NDICE DE CONTENIDO 1 2 3 Introduccin .........................................................................4 Marco Normativo utilizado ......................................................9 Gestin de la Seguridad de la Informacin.............................. 10 3.1 Objetivos Globales............................................................. 11 3.

2 Caso prctico: Gestin de Clientes....................................... 11

Anlisis de la captura de datos de clientes ..................................................12

3.3 Conclusiones..................................................................... 16 4 Controles relacionados con el Negocio .................................... 19 4.1 Objetivos Generales........................................................... 19
Definicin de la Poltica de Seguridad de la Empresa..................19 Clasificacin y marcado de la informacin ................................21 Contratos con terceros...........................................................23 Cambios en los contratos de terceros ......................................26 Comunicaciones de informacin con terceros ............................28 Comit de seguridad y LOPD ..................................................30 Validez jurdica de las evidencias ............................................31

Controles relacionados con el Personal ................................... 34 5.1 Objetivos Generales........................................................... 34

Definicin de Funciones y Responsabilidades ............................34 Clusulas de Confidencialidad .................................................36 Concienciacin y educacin sobre normas de seguridad .............38 Escritorio limpio y seguridad de equipo desatendido ..................40 Responsabilidad en el uso de contraseas ................................41 Normas de uso de servicios pblicos........................................44 Normas de seguridad en Correo Electrnico..............................46 Formacin sobre manejo de incidencias ...................................47

Controles relacionados con los Sistemas de Informacin........... 50 6.1 Objetivos Generales........................................................... 50 6.2 Seguridad Fsica relacionada con el Entorno.......................... 50
Permetro fsico de seguridad y controles de acceso...................50 Control de accesos pblicos, reas de carga y descarga .............52 Proteccin contra amenazas externas y ambientales..................54

Pgina -2-

6.3 Seguridad Fsica relacionada con los Soportes ....................... 55

Inventario y etiquetado de soportes ........................................55 Salidas de soportes con datos de las instalaciones.....................57 Medidas de reutilizacin / eliminacin de soportes.....................58 Normas de uso de dispositivos mviles y soportes extrables ......60 Mantenimiento de equipos......................................................62 Proteccin contra fallos en el suministro elctrico......................63

6.4 Seguridad Lgica en los Sistemas ........................................ 65

Anlisis de necesidades para el software ..................................65 Actualizaciones de software....................................................66 Proteccin contra cdigo malicioso ..........................................67 Copias de seguridad ..............................................................69

6.5 Seguridad Lgica en las Comunicaciones .............................. 71

Seguridad en el acceso a travs de redes. Identificacin automtica de equipos..........................................................................71 Cifrado ................................................................................72

Controles relacionados con la Revisin del sistema .................. 74 7.1 Objetivos Generales........................................................... 74 7.2 Auditora del sistema ......................................................... 74
Sincronizacin de relojes........................................................74 Control de registros de acceso ................................................75

8 9

Conclusiones....................................................................... 77 Glosario de Trminos ........................................................... 78

Pgina -3-

1 Introduccin
Los sistemas de informacin se han constituido como una base imprescindible para el desarrollo de cualquier actividad empresarial; estos sistemas han evolucionado de forma extraordinariamente veloz, aumentando la capacidad de gestin y

almacenamiento. El crecimiento ha sido constante a lo largo de las ltimas dcadas, sin embargo, esta evolucin tecnolgica tambin ha generado nuevas amenazas y vulnerabilidades para las organizaciones. La difusin de las noticias relacionadas con la seguridad informtica ha transcendido del mbito tcnico al mbito social, donde regularmente se pueden leer en prensa titulares como: Evitado el que poda haber sido el mayor robo bancario en Reino Unido [1803-05] Fuente: http://delitosinformaticos.com/noticias/111113819358799.shtml Nueva estafa de phising afecta a Cajamar y Cajamadrid [25-03-05] Fuente: http://www.elmundo.es/navegante/2005/03/28/seguridad/1112004210.html La polica detiene a una mujer por participar en una novedosa estafa de un "hacker" [27-04-05] Fuente: http://www.entrebits.com/noticias/Internet/articulos/n_81085.html Virus PGPCoder.A cifra documentos y pide luego un rescate. [25-05-05] Fuente: http://www.pandasoftware.es Amenazas como los virus han trascendido del mbito local, permitiendo crear amenazas que en cuestin de minutos pueden alcanzar a cualquier equipo conectado a Internet.

Pgina -4-

Rapidez y globalizacin de efectos

--Dif u si n d e Sap p h i re en 3 0 min u t tos. Dif u si n de Sap p h ire en 3 0 m in u o s.

Ilustracin difusin del virus sapphire en 30 minutos.

Las amenazas parecen alcanzar solamente a empresas de renombre internacional como objetivos de los hackers, haciendo que la seguridad se considere de forma tradicional como un apartado oscuro al igual que la inseguridad ; el ataque de hackers a travs de redes que roban secretos de la empresa es un hecho poco frecuente, si se compara con las verdaderas amenazas que habitualmente se materializan en entornos de pymes: accesos no autorizados a la informacin, prdida de datos por negligencia o por virus, etc., son hechos que se configuran como verdaderas amenazas de la seguridad de la informacin. Cuando se aborda la problemtica de la seguridad, la organizacin analiza

habitualmente aspectos relacionados con la disponibilidad de los datos, copias de seguridad, mantenimiento de los pcs y servidores, mantenimiento de las redes de telecomunicaciones, etc., todos ellos orientados a la disponibilidad de los datos, olvidando otras caractersticas que se deben cuidar igualmente como son la integridad y la confidencialidad.

Pgina -5-

Dimensiones de la seguridad

Segur idad de la Infor maci n

Confidencialidad Disponibilidad Autenticacin Tr azabilidad Integr idad

Lo importante no es tanto la ausencia de incidentes como la confianza en que estn bajo control: se sabe qu puede pasar y se sabe qu hacer cuando pasa. Conocer los riesgos para poder afrontarlos y controlarlos.
Ilustracin dimensiones de la seguridad de la informacin. Los aspectos a analizar son amplios y la inversin a realizar es igualmente importante, sin embargo, es preciso definir una estrategia que planifique las actuaciones a realizar, tanto para comprometer recursos econmicos como humanos.

Gestin de la segur idad. Gestin de la segur idad.

Es necesario que los tres elementos funcionen de forma conjunta y coordinada:
Tecnologa: medidas tecnolgicas de proteccin. Tecnolog tecnol protecci Procesos: supervisar el correcto funcionamiento de la tecnologa y las personas. tecnolog Personas: utilizan la tecnologa y ejecutan los tecnolog procesos.

Personas Procesos Tecnologa

Ilustracin gestin de la seguridad de la informacin. Esta problemtica hace necesaria una estrategia de apoyo a las Pymes y Micropymes, que deben solucionar, en situacin de desventaja frente a competidores ms grandes, la seguridad de su informacin y el cumplimiento de sus obligaciones legales.

