Metad Plan Director Seguridad

(1)

Plan director de

seguridad

Enero de 2016 Enero de 2016

(2)

ÍNDICE ÍNDICE

1

1 INTRODUCCIÓN ... 2

INTRODUCCIÓN ... 2

1.1

1.1 ¿Qué ocurriría si nuestra empresa se encontrase en ¿Qué ocurriría si nuestra empresa se encontrase en alguna de lasalguna de las

siguientes situaciones? ... 2 siguientes situaciones? ... 2 1.2

1.2 ¿Qué es un Plan Director de Seguridad? ... 3¿Qué es un Plan Director de Seguridad? ... 3

2

2 IMPLANTANDO UN PLAN DIRECTOR DE SEGURIDAD ... 4

IMPLANTANDO UN PLAN DIRECTOR DE SEGURIDAD ... 4

2.1

2.1 Conocer la situación actual de la organización (fase 1) ... 5Conocer la situación actual de la organización (fase 1) ... 5

2.1.1

2.1.1 Actividades Actividades previas previas ... 5... 5

2.1.2

2.1.2 Análisis Análisis técnico técnico de de seguridad seguridad ... ... 1010

2.1.3

2.1.3 Análisis Análisis de de riesgos ...riesgos ... 11... 11 2.2

2.2 Conocer la estrategia de la organización (fase 2)Conocer la estrategia de la organización (fase 2)... ... 1515 2.3

2.3 Definición de proyectos e iniciativas (fase 3) ...Definición de proyectos e iniciativas (fase 3) ... ... 1616 2.4

2.4 Clasificar y priorizar los proyectos a realizar (fase 4) Clasificar y priorizar los proyectos a realizar (fase 4) ... ... 18 18 2.5

2.5 Aprobar el Plan Director de Seg Aprobar el Plan Director de Seguridad (fase 5) uridad (fase 5) ... ... 18 18 2.6

2.6 Puesta en marcha (fase 6) ... 19Puesta en marcha (fase 6) ... 19

3

3 REFERENCIAS

REFERENCIAS

...

20

ÍNDICE DE FIGURAS ÍNDICE DE FIGURAS Ilustración 1:

Ilustración 1: Implantando un Implantando un Plan Plan Director de Director de Seguridad Seguridad ... .... 44 Ilustración 2:

Ilustración 2: Gráfico ejemplo del Gráfico ejemplo del resultado de la resultado de la evaluación ...evaluación ... .. 1010 Ilustración 3:

Ilustración 3: Etapas del Etapas del Análisis Análisis de de Riesgos Riesgos ... .. 1212 Ilustración 4: Elementos de

Ilustración 4: Elementos de la Gestión de la Gestión de la Seguridad de la Seguridad de la Información ...la Información ... ... 1313 ÍNDICE DE TABLAS

ÍNDICE DE TABLAS Tabla

(3)

1

1 Introducción

Introducción

La evolución de las tecnologías de la información y comunicación nos ha permitido La evolución de las tecnologías de la información y comunicación nos ha permitido automatizar y optimizar muchas de las actividades que se llevan a cabo en nuestra automatizar y optimizar muchas de las actividades que se llevan a cabo en nuestra organización. Estas tecnologías han ido ocupando un lugar

organización. Estas tecnologías han ido ocupando un lugar cada vez más importante,cada vez más importante, hasta el punto de que hoy en día, sin ellas, muchos de nuestros procesos de negocio hasta el punto de que hoy en día, sin ellas, muchos de nuestros procesos de negocio no serían posibles.

no serían posibles.

La información es un activo importante para las empresas, es fundamental para el La información es un activo importante para las empresas, es fundamental para el negocio: facturas, informes, bases de datos de clientes, pedidos, etc. Podemos decir negocio: facturas, informes, bases de datos de clientes, pedidos, etc. Podemos decir que las empresas basan su actividad en

que las empresas basan su actividad en sistemas de informaciónsistemas de información con soportecon soporte

tecnológico (ordenadores, tabletas, página

tecnológico (ordenadores, tabletas, página web,…)web,…)

Por eso proteger los sistemas de información es proteger el negocio. Para garantizar Por eso proteger los sistemas de información es proteger el negocio. Para garantizar la seguridad de la información del negocio se necesita llevar a cabo una gestión la seguridad de la información del negocio se necesita llevar a cabo una gestión planificada de actuaciones en materia de Ciberseguridad, tal y como se realiza en planificada de actuaciones en materia de Ciberseguridad, tal y como se realiza en cualquier otro proceso productivo de la organización.

cualquier otro proceso productivo de la organización.

1.1 1.1 ¿Qué ocurriría si nuestra empresa se encontrase en alguna de l

¿Qué ocurriría si nuestra empresa se encontrase en alguna de las

as

siguientes situaciones?



 Sufrimos los efectos de un vSufrimos los efectos de un virus informático y no sabemos irus informático y no sabemos cómo reaccionar.cómo reaccionar. 

 Se produce una pérdida de datos y no tenemos copias de seguridad o noSe produce una pérdida de datos y no tenemos copias de seguridad o no

podemos recuperar la información. podemos recuperar la información.



 Perdemos o extraviamos un disco duro Perdemos o extraviamos un disco duro portátil con información sensible.portátil con información sensible. 

 Nuestra página de comercio electrónico es el objetivo de un Nuestra página de comercio electrónico es el objetivo de un ataque deataque de

denegación de servicio, dejándola in

denegación de servicio, dejándola inoperativa.operativa.



 Se nos estropea algún servidor o elemento de red, que nos impide el uso delSe nos estropea algún servidor o elemento de red, que nos impide el uso del

correo electrónico, la conexión a Internet o el u

correo electrónico, la conexión a Internet o el uso de una so de una aplicación crítica.aplicación crítica. Frente a escenarios como los anteriores, surgen muchas dudas:

Frente a escenarios como los anteriores, surgen muchas dudas:



 ¿Debería externalizar el soporte informático de mi empresa?¿Debería externalizar el soporte informático de mi empresa? 

 ¿Es seguro gestionar información corporativa en dispositivos móviles?¿Es seguro gestionar información corporativa en dispositivos móviles?

¿hemos proporcionado y utilizado los recursos necesarios para ello? ¿hemos proporcionado y utilizado los recursos necesarios para ello?



 ¿Sabemos si las copias de ¿Sabemos si las copias de seguridad funcionan? ¿estamos realizando copiasseguridad funcionan? ¿estamos realizando copias

de toda la

(4)

Si sufrimos un incidente de seguridad informática, ¿conocemos los riesgos a los que Si sufrimos un incidente de seguridad informática, ¿conocemos los riesgos a los que está expuesta nuestra empresa?

está expuesta nuestra empresa?

Si las herramientas tecnológicas y la información que dan soporte a los servicios y Si las herramientas tecnológicas y la información que dan soporte a los servicios y procesos productivos de la organización son de

procesos productivos de la organización son de gran valor para nuestra organización,gran valor para nuestra organización, debemos empezar a pensar en poner en

debemos empezar a pensar en poner en práctica unpráctica un Plan Director de Seguridad.Plan Director de Seguridad.

1.2 1.2 ¿Qué es un Plan Director de Seguridad?

¿Qué es un Plan Director de Seguridad?

Un Plan Director de Seguridad consiste en la definición y priorización de un conjunto Un Plan Director de Seguridad consiste en la definición y priorización de un conjunto de proyectos en materia de seguridad de la información con

de proyectos en materia de seguridad de la información con el objetivo de reducir losel objetivo de reducir los riesgos a los que

riesgos a los que está expuesta la organización hasta unos niveles aceptables, a partirestá expuesta la organización hasta unos niveles aceptables, a partir de un análisis de la situación inicial.

de un análisis de la situación inicial.

