Elaboración de un plan de implementación de la ISO/IEC 27001:2013 en un ayuntamiento

Texto completo

(1)AUTOR: JUAN ENRIQUE TUR HARTMANN Director de proyecto: Antonio José Segovia Henares. Máster Interuniversitario en Seguridad de las TIC (MISTIC) - Enero de 2016. TRABAJO DE FINAL DE MÁSTER Elaboración de un plan de implementación de la ISO/IEC 27001:2013 en un Ayuntamiento.

(2) Elaboración de un Plan de Implementación de la ISO/IEC 27001:2013 en un Ayuntamiento. Tabla de Contenido 0. INTRODUCCIÓN. 1. SITUACIÓN ACTUAL: CONTEXTUALIZACIÓN, OBJETIVOS Y ANÁLISIS DIFERENCIAL5. 1.1 1.2 1.3 1.4 1.5 1.6 1.7 2 2.1 2.2 2.3 2.4 2.5 2.6 2.7 2.8 3 3.1 3.2 3.3 3.4 3.5 3.6 3.7 3.8 4 4.1 4.2 4.3 4.4 4.5 5 5.1 5.2. Contextualización Normativa a aplicar Alcance del SGSI Organigrama funcional Diagrama de red Objetivos del plan director Análisis diferencial SISTEMA DE GESTIÓN DOCUMENTAL Introducción Política de seguridad Procedimiento de auditorías internas Gestión de indicadores Procedimiento de revisión por parte de la dirección Gestión de roles y responsabilidades Metodología de análisis de riesgos Declaración de aplicabilidad FASE 3: ANÁLISIS DE RIESGOS Introducción Inventario de activos Valoración de los activos Dimensiones de seguridad Tabla resumen de valoración Análisis de amenazas Impacto potencial Nivel de Riesgo Aceptable y riesgo Residual FASE 4: PROPUESTAS DE PROYECTOS Introducción Asignación de responsables de los proyectos y estimación de costes Propuestas Consideraciones sobre la planificación de los proyectos Las salvaguardas desde el punto de vista de la norma 27002:2013 FASE 5: AUDITORÍA DE CUMPLIMIENTO Introducción Metodología. Juan Enrique Tur Hartmann. 5. 5 6 8 9 10 11 12 24 24 24 24 24 24 25 26 28 39 39 40 43 48 48 54 59 63 68 68 70 71 87 89 92 92 92. Página 1 de 106.

(3) Elaboración de un Plan de Implementación de la ISO/IEC 27001:2013 en un Ayuntamiento. 5.3 5.4 6 6.1 6.2 6.3 6.4 6.5 7. Auditoría – detalle de hallazgos y evidencias Evaluación de la madurez PRESENTACIÓN DE RESULTADOS Introducción Resumen ejecutivo Presentación a la compañía Proyectos propuestos Presentación a la dirección BIBLIOGRAFÍA. Juan Enrique Tur Hartmann. 92 94 104 104 104 104 104 104 105. Página 2 de 106.

(4) Elaboración de un Plan de Implementación de la ISO/IEC 27001:2013 en un Ayuntamiento. Tabla de Ilustraciones Ilustración 1: Diagrama de bloques del área de Economía y Hacienda ....................................................... 6 Ilustración 2: Historia de ISO 27001 .............................................................................................................. 7 Ilustración 3: Sistemas de información asignados a cada departamento ..................................................... 9 Ilustración 4: Organigrama .......................................................................................................................... 10 Ilustración 5: Diagrama de red..................................................................................................................... 11 Ilustración 6: Resumen del análisis diferencial por cláusulas de la norma ISO/IEC 27001:2013 ............... 17 Ilustración 7: Resumen por dominios del análisis diferencial de la norma ISO/IEC 27002:2013 .............. 23 Ilustración 8: Fases MAGERIT .................................................................................................................... 26 Ilustración 9: Inventario de Activos .............................................................................................................. 40 Ilustración 10: Caracterización del activo Información de Gestión Tributaria y Recaudación .................... 41 Ilustración 11: caracterización del activo Servicio de Gestión Tributaria y Recaudación ........................... 42 Ilustración 12: caracterización del activo Aplicación de Gestión Tributaria ................................................ 42 Ilustración 13: Dependencias entre activos ................................................................................................. 43 Ilustración 14: Gráfico de dependencia de activos ...................................................................................... 44 Ilustración 15: Dependencias de los activos INFORMACIÓN ..................................................................... 44 Ilustración 16: Dependencias de los activos SERVICIOS ........................................................................... 45 Ilustración 17: Dependencias de los activos INSTALACIONES y PERSONAL .......................................... 45 Ilustración 18: dependencias de los activos EQUIPAMIENTO ................................................................... 46 Ilustración 19: Dependencias completas del activo SRV-001, servidor de datos y aplicaciones. .............. 47 Ilustración 20: criterios de valoración MAGERIT ......................................................................................... 48 Ilustración 21: Valoración propia de los activos (cualitativa) ....................................................................... 52 Ilustración 22: Valoración acumulada de los activos (cualitativa) ............................................................... 53 Ilustración 23: Valoración acumulada de los activos (cuantitativa) ............................................................. 54 Ilustración 24: Grupos de amenazas PILAR ............................................................................................... 56 Ilustración 25: Perfiles de seguridad de PILAR ........................................................................................... 63 Ilustración 26: nivel actual y objetivo de implantación de salvaguardas ..................................................... 63 Ilustración 27: riesgo acumulado, fase actual. ............................................................................................ 64 Ilustración 28: riesgo acumulado, fase objetivo........................................................................................... 64 Ilustración 29: riesgo repercutido, fase actual. ............................................................................................ 65 Ilustración 30: riesgo repercutido, fase objetivo. ......................................................................................... 65 Ilustración 31: leyenda de colores gráficos de riesgo PILAR ...................................................................... 66 Ilustración 32: Zonas de riesgo MAGERIT .................................................................................................. 66 Ilustración 33: Tipos de salvaguardas ......................................................................................................... 68 Ilustración 34: Número de salvaguardas por tipo ........................................................................................ 69 Ilustración 35: Peso relativo de las salvaguardas de PILAR ....................................................................... 70 Ilustración 36: Salvaguardas vinculadas a la protección de los elementos auxiliares ................................ 71 Ilustración 37: Detalle de la salvaguarda [Aux.wires.b] ............................................................................... 72 Ilustración 38: Agrupación de salvaguardas por activos ............................................................................. 72 Ilustración 39: Salvaguardas para el activo LOC-001 ................................................................................. 73 Ilustración 40: Salvaguardas de protección de los Elementos Auxiliares del activo LOC-001 ................... 74 Ilustración 41: Clases de activos y amenazas tratadas mediante la salvaguarda [AUX.wires.b] ............... 75 Ilustración 42: PROYECTO 13 - tareas ....................................................................................................... 88 Ilustración 43: PROYECTO 13 - escala de tiempo ..................................................................................... 88 Ilustración 44: Posición de seguridad del sistema respecto a la norma ISO 27002:2013 .......................... 89 Ilustración 45: Proyecto 01 - Salvaguardas a implantar para dar cumplimiento al dominio [15] de la norma ISO 27002:2013 ........................................................................................................................................... 90 Ilustración 46: Detalle de parte de las salvaguardas propuestas para dar cumplimiento al control [15.1.1] Política de seguridad de la información en las relaciones con proveedores .............................................. 90 Ilustración 47: objetivos previstos con la implantación de los proyectos .................................................... 91 Ilustración 48: Auditoría de cumplimiento por dominios ............................................................................ 102 Ilustración 49: Número de controles por categoría ................................................................................... 103. Juan Enrique Tur Hartmann. Página 3 de 106.

