Beruflich Dokumente
Kultur Dokumente
Ttulo: Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes.
2. edicin
Autores: Luis Gmez Fernndez y Ana Andrs lvarez
Nota: AENOR no se hace responsable de las opiniones expresadas por los autores en esta obra.
Gnova, 6. 28004 Madrid Tel.: 902 102 201 Fax: 913 103 695
comercial@aenor.es www.aenor.es
ndice
Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
11
1.
2.
13
1.1.
Definicin de un SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13
1.2.
14
1.3.
16
16
17
1.4.
17
17
18
1.5.
18
18
19
1.6.
Trminos y definiciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
19
23
2.1.
23
2.2.
25
25
27
28
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
2.2.4.
2.2.5.
2.2.6.
2.2.7.
2.2.8.
2.2.9.
2.2.10.
2.2.11.
2.2.12.
2.2.13.
3.
28
29
30
31
31
32
32
33
33
34
2.3.
Requisitos de documentacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.3.1. Generalidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.3.2. Control de documentos . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.3.3. Control de registros . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
35
35
35
36
2.4.
Compromiso de la direccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
36
2.5.
37
2.6.
Formacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
38
2.7.
Auditoras internas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
38
2.8.
39
40
40
2.9.
Mejora continua . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.9.1. Accin correctiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.9.2. Accin preventiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
41
42
43
2.10. El anexo A . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
44
45
3.1.
46
3.2.
Poltica de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
47
3.3.
Organizacin de la seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . .
47
3.4.
Gestin de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
49
3.5.
50
3.6.
51
3.7.
53
ndice
3.8.
Control de acceso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
59
3.9.
64
67
68
3.12. Cumplimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
70
73
4.1.
El proyecto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
73
4.2.
75
4.3.
Poltica de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
76
4.4.
Inventario de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
77
4.5.
Anlisis de riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
79
4.6.
Gestin de riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
83
4.7.
86
4.8.
Procedimientos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
86
4.9.
Formacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
88
88
88
4.12. Registros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
89
5.
Proceso de certificacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
91
6.
93
7.
97
4.
8.
101
101
101
103
104
104
8.2.
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
8.2.2.
8.2.3.
8.2.4.
8.3.
8.4.
8.5.
8.6.
123
123
123
123
123
124
124
8.7.
125
125
125
125
126
128
128
128
8.8.
131
131
132
132
132
132
134
134
134
ndice
9.
9.2.
9.3.
140
140
140
141
141
141
141
142
142
142
143
Otros requisitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
9.4.1. Comunicaciones electrnicas . . . . . . . . . . . . . . . . . . . . . . .
9.4.2. Auditora de la seguridad . . . . . . . . . . . . . . . . . . . . . . . . .
9.4.3. Estado de seguridad de los sistemas . . . . . . . . . . . . . . . . . .
9.4.4. Respuesta a incidentes de seguridad . . . . . . . . . . . . . . . . . .
9.4.5. Normas de conformidad . . . . . . . . . . . . . . . . . . . . . . . . . .
9.4.6. Actualizacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
9.4.7. Categorizacin de los sistemas . . . . . . . . . . . . . . . . . . . . .
9.4.8. Formacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
145
145
146
146
146
147
147
147
148
9.4.
143
143
144
144
144
144
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
160
160
160
161
161
Introduccin
La informacin es el principal activo de muchas organizaciones y precisa ser protegida adecuadamente frente a amenazas que puedan poner en peligro la continuidad
del negocio.
En la actualidad, las empresas de cualquier tipo o sector de actividad se enfrentan
cada vez ms con riesgos e inseguridades procedentes de una amplia variedad de
contingencias, las cuales pueden daar considerablemente tanto los sistemas de informacin como la informacin procesada y almacenada.
Ante estas circunstancias, las organizaciones han de establecer estrategias y controles adecuados que garanticen una gestin segura de los procesos del negocio, primando la proteccin de la informacin.
Para proteger la informacin de una manera coherente y eficaz es necesario implementar un Sistema de Gestin de Seguridad de la Informacin (SGSI). Este sistema es una parte del sistema global de gestin, basado en un anlisis de los riesgos
del negocio, que permite asegurar la informacin frente a la prdida de:
Confidencialidad: slo acceder a la informacin quien se encuentre autorizado.
Integridad: la informacin ser exacta y completa.
Disponibilidad: los usuarios autorizados tendrn acceso a la informacin
cuando lo requieran.
La seguridad total es inalcanzable, pero mediante el proceso de mejora continua
del sistema de seguridad se puede conseguir un nivel de seguridad altamente satisfactorio, que reduzca al mnimo los riesgos a los que se est expuesto y el impacto
que ocasionaran si efectivamente se produjeran.
12
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
UNE-ISO/IEC 27002 pueden llegar a ser muy difciles de valorar por un gestor
que no cuente con la informacin o la formacin adecuada, hecho que le impedira
decidir cabalmente sobre cul es su relevancia para la empresa y las consecuencias
de la implementacin o no de un determinado control en ella.
Esta gua pretende suplir semejantes carencias, proporcionando informacin detallada sobre el significado prctico de los requisitos de la norma y explicando con
ejemplos cmo se pueden realizar, teniendo siempre en cuenta la situacin inicial,
los requisitos de seguridad de la empresa y, por supuesto, los recursos disponibles,
ya que sin contar con esto ningn sistema de gestin se hallar bien diseado y, por
lo tanto, estar condenado al fracaso.
Para una mejor comprensin de las implicaciones de los diversos requisitos de la
norma, esta gua incluye un ejemplo prctico, basado en una empresa ficticia, con
la documentacin bsica que debe incluir un SGSI e indicaciones sobre la informacin que debe recoger cada documento.
Introduccin a los
Sistemas de Gestin
de Seguridad de la
Informacin (SGSI)
14
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
15
Act. Es la fase en la que se mantiene y mejora el SGSI, decidiendo y efectuando las acciones preventivas y correctivas necesarias para rectificar los
fallos, detectados en las auditoras internas y revisiones del SGSI, o cualquier
otra informacin relevante para permitir la mejora permanente del SGSI.
La mejora continua es un proceso en s mismo. Debe entenderse como la mejora
progresiva de los niveles de eficiencia y eficacia de una organizacin en un proceso continuo de aprendizaje, tanto de sus actividades como de los resultados
propios.
Dado que la norma se encuentra enfocada hacia la mejora continua, es un esfuerzo
innecesario tratar de implementar un SGSI perfecto en un primer proyecto de este
tipo. El objetivo debera ser disear un SGSI que se ajuste lo ms posible a la realidad de la organizacin, que contemple las medidas de seguridad mnimas e imprescindibles para proteger la informacin y cumplir con la norma, pero que consuma
pocos recursos e introduzca el menor nmero de cambios posibles. De esta manera,
el SGSI se podr integrar de una forma no traumtica en la operativa habitual de la
organizacin, dotndola de herramientas con las que hasta entonces no contaba que
puedan demostrar su eficacia a corto plazo.
La aceptacin de este primer SGSI es un factor de xito fundamental. Permitir a
la organizacin ir mejorando su seguridad paulatinamente y con escaso esfuerzo.
Act
Plan
Check
Do
Implementar el SGSI
16
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
17
18
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
19
20
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
Seguridad de la informacin
La preservacin de la confidencialidad, la integridad y la disponibilidad de la
informacin, pudiendo, adems, abarcar otras propiedades, como la autenticidad, la responsabilidad, la fiabilidad y el no repudio.
[ISO/IEC 17799:2005]
Evento de seguridad de la informacin
La ocurrencia detectada en un estado de un sistema, servicio o red que indica
una posible violacin de la poltica de seguridad de la informacin, un fallo
de las salvaguardas o una situacin desconocida hasta el momento y que
puede ser relevante para la seguridad.
[ISO/IEC TR 18044:2004]
Incidente de seguridad de la informacin
Un nico evento o una serie de eventos de seguridad de la informacin, inesperados o no deseados, que tienen una probabilidad significativa de comprometer las operaciones empresariales y de amenazar la seguridad de la informacin.
[ISO/IEC TR 18044:2004]
Sistema de Gestin de la Seguridad de la Informacin (SGSI) [Information
Security Management System, ISMS]
La parte del sistema de gestin general, basada en un enfoque de riesgo
empresarial, que se establece para crear, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de la informacin.
Nota: el sistema de gestin incluye la estructura organizativa. las polticas, las actividades
de planificacin, las responsabilidades, las prcticas, los procedimientos, los procesos y
los recursos.
Integridad
La propiedad de salvaguardar la exactitud y completitud de los activos.
[ISO/IEC 13335-1:2004]
Riesgo residual
Riesgo remanente que existe despus de que se hayan tornado las medidas
de seguridad.
[ISO/IEC Guide 73:2002]
21
Declaracin de aplicabilidad
Declaracin documentada que describe los objetivos de control y los controles que son relevantes para el SGSI de la organizacin y aplicables al mismo.
Nota: los objetivos de control y los controles se basan en los resultados y conclusiones de
la evaluacin de riesgos y en los procesos de tratamiento del riesgo, en los requisitos legales o reglamentarios, en las obligaciones contractuales y en las necesidades empresariales
de la organizacin en materia de seguridad de la informacin.
Comprender la
Norma UNE-ISO/IEC 27001
La seguridad no es el resultado de un proceso, es un proceso en s mismo. Se conseguir un nivel de seguridad aceptable en la medida en que este proceso funcione
y progrese adecuadamente.
No es de extraar, por tanto, que la Norma UNE-ISO/IEC 27001 exija que se
adopte un proceso para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el SGSI en una organizacin. Es decir, hay que disearlo, ponerlo
en marcha, comprobar que se obtienen los resultados esperados y, en funcin de
esa evaluacin, tomar acciones para corregir las desviaciones detectadas o intentar
mejorar la situacin, en este caso, la seguridad de la informacin. Y todo ello de
una manera ordenada y metdica, mediante un proceso.
24
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
carecen de los conocimientos y la cultura que transmiten las normas de manera tan
sinttica y depurada. El xito de un proyecto de implementacin de un SGSI est
fuertemente ligado a la habilidad del promotor de asignar los recursos justos y
necesarios para disear un sistema adecuado a las necesidades de la organizacin.
El sistema debe cumplir con los requisitos de la norma, por supuesto, pero no
menos importante es el cumplimiento de los requisitos del negocio. Cualquier
sistema de gestin debe apoyar el cumplimiento de los objetivos de la organizacin
o no tendr razn de ser.
Los requisitos que exige este estndar internacional son genricos y aplicables a la
totalidad de las organizaciones, independientemente de su tamao o sector de actividad. En particular, no se acepta la exclusin de los requerimientos especificados
en los apartados 4, 5, 6, 7 y 8 cuando una organizacin solicite su conformidad con
esta norma. Estos apartados son las que realmente conforman el cuerpo principal
de la norma:
Sistema de gestin de la seguridad de la informacin.
Responsabilidad de la direccin.
Auditoras internas del SGSI.
Revisin del SGSI por la direccin.
Mejora del SGSI.
Lo que la norma reclama es que exista un sistema documentado (poltica, anlisis
de riesgos, procedimientos, etc.), donde la direccin colabore activamente y se
implique en el desarrollo y gestin del sistema. Se controlar el funcionamiento
del sistema para que marche correctamente y la mejora sea continua, practicndose
auditoras internas y revisiones del sistema para verificar que se estn obteniendo
los resultados esperados, igualmente se activarn acciones encaminadas a solucionar los problemas detectados en las actividades de comprobacin (auditoras y revisiones), a prevenir problemas y a mejorar aquellos asuntos que sean susceptibles
de ello.
El sistema constar de una documentacin en varios niveles (vase la figura 2.1):
Polticas, que proporcionan las guas generales de actuacin en cada caso.
Procedimientos, que dan las instrucciones para ejecutar cada una de las tareas
previstas.
Registros, que son las evidencias de que se han llevado a cabo las actuaciones
establecidas.
25
Polticas
Procedimientos
Registros
26
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
ISO 27001
Reglamentos
Leyes
SGSI
Recursos
Negocio
Contratos
27
Definir
alcance
Definir poltica
de seguridad
Identificar activos
Definir el enfoque
de anlisis
Identificar los riesgos
Analizar los riesgos
Tratar los riesgos
28
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
29
Los activos deben relacionarse con los procesos de negocio que soportan, de
forma que quede explcita la dependencia del negocio respecto de esos activos.
La norma es bastante clara al respecto. El SGSI debe apoyar la consecucin de
los objetivos de negocio. Se realiza una gestin para obtener unos resultados, la
seguridad de la informacin no es una excepcin. Su gestin ha de estar orientada en todo momento a que la organizacin funcione ms y mejor y consiga sus
propsitos. Como la seguridad parece un tema muy tcnico se puede caer en el
error de considerar que es un problema que deben solucionar los informticos.
No cabe duda de que la seguridad de la informacin consta de un destacable
componente tcnico y que el personal tcnico debe estar involucrado activamente
en el diseo, desarrollo y mantenimiento de un SGSI, pero recordemos que estamos hablando de un sistema de gestin, por lo que la parte de gestin es tanto
o ms importante que la parte tcnica. Un sistema no funciona si el personal que
lo debe utilizar no lo hace. Como prueba, slo hay que pensar que las incidencias
ms graves de seguridad no suelen tener su origen en fallos tcnicos, sino en fallos
humanos.
30
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
31
32
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
a reducir el riesgo que hay y cul va a ser el coste de su implementacin y mantenimiento. Cabe la posibilidad de que un control que se estime oportuno implementar, sea demasiado costoso o difcil de implementar para la organizacin, por
resistencia al cambio o por falta de formacin, y que haya que excluirlo de la seleccin por esos motivos. Un SGSI no tiene necesariamente que tener cubiertos todos
y cada uno de los riesgos a los que se est expuesto, sino que tratar de mitigarlos
de acuerdo con las necesidades del negocio. Las necesidades de seguridad de un
banco y de un almacn de madera son radicalmente distintas, y eso significa que
sus SGSI tambin han de serlo. Nunca el coste de implementacin y mantenimiento de un control debe superar a los beneficios que se esperan de l.
33
34
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
Para efectuar la revisin hay que recopilar informacin de los resultados de las distintas actividades del SGSI para comprobar si se estn alcanzando los objetivos, y,
si no es as, averiguar las causas y buscar soluciones.
Las revisiones consistirn en estudiar los resultados de las auditoras de seguridad,
los incidentes, los resultados de la eficacia de las mediciones, las sugerencias y las
opiniones de todas las partes interesadas. Hay que medir la eficacia de los controles
para verificar que se han cumplido los requisitos de seguridad.
Adems, hay que revisar los anlisis del riesgo a intervalos planificados y examinar
los riesgos residuales, as como los niveles aceptables del riesgo, teniendo en cuenta
los cambios en la organizacin, la tecnologa, los objetivos y procesos del negocio,
las amenazas identificadas, la eficacia de los controles implementados, los cambios
en el entorno legal o reglamentarios, cambios en las obligaciones contractuales y
cambios en el entorno social. Las auditoras internas del SGSI tambin forman
parte de esta fase de revisin.
Las revisiones del SGSI tienen que estar planificadas y gestionadas para asegurar
que el alcance contina siendo adecuado y que se han identificado mejoras en el
proceso del SGSI.
En cualquier caso, todos los resultados de las revisiones deben ser documentados
para proporcionar evidencia de su realizacin, involucrar a la direccin en la gestin del sistema y apoyar las acciones de mejora, as como para actualizar los planes
de seguridad.
35
36
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
Una buena gestin documental contar con que los cambios sean identificados y
que la identificacin de los documentos y su estado resulten claras.
Los documentos deben estar disponibles y accesibles en todos los puntos en los que
sea necesario utilizarlos. Adems, hay que comprobar que el almacenamiento sea
correcto y que cuando haya que destruir los documentos se haga de acuerdo con su
clasificacin. Cuando un documento quede obsoleto hay que retirarlo para evitar
su uso.
37
38
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
2.6. Formacin
La norma exige que todos los trabajadores con responsabilidades definidas en el
SGSI sean competentes para efectuar las actividades necesarias. Esto significa que
hay que definir las competencias necesarias y, en funcin de tales necesidades,
proporcionar la formacin a la plantilla o adoptar otras acciones para satisfacerlas
(por ejemplo, la contratacin de personal competente).
Como cualquier otra actividad, requiere una planificacin, as como verificar que
se cumplen los objetivos y mantener los registros de educacin, formacin y cualificacin de los empleados.
Independientemente de la formacin, el personal estar concienciado de la importancia de las actividades de seguridad de la informacin y en particular de las suyas
propias, y de que cmo la aportacin de cada uno es fundamental para alcanzar los
objetivos de seguridad establecidos, y en consecuencia los de la organizacin.
En la medida que seamos capaces de formar al personal y concienciarlo de que es
fundamental ceirse a las normas de seguridad, reduciremos drsticamente la probabilidad de fallos y su potencial impacto.
39
El plan ha de estar aprobado por la direccin. Una vez preparado y aprobado, debe
distribuirse a todos los departamentos y a los auditores afectados con la suficiente
antelacin, de manera que puedan preparar adecuadamente la auditora.
Las auditoras internas sirven para determinar si los objetivos, los controles y los
procedimientos son conformes con los requisitos aplicables (los de la propia
norma, los de negocio, los legales, los de seguridad, etc.), as como el grado de
implementacin que tienen, si se estn aplicando bien y si los resultados obtenidos
son los esperados.
Debe existir un procedimiento documentado que defina las responsabilidades y los
requisitos para planificar y dirigir las auditoras, para informar de los resultados y para
mantener los registros, tales como el informe de auditora emitido por los auditores.
El responsable del rea auditada debe asegurar que las acciones para eliminar las
no conformidades detectadas y sus causas se llevan a cabo en un plazo razonable.
El seguimiento de las actividades debe incluir la verificacin de las acciones tomadas
y el informe de la verificacin de los resultados.
Es importante la seleccin de los auditores, ya que no deben auditar su propio trabajo, slo siendo independientes se puede garantizar la imparcialidad.
40
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
41
42
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
Cuando una organizacin se considera madura, es decir, cuando la mejora continua forma parte de la cultura de la empresa y se obtiene el mximo rendimiento de
los procesos, es porque todos los niveles de la organizacin estn involucrados y la
direccin ha hecho de la mejora continua una de las herramientas fundamentales
para la gestin del negocio. Aunque la mejora continua es un proceso que debe ser
impulsado desde la direccin, su implementacin se realizar en la base, donde se
ejecuta el trabajo.
Las principales herramientas para la mejora continua son las revisiones, las auditoras, las acciones correctivas, preventivas y de mejora, los objetivos y el anlisis de
los incidentes de seguridad. Los resultados de estas actividades son una valiossima
fuente de informacin sobre cules son los puntos dbiles de la organizacin y sus
procesos. Sabiendo esto, se pueden tomar acciones encaminadas a eliminarlos,
haciendo que los procesos sean ms eficientes y efectivos, en definitiva, que hacer
el trabajo sea cada vez ms rpido y menos costoso, tanto en recursos humanos
como en materiales.
43
cil distinguir entre los diversos grados de gravedad de las incidencias o no conformidades detectadas. Pero utilizar las acciones correctivas para todo no resulta
eficaz, deberan reservarse para asuntos que no pueden ser resueltos satisfactoriamente por otros medios. Cuando surgen los problemas hay que valorar si son incidentes cotidianos, problemas de origen conocido, de fcil solucin y que no conllevan
un impacto considerable. Si el problema tiene causas difciles de detectar, la solucin no es obvia o factible, es un hecho recurrente, el impacto que ha causado es
importante o es una desviacin sistemtica de las normas, entonces s es apropiado
utilizar una accin correctiva para solucionarlo.
Esta herramienta debe emplearse para detectar errores o fallos en los procesos y
nunca para buscar culpables. Si no se hace as, no se contar con la colaboracin
del personal en la deteccin de las causas de los problemas y la bsqueda de soluciones, y realmente son los que tienen el conocimiento para ello, por lo que es fundamental asegurarse su colaboracin.
44
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
Tanto en el caso de las acciones preventivas como en el de las correctivas, debe asignarse responsables con nombres y apellidos, y determinar fechas lmites de resolucin para que la responsabilidad no se diluya. Por supuesto no es viable asignar
tareas a quien puede no tener la competencia o autoridad para llevarlas a cabo, por
lo que hay que ser cuidadosos al asignar dichas responsabilidades.
2.10. El anexo A
El anexo A contiene los 133 controles considerados como las mejores prcticas en
seguridad de la informacin y que se detallan en la Norma UNE-ISO/IEC 27002.
A lo largo de la Norma UNE-ISO/IEC 27001 se referencia este anexo como el
punto de partida para la seleccin de controles. Es decir, cuando se est desarrollando el SGSI, al llegar a dicha tarea, se debe utilizar esta tabla como lista de chequeo para decidir si procede o no aplicar cada uno de los controles. El resultado de
este chequeo se documentar en el documento de aplicabilidad.
Comprender la Norma
UNE-ISO/IEC 27002
46
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
exhaustivas, por lo que resultan muy tiles como referencia, pero no son obligatorias.
El grado de implementacin de cada uno de los controles es algo que la organizacin
debe decidir en funcin de sus necesidades y recursos disponibles. Y, por supuesto, el
modo en que se implementen es de competencia exclusiva de la organizacin.
47
48
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
Compromiso de la direccin con la seguridad de la informacin. La direccin debe respaldar la seguridad de la informacin y tomar decisiones al
respecto, tales como poner objetivos y aprobar el riesgo aceptable, proporcionando recursos y avalando acciones.
Coordinacin de la seguridad de la informacin. Es fundamental que las
actividades relativas a la seguridad de la informacin estn coordinadas
para que no haya redundancia o lagunas y produzcan situaciones indeseadas.
Asignacin de responsabilidades relativas a la seguridad de la informacin.
Hay que definir claramente quin se va a encargar de cada actividad de
seguridad de la informacin, evitando malentendidos y errores.
Proceso de autorizacin de recursos para el tratamiento de la informacin.
La gestin de la seguridad debe comenzar en el mismo proceso de compra de cada nuevo recurso de tratamiento de la informacin.
Acuerdos de confidencialidad. Para proteger adecuadamente la informacin sensible de la organizacin, deben establecerse y revisarse de una
manera regular cundo y quin debe firmar este tipo de acuerdo.
Contacto con las autoridades. Sera recomendable mantener los contactos
adecuados con las autoridades correspondientes, en particular en lo referente a planes de continuidad del negocio que pueden requerir de contactos en los cuerpos y fuerzas de seguridad del Estado.
Contacto con grupos de inters especial. Dada la complejidad de la seguridad y los numerosos cambios tecnolgicos que influyen en cmo hay que
enfocarla y tratarla, es fundamental mantenerse al da y conservar el contacto con grupos de inters especial, foros y asociaciones profesionales
especialistas en seguridad.
Revisin independiente de la seguridad de la informacin. Siempre es til
contar con la opinin de terceros, sobre todo si son especialistas en el
tema, para que valoren si el enfoque de la organizacin para la gestin de
la seguridad de la informacin es adecuado y en qu se puede mejorar. La
ausencia de presiones internas y la comparacin con otras organizaciones
o modelos de gestin permite que surja un aporte de cosas nuevas que
difcilmente hubieran aflorado internamente.
Terceros. El objetivo aqu es que las medidas de seguridad abarquen tambin a cualquier tercero que sea susceptible de acceder, procesar, comunicar o gestionar la informacin de la organizacin. Los controles para
ello son:
49
50
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
51
52
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
53
54
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
su negocio posea implicaciones que los hagan necesarios, y desde luego la implementacin de los que s son aplicables tiene que ser lo ms sencilla que seamos
capaces de disear. Un banco tendr que tener un procedimiento de copias de
seguridad muy estricto y laborioso y muchos recursos dedicados a esa tarea, tanto
para realizarla como para almacenar las copias. En una pyme puede ser suficiente
una copia semanal, almacenada en un pequeo dispositivo USB que se pueda
transportar cmodamente fuera de las instalaciones a un lugar seguro.
Este captulo contiene diez objetivos:
Responsabilidades y procedimientos de operacin. Para encargarse eficazmente de que los sistemas de informacin funcionen de manera correcta y
segura, ser necesario establecer las responsabilidades y procedimientos para
la gestin de todos los recursos de informacin, reduciendo los riesgos de
negligencia o uso indebido. Los controles son:
Documentacin de los procedimientos de operacin. Siempre hay una
forma ms o menos establecida de afrontar las tareas, este control trata de
documentar esos modos de trabajo, estableciendo las responsabilidades y
cubriendo todas las tareas fundamentales, por ejemplo, el procedimiento
para las copias de seguridad, para la configuracin de accesos, etc.
Gestin de cambios. Los sistemas de informacin y las aplicaciones deben
estar bajo control de cambios, ya que stos son una fuente importante de
errores y fallos. Esta gestin del cambio tiene que incluir la identificacin
de los cambios, su aprobacin, la planificacin de cmo y cundo van a
ser incorporados, las pruebas que se efectuarn, siempre fuera del entorno
de produccin, y cul ser el procedimiento para deshacerlos si sucede
algn evento imprevisto.
Segregacin de tareas. Hay que separar las diversas reas de responsabilidad para evitar usos o accesos indebidos, accidentales o intencionados, de
la informacin. Esta segregacin puede resultar difcil de emprender en
organizaciones pequeas, pero el principio debera aplicarse en la medida
en que sea posible y prctico.
Separacin de los recursos de desarrollo, prueba y operacin. Siguiendo
el mismo principio anterior, es necesario separar el entorno donde se realicen desarrollos del entorno de prueba, y por supuesto los entornos de
produccin deben permanecer aislados del resto, as se eliminan riesgos
de accesos no autorizados o cambios no deseados. Deberan establecerse
las normas para trasladar software y datos de unos entornos a otros, por
ejemplo, en qu condiciones se pueden usar datos reales para realizar
pruebas.
55
56
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
57
58
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
59
60
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
61
62
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
Identificacin de los equipos en las redes. De esta manera se pueden autenticar las conexiones provenientes de localizaciones y equipos especficos. Los identificadores de los equipos indicarn claramente a qu red se
permite al equipo la conexin, si existe ms de una red y, en particular, si
estas redes tienen distinto grado de sensibilidad. Se puede aplicar la identificacin del equipo adicionalmente a la identificacin de usuario,
reforzndola.
Diagnstico remoto y proteccin de los puertos de configuracin. Cuando
sea necesario mantener un puerto abierto para estas tareas, se debe controlar tanto el acceso fsico como el lgico permitido para este puerto.
Segregacin de las redes. Cuando sea oportuno y prctico, se separarn en
redes distintas los servicios de informacin, los de usuarios y los sistemas,
evitando as filtraciones o modificaciones de la informacin.
Control de la conexin a la red. Cuando se comparta la red, sobre todo si
se hace con otras organizaciones, los accesos deben estar perfectamente
definidos y restringidos. No todos los usuarios poseen las mismas necesidades de acceso, as que, para evitar problemas, lo ms recomendable
es que cada uno tenga los derechos de acceso a la red que estrictamente
necesite para realizar su trabajo.
Control de encaminamiento (routing) de red. Los controles de encaminamiento (routing) de redes se implementan para evitar que la informacin
llegue a un destino distinto del requerido, de manera que las conexiones de
los ordenadores y los flujos de informacin estn de acuerdo con la poltica
de control de acceso de la organizacin.
Control de acceso al sistema operativo, para prevenir accesos indebidos a los
sistemas operativos que provoquen daos en las aplicaciones e inestabilidades de los sistemas. Los controles a utilizar para alcanzar este objetivo son:
Procedimientos seguros de inicio de sesin. Las sesiones deben ser iniciadas con un procedimiento que no facilite a un usuario no autorizado
la entrada ni revele informacin del sistema y que limite los intentos de
entrada para bloquearlos.
Identificacin y autenticacin de usuario. Cada usuario deber tener un
identificador nico (ID de usuario) para su uso personal y exclusivo, as
se lograr que su autenticacin sea fiable, de manera que se puedan seguir
sus actividades y, si es necesario, exigir responsabilidades.
Sistema de gestin de contraseas. Gestionar las contraseas necesita de la
colaboracin del personal y servirn a su propsito en funcin de la calidad
63
64
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
65
Control del procesamiento interno. La validacin de los datos debe continuar durante su procesamiento. La aplicacin ha de contar con mecanismos
que detecten informacin corrupta, si los resultados no encajan con lo esperado o si la informacin no ha seguido el ciclo esperado de trata-miento.
Integridad de los mensajes. Los mensajes del sistema son herramientas
importantes para detectar y corregir errores, por lo que es fundamental
proteger su autenticidad e integridad.
Validacin de los datos de salida. Terminado el tratamiento de la informacin, se deben validar los datos obtenidos comprobando que son coherentes con lo esperado, verosmiles y razonables, ya que a pesar de que se
han podido tomar todas las precauciones posibles en anteriores etapas del
procesamiento de la informacin, se pueden producir errores en la salida
que invaliden los datos.
Controles criptogrficos. Cuando la sensibilidad de los datos o su criticidad
hacen recomendable utilizar tcnicas criptogrficas para protegerlos, los controles a aplicar son:
Poltica de uso de los controles criptogrficos. Estas medidas tan especiales son costosas, por lo que debe haber una poltica para aplicarlas de
manera coherente con las necesidades de la organizacin.
Gestin de claves. El uso de tcnicas criptogrficas implica una gestin
de las claves que les dan soporte, lo cual incluir tener normas para la generacin de claves, su uso y su distribucin a los usuarios autorizados, protegindolas en todo momento.
Seguridad de los archivos de sistema. Estos archivos, incluyendo el cdigo
fuente, son activos de informacin de los que dependen en gran medida la
seguridad de los datos almacenados en los sistemas. Por ello, debe controlarse el acceso y manipulacin de estos archivos. Los controles son:
Control del software en explotacin. Para controlarlo adecuadamente
deben existir procedimientos para efectuar la instalacin y actualizacin
de software en los sistemas operativos, incluyendo el modo de restaurar el
programa inicial si falla la instalacin. Estas tareas debern ser ejecutadas
por administradores con la adecuada formacin y autorizacin para ello, y
slo tras haber realizado pruebas que garanticen la ausencia de problemas
tras la instalacin.
Proteccin de los datos de prueba del sistema. En muchos casos se utilizan
datos reales para realizar las pruebas, por lo que hay que ser muy cuidadosos
66
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
al seleccionarlos, mantenerlos protegidos mientras duran las pruebas y eliminarlos de ese entorno en cuanto concluyan.
Control de acceso al cdigo fuente de los programas. Un acceso indebido
pondra en peligro la integridad de los programas, por lo que debe tomarse
medidas, tales como mantener el cdigo fuente fuera de los entornos de
produccin y tener distintos niveles de permisos de acceso, ya que no todo
el mundo necesita acceder a toda la biblioteca, por ejemplo, el personal de
asistencia tcnica podr acceder slo a aquellos programas que precisen.
Seguridad en los procesos de desarrollo y soporte. Cuando se desarrolla software o se proporcionan servicios de asistencia tcnica, es necesario que el
entorno en el que se desarrollan las actividades sea seguro y est controlado,
lo cual se conseguir con los siguientes controles:
Procedimientos de control de cambios. Realizar cambios en un desarrollo
es una tarea que requiere de un estricto control para evitar costosos fallos.
Por ello, deben realizarse mediante un procedimiento formal que minimice el riesgo de incidentes.
Revisin tcnica de las aplicaciones tras efectuar cambios en el sistema
operativo. Los sistemas operativos son susceptibles de cambios por diversos motivos, pero, al depender de l las aplicaciones, es aconsejable realizar
un chequeo para verificar que esos cambios no han afectado de alguna
manera (funcional, operativa o en seguridad) a las aplicaciones, sobre
todo a aquellas que la organizacin considere crticas.
Restricciones a los cambios en los paquetes de software. Es casi inevitable
tener que realizar cambios a los paquetes de software en algn momento
de su vida til, pero para evitar problemas con su integridad o el de la
informacin que manejan, slo se deben efectuar los cambios estrictamente necesarios, por personal autorizado y que controle perfectamente
todo el proceso.
Fugas de informacin. Al desarrollar software se deben prever situaciones
que permitan fugas de informacin, para ello se supervisar al personal,
las actividades del sistema, el uso de los recursos, se escanearn las comunicaciones para detectar informacin oculta, etc.
Externalizacin del desarrollo de software. Cuando se subcontrata el desarrollo de software, deben establecerse los mecanismos apropiados para supervisar dicho desarrollo, de manera que los requisitos establecidos sean incorporados desde el principio y se vayan cumpliendo a lo largo del proyecto.
As se evita llegar al final de proyecto y descubrir que falta alguno de ellos.
67
68
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
69
70
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
3.12. Cumplimiento
Este captulo trata de garantizar que los sistemas cumplen con las polticas y normas
de seguridad de la organizacin, as como con los requisitos legales pertinentes.
Cuenta con tres objetivos de control:
Cumplimiento de los requisitos legales. El objetivo de este procedimiento es
cumplir con la legislacin aplicable a la organizacin, evitando infracciones
que pueden resultar muy dainas tanto en trminos econmicos como de
reputacin para la organizacin. En nuestro pas, las principales leyes que
afectan a la mayora de las organizaciones son:
Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de datos de
carcter personal y Real Decreto 994/1999, de 11 de junio, por el que
se aprueba el Reglamento de Medidas de seguridad de los ficheros automatizados que contengan datos de carcter personal.
Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el
Texto Refundido de la Ley de Propiedad Intelectual.
Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones, para la
regulacin de las telecomunicaciones, sobre la explotacin de las redes y
la prestacin de los servicios de comunicaciones electrnicas y los recursos
asociados.
Ley 34/2002, de 11 de julio, de servicios de la sociedad de la informacin
y de comercio electrnico (LSSI).
Los controles a aplicar son:
Identificacin de la legislacin aplicable. El responsable de seguridad,
junto con los servicios jurdicos de la organizacin, debe mantener actualizada una lista de legislacin vigente aplicable y ocuparse de que cumplan
con ella los que tengan responsabilidades relativas a la aplicacin de la ley.
Derechos de Propiedad Intelectual (DPI). La organizacin debe contar
con procedimientos que garanticen un uso correcto de material con derechos de propiedad intelectual, incluyendo el software propietario.
Proteccin de los documentos de la organizacin. En toda organizacin
existen documentos importantes por diversos motivos, que deben protegerse adecuadamente frente a prdidas, destruccin y falsificacin.
Proteccin de datos y privacidad de la informacin de carcter personal.
El procedimiento deben seguirlo todos los empleados con acceso a datos
71
Definicin e
implementacin
de un SGSI
4.1. El proyecto
Bsicamente, un proyecto de definicin de un SGSI se puede estructurar en 7 grandes
bloques, que comprenden una serie de fases y actividades de acuerdo al esquema
presentado en la figura 4.1.
Las actividades principales para crear un SGSI son:
Definicin del alcance, los objetivos y la poltica de seguridad. Debe cubrir
todos los aspectos de la seguridad: seguridad fsica, seguridad lgica, seguridad del personal, y adecuarse a las necesidades y recursos de la organizacin.
Desarrollar el inventario de activos. Hay que tener presente cules son los
activos ms valiosos, que a la vez pueden ser los ms vulnerables.
Realizar el anlisis de riesgos. Cada uno de los pasos ha de ser documentado
en el anlisis de riesgos, con las valoraciones de todos los parmetros implicados: amenazas que afectan a cada activo, nivel de vulnerabilidad, probabilidad de ocurrencia y los efectos que podra suponer que se materializara la
amenaza, es decir, que una amenaza explorara la vulnerabilidad de un activo.
Este anlisis proporcionar un mapa de los puntos dbiles del negocio, que
sern los que hay que tratar en primer lugar.
Seleccionar las medidas de seguridad a implementar. La gestin de los riesgos
implica seleccionar e implementar las medidas tcnicas y organizativas necesarias para impedir, reducir o controlar los riesgos identificados, de forma que
los perjuicios que puedan causar se eliminen o se reduzcan al mximo. Hay
que considerar, antes de seleccionarlos, que dichos controles tienen unos
costes de implementacin y gestin.
74
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
Inventario
de activos
Elaboracin de poltica
y propuesta de objetivos
Anlisis
de riesgos
Seleccin
de controles
Auditora interna
Auditora de certificacin
75
76
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
77
78
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
Confidencialidad
Integridad
Disponibilidad
Valoracin total
Facturas
79
80
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
Gua
1 Muy baja
2 Baja
3 Media
4 Alta
Por ltimo, para decidir el nivel de riesgo de los activos habr que evaluar el
impacto que tendra en el negocio que la amenaza se materializara, siguiendo con
el ejemplo anterior, que un incendio acabara con las facturas.
Hay que definir de nuevo una escala para asignar un valor numrico a ese impacto,
como:
1 Ningn impacto.
81
2 Poco impacto.
3 Bastante impacto.
4 Mucho impacto.
En nuestro ejemplo vamos a considerar que el impacto sera 3.
Estas valoraciones se deben realizar sin aplicar ninguna medida de seguridad a los
activos, es decir, hay que estimar que nuestras facturas en papel estn simplemente
en una carpeta o que las facturas en soporte electrnico no tienen copias de seguridad ni se encuentran protegidas por contrasea.
Con los valores obtenidos para cada activo hay que calcular el riesgo para cada
amenaza (que ser, por ejemplo, el producto de los tres parmetros), y despus calcular el nivel de riesgo de ese activo, que puede ser una simple suma de todos los
valores obtenidos o puede optarse por tomar slo el valor ms alto. El objetivo es
cuantificar algo tan intangible como el nivel de riesgo y poder comparar todos los
activos con un criterio homogneo. Por ello, el mtodo de clculo no es tan crucial
como los criterios que se apliquen para efectuar esos clculos, que deben ser claros,
coherentes y bien definidos.
Las escalas y los clculos sern concretos, entendibles y se aplicarn a todos los
activos de la misma manera.
En este ejemplo (vase la tabla 4.3), el nivel de riesgo puede considerarse que
es 32, puesto que es el mayor de los obtenidos, o bien se pueden sumar los valores
y sera 50. En cualquier caso, lo esencial es utilizar el mismo sistema para todos y
cada uno de los activos, puesto que de lo que se trata es de comparar sus niveles de
riesgo, ver qu activos tienen ms riesgo que otros. De esta manera, obtendremos
un mapa de riesgos coherente, como en la tabla 4.4, del que se puede deducir
que la aplicacin de gestin est expuesta a ms riesgo y entonces debern aplicarse
ms medidas de seguridad para protegerla.
Facturas
Fuego
Fallo de electricidad
Error de usuario
32
82
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
Riesgo
Facturas
32
Equipos de usuario
24
Aplicacin de gestin
48
Tanto los mtodos de clculo como las valoraciones y los resultados quedarn documentados para cumplir con la norma.
Una vez obtenidos todos los valores de riesgo hay que decidir qu se va hacer con
cada uno de ellos, si se va a asumir, a transferir, a eliminar o a mitigar. Esta
declaracin de la gestin de los riesgos estar firmada por la direccin. Normalmente las decisiones son asumir los riesgos o mitigarlos. En cualquier caso hay que
tener en cuenta que siempre habr un pequeo grupo de controles que van a aplicarse sobre todos los activos o sobre muchos, como es el caso de la poltica de
seguridad, el inventario de activos, la proteccin de los datos personales o las
copias de seguridad.
Decidir en qu punto un nivel de riesgo puede ser asumido por la empresa, o por
decirlo con la expresin utilizada en la norma, cundo un riesgo es asumible, depende
por entero de la empresa y de hasta qu punto puede y quiere tomar medidas en
cuanto a la seguridad de su informacin. Por eso hay que idear de nuevo un criterio
para distinguir entre los riesgos asumibles y los que no lo son.
Siguiendo con nuestro ejemplo, los posibles valores de riesgo iran del 1 al 64, por
lo que podramos estipular que la mediana, el 32, es el valor por debajo del cual se
considerar asumible el riesgo. Otra opcin podra ser la media de los valores, o
directamente convenir un valor por debajo del cual el riesgo es asumible, por ejemplo 10. La norma no especifica nada sobre cmo escoger este valor, y es la empresa
la que debe valorar cuntos riesgos est dispuesta a correr y hasta dnde puede
invertir en mitigarlos.
La documentacin del anlisis de riesgos recoger:
Todas las valoraciones realizadas.
Los valores de riesgo intrnseco.
83
84
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
copias de seguridad (que garanticen la disponibilidad de la informacin) o procedimientos para intercambio de informacin (cmo las vamos a hacer llegar de
manera segura a los clientes o a los asesores garantizando su integridad). En general, estos controles son fciles de implementar e incluso en muchos casos, aunque
sea de manera informal, ya existen buenas prcticas relacionadas. El coste no
resulta elevado y reducen los principales riesgos detectados (fallos de usuario,
fuego). Aislar los equipos en los que se tratan las facturas en un rea segura, con
costosas medidas de seguridad fsica y equipos especiales que garanticen la
disponibilidad es, normalmente, demasiado gravoso econmicamente para los
beneficios que se obtienen. La reduccin del riesgo sera mayor que en el primer
caso, pero no compensara.
Puesto que estamos hablando de sistemas de gestin orientados a la mejora continua,
es mucho ms prctico en una primera iteracin quedarse con un conjunto mnimo
de controles que cumplan con los requisitos de la Norma UNE-ISO/IEC 27001,
y que mitiguen hasta un nivel aceptable, aunque no sea muy bajo, el riesgo. Una
vez que el SGSI funciona de un modo correcto, se pueden ir aadiendo controles
o mejorando la implementacin de los existentes para reducir progresivamente el
riesgo, es decir, para ir mejorando el sistema.
Decididos los controles a implementar e identificados aquellos que ya se utilizaban
en la empresa, hay que repetir el anlisis de riesgos, cindose al mismo mtodo y
a los mismos criterios que la primera vez. La diferencia estriba en que lo que ahora
se debe valorar es el riesgo, puesto que ya tenemos medidas de seguridad que
habrn reducido la vulnerabilidad del activo y el posible impacto que un incidente
de seguridad supondra.
Retomando nuestro ejemplo, supongamos en esta ocasin que el activo facturas
existe en papel, guardado en un armario en una oficina con medidas antiincendios
(detectores, extintores, alarmas), y adems se almacenan en un servidor, que contar con un Sistema de Alimentacin Ininterrumpida (SAI), situado en un armario
especfico cerrado con llave, con control de temperatura, etc. Adems se realiza una
copia semanal de seguridad, que a partir de ahora se enviar a otra ubicacin.
Con estas medidas de seguridad implementadas o a punto de hacerlo, la vulnerabilidad al fuego se ha reducido quizs a 1, y como existen copias de seguridad
incluso fuera de la oficina, el impacto tambin se reducir, por ejemplo a 2. La
vulnerabilidad al fallo de electricidad, es baja, el SAI puede ayudar a aminorar el
impacto, ya que si se produce un fallo el usuario puede terminar y guardar su trabajo antes de que la avera lo elimine o corrompa. Puesto que la implementacin
de un SGSI conlleva la definicin y publicacin de una poltica de seguridad con
normas para los usuarios, la vulnerabilidad al error de usuario deber ser menor
(vase la tabla 4.5).
85
Riesgo
inicial
Vulnerabilidad
Impacto
Riego
residual
Fuego
Fallo de electricidad
Error de usuario
86
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
4.8. Procedimientos
Es uno de los puntos ms problemticos. El objetivo de un procedimiento es
describir la manera en la que se va a realizar una tarea. El nivel de detalle de un procedimiento no debera ser muy alto. Se trata de contar cmo se hace una tarea de
forma que alguien que no est familiarizado con ella pudiera ejecutarla en caso
necesario. Para ello se debera describir a grandes rasgos lo que se debe hacer y citar
87
aquellos documentos que puedan ser de ayuda para llevar a cabo la tarea. Se debe
evitar ofrecer detalles que pueden cambiar con frecuencia, y obligaran a revisar el
procedimiento muy a menudo. Este tipo de datos deberan documentarse en
instrucciones tcnicas y no en procedimientos.
El lenguaje debera ser lo ms claro posible, evitando modismos y jergas ininteligibles o que conduzcan a malas interpretaciones. El estilo debera ser conciso, sin
rebozos, lo cual facilita la comprensin del texto. El procedimiento, lo ms breve
posible para que sea sencillo de leer, comprender y, lo ms importante, de utilizar.
No hay ninguna regla respecto al nmero de procedimientos que deben crearse.
Adems, un control puede implementarse de diversas maneras. Habr, por ejemplo, controles que se implementarn con un documento como el inventario de
activos, y otros que lo harn con una medida tcnica (instalacin de un cortafuegos). Cuando la implementacin se efecte mediante un procedimiento, puede
aplicarse un procedimiento para cada control que se ha decidido implementar, pero
no es necesario. Tambin resulta til recoger en un mismo procedimiento varios
controles relacionados, por ejemplo, los relativos al control de accesos. Esta agrupacin facilita enormemente la implementacin de los controles y la gestin de la
documentacin, y en consecuencia hace ms sencilla la implementacin del sistema.
Por otro lado, dependiendo de la complejidad de la organizacin o de las actividades a tratar, tambin puede suceder que un control requiera ms de un procedimiento para implementarse.
Sealar de nuevo que lo propuesto por la Norma UNE-ISO/IEC 27002 es meramente informativo, puede utilizarse como referencia y punto de partida, pero los
procedimientos deben recoger el modo de ejecutar un control o varios, dependiendo del funcionamiento, estructura y cultura de la organizacin. En la medida
que el procedimiento refleje la realidad de la organizacin, o al menos la tenga en
cuenta al introducir los cambios, tendr ms xito la implementacin de los nuevos
modos de trabajo.
Es en este punto donde se hace ms notoria la necesidad de ajustar el sistema a la
organizacin. Los procedimientos son los documentos de trabajo que ms difusin
van a tener y que ms van a afectar al personal tras la poltica de seguridad. Por eso
es crucial que se perciban como herramientas de trabajo tiles y no como directrices alejadas de los modos habituales de trabajo. Para ello deben reunir todos los
requisitos mencionados, que sintetizaremos en dos palabras: claridad y realismo.
Un ejemplo de cmo realizar este documento puede consultarse en los apartados 8.7 y 8.8 de este libro.
88
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
4.9. Formacin
El personal afectado por el SGSI, y en la medida de lo posible, todo el personal de
la empresa, debe recibir formacin adecuada en seguridad de la informacin.
El personal es el elemento clave que permitir al SGSI funcionar o fracasar. Todo el
mundo ha de conocer su existencia, el motivo de la nueva situacin y los objetivos
que se persiguen al implementar los nuevos modos de trabajo o al formalizar los ya
existentes.
Cada grupo tendr unas necesidades especficas y no todo el mundo necesitar formacin en todos los aspectos del SGSI. Por eso, el plan de formacin deber
recoger distintas actuaciones en funcin de estas necesidades.
Los medios de comunicacin interna que ya existan en la organizacin (intranet,
paneles informativos, boletines, etc.) son muy tiles para difundir, por ejemplo, la
poltica de seguridad que debe llegar a toda la organizacin.
La formacin puede ser interna, por ejemplo, charlas del responsable de seguridad
para explicar qu es un SGSI, las causas de su implementacin y los principales
cambios que haya habido es una manera muy eficaz de informar a todos.
La asistencia o participacin de la direccin en las acciones formativas es una excelente oportunidad de demostrar su compromiso con el SGSI y su apoyo a la iniciativa.
89
4.12. Registros
Puestos en marcha los procedimientos, se generarn una serie de registros, que son
la prueba de que se han ejecutado.
Algunos de los principales registros son:
Actas del comit de seguridad.
Informe de la revisin por la direccin.
Informes de auditoras.
Registros de formacin.
Perfiles profesionales.
Acciones correctivas y preventivas.
Registros de copias de seguridad.
Registros de mantenimientos.
Registros de usuarios.
90
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
Los registros pueden estar en cualquier formato y soporte, pero debern permanecer controlados para que no se deterioren o pierdan. El nmero de registros
depender de qu procedimientos se encuentren en uso, su complejidad y las costumbres de la empresa.
La recomendacin es automatizar lo ms posible la produccin de registros para
evitar tener que generarlos manualmente, con el consiguiente consumo de recursos.
Proceso de certificacin
92
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
Para certificar un SGSI debe cumplir con los apartados 4 al 8 de la norma. La justificacin de este cumplimiento quedar recogida en los documentos correspondientes y
los registros de ciertas actividades, que, a modo de ejemplo, pueden ser los siguientes:
Apartados de la norma
Documento de soporte
0 Introduccin
1 Objeto y campo de aplicacin
2 Normas para consulta
3 Trminos y definiciones
4 Sistema de gestin de la seguridad de
la informacin
4.1 Requisitos generales
Poltica de seguridad
Poltica de seguridad
Inventario de activos
Anlisis de riesgos
Gestin de riesgos
Documento de aplicabilidad
(contina)
94
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
Apartados de la norma
Documento de soporte
Gestin de incidencias
Auditoras internas
Revisin por la direccin
Monitorizacin de objetivos
Acciones de mejora
Acciones preventivas y correctivas
Poltica de seguridad
Objetivos de seguridad
Procedimientos
Anlisis de riesgos
Gestin de riesgos
Registros
Documento de aplicabilidad
Procedimiento para el
control de la documentacin
Procedimiento para
el control de los registros
5 Responsabilidad de la direccin
5.1 Compromiso de la direccin
Planes de seguridad
Planes de formacin
Registros de formacin
(contina)
Apartados de la norma
Documento de soporte
Plan de auditoras
Informes de auditoras
Informe de revisin por la direccin
7.1 Generalidades
7.2 Datos iniciales de la revisin
7.3 Resultados de la revisin
8 Mejora del SGSI
8.1 Mejora continua
Acciones de mejora
Acciones correctivas
Acciones preventivas
95
0 Introduccin
Introduccin
UNE-ISO/IEC 27001:2007
0 Introduccin
0.1 Generalidades
0.1 Generalidades
0.3 Compatibilidad
con otros sistemas
de gestin
1 Objeto y campo de
aplicacin
1 Objeto y campo de
aplicacin
1.1 Generalidades
1.1 Generalidades
1.2 Aplicacin
1.2 Aplicacin
3 Trminos y definiciones
3 Trminos y definiciones
3 Trminos y definiciones
4 Sistema de gestin de
la calidad
4 Sistema de gestin de
la seguridad de la
informacin
(contina)
98
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
UNE-ISO/IEC 27001:2007
8.2.3 Seguimiento
y medicin de
los procesos
4.4 Implementacin y
operacin
4.2.2 Implementacin y
operacin del SGSI
4.5.1 Seguimiento y
medicin
4.2.3 Supervisin y
revisin del SGSI
4.2.4 Mantenimiento y
mejora del SGSI
8.2.4 Seguimiento
y medicin
del producto
4.2 Requisitos de la
documentacin
4.3 Requisitos de la
documentacin
4.2.1 Generalidades
4.3.1 Generalidades
4.2.2 Manual de
la calidad
4.2.3 Control de los
documentos
5 Responsabilidad
de la direccin
5 Responsabilidad
de la direccin
5.1 Compromiso
de la direccin
5.1 Compromiso
de la direccin
5.4 Planificacin
4.3 Planificacin
(contina)
7. Correspondencia entre las Normas UNE-EN ISO 9001:2008, UNE-EN ISO 14001:2004 y UNE-ISO/IEC 27001:2007
UNE-ISO/IEC 27001:2007
5.5 Responsabilidad,
autoridad y
comunicacin
6 Gestin de los recursos
5.2 Gestin de
los recursos
5.2.1 Provisin de
los recursos
4.4.2 Competencia,
formacin y toma
de conciencia
5.2.2 Concienciacin,
formacin y
capacitacin
6 Auditoras internas
del SGSI
6.3 Infraestructura
6.4 Ambiente de trabajo
5.6.1 Generalidades
7.1 Generalidades
5.6.2 Informacin
de entrada para
la revisin
5.6.3 Resultados de
la revisin
7.3 Resultados de
la revisin
8.5 Mejora
4.5.3 No conformidad,
accin correctiva
y accin preventiva
99
Caso prctico:
modelo de SGSI
102
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
103
8.1.3.1. Responsabilidades
En esta seccin se describiran las responsabilidades de los distintos roles en materia
de seguridad de la informacin que existen en una organizacin.
8.1.3.1.1. Direccin
Breve definicin de las responsabilidades de la direccin:
Proporcionar recursos al SGSI.
Aprobar los riesgos residuales.
Realizar la revisin por la direccin.
Etc.
104
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
8.1.3.1.5. Personal
Breve definicin de las responsabilidades del personal:
Cmo conocer y aplicar las directrices de la poltica de seguridad.
Notificar las incidencias de seguridad.
Etc.
105
Descripcin
Administracin
Alquiler y venta
Comercial
Captacin de clientes
Recursos Humanos
Descripcin
Categora
Ubicacin
Propietario
Aplicaciones
comerciales
Office, NominaPlus,
FacturaPlus, etc.
Aplicaciones
Servidor
Responsable
de informtica
Hardware
Responsable
de informtica
PC de los usuarios
Hardware
Oficinas
Responsable
de informtica
Datos de clientes
Datos
Servidor/Archivo
Director General
Datos de contabilidad
Datos
Servidor
Director financiero
Laboral
Datos de personal
Datos
Servidor
Director RRHH
Personal
Personal propio
de Cibercar
Personal
Oficinas
Director General
Servidor
Puestos
de usuario
Clientes
Contabilidad
106
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
Administracin
Alquiler
y venta
Comercial
Recursos
humanos
Aplicaciones
comerciales
Servidor
Puestos de usuario
Clientes
Contabilidad
Activos
Laboral
Personal
X
X
Confidencialidad
Integridad
Disponibilidad
Total
Aplicaciones
comerciales
Servidor
Puestos de usario
Clientes
12
Contabilidad
Laboral
11
Personal
107
Nivel de
amenaza
Vulnerabilidad
Nivel
de riesgo
Fuego
Robo
Error de
mantenimiento
21
Fallo de software
42
Fallo de
comunicaciones
14
Errores de usuario
28
Impacto
(valor del activo)
Nivel de
amenaza
Vulnerabilidad
Nivel
de riesgo
Fuego
27
Robo
54
Error de
mantenimiento
54
Fallo de software
Fallo de
comunicaciones
Errores de usuario
54
Amenaza
Servidor
Un ejemplo podra ser:
Amenaza
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
108
Puestos de usuario
Un ejemplo podra ser:
Impacto
(valor del activo)
Nivel de
amenaza
Vulnerabilidad
Nivel
de riesgo
Fuego
27
Robo
54
Error de
mantenimiento
54
Fallo de software
Fallo de
comunicaciones
Errores de usuario
54
Impacto
(valor del activo)
Nivel de
amenaza
Vulnerabilidad
Nivel
de riesgo
Fuego
12
12
Robo
12
48
Error de
mantenimiento
12
12
Fallo de software
12
12
Fallo de
comunicaciones
12
12
Errores de usuario
12
108
Impacto
(valor del activo)
Nivel de
amenaza
Vulnerabilidad
Nivel
de riesgo
Fuego
Robo
36
Error de
mantenimiento
Amenaza
Clientes
Un ejemplo podra ser:
Amenaza
Contabilidad
Un ejemplo podra ser:
Amenaza
(contina)
Impacto
(valor del activo)
Nivel de
amenaza
Vulnerabilidad
Nivel
de riesgo
Fallo de software
18
Fallo de
comunicaciones
18
Errores de usuario
81
Impacto
(valor del activo)
Nivel de
amenaza
Vulnerabilidad
Nivel
de riesgo
Fuego
11
11
Robo
11
44
Error de
mantenimiento
11
11
Fallo de software
11
22
Fallo de
comunicaciones
11
22
Errores de usuario
11
99
Impacto
(valor del activo)
Nivel de
amenaza
Vulnerabilidad
Nivel
de riesgo
Fuego
18
Robo
Error de
mantenimiento
Fallo de software
Fallo de
comunicaciones
Errores de usuario
36
Amenaza
Laboral
Un ejemplo podra ser:
Amenaza
Personal
Un ejemplo podra ser:
Amenaza
109
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
110
Riesgo
Tratamiento
Aplicaciones comerciales
42
Se asume el riesgo
Servidor
54
Se asume el riesgo
Puestos de usario
54
Se asume el riesgo
Clientes
108
Se asume el riesgo
Contabilidad
81
Se asume el riesgo
Laboral
99
Se asume el riesgo
Personal
44
Se asume el riesgo
El valor de riesgo aceptable en este caso se establecera en 50, por lo que se trataran
los que igualen o superen esta cifra y se asumiran los que estuvieran por debajo. De
todas formas, se aplicaran los controles mnimos establecidos por la norma.
Nivel de
amenaza
Vulnerabilidad
Riesgo
inicial
Riesgo
residual
Fuego
Robo
Error de
mantenimiento
21
14
Amenaza
(contina)
111
Impacto
(valor del activo)
Nivel de
amenaza
Vulnerabilidad
Riesgo
inicial
Riesgo
residual
Fallo de software
42
28
Fallo de
comunicaciones
14
14
Errores de usuario
28
14
Impacto
(valor del activo)
Nivel de
amenaza
Vulnerabilidad
Riesgo
inicial
Riesgo
residual
Fuego
27
18
Robo
54
36
Error de
mantenimiento
54
36
Fallo de software
Fallo de
comunicaciones
Errores de usuario
54
36
Impacto
(valor del activo)
Nivel de
amenaza
Vulnerabilidad
Riesgo
inicial
Riesgo
residual
Fuego
27
18
Robo
54
36
Error de
mantenimiento
54
36
Fallo de software
Fallo de
comunicaciones
Errores de usuario
54
36
Amenaza
Servidor
Un ejemplo podra ser:
Amenaza
Puestos de usuario
Un ejemplo podra ser:
Amenaza
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
112
Clientes
Un ejemplo podra ser:
Impacto
(valor del activo)
Nivel de
amenaza
Vulnerabilidad
Riesgo
inicial
Riesgo
residual
Fuego
12
12
12
Robo
12
48
24
Error de
mantenimiento
12
12
12
Fallo de software
12
12
12
Fallo de
comunicaciones
12
12
12
Errores de usuario
12
108
60
Impacto
(valor del activo)
Nivel de
amenaza
Vulnerabilidad
Riesgo
inicial
Riesgo
residual
Fuego
Robo
36
Error de
mantenimiento
Fallo de software
18
18
Fallo de
comunicaciones
18
18
Errores de usuario
81
54
Amenaza
Contabilidad
Un ejemplo podra ser:
Amenaza
113
Laboral
Un ejemplo podra ser:
Impacto
(valor del activo)
Nivel de
amenaza
Vulnerabilidad
Riesgo
inicial
Riesgo
residual
Fuego
11
11
11
Robo
11
44
11
Error de
mantenimiento
11
11
11
Fallo de software
11
22
22
Fallo de
comunicaciones
11
22
22
Errores de usuario
11
99
55
Impacto
(valor del activo)
Nivel de
amenaza
Vulnerabilidad
Riesgo
inicial
Riesgo
residual
Fuego
12
12
Robo
Error de
mantenimiento
Fallo de software
Fallo de
comunicaciones
Errores de usuario
24
12
Amenaza
Personal
Un ejemplo podra ser:
Amenaza
114
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
Objetivo
A.5
A.5.1
Estado
Justificacin
Poltica de seguridad
Poltica de
seguridad de la
informacin
A.6
A.6.1
Control
Aplicar
Exigido por
UNE/ISO-IEC 27001
Aplicar
Exigido por
UNE/ISO-IEC 27001
Organizacin
interna
6.1.1 Compromiso de la
Direccin con la seguridad
de la informacin
Aplicar
Exigido por
UNE/ISO-IEC 27001
6.1.2 Coordinacin de la
seguridad de la informacin
Aplicar
Exigido por
UNE/ISO-IEC 27001
6.1.3 Asignacin de
responsabilidades en seguridad de la informacin
Aplicar
Exigido por
UNE/ISO-IEC 27001
Aplicado
La autorizacin para la
compra e instalacin de
nuevos equipos o software
se gestiona mediante el
procedimiento de compras
6.1.5 Acuerdos de
confidencialidad
Aplicado
No
aplicar
Seccin
Objetivo
Control
Estado
Justificacin
Aplicado
No
aplicar
6.2.1 Identificacin de
riesgos relacionados
con terceras partes
No
aplicar
No
aplicar
No
aplicar
Aplicar
Exigido por
UNE/ISO-IEC 27001
Aplicar
Exigido por
UNE/ISO-IEC 27001
Aplicar
Aplicar
Exigido por
UNE/ISO-IEC 27001
Aplicar
Exigido por
UNE/ISO-IEC 27001
A.6.2
Organizacin
interna
Terceras partes
A.7
A.7.1
A.7.2
Gestin de activos
Responsabilidades
de los activos
Clasificacin de
la informacin
A.8
En el anlisis de riesgos
no se han detectado
amenazas en este sentido
Aplicado
Se controla la seleccin de
personal
Aplicado
Se documentan en los
contratos
115
Antes de la
contratacin
(contina)
116
Seccin
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
Objetivo
Control
A.8.3
Durante el empleo
Finalizacin o
cambio de empleo
En el anlisis de riesgos
no se han detectado
amenazas en este sentido
Aplicar
No
aplicar
En el anlisis de riesgos
no se han detectado
amenazas en este sentido
8.3.1 Responsabilidades
ante la finalizacin
No
aplicar
En el anlisis de riesgos
no se han detectado
amenazas en este sentido
Aplicado
Aplicado
A.9.1
Justificacin
No
aplicar
A.8.2
Estado
reas seguras
Aplicado
Aplicado
Aplicado
Aplicado
Seccin
Objetivo
Control
A.9.2
reas seguras
Seguridad de
los equipos
A.10
A.10.1
Estado
No
aplicar
117
Justificacin
No existen reas
consideradas seguras
Aplicado
Aplicado
Aplicado
Aplicado
La instalacin del
cableado es segura
Aplicado
Existe un mantenimiento
interno de los equipos
Aplicado
Cuentan con ID y
contrasea para acceder
a ellos
Aplicado
Aplicado
Existe un procedimiento
de autorizacin aunque
no est documentado
Procedimientos
operativos y
responsabilidades
Aplicar
Exigido por
UNE/ISO-IEC 27001
Aplicar
Aplicado
En circunstancias
aconsejables, los equipos
se encuentran aislados
del resto
No
aplicar
(contina)
118
Seccin
A.10.2
A.10.3
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
Objetivo
Gestin de
los servicios
suministrados
por terceros
Planificacin
y aceptacin
del sistema
A.10.4
Proteccin frente a
cdigo malicioso
y cdigo mvil
A.10.5
Copias de
seguridad
Control
Estado
Justificacin
No
aplicar
No
aplicar
No
aplicar
Aplicado
Se hara un estudio
peridico de las
necesidades presentes y
futuras de capacidad
del sistema informtico
Aplicado
Aplicado
Se dispone de sistemas
antivirus y anti spyware
No
aplicar
10.5.1 Respaldo de la
informacin
Aplicado
Aplicado
Cada departamento
dispondra de una firma
digital para usarla en
caso de transmisin de
informacin sensible
Gestin de
la seguridad
de la red
10.6.2 Servicios de seguridad
de redes
A.10.7
Gestin
de soportes
No
aplicar
Aplicar
Seccin
Objetivo
Control
A.10.7
A.10.8
A.10.9
Gestin
de soportes
Intercambio
de informacin
Servicios de
comercio
electrnico
Aplicado
Justificacin
Existiran trituradoras
de papel
10.7.3 Procedimientos de
tratamiento de la
informacin
Aplicar
10.7.4 Seguridad de la
documentacin
del sistema
No
aplicar
No se considera que la
aplicacin de este control
ayudara a reducir los
riesgos detectados
No
aplicar
No
aplicar
No se realizaran
intercambios
No
aplicar
No se extraeran soportes
con informacin relevante
fuera de las oficinas
Aplicar
No
aplicar
No
aplicar
No se realizara comercio
electrnico
No
aplicar
No se realizaran
transacciones en lnea
Aplicar
Aplicado
Aplicar
Estado
119
(contina)
120
Seccin
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
Objetivo
Control
Estado
Justificacin
10.10.3 Proteccin de la
informacin de log
Aplicar
Dado el resultado
del anlisis de riesgos,
se creera conveniente
aplicar este tipo de
control
No
aplicar
El tamao de la
organizacin hara que
este control no fuera
necesario
Aplicar
Dado el resultado
del anlisis de riesgos,
se creera conveniente
aplicar este tipo de
control
No
aplicar
A.10.10 Seguimiento
A.11
A.11.1
A.11.2
Control de accesos
Requisitos del
negocio para
el de accesos
Gestin
de accesos de
los usuarios
Aplicado
Aplicar
El movimiento de
alta y baja de usuarios
en los sistemas hara
indispensable este
control
Aplicar
Se asignaran permisos
a nivel del sistema
operativo
Aplicar
Aplicado
(contina)
Seccin
A.11.3
Objetivo
Responsabilidades
del usuario
Control
Control de
acceso a la red
Justificacin
Aplicar
Aplicar
Se considerara necesario
para evitar accesos
no autorizados
Aplicar
Se evitaran as
filtraciones de informacin
indeseadas
Aplicar
Dado el resultado
del anlisis de riesgos,
se creera conveniente
aplicar este tipo
de control
Aplicar
Dado el resultado
del anlisis de riesgos,
se creera conveniente
aplicar este tipo
de control
No
aplicar
Aplicado
No
aplicar
No
aplicar
11.4.7 Control de
reencaminamiento
de redes
No
aplicar
A.11.4
Estado
121
(contina)
122
Seccin
A.11.5
A.11.6
A.11.7
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
Objetivo
Control de acceso
a los sistemas
en operacin
Control
Estado
Justificacin
Aplicado
Se controlara que el
acceso a los sistemas de
informacin no muestre
informacin y se limitara el
nmero de intentos fallidos
11.5.2 Identificacin y
autenticacin de usuarios
Aplicado
Aplicar
Aplicar
Se restringira el uso de
estas utilidades.