Es fundamental para la realización de un buen Plan

Es fundamental para la realización de un buen Plan Director de Seguridad, en adelanteDirector de Seguridad, en adelante PDS, que se

PDS, que se alinee con los objetivos estratégicos de la alinee con los objetivos estratégicos de la empresa, incluya una definiciónempresa, incluya una definición del alcance e incorpore las obligaciones y

del alcance e incorpore las obligaciones y buenas prácticas de seguridad que deberánbuenas prácticas de seguridad que deberán cumplir los trabajadores de la organización así como terceros que colaboren con ésta. cumplir los trabajadores de la organización así como terceros que colaboren con ésta.

(5)

2

2 Implantando un Plan director de seguridad

Implantando un Plan director de seguridad

Los proyectos que componen el Plan Director de Seguridad varían en función de Los proyectos que componen el Plan Director de Seguridad varían en función de diversos factores relacionados como:

diversos factores relacionados como:



 El tamaño de la organizaciónEl tamaño de la organización 

 El nivel de madurez en El nivel de madurez en tecnologíatecnología 

 El sector al que pertenece la empresaEl sector al que pertenece la empresa 

 El contexto legal que regula las actividades de El contexto legal que regula las actividades de la mismala misma 

 La naturaleza de la información que manejamosLa naturaleza de la información que manejamos 

 El alcance del proyectoEl alcance del proyecto 

 Otros aspectos organizativosOtros aspectos organizativos

Estos factores determinarán la magnitud y complejidad del Plan Director de Seguridad Estos factores determinarán la magnitud y complejidad del Plan Director de Seguridad resultante. No obstante, en general, para la elaboración y puesta en marcha de un resultante. No obstante, en general, para la elaboración y puesta en marcha de un Plan Director de Seguridad se

Plan Director de Seguridad se siguen las siguientes fases o etapas:siguen las siguientes fases o etapas:

Ilustración 1: Implantando un Plan Director de Seguridad Ilustración 1: Implantando un Plan Director de Seguridad

Siempre debemos tener presente que un Plan Director de Seguridad, se basa en la Siempre debemos tener presente que un Plan Director de Seguridad, se basa en la mejora continua. Por tanto

mejora continua. Por tanto cuando hayamos finalizado debemos comenzar de nuevocuando hayamos finalizado debemos comenzar de nuevo el ciclo.

(6)

2.1 2.1 Conocer la situación actual de la organización (fase 1)

Conocer la situación actual de la organización (fase 1)

La primera fase consiste en conocer la situación

La primera fase consiste en conocer la situación actual de nuestra empresa en materiaactual de nuestra empresa en materia de ciberseguridad. Para ello debemos llevar a cabo distintos análisis considerando de ciberseguridad. Para ello debemos llevar a cabo distintos análisis considerando aspectos técnicos, organizativos, regulatorios y normativos, entre otros.

aspectos técnicos, organizativos, regulatorios y normativos, entre otros.

Esta es la fase más importante y compleja de la elaboración del Plan Director de Esta es la fase más importante y compleja de la elaboración del Plan Director de Seguridad, debido a la participación de diferentes personas y a la importancia que Seguridad, debido a la participación de diferentes personas y a la importancia que tiene que la información de la organización necesaria para conocer y evaluar su tiene que la información de la organización necesaria para conocer y evaluar su situación actual, sea fiable, completa

situación actual, sea fiable, completa y actualizada.y actualizada. En esta fase es fundamental contar con el

En esta fase es fundamental contar con el apoyo de la Direcciónapoyo de la Dirección. Éste es un aspecto. Éste es un aspecto esencial para garantizar el éxito del Plan Director de Seguridad, dado que este esencial para garantizar el éxito del Plan Director de Seguridad, dado que este respaldo garantizará no sólo que disponemos de suficientes recursos, sino que el respaldo garantizará no sólo que disponemos de suficientes recursos, sino que el enfoque del proyecto está alineado con la

enfoque del proyecto está alineado con la filosofía y estrategia de la empresa.filosofía y estrategia de la empresa. 2.1.1

2.1.1 Actividades previasActividades previas

Antes de comenzar con el

Antes de comenzar con el primer paso del análisis, debemos realizar varias actividadesprimer paso del análisis, debemos realizar varias actividades previas:

previas:

2.1.1.1

2.1.1.1 Acotar y establecer el alcance Acotar y establecer el alcance

Es esencial definir claramente el alcance

Es esencial definir claramente el alcance sobre el que vamos a sobre el que vamos a desarrollar el PDS. Estedesarrollar el PDS. Este alcance determinará la magnitud de los trabajos y también cuál será el foco principal alcance determinará la magnitud de los trabajos y también cuál será el foco principal de la mejora tras la aplicación del PDS.

de la mejora tras la aplicación del PDS.

Como posibles alcances podemos escoger:

Como posibles alcances podemos escoger: un único departamentoun único departamento (habitualmente el de TIC), un conjunto de procesos críticos, o unos (habitualmente el de TIC), un conjunto de procesos críticos, o unos sistemas específicos.

sistemas específicos.

Lo recomendable es determinar aquellos

Lo recomendable es determinar aquellos activos y procesos de negocio críticosactivos y procesos de negocio críticos,, aquellos sin los que la empresa no puede subsistir, y utilizar éstos como alcance del aquellos sin los que la empresa no puede subsistir, y utilizar éstos como alcance del PDS. De esta manera, la ejecución del PDS tendrá un impacto más positivo sobre la PDS. De esta manera, la ejecución del PDS tendrá un impacto más positivo sobre la seguridad de la información de la

seguridad de la información de la organización.organización.

Si el proceso más críti

Si el proceso más crítico de nuestra empresa está relacionado con elco de nuestra empresa está relacionado con el

proceso de facturación, podemos limitar el alcance a éste: sistemas

y equipos implicados, personal, aplicaciones necesarias, riesgos

específicos, etc. Aunque las mejoras

específicos, etc. Aunque las mejoras serán específicas dentro de esteserán específicas dentro de este

proceso, nos permitirá profundizar en el resultado y partir de un

punto para extenderlo a otros departamentos o procesos.

(7)

2.1.1.2

2.1.1.2 Responsables de la gestión de los activosResponsables de la gestión de los activos

Los activos de la organización es todo aquello que tiene valor para ella. Así

Los activos de la organización es todo aquello que tiene valor para ella. Así los activoslos activos de información

de información son todos los procesos, personas, equipos, instalaciones, software o son todos los procesos, personas, equipos, instalaciones, software o ficheros de todo tipo que

ficheros de todo tipo que la contienen, procesan o manejan de alguna forma.la contienen, procesan o manejan de alguna forma. Por ello es importante definir las

Por ello es importante definir las responsabilidades sobre los activosresponsabilidades sobre los activos de la de la organización: equipos informáticos, dispositivos móviles, aplicaciones, instalaciones organización: equipos informáticos, dispositivos móviles, aplicaciones, instalaciones (CPD), servicios e información. Esto

(CPD), servicios e información. Esto nos facilitará hacer un nos facilitará hacer un seguimiento de la ejecuciónseguimiento de la ejecución de las iniciativas implantadas, así como

de las iniciativas implantadas, así como del análisis y recogida de la del análisis y recogida de la información.información. Dichas responsabilidades deben estar asociadas a perfiles específicos, ya sea una Dichas responsabilidades deben estar asociadas a perfiles específicos, ya sea una persona o un

persona o un comité formado por varias personas. En el comité formado por varias personas. En el caso de empresas de pequeñocaso de empresas de pequeño tamaño, varios de estos roles pueden ser asumidos por la misma persona (el tamaño, varios de estos roles pueden ser asumidos por la misma persona (el propietario del activo en cuestión).

propietario del activo en cuestión). Al menos, se deben definir

Al menos, se deben definir los siguientes perfiles:los siguientes perfiles:



 Responsable de SeguridadResponsable de Seguridad, con la finalidad de hacer un seguimiento y, con la finalidad de hacer un seguimiento y

coordinar todas las iniciativas puestas en marcha por la organización en coordinar todas las iniciativas puestas en marcha por la organización en materia de Seguridad de la Información.

materia de Seguridad de la Información.



