CENTRO DE APOYO TECNOLGICO A EMPRENDEDORES DE CASTILLA-LA MANCHA-BILIB JUNTA DE COMUNIDADES DE CASTILLA LA MANCHA.

RECOMENDACIONES PARA EL DESARROLLO DE UNA PLAN DE SEGURIDAD DE LA INFORMACIN

Autor del docu e!to" Centro de Apoyo Tecnolgico a Emprendedores de Castilla-la Mancha de la Fundacin Parque Cientfico y Tecnolgico de Albacete -bilib D#to$ de co!t#cto" E-Mail bilib!bilib"es P#gina $eb %%%"bilib"es Tel&fono '() *** +,, %er$&'! del docu e!to"
,"Fecha .---)-.-,,

L&ce!c&# del docu e!to" Copy/ight 0 .-,,1 2unta de Comunidades de Castilla-3a Mancha Publicado ba4o licencia Creati5e Commons 6y - 7a 8sted es libre de Copiar1 distribuir y comunicar p9blicamente la obra" :acer obras deri5adas 6a4o las condiciones siguientes /econocimiento" ;ebe reconocer los cr&ditos de la obra de la manera especificada por el autor o el licenciador <pero no de una manera que sugiera que tiene su apoyo o apoyan el uso que hace de su obra=" Compartir ba4o la misma licencia" 7i transforma o modifica esta obra para crear una obra deri5ada1 slo puede distribuir la obra resultante ba4o la misma licencia1 una similar o una compatible" Al reutili>ar o distribuir la obra1 tiene que de4ar bien claro los t&rminos de la licencia de esta obra" Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autor" ?ada en esta licencia menoscaba o restringe los derechos morales del autor" Co-financiado por:

ndice de contenido
, Conte@to""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""A . Poltica de Bestin de la 7eguridad de la Cnformacin"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""* .", Bestin de los Acti5os""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""") .". 7eguridad 3igada a los /ecursos :umanos""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""D ."+ 7eguridad Fsica y Ambiental"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""' ."A Bestin de las Comunicaciones y Eperaciones"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""",."* Control de Acceso 3gico""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""",. ."( Bestin de Cncidencias de 7eguridad"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""",A .") Planes de Contingencia""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""",* ."D Cumplimiento /equisitos 3egales"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""",) + Etras recomendaciones"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""",D

1 Contexto
Este documento presenta algunas recomendaciones generales para ayudar a definir la poltica y procedimientos adecuados para la gestin de la seguridad de la informacin de los sistemas de una empresa" El ob4eti5o de la definicin de este documentos es establecer las actividades y protocolos que
deben ejecutarse para asegurar la confidencialidad, integridad y disponibilidades de los sistemas de informacin de la empresa.

El presente documento1 al ser un modelo gen&rico1 debe tenerse 9nicamente como referencia1 debiendo ser adaptado a la particularidad y necesidad de cada empresa" Por tanto1 los elementos descritos en el documento deben considerarse como una referencia no estricta" 7i se desea obtener un asesoramiento m#s personali>ado se recomienda contactar directamente con el Centro de E@celencia de 7oft%are 3ibre de Castilla-3a Mancha" Para la redaccin de este documento se ha seguido las principales recomendaciones reali>adas en el marco de la norma C7E .)--,"

P#gina A de ,D

2 Poltica de Gestin de la Seguridad de la Informacin

3a Poltica de 7eguridad de la Cnformacin tiene como ob4eti5o establecer las normas y requisitos de seguridad que permitan garanti>ar la confidencialidad1 integridad y disponibilidad de los sistemas de informacin de la empresa" 3a Poltica de 7eguridad de la Cnformacin es un documento que denota el compromiso de la gerencia con la seguridad de la informacin y debe contener la definicin de la seguridad de la informacin ba4o el punto de 5ista de la entidad" 3os aspectos m#s importantes a tener en cuenta en la Poltica de 7eguridad son Baranti>ar la confidencialidad1 integridad y disponibilidad de los sistemas de informacin de la empresa ;isponer de un responsable de seguridad encargado de la gestin de las seguridad de la empresa" Cumplir los requisitos legales que sean aplicables en la empresa" Bestionar las incidencias de seguridad de forma adecuada" ;isponer de un plan de contingencia que permita a la empresa recuperarse en caso de desastre o discontinuidad de los sistemas" Cnformar a los empleados de sus obligaciones con respecto a la seguridad de los sistemas1 sus obligaciones y los procedimientos definidos que les afectan Formar a los empleados en los principales conceptos de la gestin de la seguridad de los sistemas"