Pgina -6-

En el ao 2005 el Gobierno de la Regin de Murcia lanza el Plan para el Desarrollo de la Sociedad de la Informacin en la Regin de Murcia (PDSI) 2005 2007, que se constituye en la herramienta que tiene como misin contribuir de manera efectiva a que la Regin de Murcia consiga alcanzar los objetivos planteados por la Unin Europea para el ao 2010 de constituirse en la economa del conocimiento ms competitiva y dinmica del mundo. El PDSI recoge en su tercera lnea de actuacin, la Accin 3.1.- Programa de sensibilizacin en materia de seguridad informtica y de adaptacin a la LOPD, como marco que facilite la puesta en marcha de actuaciones orientadas a sensibilizar a responsables de Organismos, Instituciones, Entidades y Empresas de la Regin de Murcia sobre la necesidad de adoptar todas las medidas de seguridad informtica necesarias para la proteccin de sus sistemas, as como las medidas de proteccin de datos de carcter personal de acuerdo con la Ley Orgnica de Proteccin de Datos (LOPD) Para la consecucin de ste objetivo, la Consejera de Industria y medio Ambiente y la Direccin General de Innovacin Tecnolgica y Sociedad de la Informacin, con la colaboracin de la Asociacin Murciana de Empresas de Tecnologas de la Informacin y las Comunicaciones - TIMUR, presentan la GUA DE SEGURIDAD DE LA INFORMACIN PARA PYMES. Esta Gua pretende convertirse en el manual de referencia para Pequeas y Medianas empresas que abordan el problema de la seguridad de sus sistemas de informacin y el cumplimiento de la legislacin vigente. La Gua contiene informacin dirigida tanto a la direccin de la organizacin como a los perfiles tcnicos de la misma. Con el fin de facilitar a todos ellos la lectura y comprensin de esta informacin, la gua se ha estructurado en los siguientes apartados: Apartados de introduccin para situar al lector: Marco Normativo, destaca las principales normas, estndares y leyes aplicables en materia de seguridad de la informacin. Gestin de la Seguridad de la Informacin, introduce el trmino gestin como estrategia para abordar las actuaciones que toda

organizacin debe realizar en materia de seguridad de la informacin. Apartados que agrupan las medidas de seguridad: Controles relacionados con el negocio, seguridad corporativas, relaciones con tales como terceros, polticas de de

acuerdos

Pgina -7-

confidencialidad, etc., que se deben tener en cuenta de forma comn por toda la organizacin. Controles relacionados con el personal, incluyendo formacin concienciacin, funciones, confidencialidad y recomendaciones a aplicar. Controles relacionados con el sistema de informacin, incluyendo la seguridad fsica en el entorno y soportes, y la seguridad lgica en las comunicaciones. Controles relacionados con la revisin del sistema, analizando la posible auditora del mismo. Apartados finales: Resumen, breve descripcin de las ideas ms importantes desarrolladas en la gua para facilitar su lectura y comprensin. Glosario de trminos, con la explicacin o detalle de los conceptos ms importantes que aparecen en la gua. y

Pgina -8-

2 Marco Normativo utilizado

Como base normativa para realizar la presente gua de seguridad, se ha analizado en primer lugar la legislacin vigente, que afecta al desarrollo de las actividades empresariales en las pymes y que implica la implantacin de forma explicita de medidas de seguridad en los sistemas de informacin. El marco legal en materia de seguridad de la informacin viene establecido por la siguiente legislacin: Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal, BOE de 14 de diciembre (en adelante LOPD). Real Decreto 994/1999, de 11 de junio, sobre Medidas de Seguridad de los ficheros automatizados que contengan datos de carcter personal (en adelante RMS). Directiva de la Unin Europea 95/46/CE, de 24 de octubre, sobre proteccin de las personas fsicas en lo que respecta al tratamiento de datos personales y a la libre circulacin de stos (DOCE 24-VII-1995). Ley 34/2002, de 11 de julio, de servicios de la sociedad de la informacin y de comercio electrnico. Como complemento a la legislacin vigente en materia de proteccin de datos de carcter personal, existe en la actualidad la norma internacional UNE ISO/IEC 17799:2005 Cdigo de Buenas Prcticas para la gestin de la seguridad de la informacin, que se ha configurado como un estndar de facto a la hora de auditar los aspectos relacionados con la seguridad de la informacin en las organizaciones. Esta norma, que recientemente ha sido revisada, cubre a travs de sus 11 dominios de control proceso. -distribuidos en 133 controles-, los aspectos ms relevantes de este

Pgina -9-

3 Gestin de la Seguridad de la Informacin

Los sistemas de informacin de las organizaciones desarrollan su misin en un entorno hostil. Las organizaciones son responsables de la proteccin de la informacin que gestionan ante las amenazas de este entorno y deben, por todos los medios disponibles, garantizar su confidencialidad, integridad y disponibilidad. Desde hace tiempo, se percibe una creciente preocupacin por todos los aspectos relacionados con la seguridad. Todas las organizaciones, pblicas o privadas, grandes o pequeas, se enfrentan da a da a amenazas contra sus recursos informticos, con elevado riesgo de sufrir incidentes de alto impacto en su actividad. El imparable avance de las nuevas tecnologas en las organizaciones y, en general, el desarrollo de la Sociedad de la Informacin no hace ms que agravar la situacin. Los riesgos que surgen relacionados con tecnologas y procesos de negocio, requieren sistemas, soluciones y servicios emergentes. Soluciones para garantizar, de forma continuada en el tiempo, la actividad de las organizaciones, la seguridad de la informacin base del negocio y los derechos de los individuos, en una sociedad cada vez ms informatizada, cumpliendo al mismo tiempo con leyes como la LOPD, LSSI y otras. La seguridad no es un producto: es un proceso. Un proceso continuo que debe ser controlado, gestionado y monitorizado. Con el objetivo de ilustrar el contenido de la gua, se analizar a lo largo de los diferentes captulos el caso de una pyme murciana del sector servicios, que opera en la Regin de Murcia y que se plantea abordar una estrategia de seguridad de la informacin para proteger sus datos e informacin. A continuacin, se presentar la problemtica de la captacin y gestin de CLIENTES por parte de la empresa. Para este proceso y desde el punto de vista de la seguridad, es imprescindible poder garantizar la exactitud de los datos de clientes y la disponibilidad de las aplicaciones de gestin, que son el soporte principal de las actividades de negocio de toda empresa. El desarrollo de las actuaciones necesarias en materia de seguridad de la informacin, para reducir el riesgo asociado a la prdida o filtracin de los datos de los clientes y a la prdida de disponibilidad del sistema de informacin de la empresa, se abordar en los siguientes captulos.

Pgina -10-

3.1 Objetivos Globales.

El objetivo de este apartado es ilustrar con un caso prctico las actuaciones a realizar para establecer una adecuada gestin de la seguridad de la informacin. Las caractersticas de la seguridad a considerar son: Disponibilidad: asegurar que los usuarios autorizados tienen acceso cuando lo requieran en los tiempos adecuados. Integridad: garanta de la exactitud y de que la informacin sea completa, as como los mtodos de su procesamiento. Confidencialidad: asegurar que la informacin es slo accesible para aquellos autorizados. Autenticidad de los usuarios del servicio: asegurar la identidad de los usuarios que manejan o acceden al activo. Autenticidad del origen de los datos: asegurar la identidad u origen de los datos. Trazabilidad del servicio: asegurar que en todo momento se podr determinar quin hizo qu y en qu momento. Trazabilidad de los datos: asegurar que en todo momento se podr determinar quin ha accedido a los datos. Se deben detectar las situaciones que se estn realizando sin control adecuado y para ello deben ser analizados los aspectos importantes en materia de seguridad, como la confidencialidad de los datos de clientes o la disponibilidad de los sistemas informticos de la empresa. Una adecuada gestin de la seguridad de la informacin debe contribuir a disminuir los riesgos que la empresa soporta, y a minimizar los daos en los activos de informacin, si alguno de los riesgos llega a materializarse.

