d ea n e l siste m a de in fo rm a c io n de u n a e m p re sa sin form ar parte del m ism o. 26. Evidencia Prueba qu e d em uestra de form a clara, m anifiesta y perceptible un hecho.
P?gina --
27. Fichero Conjunto organi zado de datos. 28. Fichero de Datos de Carcter Personal Conjunto org ani zado de datos de carcter perso nal, cualq uiera que fuere la fo rm a o m o d a lid ad d e su c re a cion , a lm a c e n a m ie n to , o rg a n iza c io n y a c c e so . 29. Firewall C o n j u n to d e h a rd w a re y so ft w a re c u y a fu n c i n e s p ro te g e r u n sit io p riv a d o conectado a una red (local, intranet, Internet...) contra accesos no autori zados. 30. Gestin P r o c e s o m e d i a n t e e l c u a l s e o b t i e n e , d e s p l i e g a o u t i li z a u n a v a r i e d a d d e re cu rso s b sico s para apo ya r lo s objetivos del p ro ce so . 31. Hacker Exp e rto inform tico e sp ec ia lista e n e ntra r e n siste m a s a je no s sin perm iso . 32. Incidencia Cu alquier anom alia que afecte o pueda afectar a la seguridad de los datos del siste m a d e in fo rm a c io n de la e m p re sa . 33. Informacin Conjunto de datos que al relacionarse adquieren sentido o un valor de contexto o de cam bio. 34. Informacin Confidencial Conjunto de datos relativos a la empresa que pueda comprometer sus procesos clave. Tamb i n se refiere a los dato s esp ecialm ente pro tegido s (Ideologia, religion, afiliacin sindical, creencias, origen racial o tnico, salud o vida sexu al). 35. Integridad Segu ridad de que una inform acin n o ha sido alterada.
P?gina --
36. Internet C o n j u n t o d e e q u i p o s y r e d e s c o n e c t a d o s a n i ve l m u n d i a l p a ra e l in t e rc a mdei o b inform acion. 37. IS0 17799 Cod igo de B ue n a s Prec tica s d e Seg urid ad de la In fo rm a cin . 38. Registro (Log) Do cu m e nto qu e re co ge e vide ncias o bjetivas de las activid ad es efec tu ad as olos de re su ltad os ob te nidos en u n p roc eso. 39. L0PD (Ley de proteccion de datos de caracter personal) Le y 1 5 /9 9 , d e 1 3 d e D icie m b re , de tra ta m ie n to d e d ato s d e c a re c te r p e rso n a l. 40. LSSI (Ley de Servicios de la Sociedad de la Informacion y de Comercio Electronico) Ley 34/2002, de 11 de Julio, de servicios de la sociedad de la inform acion y de com ercio electronico. 41. Nivel de Seguridad (Basico Medio y Alto)
'
N ive le s d e se g u ri d a d d e fin i d o s en e l R e a l D e c re to 9 9 4 /9 9 , d e 1 1 d e j u n io , e lo r p q u e s e a p r u e b a e l R e g l a m e n t o d e M e d i d a s d e S e g u ri d a d d e l o s F i c h e r o s autom ati zados que contengan Datos de Carecter Personal. 42. Perfil de Usuario Definicion de las com petencias, niveles de acceso y responsabilidades a sig n a d a s a u n u su a rio p a ra e l de se m p e n o d e su s fu n c io n e s. 43. Permiso R e g l a s p a r a re g u la r q u e u s u a r io s p u e d e n o b t e n e r a c c e s o y d e q u e m a n e ra sa lo distintos rec urso s d el siste m a de inform a cion . 44. Privacidad El control sobre el uso, com unicacin y distribucin de la in form acin. 45. Privilegios
P?gina --
Derechos del usuario para utili zar los distintos activos del sistem a de informacin. 46. Proceso Conjunto de actividades o eventos que se reali zan o suceden con un determ inado fin . 47. Recurso Cu alqu ie r com po ne nte d e u n siste m a de inform a cin . 48. Red Local El trm ino re d lo ca l inc lu ye t an to e l h ardw are com o el so ftw a re ne ce sa rio pa ra la interconexin de varios ordenadores y perifricos con el objeto de in te rcam biar re cu rso s e inform a cin . 49. Responsable del Fichero Persona fisica o juridica, de naturale za pablica o privada, u rgano adm in istrativo, qu e de cid e so bre la fina lidad , co n te nido y u so d el tra ta m ien to 50. Responsable de Tratamiento E s l a p e rs o n a fi si c a o j u ri d i c a , a u t o rid a d p b l ic a , s e rv i c io o c u a lq u ie r o t ro m e ca nism o qu e, slo o co njun ta m e nte con otro s, trate d a tos pe rson ales cu en ta por de l respo nsab le d el fich ero. 51. Riesgo Pro b ab ilid ad d e ob tener u n resultad o desfavo rab le co m o re su ltad o d e la exposicin a un evento especifico. 52. RMS (Real Decreto de Medidas de Seguridad) N ive le s d e se g u ri d a d d e fin i d o s en e l R e a l D e c re to 9 9 4 /9 9 , d e 1 1 d e j u n io , e lo r p q u e s e a p r u e b a e l R e g l a m e n t o d e M e d i d a s d e S e g u ri d a d d e l o s F i c h e r o s autom ati zados que contengan Datos de Carcter Personal. 53. Salvaguarda Te cn olog ia , politica o pro ce dim iento qu e con trarre sta un a am en a za o p ro teg e un valor.
P?gina --
54. Seguridad Discip lina, tcnicas y herram ientas disefia das para ayuda r a p ro teg er la confidencialidad, integrid ad y dispon ibilid ad de inform acin y sistem as. 55. Sistema de Informacin Con junto de elem entos, ord en adam ente relacionados en tre s1 que aporta a la organi zacin las directrices d e m an ejo de la inform acin para el cum plim iento de sus fines. 56. Software Co n j u n to d e p ro g ra m a s y a p lic a c io n e s p a ra e l m a n e j o d e in fo rm a c i n e n e l sistem a empresa rial. 57. Soporte O b je to fi si c o su sc e p ti b le d e se r t ra t a d o e n u n siste m a d e in fo rm a c i n y s oe l re b cu al se p ued en gravar o re cu pe rar d atos. 58. ~erceros Personas qu e no form an parte de la organ i zaci n. 59. ~ratamiento de datos O p e ra c io n e s y p ro c e d im ie n to s t c n ico s d e c a r c te r a u to m ati za d o o n o , q u e permitan la re c o g i d a , g ra b a c i n , c o n s e rv a c i n , e la b o ra c i n , m o d ifi c a c i n , bloqueo y cancelacin, asi com o las cesiones de datos que resulten de com unicaciones, consultas, interco nexiones y transferencia s 6 0 . @ul ne r a b i l i da d causando un dafio. Probabilidad de que una amena za afecte a un activo