3a Poltica de 7eguridad est# sustentada por el Manual de 7eguridad que incluye un con4unto de normas de seguridad y procedimientos" Este manual , puede estructurase de di5ersas formas" 8na de las propuestas m#s habituales es la utili>ada en las certificaciones C7E .)--, Bestin de los acti5os" 7eguridad ligada a los recursos humanos" 7eguridad fsica y ambiental" Bestin de la comunicaciones y operaciones" Control de acceso lgico" Bestin de incidentes" Planes de contingencia Cumplimiento de requisitos legales

3a Poltica de 7eguridad debe recoger entre otros elementos una 5isin general del manual de seguridad de la empresa"

P#gina * de ,D

3a Poltica de 7eguridad debe ser Compatibili>ada con otras polticas dependientes de &sta1 ob4eti5os de seguridad1 normas de seguridad y procedimientos" Puede ser tambi&n un documento 9nico o embebido en un manual de seguridad" Asignada a un propietario que ser# el responsable de su mantenimiento y su actuali>acin a cualquier cambio que se requiera " Conocida y entendida por todos los empleados de la empresa."

Aunque en los pr@imos epgrafes se incluye informacin m#s detalladas sobre los procedimientos a implementar en el #mbito de la gestin de la seguridad1 los elementos que no pueden ol5idarse son los siguientes + Ge$t&'! de l#$ Co u!&c#c&o!e$ ( O)er#c&o!e$. Ge$t&'! del Acce$o L'*&co. Ge$t&'! de l# Co!t&!u&d#d.

A continuacin se detallan los procedimientos que debe recoger el Manual de 7eguridad"

?o ol5idar nunca que la poltica tiene que ser conocida por los empleados" Estos tambi&n deben conocer sus responsabilidades en la gestin de la seguridad dentro de su entorno de traba4o1 especialmente en la proteccin de los acti5os de los que son propietarios1 contraseFas de acceso a los sistemas y la documentacin en uso" Algunos de los elementos que influyen en la definicin de una Poltica de Bestin de la Cnformacin m#s e@hausti5a son el nG de empleados1 el perfil de estos1 la criticidad de la informacin gestionada y el grado de implantacin TCC"

P#gina ( de ,D

2.1 Gestin de los Activos

El ob4eti5o de la Bestin de Acti5os es asegurar que todos los acti5os de la empresa se encuentran identificados y reciben el ni5el de proteccin adecuado" ;entro de este procedimiento es necesario definir Cn5entario de los Acti5os y asignacin de propietarioHresponsable" Clasificacin de los Acti5os1 seg9n su 5alor1 los aspectos legales o criticidad para la empresa" /oles que inter5ienen en el proceso /esponsabilidades de los roles" ;efinicin del procedimientos de gestin y uso seg9n la clasificacin definida Criterios para la clasificacin" Etiquetado" Acceso a los Acti5os" Almacenamiento" ;ifusin" Trasmisin o Transporte" ;estruccin"

;ocumentacin y registros a generar A" ;ocumentacin y plantillas de referencia" 3a informacin debe estar clasificada seg9n su 5alor1 los requisitos legales1 su sensibilidad y criticidad para la organi>acin" :abitualmente se clasifica como p9blico1 interno o confidencial" 7e considera informacin a todo dato relacionado con las acti5idades y ser5icios de la organi>acin1 que tenga 5alor para &sta seg9n estime su propietario1 atendiendo a las escalas de 5aloracin utili>adas1 los requisitos legales1 su sensibilidad y criticidad para la organi>acin1 cualquiera que sea su forma y medio de comunicacin yHo conser5acin" Toda informacin definida como acti5o debe ser clasificada para garanti>ar un ni5el adecuado de proteccin" 3os soportes <C;1 papel1 ;iscos ;uros1I= que contengan informacin de distintos ni5eles de clasificacin ser#n clasificados con el ni5el m#s alto de los acti5os de informacin que contengan" 3os propietarios de los acti5os son responsables de conocer los ni5eles de clasificacin de informacin establecidos por la organi>acin y garanti>ar el cumplimiento de las normas de proteccin" Con dicha finalidad la la organi>acin debe distribuir una Poltica de uso en la que se describan los ni5eles de clasificacin y el proceso de etiquetado"