3.2 Caso prctico: Gestin de Clientes.

A continuacin se analizar de forma simple la problemtica asociada a la gestin de clientes en la empresa; este proceso afecta a todas las organizaciones, por lo que es comnmente conocido. La gestin de los clientes aporta a la empresa datos sobre personas fsicas, que tienen que ser tratados de acuerdo a la legislacin vigente (LOPD RMS). Los datos del cliente si ste es persona fsica, o de contactos del cliente, representantes, etc., deben ser recogidos en ficheros, declarados ante la Agencia Espaola de Proteccin de Datos

Pgina -11-

y deben serles aplicadas las medidas de seguridad correspondientes, dependiendo del tipo de datos. De forma habitual, los datos de los clientes pueden llegar a la organizacin a travs de mail, fax, correo, telfono, y suelen ser recabados por iniciativa del cliente que solicita un servicio. Es importante informar y solicitar el consentimiento del cliente (si ste es necesario) para llevar a cabo el tratamiento de los datos de carcter personal. Asimismo, estos datos deben validarse antes de ser

introducidos en el sistema de informacin, ya que el cliente puede existir ya en las bases de datos de la empresa, o puede haber cambiado parte de sus datos. Una vez capturados los datos, el cliente pasa a formar parte del circuito comercial de la empresa, realizando pedidos a los que se asocian entregas de material y emisin de facturas.

La captura y mecanizacin de los datos del cliente en el sistema de informacin, que en la mayor parte de los casos est informatizado y cuyos datos estn almacenados en un servidor central, se debe considerar como subproceso de la gestin de cliente. Esta es la casustica que ser analizada por ser la ms habitual.

Anlisis de la captura de datos de clientes

Una vez recibida la solicitud de alta del cliente, el personal encargado de su gestin debe realizar una consulta de la base de datos de clientes. Para ello

Pgina -12-

accede a un ordenador, normalmente personal de administracin, y utiliza la aplicacin de gestin de la empresa que permite acceder a los datos de los clientes o crear nuevos clientes.

Descomponiendo en pasos el proceso anterior, el personal encargado de la gestin de clientes accede a un equipo en el que se ejecuta una aplicacin, y a travs de las comunicaciones de red realiza la consulta al servidor que contiene los datos. Este anlisis permite concluir que son necesarios seis elementos en el sistema de informacin para llevar a cabo las altas y consultas sobre clientes de la empresa, elementos que pueden ser imprescindibles, en mayor o menor medida, en funcin de la capacidad de ser sustituidos en caso de indisponibilidad. Adicionalmente, se debe considerar que estos elementos dependen a su vez de otros de menor nivel, pero indispensables en el proceso, como son el suministro elctrico, la red de rea local, etc. Todos estos elementos son importantes por dar soporte al proceso general de consulta de clientes.

En la imagen se muestra la relacin de dependencia que los datos tienen de la disponibilidad del servidor. A su vez, los equipos informticos dependen de la disponibilidad del suministro elctrico, del funcionamiento de las comunicaciones y del

Pgina -13-

local en el que estn ubicados (cualquier incidente que dae el local donde estn los equipos podra afectar seriamente la disponibilidad de los equipos en l almacenados). Analizando globalmente el proceso de gestin de un alta de clientes, ste puede quedar reflejado de forma grfica en el siguiente rbol de dependencias (que muestra de una forma sencilla todos los activos y las relaciones existentes entre ellos).

Ilustracin. Identificacin de Activos (rbol de dependencias) Se puede ver el rbol de dependencias como un castillo, donde el fallo de cualquier elemento de la base genera la cada parcial o total del edificio. Esta forma grfica evidencia que los fallos en elementos de bajo nivel pueden ser arrastrados y producir paradas en los principales servicios de la empresa. Estas relaciones son las que producen los efectos bola de nieve o avalancha, donde un incidente, menor sobre un elemento poco importante, puede tener consecuencias graves en funcin de la importancia general que tenga el elemento afectado en la continuidad de los procesos de negocio a los que da soporte. Una vez identificados los procesos involucrados en la gestin de clientes, el siguiente paso es identificar las principales amenazas que pueden afectar a los activos de informacin. Las amenazas pueden tener un origen natural o humano, y pueden ser accidentales o deliberadas.

Pgina -14-

Amenazas del entorno: Las amenazas generadas por el entorno pueden ser catstrofes naturales

(inundaciones, tormentas, terremotos, etc.), acciones de origen humano intencionadas (posibles robos, asaltos, errores tcnicos, etc.), o accidentales como el corte del suministro elctrico.

Amenazas propias del sistema de informacin: Las principales amenazas que pueden sufrir los sistemas de informacin son las que afectan a alguno de los elementos que lo forman o explotan. Podemos distinguir tres grupos: En hardware software personal que utiliza cualquiera de los dos recursos anteriores. los equipos fsicos del sistema de informacin (servidores, equipos

informticos y hardware de comunicaciones), existen amenazas debidas a errores de uso o mantenimiento, y a fallos o averas de cualquiera de sus componentes.

Pgina -15-

En relacin al software de tratamiento de la informacin (sistema operativos, aplicaciones de negocio, ofimtica, etc.) las principales amenazas pueden ser fallos en programacin (que permitan la existencia de puertas traseras, errores en la realizacin de clculos, etc.), y cdigo malicioso como son los virus informticos, gusanos, troyanos, etc.

Respecto al uso que realiza el personal de la empresa en el desarrollo de la gestin del pedido, las posibles amenazas son: errores no intencionados -como el borrado accidental de informacin o la mala introduccin de datos- y amenazas de origen intencionado, como posibles robos o filtraciones de informacin.

3.3 Conclusiones
La gestin de la seguridad de la informacin debe atender un objetivo claro: reducir el nivel de riesgo al que la organizacin se encuentra expuesta. Para ello el proceso a seguir es: - Analizar los principales activos de informacin involucrados en los procesos de negocio y determinar su valor para la organizacin.

Pgina -16-

- Identificar las potenciales amenazas que pueden afectar a cada uno de los activos inventariados. - Estimar el impacto que tendran para la empresa la materializacin de las amenazas sobre los diferentes activos. Se debe considerar que el coste de un incidente de seguridad no es solamente las prdidas econmicas directas derivadas del mismo, sino que tambin aparecen costes indirectos -relacionados con las consecuencias que conlleva-, como pueden ser las horas de prdida de produccin, las posibles sanciones por los incumplimientos legales que se produzcan, los daos en la imagen corporativa, etc. - Valorar el riesgo de los activos de la organizacin. Con toda esta informacin y las decisiones estratgicas tomadas sobre los objetivos a alcanzar, se deben definir las lneas de actuacin en materia de seguridad de la informacin, de una forma racional y proporcional a los niveles de riesgo asumidos. Todas estas actuaciones se pueden desarrollar dentro del Plan director de la seguridad de los sistemas de informacin. Para reducir la vulnerabilidad que presenta todo sistema de informacin, existe la posibilidad de implantar medidas de seguridad. Como marco de referencia se puede utilizar la norma UNE ISO/IEC 17799 Cdigo de buenas prcticas en materia de seguridad de la informacin, que relaciona los posibles controles a elegir en base a diferentes conjuntos de objetivos planteados. Los controles se pueden agrupar en: controles relacionados con el negocio, tales como polticas de seguridad y normas de clasificacin de la informacin; controles relacionados con el personal, tales como definicin de funciones, clusulas de confidencialidad y normas de uso de equipos y contraseas; controles relacionados con los sistemas de informacin, clasificados en medidas de seguridad fsica y lgica; y controles relacionados con la revisin de los sistemas de informacin, tales como auditoras y registros. Los captulos siguientes: 4, 5, 6 y 7 estn dirigidos al personal tcnico-directivo de la organizacin y en ellos se analizarn los principales bloques de control definidos en la norma.

