• No se han encontrado resultados

Pla director de seguretat

N/A
N/A
Protected

Academic year: 2020

Share "Pla director de seguretat"

Copied!
112
0
0

Texto completo

(1)Pla director de seguretat. Nom Estudiant: Albert Plarromaní Tarruella Programa: Màster Universitari en Seguretat de les Tecnologies de la Informació i de les Comunicacions (MISTIC) Nom Consultor: Arsenio Tortajada Gallego Centre: Universitat Oberta de Catalunya Data Lliurament: juny del 2015.

(2) Aquesta obra està subjecta a una llicència de Reconeixement-NoComercialSenseObraDerivada 3.0 Espanya de Creative Commons.

(3) Copyright © 2015 Albert Plarormaní Tarruella. Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.3 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no BackCover Texts. A copy of the license is included in the section entitled "GNU Free Documentation License". Copyright © 2015 Albert Plarromaní Tarruella Reservats tots els drets. Està prohibit la reproducció total o parcial d'aquesta obra per qualsevol mitjà o procediment, compresos la impressió, la reprografia, el microfilm, el tractament informàtic o qualsevol altre sistema, així com la distribució d'exemplars mitjançant lloguer i préstec, sense l'autorització escrita de l'autor o dels límits que autoritzi la Llei de Propietat Intel•lectual..

(4) FITXA DEL TREBALL FINAL. Títol del treball: Pla director de seguretat. Nom de l’autor: Albert Plarromaní Tarruella Nom del consultor: Arsenio Tortajada Gallego Data de lliurament : 06/2015 Àrea del Treball Final: Gestió i auditoria de la seguretat informàtica Màster Interuniversitari en Seguretat de les Titulació: Tecnologies de la Informació i de les Comunicacions (MISTIC) Resum del Treball. Es tracta del treball de final de màster en seguretat de les tecnologies de la informació. Es basa en la realització d’un pla director de seguretat d’una organització, en aquest cas una botiga d’electrodomèstics. S’ha utilitzat la ISO/IEC 27001:2013 i la metodologia MAGERIT com a referència durant tot el treball. Com a punt de partida s’ha realitzat un anàlisis diferencial fet que ens ha permès conèixer l’estat inicial de la organització. Posteriorment s’ha elaborat un cos documental amb els procediments necessaris a l’empresa per tal de complir la normativa. A partir de l’inventari de l’empresa es realitza un anàlisis de riscos dels actius. Un cop identificats els riscos s’han realitzat propostes en forma de projectes per tal de mitigar-los i aconseguir un major grau de compliment de la norma. Per acabar s’ha fet una virtual auditoria de com millora la organització a partir de l’aplicació dels projectes, l’elaboració de procediments i la gestió de la seguretat per part de la mateixa.. i.

(5) Abstract:. This is the final project of the Master in Information and Communication Technologies Security. It is based on the realisation of a security master plan of a company, in this case an appliances store. As a reference during the whole project, the ISO/IEC 27001:2013 and the MAGERIT have been used. As a starting point, a differential analysis has been performed, which has allowed us to know the initial state of the company. Afterwards, a documentation process has been done, with the necessary procedures with the aim that the company meets the requirements. With the company's stock one performs a risk analysis of the assets. Once the risks are identified, a set of project proposals are done in order to mitigate the risks and obtain a bigger degree of accomplishment of the norms. Finally, a virtual audit is performed to see how the company improves once it has applied the proposed projects, elaborated the procedures and performed its own security management.. Paraules clau (entre 4 i 8): TFM, MISTIC, UOC, ISO 27001, MAGERIT. ii.

(6) Índex. Introducció .......................................................................................................... 3 Fase 1: Situació actual: contextualització, objectius i anàlisis diferencial. .......... 4 Breu ressenya de l’empresa ............................................................................ 4 Organigrama del personal de l’empresa ......................................................... 4 Infraestructura ................................................................................................. 5 Anàlisis diferencial........................................................................................... 8 Fase 2: Sistema de Gestió Documental ........................................................... 14 Política de seguretat ...................................................................................... 14 Procediment d’auditories internes ................................................................. 14 Gestió d’indicadors ........................................................................................ 14 Procediment de revisió per la direcció ........................................................... 14 Gestió de rols i responsabilitats..................................................................... 14 Metodologia d’anàlisis de riscs ...................................................................... 14 Declaració d’aplicabilitat ................................................................................ 14 Fase 3: Anàlisis de Riscos ............................................................................... 16 Introducció ..................................................................................................... 16 Inventari d’actius ........................................................................................... 16 Valoració dels actius ..................................................................................... 16 Dimensions de seguretat ............................................................................... 17 Taula resum de valoració .............................................................................. 19 Anàlisis d’amenaces ...................................................................................... 21 Impacte potencial .......................................................................................... 22 Nivell de Risc Acceptable i risc Residual ....................................................... 27 Resultats ....................................................................................................... 32 Fase 4: Propostes de projectes ........................................................................ 40 Projecte 1: Classificació de la informació ...................................................... 40 Projecte 2: Formació dels treballadors .......................................................... 41 Projecte 3: Bons hàbits i seguretat ................................................................ 42 Projecte 4: Renovació de servidors. .............................................................. 43 Projecte 5: Millora del sistema de backup energètic ..................................... 44 Projecte 6: Gestió de les còpies de seguretat ............................................... 45 Projecte 7:Assegurament dels actius al lloc de treball .................................. 46 Projecte 8: Informació per part de RRHH ...................................................... 47 Resultats ....................................................................................................... 48 Fase 5: Auditoria de compliment ...................................................................... 57 Introducció ..................................................................................................... 57 Metodologia ................................................................................................... 57 Avaluació de la maduresa ............................................................................. 57 Presentació de resultats ................................................................................ 63 Resultats ....................................................................................................... 76 Conclusions ...................................................................................................... 79 Bibliografia........................................................................................................ 81 Annexos ........................................................................................................... 82 Annex 1: Política de seguretat....................................................................... 82 1.

(7) Annex 2: Procediment d’auditories internes .................................................. 86 Annex 3: Gestió d’Indicadors......................................................................... 89 Annex 4: Procediment de revisió per direcció ............................................... 94 Annex 5: Gestió de rols i responsabilitats ..................................................... 96 Annex 6: Metodologia de anàlisis de riscos................................................... 99 Annex 7: Declaració d’aplicabilitat ............................................................... 101. 2.

(8) Introducció Ens trobem davant del treball de final de màster el qual esdevé la oportunitat de posar a la pràctica els coneixements adquirits durant la realització del màster. El títol del treball ja fa intuir la temàtica del mateix. Es tracta doncs del pla director d’una empresa d’electrodomèstics. El treball en si, es divideix en cinc grans fases les quals s’han anat treballant progressivament durant el semestre. En la primera fase s’ha presentat l’empresa la qual serà objecte de l’auditoria així com un primer anàlisis diferencial que ens permet disposar d’un primer punt de partida. Un punt de vital importància per tal de poder passar una auditoria de seguretat amb èxit és disposar d’un fons documental ben estructurat, revisat, actualitzat, conegut i aplicat per tota la organització, per aquesta raó disposa d’un punt diferenciat en el treball. En el tercer punt entrem ja en la fase d’implementació mitjançant la anàlisis de riscos dels nostres actius mitjançant la metodologia MAGERIT tenint en compte la seva naturalesa (instal·lacions, hardware, aplicació, dades, xarxa, serveis, equipament auxiliar i personal). Un cop quantificats els riscos als quals està sotmesa la organització, caldrà buscar iniciatives per tal de reduir el risc. Així doncs es definiran un seguit de propostes de projectes per tal de que l’alta direcció decideixi si aplicar-los o assumir el risc actual. Adaptant l’estàndard ISO/IEC 270002:2013 a la nostra organització es realitza una auditoria de compliment la qual ens permet conèixer l’estat de maduresa de la nostra organització en els diferents dominis de la norma. Com a punt final recopilem tot el que hem aprés durant tot aquest procés, el qual ha de servir de base per les següents auditories de seguretat de l’empresa. Recordem que la gestió de la seguretat no s’acaba amb una auditoria ja que la organització ha de seguir un model de millora continua (Plan-Do-Check-Act) per tal d’aconseguir uns nivells de seguretat assumibles per la organització.. 3.

(9) Fase 1: Situació actual: contextualització, objectius i anàlisis diferencial. Breu ressenya de l’empresa L’empres seleccionada és una botiga d’electrodomèstics composta per 3 ubicacions, durant els últims anys s’ha expandit. Veu la necessitat d’entrar al comerç online i per aquest motiu veu necessari auditar l’empresa abans d’embarcar-se en aquest nou repte. Actualment disposa d’un portal web des d’on els clients poden realitzar consultes molt bàsiques, com per exemple consultar l’estat de les seves reparacions, però no hi ha penjat el catàleg complet de la botiga ni està automatitzat.. Organigrama del personal de l’empresa Direcció general: està format per dos germans els quals són els hereus de la primera botiga. • Director general • 1 Sotsdirector Departament de RRHH: està format per 2 persones, l’encarregat del departament i un administratiu. Es cuiden bàsicament de les nomines, contractacions, suplències, vacances, centraleta telefònica, etc. • Director de RRHH • Administratiu de RRHH Departament de Màrqueting: s’encarreguen de contactar amb els diferents medis locals (TV, premsa, propaganda) per tal de promocionar els seus productes, també s’encarreguen d’organitzar esdeveniments puntuals a la botiga per realitzar demostracions. Està format per 3 persones, un encarregat, un dissenyador gràfic i un administratiu. • Director de Màrqueting • Dissenyador gràfic • Administratiu de màrqueting Departament de Finances: s’encarreguen de les gestions amb el proveïdors i porten el dia les finances de l’empresa. • Director de finances • 2 Administratius de comptabilitat i finances Departament de vendes: son els encarregats de tractar directament amb els clients a les 3 botigues, així com el marcatge de preus, reposició d’estocs, cobrament, etc. • 3 encarregats de botiga • 12 venedors. 4.