A la hora de definir y gestionar los Acti5os es de utilidad tener en cuenta los siguientes principios

Especialmente importante el seguimiento del estado de los acti5os"

P#gina ) de ,D

2.2 Seguridad Ligada a los Recursos Humanos

El ob4eti5o de este procedimiento es asegurar que todo el personal interno y e@terno * conoce y aplica las medidas de seguridad establecidas por la empresa" ;entro de este procedimiento es necesario definir Escenarios posibles <antes1 durante y despu&s de la contratacin= y acti5idades a reali>ar" Perfiles de usuario para cada #rea de la empresa con respecto a la seguridad" /oles que inter5ienen en el proceso" /esponsabilidades de los roles" ;ocumentacin y registros a generar" ;ocumentacin y plantillas de referencia"

3a seguridad ligada a los recursos humanos se gestionar# a tres ni5eles +. A!te$ de l# co!tr#t#c&'!. 3os responsables de cada #rea 4unto con la ;ireccin de la organi>acin deben definir los perfiles de cualificacin que definen las funciones y responsabilidades de seguridad de la organi>acin1 adecuados a los requisitos del puesto a ocupar1 en los que se especificar# las competencias que deben cubrir las personas que ocupen el puesto de traba4o en cuestin" 3a seleccin de personal se reali>ar# siguiendo estos perfiles e informando de las obligaciones y responsabilidades al empleado1 4unto a los t&rminos y condiciones de contratacin" ,. Dur#!te l# co!tr#t#c&'!. ;urante la 5ida laboral1 todo el personal de la entidad deber# recibir una formacin y concienciacin adecuadas y actuali>adas de las polticas y procedimientos de seguridad1 adaptadas seg9n el puesto de traba4o y las necesidades de seguridad que 5ayan siendo detectadas por parte de los responsables del #rea al que pertene>ca el empleado" 3a formacin debe incluir requisitos de seguridad1 responsabilidades legales y controles de negocio1 as como formacin en el uso correcto de los recursos de tratamiento de la informacin" -. Tr#$ .&!#l&/#r l# co!tr#t#c&'! o el c# 0&o de )ue$to de tr#0#1o. En los casos relacionados con el cese del puesto de traba4o1 todos los empleados1 contratistas y e@ternos deben de5ol5er todos los acti5os <componentes soft%are1 documentos corporati5os y equipos prestados= de la organi>acin que tengan en su posesin y est&n relacionados con su empleo" Asimismo1 se deber#n re5ocar todos los pri5ilegios al usuario cesado en todos los entornos de produccin o accesibles desde el e@terior de la organi>acin" En los casos relacionados con el cambio de puesto de traba4o dentro de la organi>acin el Administrador del 7istema deber# re5ocados todos los pri5ilegios e@cesi5os que el usuario tu5iera en el puesto actual respecto al nue5o puesto a desempeFar"

Personas e@ternas a la empresa que participan en los procesos de la empresa"

P#gina D de ,D

2.3 Seguridad Fsica y Ambiental

El ob4eti5o de este procedimiento es proteger los recursos de tratamiento de la informacin crtica y sensible de la organi>acin1 a tra5&s de #reas restringidas y permetros de seguridad definidos mediante adecuadas barreras de seguridad y controles de entrada" ;entro de este procedimiento es necesario definir Elementos fsicos y ambientales a proteger" Medidas de proteccin" /oles que inter5ienen en el proceso" /esponsabilidades de los roles" Elementos a proteger" Medidas de proteccin" ;ocumentacin y registros a generar" ;ocumentacin y plantillas de referencia" 2re#$ Se*ur#$.

