trabajo de final de mÁster - uocopenaccess.uoc.edu/webapps/o2/bitstream/10609/45704/7/... ·...

TRABAJO DE FINAL DE MÁSTER

Elaboración de un plan de implementación de la ISO/IEC 27001:2013 en un Ayuntamiento

AUTOR: JUAN ENRIQUE TUR HARTMANN Director de proyecto: Antonio José Segovia Henares

Máster Interuniversitario en Seguridad de las TIC

(MISTIC) - Enero de 2016

Elaboración de un Plan de Implementación de la ISO/IEC 27001:2013 en un Ayuntamiento

Juan Enrique Tur Hartmann Página 1 de 106

Tabla de Contenido

0 INTRODUCCIÓN 5

1 SITUACIÓN ACTUAL: CONTEXTUALIZACIÓN, OBJETIVOS Y ANÁLISIS DIFERENCIAL5

1.1 Contextualización 5 1.2 Normativa a aplicar 6 1.3 Alcance del SGSI 8 1.4 Organigrama funcional 9 1.5 Diagrama de red 10 1.6 Objetivos del plan director 11 1.7 Análisis diferencial 12

2 SISTEMA DE GESTIÓN DOCUMENTAL 24

2.1 Introducción 24 2.2 Política de seguridad 24 2.3 Procedimiento de auditorías internas 24 2.4 Gestión de indicadores 24 2.5 Procedimiento de revisión por parte de la dirección 24 2.6 Gestión de roles y responsabilidades 25 2.7 Metodología de análisis de riesgos 26 2.8 Declaración de aplicabilidad 28

3 FASE 3: ANÁLISIS DE RIESGOS 39

3.1 Introducción 39 3.2 Inventario de activos 40 3.3 Valoración de los activos 43 3.4 Dimensiones de seguridad 48 3.5 Tabla resumen de valoración 48 3.6 Análisis de amenazas 54 3.7 Impacto potencial 59 3.8 Nivel de Riesgo Aceptable y riesgo Residual 63

4 FASE 4: PROPUESTAS DE PROYECTOS 68

4.1 Introducción 68 4.2 Asignación de responsables de los proyectos y estimación de costes 70 4.3 Propuestas 71 4.4 Consideraciones sobre la planificación de los proyectos 87 4.5 Las salvaguardas desde el punto de vista de la norma 27002:2013 89

5 FASE 5: AUDITORÍA DE CUMPLIMIENTO 92

5.1 Introducción 92 5.2 Metodología 92



5.3 Auditoría – detalle de hallazgos y evidencias 92 5.4 Evaluación de la madurez 94

6 PRESENTACIÓN DE RESULTADOS 104

6.1 Introducción 104 6.2 Resumen ejecutivo 104 6.3 Presentación a la compañía 104 6.4 Proyectos propuestos 104 6.5 Presentación a la dirección 104

7 BIBLIOGRAFÍA 105



Tabla de Ilustraciones Ilustración 1: Diagrama de bloques del área de Economía y Hacienda ....................................................... 6 Ilustración 2: Historia de ISO 27001 .............................................................................................................. 7 Ilustración 3: Sistemas de información asignados a cada departamento ..................................................... 9 Ilustración 4: Organigrama .......................................................................................................................... 10 Ilustración 5: Diagrama de red..................................................................................................................... 11 Ilustración 6: Resumen del análisis diferencial por cláusulas de la norma ISO/IEC 27001:2013 ............... 17 Ilustración 7: Resumen por dominios del análisis diferencial de la norma ISO/IEC 27002:2013 .............. 23 Ilustración 8: Fases MAGERIT .................................................................................................................... 26 Ilustración 9: Inventario de Activos .............................................................................................................. 40 Ilustración 10: Caracterización del activo Información de Gestión Tributaria y Recaudación .................... 41 Ilustración 11: caracterización del activo Servicio de Gestión Tributaria y Recaudación ........................... 42 Ilustración 12: caracterización del activo Aplicación de Gestión Tributaria ................................................ 42 Ilustración 13: Dependencias entre activos ................................................................................................. 43 Ilustración 14: Gráfico de dependencia de activos ...................................................................................... 44 Ilustración 15: Dependencias de los activos INFORMACIÓN ..................................................................... 44 Ilustración 16: Dependencias de los activos SERVICIOS ........................................................................... 45 Ilustración 17: Dependencias de los activos INSTALACIONES y PERSONAL .......................................... 45 Ilustración 18: dependencias de los activos EQUIPAMIENTO ................................................................... 46 Ilustración 19: Dependencias completas del activo SRV-001, servidor de datos y aplicaciones. .............. 47 Ilustración 20: criterios de valoración MAGERIT ......................................................................................... 48 Ilustración 21: Valoración propia de los activos (cualitativa) ....................................................................... 52 Ilustración 22: Valoración acumulada de los activos (cualitativa) ............................................................... 53 Ilustración 23: Valoración acumulada de los activos (cuantitativa) ............................................................. 54 Ilustración 24: Grupos de amenazas PILAR ............................................................................................... 56 Ilustración 25: Perfiles de seguridad de PILAR ........................................................................................... 63 Ilustración 26: nivel actual y objetivo de implantación de salvaguardas ..................................................... 63 Ilustración 27: riesgo acumulado, fase actual. ............................................................................................ 64 Ilustración 28: riesgo acumulado, fase objetivo........................................................................................... 64 Ilustración 29: riesgo repercutido, fase actual. ............................................................................................ 65 Ilustración 30: riesgo repercutido, fase objetivo. ......................................................................................... 65 Ilustración 31: leyenda de colores gráficos de riesgo PILAR ...................................................................... 66 Ilustración 32: Zonas de riesgo MAGERIT .................................................................................................. 66 Ilustración 33: Tipos de salvaguardas ......................................................................................................... 68 Ilustración 34: Número de salvaguardas por tipo ........................................................................................ 69 Ilustración 35: Peso relativo de las salvaguardas de PILAR ....................................................................... 70 Ilustración 36: Salvaguardas vinculadas a la protección de los elementos auxiliares ................................ 71 Ilustración 37: Detalle de la salvaguarda [Aux.wires.b] ............................................................................... 72 Ilustración 38: Agrupación de salvaguardas por activos ............................................................................. 72 Ilustración 39: Salvaguardas para el activo LOC-001 ................................................................................. 73 Ilustración 40: Salvaguardas de protección de los Elementos Auxiliares del activo LOC-001 ................... 74 Ilustración 41: Clases de activos y amenazas tratadas mediante la salvaguarda [AUX.wires.b] ............... 75 Ilustración 42: PROYECTO 13 - tareas ....................................................................................................... 88 Ilustración 43: PROYECTO 13 - escala de tiempo ..................................................................................... 88 Ilustración 44: Posición de seguridad del sistema respecto a la norma ISO 27002:2013 .......................... 89 Ilustración 45: Proyecto 01 - Salvaguardas a implantar para dar cumplimiento al dominio [15] de la norma ISO 27002:2013 ........................................................................................................................................... 90 Ilustración 46: Detalle de parte de las salvaguardas propuestas para dar cumplimiento al control [15.1.1] Política de seguridad de la información en las relaciones con proveedores .............................................. 90 Ilustración 47: objetivos previstos con la implantación de los proyectos .................................................... 91 Ilustración 48: Auditoría de cumplimiento por dominios ............................................................................ 102 Ilustración 49: Número de controles por categoría ................................................................................... 103



Índice de tablas Tabla 1: Niveles del modelo de madurez .................................................................................................... 12 Tabla 2: Análisis diferencial respecto a la norma ISO/IEC 27001:2013 ..................................................... 12 Tabla 3: Resumen del análisis diferencial por cláusulas respecto a la norma ISO/IEC 27001:2013 ......... 17 Tabla 4: Análisis diferencial respecto a la norma ISO/IEC 27002:2013 ..................................................... 18 Tabla 5: Resumen por dominios del análisis diferencial de la norma ISO/IEC 27002:2013 ....................... 22 Tabla 6: Clasificación de vulnerabilidades .................................................................................................. 27 Tabla 7: Valoración de impactos ................................................................................................................. 27 Tabla 8: Clasificación de niveles de efectividad .......................................................................................... 27 Tabla 9: Declaración de aplicabilidad .......................................................................................................... 29 Tabla 10: Valoración cualitativa de los activos esenciales .......................................................................... 49 Tabla 11: Criterios de valoración ................................................................................................................. 49 Tabla 12: Escala PILAR de degradación de activos ................................................................................... 55 Tabla 13: escala PILAR de probabilidad de ocurrencia de amenazas ....................................................... 55 Tabla 14: Escala MAGERIT de probabilidad de ocurrencia ........................................................................ 55 Tabla 15: Amenazas para la aplicación de Gestión Tributaria .................................................................... 56 Tabla 16: Amenazas para los PC´s del departamento de gestión tributaria ............................................... 56 Tabla 17: amenazas para la red local ......................................................................................................... 58 Tabla 18: amenazas para el local de la planta baja .................................................................................... 59 Tabla 19: amenazas para los usuarios de Gestión Tributaria ..................................................................... 59 Tabla 20: impacto potencial sobre los activos esenciales (cuantitativo) ..................................................... 60 Tabla 21: Impacto potencial sobre el equipamiento (cuantitativo) .............................................................. 60 Tabla 22: Impacto potencial sobre las instalaciones (cuantitativo) ............................................................. 61 Tabla 23: Impacto potencial sobre el Personal (cuantitativo) ...................................................................... 61 Tabla 24: impacto potencial sobre los activos esenciales (cualitativo) ....................................................... 61 Tabla 25: impacto potencial sobre el equipamiento (cualitativo) ................................................................. 61 Tabla 26: impacto potencial sobre las instalaciones (cualitativo) ................................................................ 62 Tabla 27: impacto potencial sobre el personal (cualitativo) ........................................................................ 62 Tabla 28: Informe de detalle de salvaguardas ............................................................................................ 75 Tabla 29: Codificación de activos ................................................................................................................ 76 Tabla 30: PROYECTO 1 - Protección de las instalaciones ......................................................................... 77 Tabla 31: PROYECTO 2 - Protecciones generales .................................................................................... 78 Tabla 32: PROYECTO 3 - Protección de la información ............................................................................. 79 Tabla 33: PROYECTO 4 - Protección de los servicios ............................................................................... 79 Tabla 34: PROYECTO 5 - Protección de las aplicaciones informáticas ..................................................... 80 Tabla 35: PROYECTO 6 - Protección de los equipos informáticos ............................................................ 81 Tabla 36: PROYECTO 7 - Protección de las comunicaciones .................................................................... 81 Tabla 37: PROYECTO 8 - Protección de los soportes de información ....................................................... 82 Tabla 38: PROYECTO 9 - Protección de las instalaciones ......................................................................... 83 Tabla 39: PROYECTO 10 - Gestión de personal ........................................................................................ 83 Tabla 40: PROYECTO 11 - Gestión de incidentes ..................................................................................... 84 Tabla 41: PROYECTO 12- Continuidad del negocio .................................................................................. 85 Tabla 42: PROYECTO 13 - Organización ................................................................................................... 85 Tabla 43: PROYECTO 14 - Relaciones externas........................................................................................ 86 Tabla 44: PROYECTO 15 - Adquisición / Desarrollo .................................................................................. 87 Tabla 45: Informe de auditoría..................................................................................................................... 93 Tabla 46: Niveles de madurez ..................................................................................................................... 95 Tabla 47: Situación de la organización con respecto a los controles de la norma ISO/IEC 27002:2013 ... 95 Tabla 48: Situación actual por dominios de la norma ............................................................................... 100 Tabla 49: Número de controles por categoría ........................................................................................... 102



0 INTRODUCCIÓN

El objeto del presente documento es desarrollar el Plan de Implementación de la ISO/IEC 27001:2013 en un Ayuntamiento. Se trata de un aspecto clave en cualquier organización que desea alinear sus objetivos y principios de seguridad a la normativa Internacional de Referencia El principal objetivo es sentar las bases del proceso de mejora continua en materia de seguridad de la Información, permitiendo a las organizaciones conocer el estado de la misma y plantear las acciones necesarias para minimizar el impacto de los riesgos potenciales.

El proyecto plantea el establecimiento de las bases para la implementación de un SGSI (Sistema de Gestión de la Seguridad de la Información) . Para ello se abordarán las siguientes fases:

Documentación normativa sobre las mejores prácticas en seguridad de la información.

Definición clara de la situación actual y de los objetivos del SGSI.

Análisis de Riesgos. o Identificación y valoración de los activos corporativos como punto de partida a un análisis

de riesgos. o Identificación de amenazas, evaluación y clasificación de las mismas

Evaluación del nivel de cumplimiento de la ISO/IEC 27002:2013 en la organización.

Propuestas de proyectos de cara a conseguir una adecuada gestión de la seguridad.

Esquema Documental.

El trabajo concluirá con la obtención de los productos que se especifican a continuación:

Informe Análisis Diferencial

Esquema Documental ISO/IEC 27001

Análisis de Riesgos

Plan de Proyectos

Auditoría de Cumplimiento

Presentación de resultados

1 SITUACIÓN ACTUAL: CONTEXTUALIZACIÓN, OBJETIVOS Y

ANÁLISIS DIFERENCIAL

1.1 CONTEXTUALIZACIÓN

Se ha seleccionado como objeto de este trabajo la realización de un SGSI para los sistemas de información que dan soporte al área de Economía y Hacienda de un Ayuntamiento. Se trata de un Ayuntamiento cuya población está por encima de los 36.000 habitantes y cuenta con un presupuesto que supera los 35.000.000,00 € para el presente ejercicio 2015. Una de las áreas de especial relevancia en una institución de este tipo es la de la gestión económica. Dicha gestión distingue dos vertientes claramente diferenciadas:

La ejecución del presupuesto de gastos aprobado para el Ayuntamiento, lo que implica el control, fiscalización y pago de los diversos bienes y servicios contratados por el Ayuntamiento.



La ejecución del presupuesto de ingresos, lo que conlleva la correcta gestión de los distintos padrones fiscales de los que es responsable el Ayuntamiento y de aquellos que gestiona a partir de datos facilitados por otros organismos como la Dirección General de Tráfico, Centro de Gestión Catastral y Cooperación Tributaria, etc.

Aparte de las herramientas precisas para llevar a cabo esta gestión en su totalidad, se incorporan a los distintos sistemas de información que así lo requieren los procesos necesarios para permitir el intercambio de datos con organismos externos de fiscalización o meramente suministradores de información. En el Ayuntamiento seleccionado, esta área se estructura en los siguientes departamentos:

Ilustración 1: Diagrama de bloques del área de Economía y Hacienda

1.2 NORMATIVA A APLICAR

Para la elaboración del SGSI se atenderá a la norma ISO/IEC 27001 (es la norma certificable) y a lo indicado en el código de buenas prácticas recogido en la norma ISO/IEC 27002. Estas dos normas son las que actualmente gozan de una mayor difusión y prestigio a nivel internacional. Las dos normas se fundamentan en el Ciclo de Deming, también conocido como ciclo PDCA (Plan – Do – Check – Act), que es un proceso iterativo de calidad en cuatro fases:

Plan: establecer los objetivos y procesos necesarios para conseguir los resultados esperados.

Do: implantar los nuevos procesos.

Check: medir los nuevos procesos y comparar los resultados obtenidos con los esperados.

Act: analizar las diferencias entre los resultados obtenidos y los esperados para conocer las causas, y plantear mejoras.

Historia de la norma: La primera publicación de la norma data de 1995, fecha de la primera publicación oficial de la BS7799:1 – Código de buenas prácticas en seguridad de la información. Le siguió en 1998 la publicación oficial de la BS7799:2 – Especificaciones de los sistemas de gestión de seguridad de la información. En 1999 tuvo lugar la publicación oficial de la BS7799 Partes 1 y 2. En el año 2000 se publicó la primera versión de la norma

Economía y Hacienda

Intervención

Presupuestos y Contabilidad

Gestión Tributaria y

Catastral

Tesorería y Recaudación



ISO/IEC 17799:2000 – Código de buenas prácticas en seguridad de la información. En el año 2002 se publicaron por una parte la nueva versión de la BS7799:2 y, por parte de AENOR, la norma UNE-ISO/IEC 17799 – Código de buenas prácticas en seguridad de la información. Más adelante, en el año 2004, AENOR publicó oficialmente la UNE 71502 – Especificaciones de los sistemas de gestión de seguridad de la información. En el año 2005 se publicaron la ISO/EIC 17799 Código de buenas prácticas en seguridad de la información y la ISO 27001 – Especificaciones de los sistemas de gestión de seguridad de la información. En el año 2007 la norma ISO 17799:2005 pasa a denominarse ISO 27002:2005 y AENOR publica en España la norma ISO 27001 como UNE-ISO/IEC 27001:2007. En el año 2008 se publica la ISO/IEC 27005 y al año siguiente, 2009, se publicaron las normas ISO/EIC 27000:2009 y la ISO/IEC 27004:2009. En el año 2010 se publicó la ISO/IEC 27003. Por último, considerar la reciente publicación de la revisión de las normas ISO/IEC 27001:2013, ISO/IEC 27002:2013 ambas aprobadas en la misma fecha: 25 de Septiembre de 2013. En España se hallan vigentes a la fecha de la elaboración de este documento las normas UNE-ISO/IEC 27001 de noviembre de 2014 (idéntica a la norma ISO/IEC 27001:2013) y UNE-ISO/IEC 27002 de julio de 2015 (idéntica a las normas ISO/IEC 27002:2013 e ISO/IEC 27002:2013/Cor 1:2014). Ambas elaboradas por el AEN/CTN 71 Tecnologías e la información Parte de estos eventos se resumen en la siguiente ilustración:

Ilustración 2: Historia de ISO 27001

Por otra parte, el Ayuntamiento en general, y el área objeto del SGSI en particular, está sujeto a un marco jurídico que se sustancia en la siguiente normativa:

Ley Orgánica 15/99 de Protección de Datos de Carácter Personal conocida por las siglas LOPDP. Esta Ley tiene por objeto proteger todos los datos de carácter personal, para que no sean utilizados de forma inadecuada, ni tratados o cedidos a terceros sin consentimiento del titular. Para ello, se establecen obligaciones para toda persona física o jurídica que posea ficheros con datos personales.

Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico cuyas siglas son LSSI. La finalidad de esta Ley es regular el funcionamiento de prestadores de servicios de la Sociedad de la Información, empresas que realizan comercio electrónico, y aquellas que hacen publicidad por vía electrónica, como correo electrónico o SMS.

Ley 32/2003, General de telecomunicaciones. El objeto de la Ley es la regulación de las telecomunicaciones, que comprenden la explotación de las redes y la prestación de los servicios de comunicaciones electrónicas. Entre otros objetivos, esta Ley fomenta la competencia efectiva de los mercados de las telecomunicaciones, promueve el desarrollo del sector y defiende los intereses de los ciudadanos.



Ley 59/2003 de Firma Electrónica. Esta Ley regula la firma electrónica, su eficacia jurídica y la prestación de servicios de certificación. La firma electrónica es un conjunto de datos asociados que sirve para identificar a una persona en transacciones electrónicas y permite conocer si el contenido del mensaje ha sido manipulado de alguna manera.

Ley 17/2001 de Propiedad Industrial Para la protección de los signos distintivos de las organizaciones se concederán los derechos de propiedad industrial de marcas y nombres comerciales. De acuerdo con esta Ley, el uso de un nombre comercial en redes telemáticas, en nombres de dominios, y en metadatos y palabras clave de páginas web, sin autorización previa por parte de su titular, habilita a éste a prohibirle su utilización.

Ley 11/2007 de Acceso Electrónico de los Ciudadanos a los Servicios Públicos Esta ley reconoce el derecho de los ciudadanos a relacionarse con las Administraciones Públicas por medios electrónicos. Además, regula los aspectos básicos de la utilización de las tecnologías de la información en la actividad administrativa, en las relaciones entre las Administraciones Públicas, así como en las relaciones de los ciudadanos con las mismas.

Real Decreto Legislativo 1/1996 Ley de Propiedad Intelectual. Según esta Ley, la propiedad intelectual de una obra literaria, artística o científica corresponde al autor por el solo hecho de su creación. El autor tiene el derecho exclusivo a la explotación de la obra. La Ley protege las creaciones originales expresadas en cualquier medio, incluidos programas de ordenador o bases de datos.

Real Decreto Legislativo 3/2010 de enero por el que se establece el Esquema Nacional de Seguridad.

1.3 ALCANCE DEL SGSI

Los sistemas de información que constituyen el alcance de este SGSI y que dan soporte a dichos departamentos son los siguientes:

SICAL (Sistema de Información Contable)

Confección de presupuestos

Ejecución presupuestaria y contabilidad

Rendición de cuentas

Gestión tributaria:

Padrones fiscales

IAE

Vehículos

R.S.U.

Impuesto sobre bienes inmuebles

Impuestos sobre bienes de naturaleza rústica

Industrias

Liquidaciones tributarias

Tesorería

Gestión de la Tesorería de la institución

Recaudación

Recaudación Voluntaria



Recaudación ejecutiva

Recaudación on-line Algunos departamentos comparten ciertos sistemas de información mientras que otros son de uso específico. En el siguiente diagrama se vinculan las aplicaciones en explotación a cada uno de los departamentos.

Ilustración 3: Sistemas de información asignados a cada departamento

1.4 ORGANIGRAMA FUNCIONAL

El área de Servicios Económicos del Ayuntamiento se vertebra alrededor de dos departamentos principales: Intervención y Depositaría. En Intervención se llevan a cabo dos tipos de tareas perfectamente delimitadas: Contabilidad y Ejecución Presupuestaria y Gestión Tributaria. En primer lugar, por tanto, se desarrollan todas aquellas vinculadas con la gestión contable de la entidad. Al tratarse de una entidad Local con presupuesto limitativo, la primera función del departamento es la de la ejecución del presupuesto que se aprueba anualmente, lo que requiere de una nueva división de tareas: aquellas vinculadas a la ejecución del presupuesto de ingresos y las relativas a la ejecución del presupuesto de gastos. En el primer grupo se encuadran todas las relacionadas con el control de los ingresos que se reciben en la entidad, ya sea a través del departamento de recaudación o procedentes de otras entidades vía transferencias. Por lo que respecta al segundo grupo (presupuesto de gastos), las tareas son todas aquellas relacionadas con la fiscalización del gasto, desde la verificación previa a su realización hasta las sucesivas fases que finalizan con la ordenación pago a los proveedores y que se materializa finalmente en el departamento de Tesorería, pasando por el registro de facturas y su tramitación. Ciertas operaciones económicas realizadas por la entidad no son consecuencia directa del presupuesto, son las denominadas como “no presupuestarias” y también son responsabilidad de este departamento. El segundo grupo de tareas se enmarcan en el área de Gestión Tributaria, Aquí se lleva a cabo la gestión de los Padrones Fiscales de los que la entidad es responsable, lo que incluye el intercambio de información con otros organismos que son responsables de los datos con los que posteriormente el Ayuntamiento

Intervención

• SICAL

• Padrones fiscales

• Liquidaciones tributarias

Tesorería y Recaudación

• SICAL

• Recaudación voluntaria

• Recaudación ejecutiva

• Recaudación online



confeccionará sus padrones, como pueden ser el Centro de Gestión Catastral y Cooperación Tributaria, la Dirección General de Tráfico, etc. El segundo departamento principal es el de Depositaría. Dicho departamento es el responsable de la gestión de todas las cuentas de Tesorería de las que la institución es titular y gestionar el área de recaudación. La primera parte se realiza en dos vertientes, por una la de la ejecución de pagos y, por la otra, el control de los ingresos. En la recaudación se distinguen los siguientes tipos: la recaudación voluntaria, la ejecutiva, la que se realiza online y una sección de cajas de atención directa al público. También se gestiona la recaudación llevada a cabo en oficinas remotas, situadas en otros puntos del municipio alejados del centro urbano. El organigrama funcional de la organización incluida en el alcance se presenta en la siguiente ilustración:

Ilustración 4: Organigrama

1.5 DIAGRAMA DE RED

Toda la infraestructura incluida en el alcance del SGSI se encuentra situada en un único edificio, salvo las siguientes excepciones:

Dos oficinas situadas en puntos distantes del centro urbano, conectadas remotamente,

Un dispositivo NAS de copias, redundante del primero, situado en un edificio diferente, conectado mediante fibra óptica.