No
aplicar
No
aplicar
Aplicado
No
aplicar
11.7.1 Comunicaciones e
informtica mvil
No
aplicar
11.7.2 Teletrabajo
No
aplicar
Control de acceso
a las aplicaciones
y la informacin
Informtica mvil
y teletrabajo
123
8.6.1. Objetivo
Descripcin de los objetivos del plan de tratamiento del riesgo.
8.6.2. Alcance
Definicin del periodo al que va afectar el plan de tratamiento del riesgo.
8.6.3. Responsabilidades
El responsable de seguridad se encargar de la ejecucin y supervisin de las distintas
actividades.
La direccin debera revisar y aprobar el plan y los objetivos marcados en el plan.
8.6.4. Tareas
Auditora interna
Auditora de certificacin
Mes 12
Mes 11
Mes 10
Mes 9
Mes 8
Mes 7
Mes 6
Mes 5
Mes 4
Mes 3
Actividades
Mes 2
ID
Mes 1
124
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
8.6.5. Seguimiento
Verificacin del cumplimiento del plan en el plazo acordado por el responsable de
seguridad. En el caso de que produzcan desviaciones, se deberan tomar las medidas oportunas para corregirlas y, en caso necesario, se debera actualizar el plan para
reflejar los cambios.
Mtrica
Frmula
Responsable
Frecuencia
de recogida
Fuente
Mejorar la
efectividad del
control de accesos
en un 5%
Porcentaje
de accesos
no autorizados
(Nmero de accesos
no autorizados /
Nmero total de
accesos) 100
Responsable
de sistemas
Trimestral
Registro
de accesos
Mejorar la
efectividad de
la formacin
en un 5%
Valoracin de
la formacin en
s del personal
Suma total de
valoraciones totales
de cada asistente /
Nmero de
asistencias
Responsable
de seguridad
Trimestral
Registros
de formacin
Porcentaje de
las incidencias
de seguridad
debidas a fallos
del usuario
(Nmero de
incidencias
de seguridad
debidas a fallos del
usuario / Nmero de
incidencias) 100
Responsable
de sistemas
Trimestral
Registros
de incidencias
Porcentaje de
los equipos
correctamente
mantenidos
(Nmero de equipos
que pasaron su
mantenimiento en
fecha / Nmero de
equipos totales de la
empresa) 100
Responsable
de sistemas
Trimestral
Registro de
mantenimientos
Porcentaje
de incidencias
debidas a
fallos de
mantenimiento
(Nmero de
incidencias
de seguridad
debidas a fallos
del mantenimiento /
Nmero de
incidencias) 100
Responsable
de sistemas
Trimestral
Registro
de incidencias
Mejorar la
efectividad de los
mantenimientos
en un 5%
(contina)
Frecuencia
de recogida
Indicador
Mtrica
Frmula
Responsable
Reducir un 5%
los ataques con
xito a los s
Porcentaje
de ataques
con xito
(Nmero de ataques
detectados /
Nmero de ataques
con impacto
en los s) 100
Responsable
de sistemas
Porcentaje de
incidencias por
ataques a los s
(Nmero de
incidencias
de seguridad
debidas a ataques /
Nmero de
incidencias) 100
Responsable
de sistemas
Trimestral
Porcentaje de
disponibilidad
(Nmero de horas
sin disponibilidad /
Nmero de horas
disponibilidad
necesaria) 100
Responsable
de sistemas
Trimestral
Mejorar la
disponibilidad
el 5%
Trimestral
125
Fuente
Registro
de incidencias
Registros
del sistema
Test de
intrusin
Monitorizacin
de los sistemas
Registros
del sistema
8.7.2. Alcance
Este procedimiento se debera aplicar a todos los servicios incluidos dentro del
alcance del sistema de gestin de seguridad de la informacin.
8.7.3. Responsabilidades
El responsable de seguridad debe definir e implementar un sistema de auditoras
internas que incluya la preparacin, realizacin, registro y seguimiento de las mismas.
Para programar su frecuencia de realizacin ha de tenerse en cuenta que se debe
126
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
auditar por completo el conjunto del SGSI cada tres aos. Lo ms recomendable
es hacer una anualmente.
El personal que realice la auditora no tendr en ningn caso responsabilidad
directa sobre el rea a auditar.
8.7.4. Desarrollo
La manera de llevar a cabo las tareas objeto de este procedimiento son detalladas a
continuacin.
127
128
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
El cierre de la accin correctiva/preventiva se realizar una vez que, tanto el responsable del rea afectada como los auditores internos, hayan comprobado su efectividad. En el apartado correspondiente del impreso de la accin correctora, se dejar
constancia de dichas comprobaciones con lo que se considerar la accin
correctiva/preventiva cerrada.
8.7.6. Referencias
Los documentos de referencia para la realizacin de este procedimiento son:
Norma UNE-ISO/IEC 27001.
Norma UNE-ISO/IEC 17799.
Poltica de seguridad.
Procedimientos de seguridad.
Objetivos de seguridad.
Acciones correctivas y preventivas.
Resultados de otras auditoras: anteriores auditoras internas y externas del
SGSI, auditoras de la LOPD, tests de intrusin, etc.
Revisin del sistema de gestin.
8.7.7. Anexos
Lista de comprobacin de auditora (vase la figura 8.1).
Informe de auditora (vase la figura 8.2).
Plan de auditoras internas (vase la figura 8.3).
Departamento
Fecha
Cuestiones a aplicar:
Verificacin del cumplimiento de las no conformidades detectadas en anteriores auditoras.
Revisin de documentacin existente en el puesto.
Cumplimiento del procedimiento (el que aplique al departamento).
Verificacin de registros.
Cambios en la estructura y funcionamiento del departamento.
Observaciones
Auditor Jefe
Dpto. afectado
Fecha
Fecha
129
130
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
Fecha auditora
Nmero auditora
Auditor
Grupo auditor
Hallazgos detectados:
Requisito
de la norma
No
conformidad
Hallazgos
Comentarios
Nombre
Elaborado por
Nombre
Revisa y aprueba
Fecha
Fecha
Firma
Firma
Observacin
N.o
Departamento/Seccin
Fecha prevista
131
Auditores
132
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
8.8.2. Alcance
Debera estar dirigida a todos los equipos de proceso de informacin que realizan
copias de seguridad de la informacin principal.
8.8.3. Responsabilidades
Responsable
Administrador
del sistema
Actividades
Se deberan definir:
Todos los mecanismos necesarios para la correcta realizacin
de las copias de respaldo y recuperacin.
La realizacin de dichas copias segn la normativa que ellos
mismos hayan definido.
8.8.5. Procedimiento
Para asegurar que las copias de respaldo y recuperacin son realizadas correctamente segn la normativa vigente y las definiciones establecidas por el administrador, se deberan establecer las siguientes medidas:
133
Las copias de seguridad se deberan realizar peridicamente volcando la informacin desde el servidor a un DVD que se debera almacenar de manera adecuada, en
un sitio protegido y controlado por el responsable correspondiente.
En el caso de que la informacin a guardar tuviera datos extremadamente confidenciales, sta debera ser almacenada en una segunda ubicacin diferente a la del
fichero principal haciendo para ello distintas copias y guardndolas en distintos
sitios bajo tutela del responsable correspondiente.
Si se produjeran fallos en la realizacin de la copia de respaldo, se deber proceder a
realizarla de nuevo, bien de manera manual o bien automtica con un nuevo soporte.
134
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
8.8.7. Referencias
Poltica de seguridad.
UNE-ISO/IEC 17799.
Manuales de funcionamiento y uso de los equipos electrnicos.
Ley Orgnica de Proteccin de Datos.
8.8.8. Anexos
Registro de copias de seguridad (vase la figura 8.4).
Hora:
___ : ___
Soporte
Almacenamiento
Medio
Responsable
Lugar
Autorizacin
Persona responsable
de la copia
Persona que autoriza
Observaciones
Firmas
135
Comprender el
Esquema Nacional
de Seguridad (ENS)
138
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
Requisito
UNE-ISO/IEC 27001
11
Poltica de seguridad
4.2.1.b)
12
Compromiso de la direccin
5.1.c) d)
Evaluacin de riesgos
4.2.1.c) d) e)
13.3
Gestin de riesgos
4.2.1.f) g)
27.1
Documento de aplicabilidad
4.2.1.g)
14 - 15
Formacin
5.2.2
34.1
Auditoras
4.2.3.e) - 6
26
Mejora continua
8.1
13.1
13.2
139
sistemas de informacin y su entorno estn en constante cambio, es necesario mantener la evaluacin de los riesgos actualizada.
Prevencin, reaccin y recuperacin. Establecer medidas de seguridad de distinto tipo es fundamental para conseguir el objetivo de seguridad integral.
Evidentemente, el primer paso para evitar problemas de seguridad es contar
con medidas preventivas (como por ejemplo, la instalacin de un antivirus
como medida de prevencin contra infecciones o el uso de sistemas de
autenticacin para evitar accesos no autorizados). Sin embargo, a pesar del
cuidado que se ponga, los incidentes pueden suceder, por lo que es necesario
contar con medidas que permitan reaccionar adecuadamente y minimizar los
daos (por ejemplo, el uso de un sistema de monitorizacin de la red alertar a los administradores si se produce un acceso no autorizado, y permitir
tomar acciones para limitar el dao o incluso evitarlo). Asimismo, deben
existir medios para recuperarse de los daos ocasionados por un incidente.
Si, por ejemplo, la intrusin ha ocasionado la eliminacin de un documento,
se debera contar con una copia de seguridad que permita recuperar los
datos.
Lneas de defensa. El conjunto de medidas de seguridad elegidas tienen que
estar implementadas de modo que los sistemas de informacin cuenten con
distintos niveles de proteccin, de manera que un incidente vaya encontrando dificultades que le impidan hacer todo el dao del que seran capaces
(por ejemplo, para impedir accesos no autorizados a un servidor, se tendr
un recinto en el que se ubique y donde el acceso al mismo est controlado
con un registro de entradas y salidas, un mecanismo de autenticacin del
acceso, tiempos limitados de conexin, un protocolo de actuacin para
cerrar aquellos puertos que sean necesarios o cerrar segmentos de red, etc.).
Este enfoque est alineado con el objetivo de contar con una gestin de la
seguridad integral, y con tener distintos tipos de medidas de seguridad.
Reevaluacin peridica. Para mantener constante un nivel de seguridad
aceptable es necesario revisar continuamente que el nivel de riesgo no ha
variado y que las medidas de seguridad aplicadas funcionan segn lo esperado. Hay que realizar una revisin peridica de estos aspectos para ir
haciendo los ajustes necesarios y contar en todo momento con las medidas
de seguridad adecuadas y proporcionales a los sistemas de informacin y a
su entorno.
Funcin diferenciada. La gestin de la seguridad de la informacin es una
tarea en la que estn involucradas muchas personas que, dependiendo de su
perfil y funciones, tienen distintas prioridades. Para no comprometer la seguridad, el ENS ha definido como principio bsico que los responsables de la
140
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
141
9.3.4. Profesionalidad
Las tareas que implica la gestin de la seguridad sern realizadas por personal cualificado para ello, que debern contemplar en ellas todo el ciclo de vida de los sistemas, desde su compra e instalacin inicial hasta su retirada, pasando por su mantenimiento. Para ello, es importante que se reciba la formacin necesaria que permita
realizar su labor de manera segura.
Cuando se contraten servicios de seguridad externos, se deber acreditar que dichos
servicios tienen el nivel de seguridad requerido por los sistemas de la entidad.
142
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
143
144
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
145
146
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
147
9.4.6. Actualizacin
Es un aspecto que ya se ha tratado anteriormente y en el que se insiste en este captulo. El sistema de seguridad debe estar permanentemente actualizado, mejorndolo con el tiempo para responder a los cambios en los servicios de administracin
electrnica, la evolucin tecnolgica, y los nuevos estndares internacionales sobre
seguridad y auditora en los sistemas y tecnologas de la informacin.
148
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
de los servicios. Esta categora determinar las medidas que haya que aplicar al sistema, y por lo tanto, el esfuerzo que habra que dedicar a la seguridad del mismo.
El responsable de cada informacin o servicio es quien debe realizar las valoracin
del impacto de un incidente en la disponibilidad, autenticidad, integridad, confidencialidad o trazabilidad de ese activo, y mantenerlas actualizadas.
El responsable del sistema es quien debe asignar la categora al mismo.
9.4.8. Formacin
Ningn sistema de gestin puede funcionar si no se cuenta con el personal adecuadamente formado y concienciado. En este caso, es particularmente esencial, ya que
las personas son un activo importante de los sistemas y una fuente de riesgos
importante. El ENS requiere que el personal reciba la formacin necesaria que
garantice su cumplimiento.
10
150
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
151
152
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
ciada PILAR, cumplen este requisito dado que est recogida en el inventario
de la European Network and information Security Agency (ENISA). El alto
grado de implementacin de MAGERIT y PILAR en la Administracin
Pblica espaola, junto con el coste nulo que suponen, hacen que sean la
eleccin habitual a la hora de decidir la herramienta a utilizar.
Insuficiencias del sistema. Se realizar un anlisis de los requisitos que no se
estn cumpliendo, como punto de partida para la definicin del plan de
mejora. Estas insuficiencias pueden venir de desviaciones respecto a los distintos artculos del Real Decreto 3/2010, incumplimientos de las medidas de
seguridad, tal y como se definen en el anexo II, o incumplimientos de los
requisitos exigidos por el Real Decreto 1720/2007 para los datos de carcter
personal tratados por el sistema.
Plan de mejora seguridad, incluyendo plazos estimados de ejecucin. Se
determinarn las acciones a tomar para eliminar o subsanar las insuficiencias
detectadas y se planificar su ejecucin, indicando los plazos previstos de ejecucin, los hitos del proyecto y la estimacin de costes.
Una vez elaborado y aprobado el plan de adecuacin, la entidad puede publicar su
declaracin de conformidad en la sede electrnica, as como otros certificados de
accesibilidad, interoperabilidad, menciones de calidad de cualquiera de las Administraciones Pblicas (estatal, autonmica y local), de organizaciones internacionales o de organismos privados. Esta declaracin ha de ir firmada por el titular del
organismo emisor de la declaracin de conformidad, que ha de identificarse con su
nombre completo y cargo que desempea.
10.2.1. Planificacin
La planificacin es la realizacin del plan de adecuacin.
153
10.2.2. Implementacin
Partiendo del plan de mejora y de la declaracin de aplicabilidad, se desarrollar la
normativa de seguridad, es decir, aquellos procedimientos necesarios para implementar todos los requisitos que hacen falta para cumplir con los requisitos del ENS.
Estos procedimientos detallarn las distintas tareas, los responsables de su ejecucin y supervisin, as como los mecanismos para identificar y resolver los comportamientos anmalos.
Puede ser necesario desarrollar tambin instrucciones de trabajo y documentos
modelo que permitan registrar las operaciones descritas en los procedimientos, as
como controlar la resolucin de las incidencias.
154
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
155
11
Ejemplo prctico:
plan de adecuacin
158
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
159
Tipo de
Activo
Responsable
Activos
Categora
Sede electrnica
Portal web
Informacin
Secretara
general
Informacin
de la sede
Servicios
Responsable
TIC
Portal de sede
Consultas y notificaciones
Informacin
Responsable
del servicio
Expedientes
administrativos
Servicios
Responsable
TIC
Consultas
Notificaciones
Registro electrnico
Informacin
Secretara
general
Datos del
registro
Servicios
Responsable
TIC
Registro
general
Tabln oficial
Informacin
Secretara
general
Informacin
del tabln
Servicios
Responsable
TIC
Plataforma
del tabln
160
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
Portal de la sede
Consultas
Notificaciones
Registro General
Informacin de la sede
Expedientes administrativos
Servidor de datos
Servidor de aplicaciones
Puestos de usuario
Servicios
Informacin
[HW] Hardware
(contina)
(continuacin)
Aplicacin de gestin
Gestin de BD Oracle
Ofimtica
Sede central
CPD alternativo
Personal propio
Personal subcontratado
Red de comunicaciones
161
[SW] Software
[I] Instalaciones
[PE] Personal
162
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
Nivel de
madurez
Marco organizativo
40%
Poltica de seguridad
50%
Normativa de seguridad
50%
Procedimientos de seguridad
50%
Proceso de autorizacin
10%
Marco operacional
43%
Planificacin
40%
Control de acceso
56%
Explotacin
58%
Servicios externos
63%
10%
30%
Medidas de proteccin
44%
70%
43%
37%
37%
18%
50%
Proteccin de la informacin
48%
50%
163
Actual
Activo
[D]
[I]
[C]
[A]
[T]
Portal de la sede
1,9
1,5
1,9
1,5
Consultas
3,6
3,3
1,9
3,3
Notificaciones
3,6
5,1
3,6
3,3
1,9
[D]
[I]
[C]
[A]
[T]
0,9
0,8
2,8
2,5
2,5
1,4
2,5
3,3
2,8
2,5
4,2
3,1
2,5
1,9
3,3
2,8
4,8
2,5
1,4
2,5
1,5
1,9
1,5
0,9
0,9
1,4
0,9
0,8
1,5
1,9
1,5
0,8
1,1
1,5
1,4
0,9
Expedientes administrativos
2,8
3,3
3,6
3,3
2,8
2,2
2,8
3,3
3,2
2,5
2,8
3,3
3,6
3,3
2,8
2,2
2,8
3,3
3,2
2,5
1,5
1,9
1,5
0,8
1,1
1,5
1,4
0,9
Servidor de datos
5,1
3,8
3,3
4,2
2,9
2,5
Servidor de aplicaciones
5,1
3,8
3,3
4,2
2,9
2,5
Puestos de usuario
3,3
2,1
3,3
2,4
1,1
2,5
Red de comunicaciones
5,1
3,8
3,3
4,1
3,1
2,3
Aplicacin de gestin
5,1
5,7
4,5
3,9
3,4
4,3
4,7
3,7
3,4
2,9
Gestin de DB Oracle
5,1
5,7
4,5
3,9
3,4
4,3
4,7
3,7
3,4
2,9
Ofimtica
3,3
3,9
3,9
3,3
2,8
2,6
2,9
3,1
2,8
2,3
2,5
2,8
2,8
1,7
1,8
1,8
2,8
2,8
2,2
1,8
1,8
Personal propio
2,5
2,9
1,9
1,7
2,6
Personal subcontratado
2,5
2,9
1,8
1,6
2,6
[SE] Servicios
Registro general
Plataforma del tabln oficial
[IN] Informacin
Informacin de la sede electrnica
[SW] Software
[L] Instalaciones
Sede central
CPD alternativo
[P] Personal
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
164
Tipo de
medida
Medida
de seguridad
Estado
nivel medio
Estado
nivel alto
org
Marco organizativo
categora
org.1
Poltica de seguridad
Aplica
Aplica
categora
org.2
Normativa de seguridad
Aplica
Aplica
categora
org.3
Procedimientos de seguridad
Aplica
Aplica
categora
org.4
Proceso de autorizacin
Aplica
Aplica
op
Marco operacional
op.pl
Planificacin
op.pl.1
Anlisis de riesgos
Aplica
Aplica
categora
(contina)
Tipo de
medida
Medida
de seguridad
165
(continuacin)
Estado
nivel medio
Estado
nivel alto
categora
op.pl.2
Arquitectura de seguridad
Aplica
Aplica
categora
op.pl.3
Aplica
Aplica
op.pl.4
Dimensionamiento/Gestin de capacidades
Aplica
Aplica
categora
op.pl.5
Componentes certificados
n.a.
Aplica
op.acc
Control de acceso
AT
op.acc.1
Identificacin
Aplica
Aplica
ICAT
op.acc.2
Requisitos de acceso
Aplica
Aplica
ICAT
op.acc.3
Aplica
Aplica
ICAT
op.acc.4
Aplica
Aplica
ICAT
op.acc.5
Mecanismo de autenticacin
Aplica
Aplica
ICAT
op.acc.6
Aplica
Aplica
ICAT
op.acc.7
Aplica
Aplica
op.exp
Explotacin
categora
op.exp.1
Inventario de activos
Aplica
Aplica
categora
op.exp.2
Configuracin de seguridad
Aplica
Aplica
categora
op.exp.3
Gestin de la configuracin
Aplica
Aplica
categora
op.exp.4
Mantenimiento
Aplica
Aplica
categora
op.exp.5
Gestin de cambios
Aplica
Aplica
categora
op.exp.6
Aplica
Aplica
categora
op.exp.7
Gestin de incidencias
Aplica
Aplica
op.exp.8
n.a.
Aplica
categora
op.exp.9
Aplica
Aplica
op.exp.10
n.a.
Aplica
categora
op.exp.11
Aplica
Aplica
op.ext
Servicios externos
categora
op.ext.1
Aplica
Aplica
categora
op.ext.2
Gestin diaria
Aplica
Aplica
op.ext.9
Medios alternativos
n.a.
Aplica
(contina)
166
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
Tipo de
medida
(continuacin)
Medida
de seguridad
Estado
nivel medio
Estado
nivel alto
op.cont
op.cont.1
Anlisis de impacto
Aplica
Aplica
op.cont.2
Plan de continuidad
n.a.
Aplica
op.cont.3
Pruebas peridicas
n.a.
Aplica
op.mon
categora
op.mon.1
Deteccin de intrusin
n.a.
Aplica
categora
op.mon.2
Sistema de mtricas
Aplica
Aplica
mp
Medidas de proteccin
mp.if
categora
mp.if.1
Aplica
Aplica
categora
mp.if.2
Aplica
Aplica
categora
mp.if.3
Aplica
Aplica
mp.if.4
Energa elctrica
Aplica
Aplica
mp.if.5
Aplica
Aplica
mp.if.6
Aplica
Aplica
categora
mp.if.7
Aplica
Aplica
mp.if.9
Instalaciones alternativas
Aplica
Aplica
mp.per
categora
mp.per.1
Aplica
Aplica
categora
mp.per.2
Deberes y obligaciones
Aplica
Aplica
categora
mp.per.3
Concienciacin
Aplica
Aplica
categora
mp.per.4
Formacin
Aplica
Aplica
mp.per.9
Personal alternativo
Aplica
Aplica
mp.eq
categora
mp.eq.1
Aplica
Aplica
mp.eq.2
Aplica
Aplica
categora
mp.eq.3
Aplica
Aplica
mp.eq.9
Medios alternativos
Aplica
Aplica
(contina)
Tipo de
medida
167
(continuacin)
Medida
de seguridad
Estado
nivel medio
Estado
nivel alto
mp.com
categora
mp.com.1
Permetro seguro
Aplica
Aplica
mp.com.2
Proteccin de la confidencialidad
Aplica
Aplica
IA
mp.com.3
Aplica
Aplica
categora
mp.com.4
Segregacin de redes
n.a.
Aplica
mp.com.9
Medios alternativos
n.a.
Aplica
mp.si
mp.si.1
Etiquetado
Aplica
Aplica
IC
mp.si.2
Criptografa
Aplica
Aplica
categora
mp.si.3
Custodia
Aplica
Aplica
categora
mp.si.4
Transporte
Aplica
Aplica
mp.si.5
Borrado y destruccin
Aplica
Aplica
mp.sw
categora
mp.sw.1
Desarrollo
Aplica
Aplica
categora
mp.sw.2
Aplica
Aplica
mp.info
Proteccin de la informacin
categora
mp.info.1
Aplica
Aplica
mp.info.2
Calificacin de la informacin
Aplica
Aplica
mp.info.3
Cifrado
n.a.
Aplica
IA
mp.info.4
Firma electrnica
Aplica
Aplica
mp.info.5
Sellos de tiempo
n.a.
Aplica
mp.info.6
Limpieza de documentos
Aplica
Aplica
mp.info.9
Aplica
Aplica
mp.s
categora
mp.s.1
Aplica
Aplica
categora
mp.s.2
Aplica
Aplica
mp.s.8
Aplica
Aplica
mp.s.9
Medios alternativos
n.a.
Aplica
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
168
ID
Acciones
1.er
semestre
2012
2.
semestre
2012
1.er
semestre
2013
2.
semestre
2013
1.er
semestre
2014
ID
Acciones
1.er
semestre
2012
169
(continuacin)
2.
semestre
2012
1.er
semestre
2013
2.
semestre
2013
1.er
semestre
2014
Bibliografa
Normas de referencia
Norma UNE- ISO/IEC 27000 Tecnologa de la informacin. Tcnicas de seguridad.
Sistemas de Gestin de la Seguridad de la Informacin (SGSI). Visin de conjunto y
vocabulario.
La aplicacin de cualquier norma necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos tcnicos y de gestin.
Norma UNE-ISO/IEC 27001 Tecnologa de la informacin. Tcnicas de seguridad.
Sistemas de Gestin de la Seguridad de la Informacin (SGSI). Requisitos.
En ella se recogen los requisitos para establecer, implementar, documentar y
evaluar un SGSI. Es la norma sobre la que se desarrolla el sistema y la que permite obtener la certificacin del mismo por parte de un organismo certificador
independiente. La certificacin del sistema de gestin contribuye a fomentar las
actividades de proteccin de la informacin en las organizaciones, mejorando
su imagen y generando confianza frente a terceros. En su anexo A, enumera los
objetivos de control y controles que desarrolla la UNE-ISO/IEC 27002 para
que sean seleccionados por las organizaciones en el desarrollo de sus SGSI, estableciendo as formalmente el nexo de unin entre las dos normas.
Norma UNE-ISO/IEC 27002 Tecnologa de la informacin. Tcnicas de seguridad.
Cdigo de buenas prcticas para la gestin de la seguridad de la informacin.
Esta norma ofrece recomendaciones para realizar la gestin de la seguridad de
la informacin que pueden utilizarse por los responsables de iniciar, implementar o mantener la seguridad en una organizacin. Persigue proporcionar una
172
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
base comn para desarrollar normas de seguridad y constituir una prctica eficaz de la gestin. Esta norma no es certificable.
Norma ISO/IEC 27003 Information technology Information security management
system implementation guidance.
Es una gua de implementacin de un SGSI basado en la Norma ISO/IEC
27001 e informacin acerca del uso del modelo PDCA y de los requerimientos
de sus diferentes fases.
Norma ISO/IEC 27004 Information technology Information security management
Measurement.
Especifica las mtricas y las tcnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados. Estas mtricas se usan fundamentalmente para la medicin de los componentes de la fase Do (implementar
y utilizar) del ciclo PDCA.
Norma ISO/IEC 27005 Information technology Information security risk management.
Consiste en una gua de tcnicas para la gestin del riesgo de la seguridad de la
informacin y servir, por tanto, de apoyo a la Norma UNE-ISO/IEC 27001 y
a la implementacin de un SGSI. Recoge partes de ISO/IEC TR 13335.
Norma ISO/IEC 27006 Information technology Requirements for bodies providing audit and certification of information security management systems.
Especifica los requisitos para la acreditacin de entidades de auditora y certificacin de sistemas de gestin de seguridad de la informacin.
Norma ISO/IEC 27007 Information technology Guidelines for information security management systems auditing.
En fase de desarrollo. Consistir en una gua para realizar una auditora a un
SGSI.
Norma ISO/IEC 27011 Information technology Information security management
guidelines for telecommunications organizations based on ISO/IEC 27002.
Es una gua de gestin de seguridad de la informacin especfica para telecomunicaciones, elaborada a partir de una Recomendacin de la UIT (Unin Internacional de Telecomunicaciones).
Bibliografa
173
174
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
Legislacin
Ley 11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a los Servicios Pblicos. Su objeto es establecer la poltica de seguridad en la utilizacin de
medios electrnicos, y est constituido por principios bsicos y requisitos mnimos que permitan una proteccin adecuada de la informacin.
Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de
Seguridad en el mbito de la Administracin Electrnica.
Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de
Interoperabilidad en el mbito de la Administracin Electrnica.
Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter
Personal.
Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento
de desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre, de proteccin de
datos de carcter personal.
Otros documentos
CCN-STIC-201 Estructura de seguridad. Enero 2009.
CCN-STIC-402 Organizacin y gestin TIC. Diciembre 2006.
CCN-STIC-801 Responsabilidades en el Esquema Nacional de Seguridad. Febrero
2010.
CCN-STIC-802 Auditora del Esquema Nacional de Seguridad. Junio 2010.
CCN-STIC-803 Valoracin de sistemas en el Esquema Nacional de Seguridad.
Enero 2011.
CCN-STIC-804 Medidas de implantacin del Esquema Nacional de Seguridad
(borrador). Octubre 2011.
CCN-STIC-805 Poltica de seguridad del Esquema Nacional de Seguridad. Septiembre 2011.
CCN-STIC-806 Plan de adecuacin del Esquema Nacional de Seguridad. Enero
2011.
CCN-STIC-807 Criptologa de empleo en el Esquema Nacional de Seguridad.
Septiembre 2011.
Bibliografa
175
176
Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes
Links de inters
Asociacin Espaola de Normalizacin (AENOR).
www.aenor.es
European Network and Information Security Agency (ENISA).
www.enisa.europa.eu
Instituto Nacional de Tecnologas de la Comunicacin (INTECO).
www.inteco.es
ISMS Forum Spain. Asociacin Espaola para el Fomento de la Seguridad de
la Informacin.
www.ismsforum.es
MAGERIT versin 2. Metodologa de Anlisis y Gestin de Riesgos de los
Sistemas de Informacin.
www.csi.map.es/csi/pg5m20.htm
Esquema Nacional de Seguridad
https://www.ccn-cert.cni.es
http://administracionelectronica.gob.es/?_nfpb=true&_pageLabel=P4002281
273766578416&langPae=es
Esquema Nacional de Interoperabilidad
http://administracionelectronica.gob.es/?_nfpb=true&_pageLabel=P4001281
273739471793&langPae=es
National Institute of Standards and Technology (NIST).