;entro de las medidas principales a reali>ar para proteccin de los elementos fsicos se encuentran Pre5enir los accesos fsicos no autori>ados1 los daFos y las interferencias a las instalaciones de la organi>acin y a la informacin" accesos slidos y protegidos a las instalaciones1 deteccin de condiciones ambientales ad5ersas <fuego principalmente=3 deteccin de accesos no autori>ados <alarmas1 sensores de mo5imientos1 c#maras"""=1 medidas de proteccin de accesos <lla5es1 tar4etas1 lectores de huella"""= e informacin fsica1 etc" ;efinicin de Jreas de Traba4o" En funcin de la finalidad a la que se destinan los espacios o #reas de traba4o1 se pueden establecer los siguientes tipos de #reas p9blicas1 internas1 restringidas1 etc" Acti5os de Cnformacin" ;ebe asegurarse la proteccin de los acti5os de la empresa1 especialmente los de informacin protegiendo los soportes e@trables1 los armarios y ca4oneras1 no de4ando accesible ning9n tipo de informacin clasificada como interna o confidencial1 etc"( Protecc&'! de lo$ S&$te #$. Pre5enir la p&rdida1 daFo1 robo o el compromiso de los acti5os y la interrupcin de las acti5idades de la organi>acin #reas seguras para ser5idores de aplicaciones1 datos y redes1 sistemas 7AC para los sistemas cla5e de la empresa1 proteccin de los sistemas o soportes a e@traer fuera de la organi>acin1 destruccin de los datos incluidos en soportes a desechar1 etiquetado y documentado de equipos y cables1 etc"
(

En el control de los acti5os p9blicos influye particularmente la gestin que de ellos hagan los empleados por lo que es muy importante inculcar la importancia de protegerlos1 asegurarse de no de4ar informacin al acceso de terceras personas en su mesa <documentos1 pendri5es1 I=1 bloquear acceso al sistema operati5o1 de4ar ordenadores port#tiles encima de la mesa sin proteccin1 cerrar ca4oneras1 puertas1 cerrar 5entanas1 etc"

P#gina ' de ,D

2. Gestin de las !omunicaciones y "#eraciones

El ob4eti5o de este procedimiento es establecer las responsabilidades y procedimientos para la gestin y operacin de todos los recursos de informacin" ;entro de este procedimiento es necesario definir Tareas a reali>ar y periodicidad de las tareas" /oles que inter5ienen en el proceso" /esponsabilidades de los roles" ?ormas de uso de los recursos lgicos de la empresa" ;ocumentacin y registros a generar" ;ocumentacin y plantillas de referencia" Actu#l&/#c&'! de lo$ $&$te #$.

3as #reas prioritarias que deben gestionarse dentro de este procedimiento son Es cla5e la correcta gestin de las actuali>acin de los sistemas crticos de la empresa para asegurar su disponibilidad" 7on especialmente sensibles a estos cambios son ser5idores1 aplicaciones de gestin1 bases de datos1 fire%all1 redes1 etc" Protecc&'! de lo$ $&$te #$ .re!te # c'd&*o #l&c&o$o o de$c#r*#0le. Es cla5e proteger los sistemas frente a este tipo de ataques para asegurar su confidencialidadHintegridad" Para ello se recurrir# a herramientas anti5irus y actuali>aciones de los sistemas )" Se*ur&d#d de l#$ rede$. Es cla5e proteger las redes y comunicaciones de la organi>acin para asegurar la confidencialidadHintegridadHdisponibilidad de los datos y sistemas de la empresa" Para ello es necesario implantar alg9n sistema cortafuegos y definir correctamente las reglas de acceso tanto de entrada como de salida a los sistemas1 denegando por defecto todo lo que no est& e@plcitamente permitido" Especial atencin hay que tener en los accesos desde el e@terior a los ser5icios y ser5idores de la empresa" En caso que sea necesario acceder desde el e@terior a estos ser5icios por un traba4ador deben definirse KP? e incluso controlar los equipos a tra5&s de reglas que equipos concretos pueden conectarse" Es recomendable a su 5e> /eali>ar re5isiones peridicas conmutadores1 cableado1 etc" del material disponible fire%all1 enrutadores1

Acti5ar y re5isar el 5isor de sucesos de los sistema crticos de la empresa de forma peridica" Para facilitar esta tarea es posible utili>ar herramientas para monitori>acin de
)