(10) Departament TIC: s’encarreguen del manteniment de les aplicacions de l’empresa, així com els servidors, infraestructura i comunicacions. També són els encarregats de donar suport als empleats i de l’aplicació web. • Director d’informàtica • Administrador de sistemes • Desenvolupador web • Tècnic informàtic Departament de Logística: s’encarreguen del magatzem (inventari, entrada de nou gènere, estocs i de la flota de vehicles. Són també els encarregats de planificar les millors rutes per entrega i posada en funcionament dels productes venuts. • Director de logística • 2 mossos de magatzem Servei d’Atenció al Client: s’encarreguen del servei post-venta, instal·lacions, reparacions, garanties, etc. • 4 tècnics. Direcció General. Dep. de RRHH. Dep. de Màrqueting. Dep. de Finances. Dep. de Vendes. Dep. TIC. Dep. de Logística. Servei d’atenció al client. Infraestructura Ubicació. L’empresa esta dividida en 3 ubicacions: • Botiga 1: es troba una situació cèntrica d’una localitat de menys de 50.000 habitants. És la primera botiga des d’on s’han guanyat la reputació i fama que els ha permès expandir-se. • Central: Botiga 2 i magatzem: es troba en un polígon comercial situat al nord de la població amb molt bons accessos per carretera i facilitat d’aparcaments. Es tracta de l’establiment especialitzat més gran en un radi de 30km. Al tractar-se d’una nau industrial de grans dimensions s’hi ha muntat el magatzem que proveeix a les 2 botigues així com tota la infraestructura pròpia de l’empresa. • Botiga 3: és una botiga situada en una població veïna a aproximadament 30 Km de la de la Botiga1, en una població d’uns 30.000 habitants.. 5.

(11) Flota de vehicles. L’empresa disposa de 3 vehicles per entregar comandes, reparacions o per anar a proveïdor. Tots 3 vehicles estan dotats amb GPS • 2 furgonetes Renault Kangoo • 1 furgoneta gran Mercedes Sprinter Infraestructura informàtica. L’empresa disposa de un servidor HP amb una disposició de discs durs en RAID 0+1 el qual esta virtualitat amb VMWARE i a sobre hi corren els diferents servidors virtuals. • Servidor web: s’utilitza per la pàgina web. La pàgina web no té la funcionalitat de pagament online, però si permet veure com es troben les reparacions introduïnt el DNI del client. Apart s’hi pengen vídeos, demostracions, enllaços etc. És actualitzada amb assiduïtat. (Debian) • Servidor Intranet: existeix una intranet en el qual els usuaris es validen mitjançant un servei LDAP. Existeixen usuaris genèrics (botiga, vendes, compres) amb contrasenyes genèriques. Cada perfil té assignada una visió respecte a diferents unitats compartides. (Windows Server 2008) • Servidor de correu: existeix un correu corporatiu @empresa.cat, el qual bàsicament fan servir els directors dels diferents departaments. Apart d’un genèric per rebre peticions, consultes de clients i proveïdors. (Debian) • L’empresa disposa d’un Firewall del fabricant Fortinet al qual protegeix la plataforma d’intrusions i atacs i alhora permet que la botiga 1 i la 3 es pugui connectar a través d’una connexió VPN segura a la xarxa. La botiga 2 al compartir ubicació amb magatzem, oficines i CPD està connectada directament a la part de LAN amb la segmentació de xarxa corresponent. Terminals de la botiga 1: • 1 TPV • 5 ordinadors 6.

(12) • 2 Caixa • 3 Vendes Terminals de la botiga 3 • 1 TPV • 4 ordinadors • 1 Caixa • 3 Vendes Terminals a la central: • 2 TPV • 15 ordinadors • 3 portàtils • A la central es disposa d’un accés de 10 Mbps simètrics, el qual és d’on penja el Firewall i distribueix el caudal pels diferents servidors. També existeix un ADSL 10Mbps/800Kbps que en cas necessari podria donar suport a una part de la infraestructura amb precari. Tant a la botiga 1 com a la 3 es disposa d’un únic accés ADSL 10Mbps/800Kbps una part d’aquest caudal esta reservat per un accés VPN . Totes les botigues disposen d’un seguit d’acces points per tal d’oferir connexió a internet als clients a través d’un portal captiu se’ls hi ofereix una connexió de 30 minuts. Aquesta mateixa connexió la utilizen el departament de SAT com el de mòbils per fer la posada apunt dels terminals de client. L’accés és bastant precari ja que s’utilitza un 20% de la connexió ADSL per aquesta tasca. La xarxa està segmentada i no és possible accedir a la intranet des de la WIFI de cortesia. Existeix telefonia fixa i terminals DECT per la gent de magatzem per tal de realitzar trucades internes. No obstant no és telefonia IP. A les 3 botigues s’accepten pagaments amb targeta i utilitzen la línia ADSL per aquesta finalitat. Existeix un ERP propi el qual és utilitzat en diferents mòduls pels diferents departaments: • Mòdul de vendes: permet generar factures, introduir dades de client, cerca per producte. A més permet informar l’estat de la reparació, visita dels tècnics sincronitzat amb l’aplicació web. • Mòdul de gestió d’estocs: permet fer les tasques pròpies d’inventari i albarans. Permet una previsió en funció de les compres i vendes i permet mantenir un estoc dins d’uns marges. • Mòdul de comandament: permet que tant el departament de Finances com el gerent puguin tenir una visió real del material, preus, marges, etc, d’una manera molt visual a més de temes d’amortització. • Mòdul d’incidències: permet que tots els treballadors puguin exposar els seus problemes amb les diferents aplicacions, per tal que el departament d’informàtic hi posi solució. Esta obert a peticions.. 7.

(13) Topologia de xarxa. Anàlisis diferencial Control ISO 27001 OK? Justificació 5.POLÍTIQUES DE SEGURETAT. 5.1 Directrius de l'Adreça en seguretat de la informació. 5.1.1 Conjunt de polítiques per a la NO Es disposa d’un document el qual molts seguretat de la informació. treballadors desconeixen. 5.1.2 Revisió de les polítiques per a la NO No s’actualitza la política de seguretat quan hi seguretat de la informació. ha canvis substancials 6. ASPECTES ORGANITZATIUS DE LA SEGURETAT DE LA INFORMACIÓ. 6.1 Organització interna. 6.1.1 Assignació de responsabilitats per a SI La direcció està compromesa i alineada amb la seguretat de la informació. l’objectiu de la seguretat 6.1.2 Segregació de tasques. SI El departament informàtic és l’encarregat de vetllar per la seguretat 6.1.3 Contacte amb les autoritats. NO No està especificat 6.1.4 Contacte amb grups d'interès NO No està especificat especial. 6.1.5 Seguretat de la informació en la No No està especificat gestió de projectes. 6.2 Dispositius per a mobilitat i teletreball. 6.2.1 Política d'ús de dispositius per a SI Es disposa de documentació amb les regles a mobilitat. seguir així com consells d’us. 6.2.2 Teletreball. NO No aplica 7. SEGURETAT LLIGADA ALS RECURSOS HUMANS. 7.1 Abans de la contractació. 7.1.1 Investigació d'antecedents. SI RRHH s’encarrega de comprovar que els empleats compleixin amb l’ètica de l’empresa. 7.1.2 Termes i condicions de contractació. SI Els futurs treballadors firmes un acord de responsabilitat sobre la infraestructura. 7.2 Durant la contractació. 7.2.1 Responsabilitats de gestió. SI Estan definits els rols i les polítiques dels grups 7.2.2 Conscienciació, educació i NO Part de la plantilla no ha tingut formació capacitació en seguretat de la informació. específica en seguretat.. 8.