An Introduction to Computer Security: The NIST Handbook
http://csrc.nist.gov/publications
RED.ES. Documentos emitidos por RED.ES.
www.red.es
START UP. Empresa consultora especializada en diseo e implementacin de
sistemas de gestin de seguridad de la informacin.
www.seguridadinformacion.com
QRUPD
HVSDxROD
81(,62,(&
1RYLHPEUH
778/2
7HFQRORJtDGHODLQIRUPDFLyQ
7pFQLFDVGHVHJXULGDG
6LVWHPDVGH*HVWLyQGHOD6HJXULGDGGHOD,QIRUPDFLyQ6*6,
5HTXLVLWRV
,62,(&
&255(6321'(1&,$
(VWDQRUPDHVLGpQWLFDDOD1RUPD,QWHUQDFLRQDO,62,(&
(VWDQRUPDDQXODUi\VXVWLWXLUiDOD1RUPD81(HO
2%6(59$&,21(6
$17(&('(17(6
(VWD QRUPD KD VLGR HODERUDGD SRU HO FRPLWp WpFQLFR $(1&71 7HFQRORJtD GH OD
,QIRUPDFLyQFX\D6HFUHWDUtDGHVHPSHxD$(7,&
(GLWDGDHLPSUHVDSRU$(125
'HSyVLWROHJDO0
/$62%6(59$&,21(6$(67('2&80(172+$1'(',5,*,56($
$(125
5HSURGXFFLyQSURKLELGD
&*pQRYD
0$'5,'(VSDxD
7HOpIRQR
)D[
3iJLQDV
*UXSR
,62,(&
1',&(
3iJLQD
35/2*2
,1752'8&&,1
*HQHUDOLGDGHV
(QIRTXHSRUSURFHVR
&RPSDWLELOLGDGFRQRWURVVLVWHPDVGHJHVWLyQ
2%-(72<&$032'($3/,&$&,1
*HQHUDOLGDGHV
$SOLFDFLyQ
1250$63$5$&2168/7$
7e50,126<'(),1,&,21(6
6,67(0$'(*(67,1'(/$6(*85,'$''(/$,1)250$&,1
5HTXLVLWRVJHQHUDOHV
&UHDFLyQ\JHVWLyQGHO6*6,
&UHDFLyQGHO6*6,
,PSOHPHQWDFLyQ\RSHUDFLyQGHO6*6,
6XSHUYLVLyQ\UHYLVLyQGHO6*6,
0DQWHQLPLHQWR\PHMRUDGHO6*6,
5HTXLVLWRVGHODGRFXPHQWDFLyQ
*HQHUDOLGDGHV
&RQWUROGHGRFXPHQWRV
&RQWUROGHUHJLVWURV
5(63216$%,/,'$''(/$',5(&&,1
&RPSURPLVRGHODGLUHFFLyQ
*HVWLyQGHORVUHFXUVRV
3URYLVLyQGHORVUHFXUVRV
&RQFLHQFLDFLyQIRUPDFLyQ\FDSDFLWDFLyQ
$8',725$6,17(51$6'(/6*6,
5(9,6,1'(/6*6,325/$',5(&&,1
*HQHUDOLGDGHV
'DWRVLQLFLDOHVGHODUHYLVLyQ
5HVXOWDGRVGHODUHYLVLyQ
0(-25$'(/6*6,
0HMRUDFRQWLQXD
$FFLyQFRUUHFWLYD
$FFLyQSUHYHQWLYD
$1(;2$1RUPDWLYR 2%-(7,926'(&21752/<&21752/(6
$1(;2%,QIRUPDWLYR /2635,1&,3,26'(/$2&'(<(67$
1250$,17(51$&,21$/
$1(;2&,QIRUPDWLYR &255(6321'(1&,$(175(/$61250$6,62
,62<(67$1250$,17(51$&,21$/
%,%/,2*5$)$
,62,(&
35/2*2
,62 2UJDQL]DFLyQ ,QWHUQDFLRQDO GH 1RUPDOL]DFLyQ H ,(& &RPLVLyQ (OHFWURWpFQLFD ,QWHUQDFLRQDO
FRQVWLWX\HQ HO VLVWHPD HVSHFLDOL]DGR SDUD OD QRUPDOL]DFLyQ D QLYHO PXQGLDO /RV RUJDQLVPRV QDFLRQDOHV
TXH VRQ PLHPEURV GH ,62 R ,(& SDUWLFLSDQ HQ HO GHVDUUROOR GH ODV QRUPDV LQWHUQDFLRQDOHV D WUDYpV GH
FRPLWpVWpFQLFRVHVWDEOHFLGRVSRUODVRUJDQL]DFLRQHVUHVSHFWLYDVSDUDUHDOL]DUDFXHUGRVHQFDPSRVHVSHFt
ILFRV GH OD DFWLYLGDG WpFQLFD /RV FRPLWpV WpFQLFRV GH ,62 H ,(& FRODERUDQ HQ ORV FDPSRV GH LQWHUpV
PXWXR 2WUDV RUJDQL]DFLRQHV LQWHUQDFLRQDOHV JXEHUQDPHQWDOHV \ QR JXEHUQDPHQWDOHV HQ FRODERUDFLyQ
FRQ,62H,(&WDPELpQWRPDQSDUWHHQHOWUDEDMR(QHOFDPSRGHODWHFQRORJtDGHODLQIRUPDFLyQ,62H
,(&KDQHVWDEOHFLGRXQFRPLWpWpFQLFRFRQMXQWRHOGHQRPLQDGR,62,(&-7&
/DV QRUPDV LQWHUQDFLRQDOHV VH UHGDFWDQ GH DFXHUGR FRQ ODV UHJODV HVWDEOHFLGDV HQ OD 3DUWH GH ODV
'LUHFWLYDV,62,(&
/DWDUHDSULQFLSDOGHORVFRPLWpVWpFQLFRVHVHODERUDUQRUPDVLQWHUQDFLRQDOHV/RVSUR\HFWRVGHQRUPDV
LQWHUQDFLRQDOHVDGRSWDGRVSRUORVFRPLWpVWpFQLFRVVHHQYtDQDORVRUJDQLVPRVQDFLRQDOHVPLHPEURVSDUD
VX YRWR /D SXEOLFDFLyQ FRPR QRUPD LQWHUQDFLRQDO UHTXLHUH OD DSUREDFLyQ GH DO PHQRV HO GH ORV
RUJDQLVPRVQDFLRQDOHVPLHPEURVFRQGHUHFKRDYRWR
6H OODPD OD DWHQFLyQ VREUH OD SRVLELOLGDG GH TXH DOJXQRV GH ORV HOHPHQWRV GH HVWD QRUPD LQWHUQDFLRQDO
SXHGDQHVWDUVXMHWRVDGHUHFKRVGHSDWHQWH,62H,(&QRDVXPHQODUHVSRQVDELOLGDGGHODLGHQWLILFDFLyQ
GHGLFKRVGHUHFKRVGHSDWHQWH
/D1RUPD,62,(&KDVLGRHODERUDGDSRUHOVXEFRPLWp6&7pFQLFDVGHVHJXULGDGTXHIRUPD
SDUWHGHOFRPLWpWpFQLFRFRQMXQWR,62,(&-7&7HFQRORJtDVGHODLQIRUPDFLyQ
,62,(&
,1752'8&&,1
*HQHUDOLGDGHV
(VWD QRUPD LQWHUQDFLRQDO SURSRUFLRQD XQ PRGHOR SDUD OD FUHDFLyQ LPSOHPHQWDFLyQ RSHUDFLyQ VXSHUYLVLyQ UHYLVLyQ
PDQWHQLPLHQWR\PHMRUDGHXQ6LVWHPDGH*HVWLyQGHOD6HJXULGDGGHOD,QIRUPDFLyQ6*6,/DDGRSFLyQGHXQ6*6,
GHEHUtDVHUIUXWRGHXQDGHFLVLyQHVWUDWpJLFDGHXQDRUJDQL]DFLyQ(OGLVHxR\ODLPSOHPHQWDFLyQGHO6*6,GHSHQGHQGH
ODVQHFHVLGDGHV\REMHWLYRVGHFDGDRUJDQL]DFLyQDVtFRPRGHVXVUHTXLVLWRVGHVHJXULGDGVXVSURFHVRVVXWDPDxR\
HVWUXFWXUD(VSUHYLVLEOHTXHHVWRVIDFWRUHV\ORVVLVWHPDVTXHORVVRSRUWDQFDPELHQFRQHOWLHPSR/RKDELWXDOHVTXHOD
LPSOHPHQWDFLyQGHXQ6*6,VHDMXVWHDODVQHFHVLGDGHVGHODRUJDQL]DFLyQSRUHMHPSORXQDVLWXDFLyQVHQFLOODUHTXLHUH
XQ6*6,VLPSOH
(VWD QRUPD LQWHUQDFLRQDO VLUYH SDUD TXH FXDOTXLHU SDUWH LQWHUHVDGD \D VHD LQWHUQD R H[WHUQD D OD RUJDQL]DFLyQ SXHGD
HIHFWXDUXQDHYDOXDFLyQGHODFRQIRUPLGDG
(QIRTXHSRUSURFHVR
(VWD QRUPD LQWHUQDFLRQDO DGRSWD XQ HQIRTXH SRU SURFHVR SDUD OD FUHDFLyQ LPSOHPHQWDFLyQ RSHUDFLyQ VXSHUYLVLyQ
UHYLVLyQPDQWHQLPLHQWR\PHMRUDGHO6*6,GHXQDRUJDQL]DFLyQ
8QDRUJDQL]DFLyQWLHQHTXHGHILQLU\JHVWLRQDUQXPHURVDVDFWLYLGDGHVSDUDIXQFLRQDUFRQHILFDFLD&XDOTXLHUDFWLYLGDG
TXH XWLOL]D UHFXUVRV \ VH JHVWLRQD GH PRGR TXH SHUPLWH OD WUDQVIRUPDFLyQ GH XQRV HOHPHQWRV GH HQWUDGD HQ XQRV
HOHPHQWRVGHVDOLGDSXHGHFRQVLGHUDUVHXQSURFHVR$PHQXGRODVDOLGDGHXQSURFHVRVHFRQYLHUWHGLUHFWDPHQWHHQOD
HQWUDGDGHOSURFHVRVLJXLHQWH
/DDSOLFDFLyQGHXQFRQMXQWRGHSURFHVRVHQXQDRUJDQL]DFLyQMXQWRFRQODLGHQWLILFDFLyQGHpVWRV\VXVLQWHUDFFLRQHV\
VXJHVWLyQSXHGHFDOLILFDUVHGHHQIRTXHSRUSURFHVR
(OHQIRTXHSRUSURFHVRSDUDODJHVWLyQGHODVHJXULGDGGHODLQIRUPDFLyQTXHVHGHVFULEHHQHVWDQRUPDLQWHUQDFLRQDO
DQLPDDORVXVXDULRVDHQIDWL]DUODLPSRUWDQFLDGH
D FRPSUHQGHU ORV UHTXLVLWRV GH VHJXULGDG GH OD LQIRUPDFLyQ GH XQD RUJDQL]DFLyQ \ OD QHFHVLGDG GH HVWDEOHFHU XQD
SROtWLFDGHVHJXULGDGGHODLQIRUPDFLyQ\VXVREMHWLYRV
E LPSOHPHQWDU\RSHUDUORVFRQWUROHVSDUDDGPLQLVWUDUORVULHVJRVGHVHJXULGDGGHODLQIRUPDFLyQGHXQDRUJDQL]DFLyQ
HQHOPDUFRGHVXVULHVJRVHPSUHVDULDOHVJHQHUDOHV
F VXSHUYLVDU\UHYLVDUHOUHQGLPLHQWR\ODHILFDFLDGHO6*6,\
G DVHJXUDUODPHMRUDFRQWLQXDVREUHODEDVHGHODPHGLFLyQREMHWLYD
(VWDQRUPDLQWHUQDFLRQDOVLJXHHOPRGHOR3ODQLILFDUKDFHUYHULILFDUDFWXDU3ODQ'R&KHFN$FWFRQRFLGRFRPRPR
GHOR3'&$TXHVHDSOLFDSDUDHVWUXFWXUDUWRGRVORVSURFHVRVGHO6*6,/DILJXUDPXHVWUDFyPRXQ6*6,SDUWLHQGR
GHORVUHTXLVLWRV\H[SHFWDWLYDVGHVHJXULGDGGHODLQIRUPDFLyQGHODVSDUWHVLQWHUHVDGDV\DWUDYpVGHODVDFFLRQHV\SUR
FHVRVQHFHVDULRVSURGXFHORVHOHPHQWRVGHVDOLGDGHVHJXULGDGGHODLQIRUPDFLyQTXHUHVSRQGHQDGLFKRVUHTXLVLWRV\
H[SHFWDWLYDV/DILJXUDLOXVWUDDVLPLVPRORVYtQFXORVFRQORVSURFHVRVTXHVHGHVFULEHQHQORVFDStWXORV\
/DDGRSFLyQGHOPRGHOR3'&$WDPELpQUHIOHMDUiORVSULQFLSLRVGHILQLGRVHQODV'LUHFWULFHVGHOD2&'(TXH
ULJHQODVHJXULGDGGHORVVLVWHPDV\ODVUHGHVGHLQIRUPDFLyQ(VWDQRUPDLQWHUQDFLRQDOSURSRUFLRQDXQPRGHORUREXVWR
SDUDLPSOHPHQWDUORVSULQFLSLRVGHGLFKDVGLUHFWULFHVTXHULJHQODHYDOXDFLyQGHULHVJRVHOGLVHxR\ODLPSOHPHQWDFLyQ
GHODVHJXULGDGDVtFRPRODJHVWLyQ\ODUHHYDOXDFLyQGHODVHJXULGDG
'LUHFWULFHV GH OD 2&'(SDUD OD 6HJXULGDG GH ORV 6LVWHPDV \ 5HGHV GH ,QIRUPDFLyQ +DFLD XQDFXOWXUDGHOD VHJXULGDG 3DUtV 2&'(MXOLR
GHZZZRHFGRUJ
,62,(&
(-(03/2UHTXLVLWRGHVHJXULGDG
8QUHTXLVLWRSRGUtDVHUTXHQLQJXQDYLRODFLyQGHODVHJXULGDGGHODLQIRUPDFLyQGHEHSURYRFDUSHUMXLFLRVHFRQyPLFRV
JUDYHV\RFRPSURPHWHUDODRUJDQL]DFLyQ
(-(03/2H[SHFWDWLYDGHVHJXULGDG
(QHOFDVRGHTXHVHSURGXMHUDXQLQFLGHQWHJUDYHFRPRSRUHMHPSORXQDWDTXHLQIRUPiWLFRDOVLWLRZHEGHFRPHUFLR
HOHFWUyQLFRGHXQDRUJDQL]DFLyQGHEHUtDKDEHUSHUVRQDVFRQVXILFLHQWHIRUPDFLyQHQORVSURFHGLPLHQWRVDGHFXDGRVSDUD
PLQLPL]DUODVFRQVHFXHQFLDV
)LJXUD0RGHOR3'&$DSOLFDGRDORVSURFHVRVGHO6*6,
3ODQLILFDUFUHDFLyQGHO6*6,
'HILQLUODSROtWLFDREMHWLYRVSURFHVRV\SURFHGLPLHQWRVGHO6*6,UHOHYDQWHVSDUD
JHVWLRQDUHOULHVJR\PHMRUDUODVHJXULGDGGHODLQIRUPDFLyQFRQHOILQGHREWHQHU
UHVXOWDGRVDFRUGHVFRQODVSROtWLFDV\REMHWLYRVJHQHUDOHVGHODRUJDQL]DFLyQ
+DFHULPSOHPHQWDFLyQ\
RSHUDFLyQGHO6*6,
,PSOHPHQWDU\RSHUDUODSROtWLFDFRQWUROHVSURFHVRV\SURFHGLPLHQWRVGHO6*6,
9HULILFDUVXSHUYLVLyQ\UHYLVLyQ (YDOXDU \ HQ VX FDVR PHGLU HO UHQGLPLHQWR GHO SURFHVR FRQWUD OD SROtWLFD ORV
REMHWLYRV \ OD H[SHULHQFLD SUiFWLFD GHO 6*6, H LQIRUPDU GH ORV UHVXOWDGRV D OD
GHO6*6,
'LUHFFLyQSDUDVXUHYLVLyQ
$FWXDUPDQWHQLPLHQWR\PHMRUD $GRSWDU PHGLGDV FRUUHFWLYDV \ SUHYHQWLYDV HQ IXQFLyQ GH ORV UHVXOWDGRV GH OD
DXGLWRUtDLQWHUQDGHO 6*6, \ GHODUHYLVLyQSRUSDUWHGHOD GLUHFFLyQRGHRWUDV
GHO6*6,
LQIRUPDFLRQHVUHOHYDQWHVSDUDORJUDUODPHMRUDFRQWLQXDGHO6*6,
&RPSDWLELOLGDGFRQRWURVVLVWHPDVGHJHVWLyQ
(VWDQRUPDLQWHUQDFLRQDOVLJXHODVSDXWDVPDUFDGDVHQODV1RUPDV,62H,62SDUDDVHJXUDUXQD
LPSOHPHQWDFLyQLQWHJUDGD\FRQVLVWHQWHFRQODVPHQFLRQDGDVQRUPDVGHJHVWLyQ'HHVWHPRGRXQVLVWHPDGHJHVWLyQ
ELHQFRQFHELGRSXHGHFXPSOLUORVUHTXLVLWRVGHWRGDVHVDVQRUPDV/DWDEOD&PXHVWUDODUHODFLyQHQWUHORVFDStWXORV
GHHVWDQRUPDLQWHUQDFLRQDO\ODV1RUPDV,62H,62
(VWD QRUPD LQWHUQDFLRQDO HVWi GLVHxDGD SDUD SRVLELOLWDU D XQD RUJDQL]DFLyQ HO DGDSWDU VX 6*6, D ORV UHTXLVLWRV GH ORV
VLVWHPDVGHJHVWLyQPHQFLRQDGRV
,62,(&
,03257$17( (VWD SXEOLFDFLyQ QR SUHWHQGH LQFOXLU WRGDV ODV SURYLVLRQHV QHFHVDULDV HQ XQ FRQWUDWR /RV
XVXDULRVGHODQRUPDVRQUHVSRQVDEOHVGHVXFRUUHFWDDSOLFDFLyQ/DFRQIRUPLGDGFRQHVWDQRUPDLQWHUQDFLRQDO
QRRWRUJDLQPXQLGDGIUHQWHDOFXPSOLPLHQWRGHODVREOLJDFLRQHVOHJDOHV
2%-(72<&$032'($3/,&$&,1
*HQHUDOLGDGHV
(VWDQRUPDLQWHUQDFLRQDODEDUFDWRGRWLSRGHRUJDQL]DFLRQHVSRUHMHPSORHPSUHVDVRUJDQLVPRV\HQWHVS~EOLFRVHQWL
GDGHVVLQiQLPRGHOXFUR\HVSHFLILFDORVUHTXLVLWRVSDUDODFUHDFLyQLPSOHPHQWDFLyQRSHUDFLyQVXSHUYLVLyQUHYLVLyQ
PDQWHQLPLHQWR \ PHMRUD GH XQ 6*6, GRFXPHQWDGR HQ HO PDUFR GH ORV ULHVJRV HPSUHVDULDOHV JHQHUDOHV GH OD
RUJDQL]DFLyQ(VSHFLILFDORVUHTXLVLWRVSDUDHOHVWDEOHFLPLHQWRGHFRQWUROHVGHVHJXULGDGDGDSWDGRVDODVQHFHVLGDGHVGH
XQDRUJDQL]DFLyQRGHSDUWHVGHODPLVPD
(O6*6,HVWiGLVHxDGRFRQHOILQGHDVHJXUDUODVHOHFFLyQGHFRQWUROHVGHVHJXULGDGDGHFXDGRV\SURSRUFLRQDGRVTXH
SURWHMDQORVDFWLYRVGHLQIRUPDFLyQ\GHQJDUDQWtDVDODVSDUWHVLQWHUHVDGDV
127$ /DVUHIHUHQFLDDOWpUPLQRHPSUHVDULDORGHQHJRFLRHQHVWDQRUPDLQWHUQDFLRQDOGHEHUtDQLQWHUSUHWDUVHHQXQVHQWLGRDPSOLRDEDUFDQGR
DTXHOODVDFWLYLGDGHVTXHVRQHVHQFLDOHVSDUDDOFDQ]DUORVILQHVTXHSHUVLJXHODRUJDQL]DFLyQ
127$ /D1RUPD,62,(&SURSRUFLRQDXQDJXtDGHLPSODQWDFLyQTXHSXHGHXWLOL]DUVHDOGLVHxDUORVFRQWUROHV
$SOLFDFLyQ
/RVUHTXLVLWRVHVWDEOHFLGRVHQHVWDQRUPDLQWHUQDFLRQDOVRQJHQpULFRV\DSOLFDEOHVDWRGDVODVRUJDQL]DFLRQHVFXDOTXLHUD
TXH VHD VX WLSR WDPDxR \ QDWXUDOH]D &XDQGR XQD RUJDQL]DFLyQ GHFODUD TXH FXPSOH HVWD QRUPD LQWHUQDFLRQDO QR VH
DGPLWLUiODH[FOXVLyQGHQLQJXQRGHORVUHTXLVLWRVGHILQLGRVHQORVFDStWXORV\
7RGDH[FOXVLyQGHFRQWUROHVTXHVHFRQVLGHUHQHFHVDULDSDUDFXPSOLUORVFULWHULRVGHDFHSWDFLyQGHOULHVJRQHFHVLWDVHUMXVWLIL
FDGDPHGLDQWHHYLGHQFLDGHTXHORVULHVJRVDVRFLDGRVKDQVLGRDFHSWDGRVSRUODVSHUVRQDVUHVSRQVDEOHV&XDQGRVHH[FOX\D
DOJ~QFRQWUROQRVHDFHSWDUiQLQJXQDGHFODUDFLyQGHFRQIRUPLGDGFRQHVWDQRUPDLQWHUQDFLRQDODPHQRVTXHWDOHVH[FOXVLRQHV
QRDIHFWHQDODFDSDFLGDG\RUHVSRQVDELOLGDGGHODRUJDQL]DFLyQSDUDJDUDQWL]DUODVHJXULGDGGHODLQIRUPDFLyQGHDFXHUGRFRQ
ORVUHTXLVLWRVGHVHJXULGDGGHULYDGRVGHODHYDOXDFLyQGHULHVJRV\GHORVUHTXLVLWRVOHJDOHVRUHJODPHQWDULRVDSOLFDEOHV
127$ (QODPD\RUtDGHORVFDVRVVLXQDRUJDQL]DFLyQWLHQHLPSODQWDGRXQVLVWHPDGHJHVWLyQGHOSURFHVRGHQHJRFLRSRUHMHPSOR ,62R
,62HVSUHIHULEOHFXPSOLUORVUHTXLVLWRVGHHVWDQRUPDLQWHUQDFLRQDOGHQWURGHOVLVWHPDGHJHVWLyQ\DH[LVWHQWH
1250$63$5$&2168/7$
/DVQRUPDVTXHDFRQWLQXDFLyQVHLQGLFDQVRQLQGLVSHQVDEOHVSDUDODDSOLFDFLyQGHHVWDQRUPD3DUDODVUHIHUHQFLDVFRQ
IHFKDVyORVHDSOLFDODHGLFLyQFLWDGD3DUDODVUHIHUHQFLDVVLQIHFKDVHDSOLFDOD~OWLPDHGLFLyQGHODQRUPDLQFOX\HQGR
FXDOTXLHUPRGLILFDFLyQGHpVWD
,62,(&7HFQRORJtDGHODLQIRUPDFLyQ7pFQLFDVGHVHJXULGDG&yGLJRGHEXHQDVSUiFWLFDVSDUDODJHVWLyQ
GHODVHJXULGDGGHODLQIRUPDFLyQ
7e50,126<'(),1,&,21(6
3DUDORVILQHVGHOSUHVHQWHGRFXPHQWRVHDSOLFDQODVVLJXLHQWHVGHILQLFLRQHV
DFWLYR
&XDOTXLHUELHQTXHWLHQHYDORUSDUDODRUJDQL]DFLyQ
>,62,(&@
GLVSRQLELOLGDG
/DSURSLHGDGGHVHUDFFHVLEOH\XWLOL]DEOHSRUXQDHQWLGDGDXWRUL]DGD
>,62,(&@
,62,(&
FRQILGHQFLDOLGDG
/D SURSLHGDG SRU OD TXH OD LQIRUPDFLyQ QR VH SRQH D GLVSRVLFLyQ R VH UHYHOD D LQGLYLGXRV HQWLGDGHV R SURFHVRV QR
DXWRUL]DGRV
>,62,(&@
VHJXULGDGGHODLQIRUPDFLyQ
/DSUHVHUYDFLyQGHODFRQILGHQFLDOLGDGODLQWHJULGDG\ODGLVSRQLELOLGDGGHODLQIRUPDFLyQSXGLHQGRDGHPiVDEDUFDU
RWUDVSURSLHGDGHVFRPRODDXWHQWLFLGDGODUHVSRQVDELOLGDGODILDELOLGDG\HOQRUHSXGLR
>,62,(&@
HYHQWRGHVHJXULGDGGHODLQIRUPDFLyQ
/DRFXUUHQFLDGHWHFWDGDHQXQHVWDGRGHXQVLVWHPDVHUYLFLRRUHGTXHLQGLFDXQDSRVLEOHYLRODFLyQGHODSROtWLFDGH
VHJXULGDGGHODLQIRUPDFLyQXQIDOORGHODVVDOYDJXDUGDVRXQDVLWXDFLyQGHVFRQRFLGDKDVWDHOPRPHQWR\TXHSXHGHVHU
UHOHYDQWHSDUDODVHJXULGDG
>,62,(&75@
LQFLGHQWHGHVHJXULGDGGHODLQIRUPDFLyQ
XQ~QLFRHYHQWRRXQDVHULHGHHYHQWRVGHVHJXULGDGGHODLQIRUPDFLyQLQHVSHUDGRVRQRGHVHDGRVTXHWLHQHQXQDSUR
EDELOLGDGVLJQLILFDWLYDGHFRPSURPHWHUODVRSHUDFLRQHVHPSUHVDULDOHV\GHDPHQD]DUODVHJXULGDGGHODLQIRUPDFLyQ
>,62,(&75@
6LVWHPD GH *HVWLyQ GH OD 6HJXULGDG GH OD ,QIRUPDFLyQ 6*6, >,QIRUPDWLRQ 6HFXULW\ 0DQDJHPHQW 6\VWHP
,606@
/DSDUWHGHOVLVWHPDGHJHVWLyQJHQHUDOEDVDGDHQXQHQIRTXHGHULHVJRHPSUHVDULDOTXHVHHVWDEOHFHSDUDFUHDULPSOH
PHQWDURSHUDUVXSHUYLVDUUHYLVDUPDQWHQHU\PHMRUDUODVHJXULGDGGHODLQIRUPDFLyQ
127$ (OVLVWHPDGHJHVWLyQLQFOX\HODHVWUXFWXUDRUJDQL]DWLYDODVSROtWLFDVODVDFWLYLGDGHVGHSODQLILFDFLyQODVUHVSRQVDELOLGDGHVODVSUiFWLFDVORV
SURFHGLPLHQWRVORVSURFHVRV\ORVUHFXUVRV
LQWHJULGDG
/DSURSLHGDGGHVDOYDJXDUGDUODH[DFWLWXG\FRPSOHWLWXGGHORVDFWLYRV
>,62,(&@
ULHVJRUHVLGXDO
5LHVJRUHPDQHQWHTXHH[LVWHGHVSXpVGHTXHVHKD\DQWRPDGRODVPHGLGDVGHVHJXULGDG
>,62,(&*XLGH@
DFHSWDFLyQGHOULHVJR
/DGHFLVLyQGHDFHSWDUXQULHVJR
>,62,(&*XLGH@
DQiOLVLVGHULHVJRV
8WLOL]DFLyQVLVWHPiWLFDGHODLQIRUPDFLyQGLVSRQLEOHSDUDLGHQWLILFDUSHOLJURV\HVWLPDUORVULHVJRV
>,62,(&*XLGH@
,62,(&
HYDOXDFLyQGHULHVJRV
(OSURFHVRJHQHUDOGHDQiOLVLV\HVWLPDFLyQGHORVULHVJRV
>,62,(&*XLGH@
HVWLPDFLyQGHULHVJRV
(OSURFHVRGHFRPSDUDFLyQGHOULHVJRHVWLPDGRFRQORVFULWHULRVGHULHVJRSDUDDVtGHWHUPLQDUODLPSRUWDQFLDGHOULHVJR
>,62,(&*XLGH@
JHVWLyQGHULHVJRV
$FWLYLGDGHVFRRUGLQDGDVSDUDGLULJLU\FRQWURODUXQDRUJDQL]DFLyQFRQUHVSHFWRDORVULHVJRV
>,62,(&*XLGH@
WUDWDPLHQWRGHULHVJRV
(OSURFHVRGHVHOHFFLyQHLPSOHPHQWDFLyQGHODVPHGLGDVHQFDPLQDGDVDPRGLILFDUORVULHVJRV
>,62,(&*XLGH@
127$ (QHVWDQRUPDLQWHUQDFLRQDOHOWpUPLQRFRQWUROVHXWLOL]DFRPRVLQyQLPRGHPHGLGDGHVHJXULGDG
GHFODUDFLyQGHDSOLFDELOLGDG
'HFODUDFLyQGRFXPHQWDGDTXHGHVFULEHORVREMHWLYRVGHFRQWURO\ORVFRQWUROHVTXHVRQUHOHYDQWHVSDUDHO6*6,GHOD
RUJDQL]DFLyQ\DSOLFDEOHVDOPLVPR
127$ /RVREMHWLYRVGHFRQWURO\ORVFRQWUROHVVHEDVDQHQORVUHVXOWDGRV\FRQFOXVLRQHVGHODHYDOXDFLyQGHULHVJRV\HQORVSURFHVRVGHWUDWDPLHQWR
GHOULHVJRHQORVUHTXLVLWRVOHJDOHVRUHJODPHQWDULRVHQODVREOLJDFLRQHVFRQWUDFWXDOHV\HQODVQHFHVLGDGHVHPSUHVDULDOHVGHODRUJDQL]DFLyQ
HQPDWHULDGHVHJXULGDGGHODLQIRUPDFLyQ
6,67(0$'(*(67,1'(/$6(*85,'$''(/$,1)250$&,1
5HTXLVLWRVJHQHUDOHV
/DRUJDQL]DFLyQGHEHFUHDULPSOHPHQWDURSHUDUVXSHUYLVDUUHYLVDUPDQWHQHU\PHMRUDUXQ6*6,GRFXPHQWDGRGHQWUR
GHOFRQWH[WRGHODVDFWLYLGDGHVHPSUHVDULDOHVJHQHUDOHVGHODRUJDQL]DFLyQ\GHORVULHVJRVTXHpVWDDIURQWD$HIHFWRVGH
HVWDQRUPDLQWHUQDFLRQDOHOSURFHVRXWLOL]DGRVHEDVDHQHOPRGHOR3'&$GHVFULWRHQODILJXUD
&UHDFLyQ\JHVWLyQGHO6*6,
&UHDFLyQGHO6*6,
/DRUJDQL]DFLyQGHEHKDFHUORVLJXLHQWH
D 'HILQLU HO DOFDQFH \ ORV OtPLWHV GHO 6*6, HQ WpUPLQRV GH ODV FDUDFWHUtVWLFDV GH OD DFWLYLGDG HPSUHVDULDO GH OD
RUJDQL]DFLyQVXXELFDFLyQVXVDFWLYRV\WHFQRORJtDLQFOX\HQGRORVGHWDOOHV\ODMXVWLILFDFLyQGHFXDOTXLHUH[FOXVLyQ
GHODOFDQFHYpDVH
E 'HILQLUXQDSROtWLFDGHO6*6,DFRUGHFRQODVFDUDFWHUtVWLFDVGHODDFWLYLGDGHPSUHVDULDOODRUJDQL]DFLyQVXXELFD
FLyQVXVDFWLYRV\WHFQRORJtDTXH
LQFOX\DXQPDUFRSDUDODILMDFLyQGHREMHWLYRV\HVWDEOH]FDXQDRULHQWDFLyQJHQHUDOVREUHODVGLUHFWULFHV\SULQ
FLSLRVGHDFWXDFLyQHQUHODFLyQFRQODVHJXULGDGGHODLQIRUPDFLyQ
WHQJDHQFXHQWDORVUHTXLVLWRVGHODDFWLYLGDGHPSUHVDULDOORVUHTXLVLWRVOHJDOHVRUHJODPHQWDULRV\ODVREOLJDFLR
QHVGHVHJXULGDGFRQWUDFWXDOHV
HVWpDOLQHDGDFRQHOFRQWH[WRGHODHVWUDWHJLDGHJHVWLyQGHULHVJRVGHODRUJDQL]DFLyQFRQWH[WRHQHOTXHWHQGUi
OXJDUODFUHDFLyQ\HOPDQWHQLPLHQWRGHO6*6,
,62,(&
HVWDEOH]FDFULWHULRVGHHVWLPDFLyQGHOULHVJR>YpDVHF@\