 Responsable de Información, especialmente cuando tratamos Responsable de Información, especialmente cuando tratamos con informacióncon información

específica que es gestionada a través de diferentes entornos. específica que es gestionada a través de diferentes entornos.



 Responsables de ámbito, en el caso de Responsables de ámbito, en el caso de que pongamos en marcha iniciativas enque pongamos en marcha iniciativas en

el ámbito lógico, físico, legal

el ámbito lógico, físico, legal y organizativo.y organizativo.

L

Los controles de seguridad física pueden ser responsabilidad delos controles de seguridad física pueden ser responsabilidad del responsable del área de Mantenimiento o Servicios Generales, responsable del área de Mantenimiento o Servicios Generales, mientras que los aspectos legales serán responsabilidad del mientras que los aspectos legales serán responsabilidad del responsable del área Jurídica. Todos estos deberán ser coordinados responsable del área Jurídica. Todos estos deberán ser coordinados por el

por el Responsable dResponsable de Segure Seguridad, garantizanidad, garantizando su do su correcta correcta ejecución.ejecución.

2.1.1.3

2.1.1.3 Valoración inicialValoración inicial

Un buen comienzo implica

Un buen comienzo implica realizar una valoración preliminar realizar una valoración preliminar de la situación actual de de la situación actual de la organización para determinar los controles y requisitos que son de aplicación. En la organización para determinar los controles y requisitos que son de aplicación. En lala jerga

jerga de de Gestión Gestión de de la la Seguridad Seguridad se se llamanllaman controlescontroles a las medidas de todo tipo a las medidas de todo tipo (técnico, legal u organizativo) que se implementan para contrarrestar los riesgos de (técnico, legal u organizativo) que se implementan para contrarrestar los riesgos de seguridad.

seguridad.

Por norma general, la

Por norma general, la evaluación de los aspectos normativos y regulatoriosevaluación de los aspectos normativos y regulatorios lala realizaremos tomando como referencia el

realizaremos tomando como referencia el estándar internacional ISO/IEC 27002:2013,estándar internacional ISO/IEC 27002:2013, el cuál reúne un

(8)

Información. Esta norma propone controles de seguridad que abarcan cuestiones Información. Esta norma propone controles de seguridad que abarcan cuestiones técnicas, legales y organizativas.

técnicas, legales y organizativas.

Los controles relacionados con la gestión de copias de seguridad,

requerimientos legales como cumplir con la LOPD, instalación de

cortafuegos o la definición de un plan de continuidad del negocio.

El conocimiento de esta norma es imprescindible para el desarrollo adecuado de un El conocimiento de esta norma es imprescindible para el desarrollo adecuado de un Plan Director de Seguridad. No es necesaria la implementación de todos los controles Plan Director de Seguridad. No es necesaria la implementación de todos los controles que se indican en la norma 27002:2013, sino sólo aquellos que sean de aplicación a que se indican en la norma 27002:2013, sino sólo aquellos que sean de aplicación a nuestra empresa.

nuestra empresa.

Si nuestra empresa no desarrolla aplicaciones, no tendremos que

valorar aquellos controles de esta norma que hagan referencia al

desarrollo seguro de aplicaciones.

Si nuestra empresa no proporciona un servicio de comercio

electrónico, no será necesario que apliquemos los controles

relacionados con la transacción de datos personales en la

compra-venta online.

venta online.

Por el contrario sí será necesario aplicar medidas o controles

relacionados con las copias de seguridad o el proceso de altas y bajas

de personal, ya que éstos serán de aplicación en cualquier

organización.

Después de analizar los controles según la norma, elaboraremos un documento con Después de analizar los controles según la norma, elaboraremos un documento con los controles o medidas de seguridad que aplican en la organización y su grado de los controles o medidas de seguridad que aplican en la organización y su grado de madurez, es decir, si están implantados y en qué estado están. A este documento lo madurez, es decir, si están implantados y en qué estado están. A este documento lo llamaremos

llamaremos ««Documento de Selección de Controles». En la norma se refieren alDocumento de Selección de Controles». En la norma se refieren al

mismo como «Declaración de Aplicabilidad» o «SOA» por sus siglas del inglés mismo como «Declaración de Aplicabilidad» o «SOA» por sus siglas del inglés

Statement of Aplicability Statement of Aplicability ».».

Modelo de madurez Modelo de madurez

A modo orientativo, podemos partir de

A modo orientativo, podemos partir de una escala de madurez de una escala de madurez de cinco niveles comocinco niveles como la siguiente, basada en el Modelo de Madurez de Capacidades o CMM por sus siglas la siguiente, basada en el Modelo de Madurez de Capacidades o CMM por sus siglas en inglés:

en inglés:



 InexistenteInexistente. No se lleva a cabo el control de seguridad en los sistemas de. No se lleva a cabo el control de seguridad en los sistemas de

información. información.

Aplicándolo

Aplicándolo a a la la realización realización de de copias copias de de seguridad seguridad en en lala organización, en este nivel de madurez no se realizarían.

(9)



 InicialInicial. Las salvaguardas existen, pero no . Las salvaguardas existen, pero no se gestionan, no existe un se gestionan, no existe un proceso formalproceso formal

para realizarlas. Su éxito depende de la buena suerte y de tener personal de la para realizarlas. Su éxito depende de la buena suerte y de tener personal de la altaalta calidad.

calidad.

Aplicándolo al ejemplo de las copias de seguridad, en este nivel de

madurez se realizan sin procedimiento y sin planificación.



 RepetibleRepetible. La medida de seguridad se realiza de un . La medida de seguridad se realiza de un modo totalmente informal (conmodo totalmente informal (con

procedimientos propios, informales). La responsabilidad es individual. No hay procedimientos propios, informales). La responsabilidad es individual. No hay formación.

formación.

En nuestro caso de copias de seguridad, las copias sí se realizan con En nuestro caso de copias de seguridad, las copias sí se realizan con procedimientos y planificación ad-hoc.

procedimientos y planificación ad-hoc.



 DefinidoDefinido. El control se aplica conforme a un . El control se aplica conforme a un procedimiento documenprocedimiento documentado, pero notado, pero no

ha sido aprobado ni por el Responsable de Seguridad ni el Comité de Dirección. ha sido aprobado ni por el Responsable de Seguridad ni el Comité de Dirección.



 AdministradoAdministrado. El control se lleva a cabo de acuerdo a un procedimiento. El control se lleva a cabo de acuerdo a un procedimiento

documentado, aprobado y formalizado. documentado, aprobado y formalizado.



 OptimizadoOptimizado. El control se aplica de acuerdo a un procedimiento documentado,. El control se aplica de acuerdo a un procedimiento documentado,

aprobado y formalizado, y su eficacia se mide periódicamente mediante aprobado y formalizado, y su eficacia se mide periódicamente mediante indicadores.

indicadores.