(5) Elaboración de un Plan de Implementación de la ISO/IEC 27001:2013 en un Ayuntamiento. Índice de tablas Tabla 1: Niveles del modelo de madurez .................................................................................................... 12 Tabla 2: Análisis diferencial respecto a la norma ISO/IEC 27001:2013 ..................................................... 12 Tabla 3: Resumen del análisis diferencial por cláusulas respecto a la norma ISO/IEC 27001:2013 ......... 17 Tabla 4: Análisis diferencial respecto a la norma ISO/IEC 27002:2013 ..................................................... 18 Tabla 5: Resumen por dominios del análisis diferencial de la norma ISO/IEC 27002:2013 ....................... 22 Tabla 6: Clasificación de vulnerabilidades .................................................................................................. 27 Tabla 7: Valoración de impactos ................................................................................................................. 27 Tabla 8: Clasificación de niveles de efectividad .......................................................................................... 27 Tabla 9: Declaración de aplicabilidad .......................................................................................................... 29 Tabla 10: Valoración cualitativa de los activos esenciales .......................................................................... 49 Tabla 11: Criterios de valoración ................................................................................................................. 49 Tabla 12: Escala PILAR de degradación de activos ................................................................................... 55 Tabla 13: escala PILAR de probabilidad de ocurrencia de amenazas ....................................................... 55 Tabla 14: Escala MAGERIT de probabilidad de ocurrencia ........................................................................ 55 Tabla 15: Amenazas para la aplicación de Gestión Tributaria .................................................................... 56 Tabla 16: Amenazas para los PC´s del departamento de gestión tributaria ............................................... 56 Tabla 17: amenazas para la red local ......................................................................................................... 58 Tabla 18: amenazas para el local de la planta baja .................................................................................... 59 Tabla 19: amenazas para los usuarios de Gestión Tributaria ..................................................................... 59 Tabla 20: impacto potencial sobre los activos esenciales (cuantitativo) ..................................................... 60 Tabla 21: Impacto potencial sobre el equipamiento (cuantitativo) .............................................................. 60 Tabla 22: Impacto potencial sobre las instalaciones (cuantitativo) ............................................................. 61 Tabla 23: Impacto potencial sobre el Personal (cuantitativo) ...................................................................... 61 Tabla 24: impacto potencial sobre los activos esenciales (cualitativo) ....................................................... 61 Tabla 25: impacto potencial sobre el equipamiento (cualitativo) ................................................................. 61 Tabla 26: impacto potencial sobre las instalaciones (cualitativo) ................................................................ 62 Tabla 27: impacto potencial sobre el personal (cualitativo) ........................................................................ 62 Tabla 28: Informe de detalle de salvaguardas ............................................................................................ 75 Tabla 29: Codificación de activos ................................................................................................................ 76 Tabla 30: PROYECTO 1 - Protección de las instalaciones ......................................................................... 77 Tabla 31: PROYECTO 2 - Protecciones generales .................................................................................... 78 Tabla 32: PROYECTO 3 - Protección de la información ............................................................................. 79 Tabla 33: PROYECTO 4 - Protección de los servicios ............................................................................... 79 Tabla 34: PROYECTO 5 - Protección de las aplicaciones informáticas ..................................................... 80 Tabla 35: PROYECTO 6 - Protección de los equipos informáticos ............................................................ 81 Tabla 36: PROYECTO 7 - Protección de las comunicaciones .................................................................... 81 Tabla 37: PROYECTO 8 - Protección de los soportes de información ....................................................... 82 Tabla 38: PROYECTO 9 - Protección de las instalaciones ......................................................................... 83 Tabla 39: PROYECTO 10 - Gestión de personal ........................................................................................ 83 Tabla 40: PROYECTO 11 - Gestión de incidentes ..................................................................................... 84 Tabla 41: PROYECTO 12- Continuidad del negocio .................................................................................. 85 Tabla 42: PROYECTO 13 - Organización ................................................................................................... 85 Tabla 43: PROYECTO 14 - Relaciones externas........................................................................................ 86 Tabla 44: PROYECTO 15 - Adquisición / Desarrollo .................................................................................. 87 Tabla 45: Informe de auditoría..................................................................................................................... 93 Tabla 46: Niveles de madurez ..................................................................................................................... 95 Tabla 47: Situación de la organización con respecto a los controles de la norma ISO/IEC 27002:2013 ... 95 Tabla 48: Situación actual por dominios de la norma ............................................................................... 100 Tabla 49: Número de controles por categoría ........................................................................................... 102. Juan Enrique Tur Hartmann. Página 4 de 106.

(6) Elaboración de un Plan de Implementación de la ISO/IEC 27001:2013 en un Ayuntamiento. 0 INTRODUCCIÓN El objeto del presente documento es desarrollar el Plan de Implementación de la ISO/IEC 27001:2013 en un Ayuntamiento. Se trata de un aspecto clave en cualquier organización que desea alinear sus objetivos y principios de seguridad a la normativa Internacional de Referencia El principal objetivo es sentar las bases del proceso de mejora continua en materia de seguridad de la Información, permitiendo a las organizaciones conocer el estado de la misma y plantear las acciones necesarias para minimizar el impacto de los riesgos potenciales. El proyecto plantea el establecimiento de las bases para la implementación de un SGSI (Sistema de Gestión de la Seguridad de la Información) . Para ello se abordarán las siguientes fases:   .   . Documentación normativa sobre las mejores prácticas en seguridad de la información. Definición clara de la situación actual y de los objetivos del SGSI. Análisis de Riesgos. o Identificación y valoración de los activos corporativos como punto de partida a un análisis de riesgos. o Identificación de amenazas, evaluación y clasificación de las mismas Evaluación del nivel de cumplimiento de la ISO/IEC 27002:2013 en la organización. Propuestas de proyectos de cara a conseguir una adecuada gestión de la seguridad. Esquema Documental.. El trabajo concluirá con la obtención de los productos que se especifican a continuación:  Informe Análisis Diferencial  Esquema Documental ISO/IEC 27001  Análisis de Riesgos  Plan de Proyectos  Auditoría de Cumplimiento  Presentación de resultados. 1 SITUACIÓN ACTUAL: CONTEXTUALIZACIÓN, OBJETIVOS Y ANÁLISIS DIFERENCIAL 1.1 CONTEXTUALIZACIÓN Se ha seleccionado como objeto de este trabajo la realización de un SGSI para los sistemas de información que dan soporte al área de Economía y Hacienda de un Ayuntamiento. Se trata de un Ayuntamiento cuya población está por encima de los 36.000 habitantes y cuenta con un presupuesto que supera los 35.000.000,00 € para el presente ejercicio 2015. Una de las áreas de especial relevancia en una institución de este tipo es la de la gestión económica. Dicha gestión distingue dos vertientes claramente diferenciadas:  La ejecución del presupuesto de gastos aprobado para el Ayuntamiento, lo que implica el control, fiscalización y pago de los diversos bienes y servicios contratados por el Ayuntamiento.. Juan Enrique Tur Hartmann. Página 5 de 106.

(7) Elaboración de un Plan de Implementación de la ISO/IEC 27001:2013 en un Ayuntamiento. . La ejecución del presupuesto de ingresos, lo que conlleva la correcta gestión de los distintos padrones fiscales de los que es responsable el Ayuntamiento y de aquellos que gestiona a partir de datos facilitados por otros organismos como la Dirección General de Tráfico, Centro de Gestión Catastral y Cooperación Tributaria, etc. Aparte de las herramientas precisas para llevar a cabo esta gestión en su totalidad, se incorporan a los distintos sistemas de información que así lo requieren los procesos necesarios para permitir el intercambio de datos con organismos externos de fiscalización o meramente suministradores de información. En el Ayuntamiento seleccionado, esta área se estructura en los siguientes departamentos:. Economía y Hacienda Intervención. Presupuestos y Contabilidad. Tesorería y Recaudación. Gestión Tributaria y Catastral. Ilustración 1: Diagrama de bloques del área de Economía y Hacienda. 1.2 NORMATIVA A APLICAR Para la elaboración del SGSI se atenderá a la norma ISO/IEC 27001 (es la norma certificable) y a lo indicado en el código de buenas prácticas recogido en la norma ISO/IEC 27002. Estas dos normas son las que actualmente gozan de una mayor difusión y prestigio a nivel internacional. Las dos normas se fundamentan en el Ciclo de Deming, también conocido como ciclo PDCA (Plan – Do – Check – Act), que es un proceso iterativo de calidad en cuatro fases:  Plan: establecer los objetivos y procesos necesarios para conseguir los resultados esperados.  Do: implantar los nuevos procesos.  Check: medir los nuevos procesos y comparar los resultados obtenidos con los esperados.  Act: analizar las diferencias entre los resultados obtenidos y los esperados para conocer las causas, y plantear mejoras. Historia de la norma: La primera publicación de la norma data de 1995, fecha de la primera publicación oficial de la BS7799:1 – Código de buenas prácticas en seguridad de la información. Le siguió en 1998 la publicación oficial de la BS7799:2 – Especificaciones de los sistemas de gestión de seguridad de la información. En 1999 tuvo lugar la publicación oficial de la BS7799 Partes 1 y 2. En el año 2000 se publicó la primera versión de la norma. Juan Enrique Tur Hartmann. Página 6 de 106.