(14) 7.2.3 Procés disciplinari.. NO. No s’han establert per escrit els mecanismes de control disciplinari.. 7.3 Cessament o canvi de lloc de treball. 7.3.1 Cessament o canvi de lloc de treball.. SI. S’aplica un procediment sobre les funciones, drets i deures quan un treballador abandona l’empresa.. 8. GESTIÓ D'ACTIUS. 8.1 Responsabilitat sobre els actius. 8.1.1 Inventari d'actius. 8.1.2 Propietat dels actius.. NO SI. 8.1.3 Ús acceptable dels actius.. SI. 8.1.4 Devolució d'actius.. SI. Existeix un inventari que no s’actualitza S’identifica a qui pertany cada actiu i qui en porta el manteniment Existeix documentació els quals els treballadors coneixen on s’identifica i es documenta com actuar amb els equips. Existeix documentació que reflecteix la devolució d’actius, per projecte, feina, etc.. 8.2 Classificació de la informació. 8.2.1 Directrius de classificació.. SI. 8.2.2 Etiquetatge i manipulat de la informació. 8.2.3 Manipulació d'actius.. SI SI. 8.3 Maneig dels suports d'emmagatzematge. 8.3.1 Gestió de suports extraïbles. NO 8.3.2 Eliminació de suports. NO 8.3.3 Suports físics en trànsit.. NO. 9. CONTROL D'ACCESSOS. 9.1 Requisits de negoci per al control d'accessos. 9.1.1 Política de control d'accessos. SI 9.1.2 Control d'accés a les xarxes i serveis associats. 9.2 Gestió d'accés d'usuari. 9.2.1 Gestió d'altes/baixes en el registre d'usuaris. 9.2.2 Gestió dels drets d'accés assignats a usuaris. 9.2.3 Gestió dels drets d'accés amb privilegis especials. 9.2.4 Gestió d'informació confidencial d'autenticació d'usuaris. 9.2.5 Revisió dels drets d'accés dels usuaris. 9.2.6 Retirada o adaptació dels drets d'accés 9.3 Responsabilitats de l'usuari. 9.3.1 Ús d'informació confidencial per a. NO. La informació esta classificada segons criticitat i sensibilitat. Tota la informació és etiquetada i classificada. Està procedimentat i informatitzat, se segueixen les directrius de la organització. No està definit Procediment insuficient només es realitza una formatació de les unitats. S’utilitza la furgoneta per transportar la informació sense cap mesura de seguretat.. Existeix un política d’accessos a les zones sensibles. Existeixen usuaris genèrics que dificulten el control.. SI. Es segueix un procediment establert. SI. Existeix una gestió de privilegia per perfil i usuari. Els usuaris administradors i perfils transversals estan restringits. Les credencials dels usuaris estan correctament tractades. No hi ha definit cap període de validació o correcció de permisos. Parcialment implementat, existeixen usuaris antics amb alguns permisos encara actius.. SI SI NO NO. NO. 9. S’han detectat les credencials d’alguns usuaris.

(15) l'autenticació. 9.4 Control d'accés a sistemes i aplicacions. 9.4.1 Restricció de l'accés a la informació. SI 9.4.2 Procediments segurs d'inici de sessió.. NO. 9.4.3 Gestió de contrasenyes d'usuari. 9.4.4 Ús d'eines d'administració de sistemes. 9.4.5 Control d'accés al codi font dels programes 10. XIFRAT. 10.1 Controls criptogràfics. 10.1.1 Política d'ús dels controls criptogràfics. 10.1.2 Gestió de claus. 11. SEGURETAT FÍSICA I AMBIENTAL. 11.1 Àrees segures. 11.1.1 Perímetre de seguretat física. 11.1.2 Controls físics d'entrada.. NO SI. 11.1.3 Seguretat d'oficines, despatxos i recursos. 11.1.4 Protecció contra les amenaces externes i ambientals. 11.1.5 El treball en àrees segures.. SI. 11.1.6 Àrees d'accés públic, càrrega i descàrrega. 11.2 Seguretat dels equips. 11.2.1 Emplaçament i protecció d'equips.. SI. 11.2.2 Instal·lacions de subministrament. 11.2.3 Seguretat del cablejat.. SI NO. SI. amb papers al costat de la pantalla. Estan definits uns rols i permisos que limiten l’accés a determinades àrees i funcionalitats. No tots els equips demanen les credencials per iniciar sessió. Es permet la utilització de contrasenyes dèbils. Els usuaris tenen limitades les funcions als seus respectius sistemes operatius. Es segueix un procediment establert que en limita l’accés.. -. No es contempla. -. No es contempla. SI SI. Existeix un mur Càmeres de seguretat d’enregistrament continuat. Tots els despatxos disposen del seu joc de claus.. SI NO. SI. 11.2.4 Manteniment dels equips. NO 11.2.5 Sortida d'actius fora de les SI dependències de l'empresa. 11.2.6 Seguretat dels equips i actius fora SI de les instal·lacions. 11.2.7 Reutilització o retirada segura de NO dispositius d'emmagatzematge. 11.2.8 Equip informàtic d'usuari desatès. NO 11.2.9 Política de lloc de treball buidat i NO bloqueig de pantalla. 12. SEGURETAT EN L'OPERATIVA. 12.1 Responsabilitats i procediments d'operació. 12.1.1 Documentació de procediments SI d'operació. 12.1.2 Gestió de canvis. SI. 10. Existeix un pla de seguretat i hi ha mesures contra incendis. No existeix un protocol específic de com actuar al CPD. La xarxa de les botigues esta correctament delimitada. Tots els equips estan degudament encadenats als llocs de treball. Els equips sensibles disposen d’un SAI. Existeixen punts de connexió habilitades sense us. No existeix un manteniment preventiu. Existeix un registre L’accés a través del túnel VPN esta degudament protegit i moltes operacions no estan permeses. No està definit. Alguns usuaris no bloquegen la sessió. No està implementat. Existeixen els procediments i són accessibles a tota la organització Es revisen amb els canvis d’operativa.

(16) 12.1.3 Gestió de capacitats. SI Es monitoritzen els actius més crítics. 12.1.4 Separació d'entorns de SI Existeix un entorn de desenvolupament separat desenvolupament, prova i producció. del de producció. 12.2 Protecció contra codi maliciós. 12.2.1 Controls contra el codi maliciós. SI Es disposa del programari específic 12.3 Còpies de seguretat. 12.3.1 Còpies de seguretat de la NO Es fan backup però no existeix un política com a informació. tal,. 12.4 Registre d'activitat i supervisió. 12.4.1 Registre i gestió d'esdeveniments SI Es fa una gestió dels LOGS amb un programari. d'activitat. 12.4.2 Protecció dels registres SI Es fa un control de versió. d'informació. 12.4.3 Registres d'activitat de SI Es revisen els LOGS. l'administrador i operador del sistema. 12.4.4 Sincronització de rellotges. SI Existeix un servidor NTP dins la organització. 12.5 Control del programari en explotació. 12.5.1 Instal·lació del programari en SI Només s’instal·la després de ser testejat en un sistemes en producció. entorn segur. 12.6 Gestió de la vulnerabilitat tècnica. 12.6.1 Gestió de les vulnerabilitats SI S’analitzen les vulnerabilitats i s’implementen tècniques. segons un valor de risc. 12.6.2 Restriccions en la instal·lació de SI Existeix una llista de programari acceptat a la programari. organització. 12.7 Consideracions de les auditories dels sistemes d'informació. 12.7.1 Controls d'auditoria dels sistemes NO No està establert el mecanisme per minimitzard'informació. ne l’impacte. 13. SEGURETAT EN LES TELECOMUNICACIONS. 13.1 Gestió de la seguretat en les xarxes. 13.1.1 Controls de xarxa. SI Els elements de xarxa limiten l’accés i l’ample de banda a determinats serveis. 13.1.2 Mecanismes de seguretat associats SI Hi ha implementades QoS en els equips de a serveis en xarxa. xarxa. 13.1.3 Segregació de xarxes. SI S’utilitza subnnetting 13.2 Intercanvi d'informació amb parts externes. 13.2.1 Polítiques i procediments SI La organització és conscient de quina d'intercanvi d'informació. informació pot traspassar-se. 13.2.2 Acords d'intercanvi. SI Existeixen acords amb alguns proveïdors. 13.2.3 Missatgeria electrònica. SI S’aplica una política adaptada de les transaccions tradicionals. 13.2.4 Acords de confidencialitat i secret. SI Tots els documents involucrats incorporen una ressenya de confidencialitat. 14. ADQUISICIÓ, DESENVOLUPAMENT I MANTENIMENT DELS SISTEMES D'INFORMACIÓ. 14.1 Requisits de seguretat dels sistemes d'informació. 14.1.1 Anàlisi i especificació dels requisits SI Quan es crea una aplicació o applet es té en de seguretat. compte la seguretat. 14.1.2 Seguretat de les comunicacions en SI Existeix un Firewall amb normes restrictives. serveis accessibles per xarxes públiques. 14.1.3 Protecció de les transaccions per NO Actulament no es disposa de carro de compra a xarxes telemàtiques. la pàgina web.. 11.

(17) 14.2 Seguretat en els processos de desenvolupament i suport. 14.2.1 Política de desenvolupament segur SI Es testeja tot el programari abans d’entrar a de programari. producció. 14.2.2 Procediments de control de canvis SI Existeix un registre de canvis. en els sistemes. 14.2.3 Revisió tècnica de les aplicacions SI Només es migra de versió quan existeix una després d'efectuar canvis en el sistema versió testejada i confiable. operatiu. 14.2.4 Restriccions als canvis en els SI Es minimitzen els canvis de programari. paquets de programari. 14.2.5 Ús de principis d'enginyeria en SI Existeixen procediments protecció de sistemes. 14.2.6 Seguretat en entorns de SI Els entorns de desenvolupament estan aïllats desenvolupament. 14.2.7 Externalització del SI Es manté un control sobre a quins recursos desenvolupament de programari. tenen accés. 14.2.8 Proves de funcionalitat durant el SI S’apliquen formen part del procés desenvolupament dels sistemes. 14.2.9 Proves d'acceptació. SI S’apliquen formen part del procés. 14.3 Dades de prova. 14.3.1 Protecció de les dades utilitzades en SI Les proves sempre es fan amb informació no proves. sensible. 15. RELACIONS AMB SUBMINISTRADORS. 15.1 Seguretat de la informació en les relacions amb subministradors. 15.1.1 Política de seguretat de la SI Existeix un document de relació amb els informació per a subministradors. proveïdors, 15.1.2 Tractament del risc dintre d'acords SI Està procedimentat de subministradors. 15.1.3 Cadena de subministrament en SI Es tracta amb un reduït nombre de proveïdors tecnologies de la informació i en els quals existeixen acord contractuals. comunicacions. 15.2 Gestió de la prestació del servei per subministradors. 15.2.1 Supervisió i revisió dels serveis SI L’empres audita els seus proveïdors prestats per tercers. 15.2.2 Gestió de canvis en els serveis SI Els canvis són avaluats. prestats per tercers. 16. GESTIÓ D'INCIDENTS EN LA SEGURETAT DE LA INFORMACIÓ. 16.1 Gestió d'incidents de seguretat de la informació i millores. 16.1.1 Responsabilitats i procediments. NO Parcialment documentat, no estan definides totes les casuístiques. 16.1.2 Notificació dels esdeveniments de SI Existeix un canal i un procediment de seguretat de la informació. notificació. 16.1.3 Notificació de punts febles de la SI Col·laboradors i treballadors poden reportar els seguretat. perills d’una forma simple. 16.1.4 Valoració d'esdeveniments de SI S’avaluen els esdeveniments i es classifiquen seguretat de la informació i presa de segons un vàrem preestablert. decisions. 16.1.5 Resposta als incidents de seguretat. SI Es segueix el procediment establert. 16.1.6 Aprenentatge dels incidents de SI Després d’un accident hi ha un temps de seguretat de la informació. reflexió i es busquen punts de millora de l’actuació.. 12.