2.1.1.4

2.1.1.4 Análisis de cumplimiento Análisis de cumplimiento

Para llevar a cabo

Para llevar a cabo el análisis de cumplimiento y situación debemos:el análisis de cumplimiento y situación debemos: 1.

1. RealizarRealizar reuniones con el personalreuniones con el personal de los distintos departamentos de la de los distintos departamentos de la organización para evaluar el cumplimiento de los controles de seguridad organización para evaluar el cumplimiento de los controles de seguridad implantados.

implantados.

Aunque la mayor parte de los controles corresponden al departamento TIC, Aunque la mayor parte de los controles corresponden al departamento TIC, también es necesario analizar procesos de otras áreas.

también es necesario analizar procesos de otras áreas. Habitualmente se incluyenHabitualmente se incluyen los departamentos de Personal, Jurídico, Administración, Servicios Generales y, en los departamentos de Personal, Jurídico, Administración, Servicios Generales y, en caso de existir, el departamento de Calidad.

caso de existir, el departamento de Calidad.

Para poder desempeñar adecuadamente las tareas de recopilación de Para poder desempeñar adecuadamente las tareas de recopilación de información, es vital que la Dirección traslade a cada una de las áreas y sus información, es vital que la Dirección traslade a cada una de las áreas y sus responsables la importancia del proyecto, los beneficios derivados de su responsables la importancia del proyecto, los beneficios derivados de su implantación así como la implicación que

implantación así como la implicación que se espera de ellos en todas las se espera de ellos en todas las fases delfases del proyecto.

(10)

2.

2. Los estándares y normas internacionales en materia de seguridad de laLos estándares y normas internacionales en materia de seguridad de la información incluyen requisitos para implantar medidas de control de

información incluyen requisitos para implantar medidas de control de acceso físicoacceso físico y seguridad medioambiental. Por lo tanto, también será necesario llevar a cabo y seguridad medioambiental. Por lo tanto, también será necesario llevar a cabo una inspección in-situ de las

una inspección in-situ de las instalaciones.instalaciones. 3.

3. Registrar todos los problemas y evidenciasRegistrar todos los problemas y evidencias que vayamos detectando, en relación que vayamos detectando, en relación a los requisitos de

a los requisitos de seguridad de aplicación y que están prefijados, en documentosseguridad de aplicación y que están prefijados, en documentos que luego podamos contrastar y consultar. Por norma general, es muy útil emplear que luego podamos contrastar y consultar. Por norma general, es muy útil emplear formularios y listas de verificación (

formularios y listas de verificación (checklistschecklists) que incluyen los aspectos a revisar) que incluyen los aspectos a revisar y comprobar.

y comprobar. 4.

4. Una vez dispongamos de toda la información, debemosUna vez dispongamos de toda la información, debemos analizar los resultadosanalizar los resultados y y situar el cumplimiento de cada control en una escala, por

situar el cumplimiento de cada control en una escala, por ejemplo entre el 0 al 5,ejemplo entre el 0 al 5, según el modelo de madurez, donde 0 es la ausencia total del control, y el 5 la según el modelo de madurez, donde 0 es la ausencia total del control, y el 5 la aplicación optimizada del control.

aplicación optimizada del control.

Por ejemplo, trasladando la escala a las copias de seguridad: el nivel Por ejemplo, trasladando la escala a las copias de seguridad: el nivel 0 sería la ausencia de copias de seguridad, y el nivel 5 la realización 0 sería la ausencia de copias de seguridad, y el nivel 5 la realización de copias, existencia de procedimientos, pruebas de recuperaciones de copias, existencia de procedimientos, pruebas de recuperaciones periódicas, análisis periódico de inc

periódicas, análisis periódico de incidencias, etc.idencias, etc.

Esta escala nos permitirá conocer la evolución en el

Esta escala nos permitirá conocer la evolución en el tiempo del grado de seguridadtiempo del grado de seguridad de la organización.

de la organización.

2.1.1.5

2.1.1.5 Establecer los objetivosEstablecer los objetivos

Por último, debemos

Por último, debemos establecer cuáles son nuestros objetivosestablecer cuáles son nuestros objetivos a cumplir en materia a cumplir en materia de ciberseguridad de la empresa, lo que nos permitirá determinar los ámbitos a de ciberseguridad de la empresa, lo que nos permitirá determinar los ámbitos a mejorar e identificar los aspectos en los

mejorar e identificar los aspectos en los que debemos focalizar nuestros esfuerzos.que debemos focalizar nuestros esfuerzos. A

A continuación, continuación, podemos podemos ver ver un un ejemplo ejemplo de de los los resultados resultados de de lala evaluación de los aspectos normativos y regulatorios en una evaluación de los aspectos normativos y regulatorios en una organización tomando como referencia la norma ISO/IEC organización tomando como referencia la norma ISO/IEC 27002:2013.

27002:2013.

La línea roja representa el grado de cumplimiento actual, la línea La línea roja representa el grado de cumplimiento actual, la línea amarilla un posible objetivo de cumplimiento a medio / largo plazo amarilla un posible objetivo de cumplimiento a medio / largo plazo y, por último, la línea verde representa el nivel de cumplimiento y, por último, la línea verde representa el nivel de cumplimiento óptimo. Los números que se

óptimo. Los números que se muestran en la gráfica hacen remuestran en la gráfica hacen referenciaferencia a los diferentes dominios contemplados en el estándar.

(11)

Ilustración 2: Gráfico ejemplo del resultado de la

Ilustración 2: Gráfico ejemplo del resultado de la evaluacievaluaciónón

Además de la evaluación de la Seguridad de la Información respecto a esta guía de Además de la evaluación de la Seguridad de la Información respecto a esta guía de buenas prácticas, para la valoración de los aspectos normativos y legales puede ser buenas prácticas, para la valoración de los aspectos normativos y legales puede ser necesario tomar como referencia otros estándares o normativas específicos, u otras necesario tomar como referencia otros estándares o normativas específicos, u otras leyes de aplicación general como la Ley Orgánica de Protección de Datos (LOPD), leyes de aplicación general como la Ley Orgánica de Protección de Datos (LOPD), detallada en los dosieres de

detallada en los dosieres de Protección de InformaciónProtección de Información yy Cumplimiento Legal.Cumplimiento Legal.

Otros estándares relevantes son el de PCI-DSS si gestionamos datos de tarjetas de Otros estándares relevantes son el de PCI-DSS si gestionamos datos de tarjetas de crédito; COBIT si queremos optar por guías de buenas prácticas alternativas a la norma crédito; COBIT si queremos optar por guías de buenas prácticas alternativas a la norma ISO 27002 o el Esquema Nacional de Seguridad si trabajamos habitualmente con ISO 27002 o el Esquema Nacional de Seguridad si trabajamos habitualmente con información de la Administración Pública o

información de la Administración Pública o les proporcionamos servicios.les proporcionamos servicios. 2.1.2

2.1.2 Análisis técnico de seguridadAnálisis técnico de seguridad

Por otra parte, el análisis técnico de la seguridad queda cubierto mediante la Por otra parte, el análisis técnico de la seguridad queda cubierto mediante la valoración del grado de implantación y madurez de los

valoración del grado de implantación y madurez de los controles más relacionados concontroles más relacionados con los sistemas de información empleados por

los sistemas de información empleados por la organización para almacenar y gestionarla organización para almacenar y gestionar su información.

su información.

Además de temas de gestión y de evaluación de controles en base a entrevistas y Además de temas de gestión y de evaluación de controles en base a entrevistas y percepciones, la realidad del estado de seguridad de una organización se evidencia percepciones, la realidad del estado de seguridad de una organización se evidencia mediante la comprobación y valoración de aspecto tales como:

mediante la comprobación y valoración de aspecto tales como:



 Si disponemos de antivirus y Si disponemos de antivirus y cortafuegos.cortafuegos. 