Aunque se utilicen sistemas B?8H3inu@ tambi&n es recomendable disponer de sistemas anti5irus1 pues aunque este tipo de soft%are no suele afectarles1 podra propagarse a otros sistemas de clientes o de empleados fuera de la oficina"

P#gina ,- de ,D

los sistemas o generar scripts para e@traer informacin resumida de los logs de sistema" Re*&$tro de #ct&4&d#de$. Al igual que la monitori>acin de los sistemas crticos de la empresa puede ser necesario monitori>ar el resto de recursos de la empresa uso de la red1 aplicaciones instaladas1 inicio y fin de las sesiones de traba4o1 acceso y-o modificacin de informacin crtica1 etc" En caso de registrar acti5idades relacionados de los traba4adores de la empresa es necesario que estos est&n informados de forma e@plcita del uso que puede hacerse de los recursos de la empresa y que la acti5idad podr# ser monitori>ada por la empresa" Co)&#$ de $e*ur&d#d. Es cla5e la correcta gestin de las copias de seguridad de la organi>acin para pder asegurar la integridadHdisponibilidad de los datos y los sistemas de la empresa" Es necesario definir el qu& <elementos a respaldar=1 el cu#ndo <con que frecuencia se reali>ar#=1 el dnde <lugar de almacenamiento = y el cmo <proceso para reali>ar el respaldo=" 3os puntos cla5es del procedimiento de copias de seguridad deben responder a dichas preguntas1 asegurando que 3os datos y sistemas cla5es de la organi>acin est#n protegidos documentos1 bases de datos1 configuraciones de ser5idores y ser5icios1 im#genes de sistemas operati5os y ser5idores1 """ 7e haga con la suficiente periodicidad1 teniendo en cuenta esfuer>o 5s riesgo" Algunos datos se copiar#n diariamente1 otros semanalmente y qui># otros mensual o semestralmente" 7e almacenen las copias en lugar seguro" Es habitual que e@istan al menos dos ni5eles de copia" 8na dentro de las oficinas de la empresa y otra fuera de la oficina" A la hora de reali>ar las copias hay di5ersas maneras de hacerlo1 cada una con sus pros y contras" Es necesario que la empresa defina el tipo de copia de seguridad que se reali>ar#" Pueden ser incrementales1 completas1 automati>adas o manuales1 tambi&n puede reali>arse una copia de los datos mediante herramientas de sincroni>acin que solo reali>a la copia cuando el fichero ha sido modificado en origen" Es necesario 5erificar que las copias finali>an correctamente y reali>ar pruebas de restauracin peridicas para 5erificar que el sistema de respaldo funciona correctamente" E@isten di5ersas aplicaciones soft%are libre para automati>ar los bacLups rsync1 bacula1 amanda1 etc"

P#gina ,, de ,D

2.$ !ontrol de Acceso Lgico

El ob4eti5o de este procedimientos es proteger los sistemas lgicos de la empresa para asegurarse que solo los usuarios definidos tenga acceso lgico a los datos y sistemas" Todos los sistemas de la empresa dispondr#n de un sistema de autenticacin de los usuarios1 de forma general ser# a tra5&s de usuario y contraseFa" 7i bien pueden implantarse otros sistemas como son el uso de certificados digitales o tar4etas inteligentes1 lectores de huella1 etc ;entro de este procedimiento es necesario definir ?i5eles de control de acceso Medidas de proteccin a implantar y tareas a reali>ar" /oles que inter5ienen en el proceso" /esponsabilidades de los roles" ?ormas de acceso lgico a los recursos de la empresa" ?ormas para la creacin y gestin de contraseFas D" ;ocumentacin y registros a generar '" ;ocumentacin y plantillas de referencia" De.&!&c&'! de lo$ !&4ele$ de #cce$o.