(18) 16.1.7 Recopilació d'evidències.. SI. Es recopilen evidències per en cas de necessitat poder posar la denuncia corresponent. 17. ASPECTES DE SEGURETAT DE LA INFORMACIÓ EN LA GESTIÓ DE LA CONTINUÏTAT DEL NEGOCI. 17.1 Continuïtat de la seguretat de la informació. 17.1.1 Planificació de la continuïtat de la SI Existeix un Disaster recovery plan seguretat de la informació. 17.1.2 Implantació de la continuïtat de la NO No està contemplat en el pla. seguretat de la informació. 17.1.3 Verificació, revisió i avaluació de la NO No està definit continuïtat de la seguretat de la informació. 17.2 Redundàncies. 17.2.1 Disponibilitat d'instal·lacions per al SI Es disposa del segon local amb connexió a processament de la informació. Internet. 18. COMPLIMENT. 18.1 Compliment dels requisits legals i contractuals. 18.1.1 Identificació de la legislació SI Es disposa da la informació. aplicable. 18.1.2 Drets de propietat intel·lectual SI Estan correctament definits (DPI). 18.1.3 Protecció dels registres de SI Esta correctament procedimentat. l'organització. 18.1.4 Protecció de dades i privadesa de la SI Les dades més sensibles i de la protecció de informació personal. dades disposen dels nivells de seguretat adients. 18.1.5 Regulació dels controls SI S’utilitzen segons els estàndards. criptogràfics. 18.2 Revisions de la seguretat de la informació. 18.2.1 Revisió independent de la seguretat NO No es realitza per part de terceres parts. de la informació. 18.2.2 Compliment de les polítiques i SI Cada encarregat d’àrea verifica conjuntament normes de seguretat. amb el director d’informàtica que es compleix la normativa. 18.2.3 Comprovació del compliment SI Tot el maquinari compleix amb els estàndards de seguretat i de qualitat europeus.. L’empresa disposa d’elements de seguretat que la permeten gaudir d’un cert nivell de seguretat, no obstant no compleix en altres aspectes fet que fa que no pugui passa r una certificació sense introduir un seguit de canvis i/o millores. A destacar, l’empresa ha generat diversa informació durant els seus anys, no obstant aquesta no s’actualitza periòdicament (es fa quan es crea una necessitat) ni tampoc els integrants de la organització són conscients dels seus drets i deures (no es segueix el manual de bones pràctiques). Com a conseqüència d’aquesta falta de revisió (control de canvis) no estan suficientment implementats els rols i responsabilitats de cada àrea. Tampoc existeix una política de còpies de seguretat, aquestes es fan quan al departament de sistemes ho creu convenient, sense cap criteri formal.. 13.

(19) Fase 2: Sistema de Gestió Documental Aquest sistema de gestió documental es basa amb la documentació pròpia de la norma ISO/IEC 270001. Observem amb més detall aquesta documentació. Pel cas que ens ocupa ens centrarem en uns determinats documents per tal de superar la ISO/IEC 27001. • • • • • • •. Política de seguretat Procediment d’auditories internes Gestió d’indicadors Procediment de revisió per la direcció Gestió de rols i responsabilitats Metodologia d’anàlisis de riscs Declaració d’aplicabilitat. Per tal de facilitar la llegibilitat del document s’han incorporat com a annex.. Política de seguretat Per consultar el procediment de la política de seguretat vegeu annex 1. Procediment d’auditories internes Per consultar el procediment d’auditories internes vegeu annex 2. Gestió d’indicadors Per consultar la gestió d’indicadors vegeu annex 3. Procediment de revisió per la direcció Per consultar el procediment de revisió per la direcció vegeu annex 4. Gestió de rols i responsabilitats Per consultar la gestió de rols i responsabilitats vegeu annex 5. Metodologia d’anàlisis de riscs Per consultar la metodologia d’anàlisis de riscs vegeu annex 6. Declaració d’aplicabilitat Per consultar la declaració d’aplicabilitat vegeu annex 7. 14.

(20) A mode resum podem dir que és aplicable gairebé la totalitat de la norma, els únics punts que no apliquen són els punts següents: • 6.1.3 Contacte amb les autoritats. • 6.1.4 Contacte amb grups d'interès especial. • 10. Xifrat El motiu és que donada l’activitat i el sector en el que s’ubica l’empresa no és necessari disposar d’aquest tipus de controls.. 15.

(21) Fase 3: Anàlisis de Riscos Introducció En aquesta fase s’avaluarà els actius de la organització, es documentaran les dependències existents entre ells i es realitzarà una valoració global dels mateixos. L’impacte d’aquest anàlisis de riscos dependrà en gran mesura dels valors que assignem a cada un dels actius. Establirem el risc real i residual que acceptarà la organització.. Inventari d’actius Per tal de poder realitzar l’anàlisis, ens cal identificar els actius que estan lligats directa o indirectament amb el SGSI. Hem optat per utilitzar la metodologia MAGERIT i classificarem els actius pels elements següents: • • • • • • • •. Instal·lacions Hardware Aplicació Dades Xarxa Serveis Equipament auxiliar Personal. Incloem la llista dels actius e l’apartat Taula resum de valoració.. Valoració dels actius Un cop tenim inventariats els actius de l’empresa, ens cal donar una valoració a aquests actius. Seguint amb la metodologia MAGERIT. El sentit comú indica que el cost de les mesures no podrà superar el cost de l’actiu a protegir. Aquesta valoració no és una tasca gens senzilla, ja que s’han de tenir en compte diferents factors com poden ser el cost de substitució de l’actiu, penalitzacions, degradació d’imatge, pèrdua de facturació, etc. Realitzarem aquesta valoració amb 5 rangs i els posarem conjuntament amb la taula d’actius. Valoració d’actius Descripció Abreviatura Molt alt MA Alt. A. Rang Valor > 200.000€ 100.000 < valor > 200.000€ 16. Valor 300.000 € 150.000 €.

(22) Mitjà Baix Molt Baix. M B MB. 50.000 €< valor> 100.000€ 75.000 € 10.000 €< valor> 50.000€ 30.000 € 5.000 €< valor> 10.000€ 10.000 €. Observarem la relació actiu-valoració en l’apartat Taula Resum de valoració.. Dimensions de seguretat Conjuntament amb la valoració dels actius és recomanable indicar quin és l’aspecte de seguretat més crític. Totes aquestes valoracions seran claus per tal de poder establir més endavant quines són les salvaguardes més adequades. Realitzarem una valoració ACID-T dels actius. Aquesta valoració mesura la criticitat a les cinc dimensions de la seguretat de la informació manegada pel procés de negoci. Aquesta valoració ens permetrà, a posteriori, valorar l’impacte que tindrà la materialització d’una amenaça sobre la part de l’actiu exposat (no cobert per les mesures preventives a cadascuna de les dimensions) El valor que rebi un actiu pot ser propi o acumulat. El valor propi s’assignarà a la informació, quedant la resta d’actius subordinats a les necessitat d’explotació i protecció de la informació. D’aquesta manera, els actius inferiors en un esquema de dependències acumulen el valor dels actius que es recolzen en ells. Cada actiu de informació pot tenir un valor diferent a cadascuna de les diferents dimensions per a la organització que desitgem analitzar. Tot seguit definim les 5 dimensions que utilitzarem: • Autenticitat: garanteix que els usuaris i processos són qui diuen que són. • Confidencialitat: només els usuaris autoritzats tenen accés a la informació classificada segons els nivells de confidencialitat establerts. • Integritat: la informació és completa i exacta i que per tant no ha estat manipulada sense autorització. • Disponibilitat: la informació i/o recursos estan disponibles pels usuaris quan la necessiten. • Traçabilitat: permet tenir un diari, del procés o la informació, fet que ens permet determinar qui ha realitzat els últims canvis, accessos, etc.. Un cop explicades les cinc dimensions, s’ha de tenir present l’escala a la que es realitzaran les valoracions. En aquest cas utilitzarem una escala de valoració de deu valors, seguint els següents criteris: VALOR 10 7-9 4-6 1-3 0. CRITERI Dany molt greu a la organització Dany greu a la organització Dany important a la organització Dany menor a la organització Dany irrellevant a la organització. 17.