Pgina -17-

Pgina -18-

4 Controles relacionados con el Negocio

4.1 Objetivos Generales
En el marco de la seguridad de la informacin como estrategia para proteger los activos de informacin de la organizacin, esta debe contemplar los objetivos del negocio como un requisito imprescindible para la planificacin de actuaciones. Para que las medidas adoptadas sean efectivas, la direccin debe adoptar y mantener un compromiso con los planes de seguridad de la organizacin. Entre las principales actuaciones que han de tener el respaldo directo de la direccin estn: establecer una poltica de seguridad, definir directrices claras para el tratamiento de la informacin, promover una estructura de clasificacin de la informacin, definir normas de

etiquetado de soportes, establecer procedimientos que regulen las comunicaciones y relaciones con terceros y asegurar el cumplimiento de todos los aspectos legales que obliguen a la organizacin en materia de tratamiento de la informacin. A continuacin se relacionan las principales medidas de seguridad relacionadas directamente con el modelo de negocio de la organizacin. Por parte del personal de la organizacin, es importante considerar actuaciones de refuerzo para el correcto cumplimiento de las medidas de seguridad; para ello se propone analizar, de forma paralela a cada medida, posibles formas de vigilancia. Medidas disciplinarias: Para el caso de que algn miembro del personal de la organizacin incumpla las directrices establecidas en las medidas de seguridad de la organizacin, se deben establecer las posibles medidas disciplinarias que puede tomar la empresa Vigilancia y control: Se deben establecer procedimientos y medidas para controlar que el usuario no incumple las medidas previstas.

Definicin de la Poltica de Seguridad de la Empresa

Establecer una adecuada Poltica de Seguridad tiene un doble propsito, informar y concienciar a todos los empleados sobre la estrategia de seguridad de la organizacin y definir las lneas generales de actuacin para evitar amenazas y reaccionar ante incidentes de seguridad.

Pgina -19-

Para la consecucin de su objetivo, la poltica debe establecer directrices claras, normas para el tratamiento de la informacin y definir los responsables de su desarrollo, implantacin y gestin. Asimismo, deber recoger la funcin de seguridad de la informacin para gestionar la proteccin de los recursos del sistema de informacin. Implantacin de la medida La poltica deber estar aprobada por la Direccin de la organizacin para evitar dudas respecto a su importancia y al compromiso de la direccin. Se deber dar la mxima difusin para que todo el personal que tenga relacin con los sistemas de informacin de la organizacin conozca de su existencia y alcance. El ndice de la poltica de seguridad podra ser el siguiente: Alcance de la poltica Normas para el tratamiento de la

informacin Responsables del desarrollo, implantacin y gestin de la poltica Gestin de recursos del sistema de

informacin A modo de detalle, las siguientes directrices deben formar parte de la poltica: Existe una prohibicin expresa del uso de los activos de la empresa, tanto recursos informticos (correo electrnico,

Internet, ofimtica, espacio en disco, etc.), como informacin (de clientes, de terceros, etc.), para finalidades distintas a las estrictamente aprobadas por la Direccin. Existe la obligacin por parte del usuario de bloquear los puestos de trabajo desde los que opera cuando sean abandonados, bien temporalmente o bien al finalizar el turno de trabajo. Normativa La implantacin de normas sobre polticas de seguridad est reflejada en la norma ISO 17799 en los siguientes puntos: La direccin deber aprobar, publicar y comunicar a todos los

empleados, en la forma adecuada, un documento de poltica de seguridad de la informacin. Deber establecer el compromiso de la Direccin y el enfoque de la Organizacin para gestionar la seguridad de la informacin. (Punto 5.1.1 ISO1799:2005)

Pgina -20-

La poltica deber tener un propietario que sea responsable de su mantenimiento y revisin, conforme a un proceso de revisin definido. (Punto 5.1.2 ISO17799:2005)

Ejemplo: Percepcin de la seguridad de los usuarios de la empresa en su trabajo diario. Sin medidas: Si la organizacin no establece una poltica de seguridad clara para el tratamiento del sistema de informacin, un usuario no conoce sus obligaciones respecto al tratamiento de la informacin, puede llegar a utilizar de forma indiscriminada los equipos, aplicaciones y soportes que almacenan datos y ser muy difcil para la direccin exigirle

responsabilidades por usos no adecuados.

Definiendo medidas: Si en la organizacin se establecen normas de uso del sistema de informacin y se facilitan a todo el personal, los usuarios conocen sus responsabilidades y las posibles medidas disciplinarias en caso de incumplimiento. Si adems se establecen controles peridicos para comprobar que las medidas descritas en la poltica se cumplen, se contar con la colaboracin de los usuarios para proteger el sistema de informacin.

Paso 1 Definir la poltica de seguridad formalmente y entregarla a todos los usuarios.

Clasificacin y marcado de la informacin

No toda la informacin existente en la organizacin es igual de importante, los informes de direccin con los planes de la empresa no deben tener la misma proteccin que los informes de salud de los trabajadores, las copias de seguridad o las circulares para convocar reuniones. La clasificacin de la informacin debe permitir establecer diferencias entre las medidas de seguridad a aplicar que, de forma general, atendern a criterios de

disponibilidad, integridad y confidencialidad de los datos.

Pgina -21-

Establecer un esquema de clasificacin de la informacin debe ser riguroso y gil a la vez, los esquemas demasiado complejos pueden ser impracticables por molestos o costosos. Con estas consideraciones se debe generar una clasificacin en pocos niveles, pero que se aplique a toda la informacin de la organizacin, siendo recomendable considerar de forma

genrica los tipos: Pblica, Restringida y Confidencial. Implantacin de la medida Para disear un esquema de clasificacin y marcado de la informacin, se recomiendan las siguientes actuaciones: Establecer un sistema fcil y gil de clasificacin de la informacin, siguiendo las recomendaciones anteriormente citadas. Podra ser: Pblica, Restringida y Confidencial. Definir el tratamiento de cada uno de los tipos de informacin, incluyendo el personal autorizado, soportes en los que se puede almacenar y usuarios o destinatarios autorizados de dicha informacin. Agrupar los procedimientos de clasificacin de la informacin y tratamiento de la misma en un documento comn a toda la organizacin denominado Gua de clasificacin de la informacin; esta gua deber disponer de la aprobacin de la direccin y se debe comunicar a todo el personal, tanto propio como subcontratado, que pueda tener acceso a dicha informacin. Normativa La implantacin de normas la clasificacin y marcado de la informacin est reflejada en la norma ISO 17799 en el siguiente punto: La Informacin debera ser clasificada en trminos de su valor, exigencias legales, sensibilidad y criticidad para la organizacin. (Punto 7.2.1 ISO17799:2005) Ejemplo La empresa dispone de informacin pblica que se puede difundir fuera de la organizacin, e informacin restringida que solo debe conocer el personal de la empresa.

Pgina -22-

Sin medidas: Si la empresa no clasifica la informacin, pueden utilizarse soportes (disquetes, cdrom, ) tanto para el envo de informacin a los comerciales de la empresa como a los clientes. En el envo se pueden mezclar los soportes y enviar a los clientes informacin restringida; de igual forma, cuando un cliente solicita ampliar informacin sobre una operacin, el comercial le puede enviar

informacin restringida sobre nuevas polticas de precios todava en proceso de revisin. Son muchos y claros los ejemplos y situaciones que se pueden dar si la informacin no est clasificada y los usuarios desconocen el procedimiento para tratarla.