 Si nuestra página web es Si nuestra página web es segura.segura. 

 Si la red Si la red está correctameestá correctamente segmentada, que impida por ejemplo que desdente segmentada, que impida por ejemplo que desde

Internet sean visibles los equipos de los

(12)



 Si existen controles de acceso físicos a las Si existen controles de acceso físicos a las áreas con información sensible:áreas con información sensible:

salas de servidores, despachos, área de Recursos Humanos, etc. salas de servidores, despachos, área de Recursos Humanos, etc.

Estas pruebas nos permiten identificar deficiencias en la seguridad técnica de la Estas pruebas nos permiten identificar deficiencias en la seguridad técnica de la organización, y a través de ellas, comprobamos la eficacia de los controles de organización, y a través de ellas, comprobamos la eficacia de los controles de seguridad lógica existentes en la organización: cortafuegos, antivirus, sistemas de seguridad lógica existentes en la organización: cortafuegos, antivirus, sistemas de detección de intrusos, niveles de parcheado, política de contraseñas, etc.

detección de intrusos, niveles de parcheado, política de contraseñas, etc.

El alcance y modalidad de esta auditoría puede variar en función de la estrategia de El alcance y modalidad de esta auditoría puede variar en función de la estrategia de negocio, el ámbito de nuestra empresa y nuestros antecedentes. Así, una empresa de negocio, el ámbito de nuestra empresa y nuestros antecedentes. Así, una empresa de comercio electrónico puede estar interesada en la seguridad de su página web, comercio electrónico puede estar interesada en la seguridad de su página web, mientras que una empresa con otros riesgos diferentes en cuanto a fuga de mientras que una empresa con otros riesgos diferentes en cuanto a fuga de información puede estar más interesada en mejorar el proceso de alta y baja de información puede estar más interesada en mejorar el proceso de alta y baja de empleados, políticas de buenas prácticas del uso del correo corporativo,

empleados, políticas de buenas prácticas del uso del correo corporativo, cultura encultura en

seguridad

seguridado los controles de acceso, entre otros.o los controles de acceso, entre otros.

Debido a que se trata de un trabajo especializado, es habitual que la organización opte Debido a que se trata de un trabajo especializado, es habitual que la organización opte por

por externalizar el análisis técnico de la seguridadexternalizar el análisis técnico de la seguridad. En estos casos debemos prestar. En estos casos debemos prestar especial atención a la coordinación del equipo externo con el personal propio de especial atención a la coordinación del equipo externo con el personal propio de nuestra organización, para establecer el tipo de pruebas a realizar y el método de nuestra organización, para establecer el tipo de pruebas a realizar y el método de trabajo que se utilizará. Por norma general, debemos requerir que no

trabajo que se utilizará. Por norma general, debemos requerir que no se lleven a cabose lleven a cabo pruebas «agresivas», en cuanto a carga de trabajo de sistemas o

pruebas «agresivas», en cuanto a carga de trabajo de sistemas o redes, que pudieranredes, que pudieran afectar a la disponibilidad de los servicios TIC.

afectar a la disponibilidad de los servicios TIC.

Por contra, si optamos por llevar a cabo estas pruebas de forma interna, es Por contra, si optamos por llevar a cabo estas pruebas de forma interna, es fundamental acotar el periodo de realización y que el personal TIC prepare, fundamental acotar el periodo de realización y que el personal TIC prepare, previamente, procedimientos de recuperación sobre los entornos que serán previamente, procedimientos de recuperación sobre los entornos que serán evaluados, con el fin de minimizar el impacto en el negocio.

evaluados, con el fin de minimizar el impacto en el negocio. Es recomendable que se lleven a

Es recomendable que se lleven a cabo auditorías técnicas tanto desde el exterior de lacabo auditorías técnicas tanto desde el exterior de la organización como desde el interior. De este modo podremos ponernos en el papel organización como desde el interior. De este modo podremos ponernos en el papel tanto de un atacante interno, por ejemplo un

tanto de un atacante interno, por ejemplo un empleado malintencionado, como en elempleado malintencionado, como en el de un atacante externo, por ejemplo un

de un atacante externo, por ejemplo un ciberdelincueciberdelincuente.nte. 2.1.3

2.1.3 Análisis de riesgosAnálisis de riesgos

Paralelamente al desarrollo de los trabajos de

Paralelamente al desarrollo de los trabajos de auditoría, es necesario que realicemosauditoría, es necesario que realicemos un

un análisis de riesgosanálisis de riesgos a los a los que está expuesta nuestra organización.que está expuesta nuestra organización. Para llevarlo a cabo, p

(13)

Ilustración 3: Etapas del Análisis de Riesgos Ilustración 3: Etapas del Análisis de Riesgos

Como resultado de este análisis de riesgos, obtendremos el conjunto de amenazas a Como resultado de este análisis de riesgos, obtendremos el conjunto de amenazas a las que

las que estamos expuestos.estamos expuestos.

Existe una gran variedad de metodologías para el análisis de riesgos, habitualmente, Existe una gran variedad de metodologías para el análisis de riesgos, habitualmente, éstas presentan aspectos comunes como, por ejemplo, la

éstas presentan aspectos comunes como, por ejemplo, la necesidad de identificar losnecesidad de identificar los activos de la organización y su valor.

activos de la organización y su valor.

En el siguiente diagrama, podemos identificar gran parte de los elementos que En el siguiente diagrama, podemos identificar gran parte de los elementos que intervienen en un análisis de riesgos.

(14)

Ilustración 4: Elementos de la Gestión de la Seguridad de la Información Ilustración 4: Elementos de la Gestión de la Seguridad de la Información

El proceso para realizar un

El proceso para realizar un análisis de riesgos consta de análisis de riesgos consta de los siguientes pasos:los siguientes pasos: 1.

1. Identificar losIdentificar los activos de informaciónactivos de información de nuestra organización, cada uno de los de nuestra organización, cada uno de los cuales estará expuesto a unas

cuales estará expuesto a unas amenazasamenazas determinadas y tendrá unas determinadas y tendrá unas vulnerabilidades

vulnerabilidades asociadas. asociadas.

Un servidor web puede estar expuesto a una denegación de Un servidor web puede estar expuesto a una denegación de servicio y tener como vulnerabilidad poca tolerancia a una servicio y tener como vulnerabilidad poca tolerancia a una carga de tráfico excesiva.

carga de tráfico excesiva.

2.

2. Del paso anterior, que nos describe el estado del activo, obtenemos elDel paso anterior, que nos describe el estado del activo, obtenemos el riesgoriesgo intrínseco

intrínseco. Es decir, el . Es decir, el riesgo al que está expuesto el activoriesgo al que está expuesto el activo ««por defecto» antespor defecto» antes

de la aplicación de

de la aplicación de los controles específicos.los controles específicos. 3.

3. En el paso siguiente, determinamos laEn el paso siguiente, determinamos la probabilidadprobabilidad de materialización de un de materialización de un riesgo intrínseco, que dará como resultado un impacto, es decir, las riesgo intrínseco, que dará como resultado un impacto, es decir, las consecuencias que tiene para nuestra organización la materialización de la consecuencias que tiene para nuestra organización la materialización de la amenaza.

amenaza. 4.

4. A continuación, debemos identificar aquellosA continuación, debemos identificar aquellos riesgosriesgos que, por su probabilidad, que, por su probabilidad, impacto o ambos,

impacto o ambos, nono son son aceptablesaceptables para nuestra organización. Esta decisión para nuestra organización. Esta decisión debemos tomarla de acuerdo a

debemos tomarla de acuerdo a nuestra estrategia corporativa y en función denuestra estrategia corporativa y en función de los riesgos que estemos dispuestos a asumir.