(23) En el moment de realitzar ponderacions per a cada actiu, s’ha de tenir present la importància o participació de l’actiu a la cadena de valor del servei, evitant situacions del tipus “tot es molt important” i obligant així als responsables de realitzar aquestes valoracions a discernir entre el que és realment important i el que no ho és. Es valoraran els actius com de importància “Molt alta”, “Alta”, “Mitja”, “Baixa” o “Irrellevant” a la vegada que s’assignarà a cada actiu en cada dimensió una valoració del 0 al 10.. 18.

(24) Taula resum de valoració Actiu. I.3. Sala de comunicacions Botiga 2. Aspectes crítics Dep Valor A C I D T H, MA 10 10 10 10 10 X, A 8 8 7 8 8 EA, P M 7 7 7 7 7. Hardware. H.1 H.2 H.3 H.4 H.5 H.6 H.9 H.10 H.11 H.12 H.13 H.14 H.15 H.16 H.17. Servidor HP Servidor web Servidor Intranet Servidor de correu Firewall Fortinet 3 Switch Catalyst 48 ports 5 TPVs 24 ordinadors 3 portàtils 3 Routers ADSL Router FTTH + CdM 8 Acces Points Aironet 3 Impresores Laserjet HP Multifunció RICOH Aficio Suports extraïbles. B MB MB MB B I, A, B X, S, MB D, A EA, B P B M B MB MB B. 6 8 7 8 6 8 7 8 6 8 7 8 6 8 7 8 6 8 7 8 5 7 7 10 7 5 6 10 5 7 5 5 5 7 2 5 5 8 8 7 5 8 8 9 8 7 5 2 6 8 8 8 6 8 8 8 8 10 10 10. 5 5 5 5 8 5 5 5 2 8 8 2 6 7 8. Aplicació. A.1 A.2 A.3 A.4 A.5. VMWARE Debian Windows Server 2008 Windows 7 ERP propi. B H, B D, B X, P B M. 6 6 6 6 6. 7 7 7 6 7. 6 6 6 6 6. 8 7 7 7 8. 6 6 6 6 6. Dades. D.1 D.2 D.3 D.4 D.5 D.6 D.7. Dades intranet Base de dades de clients Base de dades d'empleats Base de dades de proveïdors i facturació Base de dades d'inventari Codi font d'aplicacions Registre de Logs i diaris.. M MA H, A A, MA S, X, P MA MA B. 8 8 8 8 8 8 6. 7 6 6 7 4 8 4. 7 7 7 7 7 7 4. 8 8 8 8 8 6 4. 4 4 4 4 4 4 7. Xarxa. X.1 X.2 X.3 X.4 X.5. Xarxa FastEthernet local Línia botiga 1 ADSL Línia principal Central FTTH Línia backup Central ADSL Línia Botiga 3 ADSL. MB I, H, MB EA, MB P MB MB. 7 7 7 7 7. 7 7 7 7 7. 7 10 7 8 7 10 7 6 7 8. 4 4 4 4 4. Àmbit. ID I.1 Instal·lacions I.2. Actiu Centre de Processament de dades (CPD) Sala de comunicacions Botiga 1. 19.

(25) Actiu Àmbit. Serveis. ID S.1 S.2 S.3 S.4 S.5 S.6 S.7. Actiu Servei d'Intranet Servei d'Internet Correu electrònic Servei d'impresió Consulta i modificació d'inventaris Consulta i modificació de clients Consulta i modifcació d'empleats. S.8 S.9. Consulta i modifcació de proveïdors i facturació Servei de WIFI de cortesia. EA.1 EA.2 Equipament EA.3 auxiliar EA.4 EA.5. Personal. Sistema Ininterromput d'energiia (SAI) Cablejat estructurat Categoria 5e Equips de climatizació CPD Armaris de telecomunicacions Alarmes i sensors. Dep Valor M B M B H, A A, M X, P B M B MB B I, P MB MB B. P.1 P.2 P.3 P.4 P.5 P.6 P.7 P.8. Director General Sotsdirector Director de RRHH Adminsitratiu de RRHH Director de Màrqueting Dissenyador gràfic Administratiu de màrqueting Director de finances. P.1 P.1 P.3 P.1 P.5 P.5 P.1. B B MB B MB MB MB B. P.9 P.10 P.11 P.12 P.13 P.14 P.15 P.16 P.17 P.18. Administratiu de comptabilitat i finances Encarregat de botiga Venedors Director d'informàtica Administrador de sistemes Desenvolupador web Tècnic informàtic Director de logística Mosso de magatzem Tècnics de camp. P.8 P.2 P.10 P.1 P.12 P.12 P.12 P.2 P.16 P.10. MB MB MB M B MB MB B MB MB. 20. A 8 8 8 4 8 8 8. Aspectes crítics C I D 7 8 7 7 8 5 7 8 7 4 4 5 4 8 8 4 8 8 4 8 6. 8 4 8 4 4 4 7 7 7 7 7. 7 8 7 7 7. 8 8 8 8 8. T 7 7 7 7 7 7 7. 6 7 3 3 9 10 9 9 8. 7 7 7 7 7.

(26) Anàlisis d’amenaces Els actius estan exposats a amenaces i aquestes poden afectar a diferents aspectes de la seguretat. A nivell metodològic volem analitzar quines amenaces poden afectar a quins actius. Un cop hem fet l’estudi, ens toca estimar la vulnerabilitat de cada actiu respecte a les amenaces potencials aixi com la freqüència estimada d’aquestes. El més habitual en un enfoc metodològic es disposar d’una taula inicial d’amenaces, moltes metodologies disposen de taules amb algunes de les amenaces més comunes. En el nostre cas, per un tema d’homogeneïtat utilitzarem també les utilitzades en MAGERIT ( en concret les que apareixen al llibre II “Catálogo de Elementos” punt 5). Les amenaces es troben classificades en els següents grans blocs: • Desastres naturals. • D’origen industrial • Errors i fallides no intencionades • Atacs intencionats La informació recopilada ha de donar lloc a una taula resum com la que es mostra a la figura següent per a cada actiu determinat. En definitiva, per cada tipus d’actiu s’analitzarà la freqüència amb la que es pot produir l'amenaça, així com el seu impacte a les diferents dimensions de la seguretat de l’actiu. Freqüència Descripció. Abreviatura Rang. Valor/365. Molt freqüent. EF. 1 vegada/ 3 dia. 180. Freqüent. MF. 1 vegada/mes. 12. Poc freqüent. F. 1 vegada / any. 1. Molt poc freqüent. PF. 1 vegada /3 anys. 0,25. Notem com a la fila identificadora de l’actiu, anotarem com impacte el màxim dels impactes que poden provocar les diferents amenaces. Impacte Descripció. Abreviatura. Valor. Molt alt. MA. 100%. Alt. A. 75%. Mitjà. M. 50%. Baix. B. 20%. Molt baix. MB. 5%. 21.

(27) El risc no serà en general eliminable (per exemple, probablement no podrem aïllar la nostre empresa o fer-la immune als desastres naturals), però si gestionable. Recordem que habitualment, el risc es gestiona no s’elimina.. Impacte potencial Un cop realitzada la taula anterior, i donat que coneixem els valors dels diferents actius, podem determinar l’impacte potencial que poden suposar per a l’empresa la materialització de les amenaces. Es tracte d’una dada rellevant, ja que permetrà prioritzar el pla d’acció, i a la vegada avaluar com es veu modificat el nomenat valor un con s’apliquen les contramesures. Impacte Potencial = Valor de l’actiu (dimensió) * Impacte (%). 22.

(28) Actiu. Àmbit. ID I.1 Instal·lacions I.2 I.3. Hardware. H.1 H.2 H.3 H.4 H.5 H.6 H.9 H.10 H.11 H.12 H.13 H.14 H.15 H.16. Valoració Actiu A C I D T A C Centre de Processament de dades (CPD) 10 10 10 10 10 Sala de comunicacions Botiga 1 8 8 7 8 8 Sala de comunicacions Botiga 2 7 7 7 7 7 Servidor HP Servidor web Servidor Intranet Servidor de correu Firewall Fortinet 3 Switch Catalyst 48 ports 5 TPVs 24 ordinadors 3 portàtils 3 Routers ADSL Router FTTH + CdM 8 Acces Points Aironet 3 Impresores Laserjet HP Multifunció RICOH Aficio. H.17 Suports extraïbles. 23. Impacte I D. T A 100% 0 100% 0 100% 0. Impacte Potencial C I D 0 0 10 0 0 8 0 0 7. 6 6 6 6 6 5 7 5 5 5 5 8 6 6. 8 8 8 8 8 7 5 7 7 8 8 7 8 8. 7 7 7 7 7 7 6 5 2 8 8 5 8 8. 8 8 8 8 8 10 10 5 5 7 9 2 8 8. 5 5 5 5 8 5 5 5 2 8 8 2 6 7. 100% 100% 100% 100% 75% 75% 20% 20% 20% 75% 75% 20% 20% 20%. 75% 75% 75% 75% 50% 50% 20% 20% 20% 50% 50% 20% 20% 20%. 100% 100% 100% 100% 100% 100% 100% 100% 100% 100% 100% 100% 100% 100%. 0 0 0 0 0 0 0 0 0 0 0 0 0 0. 8 8 8 8 6 5,3 1 1,4 1,4 6 6 1,4 1,6 1,6. 5,3 5,3 5,3 5,3 3,5 3,5 1,2 1 0,4 4 4 1 1,6 1,6. 8. 10. 10. 10. 8. 20%. 20%. 100%. 0. 2. 2. 8 8 8 8 8 10 10 5 5 7 9 2 8 8. T 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0. 10 0.