Definiendo medidas: La empresa decide que la informacin tendr dos niveles de clasificacin: Pblico y Restringido, edita una gua de clasificacin donde contempla los posibles casos de tratamiento de la informacin restringida, personal autorizado, soportes, envos al exterior, y adems, establece las medidas disciplinarias a aplicar en el caso de incumplimiento y establece controles de monitorizacin del cumplimiento (inventario de soportes, control de los envos al exterior, etc.). Con estas medidas disminuye notablemente la probabilidad de error en el tratamiento de la informacin.

Paso 2 Establecer un sistema fcil y gil de clasificacin de la informacin, publicar el contenido en un documento denominado Gua de Clasificacin de la informacin.

Contratos con terceros

La evolucin de los sistemas de informacin permiten un mayor grado de subcontratacin a las organizaciones, asesoras fiscales y laborales, empresas que ofrecen hosting (alquileres) de servidores o pginas web, copias de seguridad realizadas en remoto, etc, son algunos de la larga lista de servicios que se pueden contratar. Si estos terceros no conocen la poltica de seguridad de la organizacin, no podrn ser capaces de prestar los servicios contratados con

Pgina -23-

las garantas mnimas exigidas, es pues recomendable y en algn caso imprescindible, regular formalmente los servicios que involucren a personal o recursos externos a la organizacin. Tratar los datos de una forma distinta a la acordada, realizar un uso de los mismos para otra finalidad distinta a la inicialmente contratada, no aplicar las medidas de seguridad exigidas, no informar a los usuarios acerca de su deber de secreto, son aspectos que deben estar perfectamente definidos al regular el contrato de prestacin de servicios. Implantacin de Medidas Todas las relaciones con empresas y organizaciones ajenas, que impliquen el acceso a los datos e informacin propios de la organizacin deben estar reguladas mediante contrato, estos contratos debern contemplar como mnimo: La identificacin de todas las personas fsicas y jurdicas que tendrn acceso a la informacin. La finalidad de la prestacin de servicios. Los mecanismos de intercambio de informacin. Las medidas de seguridad a aplicar a los datos. La obligacin de mantener el deber de secreto y de informar del mismo a todos los usuarios que puedan acceder a la informacin. Las condiciones para la finalizacin del contrato, incluyendo mencin especfica a las acciones de devolucin o destruccin de la informacin objeto del contrato. Y tambin sera recomendable: Establecer los fueros y tribunales a los que recurrir en caso de incumplimiento. Normativa La redaccin de contratos con terceros para la prestacin de servicios a la organizacin est reflejada, tanto en la Ley de Proteccin de Datos (para tratamientos que impliquen el Las posibles contramedidas a aplicar en caso de incumplimiento.

tratamiento de datos de carcter personal) como en la norma ISO 17799, en los siguientes puntos: La realizacin de tratamientos por cuenta de terceros, deber estar regulada en un contrato, que har constar por escrito o en alguna otra forma que permita acreditar su celebracin y contenido, establecindose

Pgina -24-

expresamente que el encargado del tratamiento nicamente tratar los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicar o utilizar con fin distinto al que figure en dicho contrato, y que no los comunicar -ni siquiera para su conservacin- a otras personas. En el contrato se estipularn, asimismo, las medidas de seguridad que est obligado a implementar. (Articulo 12.2 LOPD) El responsable del fichero, y en su caso el encargado del tratamiento, deber adoptar las medidas de ndole tcnica y organizativa necesarias que garanticen la seguridad de los datos de carcter personal y eviten su alteracin, prdida, tratamiento o acceso no autorizado. (Articulo 9 LOPD) El responsable de fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carcter personal, estn obligados al secreto profesional respecto de los mismos. (Articulo 10.1 LOPD) La organizacin debe asegurarse de que las medidas de seguridad, servicios y niveles de entrega incluidos en los contratos de servicio con terceros, se ponen ISO17799:2005) Las exigencias para la confidencialidad y acuerdos de no divulgacin, que reflejan las necesidades de la organizacin para la proteccin de la informacin, debern ser identificadas y revisadas con regularidad. (Punto 6.1.5 ISO17799:2005) La direccin deber requerir a empleados, contratistas y usuarios terceros, la aplicacin de las medidas de seguridad conforme a la poltica establecida y los procedimientos de la organizacin. (Puntos 8.2.1 ISO17799:2005) Se deber controlar que las medidas de seguridad para el tratamiento de la informacin, que realizan terceros ajenos a la empresa, cumple con las exigencias de la misma. (Puntos 6.2.2 ISO17799:2005) Ejemplo Para la realizacin de las tareas contables de la empresa, se ha decidido contratar a una empresa externa que aporta un trabajador a tiempo parcial (Trabajador-1), al que se entrega un equipo y proporciona un despacho dentro de la organizacin. Sin medidas: Si la empresa decide no formalizar los encargos de trabajo, el Trabajador-1 carece de instrucciones de uso del equipo y de la informacin que contiene, en prctica y se mantienen. (Punto 10.2.1

Pgina -25-

tampoco conoce las posibles medidas disciplinarias a las que se enfrenta por hacer un uso indebido de los equipos, pudiendo tomar la decisin de descargar msica y videos, probar aplicaciones informticas o realizar transmisiones de datos personales a travs de la red de la organizacin. Estas actuaciones suponen amenazas para la seguridad de la informacin tales como: Infeccin de virus Instalacin de software no legal Transmisiones de datos inseguros Robo de informacin

Definiendo medidas: Si la empresa decide formalizar los encargos de tratamiento, redacta y firma un contrato que regula la actividad del Trabajador-1, en el que establece las medidas de seguridad a adoptar para el tratamiento de informacin, las obligaciones de confidencialidad de los datos y la limitacin del uso de los equipos a la finalidad recogida en el contrato.

Paso 3 Regular mediante contrato todos los encargos de tratamiento de datos y prestacin de servicios con terceros que impliquen el intercambio de informacin.

Cambios en los contratos de terceros

Cualquier cambio en las condiciones o finalidad de los servicios contratados a terceros debe ser revisado, para comprobar que las medidas de seguridad y confidencialidad exigidas siguen vigentes. El caso concreto de la finalizacin de un contrato de prestacin de servicios, se debe realizar de forma ordenada y minuciosa y debe estar contemplado en la redaccin del contrato que regula los servicios. Los principales aspectos que han de ser tenidos en cuenta en cualquier cambio en los servicios contratados son: Revisin de los cambios en la finalidad de la prestacin del servicio que pueden afectar a los compromisos de

confidencialidad, medidas de seguridad a aplicar o condiciones del servicio.

Pgina -26-

Revisin de los compromisos de niveles de servicio y adecuacin al nuevo contrato.

Revisin de las clusulas de proteccin de datos de carcter personal.

Revisin del deber de secreto por parte de todos los usuarios

implicados en el servicio. Implantacin de Medidas Se han de verificar todos los contratos de encargo de tratamiento o prestacin de servicios, para incluir las clusulas que recojan posibles

modificaciones de los mismos y verificar que existen protocolos de finalizacin de servicio, haciendo especial hincapi en los datos de carcter personal y/o especialmente confidenciales para la organizacin. Normativa Las normas sobre la finalizacin de contrato de servicios prestado por terceros estn reflejadas, tanto en la Ley de Proteccin de Datos como en la norma ISO 17799, en los siguientes puntos: Una vez cumplida la prestacin contractual, los datos de carcter personal debern ser destruidos o devueltos al responsable del fichero, al igual que cualquier soporte o documentos en el que conste algn dato de carcter personal objeto del tratamiento. (Articulo 12.3 LOPD) Los cambios en la prestacin de servicios para la mejora de la poltica de seguridad de la organizacin debern tener en cuenta lo crticos que son los sistemas de negocio y darn lugar a la reevaluacin de riesgos. (Punto 10.2.3 ISO17799:2005) Ejemplo La empresa contrata el servicio de una asesora laboral para realizar las nminas mensuales del personal, tras dos aos trabajando con dicho tercero, decide encargar la gestin laboral a otra asesora. Sin medidas: Si la empresa no dispone de contrato de prestacin de servicios, o ste no est actualizado, ha estado realizando una cesin ilegal de datos a la asesora sancionable en el marco de la LOPD.