(15)

Para aquellos riesgos que no sean aceptables, debemos proponer diferentes Para aquellos riesgos que no sean aceptables, debemos proponer diferentes iniciativas para la implantación de

iniciativas para la implantación de controlescontroles o salvaguardas, que tendrán un o salvaguardas, que tendrán un coste

coste asociado. asociado.

En algunos casos, este coste es determinante para escoger controles menos En algunos casos, este coste es determinante para escoger controles menos eficaces pero con un menor coste o

eficaces pero con un menor coste o para asumir el riesgo debido para asumir el riesgo debido al alto costeal alto coste del control mitigante.

del control mitigante. 5.

5. Como resultado de la aplicación de los controles, obtendremos elComo resultado de la aplicación de los controles, obtendremos el riesgoriesgo residual

residual del activo, que nos indicará el grado de exposición del activo a las del activo, que nos indicará el grado de exposición del activo a las amenazas después de haber implantado los controles

amenazas después de haber implantado los controles seleccionados así comoseleccionados así como las consecuencias de la materialización de la amenaza.

las consecuencias de la materialización de la amenaza.

Tendremos en cuenta que los elementos y valores anteriores son dinámicos y podrán Tendremos en cuenta que los elementos y valores anteriores son dinámicos y podrán cambiar a medida que

cambiar a medida que nuestra infraestructura evolucionenuestra infraestructura evolucione, se añadan , se añadan nuevos activos,nuevos activos, ofrezcamos nuevos servicios, surjan nuevas amenazas o apliquemos unos controles ofrezcamos nuevos servicios, surjan nuevas amenazas o apliquemos unos controles determinados.

determinados.

La sustitución de un sistema de copias tradicional por un

sistema de replicación de datos en diferido puede eliminar

riesgos de disponibilidad pero incrementar los riesgos de

disponibilidad e integridad de los datos, al propagarse éstos en

la réplica de manera automática.

También podemos crear nuestra propia metodología específica a partir de las También podemos crear nuestra propia metodología específica a partir de las existentes. En este sentido, puede resultar interesante adaptar diversas metodologías existentes. En este sentido, puede resultar interesante adaptar diversas metodologías para obtener una que se adapte

para obtener una que se adapte a la naturaleza de nuestra organización.a la naturaleza de nuestra organización.

2.1.3.1

2.1.3.1 Nivel de riesgo aceptableNivel de riesgo aceptable

Tras la identificación de los riesgos debemos establecer y documentar el

Tras la identificación de los riesgos debemos establecer y documentar el nivel denivel de riesgo aceptable

riesgo aceptable: el valor umbral que : el valor umbral que determina los riesgos que deben ser tratados ydetermina los riesgos que deben ser tratados y los riesgos que son asumibles. ¿Cómo podemos tratar un riesgo? A través de cuatro los riesgos que son asumibles. ¿Cómo podemos tratar un riesgo? A través de cuatro posibles

posibles estrategias:estrategias:



 TransferirTransferir el riesgo a un tercero. el riesgo a un tercero.

Por ejemplo, contratando un seguro.



 EliminarEliminar el riesgo. el riesgo.

Eliminando un proceso que ya no es necesario.

(16)



 AsumirAsumir el el riesgo, siempre justificadamente.riesgo, siempre justificadamente.

El coste de instalar un grupo electrógeno o disponer de un

centro de respaldo en caso de interrupción del suministro

eléctrico puede ser demasiado alto y por tanto, puede ser

necesario asumir el riesgo durante varias horas, a pesar de su

impacto.



 ImplantarImplantar medidas para mitigarlo. medidas para mitigarlo.

I

Instalando un sistema de alimentación ininterrumpida o SAInstalando un sistema de alimentación ininterrumpida o SAI

para hacer frente a los cortes de electricidad más breves, o

tener algún tipo de acuerdo recíproco con otra compañía para

en caso de que se produzca un incidente grave poder usar sus

servidores o instalaciones.

En resumen, el análisis de riesgos desarrollado en el contexto del Plan Director de En resumen, el análisis de riesgos desarrollado en el contexto del Plan Director de Seguridad está enfocado principalmente a identificar aquellos riesgos que exceden Seguridad está enfocado principalmente a identificar aquellos riesgos que exceden unos límites aceptables para la organización.

unos límites aceptables para la organización. Todos los trabajos desarrollados hasta el

Todos los trabajos desarrollados hasta el momento están fuertemente relacionados ymomento están fuertemente relacionados y en todos los casos requieren de la intervención de múltiples personas que conozcan en todos los casos requieren de la intervención de múltiples personas que conozcan la organización. En este sentido, nuevamente destacamos la importancia de contar la organización. En este sentido, nuevamente destacamos la importancia de contar con el apoyo de

con el apoyo de la Dirección para garantizar el éxito del la Dirección para garantizar el éxito del proyecto.proyecto.

2.2 2.2 Conocer la estrategia de la organización (fase 2)

Conocer la estrategia de la organización (fase 2)

La segunda fase de la realización de

La segunda fase de la realización de un Plan Director de Seguridad consiste en un Plan Director de Seguridad consiste en conocerconocer la estrategia corporativa de nuestra organización.

la estrategia corporativa de nuestra organización.

Esto implica considerar los proyectos en curso y futuros, previsiones de crecimiento, Esto implica considerar los proyectos en curso y futuros, previsiones de crecimiento, cambios en la organización debido a reorganizaciones, etc. También es importante cambios en la organización debido a reorganizaciones, etc. También es importante tener en cuenta si nuestra organización opta por una estrategia de centralización de tener en cuenta si nuestra organización opta por una estrategia de centralización de servicios, por la externalización de los servicios TIC, si forma parte de un grupo servicios, por la externalización de los servicios TIC, si forma parte de un grupo empresarial mayor o si va a iniciar la

empresarial mayor o si va a iniciar la actividad en algún sector distinto del actual queactividad en algún sector distinto del actual que pueda generar requisitos legales adicionales.

pueda generar requisitos legales adicionales.

Todos estos factores pueden afectar a la orientación de las medidas y al peso de cada Todos estos factores pueden afectar a la orientación de las medidas y al peso de cada una de ellas.

una de ellas.

Aunque en términos de esfuerzo y coste temporal, esta fase tiene menos peso que las Aunque en términos de esfuerzo y coste temporal, esta fase tiene menos peso que las restantes, su importancia es fundamental ya que nos permitirá implantar medidas restantes, su importancia es fundamental ya que nos permitirá implantar medidas dede seguridad acordes a la naturaleza de nuestra organización.

(17)

Esta fase permite alinear la estrategia de seguridad no sólo con la estrategia TIC, sino Esta fase permite alinear la estrategia de seguridad no sólo con la estrategia TIC, sino también con la estrategia general de negocio de la

también con la estrategia general de negocio de la organización.organización.

Para el correcto desarrollo de esta fase, se recomienda analizar la estrategia de la Para el correcto desarrollo de esta fase, se recomienda analizar la estrategia de la organización con los responsables de los departamentos implicados y por supuesto, organización con los responsables de los departamentos implicados y por supuesto, con la Dirección. Se obtienen así dos objetivos. En primer lugar, se

con la Dirección. Se obtienen así dos objetivos. En primer lugar, se les hace partícipesles hace partícipes en el proyecto y, en segundo lugar, conseguiremos tener una visión objetiva y global en el proyecto y, en segundo lugar, conseguiremos tener una visión objetiva y global de la estrategia de negocio.

de la estrategia de negocio.