(29) Actiu Àmbit. ID A.1 A.2 Aplicació A.3 A.4 A.5. Dades. Xarxa. Actiu VMWARE Debian Windows Server 2008 Windows 7 ERP propi. A 6 6 6 6 6. Valoració C I D 7 6 7 6 7 6 6 6 7 6. T. A. 8 7 7 7 8. 6 6 6 6 6. 50% 50% 50% 50% 50% 50% 50% 50% 50% 50% 50% 50%. D.1 D.2 D.3 D.4 D.5 D.6 D.7. Dades intranet Base de dades de clients Base de dades d'empleats Base de dades de proveïdors i facturació Base de dades d'inventari Codi font d'aplicacions Registre de Logs i diaris.. 8 8 8 8 8 8 6. 7 6 6 7 4 8 4. 7 7 7 7 7 7 4. 8 8 8 8 8 6 4. 4 4 4 4 4 4 7. X.1 X.2 X.3 X.4. Xarxa FastEthernet local Línia botiga 1 ADSL Línia principal Central FTTH Línia backup Central ADSL. 7 7 7 7. 7 7 7 7. 7 7 7 7. 10 8 10 6. 7. 7. 7. 8. X.5 Línia Botiga 3 ADSL. 24. Impacte C I D T 50% 50% 50% 50% 50% 50% 50% 50% 50% 50% 50% 50% 50% 50% 50% 75% 75% 75% 75% 75% 75% 75%. 75% 75% 75% 75% 75% 75% 75%. 75% 75% 75% 75% 75% 75% 75%. 4 4 4 4. 75% 75% 75% 75%. 50% 50% 50% 50%. 4. 75%. A 3 3 3 3 3 50% 50% 50% 50% 50% 50% 50%. Impacte Potencial C I D T 3,5 3 4 3,5 3 3,5 3,5 3 3,5 3 3 3,5 3,5 3 4. 0 0 0 0 0. 4 4 4 4 4 4 3. 5,3 4,5 4,5 5,3 3 6 3. 5,3 5,3 5,3 5,3 5,3 5,3 3. 6 6 6 6 6 4,5 3. 2 2 2 2 2 2 3,5. 100% 100% 100% 100%. 0 0 0 0. 5,3 5,3 5,3 5,3. 3,5 3,5 3,5 3,5. 10 8 10 6. 0 0 0 0. 50% 100%. 0. 5,3. 3,5. 8. 0.

(30) Actiu Àmbit. ID A.1 A.2 Aplicació A.3 A.4 A.5. Dades. Xarxa. Actiu VMWARE Debian Windows Server 2008 Windows 7 ERP propi. A 6 6 6 6 6. Valoració C I D 7 6 7 6 7 6 6 6 7 6. T. A. 8 7 7 7 8. 6 6 6 6 6. 50% 50% 50% 50% 50% 50% 50% 50% 50% 50% 50% 50%. D.1 D.2 D.3 D.4 D.5 D.6 D.7. Dades intranet Base de dades de clients Base de dades d'empleats Base de dades de proveïdors i facturació Base de dades d'inventari Codi font d'aplicacions Registre de Logs i diaris.. 8 8 8 8 8 8 6. 7 6 6 7 4 8 4. 7 7 7 7 7 7 4. 8 8 8 8 8 6 4. 4 4 4 4 4 4 7. X.1 X.2 X.3 X.4. Xarxa FastEthernet local Línia botiga 1 ADSL Línia principal Central FTTH Línia backup Central ADSL. 7 7 7 7. 7 7 7 7. 7 7 7 7. 10 8 10 6. 7. 7. 7. 8. X.5 Línia Botiga 3 ADSL. 25. Impacte C I D T 50% 50% 50% 50% 50% 50% 50% 50% 50% 50% 50% 50% 50% 50% 50% 75% 75% 75% 75% 75% 75% 75%. 75% 75% 75% 75% 75% 75% 75%. 75% 75% 75% 75% 75% 75% 75%. 4 4 4 4. 75% 75% 75% 75%. 50% 50% 50% 50%. 4. 75%. A 3 3 3 3 3 50% 50% 50% 50% 50% 50% 50%. Impacte Potencial C I D T 3,5 3 4 3,5 3 3,5 3,5 3 3,5 3 3 3,5 3,5 3 4. 0 0 0 0 0. 4 4 4 4 4 4 3. 5,3 4,5 4,5 5,3 3 6 3. 5,3 5,3 5,3 5,3 5,3 5,3 3. 6 6 6 6 6 4,5 3. 2 2 2 2 2 2 3,5. 100% 100% 100% 100%. 0 0 0 0. 5,3 5,3 5,3 5,3. 3,5 3,5 3,5 3,5. 10 8 10 6. 0 0 0 0. 50% 100%. 0. 5,3. 3,5. 8. 0.

(31) Actiu Àmbit. ID P.1 P.2 P.3 P.4 P.5 P.6 P.7 P.8. Personal P.9 P.10 P.11 P.12 P.13 P.14 P.15 P.16 P.17. Actiu Director General Sotsdirector Director de RRHH Adminsitratiu de RRHH Director de Màrqueting Dissenyador gràfic Administratiu de màrqueting Director de finances. A. Valoració C I D. Administratiu de comptabilitat i finances Encarregat de botiga Venedors Director d'informàtica Administrador de sistemes Desenvolupador web Tècnic informàtic Director de logística Mosso de magatzem. P.18 Tècnics de camp. 26. 8 7 6 4 6 4 4 6. 75% 75% 75% 75% 75% 75% 75% 75%. Impacte I D 75% 75% 75% 75% 75% 75% 75% 75%. 4 4 3 8 7 6 6 6 3. 75% 75% 75% 75% 75% 75% 75% 75% 75%. 75% 75% 75% 75% 75% 75% 75% 75% 75%. 75% 75% 75% 75% 75% 75% 75% 75% 75%. 0 0 0 0 0 0 0 0 0. 0 0 0 0 0 0 0 0 0. 0 0 0 0 0 0 0 0 0. 3 3 2,3 6 5,3 4,5 4,5 4,5 2,3. 0 0 0 0 0 0 0 0 0. 3. 75%. 75%. 75%. 0. 0. 0. 2,3. 0. T. A C. Impacte Potencial T A C I D 75% 0 0 0 6 75% 0 0 0 5,3 75% 0 0 0 4,5 75% 0 0 0 3 75% 0 0 0 4,5 75% 0 0 0 3 75% 0 0 0 3 75% 0 0 0 4,5. T 0 0 0 0 0 0 0 0.

(32) Nivell de Risc Acceptable i risc Residual Es necessari definir un límit a partir del qual podem decidir si assumir un risc o per el contrari no assumir-ho i per tant aplicar els controls. Imagineu que assumim que el nivell de risc acceptable es “mitjà”, així tot el que estigui per sota d’aquest nivell de risc no suposarà una amenaça important per a l’Organització, i per tant no ens interessarà. Tot el contrari si el nivell de risc supera el nivell acceptable, en aquest cas haurem d’establir controls per a reduir-ho. Per tal d’establir aquest nivell de risc el calcularem a partir del producte de la freqüència i l’impacte potencial calculat a l’apartat anterior. Risc = Impacte Potencial * Freqüència Un cop coneixem l’estat de risc de la organització podem prendre decisions a partir del llindar de l’estat de risc assumible per l’empresa. En aquest cas la direcció de l’empresa assumeix un nivell de risc de 2. Per tant s’hauran d’establir controls per tal que el risc residual sigui inferior a aquest llindar. Per altre banda, un cop establert el control, es reduirà el risc, però aquest continuarà existint ( el desitjable es aconseguir reduir-ho per a que estigui per sota del nivell acceptable).. 27.

(33) Actiu Àmbit. Instal·lacions. Hardware. Impacte Potencial Freq /365 A C I D. ID. Actiu. I.1 I.2 I.3. Centre de Processament de dades (CPD) Sala de comunicacions Botiga 1 Sala de comunicacions Botiga 2. H.1 H.2 H.3 H.4 H.5 H.6 H.9 H.10 H.11 H.12 H.13 H.14 H.15 H.16. Servidor HP Servidor web Servidor Intranet Servidor de correu Firewall Fortinet 3 Switch Catalyst 48 ports 5 TPVs 24 ordinadors 3 portàtils 3 Routers ADSL Router FTTH + CdM 8 Acces Points Aironet 3 Impresores Laserjet HP Multifunció RICOH Aficio. 180 180 180 180 12 12 180 180 180 12 12 180 180 180. H.17. Suports extraïbles. 28. 12 0 12 0 12 0. 0 0 0. 0 0 0. 0 0 0 0 0 0 0 0 0 0 0 0 0 0. 8 8 8 8 6 5,25 1 1,4 1,4 6 6 1,4 1,6 1,6. 5,25 5,25 5,25 5,25 3,5 3,5 1,2 1 0,4 4 4 1 1,6 1,6. 180 0. 2. 2. T A C. 10 0 0 8 0 0 7 0 0. Risc Acumulat I D. T. 0 0 0. 0 0 0. 0 0 0 0 0 0 0 0 0 0 0 0 0 0. 3,95 3,95 3,95 3,95 0,2 0,17 0,49 0,69 0,69 0,2 0,2 0,69 0,79 0,79. 2,59 2,59 2,59 2,59 0,12 0,12 0,59 0,49 0,2 0,13 0,13 0,49 0,79 0,79. 3,95 3,95 3,95 3,95 0,26 0,33 4,93 2,47 2,47 0,23 0,3 0,99 3,95 3,95. 10 0 0. 0,99. 0,99. 4,93 0. 8 8 8 8 8 10 10 5 5 7 9 2 8 8. 0 0 0 0 0 0 0 0 0 0 0 0 0 0. 0,33 0 0,26 0 0,23 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0.