Aparte de las estaciones de trabajo, se dispone de dos servidores:

Un servidor de aplicaciones y datos.

Un servidor de dominio que realiza las autenticaciones de los usuarios. Todos los equipos citados se encuentran repartidos en dos plantas del edificio.



Se incluye a continuación un diagrama de red de los equipos incluidos en el alcance del SGSI:

Ilustración 5: Diagrama de red

1.6 OBJETIVOS DEL PLAN DIRECTOR

Los objetivos de este Plan Director son básicamente evolucionar en el modelo de seguridad actualmente implantado que podría calificarse de claramente insuficiente y hacerlo de acuerdo con los estándares establecidos por la Norma ISO/IEC 27001:2013 Actualmente no existe implicación ni por parte de la dirección política ni por parte de los funcionarios de alto nivel en la gestión de la seguridad, quedando ésta al albedrío de personal exclusivamente técnico. La evolución deseada se realizará a partir de las siguientes premisas:

Involucrar a la dirección política y a los funcionarios de alto nivel en el desarrollo e implantación de un sistema de gestión de seguridad de la información.

Mediante un detallado análisis de riesgos, detectar aquellos cuya mitigación requiera atención prioritaria e implantar los controles que se consideren adecuados en dicha línea.

Asegurar una correcta protección de la información en la vertiente de su confidencialidad implantando unos controles de acceso adecuados a dicho requerimiento.

Verificar la integridad en tratamiento de la información, dándole al ciudadano todas las garantías de que los procesos de cálculo y gestión tributaria se realizan de forma exacta y rigurosa.

Involucrar a la organización en su conjunto en el objetivo de garantizar una correcta ejecución del sistema de gestión de la seguridad de la información.

Asegurar el cumplimiento de la legislación aplicable.



Poner los medios para que la disponibilidad de los sistemas sea la más alta posible atendiendo especialmente a aquellas épocas en las que los volúmenes de gestión alcanzan valores puntas.

Garantizar unos procedimientos correctos y seguros en los intercambios de información con entidades externas.

1.7 ANÁLISIS DIFERENCIAL

Se detalla a continuación la situación en la organización de los distintos aspectos de la seguridad en relación con la norma 27001:2013 y con la de buenas prácticas 27002:2013. En primer lugar debe establecerse cómo medir la situación. Se tomará el “Modelo de Madurez” desarrollado por el “Software Engineering Institute” para la madurez de la capacidad de desarrollo de software. Dicho modelo distingue, con carácter general, los siguientes niveles:

Tabla 1: Niveles del modelo de madurez

0 - Inexistente Total falta de un proceso reconocible. La organización ni siquiera ha reconocido que hay un problema que resolver.

1 - Inicial

Hay evidencia de que la organización ha reconocido que los problemas existen y que necesitan ser resueltos. Sin embargo, no hay procesos estandarizados pero en cambio hay métodos ad hoc que tienden a ser aplicados en forma individual o caso por caso. El método general de la administración es desorganizado.

2 - Repetible

Los procesos se han desarrollado hasta el punto en que diferentes personas siguen procedimientos similares emprendiendo la misma tarea. No hay capacitación o comunicación formal de procedimientos estándar y la responsabilidad se deja a la persona. Hay un alto grado de confianza en los conocimientos de las personas y por lo tanto es probable que haya errores.

3 - Definido

Los procedimientos han sido estandarizados y documentados, y comunicados a través de capacitación. Sin embargo se ha dejado en manos de la persona el seguimiento de estos procesos, y es improbable que se detecten desviaciones. Los procedimientos mismos no son sofisticados sino que son la formalización de las prácticas existentes.

4 - Administrado

Es posible monitorear y medir el cumplimiento de los procedimientos y emprender acción donde los procesos parecen no estar funcionando efectivamente. Los procesos están bajo constante mejoramiento y proveen buena práctica. Se usan la automatización y las herramientas en una forma limitada o fragmentada.

5 - Optimizado

Los procesos han sido refinados hasta un nivel de la mejor práctica, basados en los resultados de mejoramiento continuo y diseño de la madurez con otras organizaciones. TI se usa en una forma integrada para automatizar el flujo de trabajo, suministrando herramientas para mejorar la calidad y la efectividad, haciendo que la empresa se adapte con rapidez.

Ello nos permitirá “medir” la situación que en la organización tienen los distintos procesos en referencia a los controles propuestos en la norma. Se incluye en primer lugar la evaluación de la situación de la organización con respecto a la norma ISO/IEC-27001:2013

Tabla 2: Análisis diferencial respecto a la norma ISO/IEC 27001:2013

ID Controles según la norma ISO/IEC 27001:2013 Aplicabilidad

(SÍ/NO) Situación

4 Contexto de la organización



4.1 Comprensión de la organización y su contexto

4.1 Determinación de cuestiones externas e internas que inciden en el SGSI

Sí 0 - Inexistente

4.2 Comprensión de las necesidades y expectativas de las partes interesadas

4.2.a Partes interesadas relevantes para el SGSI Sí 0 - Inexistente

4.2.b Requisitos de las partes interesadas relevantes para el SGSI

Sí 0 - Inexistente

4.3 Determinación del alcance del SGSI

4.3.a Cuestiones internas y externas referidas en el apartado 4.1

Sí 0 - Inexistente

4.3.b Requisitos referidos en el apartado 4.2 Sí 0 - Inexistente

4.3.c Interfaces y dependencias entre las actividades de la organización y otras organizaciones

Sí 0 - Inexistente

4.4 SGSI

4.4 Establecer, implementar, mantener y mejorar un SGSI Sí 0 - Inexistente

5 Liderazgo

5.1 Liderazgo y compromiso

5.1.a Establecimiento de una política y objetivos de seguridad compatibles con la dirección estratégica

Sí 0 - Inexistente

5.1.b Asegurar la integración de los requisitos del SGSI en los procesos de la organización

Sí 0 - Inexistente

5.1.c Asegurar que los recursos necesarios para el SGSI estén disponibles

Sí 0 - Inexistente

5.1.d Comunicar la importancia del SGSI de forma eficaz Sí 0 - Inexistente

5.1.e Asegurar que el SGSI consigue los resultados previstos Sí 0 - Inexistente

5.1.f Dirigir y apoyar a las personas para contribuir a la eficacia del SGSI

Sí 0 - Inexistente

5.1.g Asegurar la mejora continua Sí 0 - Inexistente

5.1.h Apoyar otros roles Sí 0 - Inexistente

5.2 Política

5.2.a Establecimiento de una política de seguridad adecuada al propósito de la organización

Sí 0 - Inexistente

5.2.b Debe incluir objetivos de seguridad de la información Sí 0 - Inexistente

5.2.c Debe incluir el compromiso con los requisitos aplicables a la seguridad

Sí 0 - Inexistente

5.2.d Debe incluir el compromiso de mejora continua Sí 0 - Inexistente

5.2.e Debe estar disponible como información documentada Sí 0 - Inexistente

5.2.f Debe comunicarse dentro de la organización Sí 0 - Inexistente

5.2.g Debe estar disponible para las partes interesadas Sí 0 - Inexistente

5.3 Roles, responsabilidades y autoridades en la organización.

5.3.a Deben asignarse para asegurar que el SGSI es conforme con los requisitos.

Sí 0 - Inexistente

5.3.b Deben establecerse para informar sobre el comportamiento del SGSI

Sí 0 - Inexistente

6 Planificación



6.1 Acciones para tratar riesgos y oportunidades

6.1.1 Consideraciones generales

6.1.1.a Asegurar que el SGSI pueda conseguir los resultados previstos

Sí 0 - Inexistente

6.1.1.b Prevenir los efectos indeseados Sí 0 - Inexistente

6.1.1.c Lograr la mejora continua Sí 0 - Inexistente

6.1.1.d Planificar acciones para tratar riesgos y oportunidades Sí 0 - Inexistente

6.1.1.e Planificar el modo de integrar las acciones en el SGSI y evaluar su eficacia

Sí 0 - Inexistente

6.1.2 Apreciación de riesgos de seguridad de la información

6.1.2.a Establecer y mantener los criterios de aceptación y apreciación sobre riesgos

Sí 0 - Inexistente

6.1.2.b Asegurar que las sucesivas apreciaciones de riesgos generen resultados consistentes

Sí 0 - Inexistente

6.1.2.c Identificar los riesgos de seguridad de la información Sí 0 - Inexistente

6.1.2.d Analizar los riesgos de seguridad de la información Sí 0 - Inexistente

6.1.2.e Evaluar los riesgos de seguridad de la información Sí 0 - Inexistente

6.1.3 Tratamiento de los riesgos de seguridad de la información

6.1.3.a Seleccionar las opciones adecuadas en función de los resultados de la apreciación

Sí 0 - Inexistente

6.1.3.b Determinar todos los controles necesarios para el tratamiento de riesgos

Sí 0 - Inexistente

6.1.3.c Verificar que los controles implantados no omite ninguno del anexo A

Sí 0 - Inexistente

6.1.3.d Elaborar una "Declaración de Aplicabilidad" Sí 0 - Inexistente

6.1.3.e Formular un plan de tratamiento de riesgos Sí 0 - Inexistente

6.1.3.f Obtener la aprobación del plan de tratamiento y la aceptación de los riesgos residuales

Sí 0 - Inexistente

6.2 Objetivos de seguridad de la información y planificación para su consecución

6.2.a Los objetivos deben ser coherentes con la política de seguridad de la información

Sí 0 - Inexistente

6.2.b Deben ser medibles Sí 0 - Inexistente

6.2.c Deben tener en cuenta los requisitos de seguridad aplicables y la evaluación de riesgos

Sí 0 - Inexistente

6.2.d Deben comunicarse Sí 0 - Inexistente

6.2.e Deben actualizarse Sí 0 - Inexistente

6.2.f Debe determinarse lo que se va a hacer Sí 0 - Inexistente

6.2.g Debe determinarse qué recursos se requerirán Sí 0 - Inexistente

6.2.h Deben determinarse responsables Sí 0 - Inexistente

6.2.i Debe establecerse una plazo Sí 0 - Inexistente

6.2.j Debe determinarse cómo se evaluarán los resultados Sí 0 - Inexistente

7 Soporte

7.1 Recursos

7.1 Deben aportarse los medios necesarios para desarrollar el SGSI

Sí 0 - Inexistente



7.2 Competencia

7.2.a Debe determinarse la competencia de las personas que desarrollan el SGSI

Sí 0 - Inexistente

7.2.b Debe asegurarse la competencia mediante la formación o experiencia adecuadas

Sí 0 - Inexistente

7.2.c Promover acciones para adquirir la competencia necesaria Sí 0 - Inexistente

7.2.d Conservar la documentación evidencia de la competencia Sí 0 - Inexistente

7.3 Concienciación

7.3.a Las personas deben ser conscientes de la política de la seguridad de la información

Sí 0 - Inexistente

7.3.b Deben ser conscientes de su contribución a la eficacia del SGSI

Sí 0 - Inexistente

7.3.c Deben ser conscientes de las implicaciones de no cumplir los requisitos del SGSI

Sí 0 - Inexistente

7.4 Comunicación.

7.4.a Debe determinarse el contenido de las comunicaciones internas y externas.

Sí 0 - Inexistente

7.4.b Debe determinarse cuándo comunicar Sí 0 - Inexistente

7.4.c Debe determinarse a quién comunicar Sí 0 - Inexistente

7.4.d Debe determinarse quién debe comunicar Sí 0 - Inexistente

7.4.e Deben determinarse los procesos por los que debe efectuarse la comunicación

Sí 0 - Inexistente

7.5 Información documentada

7.5.1 Consideraciones generales

7.5.1.a El SGSI debe incluir la documentación requerida por esta norma

Sí 0 - Inexistente

7.5.1.b El SGSI debe incluir la información que la organización haya determinado necesaria

Sí 0 - Inexistente

7.5.2 Creación y actualización

7.5.2.a Debe asegurarse la identificación y descripción de la documentación

Sí 0 - Inexistente

7.5.2.b Debe determinarse el formato y los medios de soporte Sí 0 - Inexistente

7.5.2.c Debe asegurarse la revisión y aprobación con respecto a la idoneidad y adecuación

Sí 0 - Inexistente

7.5.3 Control de la información documentada

7.5.3.a Debe garantizarse su disponibilidad Sí 0 - Inexistente

7.5.3.b Debe estar protegida adecuadamente Sí 0 - Inexistente

7.5.3.c Debe tratarse su distribución, acceso, recuperación y uso Sí 0 - Inexistente

7.5.3.d Debe tratarse su almacenamiento y preservación Sí 0 - Inexistente

7.5.3.e Debe realizarse un control de cambios Sí 0 - Inexistente

7.5.3.f Debe determinarse su retención y disposición Sí 0 - Inexistente

8 Operación

8.1 Planificación y control operacional

8.1 Deben planificarse, implementarse y controlarse los procesos necesarios para cumplir los requisitos de seguridad de la información

Sí 0 - Inexistente



8.2 Apreciación de los riesgos de seguridad de la información

8.2 Deben realizarse apreciaciones periódicas de los riesgos de seguridad de la información

Sí 0 - Inexistente

8.3 Tratamiento de los riesgos de seguridad de información

8.3 Debe implementarse un plan de tratamiento de riesgos Sí 0 - Inexistente

9 Evaluación del desempeño

9.1 Seguimiento, medición, análisis y evaluación.

9.1.a Debe determinarse qué seguir y qué medir. Sí 0 - Inexistente

9.1.b Deben determinarse los métodos de seguimiento, medición , análisis y evaluación

Sí 0 - Inexistente

9.1.c Debe determinarse cuándo llevar a cabo el seguimiento y la medición

Sí 0 - Inexistente

9.1.d Debe determinarse quién debe llevarlo a cabo Sí 0 - Inexistente

9.1.e Debe determinarse cuándo realizarlo Sí 0 - Inexistente

9.1.f Debe determinarse quién debe analizar los resultados Sí 0 - Inexistente

9.2 Auditoría interna

9.2.a Debe verificarse si el SGSI cumple con los requisitos de esta norma y los de la organización

Sí 0 - Inexistente

9.2.b Debe verificarse que el SGSI esté implementado de forma eficaz

Sí 0 - Inexistente

9.2.c Deben planificarse, establecerse, implementarse y mantenerse uno o varios programas de auditoría.

Sí 0 - Inexistente

9.2.d Para cada auditoría deben definirse sus criterios y alcance Sí 0 - Inexistente

9.2.e Se seleccionarán los auditores adecuados para garantizar la objetividad e imparcialidad

Sí 0 - Inexistente

9.2.f Deberá informarse a la dirección de los resultados Sí 0 - Inexistente

9.2.g Se conservará la información documentada como evidencia

Sí 0 - Inexistente

9.3 Revisión por la dirección

9.3.a Incluirá consideraciones sobre el estado de las acciones desde revisiones anteriores

Sí 0 - Inexistente

9.3.b Incluirá consideraciones sobre la cuestiones externas e internas pertinentes al SGSI

Sí 0 - Inexistente

9.3.c Incluirá no conformidades, acciones correctivas, seguimiento y resultado de mediciones, resultados de auditoría y cumplimiento de os objetivos de seguridad

Sí 0 - Inexistente

9.3.d Incluirá comentarios provenientes de partes interesadas Sí 0 - Inexistente

9.3.e Incluirán resultados de apreciaciones del riesgo y estado del plan de tratamiento

Sí 0 - Inexistente

9.3.f Incluirá oportunidades de mejora Sí 0 - Inexistente

10 Mejora

10.1 No conformidad y acciones correctivas

10.1.a Ante las no conformidades la organización deberá corregirla y/o hacer frente a las consecuencias

Sí 0 - Inexistente

10.1.b Deberá evaluarse la necesidad de acciones para eliminar las causas

Sí 0 - Inexistente



10.1.c Deberá implementarse cualquier otra acción necesaria Sí 0 - Inexistente

10.1.d Deberá revisarse la eficacia de las acciones correctivas llevadas a cabo

Sí 0 - Inexistente

10.1.e Deberá evaluarse si es necesario hacer cambios en el SGSI

Sí 0 - Inexistente

10.1.f Deberá conservarse la documentación sobre la naturaleza de la no conformidad

Sí 0 - Inexistente

10.1.g Deberá conservarse la documentación sobre los resultados de cualquier acción correctiva.

Sí 0 - Inexistente

10.2 Mejora continua

10.2 La organización debe mejorar de manera continuada la idoneidad, adecuación y eficacia del SGSI

Sí 0 - Inexistente

Resumiendo por dominios se obtienen los siguientes datos:

Tabla 3: Resumen del análisis diferencial por cláusulas respecto a la norma ISO/IEC 27001:2013

ID Dominios según la norma ISO/IEC 27001:2013 Situación actual Objetivo Óptimo

4 Contexto de la organización 0,00% 85,00% 100,00%

5 Liderazgo 0,00% 85,00% 100,00%

6 Planificación 0,00% 85,00% 100,00%

7 Soporte 0,00% 85,00% 100,00%

8 Operación 0,00% 85,00% 100,00%

9 Evaluación del desempeño 0,00% 85,00% 100,00%

10 Mejora 0,00% 85,00% 100,00% Los datos recogidos en la tabla anterior proporcionan la siguiente representación gráfica:

Ilustración 6: Resumen del análisis diferencial por cláusulas de la norma ISO/IEC 27001:2013

0,00%

20,00%

40,00%

60,00%

80,00%

100,00%

4 Contexto de laorganización

5 Liderazgo

6 Planificación

7 Soporte8 Operación

9 Evaluación deldesempeño

10 Mejora

Análisis diferencial por dominios

Situación actual Objetivo Óptimo



La situación con respecto a la norma ISO/IEC 27002:2013 se detalla en la siguiente tabla, que puntúa, de acuerdo con el baremo especificado, la implantación de cada uno de controles aplicables de entre los 114 que incluye la norma, agrupados en 14 dominios con 35 objetivos:

Tabla 4: Análisis diferencial respecto a la norma ISO/IEC 27002:2013

ID Controles según la norma ISO/IEC 27002:2013 Aplicabilidad

(SÍ/NO) Situación

A.5 Políticas de seguridad de la información

A.5.1 Directrices de gestión de la seguridad de la información

A.5.1.1 Políticas para la seguridad de la información Sí 0 - Inexistente

A.5.1.2 Revisión de las políticas para la seguridad de la información Sí 0 - Inexistente

A.6 Organización de la seguridad de la información

A.6.1 Organización interna

A.6.1.1 Roles y responsabilidades en seguridad de la información Sí 0 - Inexistente

A.6.1.2 Segregación de tareas Sí 0 - Inexistente

A.6.1.3 Contacto con las autoridades Sí 0 - Inexistente

A.6.1.4 Contacto con grupos de interés especial Sí 0 - Inexistente

A.6.1.5 Seguridad de la información en la gestión de proyectos Sí 0 - Inexistente

A.6.2 Los dispositivos móviles y el teletrabajo

A.6.2.1 Política de dispositivos móviles Sí 0 - Inexistente

A.6.2.2 Teletrabajo Sí 0 - Inexistente

A.7 Seguridad relativa a los recursos humanos

A.7.1 Antes del empleo

A.7.1.1 Investigación de antecedentes Sí 5 - Optimizado

A.7.1.2 Términos y condiciones del empleo Sí 5 - Optimizado

A.7.2 Durante el empleo

A.7.2.1 Responsabilidades de gestión Sí 0 - Inexistente

A.7.2.2 Conocimiento, educación y entrenamiento en la seguridad de la información

Sí 0 - Inexistente

A.7.2.3 Proceso disciplinario Sí 0 - Inexistente

A.7.3 Finalización del empleo o cambio en el puesto de trabajo

A.7.3.1 Responsabilidades ante la finalización o cambio Sí 0 - Inexistente

A.8 Gestión de activos

A.8.1 Responsabilidad sobre los activos

A.8.1.1 Inventario de activos Sí 5 - Optimizado

A.8.1.2 Propiedad de los activos Sí 0 - Inexistente

A.8.1.3 Uso adecuado de los activos Sí 0 - Inexistente

A.8.1.4 Devolución de activos Sí 0 - Inexistente

A.8.2 Clasificación de la información

A.8.2.1 Clasificación de la información Sí 1 - Inicial

A.8.2.2 Etiquetado de la información Sí 1 - Inicial



A.8.2.3 Manipulado de la información Sí 0 - Inexistente

A.8.3 Manipulación de los soportes

A.8.3.1 Gestión de soportes extraíbles Sí 0 - Inexistente

A.8.3.2 Eliminación de soportes Sí 0 - Inexistente

A.8.3.3 Soportes físicos en tránsito Sí 0 - Inexistente

A.9 Control del acceso

A.9.1 Requisitos de negocio para el control de acceso

A.9.1.1 Política de control de acceso Sí 1 - Inicial

A.9.1.2 Acceso a las redes y a los servicios de red Sí 3 - Definido

A.9.2 Gestión de acceso de usuario

A.9.2.1 Registro y baja de usuarios Sí 1 - Inicial

A.9.2.2 Provisión de acceso de usuario Sí 0 - Inexistente

A.9.2.3 Gestión de privilegios de acceso Sí 3 - Definido

A.9.2.4 Gestión de la información secreta de autenticación de los usuarios

Sí 1 - Inicial

A.9.2.5 Revisión de los derechos de acceso de usuario Sí 1 - Inicial

A.9.2.6 Retirada o reasignación de los derechos de acceso de usuario

Sí 1 - Inicial

A.9.3 Responsabilidades del usuario

A.9.3.1 Uso de la información secreta de autenticación Sí 0 - Inexistente

A.9.4 Control de acceso a sistemas y aplicaciones

A.9.4.1 Restricción del acceso a la información Sí 1 - Inicial

A.9.4.2 Procedimiento seguro de inicio de sesión Sí 3 - Definido

A.9.4.3 Sistema de gestión de contraseñas Sí 1 - Inicial

A.9.4.4 Uso de utilidades con privilegios del sistema Sí 0 - Inexistente

A.9.4.5 Control de acceso al código fuente de los programas No

A.10 Criptografía

A.10.1 Controles criptográficos

A.10.1.1 Política del uso de controles criptográficos Sí 0 - Inexistente

A.10.1.2 Gestión de claves Sí 0 - Inexistente

A.11 Seguridad física y del entorno

A.11.1 Áreas seguras

A.11.1.1 Perímetro de seguridad física Sí 1 - Inicial

A.11.1.2 Controles físicos de entrada Sí 1 - Inicial

A.11.1.3 Seguridad de oficinas, despachos y recursos Sí 0 - Inexistente

A.11.1.4 Protección contra amenazas externas y ambientales Sí 3 - Definido

A.11.1.5 Trabajo en áreas seguras Sí 0 - Inexistente

A.11.1.6 Acceso público, entrega y carga Sí 0 - Inexistente

A.11.2 Seguridad de los equipos

A.11.2.1 Instalación y protección de equipos Sí 3 - Definido



A.11.2.2 Instalaciones de suministro Sí 3 - Definido

A.11.2.3 Seguridad en el cableado Sí 3 - Definido

A.11.2.4 Mantenimiento de equipos Sí 3 - Definido

A.11.2.5 Retirada de materiales propiedad de la empresa Sí 0 - Inexistente

A.11.2.6 Seguridad de equipos fuera de las instalaciones Sí 0 - Inexistente

A.11.2.7 Reutilización o eliminación segura de equipos Sí 1 - Inicial

A.11.2.8 Equipo de usuario desatendido Sí 0 - Inexistente

A.11.2.9 Política de puesto de trabajo despejado y pantalla limpia Sí 0 - Inexistente