2.3 2.3 Definición de proyectos e iniciativas (fase 3)

Definición de proyectos e iniciativas (fase 3)

A partir de la información recabada hasta este momento, debemos definir las A partir de la información recabada hasta este momento, debemos definir las acciones, iniciativas y proyectos necesarios para alcanzar el nivel de seguridad que acciones, iniciativas y proyectos necesarios para alcanzar el nivel de seguridad que nuestra organización requiere.

nuestra organización requiere.

Dado que el análisis realizado incluye diferentes ámbitos como Recursos Humanos, Dado que el análisis realizado incluye diferentes ámbitos como Recursos Humanos, Dirección, Mantenimiento, Jurídico, etc., las iniciativas

Dirección, Mantenimiento, Jurídico, etc., las iniciativas para subsanar las deficienciaspara subsanar las deficiencias detectadas también serán de distinta

detectadas también serán de distinta índole:índole: 1.

1. En primer lugar, definiremos las iniciativas dirigidas a En primer lugar, definiremos las iniciativas dirigidas a mejorar los métodos demejorar los métodos de trabajo actuales, para que contemplen los controles establecidos por

trabajo actuales, para que contemplen los controles establecidos por el marcoel marco normativo y regulatorio.

normativo y regulatorio. 2.

2. En segundo lugar, pondremos en En segundo lugar, pondremos en marcha un conjunto de marcha un conjunto de acciones relacionadasacciones relacionadas con los controles técnicos y físicos cuya ausencia o insuficiencia hemos con los controles técnicos y físicos cuya ausencia o insuficiencia hemos detectado.

detectado. 3.

3. En tercer lugar, definiremos la estrategia a En tercer lugar, definiremos la estrategia a seguir así como los seguir así como los proyectos másproyectos más adecuados para gestionar los riesgos por encima de nuestro riesgo

adecuados para gestionar los riesgos por encima de nuestro riesgo aceptable.aceptable. En la medida de lo

En la medida de lo posible, debemos estimar el coste de las iniciativas propuestas enposible, debemos estimar el coste de las iniciativas propuestas en términos temporales y económicos, contemplando los recursos materiales como términos temporales y económicos, contemplando los recursos materiales como humanos necesarios, tanto a nivel interno como externo.

humanos necesarios, tanto a nivel interno como externo.

A modo orientativo, a continuación se incluyen una serie de

iniciativas / proyectos «tipo» que frecuentemente forman

parte del Plan Director de Seguridad.

(18)

ID

ID Proyecto Proyecto DescripciónDescripción

01

01 Desarrollar e implementarDesarrollar e implementar una política de seguridad una política de seguridad

Desarrollar e implementar una política de seguridad que Desarrollar e implementar una política de seguridad que contenga al menos los siguientes aspectos:

contenga al menos los siguientes aspectos:



 Compromiso de la Dirección.Compromiso de la Dirección. 

 Utilización del e-mail e Internet.Utilización del e-mail e Internet. 

 Utilización de dispositivos móviles.Utilización de dispositivos móviles. 

 Aspectos de protección de datos.Aspectos de protección de datos.

02 02 Desplegar un plan de Desplegar un plan de concienciación en materia de concienciación en materia de seguridad de la información. seguridad de la información.

Llevar a cabo sesiones de formación para y Llevar a cabo sesiones de formación para y concienciac

concienciación que cubran ión que cubran tanto el tanto el personal depersonal de los departamentos operativos como la Dirección. los departamentos operativos como la Dirección.

03 03 Mejora en la gestión de Mejora en la gestión de incidentes y atención al incidentes y atención al usuario usuario

Definir, documentar e implantar un proceso para la gestión Definir, documentar e implantar un proceso para la gestión de los incidentes de seguridad.

de los incidentes de seguridad.

04

04 Adecuación a la LOPD yAdecuación a la LOPD y RDLOPD

RDLOPD

Llevar a cabo un proyecto para a

Llevar a cabo un proyecto para adaptar la organización a ladaptar la organización a la LOPD y su Reglamento de Desarrollo (RDLOPD).

LOPD y su Reglamento de Desarrollo (RDLOPD).

05 05

Mejorar la coordinación entre Mejorar la coordinación entre el departamento de RRHH y el departamento de RRHH y el departamento TIC

el departamento TIC

Mejorar la capacidad de respuesta de la

Mejorar la capacidad de respuesta de la organización paraorganización para hacer frente a una contingencia TIC.

hacer frente a una contingencia TIC.

06

06 Desarrollar un Plan deDesarrollar un Plan de continuidad TIC continuidad TIC

Llevar a cabo acciones técnicas para la Llevar a cabo acciones técnicas para la segmentación de la red corporativa y segmentación de la red corporativa y posteriormente implantar sistemas de

posteriormente implantar sistemas de deteccióndetección de intrusos (IDS).

de intrusos (IDS). 07

07 Mejoras en la seguridad de laMejoras en la seguridad de la red corporativa

red corporativa

Mejorar la capacidad de respuesta de la Mejorar la capacidad de respuesta de la organización para hacer frente a una organización para hacer frente a una contingenci

contingencia TIC.a TIC.

08

08 Política de copias dePolítica de copias de seguridad

seguridad

Realizar un análisis de la

Realizar un análisis de la información corporativa de la queinformación corporativa de la que se realiza copia e implantar una

se realiza copia e implantar una política de copiaspolítica de copias adecuada, que implique la realización

adecuada, que implique la realización de restauraciones periódicas. de restauraciones periódicas. 09 09 Clasificación de laClasificación de la información información

Definir un sistema de clasificación de la Definir un sistema de clasificación de la

información que contemple al menos tres niveles de información que contemple al menos tres niveles de seguridad (público, privado y confidencial).

seguridad (público, privado y confidencial). Este sistema debe contemplar aspectos como el Este sistema debe contemplar aspectos como el etiquetado, acceso, destrucción de la

etiquetado, acceso, destrucción de la información, uso de cifrado, etc. información, uso de cifrado, etc.

10

10 Regulación de los serviciosRegulación de los servicios TIC prestado por terceros TIC prestado por terceros

Revisar y homogeneizar los contratos Revisar y homogeneizar los contratos

establecidos con los proveedores TIC externos a establecidos con los proveedores TIC externos a fin de garantizar que estos son

fin de garantizar que estos son adecuados a lasadecuados a las necesidades de la organización. Para

necesidades de la organización. Para aquellosaquellos que sean críticos, establecer acuerdos de nivel que sean críticos, establecer acuerdos de nivel de servicio.

de servicio.

Tabla 1: Iniciativas/Proyectos en un PDS Tabla 1: Iniciativas/Proyectos en un PDS

Nuevamente, debemos señalar la importancia de considerar la estrategia de la Nuevamente, debemos señalar la importancia de considerar la estrategia de la organización a la hora de definir las iniciativas a implantar.

(19)

Si está previsto que la organización pase a formar parte de un

grupo empresarial que presta servicios TIC centralizados a

todas las sociedades del mismo, se procurará evitar

todas las sociedades del mismo, se procurará evitar inversionesinversiones

en activos TIC locales ya que estos podrían no ser

en activos TIC locales ya que estos podrían no ser amortizados.amortizados.