Entre las acti5idades principales a reali>ar dentro de este procedimiento destacan 3os ni5eles de acceso lgico a los sistemas suelen ser habitualmente tres red1 sistema operati5o y aplicacinHdatos" Para cada uno de los ni5eles es necesario definir e@plcitamente1 especialmente a ni5el de red ,-1 los recursos que ser#n controlados" De.&!&c&'! de l#$ ed&d#$ t5c!&c#$ # & )l#!t#r" E@isten di5ersas medidas para controlar los accesos1 la mayor parte de ellas a tra5&s de alg9n tipo de sistema de autenticacin ,, ipHmac1 usuario y contraseFa1 certificado o tar4eta inteligente1 huella dactilar1 toLen de seguridad1 etc" A ni5el de red e@isten otro tipo de medidas m#s all# de la autenticacin1 como puede ser la segregacin de redes1 filtrado de cone@iones1 enrutamiento1 etc" De.&!&c&'! de lo$ )er &$o$ de #cce$o. 3a definicin de los permisos de usuarios debe hacerse mediante roles o grupos1 asignando a cada rol o grupo un con4unto de permisos sobre el acceso lgico a los sistemasM cada usuario estar#
D

'

,-

,,

Especialmente importante es la correcta gestin de las contraseFas tipo de contraseFas aceptadas1 5alide> temporal1 almacenamiento1 etc" Especialmente importante es el registro de los usuarios de los sistemas de informacin de la empresa e identificacin de los pri5ilegios de estos usuarios" 7er5icios %eb1 correo electrnico1 ser5icios de charla y mensa4era instant#nea1 transferencia de ficheros1 acceso interacti5o a equipos remotos1 acceso a aplicaciones remotas1 acceso a redes de intercambios de ficheros P.P Puede ser interesante implantar un sistema centrali>ado de autenticacin por e4emplo a tra5&s de ldap"

P#gina ,. de ,D

asignado a un rol o grupo" Es recomendable seguir una poltica de Nmnimo pri5ilegioO <need to Lno%=1 en funcin de las necesidades de cada puesto de traba4o" De.&!&c&'! ( d&.u$&'! de )ol6t&c#$ de #cce$o. Algunas de las polticas b#sicas que deben definirse son la gestin de contraseFas y las polticas de acceso a datos" Estas polticas deben ser conocidas e@plcitamente por los empleados" Tambi&n es habitual que se definan las sanciones por el incumplimiento de estas polticas" A la hora de implantar los ni5eles de acceso1 como ya se ha indicado1 se contempla Acce$o # !&4el de Red. 7e debe controlar el acceso a los ser5icios en red1 tanto internos <red local= como e@ternos <internet=" 3a empresa debe establecer las polticas que controlen el uso del entorno de red <correo electrnico1 na5egacin %eb1 ;?71 etc"=1 as como las polticas de filtrado de cone@iones en los equipos de seguridad perimetral <fire%alls=" Acce$o # !&4el de $&$te # o)er#t&4o. 7egundo ni5el de control de acceso que permite a los empleados utili>ar los sistemas operati5os de la red" Acce$o # !&4el de #)l&c#c&o!e$ ( d#to$. Tercer ni5el en el control de acceso al sistema de informacin de B/8PE AMCA6" 7e debe definir una poltica de control de acceso de los usuarios para pre5enir el acceso no autori>ado a la informacin y a las aplicaciones" En cuanto a la poltica de contraseFas los principales elementos a tener en cuenta para su correcta gestin son ContraseFas fuertes m#s de ( u D caracteres1 incluir n9meros1 letras1 n9meros y caracteres no habituales" /eno5acin peridica de las contraseFas" ?o re5elacin de las contraseFas" 6loqueo de los equipo cuando no 5ayan a ser usado" Almacenamiento seguro" ?o escribir las contraseFas en post-it o papel1 no almacenar en los na5egadores1 no re5elar nunca las contraseFa a otro usuario1 etc En este caso la me4or opcin es utili>ar una herramienta de gestin de contraseFas"

P#gina ,+ de ,D

2.% Gestin de &ncidencias de Seguridad

El ob4eti5o de la Bestin de Cncidencias es resol5er de la manera m#s r#pida y efica> posible1 cualquier incidente o no conformidad relacionada con la seguridad de los sistemas" ;entro del procedimiento es necesario definir Fases y acti5idades a reali>ar para la gestin de Cncidencias" Flu4o b#sico de una incidencia /egistro1 Clasificacin1 ;iagnstico y /esolucin" /oles que inter5ienen en el proceso /esponsabilidades de los roles" 7istema de clasificacin de incidencias ni5eles de incidencias y criticidad" Estructura del registro de incidencias campos para documentar la incidencia" ;ocumentacin y registros a generar" ;ocumentacin y plantillas de referencia"