A.12 Seguridad de las operaciones

A.12.1 Procedimientos y responsabilidades operacionales

A.12.1.1 Documentación de los procedimientos de operación Sí 0 - Inexistente

A.12.1.2 Gestión de cambios Sí 0 - Inexistente

A.12.1.3 Gestión de capacidades Sí 0 - Inexistente

A.12.1.4 Separación de los recursos de desarrollo, prueba y operación

No

A.12.2 Protección contra el software malicioso (malware)

A.12.2.1 Controles contra el código malicioso Sí 3 - Definido

A.12.3 Copias de seguridad

A.12.3.1 Copias de seguridad de la información Sí 3 - Definido

A.12.4 Registros y supervisión

A.12.4.1 Registro de eventos Sí 0 - Inexistente

A.12.4.2 Protección de la información de registro Sí 1 - Inicial

A.12.4.3 Registros de administración y operación Sí 0 - Inexistente

A.12.4.4 Sincronización del reloj Sí 3 - Definido

A.12.5 Control del software en explotación

A.12.5.1 Instalación del software en explotación Sí 1 - Inicial

A.12.6 Gestión de la vulnerabilidad técnica

A.12.6.1 Gestión de las vulnerabilidades técnicas Sí 1 - Inicial

A.12.6.2 Restricción en la instalación del software Sí 0 - Inexistente

A.12.7 Consideraciones sobre la de auditoría de sistemas de información

A.12.7.1 Controles de auditoría de sistemas de la información Sí 0 - Inexistente

A.13 Seguridad en las comunicaciones

A.13.1 Gestión de la seguridad de redes

A.13.1.1 Controles de red Sí 3 - Definido

A.13.1.2 Seguridad en los servicios de red Sí 1 - Inicial

A.13.1.3 Segregación de redes Sí 3 - Definido

A.13.2 Intercambio de información

A.13.2.1 Políticas y procedimientos de intercambio de información Sí 3 - Definido

A.13.2.2 Acuerdos de intercambio de información Sí 3 - Definido



A.13.2.3 mensajería electrónica Sí 0 - Inexistente

A.13.2.4 Acuerdos de confidencialidad o no revelación Sí 0 - Inexistente

A.14 Adquisición desarrollo y mantenimiento de los sistemas de información

A.14.1 Requisitos de seguridad en sistemas de información

A.14.1.1 Análisis de requisitos y especificaciones de seguridad de la información

Sí 1 - Inicial

A.14.1.2 Asegurar los servicios de aplicaciones en redes públicas Sí 1 - Inicial

A.14.1.3 Protección de las transacciones de servicios de aplicaciones Sí 1 - Inicial

A.14.2 Seguridad en el desarrollo y en los procesos de soporte

A.14.2.1 Política de desarrollo seguro Sí 0 - Inexistente

A.14.2.2 Procedimiento de control de cambios en sistemas Sí 0 - Inexistente

A.14.2.3 Revisión técnica de las aplicaciones después de cambios en el sistema operativo

Sí 0 - Inexistente

A.14.2.4 Restricciones a los cambios en paquetes de software Sí 0 - Inexistente

A.14.2.5 Principios de ingeniería de sistemas seguros Sí 0 - Inexistente

A.14.2.6 Entorno de desarrollo seguro Sí 0 - Inexistente

A.14.2.7 Externalización del desarrollo de software Sí 1 - Inicial

A.14.2.8 Pruebas funcionales de seguridad de sistemas Sí 0 - Inexistente

A.14.2.9 Pruebas de aceptación de sistemas Sí 1 - Inicial

A.14.3 Datos de prueba

A.14.3.1 Protección de los datos de prueba Sí 1 - Inicial

A.15 Relación con proveedores

A.15.1 Seguridad en las relaciones con proveedores

A.15.1.1 Política de seguridad de la información en las relaciones con proveedores

Sí 1 - Inicial

A.15.1.2 Requisitos de seguridad en contratos con terceros Sí 1 - Inicial

A.15.1.3 Cadena de suministro de tecnología de la información y de las comunicaciones

Sí 0 - Inexistente

A.15.2 Gestión de la provisión de servicios del proveedor

A.15.2.1 Control y revisión de la provisión de servicios del proveedor Sí 0 - Inexistente

A.15.2.2 Gestión de cambios en la provisión del servicio del proveedor

Sí 0 - Inexistente

A.16 Gestión de incidentes de seguridad de la información

A.16.1 Gestión de incidentes de seguridad de la información y mejoras

A.16.1.1 Responsabilidades y procedimientos Sí 0 - Inexistente

A.16.1.2 Notificación de los eventos de seguridad de la información Sí 0 - Inexistente

A.16.1.3 Notificación de puntos débiles de la seguridad Sí 0 - Inexistente

A.16.1.4 Evaluación y decisión sobre los elementos de seguridad de la información

Sí 0 - Inexistente

A.16.1.5 Respuesta a incidentes de seguridad de la información Sí 0 - Inexistente

A.16.1.6 Aprendizaje de los incidentes de seguridad de la información

Sí 0 - Inexistente



A.16.1.7 Recopilación de evidencias Sí 0 - Inexistente

A.17 Aspectos de seguridad de la información para la gestión de la continuidad del negocio

A.17.1 Continuidad de la seguridad de la información

A.17.1.1 Planificación de la continuidad de la seguridad de la información

Sí 0 - Inexistente

A.17.1.2 Implementar la continuidad de la seguridad de la información

Sí 0 - Inexistente

A.17.1.3 Verificación, revisión y evaluación de la continuidad de la seguridad de la información

Sí 0 - Inexistente

A.17.2 Redundancias

A.17.2.1 Disponibilidad de los recursos de tratamiento de la información

Sí 3 - Definido

A.18 Cumplimiento

A.18.1 Cumplimiento de los requisitos legales y contractuales

A.18.1.1 Identificación de la legislación aplicable y de los requisitos contractuales

Sí 3 - Definido

A.18.1.2 Derechos de propiedad intelectual (DPI) Sí 1 - Inicial

A.18.1.3 Protección de los registros de la organización Sí 1 - Inicial

A.18.1.4 Protección y privacidad de la información de carácter personal

Sí 3 - Definido

A.18.1.5 Regulación de los controles criptográficos Sí 0 - Inexistente

A.18.2 Revisiones de la seguridad de la información

A.18.2.1 Revisión independiente de la seguridad de la información Sí 0 - Inexistente

A.18.2.2 Cumplimiento de las políticas y normas de seguridad Sí 1 - Inicial

A.18.2.3 Comprobación del cumplimiento técnico Sí 1 - Inicial

Consideraciones sobre los controles considerados como no aplicables: Se ha considerado como no aplicable el control “A.12.1.4 – Separación de los recursos de desarrollo, prueba y operación”. En el caso objeto de estudio no se desarrolla software en ningún caso. Todas las aplicaciones son suministradas por terceros y no se realizan pruebas en el entorno de operación. Todos los desarrollos y pruebas se llevan a cabo en entornos de los suministradores de software, nunca en el entorno operativo. Del análisis detallado control a control anterior se puede obtener el siguiente resumen por dominios, al tiempo que se detalla el nivel de implantación en la organización, un objetivo a alcanzar en este proyecto y el nivel que sería óptimo para cada uno de ellos:

Tabla 5: Resumen por dominios del análisis diferencial de la norma ISO/IEC 27002:2013


A.5 Políticas de seguridad de la información 0,00% 85,00% 100,00%

A.6 Organización de la seguridad de la información 0,00% 85,00% 100,00%

A.7 Seguridad relativa a los recursos humanos 33,33% 85,00% 100,00%

A.8 Gestión de activos 14,00% 85,00% 100,00%

A.9 Control del acceso 24,62% 85,00% 100,00%



A.10 Criptografía 0,00% 85,00% 100,00%

A.11 Seguridad física y del entorno 24,00% 85,00% 100,00%

A.12 Seguridad de las operaciones 18,46% 85,00% 100,00%

A.13 Seguridad en las comunicaciones 37,14% 85,00% 100,00%

A.14 Adquisición desarrollo y mantenimiento de los sistemas de información 9,23% 85,00% 100,00%

A.15 Relación con proveedores 8,00% 85,00% 100,00%

A.16 Gestión de incidentes de seguridad de la información 0,00% 85,00% 100,00%

A.17 Aspectos de seguridad de la información para la gestión de la continuidad del negocio 15,00% 85,00% 100,00%

A.18 Cumplimiento 25,00% 85,00% 100,00% De estos datos se obtiene la siguiente representación gráfica:

Ilustración 7: Resumen por dominios del análisis diferencial de la norma ISO/IEC 27002:2013

0,00%10,00%20,00%30,00%40,00%50,00%60,00%70,00%80,00%90,00%

100,00%

A.5 Políticas de seguridad dela información

A.6 Organización de laseguridad de la información

A.7 Seguridad relativa a losrecursos humanos



A.10 Criptografía

A.11 Seguridad física y delentorno

A.12 Seguridad de lasoperaciones

A.13 Seguridad en lascomunicaciones

A.14 Adquisición desarrollo ymantenimiento de los…

A.15 Relación conproveedores

A.16 Gestión de incidentes deseguridad de la información

A.17 Aspectos de seguridadde la información para la…

A.18 Cumplimiento

Análisis diferencial por dominios




2 SISTEMA DE GESTIÓN DOCUMENTAL

2.1 INTRODUCCIÓN

Todos los Sistemas de Gestión se apoyan en un cuerpo documental para el cumplimiento normativo. En esta línea, los siguientes apartados recogen la descripción y estructura de los mismos de acuerdo con lo establecido en la propia norma ISO/IEC 27001.

2.2 POLÍTICA DE SEGURIDAD

La Política de Seguridad tiene por objeto proporcionar orientación y apoyo a la gestión de seguridad de la información de acuerdo con los requisitos del negocio, las leyes y normas pertinentes (Norma ISO/IEC 27002:2013). El documento que recoge dicha Política se encuentra como anexo al presente con la siguiente denominación:

Anexo-01 – Política del sistema de gestión de seguridad de la información.

2.3 PROCEDIMIENTO DE AUDITORÍAS INTERNAS

La ISO/IEC 27001:2013 establece en su apartado 9.2 la necesidad de llevar a cabo auditorías internas con el objeto de verificar que el Sistema de Gestión de Seguridad de la Información cumple con los requisitos propios de la organización y con los requisitos de la norma indicada. El documento que recoge el procedimiento que se debe seguir en dichas auditorías se encuentra como anexo al presente con la siguiente denominación:

Anexo-02 – Procedimiento de auditorías internas

2.4 GESTIÓN DE INDICADORES

La ISO/IEC 27001:2013 establece en su apartado 9.1 que la organización debe evaluar el desempeño de la seguridad y la eficacia del sistema de gestión de la seguridad de la información. A tal efecto y siguiendo las indicaciones recogidas en la norma ISO/IEC 27004 se ha desarrollado un cuadro con 10 indicadores diferentes que permiten dar cumplimiento a esta especificación. Dicho cuadro se recoge en el siguiente documento anexo:

Anexo-03 Cuadro de indicadores de seguimiento

2.5 PROCEDIMIENTO DE REVISIÓN POR PARTE DE LA DIRECCIÓN

La ISO/IEC 27001:2013 establece en su apartado 9.3 la obligación por parte de la alta dirección de llevar a cabo revisiones del sistema de gestión de seguridad de la información a intervalos planificados, con la finalidad de asegurarse de su conveniencia, adecuación y eficacia continuas. Dicho procedimiento se recoge en el siguiente documento anexo:

Anexo-04 Procedimiento de revisión por parte de la dirección



2.6 GESTIÓN DE ROLES Y RESPONSABILIDADES

El Sistema de Gestión de Seguridad de la Información tiene que estar compuesto por un equipo que se encargue de crear, mantener, supervisar y mejorar el Sistema. Este equipo de trabajo, conocido habitualmente como Comité de Seguridad, debe estar compuesto al menos por una persona de Dirección, para que de esta manera las decisiones que se tomen puedan estar respaldadas por alguien de Dirección. En el Ayuntamiento se deberá constituir el citado comité de seguridad que estará integrado por el Concejal delegado del área de Nuevas Tecnologías, el responsable de Sistemas de Información, el Responsable de Seguridad, el Secretario de la institución, el Interventor, el Depositario y el Jefe de la unidad de recaudación. Se considerará como máximo responsable a nivel político del SGSI al Concejal delegado del área de Nuevas Tecnologías. Él deberá llevar a cabo las siguientes tareas:

Proporcionar una seguridad suficiente sobre la información de acuerdo al contexto y situación de la organización.

Asegurar el desarrollo, documentación e implementación de un sistema de gestión de seguridad de la información para todos los sistemas, redes e información en el ámbito del alcance definido.

Verificar la alineación del sistema de gestión de la seguridad de la información con los objetivos estratégicos de la organización.

Conceder autoridad al resto de responsables en materia de tratamiento de la información para asegurar un correcto desempeño de sus funciones.

Designar un responsable de los Sistemas de Información.

Verificar la correcta formación del personal asignado a tareas de seguridad de la información.

Verificar que el responsable de los Sistemas de Información reporta periódicamente y de forma planificada la efectividad del SGSI.

El responsable de los Sistemas de Información deberá llevar a cabo las siguientes tareas:

Designar un Responsable de Seguridad

Desarrollar y mantener un SGSI para todos los sistemas, redes e información en el ámbito del alcance definido.

Desarrollar y mantener políticas, procedimientos y controles técnicos para cumplir con las especificaciones normativas.

Asegurar el cumplimiento de los requerimientos establecidos en materia de seguridad de la información.

Informar de forma periódica y planificada de la efectividad de la efectividad del SGSI así como de los efectos de las medidas correctoras que eventualmente se hubieran adoptado.

El Responsable de Seguridad será responsable de las siguientes tareas:

Ejecutar todas las tareas relacionadas con la seguridad de la información

Realizar periódicamente evaluaciones del riesgo.

Asegurar la correcta formación en materia de seguridad de todo el personal de la organización.

Entrenar y supervisar al personal que tenga responsabilidades relevantes en materia de seguridad.

Probar y evaluar periódicamente la efectividad de las políticas y procedimientos de seguridad.

Desarrollar e implementar procedimientos para detectar, informar y responder a incidentes de seguridad.

Apoyar al responsable de Sistemas de Información en sus informes a la dirección. Los usuarios son responsables cada uno de ellos en su ámbito de observar y aplicar toda la normativa que en materia de seguridad de la información publique la organización, así como de reportar a sus superiores jerárquicos cualquier incidencia que en dicha materia detecten. Los responsables de cada departamento, a su vez, pondrán en conocimiento del responsable de seguridad la información que por esta vía les llegue.



2.7 METODOLOGÍA DE ANÁLISIS DE RIESGOS

La metodología que se seguirá en el análisis de riesgos es la denominada “MAGERIT”. Fue desarrollada por el MAP (Ministerio de Administraciones Públicas) con el objeto específico de ayudar a todas las administraciones del Estado. Como característica principal se puede destacar que es una metodología que traslada los riesgos a un valor económico, lo que permitirá una toma de decisiones más sencillas por parte de la dirección. MAGERIT sigue un proceso para la identificación y gestión de los riesgos a los que está expuesta la organización, que está integrado por las fases que se recogen en la siguiente ilustración:

Ilustración 8: Fases MAGERIT

Veamos cada una de estas fases. Toma de datos y procesos de información: es la más importante de la metodología y establece qué debe analizarse, con especial atención al nivel de granularidad, es decir el nivel de detalle que se desea alcanzar. Establecimiento de parámetros: se establecerán aquí qué parámetros se utilizarán durante todo el proceso de análisis. Se identificarán los siguientes parámetros:

Valor de los activos Se asignará una valoración económica a todos los activos de la organización que son precisos para llevar a cabo sus procesos. No se atenderá únicamente a su valor de compra sino al valor que tenga según la importancia de la tarea para la que se utiliza. Se establecerán diferentes grupos de activos según su valor, con un máximo de cinco rangos, asignándose un valor estimado a cada uno de los rangos, que será el valor utilizado para todos los activos incluidos en un mismo rango. Se tendrá en consideración el valor de reposición, el valor de configuración, el valor de uso del activo y el valor de pérdida de oportunidad.

Vulnerabilidad Las vulnerabilidades se entienden como la frecuencia con la que una organización puede sufrir alguna amenaza en concreto. También aquí se determinará una escala de valores que atenderá a



la frecuencia estimada anual: Vulnerabilidad = Frecuencia estimada / Días del año. Así, se obtendría la siguiente tabla de vulnerabilidades:

Tabla 6: Clasificación de vulnerabilidades

Vulnerabilidad Rango Valor

Frecuencia extrema 1 vez al día 1,000000

Frecuencia alta 1 vez cada dos semanas 0,071233

Frecuencia media 1 vez cada dos meses 0,016438

Frecuencia baja 1 vez cada seis meses 0,005479

Frecuencia muy baja 1 vez al año 0,002740

Impacto Se entiende por impacto al porcentaje el valor del activo que se pierde en el caso de que suceda un incidente sobre dicho activo. Volverá a utilizarse aquí un rango de impactos que se recoge en la siguiente tabla:

Tabla 7: Valoración de impactos

Impacto Valor

Muy alto 100%

Alto 75%

Medio 50%

Bajo 20%

Muy bajo 5%

Efectividad del control de seguridad Se valora aquí la influencia que tendrán las medidas de protección a implantar, atendiendo a cómo afectan ya sea a la reducción en la vulnerabilidad (la frecuencia) o al impacto que se produce. Los rangos en este caso se recogen en la siguiente tabla:

Tabla 8: Clasificación de niveles de efectividad

Variación impacto / vulnerabilidad Valor

Muy alto 95%

alto 75%

medio 50%

bajo 30%

Muy bajo 10% Análisis de activos: se identificará en esta fase cuáles son los activos que la organización posee en el ámbito del alcance definido para el SGSI. Se considerarán todos los activos: físicos, lógicos, personal, entorno o infraestructura e intangibles. La valoración se realizará atendiendo a lo establecido en los parámetros de valoración de activos. Análisis de amenazas: se define como amenaza aquella situación que podría llegar a darse en una organización y que provocaría un problema de seguridad. MAGERIT distingue entre los siguientes tipos de amenazas:

Accidentes: situaciones no provocadas voluntariamente y muchas veces inevitables.



Errores: situaciones cometidas de forma involuntaria por el propio desarrollo de actividades diarias de la organización.

Amenazas intencionadas presenciales: son las provocadas por el propio personal de la organización de forma voluntaria al realizar acciones con intención de provocare daño.

Amenazas intencionadas remotas: son las provocadas por terceras personas (ajenas a la organización).

Establecimiento de vulnerabilidades: MAGERIT requiere que las vulnerabilidades (brechas en la seguridad de la organización) sean tomadas en consideración, aunque no establece el requisito de listarlas. Valoración de impactos: los impactos se definen como las consecuencias que provoca en la organización el hecho de que cierta amenaza se materialice sobre un activo. Análisis del riesgo intrínseco: los pasos llevados a cabo hasta este punto permiten ahora la realización del estudio sobre los riesgos a los que está sometida la organización. El riesgo se obtendrá a partir de la siguiente expresión:

Riesgo intrínseco = Valor del activo x Vulnerabilidad x Impacto El riesgo intrínseco se define como aquel al que se halla expuesto un activo sin tener en cuenta las medidas de seguridad que se puedan implantar. Influencia de las salvaguardas: una vez identificados los riesgos, se entra en la fase de gestión de riesgos que consiste en tratar de escoger la mejor solución de seguridad que permita reducirlos. Para ello existen dos tipos de controles de seguridad o salvaguardas:

Preventivas: reducen la vulnerabilidad (frecuencia de ocurrencia):

Nueva vulnerabilidad = Vulnerabilidad x Porcentaje de disminución de la vulnerabilidad

Correctivas; reducen el impacto de las amenazas:

Nuevo impacto = Impacto x Porcentaje de disminución del impacto Análisis de riesgos efectivos: será el resultado de analizar como reducirán el riesgo la implantación de las distintas medidas de protección, lo que permitiría obtener el riesgo efectivo al que estará expuesta la organización para cada uno de las amenazas identificadas.

Riesgo efectivo = Riesgo intrínseco x % de disminución vulnerabilidad x % disminución impacto Gestión de riesgos: en esta última fase la organización deberá decidir sobre qué medidas de seguridad implantar de entre las disponibles para reducir los riesgos. El objetivo será reducir los riesgos hasta situarlos por debajo del “umbral de riesgos” (punto en el que una organización considera que los riesgos a los que se encuentra expuesta no son aceptables). La organización podrá optar por alguna de la siguientes tres alternativas en cuanto a los riesgos:

Reducirlos

Transferirlos

Aceptarlos

2.8 DECLARACIÓN DE APLICABILIDAD

La ISO/IEC 27001:2013 establece en el párrafo f) del apartado 6.1.3 de Tratamiento de riesgos de seguridad de la información la necesidad de elaborar una “Declaración de Aplicabilidad” que contenga los controles necesarios y la justificación de las inclusiones, estén implementadas o no, y la justificación de las exclusiones de los controles del Anexo A. Dicha declaración se recoge en la siguiente tabla:



Tabla 9: Declaración de aplicabilidad

ID Controles según la norma ISO/IEC 27001:2013 Anexo A

Aplicabilidad (SÍ/NO)

Motivos por los que es o no aplicable



A.5.1.1 Políticas para la seguridad de la información

Sí Proporcionar orientación y apoyo a la gestión de la seguridad de la información.

A.5.1.2 Revisión de las políticas para la seguridad de la información

Sí Las políticas deben revisarse para garantizar que se mantenga su idoneidad, adecuación y eficacia.



A.6.1.1 Roles y responsabilidades en seguridad de la información

Sí

Establecer un marco de gestión para iniciar y controlar la implementación y operación de la seguridad de la información dentro de la organización.

A.6.1.2 Segregación de tareas Sí


A.6.1.3 Contacto con las autoridades Sí


A.6.1.4 Contacto con grupos de interés especial

Sí


A.6.1.5 Seguridad de la información en la gestión de proyectos

Sí



A.6.2.1 Política de dispositivos móviles Sí Garantizar la seguridad en el teletrabajo y en el uso de dispositivos móviles.

A.6.2.2 Teletrabajo Sí Garantizar la seguridad en el teletrabajo y en el uso de dispositivos móviles.





A.7.1.1 Investigación de antecedentes Sí

Verificar que los empleados y contratistas entiendan sus responsabilidades y son adecuados para las tareas que se les encomiendan.

A.7.1.2 Términos y condiciones del empleo Sí

Verificar que los empleados y contratistas entiendan sus responsabilidades y son adecuados para las tareas que se les encomiendan.