VHDDSUREDGDSRUOD'LUHFFLyQ
127$ $HIHFWRVGHHVWDQRUPDLQWHUQDFLRQDOODSROtWLFDGHVHJXULGDGGHODLQIRUPDFLyQVHFRQVLGHUDXQVXEFRQMXQWRGHODSROtWLFDGHO6*6,
(VWDVSROtWLFDVSXHGHQHVWDUGHVFULWDVHQXQ~QLFRGRFXPHQWR
F 'HILQLUHOHQIRTXHGHODHYDOXDFLyQGHULHVJRVGHODRUJDQL]DFLyQ
(VSHFLILFDUXQDPHWRGRORJtDGHHYDOXDFLyQGHULHVJRVDGHFXDGDSDUDHO6*6,ODVQHFHVLGDGHVGHQHJRFLRLGHQWL
ILFDGDVHQPDWHULDGHVHJXULGDGGHODLQIRUPDFLyQGHODHPSUHVD\ORVUHTXLVLWRVOHJDOHV\UHJODPHQWDULRV
'HVDUUROODUFULWHULRVGHDFHSWDFLyQGHULHVJR\ILMDUORVQLYHOHVGHULHVJRDFHSWDEOHV>YpDVHI@
/DPHWRGRORJtDVHOHFFLRQDGDSDUDODHYDOXDFLyQGHULHVJRVGHEHDVHJXUDUTXHODVHYDOXDFLRQHVGHULHVJRVJHQHUHQ
UHVXOWDGRVFRPSDUDEOHV\UHSURGXFLEOHV
G ,GHQWLILFDUORVULHVJRV
,GHQWLILFDUORVDFWLYRVTXHHVWiQGHQWURGHOiPELWRGHDSOLFDFLyQGHO6*6,\DORVSURSLHWDULRVGHHVWRVDFWLYRV
,GHQWLILFDUODVDPHQD]DVDTXHHVWiQH[SXHVWRVHVRVDFWLYRV
,GHQWLILFDUODVYXOQHUDELOLGDGHVEDMRODVTXHSRGUtDQDFWXDUGLFKDVDPHQD]DV
,GHQWLILFDUORVLPSDFWRVTXHVREUHORVDFWLYRVSXHGHWHQHUXQDSpUGLGDGHFRQILGHQFLDOLGDGLQWHJULGDG\GLVSRQL
ELOLGDGHQORVPLVPRV
H $QDOL]DU\YDORUDUORVULHVJRV
(YDOXDUORVHIHFWRVHQODDFWLYLGDGHPSUHVDULDOGHODRUJDQL]DFLyQTXHSXGLHUDQGHULYDUVHGHHYHQWXDOHVIDOORVGH
VHJXULGDGWHQLHQGRHQFXHQWDODVFRQVHFXHQFLDVGHXQDSpUGLGDGHFRQILGHQFLDOLGDGLQWHJULGDGRGLVSRQLELOLGDG
GHORVDFWLYRV
(YDOXDUODSUREDELOLGDGGHXQDIRUPDUHDOLVWDGHTXHVHSURGX]FDQIDOORVGHVHJXULGDGDODOX]GHODVDPHQD]DV\
YXOQHUDELOLGDGHVH[LVWHQWHVORVLPSDFWRVDVRFLDGRVDORVDFWLYRV\ORVFRQWUROHVLPSOHPHQWDGRV
(VWLPDUORVQLYHOHVGHULHVJR
'HWHUPLQDUVLORVULHVJRVVRQDFHSWDEOHVRVLUHTXLHUHQXQWUDWDPLHQWRFRQIRUPHDORVFULWHULRVGHDFHSWDFLyQGH
ULHVJRVHVWDEOHFLGRVHQF
I ,GHQWLILFDU\HYDOXDUODVRSFLRQHVSDUDHOWUDWDPLHQWRGHULHVJRV
/DVSRVLEOHVDFFLRQHVDUHDOL]DUHQWUHRWUDVVRQODVVLJXLHQWHV
DSOLFDUFRQWUROHVDGHFXDGRV
DVXPLUORVULHVJRVGHPDQHUDFRQVFLHQWH\REMHWLYDFRQIRUPHDODVSROtWLFDVGHODRUJDQL]DFLyQ\DORVFULWHULRV
GHDFHSWDFLyQGHULHVJRV>YpDVHF@
HYLWDUORVULHVJRV\
WUDQVIHULUORVULHVJRVDVRFLDGRVDODDFWLYLGDGHPSUHVDULDODRWUDVSDUWHVFRPRSRUHMHPSORFRPSDxtDVGHVHJXURV
RSURYHHGRUHV
(OWpUPLQRSURSLHWDULRVHUHILHUHDXQLQGLYLGXRRXQDHQWLGDGDOTXHVHOHKDDVLJQDGRODUHVSRQVDELOLGDGDGPLQLVWUDWLYDSDUDHOFRQWUROGHOD
SURGXFFLyQ HO GHVDUUROOR HO PDQWHQLPLHQWR HO XVR \ OD VHJXULGDG GH ORV DFWLYRV (O WpUPLQR SURSLHWDULR QR VLJQLILFD TXH OD SHUVRQD WHQJD
UHDOPHQWHDOJ~QGHUHFKRGHSURSLHGDGVREUHHODFWLYR
,62,(&
J 6HOHFFLRQDUORVREMHWLYRVGHFRQWURO\ORVFRQWUROHVSDUDHOWUDWDPLHQWRGHORVULHVJRV
/RV REMHWLYRV GH FRQWURO \ ORV FRQWUROHV GHEHQ VHOHFFLRQDUVH H LPSOHPHQWDUVH SDUD FXPSOLU ORV UHTXLVLWRV LGHQWL
ILFDGRVHQODHYDOXDFLyQGHULHVJRV\HQHOSURFHVRGHWUDWDPLHQWRGHULHVJRV(VWDVHOHFFLyQGHEHWHQHUHQFXHQWDORV
FULWHULRVGHDFHSWDFLyQGHULHVJRV>YpDVHF@DGHPiVGHORVUHTXLVLWRVOHJDOHVUHJODPHQWDULRV\FRQWUDFWXDOHV
/RVREMHWLYRVGHFRQWURO\ORVFRQWUROHVGHODQH[R$GHEHQVHOHFFLRQDUVHFRPRSDUWHGHHVWHSURFHVRHQODPHGLGDHQ
TXHVLUYDQSDUDVDWLVIDFHUORVUHTXLVLWRVLGHQWLILFDGRV
/RVREMHWLYRVGHFRQWURO\ORVFRQWUROHVHQXPHUDGRVHQHODQH[R$QRVRQH[KDXVWLYRVSRUORTXHSXHGHQVHOHFFLR
QDUVHRWURVREMHWLYRVGHFRQWURO\RWURVFRQWUROHVDGLFLRQDOHV
127$ (ODQH[R$FRQWLHQHXQDOLVWDFRPSOHWDGHREMHWLYRVGHFRQWURO\FRQWUROHVTXHVHKDQFRQVLGHUDGRFRP~QPHQWHUHOHYDQWHVHQODVRUJDQL
]DFLRQHV(ODQH[R$SURSRUFLRQDDORVXVXDULRVGHHVWDQRUPDLQWHUQDFLRQDOXQSXQWRGHSDUWLGDSDUDVHOHFFLRQDUORVFRQWUROHVJDUDQ
WL]DQGRTXHQRVHSDVDQSRUDOWRLPSRUWDQWHVRSFLRQHVGHFRQWURO
K 2EWHQHUODDSUREDFLyQSRUSDUWHGHOD'LUHFFLyQGHORVULHVJRVUHVLGXDOHVSURSXHVWRV
L 2EWHQHUODDXWRUL]DFLyQGHOD'LUHFFLyQSDUDLPSOHPHQWDU\RSHUDUHO6*6,
M (ODERUDUXQDGHFODUDFLyQGHDSOLFDELOLGDG
8QDGHFODUDFLyQGHDSOLFDELOLGDGGHEHLQFOXLUORVLJXLHQWH
ORVREMHWLYRVGHFRQWURO\ORVFRQWUROHVVHOHFFLRQDGRVHQJ\ODVMXVWLILFDFLRQHVGHVXVHOHFFLyQ
ORVREMHWLYRVGHFRQWURO\ORVFRQWUROHVDFWXDOPHQWHLPSOHPHQWDGRV>YpDVHH@\
ODH[FOXVLyQGHFXDOTXLHUREMHWLYRGHFRQWURO\FRQWUROGHODQH[R$\ODMXVWLILFDFLyQGHHVWDH[FOXVLyQ
127$ /DGHFODUDFLyQGHDSOLFDELOLGDGSURSRUFLRQDXQUHVXPHQGHODVGHFLVLRQHVUHODWLYDVDOWUDWDPLHQWRGHORVULHVJRV/DMXVWLILFDFLyQGHODV
H[FOXVLRQHVIDFLOLWDXQDFRPSUREDFLyQFUX]DGDGHTXHQRVHKDRPLWLGRLQDGYHUWLGDPHQWHQLQJ~QFRQWURO
,PSOHPHQWDFLyQ\RSHUDFLyQGHO6*6,
/DRUJDQL]DFLyQGHEHKDFHUORTXHVHLQGLFDDFRQWLQXDFLyQ
D )RUPXODUXQSODQGHWUDWDPLHQWRGHULHVJRVTXHLGHQWLILTXHODVDFFLRQHVGHOD'LUHFFLyQORVUHFXUVRVODVUHVSRQVD
ELOLGDGHV\ODVSULRULGDGHVDGHFXDGRVSDUDJHVWLRQDUORVULHVJRVGHODVHJXULGDGGHODLQIRUPDFLyQYpDVH
E ,PSOHPHQWDUHOSODQGHWUDWDPLHQWRGHULHVJRVSDUDORJUDUORVREMHWLYRVGHFRQWUROLGHQWLILFDGRVTXHWHQJDHQFXHQWD
ODILQDQFLDFLyQ\ODDVLJQDFLyQGHIXQFLRQHV\UHVSRQVDELOLGDGHV
F ,PSOHPHQWDUORVFRQWUROHVVHOHFFLRQDGRVHQJSDUDFXPSOLUORVREMHWLYRVGHFRQWURO
G 'HILQLUHOPRGRGHPHGLUODHILFDFLDGHORVFRQWUROHVRGHORVJUXSRVGHFRQWUROHVVHOHFFLRQDGRV\HVSHFLILFDUFyPR
WLHQHQ TXH XVDUVH HVWDV PHGLFLRQHV SDUD HYDOXDU OD HILFDFLD GH ORV FRQWUROHV GH FDUD D SURGXFLU XQRV UHVXOWDGRV
FRPSDUDEOHV\UHSURGXFLEOHV>YpDVHF@
127$ /DPHGLFLyQGHODHILFDFLDGHORVFRQWUROHVSHUPLWHDORVGLUHFWLYRV\DOSHUVRQDOGHWHUPLQDUKDVWDTXpSXQWRORVFRQWUROHVFXPSOHQORV
REMHWLYRVGHFRQWUROSODQLILFDGRV
H ,PSOHPHQWDUSURJUDPDVGHIRUPDFLyQ\GHFRQFLHQFLDFLyQYpDVH
I *HVWLRQDUODRSHUDFLyQGHO6*6,
J *HVWLRQDUORVUHFXUVRVGHO6*6,YpDVH
K ,PSOHPHQWDUSURFHGLPLHQWRV\RWURVFRQWUROHVTXHSHUPLWDQXQDGHWHFFLyQWHPSUDQDGHHYHQWRVGHVHJXULGDG\XQD
UHVSXHVWDDQWHFXDOTXLHULQFLGHQWHGHVHJXULGDG>YpDVHD@
,62,(&
6XSHUYLVLyQ\UHYLVLyQGHO6*6,
/DRUJDQL]DFLyQGHEHKDFHUORTXHVHLQGLFDDFRQWLQXDFLyQ
D (MHFXWDUSURFHGLPLHQWRVGHVXSHUYLVLyQ\UHYLVLyQDVtFRPRRWURVPHFDQLVPRVGHFRQWUROSDUD
GHWHFWDUORDQWHVSRVLEOHORVHUURUHVHQORVUHVXOWDGRVGHOSURFHVDGR
LGHQWLILFDUORDQWHVSRVLEOHODVGHELOLGDGHVGHOVLVWHPDGHVHJXULGDGDVtFRPRHODSURYHFKDPLHQWRGHpVWDVWDQWR
FRQRVLQp[LWR\ORVLQFLGHQWHV
SHUPLWLUDOD'LUHFFLyQGHWHUPLQDUVLODVDFWLYLGDGHVGHVHJXULGDGGHOHJDGDVHQRWUDVSHUVRQDVROOHYDGDVDFDER
SRUPHGLRVLQIRUPiWLFRVRDWUDYpVGHWHFQRORJtDVGHODLQIRUPDFLyQGDQORVUHVXOWDGRVHVSHUDGRV
D\XGDU D GHWHFWDU HYHQWRV GH VHJXULGDG \ SRU WDQWR D SUHYHQLU LQFLGHQWHV GH VHJXULGDG PHGLDQWH HO XVR GH
LQGLFDGRUHV\
GHWHUPLQDUVLODVDFFLRQHVWRPDGDVSDUDUHVROYHUXQDYLRODFLyQGHODVHJXULGDGKDQVLGRHILFDFHV
E 5HDOL]DU UHYLVLRQHV SHULyGLFDV GH OD HILFDFLD GHO 6*6, WHQLHQGR HQ FXHQWD ORV UHVXOWDGRV GH ODV DXGLWRUtDV GH
VHJXULGDGORVLQFLGHQWHVORVUHVXOWDGRVGHODVPHGLFLRQHVGHODHILFDFLDODVVXJHUHQFLDVDVtFRPRORVFRPHQWDULRV
GHWRGDVODVSDUWHVLQWHUHVDGDV(VWDVUHYLVLRQHVLQFOX\HQHOFXPSOLPLHQWRGHODSROtWLFD\GHORVREMHWLYRVGHO6*6,
\ODUHYLVLyQGHORVFRQWUROHVGHVHJXULGDG
F 0HGLUODHILFDFLDGHORVFRQWUROHVSDUDYHULILFDUVLVHKDQFXPSOLGRORVUHTXLVLWRVGHVHJXULGDG
G 5HYLVDUODVHYDOXDFLRQHVGHULHVJRVHQLQWHUYDORVSODQLILFDGRV\UHYLVDUORVULHVJRVUHVLGXDOHV\ORVQLYHOHVGHULHVJR
DFHSWDEOHVTXHKDQVLGRLGHQWLILFDGRVWHQLHQGRHQFXHQWDORVFDPELRVHQ
ODRUJDQL]DFLyQ
ODWHFQRORJtD
ORVREMHWLYRV\UHTXLVLWRVHPSUHVDULDOHV
ODVDPHQD]DVLGHQWLILFDGDV
ODHILFDFLDGHORVFRQWUROHVLPSOHPHQWDGRV\
ORV IDFWRUHV H[WHUQRV FRPR SRU HMHPSOR ORV FDPELRV GHO HQWRUQR OHJDO R UHJODPHQWDULR GH ODV REOLJDFLRQHV
FRQWUDFWXDOHV\GHOFOLPDVRFLDO
H 5HDOL]DUODVDXGLWRUtDVLQWHUQDVGHO6*6,HQLQWHUYDORVSODQLILFDGRVYpDVH
127$ /DVDXGLWRUtDVLQWHUQDVDYHFHVGHQRPLQDGDVDXGLWRUtDVSRUSULPHUDSDUWHODVOOHYDDFDERODSURSLDRUJDQL]DFLyQRELHQVHUHDOL]DQSRU
HQFDUJRGHpVWDFRQILQHVLQWHUQRV
I 5HDOL]DU SRU SDUWH GH OD 'LUHFFLyQ XQD UHYLVLyQ GHO 6*6, FRQ FDUiFWHU UHJXODU SDUD DVHJXUDU TXH HO iPELWR GH
DSOLFDFLyQVLJXHVLHQGRDGHFXDGR\TXHVHLGHQWLILFDQPHMRUDVGHOSURFHVRGHO6*6,YpDVH
J $FWXDOL]DUORVSODQHVGHVHJXULGDGWHQLHQGRHQFXHQWDODVFRQFOXVLRQHVGHODVDFWLYLGDGHVGHVXSHUYLVLyQ\UHYLVLyQ
K 5HJLVWUDUODVDFFLRQHVHLQFLGHQFLDVTXHSXGLHUDQDIHFWDUDODHILFDFLDRDOIXQFLRQDPLHQWRGHO6*6,YpDVH
0DQWHQLPLHQWR\PHMRUDGHO6*6,
5HJXODUPHQWHODRUJDQL]DFLyQGHEHKDFHUORTXHVHLQGLFDDFRQWLQXDFLyQ
D ,PSOHPHQWDUHQHO6*6,ODVPHMRUDVLGHQWLILFDGDV
E $SOLFDUODVPHGLGDVFRUUHFWLYDV\SUHYHQWLYDVDGHFXDGDVGHDFXHUGRFRQORVDSDUWDGRV\VREUHODEDVHGHOD
H[SHULHQFLDHQPDWHULDGHVHJXULGDGGHODSURSLDRUJDQL]DFLyQ\GHRWUDVRUJDQL]DFLRQHV
,62,(&
F &RPXQLFDUODVDFFLRQHV\PHMRUDVDWRGDVODVSDUWHVLQWHUHVDGDVFRQXQQLYHOGHGHWDOOHDFRUGHFRQODVFLUFXQVWDQFLDV
G $VHJXUDUTXHODVPHMRUDVDOFDQFHQORVREMHWLYRVSUHYLVWRV
5HTXLVLWRVGHODGRFXPHQWDFLyQ
*HQHUDOLGDGHV
/DGRFXPHQWDFLyQGHEHLQFOXLUODVGHFLVLRQHVGHOD'LUHFFLyQMXQWRFRQORVUHJLVWURVUHFRUGVGHODVPLVPDVGHELHQGR
TXHGDU FRQVWDQFLD GH TXH ODV DFFLRQHV GDQ UHVSXHVWD D ODV GHFLVLRQHV \ D ODV SROtWLFDV DGRSWDGDV \ JDUDQWL]DQGR TXH
GLFKRVGRFXPHQWRV\ORVFRUUHVSRQGLHQWHVUHJLVWURVHVWiQGLVSRQLEOHV
127$1$&,21$/ 6HJ~Q UHFRJH OD 1RUPD 81(,62 HO LQJOpV SRVHH WUHV WpUPLQRV GLVWLQWRV GRFXPHQWV UHFRUGV \ DUFKLYHV SDUD
GHVLJQDUORTXHHQFDVWHOODQRFRPRHQHOUHVWRGHOHQJXDVODWLQDVFXHQWDFRQXQD~QLFDYR]GRFXPHQWRV$VtGRFXPHQWHV
HO HTXLYDOHQWH GH GRFXPHQWR HQ VX VLJQLILFDGR JHQpULFR FRPR PHUD LQIRUPDFLyQ UHJLVWUDGD 3RU HO FRQWUDULR ORV WpUPLQRV
UHFRUGV\DUFKLYHVGHVLJQDQGHPDQHUDHVSHFtILFDDDTXHOORVGRFXPHQWRVSURGXFLGRVFRPRSUXHED\UHIOHMRGHODVDFWLYLGDGHV
GHODRUJDQL]DFLyQTXHORVKDFUHDGRUHVHUYiQGRVHHOHPSOHRGHHVWH~OWLPRDORVGRFXPHQWRVGHFDUiFWHUKLVWyULFR
127$1$&,21$/ 8QUHJLVWURGLVSRQLEOHHVDTXpOTXHSXHGHVHUORFDOL]DGRUHFXSHUDGRSUHVHQWDGRHLQWHUSUHWDGR
(V LPSRUWDQWH SRGHU GHPRVWUDU OD UHODFLyQ GH ORV FRQWUROHV VHOHFFLRQDGRV FRQ ORV UHVXOWDGRV GH ORV SURFHVRV GH
HYDOXDFLyQ\GHWUDWDPLHQWRGHULHVJRV\SRUWDQWRFRQODSROtWLFD\REMHWLYRVGHO6*6,
/DGRFXPHQWDFLyQGHO6*6,GHEHLQFOXLU
D GHFODUDFLRQHVGRFXPHQWDGDVGHODSROtWLFD>YpDVHE@\GHORVREMHWLYRVGHO6*6,
E HODOFDQFHGHO6*6,>YpDVHD@
F ORVSURFHGLPLHQWRV\PHFDQLVPRVGHFRQWUROTXHVRSRUWDQDO6*6,
G XQDGHVFULSFLyQGHODPHWRGRORJtDGHHYDOXDFLyQGHULHVJRV>YpDVHF@
H HOLQIRUPHGHHYDOXDFLyQGHULHVJRV>YpDVHFDJ@
I HOSODQGHWUDWDPLHQWRGHULHVJRV>YpDVHE@
J ORVSURFHGLPLHQWRVGRFXPHQWDGRVTXHQHFHVLWDODRUJDQL]DFLyQSDUDDVHJXUDUXQDFRUUHFWDSODQLILFDFLyQRSHUDFLyQ\
FRQWURO GH VXV SURFHVRV GH VHJXULGDG GH OD LQIRUPDFLyQ \ SDUD GHVFULELU FyPR PHGLU OD HILFDFLD GH ORV FRQWUROHV
>YpDVHF@
K ORVUHJLVWURVUHTXHULGRVSRUHVWDQRUPDLQWHUQDFLRQDOYpDVH\
L ODGHFODUDFLyQGHDSOLFDELOLGDG
127$ &XDQGR HQ HVWD QRUPD LQWHUQDFLRQDO DSDUHFH HO WpUPLQR SURFHGLPLHQWR GRFXPHQWDGR VLJQLILFD TXH HO SURFHGLPLHQWR VH FUHD VH
GRFXPHQWDVHLPSOHPHQWD\VHPDQWLHQH
127$ /DH[WHQVLyQGHODGRFXPHQWDFLyQGHO6*6,SXHGHGLIHULUGHXQDRUJDQL]DFLyQDRWUDGHELGRD
HOWDPDxR\WLSRGHDFWLYLGDGHVGHODRUJDQL]DFLyQ\
HODOFDQFH\ODFRPSOHMLGDGGHORVUHTXLVLWRVGHVHJXULGDG\GHOVLVWHPDTXHVHHVWiJHVWLRQDQGR
127$ /RVGRFXPHQWRV\UHJLVWURVSXHGHQHVWDUHQFXDOTXLHUIRUPDWRRWLSRGHPHGLR
&RQWUROGHGRFXPHQWRV
/RV GRFXPHQWRV H[LJLGRV SRU HO 6*6, YpDVH GHEHQ HVWDU SURWHJLGRV \ FRQWURODGRV 6H GHEH HVWDEOHFHU XQ
SURFHGLPLHQWRGRFXPHQWDGRSDUDGHILQLUODVDFFLRQHVGHJHVWLyQQHFHVDULDVSDUD
D DSUREDUHQIRUPDORVGRFXPHQWRVSUHYLDPHQWHDVXGLVWULEXFLyQ
,62,(&
E
F
G
H
I
UHYLVDUDFWXDOL]DU\YROYHUDDSUREDUORVGRFXPHQWRVVHJ~QYD\DVLHQGRQHFHVDULR
DVHJXUDUTXHHVWiQLGHQWLILFDGRVORVFDPELRVDVtFRPRHOHVWDGRGHOGRFXPHQWRTXHFRQWLHQHOD~OWLPDUHYLVLyQ
DVHJXUDUTXHODVYHUVLRQHVFRUUHVSRQGLHQWHVGHORVGRFXPHQWRVHVWiQGLVSRQLEOHV
DVHJXUDUTXHORVGRFXPHQWRVSHUPDQHFHQOHJLEOHV\IiFLOPHQWHLGHQWLILFDEOHV
DVHJXUDU TXH ORV GRFXPHQWRV HVWiQ GLVSRQLEOHV SDUD WRGR DTXHO TXH ORV QHFHVLWD \ VH WUDQVILHUHQ DOPDFHQDQ \ VH
GHVWUX\HQGHDFXHUGRFRQORVSURFHGLPLHQWRVDSOLFDEOHVDVXFODVLILFDFLyQ
J DVHJXUDUTXHORVGRFXPHQWRVSURFHGHQWHVGHOH[WHULRUHVWiQLGHQWLILFDGRV
K DVHJXUDUTXHODGLVWULEXFLyQGHORVGRFXPHQWRVHVWiFRQWURODGD
L SUHYHQLUHOXVRQRLQWHQFLRQDGRGHGRFXPHQWRVREVROHWRV\
M DSOLFDUXQDLGHQWLILFDFLyQDGHFXDGDDORVGRFXPHQWRVREVROHWRVTXHVRQUHWHQLGRVFRQDOJ~QSURSyVLWR
&RQWUROGHUHJLVWURV
6HGHEHQFUHDU\PDQWHQHUUHJLVWURVSDUDSURSRUFLRQDUHYLGHQFLDVGHODFRQIRUPLGDGFRQORVUHTXLVLWRV\GHOIXQFLRQD
PLHQWRHILFD]GHO6*6,'LFKRVUHJLVWURVGHEHQHVWDSURWHJLGRV\FRQWURODGRV(O6*6,GHEHWHQHUHQFXHQWDFXDOTXLHU
UHTXLVLWROHJDORUHJXODWRULRDSOLFDEOHDVtFRPRODVREOLJDFLRQHVFRQWUDFWXDOHV/RVUHJLVWURVGHEHQSHUPDQHFHUOHJLEOHV
IiFLOPHQWH LGHQWLILFDEOHV \ UHFXSHUDEOHV /RV FRQWUROHV QHFHVDULRV SDUD OD LGHQWLILFDFLyQ DOPDFHQDPLHQWR SURWHFFLyQ
UHFXSHUDFLyQUHWHQFLyQ\GLVSRVLFLyQGHORVUHJLVWURVGHEHQHVWDUGRFXPHQWDGRVHLPSOHPHQWDGRV
'HEHQFRQVHUYDUVHORVUHJLVWURVGHOGHVDUUROORGHOSURFHVRVHJ~QVHLQGLFDHQ\GHWRGRVORVVXFHVRVGHULYDGRVGH
LQFLGHQWHVGHVHJXULGDGVLJQLILFDWLYRVUHODWLYRVDO6*6,
(-(03/2
(MHPSORVGHUHJLVWURVVRQHOOLEURGHYLVLWDVORVLQIRUPHVGHDXGLWRUtD\ORVIRUPXODULRVGHDXWRUL]DFLyQGHDFFHVRFXP
SOLPHQWDGRV
5(63216$%,/,'$''(/$',5(&&,1
&RPSURPLVRGHOD'LUHFFLyQ
/D 'LUHFFLyQ GHEH VXPLQLVWUDU HYLGHQFLDV GH VX FRPSURPLVR SDUD FUHDU LPSOHPHQWDU RSHUDU VXSHUYLVDU UHYLVDU
PDQWHQHU\PHMRUDUHO6*6,DWUDYpVGHODVVLJXLHQWHVDFFLRQHV
D IRUPXODQGRODSROtWLFDGHO6*6,
E YHODQGRSRUHOHVWDEOHFLPLHQWRGHORVREMHWLYRV\SODQHVGHO6*6,
F HVWDEOHFLHQGRORVUROHV\UHVSRQVDELOLGDGHVHQPDWHULDGHVHJXULGDGGHODLQIRUPDFLyQ
G FRPXQLFDQGRDODRUJDQL]DFLyQODLPSRUWDQFLDGHFXPSOLUORVREMHWLYRV\ODSROtWLFDGHVHJXULGDGGHODLQIRUPDFLyQ
VXVUHVSRQVDELOLGDGHVOHJDOHV\ODQHFHVLGDGGHODPHMRUDFRQWLQXD
H SURSRUFLRQDQGR UHFXUVRV VXILFLHQWHV SDUD FUHDU LPSOHPHQWDU RSHUDU VXSHUYLVDU UHYLVDU PDQWHQHU \ PHMRUDU HO
6*6,YpDVH
I GHFLGLHQGRORVFULWHULRVGHDFHSWDFLyQGHULHVJRV\ORVQLYHOHVDFHSWDEOHVGHULHVJR
J YHODQGRSRUTXHVHUHDOLFHQODVDXGLWRUtDVLQWHUQDVGHO6*6,YpDVH\
K GLULJLHQGRODVUHYLVLRQHVGHO6*6,YpDVH
,62,(&
*HVWLyQGHORVUHFXUVRV
3URYLVLyQGHORVUHFXUVRV
/DRUJDQL]DFLyQGHEHGHWHUPLQDU\SURSRUFLRQDUORVUHFXUVRVQHFHVDULRVSDUD
D HVWDEOHFHULPSOHPHQWDURSHUDUVXSHUYLVDUUHYLVDUPDQWHQHU\PHMRUDUHO6*6,
E DVHJXUDUTXHORVSURFHGLPLHQWRVGHVHJXULGDGGHODLQIRUPDFLyQUHVSRQGHQDORVUHTXLVLWRVHPSUHVDULDOHV
F LGHQWLILFDU\FXPSOLUORVUHTXLVLWRVOHJDOHV\UHJODPHQWDULRVDVtFRPRODVREOLJDFLRQHVGHVHJXULGDGFRQWUDFWXDOHV
G PDQWHQHUODVHJXULGDGDGHFXDGDPHGLDQWHODDSOLFDFLyQFRUUHFWDGHWRGRVORVFRQWUROHVLPSODQWDGRV
H OOHYDUDFDERUHYLVLRQHVFXDQGRVHDQQHFHVDULDV\UHDFFLRQDUHQEDVHDORVUHVXOWDGRVGHHVWDVUHYLVLRQHV\
I FXDQGRVHUHTXLHUDPHMRUDUODHILFDFLDGHO6*6,
&RQFLHQFLDFLyQIRUPDFLyQ\FDSDFLWDFLyQ
/DRUJDQL]DFLyQGHEHDVHJXUDUVHGHTXHWRGRHOSHUVRQDODOTXHVHOHKD\DQDVLJQDGRUHVSRQVDELOLGDGHVGHILQLGDVHQHO
6*6,VHDFRPSHWHQWHSDUDOOHYDUDFDERODVWDUHDVUHTXHULGDVDWUDYpVGH
D GHWHUPLQDUODVFRPSHWHQFLDVQHFHVDULDVSDUDHOSHUVRQDOTXHOOHYDDFDERWUDEDMRVTXHDIHFWHQDO6*6,
E LPSDUWLU IRUPDFLyQ R UHDOL]DURWUDV DFFLRQHV SRU HMHPSOR OD FRQWUDWDFLyQ GH SHUVRQDO FRPSHWHQWH SDUD VDWLVIDFHU
HVWDVQHFHVLGDGHV
F HYDOXDUODHILFDFLDGHODVDFFLRQHVUHDOL]DGDV\
G PDQWHQHUUHJLVWURVGHHGXFDFLyQIRUPDFLyQDSWLWXGHVH[SHULHQFLD\FXDOLILFDFLRQHVYpDVH
/DRUJDQL]DFLyQGHEHDVHJXUDUVHWDPELpQGHTXHWRGRHOSHUVRQDODIHFWDGRVHDFRQVFLHQWHGHODWUDVFHQGHQFLD\GHOD
LPSRUWDQFLDGHODVDFWLYLGDGHVGHVHJXULGDGGHODLQIRUPDFLyQ\GHVXFRQWULEXFLyQDORVREMHWLYRVGHO6*6,
$8',725$6,17(51$6'(/6*6,
/DRUJDQL]DFLyQGHEHUHDOL]DUDXGLWRUtDVLQWHUQDVGHO6*6,DLQWHUYDORVSODQLILFDGRVSDUDGHWHUPLQDUVLORVREMHWLYRVGH
FRQWUROORVFRQWUROHVORVSURFHVRV\ORVSURFHGLPLHQWRVGHHVWH6*6,
D FXPSOHQORVUHTXLVLWRVGHHVWDQRUPDLQWHUQDFLRQDODVtFRPRODOHJLVODFLyQ\QRUPDWLYDDSOLFDEOHV
E FXPSOHQORVUHTXLVLWRVGHVHJXULGDGGHODLQIRUPDFLyQLGHQWLILFDGRV
F VHLPSODQWDQ\VHPDQWLHQHQGHIRUPDHIHFWLYD\
G GDQHOUHVXOWDGRHVSHUDGR
6HGHEHSODQLILFDUXQSURJUDPDGHDXGLWRUtDVWHQLHQGRHQFXHQWDHOHVWDGRHLPSRUWDQFLDGHORVSURFHVRV\ODViUHDVD
DXGLWDUDVtFRPRORVUHVXOWDGRVGHODVDXGLWRUtDVSUHYLDV6HGHEHQGHILQLUORVFULWHULRVHODOFDQFHODIUHFXHQFLD\ORV
PpWRGRVGHDXGLWRUtD/DVHOHFFLyQGHDXGLWRUHV\ODGLUHFFLyQGHODVDXGLWRUtDVGHEHJDUDQWL]DUODREMHWLYLGDGHLPSDU
FLDOLGDGGHOSURFHVRGHDXGLWRUtD/RVDXGLWRUHVQRGHEHQDXGLWDUVXSURSLRWUDEDMR
/DVUHVSRQVDELOLGDGHV \ORVUHTXLVLWRVSDUDODSODQLILFDFLyQUHDOL]DFLyQGHODVDXGLWRUtDVODLQIRUPDFLyQGHORVUHVXO