(8) Elaboración de un Plan de Implementación de la ISO/IEC 27001:2013 en un Ayuntamiento. ISO/IEC 17799:2000 – Código de buenas prácticas en seguridad de la información. En el año 2002 se publicaron por una parte la nueva versión de la BS7799:2 y, por parte de AENOR, la norma UNE-ISO/IEC 17799 – Código de buenas prácticas en seguridad de la información. Más adelante, en el año 2004, AENOR publicó oficialmente la UNE 71502 – Especificaciones de los sistemas de gestión de seguridad de la información. En el año 2005 se publicaron la ISO/EIC 17799 Código de buenas prácticas en seguridad de la información y la ISO 27001 – Especificaciones de los sistemas de gestión de seguridad de la información. En el año 2007 la norma ISO 17799:2005 pasa a denominarse ISO 27002:2005 y AENOR publica en España la norma ISO 27001 como UNE-ISO/IEC 27001:2007. En el año 2008 se publica la ISO/IEC 27005 y al año siguiente, 2009, se publicaron las normas ISO/EIC 27000:2009 y la ISO/IEC 27004:2009. En el año 2010 se publicó la ISO/IEC 27003. Por último, considerar la reciente publicación de la revisión de las normas ISO/IEC 27001:2013, ISO/IEC 27002:2013 ambas aprobadas en la misma fecha: 25 de Septiembre de 2013. En España se hallan vigentes a la fecha de la elaboración de este documento las normas UNE-ISO/IEC 27001 de noviembre de 2014 (idéntica a la norma ISO/IEC 27001:2013) y UNEISO/IEC 27002 de julio de 2015 (idéntica a las normas ISO/IEC 27002:2013 e ISO/IEC 27002:2013/Cor 1:2014). Ambas elaboradas por el AEN/CTN 71 Tecnologías e la información Parte de estos eventos se resumen en la siguiente ilustración:. Ilustración 2: Historia de ISO 27001. Por otra parte, el Ayuntamiento en general, y el área objeto del SGSI en particular, está sujeto a un marco jurídico que se sustancia en la siguiente normativa: . Ley Orgánica 15/99 de Protección de Datos de Carácter Personal conocida por las siglas LOPDP. Esta Ley tiene por objeto proteger todos los datos de carácter personal, para que no sean utilizados de forma inadecuada, ni tratados o cedidos a terceros sin consentimiento del titular. Para ello, se establecen obligaciones para toda persona física o jurídica que posea ficheros con datos personales.. . Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico cuyas siglas son LSSI. La finalidad de esta Ley es regular el funcionamiento de prestadores de servicios de la Sociedad de la Información, empresas que realizan comercio electrónico, y aquellas que hacen publicidad por vía electrónica, como correo electrónico o SMS.. . Ley 32/2003, General de telecomunicaciones. El objeto de la Ley es la regulación de las telecomunicaciones, que comprenden la explotación de las redes y la prestación de los servicios de comunicaciones electrónicas. Entre otros objetivos, esta Ley fomenta la competencia efectiva de los mercados de las telecomunicaciones, promueve el desarrollo del sector y defiende los intereses de los ciudadanos.. Juan Enrique Tur Hartmann. Página 7 de 106.

(9) Elaboración de un Plan de Implementación de la ISO/IEC 27001:2013 en un Ayuntamiento. . Ley 59/2003 de Firma Electrónica. Esta Ley regula la firma electrónica, su eficacia jurídica y la prestación de servicios de certificación. La firma electrónica es un conjunto de datos asociados que sirve para identificar a una persona en transacciones electrónicas y permite conocer si el contenido del mensaje ha sido manipulado de alguna manera.. . Ley 17/2001 de Propiedad Industrial Para la protección de los signos distintivos de las organizaciones se concederán los derechos de propiedad industrial de marcas y nombres comerciales. De acuerdo con esta Ley, el uso de un nombre comercial en redes telemáticas, en nombres de dominios, y en metadatos y palabras clave de páginas web, sin autorización previa por parte de su titular, habilita a éste a prohibirle su utilización.. . Ley 11/2007 de Acceso Electrónico de los Ciudadanos a los Servicios Públicos Esta ley reconoce el derecho de los ciudadanos a relacionarse con las Administraciones Públicas por medios electrónicos. Además, regula los aspectos básicos de la utilización de las tecnologías de la información en la actividad administrativa, en las relaciones entre las Administraciones Públicas, así como en las relaciones de los ciudadanos con las mismas.. . Real Decreto Legislativo 1/1996 Ley de Propiedad Intelectual. Según esta Ley, la propiedad intelectual de una obra literaria, artística o científica corresponde al autor por el solo hecho de su creación. El autor tiene el derecho exclusivo a la explotación de la obra. La Ley protege las creaciones originales expresadas en cualquier medio, incluidos programas de ordenador o bases de datos.. . Real Decreto Legislativo 3/2010 de enero por el que se establece el Esquema Nacional de Seguridad.. 1.3 ALCANCE DEL SGSI Los sistemas de información que constituyen el alcance de este SGSI y que dan soporte a dichos departamentos son los siguientes:    . SICAL (Sistema de Información Contable) Confección de presupuestos Ejecución presupuestaria y contabilidad Rendición de cuentas.         . Gestión tributaria: Padrones fiscales IAE Vehículos R.S.U. Impuesto sobre bienes inmuebles Impuestos sobre bienes de naturaleza rústica Industrias Liquidaciones tributarias.    . Tesorería Gestión de la Tesorería de la institución Recaudación Recaudación Voluntaria. Juan Enrique Tur Hartmann. Página 8 de 106.

(10) Elaboración de un Plan de Implementación de la ISO/IEC 27001:2013 en un Ayuntamiento.  . Recaudación ejecutiva Recaudación on-line. Algunos departamentos comparten ciertos sistemas de información mientras que otros son de uso específico. En el siguiente diagrama se vinculan las aplicaciones en explotación a cada uno de los departamentos.. Intervención • SICAL • Padrones fiscales • Liquidaciones tributarias. Tesorería y Recaudación • SICAL • Recaudación voluntaria • Recaudación ejecutiva • Recaudación online. Ilustración 3: Sistemas de información asignados a cada departamento. 1.4 ORGANIGRAMA FUNCIONAL El área de Servicios Económicos del Ayuntamiento se vertebra alrededor de dos departamentos principales: Intervención y Depositaría. En Intervención se llevan a cabo dos tipos de tareas perfectamente delimitadas: Contabilidad y Ejecución Presupuestaria y Gestión Tributaria. En primer lugar, por tanto, se desarrollan todas aquellas vinculadas con la gestión contable de la entidad. Al tratarse de una entidad Local con presupuesto limitativo, la primera función del departamento es la de la ejecución del presupuesto que se aprueba anualmente, lo que requiere de una nueva división de tareas: aquellas vinculadas a la ejecución del presupuesto de ingresos y las relativas a la ejecución del presupuesto de gastos. En el primer grupo se encuadran todas las relacionadas con el control de los ingresos que se reciben en la entidad, ya sea a través del departamento de recaudación o procedentes de otras entidades vía transferencias. Por lo que respecta al segundo grupo (presupuesto de gastos), las tareas son todas aquellas relacionadas con la fiscalización del gasto, desde la verificación previa a su realización hasta las sucesivas fases que finalizan con la ordenación pago a los proveedores y que se materializa finalmente en el departamento de Tesorería, pasando por el registro de facturas y su tramitación. Ciertas operaciones económicas realizadas por la entidad no son consecuencia directa del presupuesto, son las denominadas como “no presupuestarias” y también son responsabilidad de este departamento. El segundo grupo de tareas se enmarcan en el área de Gestión Tributaria, Aquí se lleva a cabo la gestión de los Padrones Fiscales de los que la entidad es responsable, lo que incluye el intercambio de información con otros organismos que son responsables de los datos con los que posteriormente el Ayuntamiento. Juan Enrique Tur Hartmann. Página 9 de 106.