A.7.2.1 Responsabilidades de gestión Sí

Asegurar que los empleados y contratistas conozcan y cumplan con sus responsabilidades en materia de seguridad de la información.


Sí


A.7.2.3 Proceso disciplinario Sí



A.7.3.1 Responsabilidades ante la finalización o cambio

Sí Proteger los intereses de la organización como parte del proceso de cambio o finalización del empleo.



A.8.1.1 Inventario de activos Sí

Identificar los activos de la organización y definir las responsabilidades de protección adecuadas.

A.8.1.2 Propiedad de los activos Sí


A.8.1.3 Uso adecuado de los activos Sí


A.8.1.4 Devolución de activos Sí



A.8.2.1 Clasificación de la información Sí

Asegurar que la información recibe un nivel adecuado de protección de acuerdo con su importancia para la organización.



A.8.2.2 Etiquetado de la información Sí


A.8.2.3 Manipulado de la información Sí



A.8.3.1 Gestión de soportes extraíbles Sí

Evitar la revelación, modificación, eliminación o destrucción no autorizadas de la información almacenada en soportes.

A.8.3.2 Eliminación de soportes Sí


A.8.3.3 Soportes físicos en tránsito Sí




A.9.1.1 Política de control de acceso Sí Limitar el acceso a los recursos de tratamiento de información y a la información.

A.9.1.2 Acceso a las redes y a los servicios de red

Sí Limitar el acceso a los recursos de tratamiento de información y a la información.


A.9.2.1 Registro y baja de usuarios Sí Garantizar el acceso de usuarios autorizados y evitar el acceso no autorizado a los sistemas y servicios.

A.9.2.2 Provisión de acceso de usuario Sí Garantizar el acceso de usuarios autorizados y evitar el acceso no autorizado a los sistemas y servicios.

A.9.2.3 Gestión de privilegios de acceso Sí Garantizar el acceso de usuarios autorizados y evitar el acceso no autorizado a los sistemas y servicios.


Sí Garantizar el acceso de usuarios autorizados y evitar el acceso no autorizado a los sistemas y servicios.

A.9.2.5 Revisión de los derechos de acceso de usuario


A.9.2.6 Retirada o reasignación de los derechos de acceso de usuario





A.9.3.1 Uso de la información secreta de autenticación

Sí Asegurar que los usuarios se hacen responsables de salvaguardar su información de autenticación.


A.9.4.1 Restricción del acceso a la información Sí Prevenir el acceso no autorizado a los sistemas y aplicaciones.

A.9.4.2 Procedimiento seguro de inicio de sesión

Sí Prevenir el acceso no autorizado a los sistemas y aplicaciones.

A.9.4.3 Sistema de gestión de contraseñas Sí Prevenir el acceso no autorizado a los sistemas y aplicaciones.

A.9.4.4 Uso de utilidades con privilegios del sistema

Sí Prevenir el acceso no autorizado a los sistemas y aplicaciones.

A.9.4.5 Control de acceso al código fuente de los programas

No

El desarrollo de software está externalizado, por lo que no está disponible en los sistemas de la organización.

A.10 Criptografía


A.10.1.1 Política del uso de controles criptográficos

Sí

Garantizar un uso adecuado y eficaz de la criptografía para proteger la confidencialidad, autenticidad y/o integridad de la información.

A.10.1.2 Gestión de claves Sí

Garantizar un uso adecuado y eficaz de la criptografía para proteger la confidencialidad, autenticidad y/o integridad de la información.



A.11.1.1 Perímetro de seguridad física Sí

Prevenir el acceso físico no autorizado, los daños e interferencia a la información de la organización y a los recursos de tratamiento de la información.

A.11.1.2 Controles físicos de entrada Sí


A.11.1.3 Seguridad de oficinas, despachos y recursos

Sí


A.11.1.4 Protección contra amenazas externas y ambientales

Sí




A.11.1.5 Trabajo en áreas seguras Sí


A.11.1.6 Acceso público, entrega y carga Sí



A.11.2.1 Instalación y protección de equipos Sí

Evitar la pérdida, daño, robo o el compromiso de los activos y la interrupción de las operaciones de la organización.

A.11.2.2 Instalaciones de suministro Sí


A.11.2.3 Seguridad en el cableado Sí


A.11.2.4 Mantenimiento de equipos Sí


A.11.2.5 Retirada de materiales propiedad de la empresa

Sí


A.11.2.6 Seguridad de equipos fuera de las instalaciones

Sí


A.11.2.7 Reutilización o eliminación segura de equipos

Sí


A.11.2.8 Equipo de usuario desatendido Sí


A.11.2.9 Política de puesto de trabajo despejado y pantalla limpia

Sí




A.12.1.1 Documentación de los procedimientos de operación

Sí Asegurar el funcionamiento correcto y seguro de las instalaciones de tratamiento de la información.



A.12.1.2 Gestión de cambios Sí Asegurar el funcionamiento correcto y seguro de las instalaciones de tratamiento de la información.

A.12.1.3 Gestión de capacidades Sí Asegurar el funcionamiento correcto y seguro de las instalaciones de tratamiento de la información.

A.12.1.4 Separación de los recursos de desarrollo, prueba y operación

No

El desarrollo de software está externalizado, por lo que no existe entorno de pruebas ni de desarrollo en la organización.


A.12.2.1 Controles contra el código malicioso Sí

Asegurar que los recursos de tratamiento de información y la información están protegidos contra el malware.


A.12.3.1 Copias de seguridad de la información Sí Evitar la pérdida de datos.


A.12.4.1 Registro de eventos Sí Registrar eventos y generar evidencias.

A.12.4.2 Protección de la información de registro Sí Registrar eventos y generar evidencias.

A.12.4.3 Registros de administración y operación

Sí Registrar eventos y generar evidencias.

A.12.4.4 Sincronización del reloj Sí Registrar eventos y generar evidencias.


A.12.5.1 Instalación del software en explotación Sí Asegurar la integridad del software en explotación.


A.12.6.1 Gestión de las vulnerabilidades técnicas

Sí Reducir los riesgos resultantes de la explotación de vulnerabilidades técnicas.

A.12.6.2 Restricción en la instalación del software

Sí Reducir los riesgos resultantes de la explotación de vulnerabilidades técnicas.


A.12.7.1 Controles de auditoría de sistemas de la información

Sí Minimizar el impacto de las actividades de auditoría en los sistemas operativos.



A.13.1.1 Controles de red Sí

Asegurar la protección de la información en las redes y los recursos de tratamiento de la información.

A.13.1.2 Seguridad en los servicios de red Sí Asegurar la protección de la información en las redes y los



recursos de tratamiento de la información.

A.13.1.3 Segregación de redes Sí

Asegurar la protección de la información en las redes y los recursos de tratamiento de la información.


A.13.2.1 Políticas y procedimientos de intercambio de información

Sí

Mantener la seguridad en la información que se transfiere dentro de una organización y con cualquier entidad externa.

A.13.2.2 Acuerdos de intercambio de información

Sí


A.13.2.3 mensajería electrónica Sí


A.13.2.4 Acuerdos de confidencialidad o no revelación

Sí





Sí

Garantizar que la seguridad de la información sea parte integral de los sistemas de información a través de todo el ciclo de vida.

A.14.1.2 Asegurar los servicios de aplicaciones en redes públicas

Sí


A.14.1.3 Protección de las transacciones de servicios de aplicaciones

Sí



A.14.2.1 Política de desarrollo seguro Sí

Garantizar la seguridad de la información que se ha diseñado e implementado en el ciclo de vida de desarrollo de sistemas de información.

A.14.2.2 Procedimiento de control de cambios en sistemas

Sí



Sí




A.14.2.4 Restricciones a los cambios en paquetes de software

Sí


A.14.2.5 Principios de ingeniería de sistemas seguros

Sí


A.14.2.6 Entorno de desarrollo seguro Sí


A.14.2.7 Externalización del desarrollo de software

Sí


A.14.2.8 Pruebas funcionales de seguridad de sistemas

Sí


A.14.2.9 Pruebas de aceptación de sistemas Sí



A.14.3.1 Protección de los datos de prueba Sí Asegurar la protección de datos de prueba,




Sí Asegurar la protección de los activos de la organización que sean accesibles a los proveedores.

A.15.1.2 Requisitos de seguridad en contratos con terceros





A.15.2.1 Control y revisión de la provisión de servicios del proveedor

Sí

Mantener un nivel acordado de seguridad y de provisión de servicios en línea con acuerdos con proveedores.

A.15.2.2 Gestión de cambios en la provisión del servicio del proveedor

Sí

Mantener un nivel acordado de seguridad y de provisión de servicios en línea con acuerdos con proveedores.





A.16.1.1 Responsabilidades y procedimientos Sí

Asegurar un enfoque coherente y eficaz para la gestión de incidentes se seguridad de la información, incluida la comunicación de eventos de seguridad y debilidades.

A.16.1.2 Notificación de los eventos de seguridad de la información

Sí


A.16.1.3 Notificación de puntos débiles de la seguridad

Sí



Sí


A.16.1.5 Respuesta a incidentes de seguridad de la información

Sí


A.16.1.6 Aprendizaje de los incidentes de seguridad de la información

Sí


A.16.1.7 Recopilación de evidencias Sí





Sí

La continuidad de la seguridad de la información debería formar parte de los sistemas de gestión de continuidad de negocio de la organización.

A.17.1.2 Implementar la continuidad de la seguridad de la información

Sí



Sí


A.17.2 Redundancias



A.17.2.1 Disponibilidad de los recursos de tratamiento de la información

Sí Asegurar la disponibilidad de los recursos de tratamiento de la información.

A.18 Cumplimiento



Sí

Evitar incumplimientos en las obligaciones legales, estatutarias, reglamentarias o contractuales relativas a la seguridad de la información o de los requisitos de seguridad.

A.18.1.2 Derechos de propiedad intelectual (DPI)

Sí


A.18.1.3 Protección de los registros de la organización

Sí


A.18.1.4 Protección y privacidad de la información de carácter personal

Sí


A.18.1.5 Regulación de los controles criptográficos

Sí



A.18.2.1 Revisión independiente de la seguridad de la información

Sí

Garantizar que la seguridad de la información se implementa y opera de acuerdo con las políticas y procedimientos de la organización.

A.18.2.2 Cumplimiento de las políticas y normas de seguridad

Sí


A.18.2.3 Comprobación del cumplimiento técnico

Sí




3 FASE 3: ANÁLISIS DE RIESGOS

3.1 INTRODUCCIÓN

Dado que en este caso se trata de una Administración Pública se ha estimado como conveniente utilizar como herramienta para el análisis de riesgos la aplicación PILAR. El libro I – Método de MAGERIT 3.0 describe la herramienta como sigue: PILAR, acrónimo de “Procedimiento Informático-Lógico para el Análisis de Riesgos” es una herramienta desarrollada bajo especificación del Centro Nacional de Inteligencia para soportar el análisis de riesgos de sistemas de información siguiendo la metodología Magerit.

La herramienta soporta todas las fases del método Magerit:

• Caracterización de los activos: identificación, clasificación, dependencias y valoración • Caracterización de las amenazas • Evaluación de las salvaguardas La herramienta incorpora los catálogos del "Catálogo de Elementos" permitiendo una homogeneidad en los resultados del análisis:

tipos de activos

dimensiones de valoración

criterios de valoración

catálogo de amenazas Para incorporar este catálogo, PILAR diferencia entre el motor de cálculo de riesgos y la biblioteca de elementos, que puede ser reemplazada para seguir el paso de la evolución en el tiempo de los catálogos de elementos.

La herramienta evalúa el impacto y el riesgo, acumulado y repercutido, potencial y residual, presentándolo de forma que permita el análisis de por qué se da cierto impacto o cierto riesgo.

Las salvaguardas se califican por fases, permitiendo la incorporación a un mismo modelo de diferentes situaciones temporales. Típicamente se puede incorporar el resultado de los diferentes proyectos de seguridad a lo largo de la ejecución del plan de seguridad, monitorizando la mejora del sistema.

Los resultados se presentan en varios formatos: informes RTF, gráficas y tablas para incorporar a hojas de cálculo. De esta forma es posible elaborar diferentes tipos de informes y presentaciones de los resultados.

Por último, la herramienta calcula calificaciones de seguridad siguiendo los epígrafes de normas de iure o de facto de uso habitual. Cabe citarse:

UNE-ISO/IEC 27002:2009: sistemas de gestión de la seguridad

RD 1720/2007: datos de carácter personal

RD 3/2010: Esquema Nacional de Seguridad Por último hay que destacar que PILAR incorpora tanto los modelos cualitativo como cuantitativo, pudiendo alternarse entre uno y otro para extraer el máximo beneficio de las posibilidades teóricas de cada uno de ellos.



3.2 INVENTARIO DE ACTIVOS

Se ha definido y registrado en PILAR el siguiente inventario de ACTIVOS:

Ilustración 9: Inventario de Activos



Los activos se han agrupado bajo los siguientes epígrafes:

Activos esenciales: información y servicios que la gestionan.

Equipamiento o Aplicaciones o Equipos o Comunicaciones o Elementos auxiliares

Instalaciones

Personal Esta es la clasificación propuesta por la aplicación conforme a la metodología MAGERIT. Cada uno de estos activos ha sido debidamente caracterizado, el detalle de todos se puede consultar en el proyecto PILAR incluido junto a este documento, se incluyen a continuación unos ejemplos de activos importantes: Información de Gestión Tributaria y Recaudación, Servicio de gestión Tributaria y Recaudación y Aplicación de Gestión Tributaria.

Ilustración 10: Caracterización del activo Información de Gestión Tributaria y Recaudación



Ilustración 11: caracterización del activo Servicio de Gestión Tributaria y Recaudación

Ilustración 12: caracterización del activo Aplicación de Gestión Tributaria



3.3 VALORACIÓN DE LOS ACTIVOS

El procedimiento seguido en la valoración de los activos parte de la identificación de los denominados Activos Esenciales, que se definen como aquellos que se encuentran en lo más alto de la jerarquía de los activos: los servicios que se prestan y la información que se maneja. Una vez definidos dichos activos será preciso establecer un árbol de dependencias mediante el cual, a partir del valor establecido para los activos superiores, será posible obtener el del resto de los activos. El esquema de valoración que se seguirá es el siguiente:

Ilustración 13: Dependencias entre activos

Un activo superior depende de otro de nivel inferior cuando las necesidades de seguridad del superior se reflejan en las necesidades de seguridad del inferior; o, lo que es lo mismo, cuando la materialización de una amenaza en el de nivel inferior tiene repercusión en el de nivel superior. Siguiendo esta guía, se situarían en el nivel más alto la información (los datos), dichos datos dependerían directamente por una parte de las aplicaciones y por otra del equipamiento: Hardware, comunicaciones, soportes de información y elementos auxiliares. Dicho equipamiento tendría posteriormente una dependencia directa de las instalaciones que lo aloja. Todos los activos tendrían además, directa o indirectamente, dependencia del personal. Atendiendo a estas consideraciones se diseñó, para el caso del Ayuntamiento en estudio, el árbol de dependencias que, a un nivel muy global, se recoge en la siguiente ilustración.



Ilustración 14: Gráfico de dependencia de activos

La ilustración anterior recoge un resumen de las dependencias, sin entrar al detalle en las que se enmarcan en cada uno de los activos. Dicho detalle, limitado a un primer nivel de dependencia (el desarrollo completo de árbol de dependencias se puede consultar con la herramienta a partir del proyecto PILAR PRY-002.MGR que se adjunta a este estudio), se recoge en las siguientes ilustraciones. Las primeras dependencias que se muestran, son las del más alto nivel, las de la información:

Ilustración 15: Dependencias de los activos INFORMACIÓN

Se establece aquí una dependencia de la información respecto de los distintos servicios que la prestan: una afectación a la seguridad de dichos servicios repercutiría inevitablemente en la información que se gestiona mediante los mismos. Los siguientes activos a nivel jerárquico son los servicios, cuyas dependencias se recogen en la siguiente ilustración:



Ilustración 16: Dependencias de los activos SERVICIOS

A nivel de instalaciones y personal no se establecieron dependencias, constituyen el último nivel:

Ilustración 17: Dependencias de los activos INSTALACIONES y PERSONAL

Y, por último, el nivel del equipamiento (equipos, aplicaciones, comunicaciones y elementos auxiliares) presenta las dependencias se recogen en la siguiente ilustración:



Ilustración 18: dependencias de los activos EQUIPAMIENTO

PILAR dispone de herramientas gráficas para comprender mejor el desarrollo de las dependencias. Por su extensión, no es objeto de este trabajo incluirlas a todas, ahora bien, se incluirá el desarrollo completo de una ruta con el fin de mostrar las posibilidades de la herramienta. Se partirá para ello del desarrollo completo de las dependencias del activo SRV-001 (servidor de datos y aplicaciones). Se ha seleccionado un activo situado en el “centro” del gráfico de dependencias al objeto de mostrar de cómo PILAR visualiza las dependencias tanto a nivel superior (qué activos dependen del analizado) y las dependencias a nivel inferior; es decir, de qué activos depende el activo en estudio. Gráficamente desde PILAR se obtiene el siguiente esquema:



Ilustración 19: Dependencias completas del activo SRV-001, servidor de datos y aplicaciones.

El gráfico muestra cómo cualquier incidente en la seguridad del servidor repercutirá sobre los servicios que dependen de él, que son todos salvo el de autenticación que depende de otro servidor, se trata de una dependencia directa, En consecuencia, los percances que en seguridad se produzcan en los servicios citados pueden tener consecuencia en la información gestionada por dichos servicios, que es toda, salvo la relativa a la información del dominio. En el oro sentido, descendiendo en el árbol, se sitúan los activos de los que depende el analizado, que en este caso son, por una parte el activo LOC-002 (las instalaciones en las que se encuentra alojado el servidor) y el activo USR-004 (Administradores del sistema). La seguridad del activo analizado depende en este caso del local en el que se encuentra y de que sea correctamente gestionado por los Administradores del sistema, cualquier incidencia generada en estos dos últimos niveles afectará a los niveles superiores. Llegados a este punto, PILAR puede proporcionar una valoración de los activos. PILAR permite el asociar niveles cualitativos a valores cuantitativos. Esta asociación trabaja solamente si el usuario no proporciona información explícita para ambos. En un análisis cualitativo, cuando varios servicios dependen de un solo equipo, el nivel acumulado en el equipo compartido es el máximo de los niveles requeridos por los activos soportados. Se pierde información cuando muchos servicios dependen de un punto compartido de fallo. El análisis cuantitativo muestra esta acumulación porque simplemente suma los valores individuales.



En análisis cuantitativo, cuando un servidor con un servicio altamente cualificado se compara a otro servidor con varios servicios cualificados más bajos, la adición de muchos valores pequeños puede alcanzar un alto valor, y el usuario puede verse tentado a proteger la cantidad antes que la calidad. El análisis cualitativo muestra la diferencia al quedarse con el nivel más alto

3.4 DIMENSIONES DE SEGURIDAD

Desde el punto de vista de la seguridad, junto a la valoración en sí de los activos debe indicarse cuál es el aspecto de la seguridad más crítico. Esto será de ayuda en el momento de pensar en posibles salvaguardas, ya que estas se enfocarán en los aspectos que más nos interesen.

Una vez identificados los activos, debe realizarse la valoración ACIDA de los mismos. Dicha valoración viene a medir la criticidad en las cinco dimensiones de la seguridad de la información manejada por el proceso de negocio:

- Disponibilidad: ¿qué importancia tendría que el activo no estuviera disponible? Afecta a todo tipo de activos.

- Integridad: ¿qué importancia tendría que los datos fueran modificados fuera de control? - Confidencialidad: ¿qué importancia tendría que los datos fueran conocidos por personas no

autorizadas? - Autenticidad: ¿qué importancia tendría que quien accede al servicio no sea realmente quien se

crea? - Trazabilidad: ¿qué importancia tendría que no quedara constancia fehaciente del uso del servicio?

Esta valoración nos permitirá a posteriori valorar el impacto que tendrá la materialización de una amenaza sobre la parte de activo expuesto (no cubierto por las salvaguardas en cada una de las dimensiones).