WDGRV\HOPDQWHQLPLHQWRGHORVUHJLVWURVYpDVHGHEHQHVWDUGHILQLGRVHQXQSURFHGLPLHQWRGRFXPHQWDGR
(O UHVSRQVDEOH GHO iUHD DXGLWDGD GHEH YHODU SRU TXH VH UHDOLFHQ DFFLRQHV SDUD HOLPLQDU VLQ GHPRUDV LQGHELGDV ODV
GLVFRQIRUPLGDGHVGHWHFWDGDV\VXVFDXVDV/DVDFWLYLGDGHVGHVHJXLPLHQWRGHEHQLQFOXLUODYHULILFDFLyQGHODVDFFLRQHV
UHDOL]DGDV\ORVLQIRUPHVGHORVUHVXOWDGRVGHODYHULILFDFLyQYpDVH
127$ /D1RUPD,62'LUHFWULFHVSDUDODDXGLWRUtDGHORVVLVWHPDVGHJHVWLyQGHODFDOLGDG\RDPELHQWDOSURSRUFLRQDRULHQWDFLRQHV
~WLOHVSDUDUHDOL]DUODVDXGLWRUtDVLQWHUQDVGHO6*6,
,62,(&
5(9,6,1'(/6*6,325/$',5(&&,1
*HQHUDOLGDGHV
/D'LUHFFLyQGHEHUHYLVDUHO6*6,GHODRUJDQL]DFLyQDLQWHUYDORVSODQLILFDGRVDOPHQRVXQDYH]DODxRSDUDDVHJXUDU
TXHVHPDQWLHQHVXFRQYHQLHQFLDDGHFXDFLyQ\HILFDFLD(VWDUHYLVLyQGHEHFRQWHPSODUODVRSRUWXQLGDGHVGHPHMRUD\OD
QHFHVLGDGGHFDPELRVHQHO6*6,LQFOX\HQGRODSROtWLFD\ORVREMHWLYRVGHVHJXULGDGGHODLQIRUPDFLyQ/RVUHVXOWDGRV
GHODVUHYLVLRQHVGHEHQHVWDUFODUDPHQWHGRFXPHQWDGRV\VHGHEHQPDQWHQHUORVUHJLVWURVYpDVH
'DWRVLQLFLDOHVGHODUHYLVLyQ
/RVGDWRVXWLOL]DGRVSRUOD'LUHFFLyQSDUDODUHYLVLyQGHEHQLQFOXLU
D ORVUHVXOWDGRVGHODVDXGLWRUtDV\UHYLVLRQHVGHO6*6,
E ORVFRPHQWDULRVGHODVSDUWHVLQWHUHVDGDV
F ODV WpFQLFDV SURGXFWRV R SURFHGLPLHQWRV TXH SRGUtDQ XWLOL]DUVH GHQWUR GH OD RUJDQL]DFLyQ SDUD PHMRUDU HO
FRPSRUWDPLHQWR\ODHILFDFLDGHO6*6,
G HOHVWDGRGHODVDFFLRQHVSUHYHQWLYDVRFRUUHFWLYDV
H ODVYXOQHUDELOLGDGHVRDPHQD]DVQRDERUGDGDVDGHFXDGDPHQWHHQODHYDOXDFLyQGHULHVJRVSUHYLD
I ORVUHVXOWDGRVGHODVPHGLFLRQHVGHODHILFDFLD
J ODVDFFLRQHVGHVHJXLPLHQWRGHODVUHYLVLRQHVDQWHULRUHV
K FXDOTXLHUFDPELRTXHSXGLHUDDIHFWDUDO6*6,\
L ODVUHFRPHQGDFLRQHVGHPHMRUD
5HVXOWDGRVGHODUHYLVLyQ
/RVUHVXOWDGRVGHODUHYLVLyQUHDOL]DGDSRUOD'LUHFFLyQGHEHQLQFOXLUFXDOTXLHUGHFLVLyQ\DFFLyQUHODWLYDVD
D ODPHMRUDGHODHILFDFLDGHO6*6,
E ODDFWXDOL]DFLyQGHODHYDOXDFLyQGHULHVJRV\GHOSODQGHWUDWDPLHQWRGHULHVJRV
F OD PRGLILFDFLyQ GH ORV SURFHGLPLHQWRV \ FRQWUROHV TXH DIHFWDQ D OD VHJXULGDG GH OD LQIRUPDFLyQ FXDQGR VHD
QHFHVDULRSDUDUHVSRQGHUDORVHYHQWRVLQWHUQRVRH[WHUQRVTXHSXHGHQDIHFWDUDO6*6,LQFOX\HQGRORVFDPELRVHQ
ORVUHTXLVLWRVGHOQHJRFLR
ORVUHTXLVLWRVGHVHJXULGDG
ORVSURFHVRVGHQHJRFLRTXHDIHFWDQDORVUHTXLVLWRVGHQHJRFLRH[LVWHQWHV
ORVUHTXLVLWRVOHJDOHVRUHJODPHQWDULRV
ODVREOLJDFLRQHVFRQWUDFWXDOHV\
ORVQLYHOHVGHULHVJR\RORVFULWHULRVGHDFHSWDFLyQGHORVULHVJRV
G ODVQHFHVLGDGHVGHUHFXUVRV
H ODPHMRUDHQHOPRGRGHPHGLUODHILFDFLDGHORVFRQWUROHV
,62,(&
0(-25$'(/6*6,
0HMRUDFRQWLQXD
/DRUJDQL]DFLyQGHEHPHMRUDUGHPDQHUDFRQWLQXDODHILFDFLDGHO6*6,PHGLDQWHHOXVRGHODSROtWLFD\GHORVREMHWLYRV
GHVHJXULGDGGHODLQIRUPDFLyQGHORVUHVXOWDGRVGHODVDXGLWRUtDVGHODQiOLVLVGHODPRQLWRUL]DFLyQGHHYHQWRVGHODV
DFFLRQHVFRUUHFWLYDV\SUHYHQWLYDV\GHODVUHYLVLRQHVGHOD'LUHFFLyQYpDVH
$FFLyQFRUUHFWLYD
/DRUJDQL]DFLyQGHEHUHDOL]DUDFFLRQHVSDUDHOLPLQDUODFDXVDGHODVQRFRQIRUPLGDGHVFRQORVUHTXLVLWRVGHO6*6,DILQ
GHHYLWDUTXHYXHOYDQDSURGXFLUVH(OSURFHGLPLHQWRGRFXPHQWDGRSDUDODVDFFLRQHVFRUUHFWLYDVGHEHGHILQLUORVUHTXL
VLWRVSDUD
D LGHQWLILFDUODVQRFRQIRUPLGDGHV
E GHWHUPLQDUODVFDXVDVGHODVQRFRQIRUPLGDGHV
F HYDOXDUODQHFHVLGDGGHDGRSWDUDFFLRQHVSDUDDVHJXUDUVHGHTXHODVQRFRQIRUPLGDGHVQRYXHOYDQDSURGXFLUVH
G GHWHUPLQDUHLPSODQWDUODVDFFLRQHVFRUUHFWLYDVQHFHVDULDV
H UHJLVWUDUORVUHVXOWDGRVGHODVDFFLRQHVUHDOL]DGDVYpDVH\
I UHYLVDUODVDFFLRQHVFRUUHFWLYDVUHDOL]DGDV
$FFLyQSUHYHQWLYD
/DRUJDQL]DFLyQGHEHGHWHUPLQDUODVDFFLRQHVQHFHVDULDVSDUDHOLPLQDUODFDXVDGHODVSRVLEOHVQRFRQIRUPLGDGHVFRQ
ORV UHTXLVLWRV GHO 6*6, SDUD HYLWDU TXH pVWDV YXHOYDQ D SURGXFLUVH /DV DFFLRQHV SUHYHQWLYDV DGRSWDGDV GHEHQ VHU
DSURSLDGDV HQ UHODFLyQ D ORV HIHFWRV GH ORV SUREOHPDV SRWHQFLDOHV (O SURFHGLPLHQWR GRFXPHQWDGR SDUD ODV DFFLRQHV
SUHYHQWLYDVGHEHGHILQLUORVUHTXLVLWRVSDUD
D LGHQWLILFDUODVSRVLEOHVQRFRQIRUPLGDGHV\VXVFDXVDV
E HYDOXDUODQHFHVLGDGGHDGRSWDUDFFLRQHVSDUDSUHYHQLUODRFXUUHQFLDGHQRFRQIRUPLGDGHV
F GHWHUPLQDUHLPSOHPHQWDUODVDFFLRQHVSUHYHQWLYDVQHFHVDULDV
G UHJLVWUDUORVUHVXOWDGRVGHODVDFFLRQHVDGRSWDGDVYpDVH\
H UHYLVDUODVDFFLRQHVSUHYHQWLYDVDGRSWDGDV
/DRUJDQL]DFLyQGHEHLGHQWLILFDUORVFDPELRVHQORVULHVJRVDVtFRPRORVUHTXLVLWRVGHODVDFFLRQHVSUHYHQWLYDVFHQ
WUDQGRODDWHQFLyQHQORVULHVJRVTXHKD\DQVXIULGRFDPELRVVLJQLILFDWLYRV
/DSULRULGDGGHODVDFFLRQHVSUHYHQWLYDVGHEHGHWHUPLQDUVHEDViQGRVHHQORVUHVXOWDGRVGHODHYDOXDFLyQGHULHVJRV
127$ $FWXDUSDUDSUHYHQLUODVQRFRQIRUPLGDGHVVXHOHVHUPiVUHQWDEOHTXHUHDOL]DUDFFLRQHVFRUUHFWLYDV
,62,(&
$1(;2$1RUPDWLYR
2%-(7,926'(&21752/<&21752/(6
/RVREMHWLYRVGHFRQWURO\ORVFRQWUROHVLQGLFDGRVHQODWDEOD$WLHQHQFRUUHVSRQGHQFLDGLUHFWDFRQORVHVWDEOHFLGRVHQ
OD1RUPD,62,(&FDStWXORVD/DVOLVWDVGHODWDEOD$QRVRQH[KDXVWLYDV\XQDRUJDQL]DFLyQSXHGH
FRQVLGHUDUTXHVRQQHFHVDULRVREMHWLYRVGHFRQWURO\FRQWUROHVDGLFLRQDOHV/RVREMHWLYRVGHFRQWURO\ORVFRQWUROHVTXH
ILJXUDQHQHVWDVWDEODVGHEHQVHUVHOHFFLRQDGRVFRPRSDUWHGHOSURFHVRGHO6*6,HVSHFLILFDGRHQHODSDUWDGR
/RVFDStWXORVDGHOD1RUPD,62,(&RIUHFHQDVHVRUDPLHQWRSDUDODLPSODQWDFLyQMXQWRFRQXQDJXtD
GHEXHQDVSUiFWLFDVGHDSR\RDORVFRQWUROHVHVSHFLILFDGRVHQORVSXQWRV$KDVWD$
7DEOD$2EMHWLYRVGHFRQWURO\FRQWUROHV
$3ROtWLFDGHVHJXULGDG
$3ROtWLFDGHVHJXULGDGGHODLQIRUPDFLyQ
2EMHWLYR3URSRUFLRQDULQGLFDFLRQHVSDUDODJHVWLyQ\VRSRUWHGHODVHJXULGDGGHODLQIRUPDFLyQGHDFXHUGRFRQORV
UHTXLVLWRVHPSUHVDULDOHV\FRQODOHJLVODFLyQ\ODVQRUPDWLYDVDSOLFDEOHV
$
'RFXPHQWRGHSROtWLFDGHVHJXULGDGGHOD
LQIRUPDFLyQ
&RQWURO/D'LUHFFLyQGHEHDSUREDUXQGRFXPHQWRGHSR
OtWLFDGHVHJXULGDGGHODLQIRUPDFLyQSXEOLFDUOR\GLVWUL
EXLUORDWRGRVORVHPSOHDGRV\WHUFHURVDIHFWDGRV
$
5HYLVLyQGHODSROtWLFDGHVHJXULGDGHOD
LQIRUPDFLyQ
&RQWURO/DSROtWLFDGHVHJXULGDGGHODLQIRUPDFLyQGHEH
UHYLVDUVHDLQWHUYDORVSODQLILFDGRVRVLHPSUHTXHVHSUR
GX]FDQFDPELRVVLJQLILFDWLYRVDILQGHDVHJXUDUTXHVH
PDQWHQJDVXLGRQHLGDGDGHFXDFLyQ\HILFDFLD
$$VSHFWRVRUJDQL]DWLYRVGHODVHJXULGDGGHODLQIRUPDFLyQ
$2UJDQL]DFLyQLQWHUQD
2EMHWLYR*HVWLRQDUODVHJXULGDGGHODLQIRUPDFLyQGHQWURGHODRUJDQL]DFLyQ
$
&RPLWpGHJHVWLyQGHVHJXULGDGGHOD
LQIRUPDFLyQ
&RQWURO/D'LUHFFLyQGHEHSUHVWDUXQDSR\RDFWLYRDOD
VHJXULGDGGHQWURGHODRUJDQL]DFLyQDWUDYpVGHGLUHFWULFHV
FODUDVXQFRPSURPLVRGHPRVWUDGRDVLJQDFLRQHVH[SOtFLWDV
\HOUHFRQRFLPLHQWRGHODVUHVSRQVDELOLGDGHVGHVHJXULGDG
GHODLQIRUPDFLyQ
$
&RRUGLQDFLyQGHODVHJXULGDGGHOD
LQIRUPDFLyQ
&RQWURO/DVDFWLYLGDGHVUHODWLYDVDODVHJXULGDGGHODLQ
IRUPDFLyQGHEHQVHUFRRUGLQDGDVHQWUHORVUHSUHVHQWDQWHV
GHODVGLIHUHQWHVSDUWHVGHODRUJDQL]DFLyQFRQVXVFRUUHV
SRQGLHQWHVUROHV\IXQFLRQHVGHWUDEDMR
$
$VLJQDFLyQGHUHVSRQVDELOLGDGHVUHODWLYDVD &RQWURO'HEHQGHILQLUVHFODUDPHQWHWRGDVODVUHVSRQVDEL
ODVHJXULGDGGHODLQIRUPDFLyQ
OLGDGHVUHODWLYDVDODVHJXULGDGGHODLQIRUPDFLyQ
$
&RQWURO3DUDFDGDQXHYRUHFXUVRGHSURFHVDGRGHODLQ
3URFHVRGHDXWRUL]DFLyQGHUHFXUVRVSDUDHO
IRUPDFLyQGHEHGHILQLUVHHLPSODQWDUVHXQSURFHVRGH
SURFHVDGRGHODLQIRUPDFLyQ
DXWRUL]DFLyQSRUSDUWHGHOD'LUHFFLyQ
$
$FXHUGRVGHFRQILGHQFLDOLGDG
&RQWURO'HEHGHWHUPLQDUVH\UHYLVDUVHSHULyGLFDPHQWHOD
QHFHVLGDGGHHVWDEOHFHUDFXHUGRVGHFRQILGHQFLDOLGDGRQR
UHYHODFLyQTXHUHIOHMHQODVQHFHVLGDGHVGHODRUJDQL]DFLyQ
SDUDODSURWHFFLyQGHODLQIRUPDFLyQ
$
$
$
,62,(&
&RQWDFWRFRQODVDXWRULGDGHV
&RQWURO'HEHQPDQWHQHUVHORVFRQWDFWRVDGHFXDGRVFRQ
ODVDXWRULGDGHVFRPSHWHQWHV
&RQWDFWRFRQJUXSRVGHHVSHFLDOLQWHUpV
&RQWURO'HEHQPDQWHQHUVHORVFRQWDFWRVDSURSLDGRVFRQ
JUXSRVGHLQWHUpVHVSHFLDOXRWURVIRURV\DVRFLDFLRQHV
SURIHVLRQDOHVHVSHFLDOL]DGRVHQVHJXULGDG
5HYLVLyQLQGHSHQGLHQWHGHODVHJXULGDGGH
ODLQIRUPDFLyQ
&RQWURO(OHQIRTXHGHODRUJDQL]DFLyQSDUDODJHVWLyQGHOD
VHJXULGDGGHODLQIRUPDFLyQ\VXLPSODQWDFLyQHVGHFLU
ORVREMHWLYRVGHFRQWUROORVFRQWUROHVODVSROtWLFDVORV
SURFHVRV\ORVSURFHGLPLHQWRVSDUDODVHJXULGDGGHOD
LQIRUPDFLyQGHEHVRPHWHUVHDXQDUHYLVLyQLQGHSHQGLHQWH
DLQWHUYDORVSODQLILFDGRVRVLHPSUHTXHVHSURGX]FDQ
FDPELRVVLJQLILFDWLYRVHQODLPSODQWDFLyQGHODVHJXULGDG
$7HUFHURV
2EMHWLYR0DQWHQHUODVHJXULGDGGHODLQIRUPDFLyQGHODRUJDQL]DFLyQ\GHORVGLVSRVLWLYRVGHSURFHVDGRGHOD
LQIRUPDFLyQTXHVRQREMHWRGHDFFHVRWUDWDPLHQWRFRPXQLFDFLyQRJHVWLyQSRUWHUFHURV
$
,GHQWLILFDFLyQGHORVULHVJRVGHULYDGRVGHO
DFFHVRGHWHUFHURV
&RQWURO'HEHQLGHQWLILFDUVHORVULHVJRVSDUDODLQIRUPD
FLyQ\SDUDORVGLVSRVLWLYRVGHSURFHVDGRGHODLQIRUPDFLyQ
GHODRUJDQL]DFLyQGHULYDGRVGHORVSURFHVRVGHQHJRFLR
TXHUHTXLHUDQGHWHUFHURVHLPSODQWDUORVFRQWUROHV
DSURSLDGRVDQWHVGHRWRUJDUHODFFHVR
$
7UDWDPLHQWRGHODVHJXULGDGHQODUHODFLyQ
FRQORVFOLHQWHV
&RQWURO$QWHVGHRWRUJDUDFFHVRDORVFOLHQWHVDORVDFWLYRV
RDODLQIRUPDFLyQGHODRUJDQL]DFLyQGHEHQWUDWDUVHWRGRV
ORVUHTXLVLWRVGHVHJXULGDGLGHQWLILFDGRV
7UDWDPLHQWRGHODVHJXULGDGHQFRQWUDWRV
FRQWHUFHURV
&RQWURO/RVDFXHUGRVFRQWHUFHURVTXHFRQOOHYHQDFFHVR
WUDWDPLHQWRFRPXQLFDFLyQRJHVWLyQELHQGHOD
LQIRUPDFLyQGHODRUJDQL]DFLyQRGHORVUHFXUVRVGH
WUDWDPLHQWRGHODLQIRUPDFLyQRELHQODLQFRUSRUDFLyQGH
SURGXFWRVRVHUYLFLRVDORVUHFXUVRVGHWUDWDPLHQWRGHOD
LQIRUPDFLyQGHEHQFXEULUWRGRVORVUHTXLVLWRVGHVHJXULGDG
SHUWLQHQWHV
$
$*HVWLyQGHDFWLYRV
$5HVSRQVDELOLGDGVREUHORVDFWLYRV
2EMHWLYR&RQVHJXLU\PDQWHQHUXQDSURWHFFLyQDGHFXDGDGHORVDFWLYRVGHODRUJDQL]DFLyQ
$
,QYHQWDULRGHDFWLYRV
&RQWURO7RGRVORVDFWLYRVGHEHQHVWDUFODUDPHQWHLGHQWLIL
FDGRV\GHEHHODERUDUVH\PDQWHQHUVHXQLQYHQWDULRGH
WRGRVORVDFWLYRVLPSRUWDQWHV
$
3URSLHGDGGHORVDFWLYRV
&RQWURO7RGDODLQIRUPDFLyQ\DFWLYRVDVRFLDGRVFRQORV
UHFXUVRVSDUDHOWUDWDPLHQWRGHODLQIRUPDFLyQGHEHQWHQHU
XQSURSLHWDULRTXHIRUPHSDUWHGHODRUJDQL]DFLyQ\KD\D
VLGRGHVLJQDGRFRPRSURSLHWDULR
8VRDFHSWDEOHGHORVDFWLYRV
&RQWURO6HGHEHQLGHQWLILFDUGRFXPHQWDUHLPSODQWDUODV
UHJODVSDUDHOXVRDFHSWDEOHGHODLQIRUPDFLyQ\ORVDFWLYRV
DVRFLDGRVFRQORVUHFXUVRVSDUDHOSURFHVDGRGHOD
LQIRUPDFLyQ
$
([SOLFDFLyQ(OWpUPLQRSURSLHWDULRVHUHILHUHDODSHUVRQDRHQWLGDGDODTXHVHOHKDDVLJQDGRODUHVSRQVDELOLGDGDGPLQLVWUDWLYDGHOFRQWUROGH
ODSURGXFFLyQGHVDUUROORPDQWHQLPLHQWRXVR\VHJXULGDGGHORVDFWLYRV(OWpUPLQRSURSLHWDULRQRVLJQLILFDTXHODSHUVRQDWHQJDUHDOPHQWH
DOJ~QGHUHFKRGHSURSLHGDGVREUHHODFWLYR
,62,(&
$&ODVLILFDFLyQGHODLQIRUPDFLyQ
2EMHWLYR$VHJXUDUTXHODLQIRUPDFLyQUHFLEHXQQLYHODGHFXDGRGHSURWHFFLyQ
&RQWURO/DLQIRUPDFLyQGHEHVHUFODVLILFDGDVHJ~QVX
YDORUORVUHTXLVLWRVOHJDOHVODVHQVLELOLGDG\ODFULWLFLGDG
SDUDODRUJDQL]DFLyQ
$
'LUHFWULFHVGHFODVLILFDFLyQ
$
&RQWURO6HGHEHGHVDUUROODUHLPSODQWDUXQFRQMXQWR
DGHFXDGRGHSURFHGLPLHQWRVSDUDHWLTXHWDU\PDQHMDUOD
(WLTXHWDGR\PDQLSXODGRGHODLQIRUPDFLyQ
LQIRUPDFLyQGHDFXHUGRFRQHOHVTXHPDGHFODVLILFDFLyQ
DGRSWDGRSRUODRUJDQL]DFLyQ
$6HJXULGDGOLJDGDDORVUHFXUVRVKXPDQRV
$$QWHVGHOHPSOHR
2EMHWLYR$VHJXUDUTXHORVHPSOHDGRVORVFRQWUDWLVWDV\ORVWHUFHURVHQWLHQGHQVXVUHVSRQVDELOLGDGHV\VRQDGHFXDGRV
SDUDOOHYDUDFDERODVIXQFLRQHVTXHOHVFRUUHVSRQGHQDVtFRPRSDUDUHGXFLUHOULHVJRGHURERIUDXGHRGHXVR
LQGHELGRGHORVUHFXUVRV
$
$
$
)XQFLRQHV\UHVSRQVDELOLGDGHV
&RQWURO/DVIXQFLRQHV\UHVSRQVDELOLGDGHVGHVHJXULGDGGH
ORVHPSOHDGRVFRQWUDWLVWDV\WHUFHURVVHGHEHQGHILQLU\
GRFXPHQWDUGHDFXHUGRFRQODSROtWLFDGHVHJXULGDGGHOD
LQIRUPDFLyQGHODRUJDQL]DFLyQ
,QYHVWLJDFLyQGHDQWHFHGHQWHV
&RQWURO/DFRPSUREDFLyQGHORVDQWHFHGHQWHVGHWRGRVORV
FDQGLGDWRVDOSXHVWRGHWUDEDMRGHORVFRQWUDWLVWDVRGHORV
WHUFHURVVHGHEHOOHYDUDFDERGHDFXHUGRFRQODVOHJLVOD
FLRQHVQRUPDWLYDV\FyGLJRVpWLFRVTXHVHDQGHDSOLFDFLyQ
\GHXQDPDQHUDSURSRUFLRQDGDDORVUHTXLVLWRVGHO
QHJRFLRODFODVLILFDFLyQGHODLQIRUPDFLyQDODTXHVH
DFFHGH\ORVULHVJRVFRQVLGHUDGRV
7pUPLQRV\FRQGLFLRQHVGHFRQWUDWDFLyQ
&RQWURO&RPRSDUWHGHVXVREOLJDFLRQHVFRQWUDFWXDOHVORV
HPSOHDGRVORVFRQWUDWLVWDV\ORVWHUFHURVGHEHQDFHSWDU\
ILUPDUORVWpUPLQRV\FRQGLFLRQHVGHVXFRQWUDWRGHWUDEDMR
TXHGHEHHVWDEOHFHUVXVUHVSRQVDELOLGDGHV\ODVGHODRU
JDQL]DFLyQHQORUHODWLYRDVHJXULGDGGHODLQIRUPDFLyQ
$'XUDQWHHOHPSOHR
2EMHWLYR$VHJXUDUTXHWRGRVORVHPSOHDGRVFRQWUDWLVWDV\WHUFHURVVRQFRQVFLHQWHVGHODVDPHQD]DV\SUREOHPDVTXH
DIHFWDQDODVHJXULGDGGHODLQIRUPDFLyQ\GHVXVUHVSRQVDELOLGDGHV\REOLJDFLRQHV\GHTXHHVWiQSUHSDUDGRVSDUD
FXPSOLUODSROtWLFDGHVHJXULGDGGHODRUJDQL]DFLyQHQHOGHVDUUROORKDELWXDOGHVXWUDEDMR\SDUDUHGXFLUHOULHVJRGH
HUURUKXPDQR
$
$
5HVSRQVDELOLGDGHVGHOD'LUHFFLyQ
&RQWURO/D'LUHFFLyQGHEHH[LJLUDORVHPSOHDGRVFRQ
WUDWLVWDV\WHUFHURVTXHDSOLTXHQODVHJXULGDGGHDFXHUGR
FRQODVSROtWLFDV\SURFHGLPLHQWRVHVWDEOHFLGRVHQOD
RUJDQL]DFLyQ
&RQFLHQFLDFLyQIRUPDFLyQ\FDSDFLWDFLyQ
HQVHJXULGDGGHODLQIRUPDFLyQ
&RQWURO7RGRVORVHPSOHDGRVGHODRUJDQL]DFLyQ\FXDQGR
FRUUHVSRQGDORVFRQWUDWLVWDV\WHUFHURVGHEHQUHFLELUXQD
DGHFXDGDFRQFLHQFLDFLyQ\IRUPDFLyQFRQDFWXDOL]DFLRQHV
SHULyGLFDVVREUHODVSROtWLFDV\SURFHGLPLHQWRVGHODRUJD
QL]DFLyQVHJ~QFRUUHVSRQGDFRQVXSXHVWRGHWUDEDMR
([SOLFDFLyQ/DSDODEUDHPSOHRXWLOL]DGDHQHVWHGRFXPHQWRKDFHUHIHUHQFLDDGLVWLQWDVVLWXDFLRQHVFRQWUDWDFLyQGHSHUVRQDOWHPSRUDORGHODU
JDGXUDFLyQQRPEUDPLHQWRGHFDUJRVFDPELRGHFDUJRVDVLJQDFLyQGHFRQWUDWLVWDV\WHUPLQDFLyQGHFXDOTXLHUDGHHVWRVDFXHUGRVRFRPSUR
PLVRV
$
3URFHVRGLVFLSOLQDULR
,62,(&
&RQWURO'HEHH[LVWLUXQSURFHVRGLVFLSOLQDULRIRUPDOSDUD
ORVHPSOHDGRVTXHKD\DQSURYRFDGRDOJXQDYLRODFLyQGHOD
VHJXULGDG
$&HVHGHOHPSOHRRFDPELRGHSXHVWRGHWUDEDMR
2EMHWLYR$VHJXUDUTXHORVHPSOHDGRVFRQWUDWLVWDV\WHUFHURVDEDQGRQDQODRUJDQL]DFLyQRFDPELDQGHSXHVWRGH
WUDEDMRGHXQDPDQHUDRUGHQDGD
$
5HVSRQVDELOLGDGGHOFHVHRFDPELR
&RQWURO/DVUHVSRQVDELOLGDGHVSDUDSURFHGHUDOFHVHHQHO
HPSOHRRDOFDPELRGHSXHVWRGHWUDEDMRGHEHQHVWDU
FODUDPHQWHGHILQLGDV\DVLJQDGDV
$
'HYROXFLyQGHDFWLYRV
&RQWURO7RGRVORVHPSOHDGRVFRQWUDWLVWDV\WHUFHURVGH
EHQGHYROYHUWRGRVDFWLYRVGHODRUJDQL]DFLyQTXHHVWpQHQ
VXSRGHUDOILQDOL]DUVXHPSOHRFRQWUDWRRDFXHUGR
5HWLUDGDGHORVGHUHFKRVGHDFFHVR
&RQWURO/RVGHUHFKRVGHDFFHVRDODLQIRUPDFLyQ\DORV
UHFXUVRVGHWUDWDPLHQWRGHODLQIRUPDFLyQGHWRGRVORV
HPSOHDGRVFRQWUDWLVWDV\WHUFHURVGHEHQVHUUHWLUDGRVDOD
ILQDOL]DFLyQGHOHPSOHRGHOFRQWUDWRRGHODFXHUGRRELHQ
GHEHQVHUDGDSWDGRVDORVFDPELRVSURGXFLGRV
$
$6HJXULGDGItVLFD\DPELHQWDO
$UHDVVHJXUDV
2EMHWLYR3UHYHQLUORVDFFHVRVItVLFRVQRDXWRUL]DGRVORVGDxRV\ODVLQWURPLVLRQHVHQODVLQVWDODFLRQHV\HQOD
LQIRUPDFLyQGHODRUJDQL]DFLyQ
$
3HUtPHWURGHVHJXULGDGItVLFD
&RQWURO6HGHEHQXWLOL]DUSHUtPHWURVGHVHJXULGDG
EDUUHUDVPXURVSXHUWDVGHHQWUDGDFRQFRQWURODWUDYpVGH
WDUMHWDRSXHVWRVGHFRQWUROSDUDSURWHJHUODViUHDVTXH
FRQWLHQHQODLQIRUPDFLyQ\ORVUHFXUVRVGHWUDWDPLHQWRGH
ODLQIRUPDFLyQ
$
&RQWUROHVItVLFRVGHHQWUDGD
&RQWURO/DViUHDVVHJXUDVGHEHQHVWDUSURWHJLGDVSRU
FRQWUROHVGHHQWUDGDDGHFXDGRVSDUDDVHJXUDUTXH
~QLFDPHQWHVHSHUPLWHHODFFHVRDOSHUVRQDODXWRUL]DGR
$
6HJXULGDGGHRILFLQDVGHVSDFKRVH
LQVWDODFLRQHV
&RQWURO6HGHEHQGLVHxDU\DSOLFDUODVPHGLGDVGHVH
JXULGDGItVLFDSDUDODVRILFLQDVGHVSDFKRVHLQVWDODFLRQHV
$
3URWHFFLyQFRQWUDODVDPHQD]DVH[WHUQDV\
GHRULJHQDPELHQWDO
&RQWURO6HGHEHGLVHxDU\DSOLFDUXQDSURWHFFLyQItVLFD
FRQWUDHOGDxRFDXVDGRSRUIXHJRLQXQGDFLyQWHUUHPRWR
H[SORVLyQUHYXHOWDVVRFLDOHV\RWUDVIRUPDVGHGHVDVWUHV
QDWXUDOHVRSURYRFDGRVSRUHOKRPEUH
$
7UDEDMRHQiUHDVVHJXUDV
&RQWURO6HGHEHQGLVHxDUHLPSODQWDUXQDSURWHFFLyQItVLFD
\XQDVHULHGHGLUHFWULFHVSDUDWUDEDMDUHQODViUHDVVHJXUDV
UHDVGHDFFHVRS~EOLFR\GHFDUJD\
GHVFDUJD
&RQWURO'HEHQFRQWURODUVHORVSXQWRVGHDFFHVRWDOHV
FRPRODViUHDVGHFDUJD\GHVFDUJD\RWURVSXQWRVDWUDYpV
GHORVTXHSHUVRQDOQRDXWRUL]DGRSXHGHDFFHGHUDODV
LQVWDODFLRQHV\VLHVSRVLEOHGLFKRVSXQWRVVHGHEHQDLVODU
GHORVUHFXUVRVGHWUDWDPLHQWRGHODLQIRUPDFLyQSDUDHYLWDU
ORVDFFHVRVQRDXWRUL]DGRV
$
$6HJXULGDGGHORVHTXLSRV
2EMHWLYR(YLWDUSpUGLGDVGDxRVURERVRFLUFXQVWDQFLDVTXHSRQJDQHQSHOLJURORVDFWLYRVRTXHSXHGDQSURYRFDUOD
LQWHUUXSFLyQGHODVDFWLYLGDGHVGHODRUJDQL]DFLyQ
,62,(&
$
(PSOD]DPLHQWR\SURWHFFLyQGHHTXLSRV
&RQWURO/RVHTXLSRVGHEHQVLWXDUVHRSURWHJHUVHGHIRUPD
TXHVHUHGX]FDQORVULHVJRVGHULYDGRVGHODVDPHQD]DV\
SHOLJURVGHRULJHQDPELHQWDODVtFRPRODVRFDVLRQHVGHTXH
VHSURGX]FDQDFFHVRVQRDXWRUL]DGRV
$
,QVWDODFLRQHVGHVXPLQLVWUR
&RQWURO/RVHTXLSRVGHEHQHVWDUSURWHJLGRVFRQWUDIDOORV
GHDOLPHQWDFLyQ\RWUDVDQRPDOtDVFDXVDGDVSRUIDOORVHQ
ODVLQVWDODFLRQHVGHVXPLQLVWUR
$
6HJXULGDGGHOFDEOHDGR
&RQWURO(OFDEOHDGRHOpFWULFR\GHWHOHFRPXQLFDFLRQHVTXH
WUDQVPLWHGDWRVRTXHGDVRSRUWHDORVVHUYLFLRVGHLQIRUPD
FLyQGHEHHVWDUSURWHJLGRIUHQWHDLQWHUFHSWDFLRQHVRGDxRV
$
0DQWHQLPLHQWRGHORVHTXLSRV
&RQWURO/RVHTXLSRVGHEHQUHFLELUXQPDQWHQLPLHQWR