(11) Elaboración de un Plan de Implementación de la ISO/IEC 27001:2013 en un Ayuntamiento. confeccionará sus padrones, como pueden ser el Centro de Gestión Catastral y Cooperación Tributaria, la Dirección General de Tráfico, etc. El segundo departamento principal es el de Depositaría. Dicho departamento es el responsable de la gestión de todas las cuentas de Tesorería de las que la institución es titular y gestionar el área de recaudación. La primera parte se realiza en dos vertientes, por una la de la ejecución de pagos y, por la otra, el control de los ingresos. En la recaudación se distinguen los siguientes tipos: la recaudación voluntaria, la ejecutiva, la que se realiza online y una sección de cajas de atención directa al público. También se gestiona la recaudación llevada a cabo en oficinas remotas, situadas en otros puntos del municipio alejados del centro urbano. El organigrama funcional de la organización incluida en el alcance se presenta en la siguiente ilustración:. Ilustración 4: Organigrama. 1.5 DIAGRAMA DE RED Toda la infraestructura incluida en el alcance del SGSI se encuentra situada en un único edificio, salvo las siguientes excepciones:  Dos oficinas situadas en puntos distantes del centro urbano, conectadas remotamente,  Un dispositivo NAS de copias, redundante del primero, situado en un edificio diferente, conectado mediante fibra óptica. Aparte de las estaciones de trabajo, se dispone de dos servidores:  Un servidor de aplicaciones y datos.  Un servidor de dominio que realiza las autenticaciones de los usuarios. Todos los equipos citados se encuentran repartidos en dos plantas del edificio.. Juan Enrique Tur Hartmann. Página 10 de 106.

(12) Elaboración de un Plan de Implementación de la ISO/IEC 27001:2013 en un Ayuntamiento. Se incluye a continuación un diagrama de red de los equipos incluidos en el alcance del SGSI:. Ilustración 5: Diagrama de red. 1.6 OBJETIVOS DEL PLAN DIRECTOR Los objetivos de este Plan Director son básicamente evolucionar en el modelo de seguridad actualmente implantado que podría calificarse de claramente insuficiente y hacerlo de acuerdo con los estándares establecidos por la Norma ISO/IEC 27001:2013 Actualmente no existe implicación ni por parte de la dirección política ni por parte de los funcionarios de alto nivel en la gestión de la seguridad, quedando ésta al albedrío de personal exclusivamente técnico. La evolución deseada se realizará a partir de las siguientes premisas:      . Involucrar a la dirección política y a los funcionarios de alto nivel en el desarrollo e implantación de un sistema de gestión de seguridad de la información. Mediante un detallado análisis de riesgos, detectar aquellos cuya mitigación requiera atención prioritaria e implantar los controles que se consideren adecuados en dicha línea. Asegurar una correcta protección de la información en la vertiente de su confidencialidad implantando unos controles de acceso adecuados a dicho requerimiento. Verificar la integridad en tratamiento de la información, dándole al ciudadano todas las garantías de que los procesos de cálculo y gestión tributaria se realizan de forma exacta y rigurosa. Involucrar a la organización en su conjunto en el objetivo de garantizar una correcta ejecución del sistema de gestión de la seguridad de la información. Asegurar el cumplimiento de la legislación aplicable.. Juan Enrique Tur Hartmann. Página 11 de 106.

(13) Elaboración de un Plan de Implementación de la ISO/IEC 27001:2013 en un Ayuntamiento.  . Poner los medios para que la disponibilidad de los sistemas sea la más alta posible atendiendo especialmente a aquellas épocas en las que los volúmenes de gestión alcanzan valores puntas. Garantizar unos procedimientos correctos y seguros en los intercambios de información con entidades externas.. 1.7 ANÁLISIS DIFERENCIAL Se detalla a continuación la situación en la organización de los distintos aspectos de la seguridad en relación con la norma 27001:2013 y con la de buenas prácticas 27002:2013. En primer lugar debe establecerse cómo medir la situación. Se tomará el “Modelo de Madurez” desarrollado por el “Software Engineering Institute” para la madurez de la capacidad de desarrollo de software. Dicho modelo distingue, con carácter general, los siguientes niveles:. Tabla 1: Niveles del modelo de madurez. 0 - Inexistente. 1 - Inicial. 2 - Repetible. 3 - Definido. 4 - Administrado. 5 - Optimizado. Total falta de un proceso reconocible. La organización ni siquiera ha reconocido que hay un problema que resolver. Hay evidencia de que la organización ha reconocido que los problemas existen y que necesitan ser resueltos. Sin embargo, no hay procesos estandarizados pero en cambio hay métodos ad hoc que tienden a ser aplicados en forma individual o caso por caso. El método general de la administración es desorganizado. Los procesos se han desarrollado hasta el punto en que diferentes personas siguen procedimientos similares emprendiendo la misma tarea. No hay capacitación o comunicación formal de procedimientos estándar y la responsabilidad se deja a la persona. Hay un alto grado de confianza en los conocimientos de las personas y por lo tanto es probable que haya errores. Los procedimientos han sido estandarizados y documentados, y comunicados a través de capacitación. Sin embargo se ha dejado en manos de la persona el seguimiento de estos procesos, y es improbable que se detecten desviaciones. Los procedimientos mismos no son sofisticados sino que son la formalización de las prácticas existentes. Es posible monitorear y medir el cumplimiento de los procedimientos y emprender acción donde los procesos parecen no estar funcionando efectivamente. Los procesos están bajo constante mejoramiento y proveen buena práctica. Se usan la automatización y las herramientas en una forma limitada o fragmentada. Los procesos han sido refinados hasta un nivel de la mejor práctica, basados en los resultados de mejoramiento continuo y diseño de la madurez con otras organizaciones. TI se usa en una forma integrada para automatizar el flujo de trabajo, suministrando herramientas para mejorar la calidad y la efectividad, haciendo que la empresa se adapte con rapidez.. Ello nos permitirá “medir” la situación que en la organización tienen los distintos procesos en referencia a los controles propuestos en la norma. Se incluye en primer lugar la evaluación de la situación de la organización con respecto a la norma ISO/IEC27001:2013 Tabla 2: Análisis diferencial respecto a la norma ISO/IEC 27001:2013. ID. Controles según la norma ISO/IEC 27001:2013. 4. Contexto de la organización. Juan Enrique Tur Hartmann. Aplicabilidad (SÍ/NO). Situación. Página 12 de 106.

(14) Elaboración de un Plan de Implementación de la ISO/IEC 27001:2013 en un Ayuntamiento. 4.1. 4.4. Comprensión de la organización y su contexto Determinación de cuestiones externas e internas que inciden en el SGSI Comprensión de las necesidades y expectativas de las partes interesadas Partes interesadas relevantes para el SGSI Requisitos de las partes interesadas relevantes para el SGSI Determinación del alcance del SGSI Cuestiones internas y externas referidas en el apartado 4.1 Requisitos referidos en el apartado 4.2 Interfaces y dependencias entre las actividades de la organización y otras organizaciones SGSI. 4.4. Establecer, implementar, mantener y mejorar un SGSI. 5. Liderazgo. 5.1. Liderazgo y compromiso Establecimiento de una política y objetivos de seguridad compatibles con la dirección estratégica Asegurar la integración de los requisitos del SGSI en los procesos de la organización Asegurar que los recursos necesarios para el SGSI estén disponibles Comunicar la importancia del SGSI de forma eficaz. 4.1. Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 0 - Inexistente. 5.1.g. Asegurar que el SGSI consigue los resultados previstos Dirigir y apoyar a las personas para contribuir a la eficacia del SGSI Asegurar la mejora continua. Sí. 0 - Inexistente. 5.1.h. Apoyar otros roles. Sí. 0 - Inexistente. 5.2. Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 0 - Inexistente. 5.2.d. Política Establecimiento de una política de seguridad adecuada al propósito de la organización Debe incluir objetivos de seguridad de la información Debe incluir el compromiso con los requisitos aplicables a la seguridad Debe incluir el compromiso de mejora continua. Sí. 0 - Inexistente. 5.2.e. Debe estar disponible como información documentada. Sí. 0 - Inexistente. 5.2.f. Debe comunicarse dentro de la organización. Sí. 0 - Inexistente. 5.2.g. Debe estar disponible para las partes interesadas. Sí. 0 - Inexistente. 5.3. Roles, responsabilidades y autoridades en la organización. Deben asignarse para asegurar que el SGSI es conforme con los requisitos. Deben establecerse para informar sobre el comportamiento del SGSI Planificación. Sí. 0 - Inexistente. Sí. 0 - Inexistente. 4.2 4.2.a 4.2.b 4.3 4.3.a 4.3.b 4.3.c. 5.1.a 5.1.b 5.1.c 5.1.d 5.1.e 5.1.f. 5.2.a 5.2.b 5.2.c. 5.3.a 5.3.b 6. Juan Enrique Tur Hartmann. Página 13 de 106.