3.5 TABLA RESUMEN DE VALORACIÓN

A efectos de la valoración se recoge la sugerida en MAGERIT:

Ilustración 20: criterios de valoración MAGERIT



MAGERIT propone una escala detallada de diez valores, dejando en valor 0 como determinante de lo que sería un valor despreciable (a efectos de riesgo). Siguiendo esta línea sugiere una serie de escalas (MAGERIT 3.0 Libro II – Catálogo de elementos – Apartado 4.1 Escalas estándar) que permiten valorar cada uno de los activos esenciales. Atendiendo a las consideraciones rechas en el apartado 3.3 anterior, y dado que muchos servicios dependen de un único equipamiento, se ha optado por un análisis cualitativo, aunque PILAR permite, sin requerir de información adicional, conmutar entre el modo cualitativo y cuantitativo en cualquier momento. A partir de aquí se han registrado en PILAR los siguientes valores para los activos esenciales en cada una de las diferentes dimensiones de seguridad:

Tabla 10: Valoración cualitativa de los activos esenciales

activo [D] [I] [C] [A] [T]

[SER-001] Contabilidad [5](1) [5](2) [6](3)

[SER-002] Recaudación [5](4) [5](5) [6](6)

[SER-003] Gestión Tributaria [5](7) [5](8) [6](9)

[SER-004] Autenticación [5](10) [5](11) [6](12)

[SER-005] Recaudación online [5](13) [6](14) [6](15)

[INF-001] Gest. Trib.. y Rec. [5](16) [6](17) [5](18) [5](19)

[INF-002] Contabilidad [3](20) [6](21) [5](22) [5](23)

[INF-003] Dominio [3](24) [6](25) [5](26) [5](27)

Los criterios considerados para cada una de las valoraciones son los siguientes:

Tabla 11: Criterios de valoración

(1) [5.da] Probablemente cause la interrupción de actividades propias de la Organización con impacto en otras organizaciones

(2) [5.lro] probablemente sea causa de incumplimiento de una ley o regulación

(3)

[6.pi2] probablemente quebrante seriamente la ley o algún reglamento de protección de información personal [3.si] probablemente sea causa de una merma en la seguridad o dificulte la investigación de un incidente



(6)




(9)




(12) [6.pi2] probablemente quebrante seriamente la ley o algún reglamento de protección de información personal



[3.si] probablemente sea causa de una merma en la seguridad o dificulte la investigación de un incidente

(13) [5.da2] Probablemente cause un cierto impacto en otras organizaciones

(14) [6.pi1] probablemente afecte gravemente a un grupo de individuos

[5.lro] probablemente sea causa de incumplimiento de una ley o regulación

(15)


(16)

[5.olm] Probablemente merme la eficacia o seguridad de la misión operativa o logística más allá del ámbito local

[5.adm] probablemente impediría la operación efectiva de más de una parte de la Organización

[b] por afectar negativamente a las relaciones con el público





(20)

[3.olm] Probablemente merme la eficacia o seguridad de la misión operativa o logística (alcance local)

[3.adm] probablemente impediría la operación efectiva de una parte de la Organización

[3.lg] Probablemente afecte negativamente a las relaciones internas de la Organización





(24)

[3.olm] Probablemente merme la eficacia o seguridad de la misión operativa o logística (alcance local)

[3.adm] probablemente impediría la operación efectiva de una parte de la Organización

[3.lg] Probablemente afecte negativamente a las relaciones internas de la Organización





Esto define la valoración de los activos esenciales. La dimensión de Disponibilidad ha sido tenida en cuenta en el caso de los servicios (es una dimensión característica de éstos) y las de Integridad y Confidencialidad en el caso de los datos. Autenticidad y trazabilidad se han valorado en todos los casos. Así, en el caso de los servicios, en todos se ha tenido en cuenta que la disponibilidad podría afectar a la interrupción de las actividades propias y de otras organizaciones. Ello es consecuencia del hecho que un Ayuntamiento es, ante todo, un prestador de servicios a la comunidad y la interrupción de sus propios servicios puede tener impacto en otras organizaciones. Se ha hecho una salvedad en este aspecto en cuanto al servicio SER-005 Recaudación online, puesto que su disponibilidad repercute exclusivamente sobre organizaciones externas. En todo caso se han valorado con 5.da (medio) los cinco servicios en este



dominio de la disponibilidad, con la particularidad de que el servicio de recaudación online ha sido valorado con un 5.da2 (medio) que restringe el impacto a otras organizaciones. Antes de pasar a exponer las valoraciones atribuidas en el dominio de la Autenticidad y el de la Trazabilidad de los servicios, debe contemplarse la normativa a la que se encuentra sujeta el tratamiento de la información en el Ayuntamiento. La Ley Orgánica de Protección de Datos de Carácter Personal (LOPDP) establece en el art. 81 de su Reglamento el nivel de seguridad que corresponde a cada tipo de datos, estableciéndose, inicialmente, el nivel básico para todos aquellos ficheros que contengan datos de carácter personal. Establece asimismo que deberán establecerse medidas de seguridad de nivel medio para aquellos datos de los que sean responsables las administraciones tributarias y los datos relativos a la comisión de infracciones administrativas. En cuanto a las medidas básicas, éstas se sustancian, en su nivel básico y en lo relativo a los activos aquí valorados, en las siguientes medidas:

- Control de acceso (art. 91) - Identificación y autenticación de los usuarios con acceso autorizado (art. 93)

El nivel medio requiere además:

- Identificación de los usuarios y autenticación de la autorización (art. 97)

Se define por tanto un marco legal de obligado cumplimiento que será tenido en consideración en la valoración de los Servicios e Información en el dominio de la Autenticidad. En base a ello se ha asignado el valor 5.lro (medio) a todos los Servicios en el dominio de la autenticidad, añadiéndole l servicio de recaudación online el valor 6.pi1 (alto) ya que un incidente en este dominio podría afectar gravemente a un grupo de individuos. En lo referente al dominio de la Trazabilidad se han asignado dos valoraciones: 6.pi2 (alta) (probablemente quebrante seriamente la ley o algún reglamento de protección de información personal) y 3.si (media) (probablemente sea causa de una merma en la seguridad o dificulte la investigación de un incidente) Hasta aquí la valoración de los Servicios, en cuanto a los activos de Información se han registrado las siguientes valoraciones:

- En el dominio de la Integridad se ha asignado a la información d Gestión Tributaria y Recaudación el valor 5.olm (medio) mientras que a la información de Contabilidad y Dominio se le ha asignado el valor 3.olm (medio) porque una incidencia en la integridad la información de estas dos áreas se hallaría circunscrita a un ámbito local. Se ha añadido también una valoración de 5.adm (media) a la información de Gestión Tributaria y Recaudación y 3.adm (media) a los dos otros activos e información. En el primer caso se implicaría a más de una parte de la Organización mientras que en las otras dos el ámbito de la incidencia se encuentra delimitado a dos partes muy concretas de la organización. Por último, se ha valorado se ha añadido una última valoración en el campo de la pérdida de confianza o reputación. Así, se ha valorado con 5.lg.b (medio) la información de Gestión Tributaria y Recaudación, mientras que la información de Contabilidad y del Dominio se ha valorado con 3.lg (medio) ya que mientras que el primer ámbito tiene trascendencia en las relaciones con el público los segundos tienen repercusión sobre las relaciones internas de la organización.

- En el Dominio de la Confidencialidad todos los activos de información han sido valorados como 6.pi2 (alto).

- En el dominio de la Autenticidad todos han sido valorados como 5.lro (medio), dado que una incidencia en este dominio y para los activos citados probablemente sea el motivo de un incumplimiento de una ley o regulación, tal y como se indicaba en la exposición del marco normativo al que se encuentra sujeto la Institución.



- El último dominio valorado ha sido el de la Trazabilidad, para los que se ha vuelto a incluir la misma valoración que en el caso anterior de la Autenticidad 5.lro (media), añadiéndose en este caso una nueva valoración 3.si (media) por el mismo motivo que el expuesto en el caso de los Servicios: probablemente sea causa de una merma en la seguridad o dificulte la investigación de un incidente.

A partir de aquí, PILAR proporciona dos tipos de valoraciones, la propia y la acumulada. La valoración propia es la que se asigna directamente a cada activo y corresponde a los criterios expuestos en la tabla anterior:

Ilustración 21: Valoración propia de los activos (cualitativa)

La otra opción mostrada es la de la valoración acumulada; es decir, aquella que se obtiene para cada activo en función de las dependencias establecidas: los activos inferiores en un esquema de dependencias acumulan el valor de los activos que se apoyan en ellos. Dicho valor acumulado se visualiza con un fondo de otro color:



Ilustración 22: Valoración acumulada de los activos (cualitativa)

Tal y como se había comentado anteriormente, PILAR permite conmutar entre los dos modos de análisis (cualitativo o cuantitativo) sin más requisito que indicarlo en el momento de arrancar la aplicación en el proyecto que se esté evaluando. Se incluye a continuación una captura del mismo informe, indicando ahora que se requiere un análisis cuantitativo en lugar de cualitativo, lo que nos permitirá destacar los valores que recogen algunos activos por ser varias las entidades de nivel superior que dependen de los mismos, como es el caso de los servidores o los locales. Tal y como se indicaba en las consideraciones realizadas sobre la conveniencia de proceder con una valoración u otra, se observa como el valor de dichos activos se “dispara” frente al resto, lo que, tal vez, podría llevar a conclusiones no adecuadas en cuanto a la conveniencia de priorizar unas acciones sobre otras:



Ilustración 23: Valoración acumulada de los activos (cuantitativa)

Se observa aquí como, por ejemplo en el dominio de la autenticidad, se producen importantes diferencias entre el valor que se le asigna a los NAS y el que se le asigna a la aplicación de contabilidad (el valor de los primeros es más de cuatro veces el de la segunda). Ello podría focalizar excesivamente los esfuerzos en dichos dispositivos. No obstante, el análisis cualitativo calificaba con un valor 5 (medio) el valor que un problema en el dominio de la autenticidad podría producirse para la aplicación de contabilidad, mientras que asignaba un valor de 6 (también medio) a los NAS.

3.6 ANÁLISIS DE AMENAZAS

Los activos están expuestos a amenazas y estas pueden afectar a los distintos aspectos de la seguridad. A nivel metodológico, se analizará qué amenazas pueden afectar a qué activos. Una vez estudiado,



estimar cuán vulnerable es el activo a la materialización de la amenaza indicando cuán perjudicado resultaría el valor del activo así como la frecuencia estimada de la misma, cuán probable o improbable es que se materialice la amenaza. PILAR incluye una biblioteca estándar de propósito general de valoración de amenazas, que permite al usuario optar por su aplicación o bien por aplicar diferentes rangos. Dicha biblioteca utiliza las siguientes escalas en la valoración de degradaciones y frecuencias:

Tabla 12: Escala PILAR de degradación de activos

nivel porcentaje

T - total 100%

MA - muy alta 90%

A – alta 50%

M – media 10%

B – baja 1%

Tabla 13: escala PILAR de probabilidad de ocurrencia de amenazas

potencial probabilidad nivel facilidad frecuencia

XL extra grande

CS casi seguro

MA muy alto

F fácil

100

L grande

MA muy alta

A alto

M medio

10

M medio

P posible

M medio

D difícil

1

S pequeño

PP poco probable

B bajo

MD muy difícil

0,1

XS muy pequeño

MR muy rara

MB muy bajo

ED extremadamente difícil

0.01

Ambas escalas son las indicadas por MAGERIT que establece lo siguiente en cuanto la probabilidad de ocurrencia: A veces se modela numéricamente como una frecuencia de ocurrencia. Es habitual usar 1 año como referencia, de forma que se recurre a la tasa anual de ocurrencia como medida de la probabilidad de que algo ocurra:

Tabla 14: Escala MAGERIT de probabilidad de ocurrencia

MA 100 muy frecuente a diario

A 10 frecuente mensualmente

M 1 normal una vez al año

B 1/10 poco frecuente cada varios años

MB 1/100 muy poco frecuente siglos

PILAR incorpora cuatro grandes grupos de amenazas con las que puede relacionarse cada activo:



Ilustración 24: Grupos de amenazas PILAR

La biblioteca estándar de PILAR incorpora, además de la lista de amenazas, una probabilidad de ocurrencia y la consiguiente degradación del activo más habituales en cada uno de los dominios de seguridad habituales, que el analista deberá evaluar como indicados para el propio entorno de la organización. En el caso de este análisis se aceptan las probabilidades y degradaciones propuestas por PILAR. La lista completa de amenazas se incluye en el proyecto PILAR que se adjunta como anexo a este documento, por lo que se incluyen a continuación sólo algunos ejemplos de las valoraciones realizadas para cinco activos diferentes: aplicación, equipos (PC), comunicaciones (red local del ayuntamiento), instalaciones (local de la planta baja) y usuarios (usuarios de gestión tributaria).

Tabla 15: Amenazas para la aplicación de Gestión Tributaria

Amenazas para [SW.APL-002] Software de Gestión Tributaria

frecuencia [D] [I] [C] [A] [T]

[I.5] Avería de origen físico o lógico 1 50% - - - -

[E.1] Errores de los usuarios 1 1% 10% 10% - -

[E.2] Errores del administrador del sistema / de la seguridad

1 20% 20% 20% - -

[E.8] Difusión de software dañino 1 10% 10% 10% - -

[E.15] Alteración de la información 1 - 1% - - -

[E.18] Destrucción de la información 1 50% - - - -

[E.19] Fugas de información 1 - - 10% - -

[E.20] Vulnerabilidades de los programas (software) 1 1% 20% 20% - -

[E.21] Errores de mantenimiento / actualización de programas (software)

10 1% 1% - - -

[A.5] Suplantación de la identidad 1 - 50% 50% 100% -

[A.6] Abuso de privilegios de acceso 1 1% 10% 10% - -

[A.7] Uso no previsto 1 1% 10% 10% - -

[A.8] Difusión de software dañino 1 100% 100% 100% - -

[A.11] Acceso no autorizado 1 - 10% 50% - -

[A.15] Modificación de la información 1 - 50% - - -

[A.18] Destrucción de la información 1 50% - - - -

[A.19] Revelación de información 1 - - 50% - -

[A.22] Manipulación de programas 1 50% 100% 100% - -

Tabla 16: Amenazas para los PC´s del departamento de gestión tributaria

Amenazas para [HW.PCS-001] PC´s Gestión Tributaria frecuencia [D] [I] [C] [A] [T]

[N.1] Fuego 0,1 10% - - - -

[N.2] Daños por agua 0,1 5% - - - -



[N.*] Desastres naturales 0,1 10% - - - -

[I.1] Fuego 0,5 10% - - - -

[I.2] Daños por agua 0,5 5% - - - -

[I.*] Desastres industriales 0,5 10% - - - -

[I.3] Contaminación medioambiental 1 5% - - - -

[I.4] Contaminación electromagnética 1 1% - - - -


[I.6] Corte del suministro eléctrico 1 10% - - - -

[I.7] Condiciones inadecuadas de temperatura o humedad 1 10% - - - -

[I.10] Degradación de los soportes de almacenamiento de la información

1 10% - - - -

[I.11] Emanaciones electromagnéticas 1 - - 1% - -

[E.1] Errores de los usuarios 1 - 5% 10% - -

[E.2] Errores del administrador del sistema / de la seguridad

1 2% 20% 20% - -

[E.4] Errores de configuración 1 - 1% - - -

[E.8] Difusión de software dañino 1 1% 10% 10% - -




[E.20] Vulnerabilidades de los programas (software) 1 - 20% 20% - -

[E.21] Errores de mantenimiento / actualización de programas (software)

10 - 1% - - -

[E.23] Errores de mantenimiento / actualización de equipos (hardware)

1 10% - - - -

[E.24] Caída del sistema por agotamiento de recursos 10 5% - - - -

[E.25] Pérdida de equipos 1 1% - 50% - -

[A.4] Manipulación de los ficheros de configuración 10 1% 10% 10% - -



[A.7] Uso no previsto 1 - 1% 1% - -

[A.8] Difusión de software dañino 1 10% 100% 100% - -

[A.11] Acceso no autorizado 1 1% 1% 50% - -




[A.22] Manipulación de programas 1 5% 100% 100% - -

[A.23] Manipulación del hardware 0,1 5% - 50% - -

[A.24] Denegación de servicio 2 10% - - - -

[A.25] Robo de equipos 1 1% - 100% - -

[A.26] Ataque destructivo 1 1% - - - -



Tabla 17: amenazas para la red local

Amenazas para [COM.LAN-001] LAN frecuencia [D] [I] [C] [A] [T]

[N.1] Fuego 0,1 100% - - - -

[N.2] Daños por agua 0,1 50% - - - -


[I.1] Fuego 0,5 100% - - - -

[I.2] Daños por agua 0,5 50% - - - -

[I.*] Desastres industriales 0,5 100% - - - -

[I.3] Contaminación medioambiental 0,1 50% - - - -

[I.4] Contaminación electromagnética 0,5 10% - - - -


[I.6] Corte del suministro eléctrico 1 100% - - - -

[I.7] Condiciones inadecuadas de temperatura o humedad 1 100% - - - -

[I.8] Fallo de servicios de comunicaciones 1 50% - - - -

[I.11] Emanaciones electromagnéticas 1 - - 1% - -

[E.2] Errores del administrador del sistema / de la seguridad 1 20% 20% 20% - -

[E.9] Errores de [re-]encaminamiento 1 - - 10% - -

[E.10] Errores de secuencia 1 - 10% - - -



[E.23] Errores de mantenimiento / actualización de equipos (hardware)

1 10% - - - -

[E.24] Caída del sistema por agotamiento de recursos 1 50% - - - -

[E.25] Pérdida de equipos 1 20% - 50% - -


[A.6] Abuso de privilegios de acceso 1 10% 10% 50% 100% -

[A.7] Uso no previsto 1 50% 1% 1% - -

[A.9] [Re-]encaminamiento de mensajes 1 - - 10% - -

[A.10] Alteración de secuencia 1 - 10% - - -

[A.11] Acceso no autorizado 1 10% 10% 50% 100% -

[A.12] Análisis de tráfico 1 - - 2% - -

[A.14] Interceptación de información (escucha) 1 - - 1% - -




[A.23] Manipulación del hardware 1 50% - 50% - -

[A.24] Denegación de servicio 10 50% - - - -

[A.25] Robo de equipos 0,8 100% - - - -

[A.26] Ataque destructivo 1 100% - - - -



Tabla 18: amenazas para el local de la planta baja

Amenazas para [LOC-001] Planta Baja frecuencia [D] [I] [C] [A] [T]

[N.1] Fuego 1 100% - - - -

[N.2] Daños por agua 1 100% - - - -


[I.1] Fuego 1 100% - - - -

[I.2] Daños por agua 1 100% - - - -

[I.*] Desastres industriales 1 100% - - - -

[I.3] Contaminación medioambiental 1 10% - - - -

[I.4] Contaminación electromagnética 0,1 10% - - - -

[I.11] Emanaciones electromagnéticas 0,1 - - 1% - -

[A.5] Suplantación de la identidad 1 - 10% 50% - -


[A.7] Uso no previsto 1 10% 10% 50% - -

[A.11] Acceso no autorizado 5 - 10% 50% - -

[A.26] Ataque destructivo 0,1 100% - - - -

[A.27] Ocupación enemiga 1 100% - 50% - -

Tabla 19: amenazas para los usuarios de Gestión Tributaria

Amenazas para [USR-002] Usuarios Recaudación frecuencia [D] [I] [C] [A] [T]




[E.28] Indisponibilidad del personal 1 10% - - - -




[A.28] Indisponibilidad del personal 0,5 50% - - - -

[A.29] Extorsión 0,9 10% 20% 20% - -

[A.30] Ingeniería social (picaresca) 0,5 10% 20% 20% - -

3.7 IMPACTO POTENCIAL

Una vez realizada la tabla anterior, y dado que conocemos los valores de los diferentes activos, podemos determinar el impacto potencial que puede suponer para la empresa la materialización de las amenazas. Se trata de un dato relevante, ya que permitirá priorizar el plan de acción, y a su vez, evaluar cómo se ve modificado dicho valor una vez se apliquen contramedidas.



Para ello, se recurrirá en esta ocasión al modelo cuantitativo que PILAR permite utilizar indistintamente junto al modelo cualitativo. Así, a partir de la tabla de valoración cuantitativa de activos incluida en el apartado 3.5 y las probables frecuencias de ocurrencia de amenazas junto con la degradación asociada a su materialización, puede determinarse directamente el impacto potencial de las amenazas. PILAR proporciona para este caso esta información en cuatro tablas diferentes: activos esenciales, equipamiento, instalaciones y usuarios.

Tabla 20: impacto potencial sobre los activos esenciales (cuantitativo)

Activos esenciales [D] [I] [C] [A] [T]

[INF-001] Gest. Trib. y Rec. 0 46K 100K 46K 0

[INF-002] Contabilidad 0 10K 100K 46K 0

[INF-003] Dominio 0 10K 100K 46K 0

[SER-001] Contabilidad 23K 5K 50K 93K 146K

[SER-002] Recaudación 23K 28K 100K 140K 193K

[SER-003] Gestión Tributaria 23K 23K 50K 93K 146K

[SER-004] Autenticación 23K 5K 50K 93K 146K

[SER-005] Recaudación online 23K 23K 50K 146K 146K

Tabla 21: Impacto potencial sobre el equipamiento (cuantitativo)

Equipamiento [D] [I] [C] [A] [T]

[SW] Aplicaciones 93K 56K 200K 186K 0

[SW.APL-001] Contabilidad 46K 10K 100K 93K 0

[SW.APL-002] Gestión Tributaria 46K 46K 100K 93K 0

[SW.APL-003] Recaudación 93K 56K 200K 186K 0

[SW.APL-004] Gestión del dominio 46K 10K 100K 93K 0

[SW.APL-005] Recaudación online 46K 46K 100K 146K 0

[SW.FRW-001] FIREWALL 46K 46K 100K 146K 0

[HW] Equipos 232K 396K 300K 396K 0

[HW.SRV-001] Servidor de datos y aplicaciones 186K 56K 200K 332K 0

[HW.SRV-002] Servidor de Dominio 46K 350K 193K 350K 0

[HW.PCS-001] PC´gestión Tributaria 4,7K 240K 100K 240K 0

[HW.PCS-002] PC´s Recaudación 4,7K 396K 200K 396K 0

[HW.PCS-003] PC´s Contabilidad 4,7K 203K 100K 203K 0

[HW.NAS-001] NAS principal 232K 66K 300K 0 0

[HW.NAS-002] NAS redundante 232K 66K 300K 0 0

[HW.PRT-001] Impresoras contabilidad 46K 2K 50K 0 0

[HW.PRT-002] Impresoras Gest. Trib. 46K 9,3K 50K 0 0

[HW.PRT-003] Impresoras Recaudación 46K 11K 100K 0 0

[COM] Comunicaciones 232K 13K 150K 426K 293K

[COM.LAN-001] LAN 232K 13K 150K 426K 0

[COM.ADSL-001] ADSL 46K 11K 100K 240K 293K

[AUX] Elementos auxiliares 232K 665 150K 0 0



[AUX.UPS-001] UPS´s Servidores 2,3K 0 0 0 0

[AUX.FOP-001] Fibra óptica 232K 665 150K 0 0

Tabla 22: Impacto potencial sobre las instalaciones (cuantitativo)

Instalaciones [D] [I] [C] [A] [T]

[LOC-001] Planta Baja 232K 41K 150K 0 0

[LOC-002] Planta Primera 232K 79K 196K 0 0

[LOC-003] Oficinas Remotas 46K 40K 100K 0 0

[LOC-004] Dependencias auxiliares 232K 6,7K 150K 0 0

Tabla 23: Impacto potencial sobre el Personal (cuantitativo)

Personal [D] [I] [C] [A] [T]

[USR-001] Usuarios Gestión Tributaria 23K 23K 20K 0 0

[USR-002] Usuarios Recaudación 46K 28K 40K 0 0

[USR-003] Usuarios Contabilidad 23K 5K 20K 0 0

[USR-004] Administradores del Sistema 116K 838K 393K 0 0

[USR-005] Usuarios WEB Recaudación 4,7K 23K 10K 0 0

Si por el contrario se desea analizar dicho impacto desde el punto de vista cualitativo, será suficiente con conmutar a dicho modo de trabajo en PILAR. La información así obtenida es la siguiente:

Tabla 24: impacto potencial sobre los activos esenciales (cualitativo)

Activos Esenciales [D] [I] [C] [A] [T]

[INF-001] Gest. Trib. y Rec. [5] [6] [5]

[INF-002] Contabilidad [3] [6] [5]

[INF-003] Dominio [3] [6] [5]

[SER-001] Contabilidad [4] [2] [5] [5] [6]

[SER-002] Recaudación [4] [4] [5] [5] [6]

[SER-003] Gestión Tributaria [4] [4] [5] [5] [6]

[SER-004] Autenticación [4] [2] [5] [5] [6]

[SER-005] Recaudación online [4] [4] [5] [6] [6]

Tabla 25: impacto potencial sobre el equipamiento (cualitativo)

Equipamiento [D] [I] [C] [A] [T]

[SW] Aplicaciones [5] [5] [6] [6]

[SW.APL-001] Contabilidad [5] [3] [6] [5]

[SW.APL-002] Gestión Tributaria [5] [5] [6] [5]

[SW.APL-003] Recaudación [5] [5] [6] [5]

[SW.APL-004] Gestión del dominio [5] [3] [6] [5]



[SW.APL-005] Recaudación online [5] [5] [6] [6]

[SW.FRW-001] FIREWALL [5] [5] [6] [6]

[HW] Equipos [5] [6] [6] [6]

[HW.SRV-001] Servidor de datos y aplicaciones

[5] [5] [6] [6]

[HW.SRV-002] Servidor de Dominio [5] [6] [6] [6]

[HW.PCS-001] PC´gestión Tributaria [2] [6] [6] [6]

[HW.PCS-002] PC´s Recaudación [2] [6] [6] [6]

[HW.PCS-003] PC´s Contabilidad [2] [6] [6] [6]

[HW.NAS-001] NAS principal [5] [5] [6]

[HW.NAS-002] NAS redundante [5] [5] [6]

[HW.PRT-001] Impresoras contabilidad [5] [1] [5]

[HW.PRT-002] Impresoras Gest. Trib. [5] [3] [5]

[HW.PRT-003] Impresoras Recaudación [5] [3] [5]

[COM] Comunicaciones [5] [3] [5] [6] [6]

[COM.LAN-001] LAN [5] [3] [5] [6]

[COM.ADSL-001] ADSL [4] [3] [5] [6] [6]

[AUX] Elementos auxiliares [5] [0] [5]

[AUX.UPS-001] UPS´s Servidores [0]

[AUX.FOP-001] Fibra óptica [5] [0] [5]

Tabla 26: impacto potencial sobre las instalaciones (cualitativo)

Instalaciones [D] [I] [C] [A] [T]

[LOC-001] Planta Baja [5] [3] [5]

[LOC-002] Planta Primera [5] [3] [5]

[LOC-003] Oficinas Remotas [5] [3] [5]

[LOC-004] Dependencias auxiliares [5] [2] [5]

Tabla 27: impacto potencial sobre el personal (cualitativo)

Personal [D] [I] [C] [A] [T]

[USR-001] Usuarios Gestión Tributaria [4] [4] [4]

[USR-002] Usuarios Recaudación [4] [4] [4]

[USR-003] Usuarios Contabilidad [4] [2] [4]

[USR-004] Administradores del Sistema [4] [6] [6]

[USR-005] Usuarios WEB Recaudación [2] [4] [3]



3.8 NIVEL DE RIESGO ACEPTABLE Y RIESGO RESIDUAL

En este punto, deben tratarse las salvaguardas. Por una parte se informará a PILAR del nivel actual de implementación de las mismas y por otra del objetivo. El objetivo deseado por la dirección política del Ayuntamiento es llegar en una primera fase a un nivel de madurez de implantación de las mismas L4 (Es posible monitorear y medir el cumplimiento de los procedimientos y emprender acción donde los procesos parecen no estar funcionando efectivamente. Los procesos están bajo constante mejoramiento y proveen buena práctica. Se usan la automatización y las herramientas en una forma limitada o fragmentada). PILAR permite valorar las salvaguardas mediante perfiles de seguridad, lo que facilita la valoración de las mismas de acuerdo con la norma ISO 27002:2013, tal y como se refleja en la siguiente captura:

Ilustración 25: Perfiles de seguridad de PILAR

En el apartado de valoración se procedió a registrar el estado actual de la implantación de los controles así como el objetivo que, a nivel general, se ha definido como deseable. El resultado de dicha operación se recoge en la siguiente captura:

Ilustración 26: nivel actual y objetivo de implantación de salvaguardas

A partir de esta información PILAR proporcionará una valoración del riesgo a dos niveles diferentes: acumulado (el derivado directamente del nivel de aplicación de cada uno de los controles) y el repercutido (el efecto sobre los niveles superiores a partir del anterior). Dicha información es presentada para cada una de las distintas fases contempladas: potencial, actual y objetivo. Dado que el potencial ya ha sido extensamente analizado en apartados anteriores se incluirá a continuación únicamente un resumen de las fases actual y objetivo:



Ilustración 27: riesgo acumulado, fase actual.