FRUUHFWRTXHDVHJXUHVXGLVSRQLELOLGDG\VXLQWHJULGDG
$
6HJXULGDGGHORVHTXLSRVIXHUDGHODV
LQVWDODFLRQHV
&RQWURO7HQLHQGRHQFXHQWDORVGLIHUHQWHVULHVJRVTXH
FRQOOHYDWUDEDMDUIXHUDGHODVLQVWDODFLRQHVGHODRUJDQL]D
FLyQGHEHQDSOLFDUVHPHGLGDVGHVHJXULGDGDORVHTXLSRV
VLWXDGRVIXHUDGLFKDVLQVWDODFLRQHV
$
5HXWLOL]DFLyQRUHWLUDGDVHJXUDGHHTXLSRV
&RQWURO7RGRVORVVRSRUWHVGHDOPDFHQDPLHQWRGHEHQVHU
FRPSUREDGRVSDUDFRQILUPDUTXHWRGRGDWRVHQVLEOH\WRGDV
ODVOLFHQFLDVGHVRIWZDUHVHKDQHOLPLQDGRRELHQVHKDQ
UHFDUJDGRGHPDQHUDVHJXUDDQWHVGHVXUHWLUDGD
$
5HWLUDGDGHPDWHULDOHVSURSLHGDGGHOD
HPSUHVD
&RQWURO/RVHTXLSRVODLQIRUPDFLyQRHOVRIWZDUHQR
GHEHQVDFDUVHGHODVLQVWDODFLRQHVVLQXQDDXWRUL]DFLyQ
SUHYLD
$*HVWLyQGHFRPXQLFDFLRQHV\RSHUDFLRQHV
$5HVSRQVDELOLGDGHV\SURFHGLPLHQWRVGHRSHUDFLyQ
2EMHWLYR$VHJXUDUHOIXQFLRQDPLHQWRFRUUHFWR\VHJXURGHORVUHFXUVRVGHSURFHVDPLHQWRGHODLQIRUPDFLyQ
$
'RFXPHQWDFLyQGHORVSURFHGLPLHQWRVGH
RSHUDFLyQ
&RQWURO'HEHQGRFXPHQWDUVH\PDQWHQHUVHORVSURFHGL
PLHQWRVGHRSHUDFLyQ\SRQHUVHDGLVSRVLFLyQGHWRGRVORV
XVXDULRVTXHORVQHFHVLWHQ
$
*HVWLyQGHFDPELRV
&RQWURO'HEHQFRQWURODUVHORVFDPELRVHQORVUHFXUVRV\
ORVVLVWHPDVGHWUDWDPLHQWRGHODLQIRUPDFLyQ
$
6HJUHJDFLyQGHWDUHDV
&RQWURO/DVWDUHDV\iUHDVGHUHVSRQVDELOLGDGGHEHQ
VHJUHJDUVHSDUDUHGXFLUODSRVLELOLGDGGHTXHVHSURGX]FDQ
PRGLILFDFLRQHVQRDXWRUL]DGDVRQRLQWHQFLRQDGDVRXVRV
LQGHELGRVGHORVDFWLYRVGHODRUJDQL]DFLyQ
$
6HSDUDFLyQGHORVUHFXUVRVGHGHVDUUROOR
SUXHED\RSHUDFLyQ
&RQWURO'HEHQVHSDUDUVHORVUHFXUVRVGHGHVDUUROORGH
SUXHEDV\GHRSHUDFLyQSDUDUHGXFLUORVULHVJRVGHDFFHVR
QRDXWRUL]DGRRORVFDPELRVHQHOVLVWHPDRSHUDWLYR
$*HVWLyQGHODSURYLVLyQGHVHUYLFLRVSRUWHUFHURV
2EMHWLYR,PSODQWDU\PDQWHQHUHOQLYHODSURSLDGRGHVHJXULGDGGHODLQIRUPDFLyQHQODSURYLVLyQGHOVHUYLFLRHQFRQ
VRQDQFLDFRQORVDFXHUGRVGHSURYLVLyQGHVHUYLFLRVSRUWHUFHURV
$
3URYLVLyQGHVHUYLFLRV
&RQWURO6HGHEHFRPSUREDUTXHORVFRQWUROHVGHVHJXUL
GDGODVGHILQLFLRQHVGHORVVHUYLFLRV\ORVQLYHOHVGHSURYL
VLyQLQFOXLGRVHQHODFXHUGRGHSURYLVLyQGHVHUYLFLRVSRU
WHUFHURVKDQVLGRLPSODQWDGRVSXHVWRVHQRSHUDFLyQ\VRQ
PDQWHQLGRVSRUSDUWHGHXQWHUFHUR
$
$
,62,(&
6XSHUYLVLyQ\UHYLVLyQGHORVVHUYLFLRV
SUHVWDGRVSRUWHUFHURV
&RQWURO/RVVHUYLFLRVLQIRUPHV\UHJLVWURVSURSRUFLRQD
GRVSRUXQWHUFHURGHEHQVHUREMHWRGHVXSHUYLVLyQ\
UHYLVLyQSHULyGLFDV\WDPELpQGHEHQOOHYDUVHDFDER
DXGLWRULDVSHULyGLFDV
*HVWLyQGHFDPELRVHQORVVHUYLFLRV
SUHVWDGRVSRUWHUFHURV
&RQWURO6HGHEHQJHVWLRQDUORVFDPELRVHQODSURYLVLyQGH
ORVVHUYLFLRVLQFOX\HQGRHOPDQWHQLPLHQWR\ODPHMRUDGH
ODVSROtWLFDVORVSURFHGLPLHQWRV\ORVFRQWUROHVGHVHJXUL
GDGGHODLQIRUPDFLyQH[LVWHQWHVWHQLHQGRHQFXHQWDOD
FULWLFLGDGGHORVSURFHVRV\VLVWHPDVGHOQHJRFLRDIHFWDGRV
DVtFRPRODUHHYDOXDFLyQGHORVULHVJRV
$3ODQLILFDFLyQ\DFHSWDFLyQGHOVLVWHPD
2EMHWLYR0LQLPL]DUHOULHVJRGHIDOORVGHORVVLVWHPDV
$
$
*HVWLyQGHFDSDFLGDGHV
&RQWURO/DXWLOL]DFLyQGHORVUHFXUVRVVHGHEHVXSHUYLVDU\
DMXVWDUDVtFRPRUHDOL]DUSUR\HFFLRQHVGHORVUHTXLVLWRV
IXWXURVGHFDSDFLGDGSDUDJDUDQWL]DUHOFRPSRUWDPLHQWR
UHTXHULGRGHOVLVWHPD
$FHSWDFLyQGHOVLVWHPD
&RQWURO6HGHEHQHVWDEOHFHUORVFULWHULRVSDUDODDFHSWD
FLyQGHQXHYRVVLVWHPDVGHLQIRUPDFLyQGHODVDFWXDOL]D
FLRQHV\GHQXHYDVYHUVLRQHVGHORVPLVPRV\VHGHEHQ
OOHYDUDFDERSUXHEDVDGHFXDGDVGHORVVLVWHPDVGXUDQWHHO
GHVDUUROOR\SUHYLDPHQWHDODDFHSWDFLyQ
$3URWHFFLyQFRQWUDFyGLJRPDOLFLRVR\GHVFDUJDEOH
2EMHWLYR3URWHJHUODLQWHJULGDGGHOVRIWZDUH\GHODLQIRUPDFLyQ
&RQWURO6HGHEHQLPSODQWDUORVFRQWUROHVGHGHWHFFLyQ
SUHYHQFLyQ\UHFXSHUDFLyQTXHVLUYDQFRPRSURWHFFLyQ
FRQWUDFyGLJRPDOLFLRVR\VHGHEHQLPSODQWDUSURFHGL
PLHQWRVDGHFXDGRVGHFRQFLHQFLDFLyQGHOXVXDULR
$
&RQWUROHVFRQWUDHOFyGLJRPDOLFLRVR
$
&RQWURO&XDQGRVHDXWRULFHHOXVRGHFyGLJRGHVFDUJDGR
HQHOFOLHQWH-DYD6FULSW9%6FULSWDSSOHWVGH-DYD
&RQWUROHVFRQWUDHOFyGLJRGHVFDUJDGRHQHO DSSOHWVFRQWUROHV$FWLYH;HWFODFRQILJXUDFLyQGHEH
FOLHQWH
JDUDQWL]DUTXHGLFKRFyGLJRDXWRUL]DGRIXQFLRQDGH
DFXHUGRFRQXQDSROtWLFDGHVHJXULGDGFODUDPHQWHGHILQLGD
\VHGHEHHYLWDUTXHVHHMHFXWHHOFyGLJRQRDXWRUL]DGR
$&RSLDVGHVHJXULGDG
2EMHWLYR0DQWHQHUODLQWHJULGDG\GLVSRQLELOLGDGGHODLQIRUPDFLyQ\GHORVUHFXUVRVGHWUDWDPLHQWRGHODLQIRUPDFLyQ
$
&RSLDVGHVHJXULGDGGHODLQIRUPDFLyQ
&RQWURO6HGHEHQUHDOL]DUFRSLDVGHVHJXULGDGGHODLQIRU
PDFLyQ\GHOVRIWZDUH\VHGHEHQSUREDUSHULyGLFDPHQWH
FRQFRQIRUPHDODSROtWLFDGHFRSLDVGHVHJXULGDGDFRUGDGD
$*HVWLyQGHODVHJXULGDGGHODVUHGHV
2EMHWLYR$VHJXUDUODSURWHFFLyQGHODLQIRUPDFLyQHQODVUHGHV\ODSURWHFFLyQGHODLQIUDHVWUXFWXUDGHVRSRUWH
$
&RQWUROHVGHUHG
&RQWURO/DVUHGHVGHEHQHVWDUDGHFXDGDPHQWHJHVWLRQDGDV
\FRQWURODGDVSDUDTXHHVWpQSURWHJLGDVIUHQWHDSRVLEOHV
DPHQD]DV\SDUDPDQWHQHUODVHJXULGDGGHORVVLVWHPDV\
GHODVDSOLFDFLRQHVTXHXWLOL]DQHVWDVUHGHVLQFOX\HQGROD
LQIRUPDFLyQHQWUiQVLWR
,62,(&
$
6HJXULGDGGHORVVHUYLFLRVGHUHG
&RQWURO6HGHEHQLGHQWLILFDUODVFDUDFWHUtVWLFDVGHVHJXUL
GDGORVQLYHOHVGHVHUYLFLR\ORVUHTXLVLWRVGHJHVWLyQGH
WRGRVORVVHUYLFLRVGHUHG\VHGHEHQLQFOXLUHQWRGRDFXHU
GRGHVHUYLFLRVGHUHGWDQWRVLHVWRVVHUYLFLRVVHSUHVWDQ
GHQWURGHODRUJDQL]DFLyQFRPRVLVHVXEFRQWUDWDQ
$0DQLSXODFLyQGHORVVRSRUWHV
2EMHWLYR(YLWDUODUHYHODFLyQPRGLILFDFLyQUHWLUDGDRGHVWUXFFLyQQRDXWRUL]DGDGHORVDFWLYRV\ODLQWHUUXSFLyQGH
ODVDFWLYLGDGHVGHODRUJDQL]DFLyQ
$
*HVWLyQGHVRSRUWHVH[WUDtEOHV
&RQWURO6HGHEHQHVWDEOHFHUSURFHGLPLHQWRVSDUDOD
JHVWLyQGHORVVRSRUWHVH[WUDtEOHV
$
5HWLUDGDGHVRSRUWHV
&RQWURO/RVVRSRUWHVGHEHQVHUUHWLUDGRVGHIRUPDVHJXUD
FXDQGR\DQRYD\DQDVHUQHFHVDULRVPHGLDQWHORVSURFH
GLPLHQWRVIRUPDOHVHVWDEOHFLGRV
$
3URFHGLPLHQWRVGHPDQLSXODFLyQGHOD
LQIRUPDFLyQ
&RQWURO'HEHQHVWDEOHFHUVHSURFHGLPLHQWRVSDUDODPDQL
SXODFLyQ\HODOPDFHQDPLHQWRGHODLQIRUPDFLyQGHPRGR
TXHVHSURWHMDGLFKDLQIRUPDFLyQFRQWUDODUHYHODFLyQQR
DXWRUL]DGDRHOXVRLQGHELGR
$
6HJXULGDGGHODGRFXPHQWDFLyQGHOVLVWHPD
&RQWURO/DGRFXPHQWDFLyQGHOVLVWHPDGHEHHVWDU
SURWHJLGDFRQWUDDFFHVRVQRDXWRUL]DGRV
$,QWHUFDPELRGHLQIRUPDFLyQ
2EMHWLYR0DQWHQHUODVHJXULGDGGHODLQIRUPDFLyQ\GHOVRIWZDUHLQWHUFDPELDGRVGHQWURGHXQDRUJDQL]DFLyQ\FRQXQ
WHUFHUR
$
3ROtWLFDV\SURFHGLPLHQWRVGHLQWHUFDPELR
GHLQIRUPDFLyQ
&RQWURO'HEHQHVWDEOHFHUVHSROtWLFDVSURFHGLPLHQWRV\
FRQWUROHVIRUPDOHVTXHSURWHMDQHOLQWHUFDPELRGHLQIRU
PDFLyQPHGLDQWHHOXVRGHWRGRWLSRGHUHFXUVRVGH
FRPXQLFDFLyQ
$
$FXHUGRVGHLQWHUFDPELR
&RQWURO'HEHQHVWDEOHFHUVHDFXHUGRVSDUDHOLQWHUFDPELR
GHLQIRUPDFLyQ\GHOVRIWZDUHHQWUHODRUJDQL]DFLyQ\ORV
WHUFHURV
$
6RSRUWHVItVLFRVHQWUiQVLWR
&RQWURO'XUDQWHHOWUDQVSRUWHIXHUDGHORVOtPLWHVItVLFRV
GHODRUJDQL]DFLyQORVVRSRUWHVTXHFRQWHQJDQLQIRUPDFLyQ
GHEHQHVWDUSURWHJLGRVFRQWUDDFFHVRVQRDXWRUL]DGRVXVRV
LQGHELGRVRGHWHULRUR
$
0HQVDMHUtDHOHFWUyQLFD
&RQWURO/DLQIRUPDFLyQTXHVHDREMHWRGHPHQVDMHUtD
HOHFWUyQLFDGHEHHVWDUDGHFXDGDPHQWHSURWHJLGD
$
6LVWHPDVGHLQIRUPDFLyQHPSUHVDULDOHV
&RQWURO'HEHQIRUPXODUVHHLPSODQWDUVHSROtWLFDV\SUR
FHGLPLHQWRVSDUDSURWHJHUODLQIRUPDFLyQDVRFLDGDDOD
LQWHUFRQH[LyQGHORVVLVWHPDVGHLQIRUPDFLyQHPSUHVDULDOHV
$6HUYLFLRVGHFRPHUFLRHOHFWUyQLFR
2EMHWLYR*DUDQWL]DUODVHJXULGDGGHORVVHUYLFLRVGHFRPHUFLRHOHFWUyQLFR\HOXVRVHJXURGHORVPLVPRV
$
&RPHUFLRHOHFWUyQLFR
&RQWURO/DLQIRUPDFLyQLQFOXLGDHQHOFRPHUFLRHOHFWUy
QLFRTXHVHWUDQVPLWDDWUDYpVGHUHGHVS~EOLFDVGHEHSUR
WHJHUVHFRQWUDODVDFWLYLGDGHVIUDXGXOHQWDVODVGLVSXWDV
FRQWUDFWXDOHV\ODUHYHODFLyQRPRGLILFDFLyQQRDXWRUL]DGD
GHGLFKDLQIRUPDFLyQ
,62,(&
$
7UDQVDFFLRQHVHQOtQHD
&RQWURO/DLQIRUPDFLyQFRQWHQLGDHQODVWUDQVDFFLRQHVHQ
OtQHDGHEHHVWDUSURWHJLGDSDUDHYLWDUWUDQVPLVLRQHVLQFRP
SOHWDVHUURUHVGHGLUHFFLRQDPLHQWRDOWHUDFLRQHVQRDXWRUL
]DGDVGHORVPHQVDMHVODUHYHODFLyQODGXSOLFDFLyQROD
UHSURGXFFLyQQRDXWRUL]DGDVGHOPHQVDMH
$
,QIRUPDFLyQSXHVWDDGLVSRVLFLyQS~EOLFD
&RQWURO/DLQWHJULGDGGHODLQIRUPDFLyQSXHVWDDGLVSRVL
FLyQS~EOLFDVHGHEHSURWHJHUSDUDHYLWDUPRGLILFDFLRQHVQR
DXWRUL]DGDV
$6XSHUYLVLyQ
2EMHWLYR'HWHFWDUODVDFWLYLGDGHVGHSURFHVDPLHQWRGHODLQIRUPDFLyQQRDXWRUL]DGDV
5HJLVWURGHDXGLWRULDV
&RQWURO6HGHEHQUHDOL]DUUHJLVWURVGHDXGLWRULDGHODV
DFWLYLGDGHVGHORVXVXDULRVODVH[FHSFLRQHV\HYHQWRVGH
VHJXULGDGGHODLQIRUPDFLyQ\VHGHEHQPDQWHQHUHVWRV
UHJLVWURVGXUDQWHXQSHULRGRDFRUGDGRSDUDVHUYLUFRPR
SUXHEDHQLQYHVWLJDFLRQHVIXWXUDV\HQODVXSHUYLVLyQGHO
FRQWUROGHDFFHVR
$
6XSHUYLVLyQGHOXVRGHOVLVWHPD
&RQWURO6HGHEHQHVWDEOHFHUSURFHGLPLHQWRVSDUDVXSHUYL
VDUHOXVRGHORVUHFXUVRVGHSURFHVDPLHQWRGHOD
LQIRUPDFLyQ\VHGHEHQUHYLVDUSHULyGLFDPHQWHORV
UHVXOWDGRVGHODVDFWLYLGDGHVGHVXSHUYLVLyQ
$
3URWHFFLyQGHODLQIRUPDFLyQGHORV
UHJLVWURV
&RQWURO/RVGLVSRVLWLYRVGHUHJLVWUR\ODLQIRUPDFLyQGH
ORVUHJLVWURVGHEHQHVWDUSURWHJLGRVFRQWUDPDQLSXODFLRQHV
LQGHELGDV\DFFHVRVQRDXWRUL]DGRV
$
5HJLVWURVGHDGPLQLVWUDFLyQ\RSHUDFLyQ
&RQWURO6HGHEHQUHJLVWUDUODVDFWLYLGDGHVGHO
DGPLQLVWUDGRUGHOVLVWHPD\GHODRSHUDFLyQGHOVLVWHPD
$
$ 5HJLVWURGHIDOORV
&RQWURO/RVIDOORVGHEHQVHUUHJLVWUDGRV\DQDOL]DGRV\VH
GHEHQWRPDUODVFRUUHVSRQGLHQWHVDFFLRQHV
$
&RQWURO/RVUHORMHVGHWRGRVORVVLVWHPDVGH
SURFHVDPLHQWRGHODLQIRUPDFLyQGHQWURGHXQD
RUJDQL]DFLyQRGHXQGRPLQLRGHVHJXULGDGGHEHQHVWDU
VLQFURQL]DGRVFRQXQDSUHFLVLyQGHWLHPSRDFRUGDGD
6LQFURQL]DFLyQGHOUHORM
$&RQWUROGHDFFHVR
$5HTXLVLWRVGHQHJRFLRSDUDHOFRQWUROGHDFFHVR
2EMHWLYR&RQWURODUHODFFHVRDODLQIRUPDFLyQ
$
3ROtWLFDGHFRQWUROGHDFFHVR
&RQWURO6HGHEHHVWDEOHFHUGRFXPHQWDU\UHYLVDUXQD
SROtWLFDGHFRQWUROGHDFFHVREDVDGDHQORVUHTXLVLWRV
HPSUHVDULDOHV\GHVHJXULGDGSDUDHODFFHVR
$*HVWLyQGHDFFHVRGHXVXDULR
2EMHWLYR$VHJXUDUHODFFHVRGHXQXVXDULRDXWRUL]DGR\SUHYHQLUHODFFHVRQRDXWRUL]DGRDORVVLVWHPDVGHLQIRUPDFLyQ
$
5HJLVWURGHXVXDULR
&RQWURO'HEHHVWDEOHFHUVHXQSURFHGLPLHQWRIRUPDOGH
UHJLVWUR\GHDQXODFLyQGHXVXDULRVSDUDFRQFHGHU\UHYRFDU
HODFFHVRDWRGRVORVVLVWHPDV\VHUYLFLRVGHLQIRUPDFLyQ
$
*HVWLyQGHSULYLOHJLRV
&RQWURO/DDVLJQDFLyQ\HOXVRGHSULYLOHJLRVGHEHQHVWDU
UHVWULQJLGRV\FRQWURODGRV
$
*HVWLyQGHFRQWUDVHxDVGHXVXDULR
&RQWURO/DDVLJQDFLyQGHFRQWUDVHxDVGHEHVHUFRQWURODGD
DWUDYpVGHXQSURFHVRGHJHVWLyQIRUPDO
,62,(&
$
5HYLVLyQGHORVGHUHFKRVGHDFFHVRGH
XVXDULR
&RQWURO/D'LUHFFLyQGHEHUHYLVDUORVGHUHFKRVGHDFFHVR
GHXVXDULRDLQWHUYDORVUHJXODUHV\XWLOL]DQGRXQSURFHVR
IRUPDO
$5HVSRQVDELOLGDGHVGHXVXDULR
2EMHWLYR3UHYHQLUHODFFHVRGHXVXDULRVQRDXWRUL]DGRVDVtFRPRHYLWDUHOTXHVHFRPSURPHWDRVHSURGX]FDHOURER
GHODLQIRUPDFLyQRGHORVUHFXUVRVGHSURFHVDPLHQWRGHODLQIRUPDFLyQ
$
8VRGHFRQWUDVHxD
&RQWURO6HGHEHUHTXHULUDORVXVXDULRVHOVHJXLUODV
EXHQDVSUiFWLFDVGHVHJXULGDGHQODVHOHFFLyQ\HOXVRGH
ODVFRQWUDVHxDV
$
(TXLSRGHXVXDULRGHVDWHQGLGR
&RQWURO/RVXVXDULRVGHEHQDVHJXUDUVHGHTXHHOHTXLSR
GHVDWHQGLGRWLHQHODSURWHFFLyQDGHFXDGD
$
3ROtWLFDGHSXHVWRGHWUDEDMRGHVSHMDGR\
SDQWDOODOLPSLD
&RQWURO'HEHDGRSWDUVHXQDSROtWLFDGHSXHVWRGHWUDEDMR
GHVSHMDGRGHSDSHOHV\GHVRSRUWHVGHDOPDFHQDPLHQWR
H[WUDtEOHVMXQWRFRQXQDSROtWLFDGHSDQWDOODOLPSLDSDUDORV
UHFXUVRVGHSURFHVDPLHQWRGHODLQIRUPDFLyQ
$&RQWUROGHDFFHVRDODUHG
2EMHWLYR3UHYHQLUHODFFHVRQRDXWRUL]DGRDORVVHUYLFLRVHQUHG
$
3ROtWLFDGHXVRGHORVVHUYLFLRVHQUHG
&RQWURO6HGHEHSURSRUFLRQDUDORVXVXDULRV~QLFDPHQWHHO
DFFHVRDORVVHUYLFLRVSDUDTXHORVTXHKD\DQVLGR
HVSHFtILFDPHQWHDXWRUL]DGRV
$
$XWHQWLFDFLyQGHXVXDULRSDUDFRQH[LRQHV
H[WHUQDV
&RQWURO6HGHEHQXWLOL]DUORVPpWRGRVDSURSLDGRVGH
DXWHQWLFDFLyQSDUDFRQWURODUHODFFHVRGHORVXVXDULRV
UHPRWRV
$
,GHQWLILFDFLyQGHORVHTXLSRVHQODVUHGHV
&RQWURO/DLGHQWLILFDFLyQDXWRPiWLFDGHORVHTXLSRVVH
GHEHFRQVLGHUDUFRPRXQPHGLRGHDXWHQWLFDFLyQGHODV
FRQH[LRQHVSURYHQLHQWHVGHORFDOL]DFLRQHV\HTXLSRV
HVSHFtILFRV
$
'LDJQyVWLFRUHPRWR\SURWHFFLyQGHORV
SXHUWRVGHFRQILJXUDFLyQ
&RQWURO6HGHEHFRQWURODUHODFFHVRItVLFR\OyJLFRDORV
SXHUWRVGHGLDJQyVWLFR\GHFRQILJXUDFLyQ
$
6HJUHJDFLyQGHODVUHGHV
&RQWURO/RVJUXSRVGHVHUYLFLRVGHLQIRUPDFLyQXVXDULRV
\VLVWHPDVGHLQIRUPDFLyQGHEHQHVWDUVHJUHJDGRVHQUHGHV
$
&RQWUROGHODFRQH[LyQDODUHG
&RQWURO(QUHGHVFRPSDUWLGDVHVSHFLDOPHQWHHQDTXHOODV
TXHWUDVSDVHQODVIURQWHUDVGHODRUJDQL]DFLyQGHEHUHV
WULQJLUVHODFDSDFLGDGGHORVXVXDULRVSDUDFRQHFWDUVHDOD
UHGHVWRGHEHKDFHUVHGHDFXHUGRDODSROtWLFDGHFRQWUROGH
DFFHVR\DORVUHTXLVLWRVGHODVDSOLFDFLRQHVGHOQHJRFLR
YpDVH
$
&RQWURO6HGHEHQLPSODQWDUFRQWUROHVGHHQFDPLQDPLHQWR
URXWLQJGHUHGHVSDUDDVHJXUDUTXHODVFRQH[LRQHVGHORV
RUGHQDGRUHV\ORVIOXMRVGHLQIRUPDFLyQQRYLRODQODSROtWL
FDGHFRQWUROGHDFFHVRGHODVDSOLFDFLRQHVHPSUHVDULDOHV
$&RQWUROGHDFFHVRDOVLVWHPDRSHUDWLYR
2EMHWLYR3UHYHQLUHODFFHVRQRDXWRUL]DGRDORVVLVWHPDVRSHUDWLYRV
$
&RQWURO(ODFFHVRDORVVLVWHPDVRSHUDWLYRVVHGHEHFRQ
3URFHGLPLHQWRVVHJXURVGHLQLFLRGHVHVLyQ WURODUSRUPHGLRGHXQSURFHGLPLHQWRVHJXURGHLQLFLRGH
VHVLyQ
,62,(&
$
,GHQWLILFDFLyQ\DXWHQWLFDFLyQGHXVXDULR
&RQWURO7RGRVORVXVXDULRVGHEHQWHQHUXQLGHQWLILFDGRU
~QLFR,'GHXVXDULRSDUDVXXVRSHUVRQDO\H[FOXVLYR\
VHGHEHHOHJLUXQDWpFQLFDDGHFXDGDGHDXWHQWLFDFLyQSDUD
FRQILUPDUODLGHQWLGDGVROLFLWDGDGHOXVXDULR
$
6LVWHPDGHJHVWLyQGHFRQWUDVHxDV
&RQWURO/RVVLVWHPDVSDUDODJHVWLyQGHFRQWUDVHxDVGHEHQ
VHULQWHUDFWLYRV\HVWDEOHFHUFRQWUDVHxDVVHJXUDV\UREXVWDV
$
8VRGHORVUHFXUVRVGHOVLVWHPD
&RQWURO6HGHEHUHVWULQJLU\FRQWURODUULJXURVDPHQWHHOXVR
GHSURJUDPDV\XWLOLGDGHVTXHSXHGDQVHUFDSDFHVGHLQYD
OLGDUORVFRQWUROHVGHOVLVWHPD\GHODDSOLFDFLyQ
$
'HVFRQH[LyQDXWRPiWLFDGHVHVLyQ
&RQWURO/DVVHVLRQHVLQDFWLYDVGHEHQFHUUDUVHGHVSXpVGH
XQSHULRGRGHLQDFWLYLGDGGHILQLGR
$
/LPLWDFLyQGHOWLHPSRGHFRQH[LyQ
&RQWURO3DUDSURSRUFLRQDUVHJXULGDGDGLFLRQDODODVDSOLFD
FLRQHVGHDOWRULHVJRVHGHEHQXWLOL]DUUHVWULFFLRQHVHQORV
WLHPSRVGHFRQH[LyQ
$&RQWUROGHDFFHVRDODVDSOLFDFLRQHV\DODLQIRUPDFLyQ
2EMHWLYR3UHYHQLUHODFFHVRQRDXWRUL]DGRDODLQIRUPDFLyQTXHFRQWLHQHQODVDSOLFDFLRQHV
$
5HVWULFFLyQGHODFFHVRDODLQIRUPDFLyQ
&RQWURO6HGHEHUHVWULQJLUHODFFHVRDODLQIRUPDFLyQ\D
ODVDSOLFDFLRQHVDORVXVXDULRV\DOSHUVRQDOGHVRSRUWHGH
DFXHUGRFRQODSROtWLFDGHFRQWUROGHDFFHVRGHILQLGD
$
$LVODPLHQWRGHVLVWHPDVVHQVLEOHV
&RQWURO/RVVLVWHPDVVHQVLEOHVGHEHQWHQHUXQHQWRUQRGH
RUGHQDGRUHVGHGLFDGRVDLVODGRV
$2UGHQDGRUHVSRUWiWLOHV\WHOHWUDEDMR
2EMHWLYR*DUDQWL]DUODVHJXULGDGGHODLQIRUPDFLyQFXDQGRVHXWLOL]DQRUGHQDGRUHVSRUWiWLOHV\VHUYLFLRVGHWHOHWUDEDMR
$
2UGHQDGRUHVSRUWiWLOHV\FRPXQLFDFLRQHV
PyYLOHV
&RQWURO6HGHEHLPSODQWDUXQDSROtWLFDIRUPDO\VHGHEHQ
DGRSWDUODVPHGLGDVGHVHJXULGDGDGHFXDGDVGHSURWHFFLyQ
FRQWUDORVULHVJRVGHODXWLOL]DFLyQGHRUGHQDGRUHVSRUWiWL
OHV\FRPXQLFDFLRQHVPyYLOHV
$
7HOHWUDEDMR
&RQWURO6HGHEHUHGDFWDUHLPSODQWDUXQDSROtWLFDGHDFWL
YLGDGHVGHWHOHWUDEDMRDVtFRPRORVSODQHV\SURFHGLPLHQ
WRVGHRSHUDFLyQFRUUHVSRQGLHQWHV
$$GTXLVLFLyQGHVDUUROOR\PDQWHQLPLHQWRGHORVVLVWHPDVGHLQIRUPDFLyQ
$5HTXLVLWRVGHVHJXULGDGGHORVVLVWHPDVGHLQIRUPDFLyQ
2EMHWLYR*DUDQWL]DUTXHODVHJXULGDGHVWiLQWHJUDGDHQORVVLVWHPDVGHLQIRUPDFLyQ
$
$QiOLVLV\HVSHFLILFDFLyQGHORVUHTXLVLWRV
GHVHJXULGDG
&RQWURO(QODVGHFODUDFLRQHVGHORVUHTXLVLWRVGHQHJRFLR
SDUDORVQXHYRVVLVWHPDVGHLQIRUPDFLyQRSDUDPHMRUDVGH
ORVVLVWHPDVGHLQIRUPDFLyQ\DH[LVWHQWHVVHGHEHQHVSHFL
ILFDUORVUHTXLVLWRVGHORVFRQWUROHVGHVHJXULGDG
$7UDWDPLHQWRFRUUHFWRGHODVDSOLFDFLRQHV
2EMHWLYR(YLWDUHUURUHVSpUGLGDVPRGLILFDFLRQHVQRDXWRUL]DGDVRXVRVLQGHELGRVGHODLQIRUPDFLyQHQODVDSOLFDFLRQHV
$
9DOLGDFLyQGHORVGDWRVGHHQWUDGD
&RQWURO/DLQWURGXFFLyQGHGDWRVHQODVDSOLFDFLRQHVGHEH
YDOLGDUVHSDUDJDUDQWL]DUTXHGLFKRVGDWRVVRQFRUUHFWRV\
DGHFXDGRV
,62,(&
&RQWUROGHOSURFHVDPLHQWRLQWHUQR
&RQWURO3DUDGHWHFWDUFXDOTXLHUFRUUXSFLyQGHODLQIRU
PDFLyQGHELGDDHUURUHVGHSURFHVDPLHQWRRDFWRVLQWHQFLR
QDGRVVHGHEHQLQFRUSRUDUFRPSUREDFLRQHVGHYDOLGDFLyQ
HQODVDSOLFDFLRQHV
$
,QWHJULGDGGHORVPHQVDMHV
&RQWURO6HGHEHQLGHQWLILFDUORVUHTXLVLWRVSDUDJDUDQWL]DU
ODDXWHQWLFLGDG\SDUDSURWHJHUODLQWHJULGDGGHORVPHQVD
MHVHQODVDSOLFDFLRQHV\VHGHEHQLGHQWLILFDUHLPSODQWDU
ORVFRQWUROHVDGHFXDGRV
$
9DOLGDFLyQGHORVGDWRVGHVDOLGD
&RQWURO/RVGDWRVGHVDOLGDGHXQDDSOLFDFLyQVHGHEHQ
YDOLGDUSDUDJDUDQWL]DUTXHHOWUDWDPLHQWRGHODLQIRUPDFLyQ
DOPDFHQDGDHVFRUUHFWR\DGHFXDGRDODVFLUFXQVWDQFLDV
$
$&RQWUROHVFULSWRJUiILFRV
2EMHWLYR3URWHJHUODFRQILGHQFLDOLGDGODDXWHQWLFLGDGRODLQWHJULGDGGHODLQIRUPDFLyQSRUPHGLRVFULSWRJUiILFRV
$
3ROtWLFDGHXVRGHORVFRQWUROHV
FULSWRJUiILFRV
&RQWURO6HGHEHIRUPXODUHLPSODQWDUXQDSROtWLFDSDUDHO
XVRGHORVFRQWUROHVFULSWRJUiILFRVSDUDSURWHJHUOD
LQIRUPDFLyQ
$
*HVWLyQGHFODYHV
&RQWURO'HEHLPSODQWDUVHXQVLVWHPDGHJHVWLyQGHFODYHV