(15) Elaboración de un Plan de Implementación de la ISO/IEC 27001:2013 en un Ayuntamiento. 6.1. Acciones para tratar riesgos y oportunidades. 6.1.1. Sí. 0 - Inexistente. 6.1.1.b. Consideraciones generales Asegurar que el SGSI pueda conseguir los resultados previstos Prevenir los efectos indeseados. Sí. 0 - Inexistente. 6.1.1.c. Lograr la mejora continua. Sí. 0 - Inexistente. 6.1.1.d. Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 0 - Inexistente. 6.1.2.c. Planificar acciones para tratar riesgos y oportunidades Planificar el modo de integrar las acciones en el SGSI y evaluar su eficacia Apreciación de riesgos de seguridad de la información Establecer y mantener los criterios de aceptación y apreciación sobre riesgos Asegurar que las sucesivas apreciaciones de riesgos generen resultados consistentes Identificar los riesgos de seguridad de la información. Sí. 0 - Inexistente. 6.1.2.d. Analizar los riesgos de seguridad de la información. Sí. 0 - Inexistente. 6.1.2.e. Evaluar los riesgos de seguridad de la información. Sí. 0 - Inexistente. 6.1.3. Tratamiento de los riesgos de seguridad de la información Seleccionar las opciones adecuadas en función de los resultados de la apreciación Determinar todos los controles necesarios para el tratamiento de riesgos Verificar que los controles implantados no omite ninguno del anexo A Elaborar una "Declaración de Aplicabilidad". Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 0 - Inexistente. 6.2.d. Formular un plan de tratamiento de riesgos Obtener la aprobación del plan de tratamiento y la aceptación de los riesgos residuales Objetivos de seguridad de la información y planificación para su consecución Los objetivos deben ser coherentes con la política de seguridad de la información Deben ser medibles Deben tener en cuenta los requisitos de seguridad aplicables y la evaluación de riesgos Deben comunicarse. Sí. 0 - Inexistente. 6.2.e. Deben actualizarse. Sí. 0 - Inexistente. 6.2.f. Debe determinarse lo que se va a hacer. Sí. 0 - Inexistente. 6.2.g. Debe determinarse qué recursos se requerirán. Sí. 0 - Inexistente. 6.2.h. Deben determinarse responsables. Sí. 0 - Inexistente. 6.2.i. Debe establecerse una plazo. Sí. 0 - Inexistente. 6.2.j. Debe determinarse cómo se evaluarán los resultados. Sí. 0 - Inexistente. 7. Soporte. 7.1. Recursos Deben aportarse los medios necesarios para desarrollar el SGSI. Sí. 0 - Inexistente. 6.1.1.a. 6.1.1.e 6.1.2 6.1.2.a 6.1.2.b. 6.1.3.a 6.1.3.b 6.1.3.c 6.1.3.d 6.1.3.e 6.1.3.f 6.2 6.2.a 6.2.b 6.2.c. 7.1. Juan Enrique Tur Hartmann. Página 14 de 106.

(16) Elaboración de un Plan de Implementación de la ISO/IEC 27001:2013 en un Ayuntamiento. 7.2. 7.2.c. Competencia Debe determinarse la competencia de las personas que desarrollan el SGSI Debe asegurarse la competencia mediante la formación o experiencia adecuadas Promover acciones para adquirir la competencia necesaria. 7.2.d. Conservar la documentación evidencia de la competencia. 7.3. 7.4.b. Concienciación Las personas deben ser conscientes de la política de la seguridad de la información Deben ser conscientes de su contribución a la eficacia del SGSI Deben ser conscientes de las implicaciones de no cumplir los requisitos del SGSI Comunicación. Debe determinarse el contenido de las comunicaciones internas y externas. Debe determinarse cuándo comunicar. 7.4.c. Debe determinarse a quién comunicar. Sí. 0 - Inexistente. 7.4.d. Debe determinarse quién debe comunicar Deben determinarse los procesos por los que debe efectuarse la comunicación Información documentada. Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 0 - Inexistente. 7.2.a 7.2.b. 7.3.a 7.3.b 7.3.c 7.4 7.4.a. 7.4.e 7.5 7.5.1. Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 0 - Inexistente. 7.5.3. Consideraciones generales El SGSI debe incluir la documentación requerida por esta norma El SGSI debe incluir la información que la organización haya determinado necesaria Creación y actualización Debe asegurarse la identificación y descripción de la documentación Debe determinarse el formato y los medios de soporte Debe asegurarse la revisión y aprobación con respecto a la idoneidad y adecuación Control de la información documentada. 7.5.3.a. Debe garantizarse su disponibilidad. Sí. 0 - Inexistente. 7.5.3.b. Debe estar protegida adecuadamente. Sí. 0 - Inexistente. 7.5.3.c. Debe tratarse su distribución, acceso, recuperación y uso. Sí. 0 - Inexistente. 7.5.3.d. Debe tratarse su almacenamiento y preservación. Sí. 0 - Inexistente. 7.5.3.e. Debe realizarse un control de cambios. Sí. 0 - Inexistente. 7.5.3.f. Debe determinarse su retención y disposición. Sí. 0 - Inexistente. 8. Operación. 8.1. Planificación y control operacional Deben planificarse, implementarse y controlarse los procesos necesarios para cumplir los requisitos de seguridad de la información. Sí. 0 - Inexistente. 7.5.1.a 7.5.1.b 7.5.2 7.5.2.a 7.5.2.b 7.5.2.c. 8.1. Juan Enrique Tur Hartmann. Página 15 de 106.

(17) Elaboración de un Plan de Implementación de la ISO/IEC 27001:2013 en un Ayuntamiento. 8.2. Sí. 0 - Inexistente. 8.3. Apreciación de los riesgos de seguridad de la información Deben realizarse apreciaciones periódicas de los riesgos de seguridad de la información Tratamiento de los riesgos de seguridad de información. 8.3. Debe implementarse un plan de tratamiento de riesgos. Sí. 0 - Inexistente. 9. Evaluación del desempeño. 9.1. Seguimiento, medición, análisis y evaluación.. 9.1.a. Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 0 - Inexistente. 9.1.d. Debe determinarse qué seguir y qué medir. Deben determinarse los métodos de seguimiento, medición , análisis y evaluación Debe determinarse cuándo llevar a cabo el seguimiento y la medición Debe determinarse quién debe llevarlo a cabo. Sí. 0 - Inexistente. 9.1.e. Debe determinarse cuándo realizarlo. Sí. 0 - Inexistente. 9.1.f. Debe determinarse quién debe analizar los resultados. Sí. 0 - Inexistente. 9.2. Auditoría interna Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 0 - Inexistente. 8.2. 9.1.b 9.1.c. 9.2.a 9.2.b 9.2.c 9.2.d 9.2.e 9.2.f 9.2.g 9.3 9.3.a. Debe verificarse si el SGSI cumple con los requisitos de esta norma y los de la organización Debe verificarse que el SGSI esté implementado de forma eficaz Deben planificarse, establecerse, implementarse y mantenerse uno o varios programas de auditoría. Para cada auditoría deben definirse sus criterios y alcance Se seleccionarán los auditores adecuados para garantizar la objetividad e imparcialidad Deberá informarse a la dirección de los resultados Se conservará la información documentada como evidencia Revisión por la dirección Incluirá consideraciones sobre el estado de las acciones desde revisiones anteriores. 9.3.f. Incluirá consideraciones sobre la cuestiones externas e internas pertinentes al SGSI Incluirá no conformidades, acciones correctivas, seguimiento y resultado de mediciones, resultados de auditoría y cumplimiento de os objetivos de seguridad Incluirá comentarios provenientes de partes interesadas Incluirán resultados de apreciaciones del riesgo y estado del plan de tratamiento Incluirá oportunidades de mejora. 10. Mejora. 10.1. No conformidad y acciones correctivas. 9.3.b 9.3.c 9.3.d 9.3.e. 10.1.a 10.1.b. Ante las no conformidades la organización deberá corregirla y/o hacer frente a las consecuencias Deberá evaluarse la necesidad de acciones para eliminar las causas. Juan Enrique Tur Hartmann. Página 16 de 106.