Pgina -27-

Definiendo medidas: Si la empresa define y firma un contrato de prestacin de servicios con la asesora laboral, en el que regula el tratamiento de los datos de carcter personal y las medidas de seguridad a aplicar, y adems el contrato se ha actualizado en el tiempo recogiendo la situacin real de cada momento, se habr cumplido con las obligaciones legales existes. Si adems se ha incluido en el contrato un protocolo de devolucin de soportes en caso de finalizacin, al finalizar ste podr reclamar la devolucin de los soportes y encargar el servicio a un nuevo tercero.

Paso 4 Vigilar la validez y alcance de todos los contratos de prestacin de servicios para asegurar que se ajustan a la realidad de la organizacin. En caso de cambio, reflejar la nueva realidad.

Comunicaciones de informacin con terceros

Uno de los procesos que ms amenazas puede generar en las relaciones con los terceros es el intercambio de informacin. El envo de datos a travs de soportes (disquetes, cdrom, llaves usb, ) o redes de telecomunicaciones (correo

electrnico, mensajera, ), generan amenazas a la integridad de los datos, pero tambin a la confidencialidad de los mismos. Evitar prdidas, intercepciones o alteraciones de la informacin, es una prioridad para la organizacin. Implantacin de Medidas Los procesos de comunicacin deben estar perfectamente definidos y regulados en los contratos de prestacin de servicios. De forma adicional, se deben establecer normas y mecanismos que permitan realizar comunicaciones de informacin de forma segura, dentro de la organizacin y con terceros. Dichas normas deben estar recogidas formalmente y ser difundidas a todos los implicados en el envo o recepcin de informacin. Normativa La necesidad de definir e implantar normas sobre la comunicacin de informacin con terceros est reflejada, tanto en la Ley de Proteccin de Datos como en la norma ISO 17799, en los siguientes puntos:

Pgina -28-

La salida de soportes informticos que contengan datos de carcter personal fuera de los locales en los que est ubicado el fichero, nicamente podr ser autorizada por el responsable de fichero. (Articulo 13.2 RMS)

Deber establecerse un sistema de registro de entrada y salida de soportes informticos. (Articulo 20.1 / 20.2 RMS)

La distribucin de los soportes que contengan datos de carcter personal se realizar cifrando dichos datos, o bien utilizando cualquier otro mecanismo que garantice que dicha informacin no sea inteligible ni manipulada durante su transporte. (Articulo 23.1 RMS)

Se debe establecer procedimientos y normas formales para proteger el intercambio de informacin, as como los mecanismos de comunicacin empleados. (Punto 10.8.1 ISO17799:2005)

Ejemplo La empresa, en virtud del contrato de prestacin de servicios firmado con la asesora laboral, enva por mail los datos de los nuevos empleados contratados a la asesora, y recibe del mismo modo los contratos y las nminas dirigidos al departamento de administracin. Una vez recibidas, las nminas se imprimen y se entregan en papel al departamento financiero. Sin medidas: Si la empresa no define ningn procedimiento ni medidas de proteccin para dichas comunicaciones, puede sufrir accesos no autorizados a los datos, alteraciones de la informacin contenida en los correos, e incluso la sustraccin de dicha informacin.

Definiendo medidas: Si la organizacin decide establecer normas y medidas de seguridad para proteger las comunicaciones, estas se deben documentar en un

procedimiento y ser comunicadas a todos los afectados. A modo de resumen, las normas definidas son: En el envo de informacin entre la empresa y la asesora laboral,

todos los mensajes debern ir firmados y cifrados, siendo eliminados todos aquellos que no lo estn. Una vez recibidas las nminas por el departamento de administracin,

se confirmar su recepcin a la asesora y se proceder a su impresin y a la destruccin del mail recibido.

Pgina -29-

La entrega de las nominas en papel desde el departamento de

administracin y su correspondiente recepcin por parte del departamento financiero, se realizar siempre mediante la introduccin de dichas nminas en un sobre sellado, que ser transportado por personal autorizado por el responsable del departamento de administracin.

Paso 5 Regular los intercambios de informacin con terceros formalmente, comunicando los requisitos al personal de la organizacin y a los terceros involucrados en dichos intercambios.

Comit de seguridad y LOPD

Definir una estructura de seguridad implica tomar decisiones sobre las lneas de actuacin a desarrollar y la implantacin de medidas concretas en cada una de dichas lneas. Generalmente estas decisiones abarcan a todos los departamentos de la organizacin, jurdico, organizativo, recursos humanos y personal, calidad, etc., de esta forma, las actuaciones en materia de seguridad deben desarrollarse de forma estructurada y con el mayor consenso y colaboracin posible. Es conveniente de generar en un la y

grupo

trabajo para las en

organizacin adoptar iniciativas

debatir

principales materia de

seguridad de la informacin y LOPD. Sera deseable que el comit iniciase su andadura

liderado por el personal asignado a seguridad de la informacin, y que ste fuese organizando tanto el envo de informacin -con carcter previo a las reuniones-, como el registro de las decisiones adoptadas para su aprobacin por la direccin de la organizacin. Implantacin de Medidas La direccin debe crear el comit de seguridad y lopd y asignar los puestos que deben ocupar en su distribucin los diferentes departamentos de la organizacin. Tambin resulta de especial importancia crear un canal fluido para enviar a la direccin las decisiones acordadas en el comit de seguridad. Ejemplo
Pgina -30-

La empresa se plantea la planificacin de las actuaciones en materia de seguridad de la informacin para el ao prximo. Sin medidas: La empresa selecciona alguna de las que considera prioridades en materia de seguridad informtica, como son poltica antivirus y cifrado de las comunicaciones. Las posibles amenazas respecto a la seguridad son las siguientes: No atender a los mayores riesgos que amenazan la organizacin Definir e implantar medidas de seguridad que no tengan en cuenta al usuario final Restar productividad al personal por establecer controles demasiado tediosos

Definiendo medidas: La empresa crea el comit de seguridad y lopd, nombra representantes de los principales departamentos para su constitucin y funcionamiento. Asimismo, nombra al departamento de seguridad de la informacin como director del comit y le encarga las funciones de envo de informacin con carcter previo a las reuniones y redaccin formal de los acuerdos que se obtengan. La direccin del comit se basa en un proceso de gestin de los mayores riesgos en materia de seguridad de la informacin de la organizacin; para establecer las lneas de actuacin, selecciona medidas de seguridad asociadas a estas lneas y las enva al comit. En el comit se debaten, considerando aspectos como incidencia en el personal, reflejo en la poltica de calidad de la organizacin, y se aprueban las medidas consideradas como ptimas para la organizacin. Direccin recibe el informe con las medidas aprobadas por el comit y selecciona las que considera ms adecuadas.

Paso 6 Definir un comit de seguridad y lopd que coordine las actuaciones a realizar en la organizacin.