Este procedimiento puede estar integrado dentro del procedimiento general de gestin de incidencias implantado en la empresa" ;ebe e@istir un tel&fono de emergencia o persona de contacto para la atencin de incidencias que se utili>ar# siempre que los canales habituales de4en de estar operati5os" A continuacin se incluyen algunos e4emplos de incidencias de seguridad P&rdida de ser5icio1 equipos o instalaciones Fallos o sobrecargas del sistema Cncumplimiento de polticas o directrices Cncumplimientos de los acuerdos de seguridad fsica Cambios del sistema no controlados Fallos del soft%are o del hard%are Kiolaciones de acceso E5entos que afecten a la identificacin y autenticacin de los usuarios E5entos que afecten a los derechos de acceso a los datos E5entos que afecten a los procedimientos de copias de seguridad y recuperacin" Cncidencias que afecten a la gestin de soportes

P#gina ,A de ,D

2.' (lanes de !ontingencia

El ob4eti5o del Plan de Contingencia es reaccionar a la interrupcin de las acti5idades empresariales y proteger los procesos crticos de negocio de los efectos de desastres o de fallos importantes de los sistemas de informacin1 as como garanti>ar su oportuna reanudacin" ;entro de este procedimiento es necesario definir ;esarrollo de planes de contingencia Establecimiento del Marco de /eferencia de los Planes de Contingencia" /oles que inter5ienen en el proceso" /esponsabilidades de los roles" ;ocumentacin y registros a generar ,." ;ocumentacin y plantillas de referencia" A!#l&/#r l# or*#!&/#c&'!.

Para poder desarrollar planes de contingencia adecuados a la empresa es necesario El ob4eti5o de esta fase es conocer las acti5idades1 acti5os y recursos cla5es para la organi>acin y los clientes" Anali>ar el impacto en el negocio de una interrupcin de los procesos de negocio" Cdentificar los riesgos1 probabilidad de ocurrencia e impacto" Con la informacin recopilada es posible determinar las estrategias de continuidad" Deter &!#r l#$ e$tr#te*&#$ de co!t&!u&d#d. A la hora de definir las estrategias de continuidad tendr# que tenerse en cuenta1 para cada proceso1 el periodo m#@imo tolerable de interrupcin1 el coste de implementar las medidas y las consecuencias de no lle5ar a cabo ninguna accin" 7e recomienda definir las estrategias seg9n el recurso Personas" ;ocumentar los conocimientos crticos para la empresa1 disponer al menos dos personas con los conocimientos suficientes para gestionar un procesoH#rea1 segregar responsabilidades para e5itar que todo el conocimiento recada sobre una 9nica persona1 etc" 3ocales" Planificar la posibilidad de traba4ar desde otros lugares en caso que no puede accederse a las instalaciones" Por e4emplo1 disponiendo de locales alternati5os o traba4ando de forma remota" Tecnologa" Cmplantar las medidas necesarias que permitan mitigar la discontinuidad de los sistemas sistemas de bacLups <aplicaciones1 datos1 ser5idores"""=1 redundancia de los sistemas <redes1 ser5idores1 datos"""=1 etc" Cnformacin" Cmplantar sistemas de recuperacin de informacin sistemas de bacLup1 recuperacin de disco1 etc"
,.

Especialmente importante es el registro de los usuarios de los sistemas de informacin de la empresa e identificacin de los pri5ilegios de estos usuarios"