(18) Elaboración de un Plan de Implementación de la ISO/IEC 27001:2013 en un Ayuntamiento. 10.1.c 10.1.d 10.1.e 10.1.f 10.1.g 10.2 10.2. Deberá implementarse cualquier otra acción necesaria Deberá revisarse la eficacia de las acciones correctivas llevadas a cabo Deberá evaluarse si es necesario hacer cambios en el SGSI Deberá conservarse la documentación sobre la naturaleza de la no conformidad Deberá conservarse la documentación sobre los resultados de cualquier acción correctiva. Mejora continua La organización debe mejorar de manera continuada la idoneidad, adecuación y eficacia del SGSI. Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 0 - Inexistente. Resumiendo por dominios se obtienen los siguientes datos: Tabla 3: Resumen del análisis diferencial por cláusulas respecto a la norma ISO/IEC 27001:2013. ID Dominios según la norma ISO/IEC 27001:2013. Situación actual Objetivo. Óptimo. 4. Contexto de la organización. 0,00% 85,00% 100,00%. 5. Liderazgo. 0,00% 85,00% 100,00%. 6. Planificación. 0,00% 85,00% 100,00%. 7. Soporte. 0,00% 85,00% 100,00%. 8. Operación. 0,00% 85,00% 100,00%. 9. Evaluación del desempeño. 0,00% 85,00% 100,00%. 10 Mejora. 0,00% 85,00% 100,00%. Los datos recogidos en la tabla anterior proporcionan la siguiente representación gráfica:. Análisis diferencial por dominios. 10 Mejora. 9 Evaluación del desempeño. 4 Contexto de la organización 100,00% 80,00% 60,00% 40,00% 20,00% 0,00%. 8 Operación. Situación actual. 5 Liderazgo. 6 Planificación. 7 Soporte. Objetivo. Óptimo. Ilustración 6: Resumen del análisis diferencial por cláusulas de la norma ISO/IEC 27001:2013. Juan Enrique Tur Hartmann. Página 17 de 106.

(19) Elaboración de un Plan de Implementación de la ISO/IEC 27001:2013 en un Ayuntamiento. La situación con respecto a la norma ISO/IEC 27002:2013 se detalla en la siguiente tabla, que puntúa, de acuerdo con el baremo especificado, la implantación de cada uno de controles aplicables de entre los 114 que incluye la norma, agrupados en 14 dominios con 35 objetivos: Tabla 4: Análisis diferencial respecto a la norma ISO/IEC 27002:2013. Aplicabilidad (SÍ/NO). ID. Controles según la norma ISO/IEC 27002:2013. A.5. Políticas de seguridad de la información. A.5.1. Directrices de gestión de la seguridad de la información. A.5.1.1. Políticas para la seguridad de la información. Sí. 0 - Inexistente. A.5.1.2. Revisión de las políticas para la seguridad de la información. Sí. 0 - Inexistente. A.6. Organización de la seguridad de la información. A.6.1. Organización interna. A.6.1.1. Roles y responsabilidades en seguridad de la información. Sí. 0 - Inexistente. A.6.1.2. Segregación de tareas. Sí. 0 - Inexistente. A.6.1.3. Contacto con las autoridades. Sí. 0 - Inexistente. A.6.1.4. Contacto con grupos de interés especial. Sí. 0 - Inexistente. A.6.1.5. Seguridad de la información en la gestión de proyectos. Sí. 0 - Inexistente. A.6.2. Los dispositivos móviles y el teletrabajo. A.6.2.1. Política de dispositivos móviles. Sí. 0 - Inexistente. A.6.2.2. Teletrabajo. Sí. 0 - Inexistente. A.7. Seguridad relativa a los recursos humanos. A.7.1. Antes del empleo. A.7.1.1. Investigación de antecedentes. Sí. 5 - Optimizado. A.7.1.2. Términos y condiciones del empleo. Sí. 5 - Optimizado. A.7.2. Durante el empleo. A.7.2.1. Sí. 0 - Inexistente. Sí. 0 - Inexistente. A.7.2.3. Responsabilidades de gestión Conocimiento, educación y entrenamiento en la seguridad de la información Proceso disciplinario. Sí. 0 - Inexistente. A.7.3. Finalización del empleo o cambio en el puesto de trabajo. A.7.3.1. Responsabilidades ante la finalización o cambio. Sí. 0 - Inexistente. A.8. Gestión de activos. A.8.1. Responsabilidad sobre los activos. A.8.1.1. Inventario de activos. Sí. 5 - Optimizado. A.8.1.2. Propiedad de los activos. Sí. 0 - Inexistente. A.8.1.3. Uso adecuado de los activos. Sí. 0 - Inexistente. A.8.1.4. Devolución de activos. Sí. 0 - Inexistente. A.8.2. Clasificación de la información. A.8.2.1. Clasificación de la información. Sí. 1 - Inicial. A.8.2.2. Etiquetado de la información. Sí. 1 - Inicial. A.7.2.2. Juan Enrique Tur Hartmann. Situación. Página 18 de 106.

(20) Elaboración de un Plan de Implementación de la ISO/IEC 27001:2013 en un Ayuntamiento. A.8.2.3. Manipulado de la información. A.8.3. Manipulación de los soportes. A.8.3.1. Sí. 0 - Inexistente. Gestión de soportes extraíbles. Sí. 0 - Inexistente. A.8.3.2. Eliminación de soportes. Sí. 0 - Inexistente. A.8.3.3. Soportes físicos en tránsito. Sí. 0 - Inexistente. A.9. Control del acceso. A.9.1. Requisitos de negocio para el control de acceso. A.9.1.1. Política de control de acceso. Sí. 1 - Inicial. A.9.1.2. Acceso a las redes y a los servicios de red. Sí. 3 - Definido. A.9.2. Gestión de acceso de usuario. A.9.2.1. Registro y baja de usuarios. Sí. 1 - Inicial. A.9.2.2. Provisión de acceso de usuario. Sí. 0 - Inexistente. A.9.2.3. Sí. 3 - Definido. Sí. 1 - Inicial. Sí. 1 - Inicial. Sí. 1 - Inicial. A.9.3. Gestión de privilegios de acceso Gestión de la información secreta de autenticación de los usuarios Revisión de los derechos de acceso de usuario Retirada o reasignación de los derechos de acceso de usuario Responsabilidades del usuario. A.9.3.1. Uso de la información secreta de autenticación. Sí. 0 - Inexistente. A.9.4. Control de acceso a sistemas y aplicaciones. A.9.4.1. Restricción del acceso a la información. Sí. 1 - Inicial. A.9.4.2. Procedimiento seguro de inicio de sesión. Sí. 3 - Definido. A.9.4.3. Sistema de gestión de contraseñas. Sí. 1 - Inicial. A.9.4.4. Uso de utilidades con privilegios del sistema. Sí. 0 - Inexistente. A.9.4.5. Control de acceso al código fuente de los programas. No. A.10. Criptografía. A.10.1. Controles criptográficos. A.9.2.4 A.9.2.5 A.9.2.6. A.10.1.1 Política del uso de controles criptográficos. Sí. 0 - Inexistente. A.10.1.2 Gestión de claves. Sí. 0 - Inexistente. A.11.1.1 Perímetro de seguridad física. Sí. 1 - Inicial. A.11.1.2 Controles físicos de entrada. Sí. 1 - Inicial. A.11.1.3 Seguridad de oficinas, despachos y recursos. Sí. 0 - Inexistente. A.11.1.4 Protección contra amenazas externas y ambientales. Sí. 3 - Definido. A.11.1.5 Trabajo en áreas seguras. Sí. 0 - Inexistente. A.11.1.6 Acceso público, entrega y carga. Sí. 0 - Inexistente. Sí. 3 - Definido. A.11. Seguridad física y del entorno. A.11.1. Áreas seguras. A.11.2. Seguridad de los equipos. A.11.2.1 Instalación y protección de equipos. Juan Enrique Tur Hartmann. Página 19 de 106.