Validez jurdica de las evidencias

La mayora de las actuaciones que se llevan a cabo en el marco de la seguridad de la informacin en una organizacin cumplen con el objetivo de disuadir al usuario, interno o externo, de realizar actuaciones no autorizadas, o bien de

Pgina -31-

impedir la ejecucin de dichas actuaciones. No obstante, si se produce una incidencia relacionada con la seguridad de la informacin, siempre se piensa que las pruebas incriminarn al infractor; pero este extremo resulta del todo intil si no se ha contemplado esta finalidad en el diseo de las polticas de seguridad de la organizacin. Establecer en todas las medidas de seguridad adoptadas el carcter de prueba para poder demostrar posibles incumplimientos con las normas establecidas en el uso de la informacin de la organizacin. Implantacin de Medidas Ser objetivo de un grupo de trabajo multidisciplinar, (en el que se debe contar con apoyo jurdico, tcnico y organizativo -definido en la presente gua como comit de seguridad y lopd-), dotar de validez jurdica a las pruebas de incumplimiento de las medidas de seguridad definidas sobre la seguridad de la informacin. Ejemplo La empresa decide crear una infraestructura de PKI para emitir certificados digitales a sus trabajadores y clientes, con el objeto de que se identifiquen al entrar en su pgina web y realicen pedidos y compras de forma segura. Sin medidas: Si no ha tenido en cuenta la ley de firma electrnica, estar asumiendo la figura de prestador de servicios sin cumplir con los requisitos legales, dando lugar a posibles responsabilidades administrativas. Adems, si se produce un fraude con uno de los certificados, no podr reclamar por el mal uso del mismo, ya que no ha establecido normas para el usuario final.

Definiendo medidas: La empresa cuenta con asesoramiento legal en materia de firma electrnica y cumple con los requisitos para constituirse en PKI, publica las polticas y requisitos de seguridad, se somete a las inspecciones y auditorias legalmente establecidas y da validez jurdica a sus certificados digitales. En caso de fraude, podr atender a las reclamaciones legalmente establecidas.

Pgina -32-

Paso 7 Como funcin del comit de seguridad y lopd est analizar la validez jurdica de las medidas a implantar en el sistema de seguridad de la informacin.

Pgina -33-

5 Controles relacionados con el Personal

5.1 Objetivos Generales
El personal que maneja el sistema de informacin, es uno de los elementos principales en el anlisis de medidas de seguridad de la informacin, de su colaboracin depende en buena medida el xito o fracaso de muchas de las medidas de seguridad a implantar. Atendiendo al principio de que la cadena es tan fuerte como el ms dbil de sus eslabones, en toda organizacin se cumple que el eslabn ms dbil es el personal. En todas las normas internacionales relacionadas con la seguridad de la informacin y en la LOPD, se atiende especialmente a la informacin al personal sobre las medidas de seguridad adoptadas por la organizacin y su implicacin en la ejecucin de las mismas.

Personas Procesos Tecnologa

En el presente apartado de la gua, se establecern aquellas medidas que inciden de forma esencial sobre el personal, ya sea respecto al uso que hacen de los sistemas de informacin, manejo de incidencias de seguridad o normas de seguridad a aplicar.

Definicin de Funciones y Responsabilidades

Una de las principales amenazas de toda organizacin es el acceso de usuarios no autorizados (internos o externos) que puedan consultar, modificar, borrar e incluso robar informacin a la que no deberan acceder. El usuario del sistema de informacin debe ser informado de forma clara y precisa acerca de sus funciones y obligaciones en el tratamiento de los datos. Implantacin de Medidas Se deben definir las funciones y responsabilidades de seguridad para cada uno de los usuarios del sistema de informacin; para ello se aplicar el principio de establecer los mnimos privilegios necesarios para el desarrollo de dichas labores.

Pgina -34-

Cada proceso de seguridad debe identificar a un propietario, un depositario y a los usuarios que participarn en el mismo. De esta forma se evitarn malentendidos acerca de las responsabilidades sobre los elementos del sistema de informacin. Todas las funciones y responsabilidades deben comunicarse a los usuarios involucrados en su ejecucin, de una forma clara y asegurando su recepcin y entendimiento. Se prestar especial atencin al tratamiento de datos de carcter personal. Normativa La definicin de funciones y responsabilidades del personal con acceso a datos est regulada, tanto en la Ley de Proteccin de Datos como en la norma ISO 17799, en los siguientes puntos: Las funciones y obligaciones de cada una de las personas con acceso a los datos de carcter personal y a los sistemas de informacin estarn claramente definidas y documentadas. (Articulo 9.1 RMS) Las funciones de seguridad y las responsabilidades de los empleados, contratistas y usuarios terceros, deben estar definidas y

documentadas conforme a la poltica de seguridad de la informacin de la organizacin. (Punto 8.1.1 ISO17799:2005) Ejemplo Un usuario es contratado por la empresa para hacerse cargo de la Recepcin; entre sus funciones est atender todas las llamadas que entren a las oficinas principales de la empresa y pasarlas con el departamento correspondiente. Para la gestin de las

llamadas se le facilita un equipo con acceso al sistema de tratamiento de la empresa. Sin medidas: En una empresa en la que no se informa de sus funciones a los usuarios, el usuario puede acceder a los ficheros de contabilidad para ver la facturacin de la empresa, acceder a las carpetas que contienen futuros proyectos, acceder a los documentos de recursos humanos y ver las nominas de sus compaeros. Con estas actuaciones podra provocar: conflictos entre el personal y la empresa al comentar los sueldos de los dems compaeros.
Pgina -35-

accesos no autorizados a los datos de la contabilidad de la organizacin con la posibilidad de eliminacin de datos.

robo de informacin, con la posibilidad de sustraer informacin confidencial de la empresa y entrega de la misma a agentes externos.

Definiendo medidas: En una empresa en la que se informa al usuario sobre sus funciones en la empresa, sus responsabilidades y las posibles medidas disciplinarias en caso de incumplimiento de las mismas, quedando constancia formalmente de que ha recibido dicha informacin. Se limita su acceso dentro del sistema de informacin a un nivel adecuado para el desarrollo de sus funciones. Se auditan los intentos de acceso de cada usuario a recursos a los que no est autorizado. Esta persona se limita a atender las llamadas recibidas en las oficinas principales de la empresa y remitirlas al departamento correspondiente.

Paso 8 Definir las funciones y responsabilidades de todo el personal formalmente, comunicarlas a los usuarios de una forma clara y asegurando su recepcin y entendimiento.

Clusulas de Confidencialidad

Adems de la informacin de qu datos tratar y de qu forma, todo usuario debe recibir informacin acerca de la obligacin de mantener secreto profesional sobre los datos que conozca en el desarrollo de sus funciones, an despus de finalizar la relacin laboral que le une a la organizacin. El usuario debe firmar un acuerdo de confidencialidad, en el que se informe de sus funciones y obligaciones respecto a la informacin de la organizacin. Implantacin de Medidas Se deben definir exigencias de confidencialidad y no divulgacin de datos para todo el personal que dispone de acceso al sistema de informacin para el desarrollo de sus funciones, tanto para el personal contratado como para el personal externo. Estas exigencias se definirn formalmente en acuerdos de confidencialidad, que todo el personal deber firmar como prueba de su recepcin.