(34) Actiu Àmbit. ID A.1 A.2 Aplicació A.3 A.4 A.5. Dades. Xarxa. A 3 3 3 3 3. Impacte Potencial Risc Acumulat C I D T A C I D T 3,5 3 4 0 1,48 1,73 1,48 1,97 0 3,5 3 3,5 0 1,48 1,73 1,48 1,73 0 3,5 3 3,5 0 1,48 1,73 1,48 1,73 0 3 3 3,5 0 1,48 1,48 1,48 1,73 0 3,5 3 4 0 1,48 1,73 1,48 1,97 0. Actiu VMWARE Debian Windows Server 2008 Windows 7 ERP propi. 180 180 180 180 180. D.1 D.2 D.3. Dades intranet Base de dades de clients Base de dades d'empleats. 180 4 180 4 180 4. 5,25 4,5 4,5. 5,25 5,25 5,25. D.4 D.5 D.6 D.7. Base de dades de proveïdors i facturació Base de dades d'inventari Codi font d'aplicacions Registre de Logs i diaris.. 180 180 180 180. 4 4 4 3. 5,25 3 6 3. 5,25 6 2 5,25 6 2 5,25 4,5 2 3 3 3,5. X.1 X.2 X.3 X.4. Xarxa FastEthernet local Línia botiga 1 ADSL Línia principal Central FTTH Línia backup Central ADSL. 12 12 12 12. 0 0 0 0. 5,25 5,25 5,25 5,25. 3,5 3,5 3,5 3,5. 10 8 10 6. X.5. Línia Botiga 3 ADSL. 12 0. 5,25. 3,5. 8. 29. 6 6 6. 2 1,97 2,59 2,59 2,96 0,99 2 1,97 2,22 2,59 2,96 0,99 2 1,97 2,22 2,59 2,96 0,99 1,97 1,97 1,97 1,48. 2,59 1,48 2,96 1,48. 2,59 2,59 2,59 1,48. 2,96 2,96 2,22 1,48. 0,99 0,99 0,99 1,73. 0 0 0 0. 0 0 0 0. 0,17 0,17 0,17 0,17. 0,12 0,33 0,12 0,26 0,12 0,33 0,12 0,2. 0 0 0 0. 0. 0 0,17 0,12 0,26. 0.

(35) Actiu Àmbit. Impacte Potencial A C I D T 1,6 3,5 4 5,25 3,5 1,6 3,5 4 3,75 3,5 1,6 3,5 4 5,25 3,5 0,8 2 2 3,75 3,5. A 0,05 0,05 0,05 0,03. Risc Acumulat C I D 0,12 0,13 0,17 0,12 0,13 0,12 0,12 0,13 0,17 0,07 0,07 0,12. ID S.1 S.2 S.3 S.4. Actiu Servei d'Intranet Servei d'Internet Correu electrònic Servei d'impresió. T 0,12 0,12 0,12 0,12. 12 12 12 12. S.5. Consulta i modificació d'inventaris. 12. 1,6. 2 4. 6. 3,5 0,05 0,07 0,13. 0,2 0,12. S.6. Consulta i modificació de clients. 12. 1,6. 2 4. 6. 3,5 0,05 0,07 0,13. 0,2 0,12. S.7. Consulta i modifcació d'empleats. 12. 1,6. 2 4. 4,5. 3,5 0,05 0,07 0,13 0,15 0,12. S.8 S.9. Consulta i modifcació de proveïdors i facturació Servei de WIFI de cortesia. 12 12. 1,6 0,8. 2 4 2 2. 4,5 2,25. 3,5 0,05 0,07 0,13 0,15 0,12 1,5 0,03 0,07 0,07 0,07 0,05. Sistema Ininterromput d'energiia EA.1 (SAI). 12. 0. 0 0. 9. 0. 0. 0. 0. 0,3. 0. Equipament EA.2 Cablejat estructurat Categoria 5e auxiliar EA.3 Equips de climatizació CPD EA.4 Armaris de telecomunicacions. 12 12 12. 0 0 0. 0 0 0 0 0 0. 10 9 9. 0 0 0. 0 0 0. 0 0 0. 0 0,33 0 0,3 0 0,3. 0 0 0. 12. 0. 0 0. 8. 0. 0. 0. 0 0,26. 0. Serveis. EA.5 Alarmes i sensors. 30.

(36) Actiu Àmbit. ID P.1 P.2 P.3 P.4 P.5 P.6 P.7 P.8. Personal P.9 P.10 P.11 P.12 P.13 P.14 P.15 P.16 P.17 P.18. A. Impacte Potencial Risc Acumulat C I D T A C I D T 0 0 6 0 0 0 0 0,2 0 0 0 5,25 0 0 0 0 0,17 0 0 0 4,5 0 0 0 0 0,15 0 0 0 3 0 0 0 0 0,1 0 0 0 4,5 0 0 0 0 0,15 0 0 0 3 0 0 0 0 0,1 0 0 0 3 0 0 0 0 0,1 0 0 0 4,5 0 0 0 0 0,15 0. Actiu Director General Sotsdirector Director de RRHH Adminsitratiu de RRHH Director de Màrqueting Dissenyador gràfic Administratiu de màrqueting Director de finances. 12 12 12 12 12 12 12 12. 0 0 0 0 0 0 0 0. Administratiu de comptabilitat i finances Encarregat de botiga Venedors Director d'informàtica Administrador de sistemes Desenvolupador web Tècnic informàtic Director de logística Mosso de magatzem. 12 12 12 12 12 12 12 12 12. 0 0 0 0 0 0 0 0 0. 0 0 0 0 0 0 0 0 0. 0 0 0 0 0 0 0 0 0. 3 3 2,25 6 5,25 4,5 4,5 4,5 2,25. 0 0 0 0 0 0 0 0 0. 0 0 0 0 0 0 0 0 0. 0 0 0 0 0 0 0 0 0. 0 0 0 0 0 0 0 0 0. 0,1 0,1 0,07 0,2 0,17 0,15 0,15 0,15 0,07. 0 0 0 0 0 0 0 0 0. Tècnics de camp. 12. 0. 0. 0. 2,25. 0. 0. 0. 0. 0,07. 0. 31.

(37) Resultats Un cop acabada aquesta tercera fase disposem de tres elements claus que ens serviran per encarar les següents parts del projecte. • Disposem d’un anàlisis detallat dels actius rellevants implicats directe o indirectament amb la seguretat de l’empresa. • S’han estudiat les possibles amenaces dels sistemes de la informació i s’ha quantificat l’impacte en els actius. • S’ha avaluat l’impacte potencial que suposa la posada en pràctica de les diferents amenaces dels nostres actius. Observem doncs que l’empresa té un repte important per aconseguir uns valors de risc acceptables per la direcció de l’empresa.. No obstant ha posat els fonaments per tal de que les accions es prioritzin en els punts claus per aconseguir els seus objectius. Resum executiu. Principals amenaces per tipus d’actiu. 32.

(38) 33.

(39) 34.

(40) 35.

(41) 36.

(42) Impacte potencial per actiu. 37.

(43) 38.

(44) 39.

(45) Fase 4: Propostes de projectes Un cop realitzat els anàlisis de riscos coneixem el nivell de risc actual a la organització. Per tant s’hauran de plantejar diferents projectes per tal de millorar l’estat de la seguretat. Llistat de projectes: • • • • • • • •. Projecte 1: Classificació de la informació Projecte 2: Formació dels treballadors Projecte 3: Bons hàbits i seguretat Projecte 4: Renovació de servidors. Projecte 5: Millora del sistema de backup energètic Projecte 6: Gestió de les còpies de seguretat Projecte 7:Assegurament dels actius al lloc de treball Projecte 8: Informació per part de RRHH. Projecte 1: Classificació de la informació Identificador Projecte Nom del projecte Abast Descripció. P/01 Data Classificació de la informació Tot el sistema d’informació.. 01/05/2015. Establir una millor classificació de la informació depenent de la seva confidencialitat i criticitat. per tal de focalitzar l’esforç en protegir el que realment és important. Inventariat de les fonts d’informació, agrupació segons les directrius de l’empresa. Simplificació mitjançant rols departamentals i de jerarquia funcional dins la organització. Objectius Classificar la informació Simplificació de les classificacions Destinar esforços en el que és important protegir Actualització de documentació Controls ISO implicats Aspectes organitzatius de la seguretat de la informació Gestió d'actius Control d'accessos Durada del projecte Durada del projecte: 6 mesos. Contacte amb un especialista en el sector perquè ens acompanyi durant el procés de definició i implementació. Cost humà Especialista i departament TIC Cost econòmic. 4.000 €. Responsable. 40. Director informàtic.