P#gina ,* de ,D

 7uministros" En este caso es necesario disponer de un in5entario de los suministros crticos para la continuidad de negocio y estrategias para suplir la discontinuidad acuerdos de entrega1 almacena4e de suministros adicionales1 pro5eedores alternati5os1 """ De$#rrollo de )rotocolo$ de recu)er#c&'!. En esta fase se desarrollar#n e implantar#n los planes para garanti>ar la continuidad de acti5idades crticas y la gestin de incidentes" Todos los planes deben contener al menos la siguiente informacin Acti5idades crticas que deben ser recuperadas y ba4o que situaciones debe aplicarse el plan" Acti5idades crticas priori>adas y enmarcadas por los periodos de tiempo1 y ni5eles de recuperacin necesarios" /oles y responsabilidades durante el incidente" Procedimientos para la acti5acin de la gestin de incidentes1 continuidad del negocio o recuperacin" /esponsable de la actuali>acin de cada plan" ;atos de contacto de las personas cla5e implicadas en cada plan" El Marco de /eferencia de los Planes de Contingencia recoger# una 5isin estandari>ada de todos los planes de contingencia incluyendo la informacin critica Protocolo de acti5acin del plan de contingencia" /esponsables de la gestin de la recuperacin" Acti5idades a reali>ar para recuperar el sistema" Cnformacin de referencia"

Por 9ltimo1 recordar que es necesario que el Marco de /eferencia sea conocido e@plcitamente por los empleados de la empresa"

P#gina ,( de ,D

2.) !um#limiento Re*uisitos Legales

El ob4eti5o de este procedimientos es identificar los requisitos legales1 reglamentarios y contractuales de seguridad a los que est#n su4etos los sistemas de informacin" ;entro del procedimiento es necesario definir /equisitos legales a cumplir" Tareas a reali>ar para cumplir los requisitos legales /oles que inter5ienen en el proceso /esponsabilidades de los roles" ;ocumentacin y registros a generar" ;ocumentacin y plantillas de referencia" ;erechos de propiedad intelectual" Proteccin de los registros y pri5acidad de la informacin personal <3EP;="

3os principales requisitos legales en el marco de la regulacin espaFola son

P#gina ,) de ,D

3 Otras recomendaciones
Para finali>ar esta gua1 se recogen a continuacin una serie de puntos cla5es para definir un procedimiento gen&rico" Estos puntos deben ser Cncluir informacin sobre la fecha de reali>acin1 5ersin del documento y control del historial" ;efinicin del ob4eti5o del procedimiento" Cncluye una descripcin clara y bre5e del propsito o propsitos del procedimiento" ;efinicin del alcance del procedimiento" Cncluye informacin de dnde y ba4o qu& circunstancias se aplicar# el procedimiento Terminologa y definiciones" Cncluye las descripciones de aquellos t&rminos t&cnicos1 de calidad yHo administrati5os que deben ser e@plicados1 as como las definiciones que son utili>adas en la aplicacin del procedimiento" /esponsabilidades" Cncluye definicin de los roles participantes en el proceso y responsabilidadesHacti5idades prioritarias de cada rol" ;ocumentacin de /eferencia" Cncluye una relacin de documentos tales como normas1 procedimientos1 manuales y m&todos que son necesarios para la elaboracin del procedimiento en cuestin" Elementos de entrada al procedimiento" Cncluye cualquier elemento que se utili>a dentro del procedimiento y que no haya sido generado internamente en dicho procedimiento" /egistros de calidad y elementos de salida" Cncluye cualquier elemento que se genere o se modifique durante el procedimiento 4unto a los registros que deben ser mantenidos para de4ar e5idencia del cumplimiento del seguimiento del procedimiento" ;escripcin del procedimiento" Cncluye informacin bre5e y concisa de todos los pasos a seguir para la e4ecucin del procedimiento" Cuando sea necesario se deber#n incluir un diagrama de flu4o para el mayor entendimiento del procedimiento" 3a descripcin del procedimiento incluir# informacin de las acti5idades o fases en que se di5ide el procedimiento y de las subtareas a reali>ar en cada acti5idad o fase"

En caso que alguno de estos conceptos no tengan descripcin1 por no ser necesario o que no e@ista1 se debe incluir la leyenda N?o aplicaO" En la redaccin de los procedimientos se pueden utili>ar las siguientes formas para determinar una o 5arias situaciones N;ebeO1 implica modo imperati5o1 e4emplo debe ser1 debe reali>ar1 debe lle5arse a cabo" NPuedeO1 implica la opcin de tomar una o 5arias alternati5as1 e4emplo puede ayudarse de gr#ficas o diagramas de flu4o1 puede capacitarse por cualquiera de los siguientes m&todos1 etc"

P#gina ,D de ,D