Ilustración 28: riesgo acumulado, fase objetivo.



Ilustración 29: riesgo repercutido, fase actual.

Ilustración 30: riesgo repercutido, fase objetivo.



Los valores recogidos en las ilustraciones correspondientes al riesgo acumulado y repercutido de la fase objetivo constituyen el valor que la organización considera como riesgo aceptable. La leyenda de colores obedece a la siguiente clasificación:

Ilustración 31: leyenda de colores gráficos de riesgo PILAR

En el caso de que estos niveles de riesgo aceptados por la organización no puedan alcanzarse, MAGERIT plantea una serie de alternativas que, llegado el momento, deberían evaluarse. Dependiendo del nivel de riesgo alcanzado se procedería de la siguiente forma:

Riesgo residual extremo: la única opción es la de reducir el riesgo.

Riesgo residual aceptable: se podrá optar por aceptar el nivel alcanzado o ampliar el riesgo asumido. Ello requerirá mantener una monitorización constante de las circunstancias para que el riesgo formal cuadre con la experiencia real y poder reaccionar ante desviaciones significativas.

En condiciones de riesgo residual medio debería atenderse a otras características como las pérdidas y ganancias que pueden verse afectadas por el escenario presente.

MAGERIT establece las siguientes zonas de riesgo:

Ilustración 32: Zonas de riesgo MAGERIT



Para cada una de ellas fija las siguientes recomendaciones:

Zona 1 – riesgos muy probables y de muy alto impacto; posiblemente nos planteemos sacarlos de esta zona

Zona 2 – riesgos de probabilidad relativa e impacto medio; se pueden tomar varias opciones

Zona 3 – riesgos improbables y de bajo impacto; o los dejamos como están, o permitimos que suban a mayores si ello nos ofreciera alguna ventaja o beneficio en otro terreno

Zona 4 – riesgos improbables pero de muy alto impacto; suponen un reto de decisión pues su improbabilidad no justifica que se tomen medidas preventivas, pero su elevado impacto exige que tengamos algo previsto para reaccionar; es decir, hay que poner el énfasis en medidas de reacción para limitar el daño y de recuperación del desastre si ocurriera.

En cualquier caso, las opciones que se plantean si no se alcanzan unos niveles de riesgo aceptables se resumen a continuación:

Eliminación: dado que no es frecuente que se pueda prescindir de ciertos componentes que resultan importantes para la organización debería estudiarse si reduce el riesgo residual la utilización de otros componentes diferentes o reordenar la arquitectura del sistema (modificar el árbol de dependencias) de forma que se obtengan nuevos valores acumulados más adecuados.

Mitigación: se puede obtener reduciendo la degradación o bien reducir la probabilidad. Ello implica elevar el nivel de madurez de las salvaguardas.

Compartición: implica transferir el riesgo o parte de él. Dicha compartición admite dos posibilidades: o Riesgo cualitativo: mediante la externalización de componentes del sistema. o Riesgo cuantitativo: mediante la contratación de seguros, lo que permite reducir el impacto

de las posibles amenazas.

Financiación: la aceptación de un riesgo implica que la Organización debería reservar fondos para hacer frente a las consecuencias de que el riesgo se materialice (fondos de contingencia).



4 FASE 4: PROPUESTAS DE PROYECTOS

4.1 INTRODUCCIÓN

A partir de los resultados obtenidos en el análisis de riesgos, deben desarrollarse ahora los proyectos que contemplen la implantación de los distintos controles destinados a alcanzar los objetivos establecidos en el SGSI. PILAR proporciona a tal efecto una serie de elementos que serán de utilidad en esta tarea. Se trata de trabajar sobre el conjunto de salvaguardas propuestas proporcionando una guía en su implantación. PILAR facilita la información de salvaguardas desde diferentes enfoques. Por una parte las clasifica según el tipo de protección en el que se hallen enfocadas, por otra según la vinculación a cada uno de los activos en concreto y por último según su relación con los controles de la norma ISO 27002:2013. La primera agrupación (salvaguardas por tipo de protección) permite una segregación de proyectos por similitud del tipo de salvaguarda. Esta agrupación será la que se seguirá para definir los diferentes proyectos. No obstante, para la elaboración de los proyectos, se necesita otro tipo de información. Una de ellas es la que se facilita al indicar qué salvaguardas deben implantarse para cada uno de los activos en concreto. Esta opción permitirá conocer qué salvaguardas se hallan vinculadas a cada uno de los activos definidos para la organización. Dicha opción facilitará información sobre los siguientes extremos:

Salvaguardas a implantar

Tipos de activos y activos implicados

Amenazas afrontadas Estas dos tipos de información nos permitirán estimar con un nivel de precisión suficiente el coste de implantación de las tareas y el plazo de ejecución previsto. Se definirá igualmente un responsable de ejecución, tal y como se prevé en MAGERIT, para gestionar adecuadamente los distintos proyectos. Finalmente, PILAR facilita en otro modelo de informe el análisis de las salvaguardas a implantar desde el punto de vista de cada uno de los dominios de la norma ISO 27002:2013. A dicho modelo se dedicará el apartado final de este capítulo. En primer lugar, tal y como se ha comentado, deben identificarse los distintos tipos de salvaguardas que permitirán desarrollar los diferentes proyectos:

Ilustración 33: Tipos de salvaguardas



Este será el punto de partida para desarrollar los siguientes proyectos de implantación de controles; es decir, se configurarán diferentes proyectos de acuerdo con lo indicado por PILAR para la implantación de salvaguardas para cada una de las agrupaciones relacionadas

[H] Protecciones generales

[D] Protección de la información

[S] Protección de los servicios

[SW] Protección de las aplicaciones informáticas

[HW] Protección de los equipos informáticos

[COM] Protección de las comunicaciones

[MP] Protección de los soportes de información

[AUX] Elementos auxiliares

[L] Protección de las instalaciones

[PS] Gestión del personal

[H.IR] Gestión de incidentes

[BC] Continuidad del negocio

[G] Organización

[E] Relaciones externas

[NEW] Adquisición / Desarrollo Se tratará por tanto de diseñar quince proyectos correspondientes a estos grupos de salvaguardas, que permitan dirigir la implantación de las distintas salvaguardas propuestas por PILAR. Es importante mencionar en este punto que el número de salvaguardas previsto, tras restringir los controles según el perfil de seguridad a aplicar (ISO 27002:2013) y registrar en PILAR la aplicabilidad y el nivel de madurez de la implantación de los distintos controles, es muy elevado (2.381 tal y como se constata en la siguiente captura) por lo que no es procedente incluir en este documento el detalle de todas.

Ilustración 34: Número de salvaguardas por tipo

Se incluirá por tanto un solo ejemplo con un número bajo de salvaguardas lo que nos permitirá analizar en detalle las herramientas que PILAR proporciona para facilitar el desarrollo de los diferentes proyectos. El resto de los proyectos se incluirá a un nivel de abstracción más elevado, disponiéndose del desglose completo en el proyecto PRYSSEE.MGR adjunto a este documento. Pero antes de pasar al desglose de los distintos proyectos, es preciso detallar de qué manera califica PILAR las diferentes salvaguardas. En primer lugar se define el parámetro “Aspecto” que trata la salvaguarda, que contempla las siguientes posibilidades:

G para Gestión

T para Técnico

F para seguridad Física

P para gestión del personal A continuación se define el parámetro tipo de protección (TDP) que prevé las siguientes posibilidades:

PR – prevención

DR – disuasión

EL – eliminación

IM – minimización del impacto

CR – corrección



RC – recuperación

AD – administrativa

AW – concienciación

DC – detección

MN – monitorización

std – norma

proc – procedimiento

cert – certificación Por último, PILAR fija un peso relativo para cada una de las salvaguardas propuestas, y lo índica con los símbolos que se recogen en la siguiente captura:

Ilustración 35: Peso relativo de las salvaguardas de PILAR

Se define por tanto un ámbito genérico de actuación de la salvaguarda (aspecto), un tipo de salvaguarda (TDP) y una valoración relativa de la misma. Ello nos permite situar dicha salvaguarda, clasificarla entre los distintos tipos propuestos y, por último, darle una valoración en cuanto a su importancia. Se detallan a continuación los proyectos propuestos, empezando con el análisis en detalle de uno con un número restringido de salvaguardas, para proceder a continuación con una exposición más resumida del resto de los proyectos.

4.2 ASIGNACIÓN DE RESPONSABLES DE LOS PROYECTOS Y ESTIMACIÓN DE

COSTES

Muchos de los proyectos tienen una componente normativa importante y trascendencia en el ámbito legal. Este

hecho hace imprescindible la participación activa del departamento de Secretaría ya que sobre el Secretario

del Ayuntamiento recae la responsabilidad de proporcionar el asesoramiento legal preceptivo (Disposición

Adicional Segunda punto 1 de la Ley 7/2007, de 12 de abril, del Estatuto Básico del Empleado Público). El

departamento de Secretaría tiene además control directo sobre el de recursos humanos.

Se ha designado en muchos de los proyectos el departamento de Sistemas como responsable de su

ejecución. Ello deriva de la componente eminentemente técnica de los mismos.

La participación de los departamentos de Intervención y Tesorería deriva directamente del hecho que

constituyen los departamentos destinatarios del SGSI.



Otra de la información incluida en los Proyectos es la de un coste estimado, desglosado en diferentes tipos. Reseñar aquí que cuando se han incluido costes de mantenimiento, éstos corresponden a unos valores verificados como estándares del mercado: un 8% aplicado sobre los costes de adquisición de hardware y un 15% sobre los costes de adquisición de software.

4.3 PROPUESTAS

Tal y como se indica en anteriormente, se incluirá en este apartado el desglose de los diferentes proyectos propuestos para llevar a cabo la implantación de las distintas salvaguardas que deberán llevarse a cabo con el fin de dar cobertura a los distintos controles dispuestos en la norma. El primero de estos proyectos será descrito en algo más de detalle (el desglose completo de las salvaguardas se halla disponible en el proyecto PRYSSEE.MGR), facilitándose del resto un resumen a un nivel mayor de abstracción. PILAR facilita en primer lugar una recomendación del nivel de implantación de las salvaguardas propuestas para cada uno de los grupos en los que las ha clasificado. Se incluye a continuación las salvaguardas propuestas para los Elementos Auxiliares:

Ilustración 36: Salvaguardas vinculadas a la protección de los elementos auxiliares

Aparece indicado el nivel de recomendación de implantación de cada una de las salvaguardas, con un fondo de color que atiende a la importancia de la salvaguarda. Seleccionando cualquiera de estos “niveles de



recomendación”, la aplicación proporciona información detallada sobre dicha salvaguarda. Se incluye a continuación la información correspondiente a la salvaguarda [AUX.wires.b]:

Ilustración 37: Detalle de la salvaguarda [Aux.wires.b]

Se distingue por tanto a qué tipo de activos está enfocada y las distintas amenazas a las que hace frente. Esta agrupación de las salvaguardas, aunque indicada para la redacción de los distintos proyectos, puede no ser suficiente cuando se desee conocer todas las salvaguardas con las que se debe proteger un activo determinado, ya que un activo suele estar protegido por salvaguardas de diferentes tipos. En este caso debe recurrirse a la segunda alternativa facilitada por PILAR: salvaguardas de un activo específico. Como ejemplo se tomará el activo LOC-001 Planta Baja, que pertenece al grupo de activos de Instalaciones:

Ilustración 38: Agrupación de salvaguardas por activos

La primera información que facilita PILAR para cada activo en concreto es el detalle de las salvaguardas a implantar clasificadas por tipos de protección. La siguiente captura recoge dicha información en relación al activo indicado:



Ilustración 39: Salvaguardas para el activo LOC-001

A este primer nivel se detallan para este activo cinco tipos de salvaguardas diferentes:

Elementos auxiliares

Protección de las instalaciones

Gestión de incidentes

Continuidad del negocio

Organización Se debe aumentar el nivel de detalle para acceder a la relación completa de salvaguardas. Se toma como ejemplo el conjunto de salvaguardas indicadas para les Elementos Auxiliares [AUX]:



Ilustración 40: Salvaguardas de protección de los Elementos Auxiliares del activo LOC-001

En un siguiente nivel de detalle, se facilita información sobre las amenazas que se están afrontando. Seleccionando en el nivel de “recomendación” correspondiente a la salvaguarda [AUX.wires.b] “Hay protección prevista contra daños o interceptaciones no autorizadas (conductos blindados, cajas o salas cerradas,…)” se obtiene la información incluida en la siguiente captura:



Ilustración 41: Clases de activos y amenazas tratadas mediante la salvaguarda [AUX.wires.b]

Esta información adicional es facilitada por cada una de las salvaguardas. Debe destacarse aquí, que la información difiere de la obtenida en el caso anterior (salvaguardas por tipo) ya que se incluyen en este caso únicamente las amenazas que afectan a los activos tipo [L] instalaciones, mientras que en el informe anterior se recogían no sólo las que correspondían a este tipo de activo sino también las relacionadas con los activos tipo [AUX.cabling], PILAR proporciona también en un informe el detalle de las salvaguardas, La siguiente tabla incluye las vinculadas al tipo de activo [AUX] y que son de aplicación en este proyecto, mostrando el nivel de recomendación y qué aspecto cubren:

Tabla 28: Informe de detalle de salvaguardas

código Nombre recomendación aspecto

AUX Elementos Auxiliares 6 G

AUX.1 Se dispone de un inventario de equipamiento auxiliar 2 G

AUX.1.1 Se dispone de un registro de equipamiento auxiliar 2 G

AUX.1.2 Se identifica el propietario (persona responsable) 2 G

AUX.1.3 El inventario se actualiza regularmente 2 G

AUX.1.4 Se registran las entradas y salidas de equipamiento auxiliar 2 G

AUX.wires Protección del cableado 6 F

AUX.wires.1 La gestión está centralizada 3 F

AUX.wires.2 Se utiliza una herramienta de gestión 3 F

AUX.wires.3 Se dispone de planos actualizados del cableado 2 F

AUX.wires.4 Todos los elementos de cableado están etiquetados 2 F

AUX.wires.5 Se sigue un procedimiento para la modificación del cableado 3 F

AUX.wires.6 Se realiza un mantenimiento regular del cableado 3 F

AUX.wires.7 Se ha segregado el cableado de alimentación del de comunicaciones para evitar interferencias 4 F

AUX.wires.8 Se instalan filtros de protección frente a rayos 3 F

AUX.wires.8.1 Cableado de alimentación 3 F



AUX.wires.8.2 Cableado de datos 3 F

AUX.wires.9 Se evitan rutas a través de áreas públicas 5 F

AUX.wires.a Se controlan todos los accesos al cableado 6 F

AUX.wires.b

Hay protección prevista contra daños o interceptaciones no autorizadas (conductos blindados, cajas o salas cerradas, ...) 6 F

AUX.wires.c Existe protección frente a emanaciones (TEMPEST) 3 (o) T

AUX.wires.c.1 Protección TEMPEST 3 T

AUX.wires.c.2 Se instalan filtros antes de salir de la zona protegida 3 T

AUX.wires.d Se protegen los cuadros de distribución 4 F

AUX.wires.e Se protejen antenas y repetidores 3 F

AUX.wires.f Se emplean recubrimientos que no son inflamables ni tóxicos 4 F

AUX.wires.g El cableado es tolerante a fallos (redundancia de líneas críticas, etc.) 4 F

En este punto se dispone por tanto de información de qué salvaguardas aplicar de forma global a la organización y cuáles son de aplicación en cada uno de los activos. Analizando toda la información suministrada se puede ahora generar la información resumida para cada uno de los distintos proyectos propuestos. En los distintos proyectos una de las informaciones que se proporciona es la de los activos afectados por cada uno de ellos. La referenciación de los activos se realiza a partir del código que le fue asignado en la configuración inicial del sistema. Se incluyen a continuación dichos códigos:

Tabla 29: Codificación de activos

4. Activos

4.1. Capa - [B] Activos esenciales [INF-001] Gest. Trib. y Rec.

[INF-002] Contabilidad

[INF-003] Dominio

[SER-001] Contabilidad

[SER-002] Recaudación

[SER-003] Gestión Tributaria

[SER-004] Autenticación

[SER-005] Recaudación online

4.3. Capa - [E] Equipamiento [SW] Aplicaciones

[APL-001] Contabilidad

[APL-002] Gestión Tributaria

[APL-003] Recaudación

[APL-004] Gestión del dominio

[APL-005] Recaudación online

[FRW-001] FIREWALL



[HW] Equipos

[SRV-001] Servidor de datos y aplicaciones

[SRV-002] Servidor de Dominio

[PCS-001] PC´gestión Tributaria

[PCS-002] PC´s Recaudación

[PCS-003] PC´s Contabilidad

[NAS-001] NAS principal

[NAS-002] NAS redundante

[PRT-001] Impresoras contabilidad

[PRT-002] Impresoras Gest. Trib.

[PRT-003] Impresoras Recaudación

[COM] Comunicaciones

[LAN-001] LAN

[ADSL-001] ADSL

[AUX] Elementos auxiliares

[UPS-001] UPS´s Servidores

[FOP-001] Fibra óptica

4.5. Capa - [L] Instalaciones [LOC-001] Planta Baja

[LOC-002] Planta Primera

[LOC-003] Oficinas Remotas

[LOC-004] Dependencias auxiliares

4.6. Capa - [P] Personal [USR-001] Usuarios Gestión Tributaria

[USR-002] Usuarios Recaudación

[USR-003] Usuarios Contabilidad

[USR-004] Administradores del Sistema

[USR-005] Usuarios WEB Recaudación

Se desgranan a continuación los diferentes proyectos propuestos. Las fechas de ejecución incluidas se justifican en el siguiente apartado.

Tabla 30: PROYECTO 1 - Protección de las instalaciones

Proyecto PROYECTO 1 - Protección de los Elementos Auxiliares

Objetivo genérico Proteger los activos enmarcados en esta categoría de las amenazas definidas en el análisis de riesgos

Tipos de activos Elementos auxiliares

Activos afectados [UPS-001] UPS´s servidores y [FOP-001] Fibra óptica

Relación de salvaguardas



La relación completa se puede consultar en el proyecto PRYSSEE.MGR. Se desarrollan en los siguientes campos: Inventariado del equipamiento, Aseguramiento de la disponibilidad, Procedimientos de instalación, Suministro eléctrico, Climatización, Protección del cableado, Medidas frente a robos y Medidas frente a los problemas graves identificados en el análisis de riesgos.

Departamento responsable SISTEMAS

Costes

Adquisición 3.000 €

Contratación (servicios)

Desarrollo

Implantación 1.000 €

Mantenimiento

Formación

Explotación

Impacto en la productividad

Total coste 4.000 €

Plazo de ejecución 12/07/2016 a 03/10/2016

Tabla 31: PROYECTO 2 - Protecciones generales

Proyecto PROYECTO 2 - Protecciones generales

Objetivo genérico Aplicar medidas de protección de carácter general a los activos que se indican a continuación.

Tipos de activos Servicios esenciales, Aplicaciones, Equipos y Comunicaciones

Activos afectados

[INF-001], [INF-002], [INF-003], [SER-001], [SER-002], [SER-003], [SER-004], [SER-005], [APL-001], [APL-002], [APL-003], [APL-004],[APL-005], [FRW-001], [SRV-001], [SRV-002], Todos los PC´s, Todas las impresoras, [LAN-001] y [ADSL-001]


La relación completa se puede consultar en el proyecto PRYSSEE.MGR. Se desarrollan en los siguientes campos: Identificación y autenticación, Control de acceso lógico, Herramientas de seguridad, Gestión de vulnerabilidades y Registro y auditoría.

Departamento responsable SECRETARÍA Y SISTEMAS

Costes

Adquisición 3.000 €

Contratación (servicios) 10.000 €

Desarrollo


Mantenimiento 1.740 €

Formación 3.000 €



Explotación 1.500 €




Tabla 32: PROYECTO 3 - Protección de la información

Proyecto PROYECTO 3 - Protección de la información

Objetivo genérico Aplicar medidas de protección a los activos de datos

Tipos de activos Servicios esenciales y Equipos

Activos afectados [INF-001], [INF-002], [INF-003], [SRV-002] y Todos los PC´s


La relación completa se puede consultar en el proyecto PRYSSEE.MGR. Se desarrollan en los siguientes campos: Atributos de seguridad, Inventariado de activos de información, Normativa, Protección de la integridad, Protección de la confidencialidad, Uso de firmas electrónicas y Uso de servicios de fechado electrónico.


Costes

Adquisición


Desarrollo


Mantenimiento 750 €


Explotación




Tabla 33: PROYECTO 4 - Protección de los servicios

Proyecto PROYECTO 4 - Protección de los servicios

Objetivo genérico Aplicar medidas de protección a los Servicios

Tipos de activos Servicios esenciales y Comunicaciones

Activos afectados [SER-001], [SER-002], [SER-003], [SER-004], [SER-005] y [ADSL-001]


La relación completa se puede consultar en el proyecto PRYSSEE.MGR. Se desarrollan en los siguientes campos: Aspectos generales de los servicios subcontratados y Contratos de prestación de servicios.