2.4 2.4 Clasificar y priorizar los proyectos a realizar (fase 4)

Clasificar y priorizar los proyectos a realizar (fase 4)

Una vez identificadas las acciones, iniciativas y proyectos, debemos clasificarlas y Una vez identificadas las acciones, iniciativas y proyectos, debemos clasificarlas y priorizarlas. El detalle y granularidad de las acciones a llevar a cabo puede ser muy priorizarlas. El detalle y granularidad de las acciones a llevar a cabo puede ser muy variado. Ante esta situación, es recomendable agrupar las iniciativas o dividir las variado. Ante esta situación, es recomendable agrupar las iniciativas o dividir las propuestas para homogeneizar el conjunto de proyectos que hemos definido.

propuestas para homogeneizar el conjunto de proyectos que hemos definido. A la hora

A la hora de clasificar las iniciativas podemos considerar como criterio el de clasificar las iniciativas podemos considerar como criterio el origen de lasorigen de las mismas (es decir, derivadas de la evaluación del cumplimiento normativo y mismas (es decir, derivadas de la evaluación del cumplimiento normativo y regulatorio, análisis técnico o análisis de riesgos); el tipo de acción (técnica, regulatorio, análisis técnico o análisis de riesgos); el tipo de acción (técnica, organizativa, regulatoria, etc.).

organizativa, regulatoria, etc.). Sin embargo, con

Sin embargo, con independencia de que consideremos estos criterios, es convenienteindependencia de que consideremos estos criterios, es conveniente organizar los proyectos atendiendo al esfuerzo que requieren y a su coste temporal. organizar los proyectos atendiendo al esfuerzo que requieren y a su coste temporal. De este modo se establecen proyectos a corto, medio

De este modo se establecen proyectos a corto, medio y largo plazo.y largo plazo.

Adicionalmente, es muy aconsejable que creemos un grupo que reúna aquellos Adicionalmente, es muy aconsejable que creemos un grupo que reúna aquellos proyectos cuya consecución requiere poco esfuerzo pero su resultado produce proyectos cuya consecución requiere poco esfuerzo pero su resultado produce mejoras sustanciales en la seguridad. Tradicionalmente este tipo de

mejoras sustanciales en la seguridad. Tradicionalmente este tipo de iniciativas recibeniniciativas reciben el nombre de

el nombre de ««quick wins»quick wins»..

2.5 2.5 Aprobar el Plan Director de Seguridad (fase 5)

Aprobar el Plan Director de Seguridad (fase 5)

En este punto, ya dispondremos de una versión preliminar del Plan Director de En este punto, ya dispondremos de una versión preliminar del Plan Director de Seguridad. Este plan debe

Seguridad. Este plan debe revisarlo y aprobarlo la Dirección.revisarlo y aprobarlo la Dirección.

Es posible que al revisar el Plan Director de Seguridad haya que modificar su alcance, Es posible que al revisar el Plan Director de Seguridad haya que modificar su alcance, duración o la prioridad de

duración o la prioridad de algunos proyectos. Si fuera preciso, el palgunos proyectos. Si fuera preciso, el proceso de revisiónroceso de revisión se repetirá cíclicamente hasta disponer de una versión final aprobada formalmente se repetirá cíclicamente hasta disponer de una versión final aprobada formalmente por la Dirección.

por la Dirección. Una vez disponible la

Una vez disponible la versión final aprobada por la Direcciónversión final aprobada por la Dirección, es conveniente que , es conveniente que éstaésta traslade a todos los empleados de la

traslade a todos los empleados de la organización (mediante reunión del director conorganización (mediante reunión del director con todos los empleados o mediante correo electrónico) el respaldo al Plan Director de todos los empleados o mediante correo electrónico) el respaldo al Plan Director de Seguridad, y la importancia del deber de colaborar de toda la organización en la Seguridad, y la importancia del deber de colaborar de toda la organización en la implantación del mismo.

(20)

2.6 2.6 Puesta en marcha (fase 6)

Puesta en marcha (fase 6)

Una vez aprobado por la Dirección, el Plan Director de Seguridad marca el camino a Una vez aprobado por la Dirección, el Plan Director de Seguridad marca el camino a seguir para alcanzar el nivel de

seguir para alcanzar el nivel de seguridad que nuestra organización necesita. Como siseguridad que nuestra organización necesita. Como si de un proyecto más se tratara, cada organización puede emplear la metodología de de un proyecto más se tratara, cada organización puede emplear la metodología de gestión de proyectos que considere oportuno para llevarlo

gestión de proyectos que considere oportuno para llevarlo a cabo.a cabo. A continuación se indican una

A continuación se indican una serie de aspectos cuya consideración favorecerá el éxitoserie de aspectos cuya consideración favorecerá el éxito del proyecto y la consecución de los

del proyecto y la consecución de los objetivos establecidos:objetivos establecidos:



 Al inicio del proyecto, debemos llevar a cabo unaAl inicio del proyecto, debemos llevar a cabo una presentación generalpresentación general del del

proyecto a las personas implicadas, haciéndoles partícipes del mismo e proyecto a las personas implicadas, haciéndoles partícipes del mismo e informándoles de cuáles son los trabajos y

informándoles de cuáles son los trabajos y los resultados que se persiguen.los resultados que se persiguen.



 Asignar Responsables / coordinadoresAsignar Responsables / coordinadores de proyecto a cada uno de los de proyecto a cada uno de los

proyectos establecidos y dotarlo de los recursos necesarios. Dependiendo de proyectos establecidos y dotarlo de los recursos necesarios. Dependiendo de la envergadura del proyecto, puede ser necesario formar un Comité de Gestión la envergadura del proyecto, puede ser necesario formar un Comité de Gestión que se encargue de la

que se encargue de la supervisión del mismo.supervisión del mismo.



 Establecer laEstablecer la periodicidadperiodicidad con la que se debe llevar a cabo el con la que se debe llevar a cabo el seguimientoseguimiento

individual de los proyectos así

individual de los proyectos así como el seguimiento conjunto del Plan Directorcomo el seguimiento conjunto del Plan Director de Seguridad. Al respecto, cabe señalar que aquellos cambios en la de Seguridad. Al respecto, cabe señalar que aquellos cambios en la organización o en el entorno de la misma que puedan modificar el enfoque organización o en el entorno de la misma que puedan modificar el enfoque estratégico, requerirán que revisemos igualmente el Plan Director de estratégico, requerirán que revisemos igualmente el Plan Director de Seguridad, a fin de confirmar que sigue siendo válido y consecuente con la Seguridad, a fin de confirmar que sigue siendo válido y consecuente con la estrategia general de la organización.

estrategia general de la organización.



 A medida que vayamos alcanzado losA medida que vayamos alcanzado los hitoshitos previstos, debemos confirmar que previstos, debemos confirmar que

las deficiencias identificadas en las auditorías o en el análisis de riesgos han las deficiencias identificadas en las auditorías o en el análisis de riesgos han sido subsanadas.

(21)

3

3 Referencias

Referencias

[1].

[1]. INCIBE (2015) «Guía de gestión de riesgos: una guía de aproximación para elINCIBE (2015) «Guía de gestión de riesgos: una guía de aproximación para el empresario»

empresario» [[https://www.incibe.es/protege-tu-empresa/guias/gestion-

https://www.incibe.es/protege-tu-empresa/guias/gestion-riesgos-guia-empresario

riesgos-guia-empresario]] [2]

[2].. UNE-ISO/IEC 27001:2014UNE-ISO/IEC 27001:2014 Tecnología de la información. Técnicas de seguridad.Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de Seguridad de la

Sistemas de Gestión de Seguridad de la Información (SGSI). Requisitos.Información (SGSI). Requisitos. [3]

[3].. UNE-ISO/IEC 27002:2015UNE-ISO/IEC 27002:2015 Tecnología de la Información. Técnicas de seguridad.Tecnología de la Información. Técnicas de seguridad. Código de prácticas para los