(46) Projecte 2: Formació dels treballadors Identificador Projecte Nom del projecte. Abast Descripció. P/02 Data Formació dels treballadors. 01/05/2015. Tots els empleats de l’empresa així com col•laboradors que en un moment donat poden utilitzar els sistemes d’informació de l’empresa.. En aquest projecte es buscarà aprofundir la conscienciació global de l’empresa en relació amb la seguretat. Mitjançant la formació periòdica i continua dels treballadors Objectius Sensibilització dels treballadors davant del risc de la seguretat. Millorar el coneixement global de la documentació Establir bones pràctiques en relació a la seguretat i l’entorn de treball Reducció d’incidències Denuncia per part dels usuaris davant d’un incident. Resolució de dubtes freqüents. Controls ISO implicats Polítiques de seguretat Aspectes organitzatius de la seguretat de la informació Seguretat lligada als recursos humans Gestió d'actius Seguretat física i ambiental Gestió d'incidents en la seguretat de la informació Durada del projecte 6 mesos mitjançant sessions formatives, es realitzaran en grups de 5 persones agrupades per perfil. Es realitzaran proves d’avaluació per tal de veure si realment s’assoleixen els coneixements Cost humà Departament TIC, hores lectives de tota la organització 3.000 € Cost econòmic Responsable. 41. Director informàtic.

(47) Projecte 3: Bons hàbits i seguretat Identificador Projecte Nom del projecte Abast Descripció. P/03 Data Bons hàbits i seguretat Tots els empleats de l’empresa. 01/05/2015. Aconseguir augmentar el grau de satisfacció dels treballadors i lluitar contra l’absentisme laboral i les rotacions de personal Objectius Sensibilització dels treballadors en temes de salut Fomentar deixar el tabac Recordar bons hàbits per tal de no patir mals d’esquena, oïda o visuals. Recordar la importància de tenir l’entorn de treball net i sense obstacles. Increment de les hores útils treballades per reducció de baixes. Es potenciarà fer activitats esportives fora de l’entorn de treball. Controls ISO implicats Aspectes organitzatius de la seguretat de la informació Control d'accessos Seguretat física i ambiental Durada del projecte 4 mesos. S’impartiran sessions formatives obertes a tots els treballadors. Es crearà un apartat específic a la intranet de l’empresa on es trobarà informació relacionada amb el camp de la salut. Cost humà Departament de Recursos Humans, hores lectives de tota la organització 6.000 € Cost econòmic Responsable Director informàtic. 42.

(48) Projecte 4: Renovació de servidors. Identificador Projecte P/04 Data 01/05/2015 Nom del projecte Renovació de servidors Abast Servidors i maquinari involucrat Descripció Implantar un rol d’actualització i manteniment dels servidors per tal d’augmentar les hores amb els serveis actius. Actualment la organització té uns servidors amb uns discs durs que porten acumulades masses hores de servei. Fet que el fa propens a tenir fallades. Objectius Augmentar la capacitat global de càlcul Augmentar la disponibilitat global Actualització de versions Millora de la seguretat Estabilitat i escalabilitat dels equips Controls ISO implicats Seguretat física i ambiental Adquisició, desenvolupament i manteniment dels sistemes d'informació Durada del projecte 9 mesos. Cerca de solucions efectives al mercat, formació dels professionals del TIC i procés de migració. Cost humà Departament TIC, formació pel nou entorn als agents implicats 20.000 € Cost econòmic Responsable. 43. Director informàtic.

(49) Projecte 5: Millora del sistema de backup energètic Identificador Projecte Nom del projecte Abast Descripció. P/05 Data Millora del sistema de backup energètic CPD. 01/05/2015. Assegurar un subministrament elèctric ininterromput a la sala de comunicacions per tal de minimitzar l’impacte d’una caiguda elèctrica, compra d’un grup electrogen i habilitació de la ubicació Objectius Augmentar la disponibilitat global del CPD Augmentar la disponibilitat global de les connexions entre seus Assegurar la disponibilitat de la futura pàgina web 24x7 Controls ISO implicats Seguretat física i ambiental Aspectes de seguretat de la informació en la gestió de la continuïtat del negoci Durada del projecte 8 mesos. Cerca de solucions efectives al mercat, habilitació de les instal•lacions i proves reals de contingències. Cost humà Departament TIC Cost econòmic. 15.000 €. Responsable. 44. Director informàtic.

(50) Projecte 6: Gestió de les còpies de seguretat Identificador Projecte P/06 Data 01/05/2015 Nom del projecte Gestió de les còpies de seguretat Abast Sistema de informació i suports de backup Descripció Establir les bases per tal de realitzar un procés de còpia de seguretat, aquest procediment va supeditat al projecte de Classificació de la informació Objectius Definir les necessitats reals de còpies de seguretat de la informació a partir de la seva classificació Establir la periodicitat i el procediment de bones pràctiques per realitzar el procés. Realització periòdica de comprovació de la integritat de les dades. Còpies periòdiques del sistema operatiu i aplicacions del servidor. Aconseguir alta disponibilitat en cas de fallada de disc durs en servidors. Reducció de les pèrdues de informació en cas de desastre. Establir una ubicació segura fora de l’empresa per guardar la informació. Us eficient dels suports d’emmagatzematge. Destrucció segura de la informació. Controls ISO implicats Gestió d'actius Seguretat en l'operativa Aspectes de seguretat de la informació en la gestió de la continuïtat del negoci Durada del projecte 2 mesos. Realització d’scripts i rutines al departament TIC per tal de realitzar les gestions. Reutilització dels suports de backup existents Cost humà Departament TIC 2.000 € Cost econòmic Responsable Director informàtic. 45.

(51) Projecte 7:Assegurament dels actius al lloc de treball Identificador Projecte Nom del projecte Abast Descripció. P/07 Data Assegurament dels actius al lloc de treball Totalitat dels equips informàtics.. 01/05/2015. Assegurar que els equips portàtils i fixos estiguin fixats al lloc de feina amb el cadenat corresponent. Impossibilitar la manipulació del maquinari dels equips de sobretaula. Objectius Assegurar que tots els equips compleixen la normativa de seguretat Evitar robatoris o sostraccions per no tenir els equips correctament fixats. Evitar la fuga d’informació Compliment de la normativa Conscienciació dels treballadors Controls ISO implicats Aspectes organitzatius de la seguretat de la informació Seguretat lligada als recursos humans Gestió d'actius Seguretat en l'operativa Compliment Durada del projecte 1 mes. Compra de material, cargols i claus específiques pels equips de sobretaula i cables de seguretat kensington. Cost humà Tota la organització Cost econòmic. 500 €. Responsable. 46. Director informàtic.

(52) Projecte 8: Informació per part de RRHH Identificador Projecte P/08 Data 01/05/2015 Nom del projecte Informació per part de Recursos Humans Abast Departament de RRHH i el sistema d’informació Descripció Ampliar i aplicar el procediment a seguir per part de RRHH abans de contractar nou personal, durant la fase de treballador, canvis de posició i rols i finalització dels serveis a l’empresa. Objectius Conscienciació del departament de RRHH Contrastació d’informació del currículum. Classificació de la informació com a altament sensible. Procediment de com tractar aquesta informació correctament. Establir responsabilitats. Controls ISO implicats Polítiques de seguretat Aspectes organitzatius de la seguretat de la informació Seguretat lligada als recursos humans Seguretat en l'operativa Durada del projecte 3 mesos. Contractació de especialistes per tal de formar el departament de RRHH. Revisió, comprensió i millora de la documentació. Cost humà Departament de Recursos Humans, gerent i departament TIC. 1.200 € Cost econòmic Responsable. 47. Director informàtic.

(53) Resultats S’han realitzat un total de 8 propostes de projecte per tal de millorar la situació de l’empresa mitjançant la seva implantació. En les següents taules i gràfics quina millora respecte els diferents dominis de la normativa ISO/IEC 27002 ens aporta per projecte i finalment un global dels 8 projectes. Projecte 1: Classificació de la informació ISO 27001 Polítiques de seguretat Aspectes organitzatius de la seguretat de la informació Seguretat lligada als recursos humans Gestió d'actius Control d'accessos Seguretat física i ambiental Seguretat en l'operativa Seguretat en les telecomunicacions Adquisició, desenvolupament i manteniment dels sistemes d'informació Relacions amb subministradors Gestió d'incidents en la seguretat de la informació Aspectes de seguretat de la informació en la gestió de la continuïtat del negoci Compliment. 48. 100% Actual Projecte 1 10 2 2 10 5 8 10 4 4 10 3 6 10 2 6 10 4 4 10 4 4 10 7 7 10 10 10. 6 8 6. 6 8 6. 10 10. 2 6. 2 6.

Referencias

Documento similar

• Organitzar amb el Servei de Formació del Professorat, les jornades de sensibilització i informació per a inspectors, equips directius, orientadors i coordinacions dels plans de

Aquesta estratègia de treball, que es basa en l´ús dels pictogrames com a material d´aprenentatge, ha afa- vorit el desenvolupament de la comunicació i expressió oral en els nens/es

Després d’haver fet un estudi d’un molí com a construcció d’aigua, i un anàlisi dels sistemes constructius tradicionals que podien haver a l’edifici del molí de Xodos, es

A partir de la informació obtinguda dels exàmens de salut i amb la informació sociodemogràfica i laboral disponible al departament de Recursos Humans s’ha realitzat un

merece, aunque es corto premio,' efta cadena. Quien duda.' ; Mese.Vivas mas años que un cuervo. Si ay conocimiento en tí. proprio , que de mi.. Pocas veces vi hablar poco

El disseny detallat de la infraestructura de connectivitat ethernet a nivell dels CPDs respon a les necessitats requerides pels sistemes que composen la solució i als

Aquesta norma també inclou els requisits per l’apreciació i el tractament dels riscos de seguretat de la informació, seguint els requisits descrits a la Norma

Per tal de determinar quin és l’estat inicial de la seguretat i la normativa de l’Organització en relació a la seguretat de la informació fem un anàlisi diferencial