(21) Elaboración de un Plan de Implementación de la ISO/IEC 27001:2013 en un Ayuntamiento. A.11.2.2 Instalaciones de suministro. Sí. 3 - Definido. A.11.2.3 Seguridad en el cableado. Sí. 3 - Definido. A.11.2.4 Mantenimiento de equipos. Sí. 3 - Definido. A.11.2.5 Retirada de materiales propiedad de la empresa. Sí. 0 - Inexistente. A.11.2.6 Seguridad de equipos fuera de las instalaciones. Sí. 0 - Inexistente. A.11.2.7 Reutilización o eliminación segura de equipos. Sí. 1 - Inicial. A.11.2.8 Equipo de usuario desatendido. Sí. 0 - Inexistente. A.11.2.9 Política de puesto de trabajo despejado y pantalla limpia. Sí. 0 - Inexistente. A.12.1.1 Documentación de los procedimientos de operación. Sí. 0 - Inexistente. A.12.1.2 Gestión de cambios. Sí. 0 - Inexistente. A.12.1.3 Gestión de capacidades Separación de los recursos de desarrollo, prueba y A.12.1.4 operación A.12.2 Protección contra el software malicioso (malware). Sí. 0 - Inexistente. No. A.12.2.1 Controles contra el código malicioso. Sí. 3 - Definido. Sí. 3 - Definido. A.12.4.1 Registro de eventos. Sí. 0 - Inexistente. A.12.4.2 Protección de la información de registro. Sí. 1 - Inicial. A.12.4.3 Registros de administración y operación. Sí. 0 - Inexistente. A.12.4.4 Sincronización del reloj. Sí. 3 - Definido. Sí. 1 - Inicial. A.12.6.1 Gestión de las vulnerabilidades técnicas. Sí. 1 - Inicial. A.12.6.2 Restricción en la instalación del software Consideraciones sobre la de auditoría de sistemas de A.12.7 información A.12.7.1 Controles de auditoría de sistemas de la información. Sí. 0 - Inexistente. Sí. 0 - Inexistente. A.13.1.1 Controles de red. Sí. 3 - Definido. A.13.1.2 Seguridad en los servicios de red. Sí. 1 - Inicial. A.13.1.3 Segregación de redes. Sí. 3 - Definido. A.13.2.1 Políticas y procedimientos de intercambio de información. Sí. 3 - Definido. A.13.2.2 Acuerdos de intercambio de información. Sí. 3 - Definido. A.12. Seguridad de las operaciones. A.12.1. Procedimientos y responsabilidades operacionales. A.12.3. Copias de seguridad. A.12.3.1 Copias de seguridad de la información A.12.4. A.12.5. Registros y supervisión. Control del software en explotación. A.12.5.1 Instalación del software en explotación A.12.6. Gestión de la vulnerabilidad técnica. A.13. Seguridad en las comunicaciones. A.13.1. Gestión de la seguridad de redes. A.13.2. Intercambio de información. Juan Enrique Tur Hartmann. Página 20 de 106.

(22) Elaboración de un Plan de Implementación de la ISO/IEC 27001:2013 en un Ayuntamiento. A.13.2.3 mensajería electrónica. Sí. 0 - Inexistente. A.13.2.4 Acuerdos de confidencialidad o no revelación Adquisición desarrollo y mantenimiento de los sistemas de A.14 información A.14.1 Requisitos de seguridad en sistemas de información Análisis de requisitos y especificaciones de seguridad de la A.14.1.1 información A.14.1.2 Asegurar los servicios de aplicaciones en redes públicas. Sí. 0 - Inexistente. Sí. 1 - Inicial. Sí. 1 - Inicial. A.14.1.3 Protección de las transacciones de servicios de aplicaciones. Sí. 1 - Inicial. A.14.2.1 Política de desarrollo seguro. Sí. 0 - Inexistente. A.14.2.2 Procedimiento de control de cambios en sistemas Revisión técnica de las aplicaciones después de cambios en A.14.2.3 el sistema operativo A.14.2.4 Restricciones a los cambios en paquetes de software. Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 0 - Inexistente. A.14.2.5 Principios de ingeniería de sistemas seguros. Sí. 0 - Inexistente. A.14.2.6 Entorno de desarrollo seguro. Sí. 0 - Inexistente. A.14.2.7 Externalización del desarrollo de software. Sí. 1 - Inicial. A.14.2.8 Pruebas funcionales de seguridad de sistemas. Sí. 0 - Inexistente. A.14.2.9 Pruebas de aceptación de sistemas. Sí. 1 - Inicial. Sí. 1 - Inicial. Sí. 1 - Inicial. Sí. 1 - Inicial. Sí. 0 - Inexistente. A.15.2.1 Control y revisión de la provisión de servicios del proveedor Gestión de cambios en la provisión del servicio del A.15.2.2 proveedor A.16 Gestión de incidentes de seguridad de la información Gestión de incidentes de seguridad de la información y A.16.1 mejoras A.16.1.1 Responsabilidades y procedimientos. Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 0 - Inexistente. A.16.1.2 Notificación de los eventos de seguridad de la información. Sí. 0 - Inexistente. A.16.1.3 Notificación de puntos débiles de la seguridad Evaluación y decisión sobre los elementos de seguridad de A.16.1.4 la información A.16.1.5 Respuesta a incidentes de seguridad de la información Aprendizaje de los incidentes de seguridad de la A.16.1.6 información. Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 0 - Inexistente. A.14.2. A.14.3. Seguridad en el desarrollo y en los procesos de soporte. Datos de prueba. A.14.3.1 Protección de los datos de prueba A.15. Relación con proveedores. A.15.1. Seguridad en las relaciones con proveedores Política de seguridad de la información en las relaciones con A.15.1.1 proveedores A.15.1.2 Requisitos de seguridad en contratos con terceros Cadena de suministro de tecnología de la información y de A.15.1.3 las comunicaciones A.15.2 Gestión de la provisión de servicios del proveedor. Juan Enrique Tur Hartmann. Página 21 de 106.

(23) Elaboración de un Plan de Implementación de la ISO/IEC 27001:2013 en un Ayuntamiento. A.16.1.7 Recopilación de evidencias Aspectos de seguridad de la información para la gestión de A.17 la continuidad del negocio A.17.1 Continuidad de la seguridad de la información Planificación de la continuidad de la seguridad de la A.17.1.1 información Implementar la continuidad de la seguridad de la A.17.1.2 información Verificación, revisión y evaluación de la continuidad de la A.17.1.3 seguridad de la información A.17.2 Redundancias Disponibilidad de los recursos de tratamiento de la A.17.2.1 información A.18 Cumplimiento. Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 0 - Inexistente. Sí. 3 - Definido. Sí. 3 - Definido. Sí. 1 - Inicial. Sí. 1 - Inicial. Sí. 3 - Definido. Sí. 0 - Inexistente. A.18.2.1 Revisión independiente de la seguridad de la información. Sí. 0 - Inexistente. A.18.2.2 Cumplimiento de las políticas y normas de seguridad. Sí. 1 - Inicial. A.18.2.3 Comprobación del cumplimiento técnico. Sí. 1 - Inicial. A.18.1. Cumplimiento de los requisitos legales y contractuales Identificación de la legislación aplicable y de los requisitos A.18.1.1 contractuales A.18.1.2 Derechos de propiedad intelectual (DPI) A.18.1.3 Protección de los registros de la organización Protección y privacidad de la información de carácter A.18.1.4 personal A.18.1.5 Regulación de los controles criptográficos A.18.2. Revisiones de la seguridad de la información. Consideraciones sobre los controles considerados como no aplicables: Se ha considerado como no aplicable el control “A.12.1.4 – Separación de los recursos de desarrollo, prueba y operación”. En el caso objeto de estudio no se desarrolla software en ningún caso. Todas las aplicaciones son suministradas por terceros y no se realizan pruebas en el entorno de operación. Todos los desarrollos y pruebas se llevan a cabo en entornos de los suministradores de software, nunca en el entorno operativo.. Del análisis detallado control a control anterior se puede obtener el siguiente resumen por dominios, al tiempo que se detalla el nivel de implantación en la organización, un objetivo a alcanzar en este proyecto y el nivel que sería óptimo para cada uno de ellos: Tabla 5: Resumen por dominios del análisis diferencial de la norma ISO/IEC 27002:2013. Situación actual. ID. Dominios según la norma ISO/IEC 27002:2013. A.5. Políticas de seguridad de la información. 0,00% 85,00% 100,00%. A.6. Organización de la seguridad de la información. 0,00% 85,00% 100,00%. A.7. Seguridad relativa a los recursos humanos. 33,33% 85,00% 100,00%. A.8. Gestión de activos. 14,00% 85,00% 100,00%. A.9. Control del acceso. 24,62% 85,00% 100,00%. Juan Enrique Tur Hartmann. Objetivo. Óptimo. Página 22 de 106.