Costes

Adquisición


Desarrollo


Mantenimiento

Formación

Explotación 1.000 €




Tabla 34: PROYECTO 5 - Protección de las aplicaciones informáticas

Proyecto PROYECTO 5 - Protección de las aplicaciones informáticas

Objetivo genérico Aplicar medidas de protección a las los activos relacionados con las aplicaciones informáticas.

Tipos de activos Equipamiento - aplicaciones y Equipamiento - equipos

Activos afectados [APL-001], [APL-002], [APL-003], [APL-004],[APL-005], [FRW-001], [SRV-001], [SRV-002] y Todos los PC´s


La relación completa se puede consultar en el proyecto PRYSSEE.MGR. Se desarrollan en los siguientes campos: Inventariado de aplicaciones, Normativa relativa a las aplicaciones, Procedimientos de uso, Protección de derechos de propiedad intelectual, Copias de seguridad, Puesta en producción, Perfiles de seguridad, Explotación / Producción, Cambios y Desmantelamiento.


Costes

Adquisición


Desarrollo




Explotación






Tabla 35: PROYECTO 6 - Protección de los equipos informáticos

Proyecto PROYECTO 6 - Protección de los equipos informáticos

Objetivo genérico Aplicar medidas de protección de carácter general a los activos relacionados con los equipos informáticos.

Tipos de activos Equipamiento - equipos y COM

Activos afectados [SRV-001], [SRV-002], Todos los PC´s, Todas las impresoras y [LAN-001]


La relación completa se puede consultar en el proyecto PRYSSEE.MGR. Se desarrollan en los siguientes campos: Inventariado de equipos, Normativa de uso correcto, Procedimientos de uso, Puesta en producción, Perfiles de seguridad, Aseguramiento de la disponibilidad, Contenedores criptográficos, Prevención de emanaciones electromagnéticas, Instalación, Operación, Cambios, Desmantelamiento, Reproducción de documentos, Voz, facsímil y video.


Costes

Adquisición


Desarrollo


Mantenimiento


Explotación




Tabla 36: PROYECTO 7 - Protección de las comunicaciones

Proyecto PROYECTO 7 - Protección de las comunicaciones

Objetivo genérico Aplicar medidas de protección a los activos vinculados con las comunicaciones.

Tipos de activos Comunicaciones

Activos afectados [LAN-001] y [ADSL-001]


La relación completa se puede consultar en el proyecto PRYSSEE.MGR. Se desarrollan en los siguientes campos: Inventariado de servicios de comunicación, Normativa de uso, Procedimientos de uso, Entrada en servicio, Perfiles de seguridad, Aseguramiento de la disponibilidad, Autenticación del canal, Protección de la integridad de los datos en los intercambios, Protección frente a la inyección de información, Protección criptográfica, Operación, Cambios, Desmantelamiento y Segregación de las redes en dominios.




Costes

Adquisición


Desarrollo



Formación

Explotación




Tabla 37: PROYECTO 8 - Protección de los soportes de información

Proyecto PROYECTO 8 - Protección de los soportes de información

Objetivo genérico Aplicar medidas de protección a los activos vinculados con los soportes de información..

Tipos de activos Equipamiento - equipos

Activos afectados [SRV-001], [SRV-002], Todos los PC´s, [NAS-001] y [NAS-002]


La relación completa se puede consultar en el proyecto PRYSSEE.MGR. Se desarrollan en los siguientes campos: Normativa, Procedimientos, Inventariado de soportes, Gestión de soportes, Conexión de dispositivos removibles, Contenedores de seguridad, Seguridad de los soportes fuera de las instalaciones, Aseguramiento de la disponibilidad, Prevención de emanaciones electromagnéticas, Protección criptográfica del contenido, Limpieza de contenidos y Destrucción de soportes.


Costes

Adquisición


Desarrollo


Mantenimiento


Explotación






Tabla 38: PROYECTO 9 - Protección de las instalaciones

Proyecto PROYECTO 9 - Protección de las instalaciones

Objetivo genérico Aplicar medidas de protección a los activos de instalaciones

Tipos de activos Instalaciones

Activos afectados [LOC-001], [LOC-002], [LOC-003] y [LOC-004]


La relación completa se puede consultar en el proyecto PRYSSEE.MGR. Se desarrollan en los siguientes campos: Normativa, Inventario de instalaciones, Entrada en servicio, Diseño, Defensa en profundidad, Mecanismo de autenticación, Control de los accesos físicos, Protección del perímetro, Vigilancia, Iluminación de seguridad, Protección frente a desastres, Continuidad de operaciones, Desmantelamiento, Seguridad de la instalación con responsabilidad compartida.

Departamento responsable SISTEMAS, SECRETARÍA e INTERVENCIÓN.

Costes

Adquisición


Desarrollo

Implantación


Formación

Explotación




Tabla 39: PROYECTO 10 - Gestión de personal

Proyecto PROYECTO 10 - Gestión del Personal

Objetivo genérico

Proporcionar la formación adecuada a los usuarios en materia de seguridad y adecuar la estructura de la organización a las necesidades de la seguridad.

Tipos de activos Personal

Activos afectados [USR-001], [USR-002], [USR-003], [USR-004] y [USR-005]


La relación completa se puede consultar en el proyecto PRYSSEE.MGR. Se desarrollan en los siguientes campos: Normativa y procedimientos de seguridad en la gestión de personal, Relación de personal, Segregación de tareas, Puestos de Trabajo, Contratación, Cambio de puestos de trabajo, Formación y concienciación, Procedimientos de prevención y reacción, Protección frente a coacciones, Aseguramiento de la disponibilidad y Personal subcontratado.



Departamento responsable SECRETARÍA y RR.HH.

Costes

Adquisición


Desarrollo


Mantenimiento


Explotación




Tabla 40: PROYECTO 11 - Gestión de incidentes

Proyecto PROYECTO 11 - Gestión de incidentes

Objetivo genérico Aplicar medidas adecuadas al fin de garantizar una correcta gestión de los incidentes de seguridad,

Tipos de activos Todos

Activos afectados Todos los activos identificados


La relación completa se puede consultar en el proyecto PRYSSEE.MGR. Se desarrollan en los siguientes campos: Normativa de actuación, Procedimientos de gestión, Gestión del incidente, Ayuda a los afectados, Cooperación con otras organizaciones, Comunicación de los incidentes, Comunicación de las deficiencias, Registro y revisión de fallos, Comunicación de los fallos de software, Control formal del proceso de recuperación ante el incidente y Formación y concienciación.


Costes

Adquisición


Desarrollo


Mantenimiento


Explotación






Tabla 41: PROYECTO 12- Continuidad del negocio

Proyecto PROYECTO 12 - Continuidad del negocio

Objetivo genérico Aplicar medidas enfocadas a gestionar la seguridad de la información en la continuidad del negocio

Tipos de activos Servicios esenciales, Aplicaciones, Equipos, Comunicaciones, Elementos auxiliares e Instalaciones

Activos afectados

[SER-001], [SER-002], [SER-003], [SER-004], [SER-005], [APL-001], [APL-002], [APL-003], [APL-004],[APL-005], [FRW-001], [SRV-001], [SRV-002], Todos los PC´s, Todas las impresoras, [LAN-001], [ADSL-001], [LOC-001], [LOC-002], [LOC-003], [LOC-004] y Todos los tipos de usuarios.


La relación completa se puede consultar en el proyecto PRYSSEE.MGR. Se desarrollan en los siguientes campos: Normativa relativa a la continuidad del negocio, Inventario actualizado, Análisis de Impacto, Actividades preparatorias, Gestión de crisis, Plan de recuperación de desastres y Retorno a condiciones normales de trabajo.

Departamento responsable SISTEMAS y SECRETARÍA

Costes

Adquisición


Desarrollo


Mantenimiento


Explotación




Tabla 42: PROYECTO 13 - Organización

Proyecto PROYECTO 13 - Organización

Objetivo genérico Aplicar medidas encaminadas a garantizar que la organización interna está alineada con los requisitos de seguridad.

Tipos de activos Todos

Activos afectados Todos los activos identificados


La relación completa se puede consultar en el proyecto PRYSSEE.MGR. Se desarrollan en los siguientes campos: Organización interna, Documentación técnica, Documentación Organizativa, Gestión de Riesgos, Planificación de la Seguridad, Inspecciones de seguridad.

Departamento responsable ALCALDÍA, SECRETARÍA, INTERVENCIÓN, DEPOSITARÏA y SISTEMAS



Costes

Adquisición


Desarrollo


Mantenimiento


Explotación




Tabla 43: PROYECTO 14 - Relaciones externas

Proyecto PROYECTO 14 - Relaciones externas

Objetivo genérico

Aplicar medidas de protección encaminadas a garantizar que el acceso por parte de entidades o usuarios externos se realice en condiciones de seguridad adecuadas.

Tipos de activos Servicios esenciales y Comunicaciones

Activos afectados [SER-005] y [ADSL-001]


La relación completa se puede consultar en el proyecto PRYSSEE.MGR. Se desarrollan en los siguientes campos: Identificación de riesgos, Determinación de métodos de acceso autorizados, Uso de identificadores únicos cuyo uso se controla, Relación de usuarios autorizados, Normativa para la autorización del acceso y concesión de privilegios y Posibilidad de controlar y suspender la actividad de los usuarios.


Costes

Adquisición


Desarrollo

Implantación


Formación

Explotación






Tabla 44: PROYECTO 15 - Adquisición / Desarrollo

Proyecto PROYECTO 15 - Adquisición / Desarrollo

Objetivo genérico

Aplicar medidas destinadas a garantizar que la adquisición o el desarrollo de los componentes que configuran la infraestructura de la información se realizan en condiciones adecuadas de seguridad.

Tipos de activos Servicios esenciales, Aplicaciones, Equipos y Comunicaciones

Activos afectados

[SER-001], [SER-002], [SER-003], [SER-004], [SER-005], [APL-001], [APL-002], [APL-003], [APL-004],[APL-005], [FRW-001], [SRV-001], [SRV-002], Todos los PC´s, Todas las impresoras, [LAN-001] y [ADSL-001]


La relación completa se puede consultar en el proyecto PRYSSEE.MGR. Se desarrollan en los siguientes campos: Adquisición o desarrollo de aplicaciones y equipos, Adquisición o contratación de comunicaciones, Adquisición de soportes de información y Productos certificados o acreditados.


Costes

Adquisición


Desarrollo


Mantenimiento

Formación

Explotación




4.4 CONSIDERACIONES SOBRE LA PLANIFICACIÓN DE LOS PROYECTOS

Los proyectos se han “encadenado” atendiendo a los siguientes criterios:

Se establece como proyecto a abordar en primer lugar el PROYECTO 13 – Organización, dado que en su contexto es en el que se define el análisis de riesgos, política de seguridad, documentación organizativa, etc. El arranque del siguiente proyecto estará supeditado a la finalización de éste.

En segundo lugar se abordará el PROYECTO 2 – Protecciones generales, en el que se establecerán una serie de normas que, por su transversalidad, repercutirán en distintos ámbitos y afectarán a los proyectos que se iniciarán con posterioridad. Por tanto, también en este caso, sólo con la finalización de este proyecto se podrá abordar el resto.

En tercer lugar arrancarán de forma simultánea dos grandes grupos de proyectos: o Por una parte se iniciarán los proyectos directamente vinculados a activos concretos,

comenzando por los de nivel superior para a continuación seguir con los de niveles inferiores. Así, se iniciarán simultáneamente los proyectos 3 y 4 que afectan a activos esenciales. Una vez finalizados estos, se acometerán los proyectos 5, 6, 7, 8, 1 y 9 que



afectan al resto de los activos identificados (aplicaciones, equipos, comunicaciones, etc.). Estos últimos 5 proyectos pueden acometerse simultáneamente.

o También después del PROYECTO 2 de Protecciones generales, pueden iniciarse una serie de proyectos no directamente vinculados a un único activo y que se relacionan a continuación:

PROYECTO 10 – Gestión de personal PROYECTO 11 – Gestión de incidentes PROYECTO 12 – Continuidad del negocio PROYECTO 14 – Relaciones Externas PROYECTO 15 – Adquisición y desarrollo

Dicha planificación se sustancia en un diagrama de Gantt que contempla todos los proyectos en su conjunto que se adjunta en el documento Anexo-05 Proyectos SGSI.PDF. Se incluye a continuación únicamente el PROYECTO 13 – Organización que constituye el hito de arranque de la implantación del SGSI en su conjunto.

Ilustración 42: PROYECTO 13 - tareas

Ilustración 43: PROYECTO 13 - escala de tiempo

De acuerdo con la planificación prevista, la implantación de la totalidad de los proyectos deberá haberse completado el 03/10/2016, por lo que se prevé una duración de 9 meses para todo el proceso.



4.5 LAS SALVAGUARDAS DESDE EL PUNTO DE VISTA DE LA NORMA 27002:2013

Veíamos en apartados anteriores como, tras registrar en PILAR el nivel de madurez que le correspondía a la implantación de los distintos controles, se informaba sobre la posición de seguridad del sistema desde el punto de vista del perfil de la norma ISO 27002:2013. La posición de seguridad mencionada se recoge en la siguiente captura:

Ilustración 44: Posición de seguridad del sistema respecto a la norma ISO 27002:2013

Vuelve a tratarse de un número de salvaguardas muy extenso, por lo que se detallará la información existente sólo para uno de los dominios: [15] Relaciones con proveedores. La relación pormenorizada de las salvaguardas contempladas para este dominio se recoge en la siguiente captura:



Ilustración 45: Proyecto 01 - Salvaguardas a implantar para dar cumplimiento al dominio [15] de la norma ISO 27002:2013

Se distinguen aquí dos grupos de salvaguardas principales:

Las que dan cumplimiento a los controles del apartado [15.1] Seguridad de la información en las relaciones con proveedores

Las que dan cumplimiento a los controles del apartado [15.2] Gestión de servicios prestados por terceros.

Se especifican además mediante el literal “n.a.” qué salvaguardas no son de aplicación en este caso. Para cada una de las salvaguardas, PILAR facilita la descripción de la misma y el aspecto y tipo protección propuestos. Como ejemplo se incluye a continuación la información referente a las primeras cuatro salvaguardas aplicables S.3.1.1, S.3.1.2, S.3.2.1 y S.3.1.3 relacionadas con el control [15.1.1] Política de seguridad de la información en las relaciones con proveedores:

Ilustración 46: Detalle de parte de las salvaguardas propuestas para dar cumplimiento al control [15.1.1] Política de seguridad de

la información en las relaciones con proveedores



PILAR proporciona además información de la repercusión en cada uno de los dominios de las salvaguardas planteadas de acuerdo con los objetivos fijados:

Ilustración 47: objetivos previstos con la implantación de los proyectos



5 FASE 5: AUDITORÍA DE CUMPLIMIENTO

5.1 INTRODUCCIÓN

Llegados a esta fase, se conocen los activos de la empresa y se han evaluado las amenazas. En este punto debe evaluarse hasta qué punto la empresa cumple con las buenas prácticas en materia de seguridad. La ISO/IEC 27002:2013 nos servirá como marco de control del estado de la seguridad.

5.2 METODOLOGÍA

El estándar ISO/IEC 27002:2013, agrupa un total de 114 controles o salvaguardas sobre buenas prácticas para la Gestión de la Seguridad de la Información organizado en 14 dominios y 35 objetivos de control. Éste estándar es internacionalmente reconocido y es perfectamente válido para la mayoría de organizaciones.

Hay diferentes aspectos en los cuales las salvaguardas actúan reduciendo el riesgo, ya sea en referencia a los controles ISO/IEC 27002:2013 o de cualquier otro catálogo. Estos son en general:

Formalización de las prácticas mediante documentos escritos o aprobados.

Política de personal.

Solicitudes técnicas (software, hardware o comunicaciones).

Seguridad física.

La protección integral frente a las posibles amenazas, requiere de una combinación de salvaguardas sobre cada uno de estos aspectos, aspecto que ya ha sido tratado en apartados anteriores.

5.3 AUDITORÍA – DETALLE DE HALLAZGOS Y EVIDENCIAS

El objetivo de esta fase del proyecto es evaluar la madurez de la seguridad en lo que respecta a los diferentes dominios de control y los 112 controles aplicables del total de 114 planteados por la ISO/IEC 27002:2013.

De forma resumida, los dominios que deben analizarse son:

Política de seguridad

Organización de la seguridad de la información.

Gestión de activos.

Seguridad en los recursos humanos

Seguridad física y ambiental

Gestión de comunicaciones y operaciones.

Control de acceso.

Adquisición, desarrollo y mantenimiento de Sistemas de Información

Gestión de incidentes

Gestión de continuidad de negocio

Cumplimiento Los resultados de la auditoría se presentan a continuación y se ha realizado de acuerdo con el modelo propuesto en el anexo 2 del presente documento:



Tabla 45: Informe de auditoría

Fecha del informe: 15/12/2015

Período de la auditoría interna: 16/11/2015 – 04/12/2015

Auditor (es): Juan Enrique Tur Hartmann

Criterios: Las políticas propias de la entidad auditada que describan el control. El catálogo de controles incluidos en la norma ISO/IEC 27002:2013. Las técnicas (organizativas y también tecnológicas) más actuales para la implementación de cada tipo concreto de control.

Alcance: Los dominios de la norma ISO/IEC 27002:2013

Seguimiento de la auditoría: El equipo auditor asistirá a la organización en la toma de decisiones, en el seguimiento de las actividades que se deriven y, una vez finalizada la implantación de recomendaciones, en la revisión de la implantación de las mismas.

Recomendaciones de mejora: Gran parte de la implantación del SGSI se encuentra en su fase inicial y muchos dependen de entidades externas. Deberían dedicarse en esta fase recursos suficientes para permitir realizar el seguimiento de los proyectos en curso y corregir eventuales desviaciones.

Resultados: Cantidad total de no-conformidades 10 no conformidades

menores No conformidades detectadas

A.8.1 Responsabilidades de los activos (No conformidad menor)

La gestión del inventario de activos de la organización está encomendada a una organización externa y no se han desarrollado por completo las indicaciones en materia de asignación de los mismos, de clasificación de la información y de manipulación de los soportes: El riesgo derivado de ello es el de no poder ejercer una protección eficaz sobre los activos.

A.9.1 Control de acceso (No conformidad menor)

La implementación de las normas de control de acceso definidas debe completarse y fijarse como prioritaria. El riesgo que se corre afecta principalmente a la confidencialidad de la información. Se recomienda en este punto implementar políticas e seguridad de control de acceso basadas en roles.

A.10.1 Controles criptográficos (No conformidad menor)

No se ha completado el despliegue de los controles previstos en este campo. Los riesgos que de ello se derivan afectan a la confidencialidad, autenticidad y/o integridad de la información.

A.11.1 Áreas seguras (No conformidad menor)

Deben completarse las tareas en curso relacionadas con aspectos de la seguridad para la protección de las áreas que contienen información sensible. Se evitarán así los riesgos de posibles daños e interferencias a la información derivadas de accesos no autorizados.

A.11.2 Seguridad de los equipos (No conformidad menor)

Debe profundizarse en la implantación de los controles relacionados con la retirada de los



materiales, reutilización o eliminación segura de equipos y la seguridad de los equipos fuera de las instalaciones con el objeto de evitar la pérdida, daño o robo o el compromiso de la seguridad de los activos.

A.13.2 Intercambio de información (No conformidad menor)

Debe finalizarse la implantación de los controles relativos la mensajería electrónica y de acuerdos de confidencialidad y no revelación al objeto de mantener la seguridad en la información que se transfiera dentro de la organización y con cualquier entidad externa.

A.14 Adquisición, desarrollo y mantenimiento de los sistemas de información (No conformidad menor)

La entidad analizada con cuenta en su organigrama con unidades entre cuyas funciones se encuentren las relacionadas con algunos de los apartados de este dominio. Por ello se han fijado las especificaciones que en este ámbito deben cumplir las entidades externas implicadas. Debe urgirse la acreditación por parte de dichas entidades del cumplimiento de las especificaciones de los controles de la norma.

A.15 Relaciones con los proveedores (No conformidad menor)

El estado inicial en el que se encuentra la implantación del SGSI no ha permitido completar en su totalidad la implantación de los controles definidos en este dominio, destinados a asegurar la protección de los activos de la organización que sean accesibles a los proveedores.

A.17.1 Continuidad del negocio (No conformidad menor)

Los controles de este apartado del dominio se encuentran definidos pero deben también completarse. Dado que no existen planes formales de continuidad del negocio ni de recuperación de desastres la gestión de la seguridad de la información debe asumir que los requisitos de seguridad sean los mismos tanto en condiciones adversas como en condiciones normales.

A.18.1 Cumplimiento de los requisitos legales y contractuales (No conformidad menor)

A pesar de que la normativa aplicable se encuentra perfectamente identificada procede completar los controles establecidos en materia de derechos de propiedad intelectual, de protección de los registros de la organización y de regulación de controles criptográficos. Se evitarán así los riesgos derivados del incumplimiento de las obligaciones legales a los que la organización se encuentra sujeta.

5.4 EVALUACIÓN DE LA MADUREZ

Siguiendo el mismo procedimiento que el utilizado en su momento para la realización del análisis diferencial (apartado 1.7 del presente estudio), se tomará el “Modelo de Madurez” desarrollado por el “Software Engineering Institute” para la madurez de la capacidad de desarrollo de software. Dicho modelo distingue, con carácter general, los siguientes niveles



Tabla 46: Niveles de madurez

0 - Inexistente Total falta de un proceso reconocible. La organización ni siquiera ha reconocido que hay un problema que resolver.

1 - Inicial

Hay evidencia de que la organización ha reconocido que los problemas existen y que necesitan ser resueltos. Sin embargo, no hay procesos estandarizados pero en cambio hay métodos ad hoc que tienden a ser aplicados en forma individual o caso por caso. El método general de la administración es desorganizado.

2 - Repetible

Los procesos se han desarrollado hasta el punto en que diferentes personas siguen procedimientos similares emprendiendo la misma tarea. No hay capacitación o comunicación formal de procedimientos estándar y la responsabilidad se deja a la persona. Hay un alto grado de confianza en los conocimientos de las personas y por lo tanto es probable que haya errores.

3 - Definido

Los procedimientos han sido estandarizados y documentados, y comunicados a través de capacitación. Sin embargo se ha dejado en manos de la persona el seguimiento de estos procesos, y es improbable que se detecten desviaciones. Los procedimientos mismos no son sofisticados sino que son la formalización de las prácticas existentes.

4 - Administrado

Es posible monitorear y medir el cumplimiento de los procedimientos y emprender acción donde los procesos parecen no estar funcionando efectivamente. Los procesos están bajo constante mejoramiento y proveen buena práctica. Se usan la automatización y las herramientas en una forma limitada o fragmentada.

5 - Optimizado

Los procesos han sido refinados hasta un nivel de la mejor práctica, basados en los resultados de mejoramiento continuo y diseño de la madurez con otras organizaciones. TI se usa en una forma integrada para automatizar el flujo de trabajo, suministrando herramientas para mejorar la calidad y la efectividad, haciendo que la empresa se adapte con rapidez.