Guia Seguridad Pymes

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Guia Seguridad Pymes

Hochgeladen von

Copyright:

Verfügbare Formate

g u i a d e S a I M F O R I R

3.2 Caso prctico: Gestin de Clientes...........................................11 3.3 Conclusiones..................................................................... 16

Controles relacionados con el Negocio.................................... 19

Controles relacionados con el Personal ................................... 34

6.1 Objetivos Generales........................................................... 5

Seguridad Fisica relacionada con el Entorno.......................... 5

Seguridad Fisica relacionada con los Soportes....................... 55

6.4 Seguridad Lgica en los Sistemas

6.5 Seguridad Logica en las Comunicaciones

Controles relacionados con la Revision del sistema .................. 74

7.1 Objetivos Generales........................................................... 74

Auditoria del sistema ......................................................... 74

8 Conclusione s....................................................................... 77 9 Glosario de Term inos ........................................................... 78

Rapidez y globalizacin de efectos

GG esi tiiim de ll a segt uriidad.

Es necesario que los tres elementos funcionen de forma conjunta y coordinada:

a aplicables en materia de seguridad de la informacion. Gestion de la Seguridad de la Informacion , introduce el termino

segurid ad fisica en el entorno y so p ortes, y la segurid ad lo g ica en

mas imp ortantes que aparecen en la guia.

2 Marco Norm ativo utilizado

3 Gestin de Ia Seguridad de Ia Inform acin

3.1 Objetivos Globales.

asegurar qu e en todo m om en to se podra

y a minimizar los darios en los

si alguno de los riesgos llega a materializarse.

3.2 Caso practico: Gesti~n de Clientes.

a travs de m ail, fax, correo,

Anlisis de la captura de datos de clientes

g e s t i o n d e b e re a l i z a r u n aconsulta de la base de datos de clientes

aplicacin de gestin de la empresa c lien te s o c re ar nu evos cliente s.

reali za la consulta al servidor

que contiene los datos . Este en el sistema de

S e p u e d e v e r e l rbol de dependencias como un castillo

in fo rm tic o s y h a rd w a re d e c o m u n ic a c io n e s), e xiste n a m e n a za s d eb id a s a e rro re s so u de o m a n te n im ie n to , y a fa llo s o a ve rfa s d e cu a lq u ie ra d e su s co m p o n e n te s.

En relacin al software de tratamiento de la informacin

R e sp e c to a l uso que realiza el personal de la empresa

- Identificar las potenciales amenazas inventariados. - Estimar el impacto

que tendrian para la em presa la materiali zacin de las

tales com o po liticas de segu ridad y norm as c la sific a c i n de

d e la in fo rm a c i n ; co n tro lesrelacionados con el personal

, clasificados en medidas de revision de los sistemas de

4 Controles relacionados con el Negocio

Definicion de la Politica de Seguridad de la Empresa

Clasificacion y marcado de la informacion

reco mendacio nes

d en o m ina do Guia de Clasificacin de la informacin

Contratos con terceros

q u e impliquen el intercam bio de inform acin. i

Cambios en los contratos de terceros

de prestacin de servicios para asegurar que se ajustan

a la realidad de lao rg an izac i n . En c aso d e c am b io, re flejar la n nu eva re alid ad.

Comunicaciones de informaci6n con terceros

La entrega de las nominas en papel desde el departamento de

terceros fo rm alm e nt e, co m un ic an do lo s req uisito s al pe rson al de org an i i interca m b io s.

Comite de seguridad y L0PD

Validez juridica de las evidencias

Paso 7 - Como funcin del comit de seguridad y Iopd informacin.

est anali zar la

valide z juridica de las medidas a implantar en el sistema de seguridad de la

5 Controles relacionados con el Personal

Definicion de Funciones y Responsabilidades

o b l i g a d o s a l sec re to p ro fe sion al re sp ec to d e lo s m ism o s. (A rticu lo

secreto y confidencialidad s sistem a d eb ern firm ar.