(24) Elaboración de un Plan de Implementación de la ISO/IEC 27001:2013 en un Ayuntamiento. A.10 Criptografía. 0,00% 85,00% 100,00%. A.11 Seguridad física y del entorno. 24,00% 85,00% 100,00%. A.12 Seguridad de las operaciones. 18,46% 85,00% 100,00%. A.13 Seguridad en las comunicaciones. 37,14% 85,00% 100,00%. Adquisición desarrollo y mantenimiento de los sistemas de A.14 información A.15 Relación con proveedores. 9,23% 85,00% 100,00%. A.16 Gestión de incidentes de seguridad de la información. 0,00% 85,00% 100,00%. 8,00% 85,00% 100,00%. Aspectos de seguridad de la información para la gestión de la A.17 continuidad del negocio A.18 Cumplimiento. 15,00% 85,00% 100,00% 25,00% 85,00% 100,00%. De estos datos se obtiene la siguiente representación gráfica:. Análisis diferencial por dominios A.5 Políticas de seguridad de la información 100,00% A.6 Organización de la A.18 Cumplimiento 90,00% seguridad de la información 80,00% A.17 Aspectos de seguridad A.7 Seguridad relativa a los 70,00% de la información para la… recursos humanos 60,00% 50,00% 40,00% 30,00% A.16 Gestión de incidentes de A.8 Gestión de activos 20,00% seguridad de la información 10,00% 0,00% A.15 Relación con proveedores. A.9 Control del acceso. A.14 Adquisición desarrollo y mantenimiento de los…. A.10 Criptografía. A.13 Seguridad en las comunicaciones. A.11 Seguridad física y del entorno A.12 Seguridad de las operaciones. Situación actual. Objetivo. Óptimo. Ilustración 7: Resumen por dominios del análisis diferencial de la norma ISO/IEC 27002:2013. Juan Enrique Tur Hartmann. Página 23 de 106.

(25) Elaboración de un Plan de Implementación de la ISO/IEC 27001:2013 en un Ayuntamiento. 2 SISTEMA DE GESTIÓN DOCUMENTAL 2.1 INTRODUCCIÓN Todos los Sistemas de Gestión se apoyan en un cuerpo documental para el cumplimiento normativo. En esta línea, los siguientes apartados recogen la descripción y estructura de los mismos de acuerdo con lo establecido en la propia norma ISO/IEC 27001.. 2.2 POLÍTICA DE SEGURIDAD La Política de Seguridad tiene por objeto proporcionar orientación y apoyo a la gestión de seguridad de la información de acuerdo con los requisitos del negocio, las leyes y normas pertinentes (Norma ISO/IEC 27002:2013). El documento que recoge dicha Política se encuentra como anexo al presente con la siguiente denominación: Anexo-01 – Política del sistema de gestión de seguridad de la información.. 2.3 PROCEDIMIENTO DE AUDITORÍAS INTERNAS La ISO/IEC 27001:2013 establece en su apartado 9.2 la necesidad de llevar a cabo auditorías internas con el objeto de verificar que el Sistema de Gestión de Seguridad de la Información cumple con los requisitos propios de la organización y con los requisitos de la norma indicada. El documento que recoge el procedimiento que se debe seguir en dichas auditorías se encuentra como anexo al presente con la siguiente denominación: Anexo-02 – Procedimiento de auditorías internas. 2.4 GESTIÓN DE INDICADORES La ISO/IEC 27001:2013 establece en su apartado 9.1 que la organización debe evaluar el desempeño de la seguridad y la eficacia del sistema de gestión de la seguridad de la información. A tal efecto y siguiendo las indicaciones recogidas en la norma ISO/IEC 27004 se ha desarrollado un cuadro con 10 indicadores diferentes que permiten dar cumplimiento a esta especificación. Dicho cuadro se recoge en el siguiente documento anexo: Anexo-03 Cuadro de indicadores de seguimiento. 2.5 PROCEDIMIENTO DE REVISIÓN POR PARTE DE LA DIRECCIÓN La ISO/IEC 27001:2013 establece en su apartado 9.3 la obligación por parte de la alta dirección de llevar a cabo revisiones del sistema de gestión de seguridad de la información a intervalos planificados, con la finalidad de asegurarse de su conveniencia, adecuación y eficacia continuas. Dicho procedimiento se recoge en el siguiente documento anexo: Anexo-04 Procedimiento de revisión por parte de la dirección. Juan Enrique Tur Hartmann. Página 24 de 106.

(26) Elaboración de un Plan de Implementación de la ISO/IEC 27001:2013 en un Ayuntamiento. 2.6 GESTIÓN DE ROLES Y RESPONSABILIDADES El Sistema de Gestión de Seguridad de la Información tiene que estar compuesto por un equipo que se encargue de crear, mantener, supervisar y mejorar el Sistema. Este equipo de trabajo, conocido habitualmente como Comité de Seguridad, debe estar compuesto al menos por una persona de Dirección, para que de esta manera las decisiones que se tomen puedan estar respaldadas por alguien de Dirección. En el Ayuntamiento se deberá constituir el citado comité de seguridad que estará integrado por el Concejal delegado del área de Nuevas Tecnologías, el responsable de Sistemas de Información, el Responsable de Seguridad, el Secretario de la institución, el Interventor, el Depositario y el Jefe de la unidad de recaudación. Se considerará como máximo responsable a nivel político del SGSI al Concejal delegado del área de Nuevas Tecnologías. Él deberá llevar a cabo las siguientes tareas:  Proporcionar una seguridad suficiente sobre la información de acuerdo al contexto y situación de la organización.  Asegurar el desarrollo, documentación e implementación de un sistema de gestión de seguridad de la información para todos los sistemas, redes e información en el ámbito del alcance definido.  Verificar la alineación del sistema de gestión de la seguridad de la información con los objetivos estratégicos de la organización.  Conceder autoridad al resto de responsables en materia de tratamiento de la información para asegurar un correcto desempeño de sus funciones.  Designar un responsable de los Sistemas de Información.  Verificar la correcta formación del personal asignado a tareas de seguridad de la información.  Verificar que el responsable de los Sistemas de Información reporta periódicamente y de forma planificada la efectividad del SGSI. El responsable de los Sistemas de Información deberá llevar a cabo las siguientes tareas:  Designar un Responsable de Seguridad  Desarrollar y mantener un SGSI para todos los sistemas, redes e información en el ámbito del alcance definido.  Desarrollar y mantener políticas, procedimientos y controles técnicos para cumplir con las especificaciones normativas.  Asegurar el cumplimiento de los requerimientos establecidos en materia de seguridad de la información.  Informar de forma periódica y planificada de la efectividad de la efectividad del SGSI así como de los efectos de las medidas correctoras que eventualmente se hubieran adoptado. El Responsable de Seguridad será responsable de las siguientes tareas:  Ejecutar todas las tareas relacionadas con la seguridad de la información  Realizar periódicamente evaluaciones del riesgo.  Asegurar la correcta formación en materia de seguridad de todo el personal de la organización.  Entrenar y supervisar al personal que tenga responsabilidades relevantes en materia de seguridad.  Probar y evaluar periódicamente la efectividad de las políticas y procedimientos de seguridad.  Desarrollar e implementar procedimientos para detectar, informar y responder a incidentes de seguridad.  Apoyar al responsable de Sistemas de Información en sus informes a la dirección. Los usuarios son responsables cada uno de ellos en su ámbito de observar y aplicar toda la normativa que en materia de seguridad de la información publique la organización, así como de reportar a sus superiores jerárquicos cualquier incidencia que en dicha materia detecten. Los responsables de cada departamento, a su vez, pondrán en conocimiento del responsable de seguridad la información que por esta vía les llegue.. Juan Enrique Tur Hartmann. Página 25 de 106.