Ello nos permitirá “medir” la situación que en la organización tienen los distintos procesos en referencia a los controles propuestos en la norma. Se incluye a continuación la evaluación de la situación actual de la organización con respecto a la norma ISO/IEC-27002:2013 después de ultimar las tareas que se han descrito en apartados anteriores:

Tabla 47: Situación de la organización con respecto a los controles de la norma ISO/IEC 27002:2013

ID Controles según la norma ISO/IEC 27002:2013 Aplicabili

dad (SÍ/NO)

Situación



A.5.1.1 Políticas para la seguridad de la información Sí 4 - Administrado

A.5.1.2 Revisión de las políticas para la seguridad de la información Sí 4 - Administrado



A.6.1.1 Roles y responsabilidades en seguridad de la información Sí 3 - Definido

A.6.1.2 Segregación de tareas Sí 3 - Definido

A.6.1.3 Contacto con las autoridades Sí 3 - Definido

A.6.1.4 Contacto con grupos de interés especial Sí 3 - Definido

A.6.1.5 Seguridad de la información en la gestión de proyectos Sí 3 - Definido




A.6.2.1 Política de dispositivos móviles Sí 1 - Inicial

A.6.2.2 Teletrabajo Sí 1 - Inicial



A.7.1.1 Investigación de antecedentes Sí 5 - Optimizado

A.7.1.2 Términos y condiciones del empleo Sí 5 - Optimizado


A.7.2.1 Responsabilidades de gestión Sí 3 - Definido


Sí 3 - Definido

A.7.2.3 Proceso disciplinario Sí 3 - Definido


A.7.3.1 Responsabilidades ante la finalización o cambio Sí 3 - Definido



A.8.1.1 Inventario de activos Sí 5 - Optimizado

A.8.1.2 Propiedad de los activos Sí 1 - Inicial

A.8.1.3 Uso adecuado de los activos Sí 1 - Inicial

A.8.1.4 Devolución de activos Sí 1 - Inicial


A.8.2.1 Clasificación de la información Sí 1 - Inicial

A.8.2.2 Etiquetado de la información Sí 1 - Inicial

A.8.2.3 Manipulado de la información Sí 1 - Inicial


A.8.3.1 Gestión de soportes extraíbles Sí 1 - Inicial

A.8.3.2 Eliminación de soportes Sí 1 - Inicial

A.8.3.3 Soportes físicos en tránsito Sí 1 - Inicial



A.9.1.1 Política de control de acceso Sí 1 - Inicial

A.9.1.2 Acceso a las redes y a los servicios de red Sí 3 - Definido


A.9.2.1 Registro y baja de usuarios Sí 1 - Inicial

A.9.2.2 Provisión de acceso de usuario Sí 1 - Inicial

A.9.2.3 Gestión de privilegios de acceso Sí 3 - Definido


Sí 1 - Inicial

A.9.2.5 Revisión de los derechos de acceso de usuario Sí 1 - Inicial

A.9.2.6 Retirada o reasignación de los derechos de acceso de usuario Sí 1 - Inicial




A.9.3.1 Uso de la información secreta de autenticación Sí 1 - Inicial


A.9.4.1 Restricción del acceso a la información Sí 1 - Inicial

A.9.4.2 Procedimiento seguro de inicio de sesión Sí 3 - Definido

A.9.4.3 Sistema de gestión de contraseñas Sí 1 - Inicial

A.9.4.4 Uso de utilidades con privilegios del sistema Sí 1 - Inicial

A.9.4.5 Control de acceso al código fuente de los programas No

A.10 Criptografía


A.10.1.1 Política del uso de controles criptográficos Sí 1 - Inicial

A.10.1.2 Gestión de claves Sí 1 - Inicial



A.11.1.1 Perímetro de seguridad física Sí 1 - Inicial

A.11.1.2 Controles físicos de entrada Sí 1 - Inicial

A.11.1.3 Seguridad de oficinas, despachos y recursos Sí 1 - Inicial

A.11.1.4 Protección contra amenazas externas y ambientales Sí 3 - Definido

A.11.1.5 Trabajo en áreas seguras Sí 1 - Inicial

A.11.1.6 Acceso público, entrega y carga Sí 1 - Inicial


A.11.2.1 Instalación y protección de equipos Sí 3 - Definido

A.11.2.2 Instalaciones de suministro Sí 3 - Definido

A.11.2.3 Seguridad en el cableado Sí 3 - Definido

A.11.2.4 Mantenimiento de equipos Sí 3 - Definido

A.11.2.5 Retirada de materiales propiedad de la empresa Sí 1 - Inicial

A.11.2.6 Seguridad de equipos fuera de las instalaciones Sí 1 - Inicial

A.11.2.7 Reutilización o eliminación segura de equipos Sí 1 - Inicial

A.11.2.8 Equipo de usuario desatendido Sí 3 - Definido

A.11.2.9 Política de puesto de trabajo despejado y pantalla limpia Sí 3 - Definido



A.12.1.1 Documentación de los procedimientos de operación Sí 3 - Definido

A.12.1.2 Gestión de cambios Sí 3 - Definido

A.12.1.3 Gestión de capacidades Sí 3 - Definido

A.12.1.4 Separación de los recursos de desarrollo, prueba y operación No


A.12.2.1 Controles contra el código malicioso Sí 3 - Definido




A.12.3.1 Copias de seguridad de la información Sí 3 - Definido


A.12.4.1 Registro de eventos Sí 3 - Definido

A.12.4.2 Protección de la información de registro Sí 3 - Definido

A.12.4.3 Registros de administración y operación Sí 3 - Definido

A.12.4.4 Sincronización del reloj Sí 3 - Definido


A.12.5.1 Instalación del software en explotación Sí 3 - Definido


A.12.6.1 Gestión de las vulnerabilidades técnicas Sí 3 - Definido

A.12.6.2 Restricción en la instalación del software Sí 1 - Inicial


A.12.7.1 Controles de auditoría de sistemas de la información Sí 3 - Definido



A.13.1.1 Controles de red Sí 3 - Definido

A.13.1.2 Seguridad en los servicios de red Sí 1 - Inicial

A.13.1.3 Segregación de redes Sí 3 - Definido


A.13.2.1 Políticas y procedimientos de intercambio de información Sí 3 - Definido

A.13.2.2 Acuerdos de intercambio de información Sí 3 - Definido

A.13.2.3 mensajería electrónica Sí 1 - Inicial

A.13.2.4 Acuerdos de confidencialidad o no revelación Sí 1 - Inicial




Sí 1 - Inicial

A.14.1.2 Asegurar los servicios de aplicaciones en redes públicas Sí 1 - Inicial

A.14.1.3 Protección de las transacciones de servicios de aplicaciones Sí 1 - Inicial


A.14.2.1 Política de desarrollo seguro Sí 1 - Inicial

A.14.2.2 Procedimiento de control de cambios en sistemas Sí 1 - Inicial


Sí 1 - Inicial

A.14.2.4 Restricciones a los cambios en paquetes de software Sí 1 - Inicial

A.14.2.5 Principios de ingeniería de sistemas seguros Sí 1 - Inicial

A.14.2.6 Entorno de desarrollo seguro Sí 1 - Inicial

A.14.2.7 Externalización del desarrollo de software Sí 1 - Inicial

A.14.2.8 Pruebas funcionales de seguridad de sistemas Sí 1 - Inicial



A.14.2.9 Pruebas de aceptación de sistemas Sí 1 - Inicial


A.14.3.1 Protección de los datos de prueba Sí 1 - Inicial




Sí 1 - Inicial

A.15.1.2 Requisitos de seguridad en contratos con terceros Sí 1 - Inicial


Sí 1 - Inicial


A.15.2.1 Control y revisión de la provisión de servicios del proveedor Sí 1 - Inicial

A.15.2.2 Gestión de cambios en la provisión del servicio del proveedor Sí 1 - Inicial



A.16.1.1 Responsabilidades y procedimientos Sí 4 - Administrado

A.16.1.2 Notificación de los eventos de seguridad de la información Sí 4 - Administrado

A.16.1.3 Notificación de puntos débiles de la seguridad Sí 4 - Administrado


Sí 4 - Administrado

A.16.1.5 Respuesta a incidentes de seguridad de la información Sí 4 - Administrado

A.16.1.6 Aprendizaje de los incidentes de seguridad de la información Sí 4 - Administrado

A.16.1.7 Recopilación de evidencias Sí 4 - Administrado




Sí 1 - Inicial

A.17.1.2 Implementar la continuidad de la seguridad de la información Sí 1 - Inicial


Sí 1 - Inicial

A.17.2 Redundancias

A.17.2.1 Disponibilidad de los recursos de tratamiento de la información Sí 3 - Definido

A.18 Cumplimiento



Sí 3 - Definido

A.18.1.2 Derechos de propiedad intelectual (DPI) Sí 1 - Inicial

A.18.1.3 Protección de los registros de la organización Sí 1 - Inicial

A.18.1.4 Protección y privacidad de la información de carácter personal Sí 3 - Definido

A.18.1.5 Regulación de los controles criptográficos Sí 1 - Inicial


A.18.2.1 Revisión independiente de la seguridad de la información Sí 4 - Administrado



A.18.2.2 Cumplimiento de las políticas y normas de seguridad Sí 4 - Administrado

A.18.2.3 Comprobación del cumplimiento técnico Sí 4 - Administrado

De forma resumida se presenta en la siguiente tabla la situación frente a cada uno de los dominios de la norma:

Tabla 48: Situación actual por dominios de la norma


A.5 Políticas de seguridad de la información 80,00% 85,00% 100,00%

A.6 Organización de la seguridad de la información 48,57% 85,00% 100,00%

A.7 Seguridad relativa a los recursos humanos 73,33% 85,00% 100,00%

A.8 Gestión de activos 28,00% 85,00% 100,00%

A.9 Control del acceso 29,23% 85,00% 100,00%

A.10 Criptografía 20,00% 85,00% 100,00%

A.11 Seguridad física y del entorno 38,67% 85,00% 100,00%

A.12 Seguridad de las operaciones 56,92% 85,00% 100,00%

A.13 Seguridad en las comunicaciones 42,86% 85,00% 100,00%

A.14 Adquisición desarrollo y mantenimiento de los sistemas de información 20,00% 85,00% 100,00%

A.15 Relación con proveedores 20,00% 85,00% 100,00%

A.16 Gestión de incidentes de seguridad de la información 80,00% 85,00% 100,00%

A.17 Aspectos de seguridad de la información para la gestión de la continuidad del negocio 30,00% 85,00% 100,00%

A.18 Cumplimiento 52,50% 85,00% 100,00% Sólo por el hecho de que el SGSI haya “arrancado” se han producido importantes mejoras en la situación de la seguridad de la información de la organización. Se ha definido la política de seguridad de la información, se han documentado normas y procedimientos y se han establecido procedimientos de medición que permitirán detectar desviaciones frente a la evolución prevista. El mero hecho de la existencia del presente documento, elaborado con el conocimiento y la implicación de la dirección política, supone que ya ninguna problemática escapa al conocimiento de la dirección y, en consecuencia, desde la misma se han instado las medidas precisas para resolver dichas problemáticas. Ello explica que ya ningún control de la norma figure en un nivel de madurez calificado como “0 – Inexistente”. Así, analizando uno por uno los dominios se constata que dos de los que más han mejorado su situación respecto a la situación inicial son “A.5 Políticas de la seguridad de la información” y “A.16 Gestión de incidentes de la información”. Ello deriva directamente de la existencia de este proyecto que, en relación al primer dominio, define las políticas de seguridad y establece procedimientos documentados para su revisión. En cuanto a la gestión de incidentes, también se han documentado aquí procedimientos de gestión y respuesta, incluyéndose incluso su control en el cuadro de mando diseñado. El dominio “A.6 Organización de la seguridad de la información” también experimenta una importante mejora, pero deberá atenderse, en este dominio, el aspecto de los dispositivos móviles y el teletrabajo que aún se sitúa en una fase embrionaria. También alcanza una importante mejora el apartado “A.7 Seguridad relativa a los recursos humanos”. Debe tenerse en cuenta aquí que la organización ya disponía de un eficiente y consolidado sistema de gestión



de los recursos humanos. Se han establecido ahora procedimientos que inciden en el entrenamiento y la formación y se cuidan aspectos relativos a los procedimientos a seguir en caso de cese o cambio de puesto. En el dominio “A.8 Gestión de activos” se produce tan solo una leve mejora: ya se disponía de un inventario de activos pero dicha gestión se halla en manos de una empresa externa y debe realizarse correctamente toda la asignación de los mismos así como profundizar en los procesos de clasificación y manipulación. En el dominio “A.9 Control de acceso” la mejora apenas es remarcable. Los controles se encuentran tan solo en la fase inicial, salvo en el caso de los controles de acceso a las redes, la gestión de los privilegios y el procedimiento seguro de inicio de sesión, de los que ya se partía de una situación “3 – Definido”. Algo similar sucede con el dominio “A.10 Criptografía”, apartado en el que apenas se ha tomado conciencia del problema sin que se hayan llegado a documentar ni implementar los controles. En el domino “A.11 Seguridad física y del entorno” se ha experimentado una ligera mejoría, ello es consecuencia de que deberán completarse los proyectos que en este punto se encuentran en ejecución y dependen en gran parte de las soluciones aportadas por empresas suministradoras externas. La leve mejoría se fundamenta en que se han documentado ya los procedimientos de “Equipo de usuario desatendido” y “Política de puesto de trabajo despejado y pantalla limpia” y se ha adquirido conciencia de la problemática asociada al resto de los controles. En cuanto al dominio “A.12 Seguridad de las operaciones”, éste también denota una mejora significativa. Se han desarrollado ya procedimientos y responsabilidades operacionales y se ha mejorado en las tareas de registro y supervisión. También se han documentado procedimientos de control del software en explotación y gestión de las vulnerabilidades técnicas; no obstante debería profundizarse en las restricciones en la instalación del software. También se han documentado procedimientos relativos a la auditoría de sistemas de información. En el dominio “A.13 Seguridad de las comunicaciones” apenas se han producido cambios, la poca mejoría deriva directamente de que la organización ha identificado como problema a resolver la seguridad en lo relativo a la mensajería electrónica y en la gestión de los acuerdos de confidencialidad o no revelación. En la misma línea se pueden calificar los controles vinculados a los dominios “A.14 Adquisición, desarrollo y mantenimiento de los sistemas de información”, “A.15 Relación con proveedores” y “A.17 Aspectos de seguridad de la información para la gestión de la continuidad del negocio”, la mejoría vuelve a fundamentarse tan solo en que la organización sabe que tiene un problema y debe resolverlo. En el último lugar de la lista figura el dominio “A.18 Revisiones de la seguridad de la información”. Aquí vuelve a significarse una importante mejora derivada directamente de la gestión de los controles situados en el ámbito de las revisiones de la seguridad de la información. Se han documentado procedimientos de revisión independiente así como del cumplimiento de las políticas y normas de seguridad y para la verificación del cumplimiento técnico. También se han establecido procedimientos de medida que permitirán detectar eventuales desviaciones. La representación gráfica de este resumen por dominios se recoge en la siguiente ilustración:



Ilustración 48: Auditoría de cumplimiento por dominios

También es interesante conocer cuántos controles se encuentran en qué grado de madurez, en la siguiente tabla se recogen el número de controles que se hallan encuadrados en cada una de las distintas categorías:

Tabla 49: Número de controles por categoría

Resumen controles por niveles de madurez Número %

0 - Inexistente 0 0,00%

1 - Inicial 59 51,75%

2 - Repetible 0 0,00%

3 - Definido 38 33,33%

4 - Administrado 12 10,53%

5 - Optimizado 3 2,63%

N.A. 2 1,75%

Total 114 100,00% Lo que tiene la siguiente representación gráfica:

0,00%10,00%20,00%30,00%40,00%50,00%60,00%70,00%80,00%90,00%

100,00%

A.5 Políticas de seguridad dela información

A.6 Organización de laseguridad de la información

A.7 Seguridad relativa a losrecursos humanos



A.10 Criptografía

A.11 Seguridad física y delentorno

A.12 Seguridad de lasoperaciones

A.13 Seguridad en lascomunicaciones

A.14 Adquisición desarrollo ymantenimiento de los…

A.15 Relación conproveedores

A.16 Gestión de incidentes deseguridad de la información

A.17 Aspectos de seguridadde la información para la…

A.18 Cumplimiento

Auditoría de cumplimiento por dominios




Ilustración 49: Número de controles por categoría



6 PRESENTACIÓN DE RESULTADOS

6.1 INTRODUCCIÓN

Llegados a este punto se han realizado los diferentes pasos necesarios para la puesta en funcionamiento del Plan Implementación del SGSI. El objetivo de este apartado es recopilar la información más relevante y presentar los resultados obtenidos. Todo ello se sustanciará en los siguientes documentos:

Resumen ejecutivo del documento.

Presentación a la compañía resaltando las claves del SGSI y concienciando sobre su importancia.

Presentación del estado de cumplimiento de los controles de seguridad y el objetivo a corto y medio plazo basado en el desarrollo de los proyectos propuestos.

Presentación a la dirección de los resultados del estudio, acompañados de un plan de acción, de una reseña sobre los aspectos organizativos más relevantes y de un resumen del impacto de la ejecución de los proyectos en el estado de la seguridad.

6.2 RESUMEN EJECUTIVO

Se adjunta como anexo: ANEXO-06 Resumen ejecutivo

6.3 PRESENTACIÓN A LA COMPAÑÍA

Se adjunta como anexo: ANEXO-07 Presentación a la compañía

6.4 PROYECTOS PROPUESTOS

Se adjunta como anexo: ANEXO-08 Proyectos Propuestos

6.5 PRESENTACIÓN A LA DIRECCIÓN

Se adjunta como anexo: ANEXO-09 Presentación a la dirección



7 BIBLIOGRAFÍA

AENOR [Asociación Española de Normalización y Certificación] UNE-ISO/IEC 27001 [en línea] Madrid: Asociación Española de Normalización y Certificación, Noviembre de 2014 [Consulta: 29 de septiembre de 2015] Disponible en web: http://www.aenor.es/aenor/inicio/home/home.asp AENOR [Asociación Española de Normalización y Certificación] UNE-ISO/IEC 27002 [en línea] Madrid: Asociación Española de Normalización y Certificación, Noviembre de 2014 [Consulta: 29 de septiembre de 2015] Disponible en web: http://www.aenor.es/aenor/inicio/home/home.asp Cruz Allende, Daniel Análisis de riesgos [en línea] Barcelona: Universitat Oberta de Catalunya, 2011 [Consulta: 14 de septiembre de 2015] Disponible en web: http://www.uoc.edu/portal/es/ EEUU: U.S. Department of Commerce. National Institute of Standards and Technology. Performance Measurement Guide for Information Security [en línea] USA: National Institute of Standards and Technology, Julio de 2008. [Consulta 8 de octubre de 2015] Disponible en web: http://csrc.nist.gov/publications/nistpubs/800-55-Rev1/SP800-55-rev1.pdf España. Ministerio de Hacienda y Administraciones Públicas. Secretaría de Estado de Administraciones Públicas. Dirección General de Modernización Administrativa, Procedimientos e Impulso de la Administración Electrónica. MAGERIT – versión 3.0. Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Libro I – Método [en línea] Madrid: MHAP, Centro de Publicaciones, Octubre de 2012. [Consulta: 19 de octubre de 2015] Disponible en web: http://administracionelectronica.gob.es España. Ministerio de Hacienda y Administraciones Públicas. Secretaría de Estado de Administraciones Públicas. Dirección General de Modernización Administrativa, Procedimientos e Impulso de la Administración Electrónica. MAGERIT – versión 3.0. Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Libro II – Catálogo de elementos [en línea] Madrid: MHAP, Centro de Publicaciones, Octubre de 2012. [Consulta: 19 de octubre de 2015] Disponible en web: http://administracionelectronica.gob.es España. Ministerio de Hacienda y Administraciones Públicas. Secretaría de Estado de Administraciones Públicas. Dirección General de Modernización Administrativa, Procedimientos e Impulso de la Administración Electrónica. MAGERIT – versión 3.0. Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Libro III – Guía de Técnicas [en línea] Madrid: MHAP, Centro de Publicaciones, Octubre de 2012. [Consulta: 19 de octubre de 2015] Disponible en web: http://administracionelectronica.gob.es España. Ministerio de Industria, Comercio y Turismo. INTECO [Instituto Nacional de Tecnologías de la Comunicación] Implantación de un SGSI en la empresa [en línea] España ca. 2010 [Consulta: 14 de septiembre de 2015] Disponible en web: https://www.incibe.es/extfrontinteco/img/File/intecocert/sgsi/img/Guia_apoyo_SGSI.pdf España. Ministerio de la Presidencia. CCN [Centro Criptológico Nacional] Esquema Nacional del Seguridad. Métricas e Indicadores [en línea] Madrid: CCN, Julio de 2013 [Consulta: 22 de septiembre de 2015] Disponible en web: https://www.ccn-cert.cni.es/publico/seriesCCN-STIC/series/800-Esquema_Nacional_de_Seguridad/815-Metricas_e_Indicadores_en_el_ENS/815_metricas_e_indicadores_ENS.pdf España. Ministerio de la Presidencia. CCN [Centro Criptológico Nacional] Guía/Norma de seguridad de las TIC (CCN-STIC-470G/1) Manual de Usuario PILAR. Análisis y Gestión de Riesgos. Versión 5.4 [en línea] Madrid: CCN, Agosto de 2014 [Consulta: 21 de octubre de 2015] Disponible en web: https://www.ccn-cert.cni.es/pdf/guias/series-ccn-stic/guias-de-acceso-publico-ccn-stic/15-ccn-stic-470g1-manual-de-la-herramienta-de-analisis-de-riesgos-pilar-4-5/file.html

http://www.aenor.es/aenor/inicio/home/home.asp

http://www.aenor.es/aenor/inicio/home/home.asp

http://www.uoc.edu/portal/es/

http://csrc.nist.gov/publications/nistpubs/800-55-Rev1/SP800-55-rev1.pdf

http://administracionelectronica.gob.es/



https://www.incibe.es/extfrontinteco/img/File/intecocert/sgsi/img/Guia_apoyo_SGSI.pdf

https://www.ccn-cert.cni.es/publico/seriesCCN-STIC/series/800-Esquema_Nacional_de_Seguridad/815-Metricas_e_Indicadores_en_el_ENS/815_metricas_e_indicadores_ENS.pdf



https://www.ccn-cert.cni.es/pdf/guias/series-ccn-stic/guias-de-acceso-publico-ccn-stic/15-ccn-stic-470g1-manual-de-la-herramienta-de-analisis-de-riesgos-pilar-4-5/file.html





Garre Gui, Silvia Desarrollo de algunos objetivos de control del SGSI [en línea] Barcelona: Universitat Oberta de Catalunya, 2011 [Consulta: 13 de octubre de 2015] Disponible en web: http://www.uoc.edu/portal/es/ Garre Gui, Silvia Implantación de un Sistema de Gestión de Seguridad de la Información (SGSI) [en línea] Barcelona: Universitat Oberta de Catalunya, 2011 [Consulta: 14 de octubre de 2015] Disponible en web: http://www.uoc.edu/portal/es/ IRAM [Instituto Argentino de Normalización y Certificación] Esquema 1 de Norma IRAM-ISO/IEC 27004 [en línea] Argentina: IRAM, septiembre de 2010 [Consulta: 13 de octubre de 2015] Disponible en web: http://www.frlp.utn.edu.ar/materias/habprof/teoria/27004%20IRAM-ISO-IEC.pdf NETWORK SECURITY ADVISORS Modelo de madurez [en línea] España ca. 2015 [Consulta 24 de septiembre de 2015] Disponible en web: http://www.network-sec.com/gobierno-TI/auditoria-CMM



http://www.frlp.utn.edu.ar/materias/habprof/teoria/27004%20IRAM-ISO-IEC.pdf

http://www.network-sec.com/gobierno-TI/auditoria-CMM

trabajo de final de mÁster - uocopenaccess.uoc.edu/webapps/o2/bitstream/10609/45704/7/... ·...

Documents