SDUDGDUVRSRUWHDOXVRGHWpFQLFDVFULSWRJUiILFDVSRUSDUWH
GHODRUJDQL]DFLyQ
$6HJXULGDGGHORVDUFKLYRVGHVLVWHPD
2EMHWLYR*DUDQWL]DUODVHJXULGDGGHORVDUFKLYRVGHVLVWHPD
$
&RQWUROGHOVRIWZDUHHQH[SORWDFLyQ
&RQWURO'HEHQHVWDULPSODQWDGRVSURFHGLPLHQWRVSDUD
FRQWURODUODLQVWDODFLyQGHVRIWZDUHHQORVVLVWHPDV
RSHUDWLYRV
$
3URWHFFLyQGHORVGDWRVGHSUXHEDGHO
VLVWHPD
&RQWURO/RVGDWRVGHSUXHEDVHGHEHQVHOHFFLRQDUFRQ
FXLGDGR\GHEHQHVWDUSURWHJLGRV\FRQWURODGRV
$
&RQWUROGHDFFHVRDOFyGLJRIXHQWHGHORV
SURJUDPDV
&RQWURO6HGHEHUHVWULQJLUHODFFHVRDOFyGLJRIXHQWHGHORV
SURJUDPDV
$6HJXULGDGHQORVSURFHVRVGHGHVDUUROOR\VRSRUWH
2EMHWLYR0DQWHQHUODVHJXULGDGGHOVRIWZDUH\GHODLQIRUPDFLyQGHODVDSOLFDFLRQHV
$
3URFHGLPLHQWRVGHFRQWUROGHFDPELRV
&RQWURO/DLPSODQWDFLyQGHFDPELRVGHEHFRQWURODUVH
PHGLDQWHHOXVRGHSURFHGLPLHQWRVIRUPDOHVGHFRQWUROGH
FDPELRV
$
5HYLVLyQWpFQLFDGHODVDSOLFDFLRQHVWUDV
HIHFWXDUFDPELRVHQHOVLVWHPDRSHUDWLYR
&RQWURO&XDQGRVHPRGLILTXHQORVVLVWHPDVRSHUDWLYRVODV
DSOLFDFLRQHVHPSUHVDULDOHVFUtWLFDVGHEHQVHUUHYLVDGDV\
SUREDGDVSDUDJDUDQWL]DUTXHQRH[LVWHQHIHFWRVDGYHUVRV
HQODVRSHUDFLRQHVRHQODVHJXULGDGGHODRUJDQL]DFLyQ
$
&RQWURO6HGHEHQGHVDFRQVHMDUODVPRGLILFDFLRQHVHQORV
5HVWULFFLRQHVDORVFDPELRVHQORVSDTXHWHV SDTXHWHVGHVRIWZDUHOLPLWiQGRVHDORVFDPELRV
GHVRIWZDUH
QHFHVDULRV\WRGRVORVFDPELRVGHEHQVHUREMHWRGHXQ
FRQWUROULJXURVR
$
)XJDVGHLQIRUPDFLyQ
&RQWURO'HEHQHYLWDUVHODVVLWXDFLRQHVTXHSHUPLWDQTXH
VHSURGX]FDQIXJDVGHLQIRUPDFLyQ
$
([WHUQDOL]DFLyQGHOGHVDUUROORGHVRIWZDUH
&RQWURO/DH[WHUQDOL]DFLyQGHOGHVDUUROORGHVRIWZDUHGHEH
VHUVXSHUYLVDGD\FRQWURODGDSRUODRUJDQL]DFLyQ
,62,(&
$*HVWLyQGHODYXOQHUDELOLGDGWpFQLFD
2EMHWLYR5HGXFLUORVULHVJRVUHVXOWDQWHVGHODH[SORWDFLyQGHODVYXOQHUDELOLGDGHVWpFQLFDVSXEOLFDGDV
$
&RQWUROGHODVYXOQHUDELOLGDGHVWpFQLFDV
&RQWURO6HGHEHREWHQHULQIRUPDFLyQRSRUWXQDDFHUFDGH
ODVYXOQHUDELOLGDGHVWpFQLFDVGHORVVLVWHPDVGHLQIRUPD
FLyQTXHHVWiQVLHQGRXWLOL]DGRVHYDOXDUODH[SRVLFLyQGH
ODRUJDQL]DFLyQDGLFKDVYXOQHUDELOLGDGHV\DGRSWDUODV
PHGLGDVDGHFXDGDVSDUDDIURQWDUHOULHVJRDVRFLDGR
$*HVWLyQGHLQFLGHQWHVGHVHJXULGDGGHODLQIRUPDFLyQ
$1RWLILFDFLyQGHHYHQWRV\SXQWRVGpELOHVGHODVHJXULGDGGHODLQIRUPDFLyQ
2EMHWLYR$VHJXUDUVHGHTXHORVHYHQWRV\ODVYXOQHUDELOLGDGHVGHODVHJXULGDGGHODLQIRUPDFLyQDVRFLDGRVFRQORV
VLVWHPDVGHLQIRUPDFLyQVHFRPXQLFDQGHPDQHUDTXHVHDSRVLEOHHPSUHQGHUODVDFFLRQHVFRUUHFWLYDVRSRUWXQDV
$
$
&RQWURO/RVHYHQWRVGHVHJXULGDGGHODLQIRUPDFLyQVH
1RWLILFDFLyQGHORVHYHQWRVGHVHJXULGDGGH
GHEHQQRWLILFDUDWUDYpVGHORVFDQDOHVDGHFXDGRVGH
ODLQIRUPDFLyQ
JHVWLyQORDQWHVSRVLEOH
1RWLILFDFLyQGHORVSXQWRVGpELOHVGHOD
VHJXULGDG
&RQWURO7RGRVORVHPSOHDGRVFRQWUDWLVWDV\WHUFHURVTXH
VHDQXVXDULRVGHORVVLVWHPDV\VHUYLFLRVGHLQIRUPDFLyQ
GHEHQHVWDUREOLJDGRVDDQRWDU\QRWLILFDUFXDOTXLHUSXQWR
GpELOTXHREVHUYHQRTXHVRVSHFKHQH[LVWDHQGLFKRV
VLVWHPDVRVHUYLFLRV
$*HVWLyQGHLQFLGHQWHVGHVHJXULGDGGHODLQIRUPDFLyQ\PHMRUDV
2EMHWLYR*DUDQWL]DUTXHVHDSOLFDXQHQIRTXHFRKHUHQWH\HIHFWLYRDODJHVWLyQGHORVLQFLGHQWHVGHVHJXULGDGGHOD
LQIRUPDFLyQ
&RQWURO6HGHEHQHVWDEOHFHUODVUHVSRQVDELOLGDGHV\
SURFHGLPLHQWRVGHJHVWLyQSDUDJDUDQWL]DUXQDUHVSXHVWD
UiSLGDHIHFWLYD\RUGHQDGDDORVLQFLGHQWHVGHVHJXULGDGGH
ODLQIRUPDFLyQ
$
5HVSRQVDELOLGDGHV\SURFHGLPLHQWRV
$
&RQWURO'HEHQH[LVWLUPHFDQLVPRVTXHSHUPLWDQFXDQWL
$SUHQGL]DMHGHORVLQFLGHQWHVGHVHJXULGDG
ILFDU\VXSHUYLVDUORVWLSRVYRO~PHQHV\FRVWHVGHORV
GHODLQIRUPDFLyQ
LQFLGHQWHVGHVHJXULGDGGHODLQIRUPDFLyQ
$
5HFRSLODFLyQGHHYLGHQFLDV
&RQWURO&XDQGRVHHPSUHQGDXQDDFFLyQFRQWUDXQDSHU
VRQDXRUJDQL]DFLyQGHVSXpVGHXQLQFLGHQWHGHVHJXULGDG
GHODLQIRUPDFLyQTXHLPSOLTXHDFFLRQHVOHJDOHVWDQWR
FLYLOHVFRPRSHQDOHVGHEHQUHFRSLODUVHODVHYLGHQFLDV
FRQVHUYDUVH\SUHVHQWDUVHFRQIRUPHDODVQRUPDV
HVWDEOHFLGDVHQODMXULVGLFFLyQFRUUHVSRQGLHQWH
$*HVWLyQGHODFRQWLQXLGDGGHOQHJRFLR
$$VSHFWRVGHVHJXULGDGGHODLQIRUPDFLyQHQODJHVWLyQGHODFRQWLQXLGDGGHOQHJRFLR
2EMHWLYR&RQWUDUUHVWDUODVLQWHUUXSFLRQHVGHODVDFWLYLGDGHVHPSUHVDULDOHV\SURWHJHUORVSURFHVRVFUtWLFRVGHQHJRFLR
GHORVHIHFWRVGHULYDGRVGHIDOORVLPSRUWDQWHVRFDWDVWUyILFRVGHORVVLVWHPDVGHLQIRUPDFLyQDVtFRPRJDUDQWL]DUVX
RSRUWXQDUHDQXGDFLyQ
$
&RQWURO'HEHGHVDUUROODUVH\PDQWHQHUVHXQSURFHVRSDUD
,QFOXVLyQGHODVHJXULGDGGHODLQIRUPDFLyQ
ODFRQWLQXLGDGGHOQHJRFLRHQWRGDODRUJDQL]DFLyQTXH
HQHOSURFHVRGHJHVWLyQGHODFRQWLQXLGDG
JHVWLRQHORVUHTXLVLWRVGHVHJXULGDGGHODLQIRUPDFLyQ
GHOQHJRFLR
QHFHVDULRVSDUDODFRQWLQXLGDGGHOQHJRFLR
,62,(&
&RQWURO'HEHQLGHQWLILFDUVHORVHYHQWRVTXHSXHGDQFDXVDU
LQWHUUXSFLRQHVHQORVSURFHVRVGHQHJRFLRDVtFRPRODSUR
EDELOLGDGGHTXHVHSURGX]FDQWDOHVLQWHUUXSFLRQHVVXVHIHF
WRV\VXVFRQVHFXHQFLDVSDUDODVHJXULGDGGHODLQIRUPDFLyQ
$
&RQWLQXLGDGGHOQHJRFLR\HYDOXDFLyQGH
ULHVJRV
$
&RQWURO'HEHQGHVDUUROODUVHHLPSODQWDUVHSODQHVSDUD
'HVDUUROORHLPSODQWDFLyQGHSODQHVGH
PDQWHQHURUHVWDXUDUODVRSHUDFLRQHV\JDUDQWL]DUOD
FRQWLQXLGDGTXHLQFOX\DQODVHJXULGDGGHOD GLVSRQLELOLGDGGHODLQIRUPDFLyQHQHOQLYHO\HQHOWLHPSR
UHTXHULGRVGHVSXpVGHXQDLQWHUUXSFLyQRXQIDOORGHORV
LQIRUPDFLyQ
SURFHVRVGHQHJRFLRFUtWLFRV
$
&RQWURO'HEHPDQWHQHUVHXQ~QLFRPDUFRGHUHIHUHQFLD
SDUDORVSODQHVGHFRQWLQXLGDGGHOQHJRFLRSDUDDVHJXUDU
0DUFRGHUHIHUHQFLDSDUDODSODQLILFDFLyQGH TXHWRGRVORVSODQHVVHDQFRKHUHQWHVSDUDFXPSOLUORV
ODFRQWLQXLGDGGHOQHJRFLR
UHTXLVLWRVGHVHJXULGDGGHODLQIRUPDFLyQGHPDQHUD
FRQVLVWHQWH\SDUDLGHQWLILFDUODVSULRULGDGHVGHUHDOL]DFLyQ
GHSUXHEDV\GHPDQWHQLPLHQWR
$
3UXHEDVPDQWHQLPLHQWR\UHHYDOXDFLyQGH
ORVSODQHVGHFRQWLQXLGDGGHOQHJRFLR
&RQWURO/RVSODQHVGHFRQWLQXLGDGGHOQHJRFLRGHEHQ
SUREDUVH\DFWXDOL]DUVHSHULyGLFDPHQWHSDUDDVHJXUDUTXH
HVWiQDOGtD\TXHVRQHIHFWLYRV
$&XPSOLPLHQWR
$&XPSOLPLHQWRGHORVUHTXLVLWRVOHJDOHV
2EMHWLYR(YLWDULQFXPSOLPLHQWRVGHODVOH\HVRGHODVREOLJDFLRQHVOHJDOHVUHJODPHQWDULDVRFRQWUDFWXDOHV\GHORV
UHTXLVLWRVGHVHJXULGDG
$
,GHQWLILFDFLyQGHODOHJLVODFLyQDSOLFDEOH
&RQWURO7RGRVORVUHTXLVLWRVSHUWLQHQWHVWDQWROHJDOHVFRPR
UHJODPHQWDULRVRFRQWUDFWXDOHV\HOHQIRTXHGHODRUJDQL]D
FLyQSDUDFXPSOLUGLFKRVUHTXLVLWRVGHEHQHVWDUGHILQLGRV
GRFXPHQWDGRV\PDQWHQHUVHDFWXDOL]DGRVGHIRUPDH[SOtFLWR
SDUDFDGDVLVWHPDGHLQIRUPDFLyQGHODRUJDQL]DFLyQ
$
'HUHFKRVGHSURSLHGDGLQWHOHFWXDO'3,
>,QWHOOHFWXDO3URSHUW\5LJKWV,35@
&RQWURO'HEHQLPSODQWDUVHSURFHGLPLHQWRVDGHFXDGRVSDUD
JDUDQWL]DUHOFXPSOLPLHQWRGHORVUHTXLVLWRVOHJDOHVUHJOD
PHQWDULRV\FRQWUDFWXDOHVVREUHHOXVRGHPDWHULDOFRQUHV
SHFWRDOFXDOSXHGDQH[LVWLUGHUHFKRVGHSURSLHGDGLQWHOHF
WXDO\VREUHHOXVRGHSURGXFWRVGHVRIWZDUHSURSLHWDULR
$
3URWHFFLyQGHORVGRFXPHQWRVGHOD
RUJDQL]DFLyQ
&RQWURO/RVGRFXPHQWRVLPSRUWDQWHVGHEHQHVWDUSURWHJL
GRVFRQWUDODSpUGLGDGHVWUXFFLyQ\IDOVLILFDFLyQGHDFXHU
GRFRQORVUHTXLVLWRVOHJDOHVUHJXODWRULRVFRQWUDFWXDOHV\
HPSUHVDULDOHV
$
3URWHFFLyQGHGDWRV\SULYDFLGDGGHOD
LQIRUPDFLyQSHUVRQDO
&RQWURO'HEHJDUDQWL]DUVHODSURWHFFLyQ\ODSULYDFLGDGGH
ORVGDWRVVHJ~QVHUHTXLHUDHQODOHJLVODFLyQ\ODVUHJXODFLR
QHV\HQVXFDVRHQODVFOiXVXODVFRQWUDFWXDOHVSHUWLQHQWHV
$
&RQWURO6HGHEHLPSHGLUTXHORVXVXDULRVXWLOLFHQORV
3UHYHQFLyQGHOXVRLQGHELGRGHORVUHFXUVRV
UHFXUVRVGHWUDWDPLHQWRGHODLQIRUPDFLyQSDUDILQHVQR
GHWUDWDPLHQWRGHODLQIRUPDFLyQ
DXWRUL]DGRV
127$1$&,21$/ 6HJ~Q UHFRJH OD 1RUPD 81(,62 HO LQJOpV SRVHH WUHV WpUPLQRV GLVWLQWRV GRFXPHQWV UHFRUGV \ DUFKLYHV SDUD
GHVLJQDUORTXHHQFDVWHOODQRFRPRHQHOUHVWRGHOHQJXDVODWLQDVFXHQWDFRQXQD~QLFDYR]GRFXPHQWRV$VtGRFXPHQWHV
HOHTXLYDOHQWHGHGRFXPHQWRHQVXVLJQLILFDGRJHQpULFRFRPRPHUDLQIRUPDFLyQUHJLVWUDGD3RUHOFRQWUDULRORVWpUPLQRV
UHFRUGV \ DUFKLYHV GHVLJQDQ GH PDQHUD HVSHFtILFD D DTXHOORV GRFXPHQWRV SURGXFLGRV FRPR SUXHED \ UHIOHMR GH ODV
DFWLYLGDGHV GH OD RUJDQL]DFLyQ TXH ORV KD FUHDGR UHVHUYiQGRVH HO HPSOHR GH HVWH ~OWLPR D ORV GRFXPHQWRV GH FDUiFWHU
KLVWyULFR
$
5HJXODFLyQGHORVFRQWUROHVFULSWRJUiILFRV
,62,(&
&RQWURO/RVFRQWUROHVFULSWRJUiILFRVVHGHEHQXWLOL]DUGH
DFXHUGRFRQWRGRVORVFRQWUDWRVOH\HV\UHJXODFLRQHV
SHUWLQHQWHV
$&XPSOLPLHQWRGHODVSROtWLFDV\QRUPDVGHVHJXULGDG\FXPSOLPLHQWRWpFQLFR
2EMHWLYR$VHJXUDUTXHORVVLVWHPDVFXPSOHQODVSROtWLFDV\QRUPDVGHVHJXULGDGGHODRUJDQL]DFLyQ
$
&RQWURO/RVGLUHFWRUHVGHEHQDVHJXUDUVHGHTXHWRGRVORV
&XPSOLPLHQWRGHODVSROtWLFDV\QRUPDVGH SURFHGLPLHQWRVGHVHJXULGDGGHQWURGHVXiUHDGHUHVSRQVD
VHJXULGDG
ELOLGDGVHUHDOL]DQFRUUHFWDPHQWHFRQHOILQGHFXPSOLUODV
SROtWLFDV\QRUPDVGHVHJXULGDG
$
&RPSUREDFLyQGHOFXPSOLPLHQWRWpFQLFR
&RQWURO'HEHFRPSUREDUVHSHULyGLFDPHQWHTXHORVVLVWH
PDVGHLQIRUPDFLyQFXPSOHQODVQRUPDVGHDSOLFDFLyQGH
ODVHJXULGDG
$&RQVLGHUDFLRQHVVREUHODDXGLWRULDGHORVVLVWHPDVGHLQIRUPDFLyQ
2EMHWLYR/RJUDUTXHHOSURFHVRGHDXGLWRULDGHORVVLVWHPDVGHLQIRUPDFLyQDOFDQFHODPi[LPDHILFDFLDFRQODVPtQL
PDVLQWHUIHUHQFLDV
&RQWURO/RVUHTXLVLWRV\ODVDFWLYLGDGHVGHDXGLWRULDTXH
LPSOLTXHQFRPSUREDFLRQHVHQORVVLVWHPDVRSHUDWLYRVGH
EHQVHUFXLGDGRVDPHQWHSODQLILFDGRV\DFRUGDGRVSDUD
PLQLPL]DUHOULHVJRGHLQWHUUXSFLRQHVHQORVSURFHVRVGH
HPSUHVDULDOHV
$
&RQWUROHVGHDXGLWRULDGHORVVLVWHPDVGH
LQIRUPDFLyQ
$
&RQWURO(ODFFHVRDODVKHUUDPLHQWDVGHDXGLWRULDGHORV
3URWHFFLyQGHODVKHUUDPLHQWDVGHDXGLWRULD
VLVWHPDVGHLQIRUPDFLyQGHEHHVWDUSURWHJLGRSDUDHYLWDU
GHORVVLVWHPDVGHLQIRUPDFLyQ
FXDOTXLHUSRVLEOHSHOLJURRXVRLQGHELGR
,62,(&
$1(;2%,QIRUPDWLYR
/2635,1&,3,26'(/$2&'(<(67$1250$,17(51$&,21$/
/RV SULQFLSLRV UHFRJLGRV HQ ODV 'LUHFWULFHV GH OD 2&'( SDUD OD VHJXULGDG GH ORV VLVWHPDV \ UHGHV GH LQIRUPDFLyQ VH
DSOLFDQ D WRGDV ODV SROtWLFDV \ D WRGRV ORV QLYHOHV GH RSHUDFLyQ TXH ULJHQ OD VHJXULGDG GH ORV VLVWHPDV \ UHGHV GH
LQIRUPDFLyQ(VWDQRUPDLQWHUQDFLRQDOFRQVWLWX\HHOPDUFRGHOVLVWHPDGHJHVWLyQGHODVHJXULGDGGHODLQIRUPDFLyQSDUD
LPSOHPHQWDUDOJXQRVGHORVSULQFLSLRVGHOD2&'(XWLOL]DQGRHOPRGHOR3'&$\ORVSURFHVRVGHVFULWRVHQORVFDStWX
ORV\VHJ~QVHLQGLFDHQODWDEOD%
7DEOD%/RVSULQFLSLRVGHOD2&'(\HOPRGHOR3'&$
3ULQFLSLRGHOD2&'(
&RQFLHQFLDFLyQ
/RVSDUWLFLSDQWHVGHEHQFRQFLHQFLDUVHGHODQHFHVLGDGGHJD
UDQWL]DUODVHJXULGDGGHORVVLVWHPDV\UHGHVGHLQIRUPDFLyQ\
VDEHUTXpSXHGHQKDFHUHOORVSDUDPHMRUDUODVHJXULGDG
5HVSRQVDELOLGDG
7RGRVORVSDUWLFLSDQWHVVRQUHVSRQVDEOHVGHODVHJXULGDGGH
ORVVLVWHPDV\UHGHVGHLQIRUPDFLyQ
5HVSXHVWD
/RVSDUWLFLSDQWHVGHEHQDFWXDUGHIRUPDRSRUWXQD\
FRRUGLQDGDSDUDSUHYHQLUGHWHFWDU\UHVSRQGHUDORV
LQFLGHQWHVGHVHJXULGDG
(YDOXDFLyQGHULHVJRV
/RVSDUWLFLSDQWHVGHEHQOOHYDUDFDERHYDOXDFLRQHVGH
ULHVJRV
'LVHxRHLPSODQWDFLyQGHODVHJXULGDG
/RVSDUWLFLSDQWHVGHEHQLQFRUSRUDUODVHJXULGDGFRPRXQ
HOHPHQWRHVHQFLDOGHORVVLVWHPDV\UHGHVGHLQIRUPDFLyQ
*HVWLyQGHODVHJXULGDG
/RVSDUWLFLSDQWHVGHEHQDGRSWDUFULWHULRVGHWDOODGRVGH
PDQWHQLPLHQWRUHYLVLyQ\DXGLWRUtD
5HHYDOXDFLyQ
/RVSDUWLFLSDQWHVGHEHQUHYLVDU\UHHYDOXDUODVHJXULGDGGH
ORVVLVWHPDV\UHGHVGHLQIRUPDFLyQ\HIHFWXDUODV
PRGLILFDFLRQHVDSURSLDGDVGHODVSROtWLFDVSUiFWLFDV
PHGLGDV\SURFHGLPLHQWRVGHVHJXULGDG
3URFHVRGHO6*6,\IDVHGHO3'&$FRUUHVSRQGLHQWHV
(VWDDFWLYLGDGHVSDUWHGHODIDVH+DFHU'R
YpDQVH\
(VWDDFWLYLGDGHVSDUWHGHODIDVH+DFHU'R
YpDQVH\
(VWRHVHQSDUWHXQDDFWLYLGDGGHVXSHUYLVLyQGHODIDVH
9HULILFDU&KHFNYpDVH\D\XQDDFWL
YLGDGGHUHVSXHVWDGHODIDVH$FWXDU$FWYpDVH
\D7DPELpQSXHGHWHQHUTXHYHUFRQDOJXQRV
DVSHFWRVGHODVIDVHV3ODQLILFDU3ODQ\9HULILFDU
&KHFN
(VWDDFWLYLGDGHVSDUWHGHODIDVH3ODQLILFDU3ODQ
YpDVH\ODUHHYDOXDFLyQGHOULHVJRHVSDUWHGHOD
IDVH9HULILFDU&KHFNYpDVH\D
8QDYH]TXHILQDOL]DGDODHYDOXDFLyQGHULHVJRVVHVH
OHFFLRQDQORVFRQWUROHVSDUDHOWUDWDPLHQWRGHORVULHVJRV
FRPRSDUWHGHODIDVH3ODQLILFDU3ODQYpDVH/D
IDVH+DFHU'RYpDVH\FRPSUHQGHOD
LPSODQWDFLyQ\HOXVRRSHUDWLYRGHHVWRVFRQWUROHV
/DJHVWLyQGHOULHVJRHVXQSURFHVRTXHLQFOX\HOD
SUHYHQFLyQGHWHFFLyQ\UHVSXHVWDDORVLQFLGHQWHV\OD
JHVWLyQFRQWLQXDGDGHODVHJXULGDG7RGRVHVWRVDVSHFWRV
HVWiQFRPSUHQGLGRVHQODVIDVHV3ODQLILFDU3ODQ
+DFHU'R9HULILFDU&KHFN\$FWXDU$FW
/DUHHYDOXDFLyQGHODVHJXULGDGGHODLQIRUPDFLyQHV
SDUWHGHODIDVH9HULILFDU&KHFNYpDVH\D
HQODFXDOGHEHQOOHYDUVHDFDERUHYLVLRQHVSHULy
GLFDVSDUDFRPSUREDUODHILFDFLDGHOVLVWHPDGHJHVWLyQ
GHVHJXULGDGGHODLQIRUPDFLyQ\ODPHMRUDGHODVHJX
ULGDGHVSDUWHGHODIDVH$FWXDU$FWYpDVH\
D
,62,(&
$1(;2&,QIRUPDWLYR
&255(6321'(1&,$(175(/$61250$6,62,62
<(67$1250$,17(51$&,21$/
/DWDEOD&PXHVWUDODFRUUHVSRQGHQFLDHQWUHODVQRUPDV,62H,62\HVWDQRUPDLQWHUQDFLRQDO
7DEOD&&RUUHVSRQGHQFLDHQWUHODVQRUPDV,62H,62\HVWDQRUPDLQWHUQDFLRQDO
(VWDQRUPDLQWHUQDFLRQDO
,62
,62
,QWURGXFFLyQ
,QWURGXFFLyQ
,QWURGXFFLyQ
*HQHUDOLGDGHV
*HQHUDOLGDGHV
(QIRTXHGHOSURFHVR
(QIRTXHGHOSURFHVR
5HODFLyQFRQOD1RUPD,62
&RPSDWLELOLGDGFRQRWURV
VLVWHPDVGHJHVWLyQ
&RPSDWLELOLGDGFRQRWURVVLVWHPDV
GHJHVWLyQ
2EMHWR\FDPSRGHDSOLFDFLyQ
2EMHWR\FDPSRGHDSOLFDFLyQ
2EMHWR\FDPSRGHDSOLFDFLyQ
*HQHUDOLGDGHV
*HQHUDOLGDGHV
$SOLFDFLyQ
$SOLFDFLyQ
1RUPDVSDUDFRQVXOWD
1RUPDVSDUDFRQVXOWD
1RUPDVSDUDFRQVXOWD
7pUPLQRV\GHILQLFLRQHV
7pUPLQRV\GHILQLFLRQHV
7pUPLQRV\GHILQLFLRQHV
6HJXULGDGGHODLQIRUPDFLyQ
6LVWHPDGHJHVWLyQGHODFDOLGDG
6LVWHPDGHJHVWLyQGHORVUHTXL
VLWRVGHO6*$
5HTXLVLWRVJHQHUDOHV
5HTXLVLWRVJHQHUDOHV
5HTXLVLWRVJHQHUDOHV
&UHDFLyQ\JHVWLyQGHO6*6,
&UHDFLyQGHO6*6,
,PSODQWDFLyQ\RSHUDFLyQGHO
6*6,
,PSODQWDFLyQ\RSHUDFLyQ
6XSHUYLVLyQ\UHYLVLyQGHO
6*6,
6XSHUYLVLyQ\PHGLFLyQGHORV
SURFHVRV
6XSHUYLVLyQ\PHGLFLyQ
6XSHUYLVLyQ\PHGLFLyQGHO
SURGXFWR
0DQWHQLPLHQWR\PHMRUDGHO
6*6,
5HTXLVLWRVGHODGRFXPHQWDFLyQ 5HTXLVLWRVGHGRFXPHQWDFLyQ
*HQHUDOLGDGHV
*HQHUDOLGDGHV
0DQXDOGHFDOLGDG
&RQWUROGHGRFXPHQWRV
&RQWUROGHGRFXPHQWRV
&RQWUROGHGRFXPHQWDFLyQ
&RQWUROGHUHJLVWURV
&RQWUROGHUHJLVWURV
&RQWUROGHUHJLVWURV
,62,(&
(VWDQRUPDLQWHUQDFLRQDO
,62
,62
5HVSRQVDELOLGDGGHOD'LUHFFLyQ 5HVSRQVDELOLGDGGHOD'LUHFFLyQ
&RPSURPLVRGHOD'LUHFFLyQ
&RPSURPLVRGHOD'LUHFFLyQ
2ULHQWDFLyQDOFOLHQWH
3ROtWLFDGHFDOLGDG
3ROtWLFDDPELHQWDO
3ODQLILFDFLyQ
3ODQLILFDFLyQ
5HVSRQVDELOLGDGDXWRULGDG\
FRPXQLFDFLyQ
*HVWLyQGHORVUHFXUVRV
*HVWLyQGHORVUHFXUVRV
3URYLVLyQGHORVUHFXUVRV
3URYLVLyQGHORVUHFXUVRV
5HFXUVRVKXPDQRV
&RQFLHQFLDFLyQIRUPDFLyQ\
FRPSHWHQFLD
&RPSHWHQFLDFRQFLHQFLDFLyQ\
IRUPDFLyQ
&RPSHWHQFLDIRUPDFLyQ\
FRQFLHQFLDFLyQ
,QIUDHVWUXFWXUD
(QWRUQRGHWUDEDMR
$XGLWRUtDVLQWHUQDVGHO6*6,
$XGLWRUtDLQWHUQD
$XGLWRUtDLQWHUQD
5HYLVLyQGHO6*6,SRUOD
'LUHFFLyQ
5HYLVLyQSRUOD'LUHFFLyQ
5HYLVLyQSRUOD'LUHFFLyQ
*HQHUDOLGDGHV
*HQHUDOLGDGHV
'DWRVLQLFLDOHVGHODUHYLVLyQ
'DWRVLQLFLDOHVGHODUHYLVLyQ
5HVXOWDGRVGHODUHYLVLyQ
5HVXOWDGRVGHODUHYLVLyQ
0HMRUDGHO6*6,
0HMRUD
0HMRUDFRQWLQXD
0HMRUDFRQWLQXD
$FFLyQFRUUHFWLYD
$FFLRQHVFRUUHFWLYDV
'LVFRQIRUPLGDGDFFLyQ
FRUUHFWLYD\DFFLyQSUHYHQWLYD
$FFLyQSUHYHQWLYD
$FFLRQHVSUHYHQWLYDV
$QH[R$2EMHWLYRVGHFRQWURO\
FRQWUROHV
$QH[R$*XtDGHXVRGHHVWD
QRUPDLQWHUQDFLRQDO
$QH[R%/RVSULQFLSLRVGHOD
2&'(\HVWDQRUPDLQWHUQDFLRQDO
$QH[R&&RUUHVSRQGHQFLDHQWUH
ODV1RUPDV,62H
,62\HVWDQRUPD
LQWHUQDFLRQDO
$QH[R%&RUUHVSRQGHQFLDHQWUH
ODV1RUPDV,62H
,62
$QH[R$&RUUHVSRQGHQFLDHQWUHODV
1RUPDV,62H
,62
,62,(&
%,%/,2*5$)$
3XEOLFDFLRQHVGHQRUPDV
>@ ,626LVWHPDVGHJHVWLyQGHODFDOLGDG5HTXLVLWRV
>@ ,62,(&7HFQRORJtDVGHODLQIRUPDFLyQ7pFQLFDVGHVHJXULGDG*HVWLyQGHODVHJXULGDGGHODV
WHFQRORJtDVGHODLQIRUPDFLyQ\ODVFRPXQLFDFLRQHV3DUWH&RQFHSWRV\PRGHORVSDUDODJHVWLyQGHODVHJXUL
GDGGHODVWHFQRORJtDVGHODLQIRUPDFLyQ\ODVFRPXQLFDFLRQHV
>@ ,62,(&757HFQRORJtDVGHODLQIRUPDFLyQ'LUHFWULFHVSDUDODJHVWLyQGHODVHJXULGDGGHODV7,
3DUWH7pFQLFDVSDUDODJHVWLyQGHODVHJXULGDGGHODV7,
>@ ,62,(&757HFQRORJtDVGHODLQIRUPDFLyQ'LUHFWULFHVSDUDODJHVWLyQGHODVHJXULGDGGHODV7,
3DUWH6HOHFFLyQGHVDOYDJXDUGLDV
>@ ,626LVWHPDVGHJHVWLyQDPELHQWDO5HTXLVLWRV\RULHQWDFLRQHVGHXVR
>@ ,62,(& 75 7HFQRORJtDV GH OD LQIRUPDFLyQ 7pFQLFDV GH VHJXULGDG *HVWLyQ GH LQFLGHQWHV GH
VHJXULGDGGHODLQIRUPDFLyQ
>@ ,62'LUHFWULFHVSDUDDXGLWRUtDVGHFDOLGDGRGHVLVWHPDVGHJHVWLyQDPELHQWDO
>@ ,62,(& *XtD 5HTXLVLWRV JHQHUDOHV SDUD HQWLGDGHV HQFDUJDGDV GH OD HYDOXDFLyQ \ FHUWLILFDFLyQ R
UHJLVWURGHVLVWHPDVGHFDOLGDG
>@ ,62,(&*XtD*HVWLyQGHULHVJRV9RFDEXODULR'LUHFWULFHVGHXVRHQQRUPDV
2WUDVSXEOLFDFLRQHV
>@ 2&'( 'LUHFWULFHV SDUD OD VHJXULGDG GH ORV VLVWHPDV \ UHGHV GH LQIRUPDFLyQ +DFLD XQD FXOWXUD GH OD
VHJXULGDG3DUtV2&'(MXOLRGHZZZRHFGRUJ
>@ 1,6763*XtDGHJHVWLyQGHULHVJRVSDUDVLVWHPDVGHWHFQRORJtDVGHODLQIRUPDFLyQ
>@ 'HPLQJ:(2XWRIWKH&ULVLV&DPEULGJH0DVV0,7&HQWHUIRU$GYDQFHG(QJLQHHULQJ6WXG\