Pgina -36-

Normativa La confidencialidad del personal con acceso a datos est regulada, tanto en la Ley de Proteccin de datos como en la norma ISO 17799, en los siguientes puntos: El responsable de fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carcter personal, estn obligados al secreto profesional respecto de los mismos. (Articulo 10.1 LOPD) Las exigencias de confidencialidad y acuerdos de no divulgacin, que reflejan las necesidades de la organizacin en materia de proteccin de informacin, debern ser identificadas y revisadas regularmente. (Punto 6.1.5 ISO17799:2005) Ejemplo Se contrata una persona temporalmente para la realizacin de las tareas contables, para suplir una baja temporal del usuario encargado de dichas funciones; durante este tiempo esa persona accede a todos los datos contables de la empresa. Sin medidas: Si en la empresa no se establecen medidas, el usuario puede realizar comentarios, fuera del mbito laboral, acerca de la facturacin de la organizacin, las compras que realiza y los procedimientos contables. Cuando acaba el contrato puede llevarse los datos de todos los clientes con los que trabaja la empresa. Principales amenazas de seguridad: Filtraciones de informacin sobre el estado contable de la empresa a terceros no autorizados a acceder a esa informacin. Filtraciones fuera de la empresa de datos sobre clientes.

Definiendo medidas: En el contrato se incluye una clusula de confidencialidad con los datos que trate, estableciendo las medidas legales y disciplinarias en el caso de incumplimiento de esta confidencialidad. Antes de ofrecer y comentar informacin sobre la empresa lo piensa dos veces, ya que asume las medidas legales y disciplinarias establecidas en el contrato. En el caso de sustraccin o vulneracin de dicha confidencialidad, la empresa podra emprender medidas legales contra l.

Pgina -37-

Paso 9 Se definirn clusulas de informacin sobre el deber de secreto y confidencialidad de los datos que todos los usuarios con acceso al sistema debern firmar.

Concienciacin y educacin sobre normas de seguridad

Para que los usuarios puedan colaborar con la gestin de la seguridad, se les debe concienciar e informar a fin de que cumplan con las medidas establecidas por la organizacin en el desempeo habitual de sus funciones. Es preciso instruir al personal de forma apropiada sobre seguridad y el uso correcto de los sistemas de informacin y sus recursos, as como sobre la importancia de la seguridad en el tratamiento de los datos en la organizacin. Implantacin de Medidas Se debe formar a todo el personal de la empresa que vaya a tratar datos del sistema de informacin sobre las normas de utilizacin y medidas de seguridad que debe contemplar dicho tratamiento. Conseguir que todo usuario conozca las instrucciones para tratar los recursos, la respuesta ante incidencias de seguridad y el mantenimiento de los recursos, es una forma de disminuir los errores de tratamiento y los malos usos de los recursos del sistema de informacin. Normativa La regulacin sobre la formacin y concienciacin del personal con acceso a datos est regulada, tanto en la Ley de Proteccin de datos como en la ISO 17799, en los siguientes puntos: El responsable de fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carcter personal, estn obligados al secreto profesional respecto de los mismos. (Articulo 10.1 LOPD) La organizacin deber identificar y revisar las necesidades de

confidencialidad y recogerlas en acuerdos de no divulgacin. (Punto 6.1.5 ISO17799:2005) Ejemplo Se contratan dos trabajadores para introducir las altas de nuevos clientes en el sistema de informacin, e informarles sobre los servicios que ofrece la empresa. Se les facilita un equipo para la ejecucin de sus funciones.

Pgina -38-

Sin medidas: Estas personas inician su trabajo sin formacin sobre normas de trabajo o uso de las aplicaciones. Una de ellas mecaniza los clientes con el formato nombre y apellidos, la otra lo hace con apellidos y nombre, las ofertas e informacin enviadas a los clientes se guardan en equipos locales y cuando se produce algn fallo en el equipo lo reinician y no reportan la incidencia al departamento correspondiente. Estas actuaciones generan amenazas de seguridad, las principales son: Duplicidad de clientes, al no existir un criterio nico de introduccin de datos. Duplicidad en la informacin enviada a los clientes. Las incidencias no son reportadas al departamento apropiado, con lo que no se tiene constancia de ellas, ni se pueden estudiar para su anlisis y solucin. Errores en la atencin de los derechos de las personas fsicas al existir duplicados.

Definiendo medidas: Antes de iniciar el trabajo se forma a los trabajadores sobre el uso de las aplicaciones y recursos del sistema, se les comunica una forma comn para la introduccin de clientes con el formato apellidos y nombre, se les comunica que las ofertas se almacenan en una carpeta comn en el servidor, y se les indica un procedimiento para reportar incidencias en los equipos o en el tratamiento de informacin; adems se les informa sobre la legislacin aplicable en materia de proteccin de datos de carcter personal.

Ambas encuentran los clientes correctamente. No se enva informacin duplicada a los clientes, ya que ambas disponen de un repositorio comn de informacin.

Todas las incidencias son estudiadas ayudando a mejorar el sistema de informacin.

Se evita el riesgo de incumplimientos legales.

Paso 10 Se concienciar y formar al personal sobre la importancia de la aplicacin de las medidas de seguridad definidas por la organizacin en el correcto desempeo de sus funciones.

Pgina -39-

Escritorio limpio y seguridad de equipo desatendido

El escritorio del equipo informtico y el entorno de trabajo son dos elementos del sistema de informacin cuyo uso inapropiado puede generar amenazas sobre la confidencialidad de los datos, tales como acceso a informacin confidencial por personas no autorizadas o robos de informacin. Implantacin de Medidas Se deben establecer normas y mecanismos para que el personal tenga el escritorio sin informacin visible que pueda comprometer la confidencialidad de los datos, de igual forma la mesa de trabajo debe estar libre de documentos confidenciales. Se debe adoptar una poltica de escritorio limpio de papeles y medios de almacenamiento extrables, una poltica de pantalla limpia para las aplicaciones informticas, as como normas de seguridad para proteger la informacin cuando el usuario abandona el entorno de trabajo. Normativa La implantacin de normas sobre escritorio limpio y establecimiento de normas de seguridad para los equipos desatendidos estn reguladas en la norma ISO 17799, en los siguientes puntos: Los usuarios deben asegurar que el equipo desatendido tiene la proteccin apropiada. (Punto 11.3.2 ISO17799:2005) Se debe definir una poltica de escritorio limpio de papeles y medios de almacenamiento extrables, as como una poltica de pantalla limpia para las aplicaciones informticas. (Punto 11.3.3 ISO17799:2005) Ejemplo Un miembro del personal, encargado de las obligaciones fiscales y laborales de la empresa, dispone de un certificado digital instalado en su equipo para las comunicaciones con la administracin pblica y la realizacin de pagos por medio de banca on line a travs de Internet.

Sin medidas: La mesa de trabajo del empleado est en un rea donde trabajan ms personas, sobre la mesa estn las nminas del mes en curso de todo el personal, la tarjeta de cdigos de validacin de datos para los pagos a travs de Internet y los documentos fiscales de la empresa. Recibe al resto

Pgina -40-

de personal para entregarle sus nminas. Cuando sale a media maana a tomar caf deja su equipo sin ninguna proteccin. Las principales amenazas de seguridad son: Confidencialidad de la informacin comprometida, cuando el

personal recoge su nmina puede ver otras nminas y documentos fiscales de la empresa. Acceso a informacin por parte de usuarios no autorizados, ya que al ausentarse del puesto de trabajo otra persona puede acceder al mismo con los privilegios de ste usuario (visualizacin de

documentos, comunicaciones con la administracin pblica, pago por bancos, etc.).

Definiendo medidas: En la mesa de trabajo el empleado slo tiene documentos pblicos, guarda bajo llave la tarjeta de validacin de pagos por Internet y datos fiscales. Cuando deja el equipo desatendido bloquea el equipo para que solo su usuario pueda desbloquearlo. La entrega de las nminas se realiza mediante un sobre cerrado y nominativo.

Paso 11 Se definirn normas de abandono del puesto de trabajo y gestin del escritorio que se comunicarn a los usuarios formalmente.

Responsabilidad en el uso de contraseas

En la actualidad, la mayora de los sistemas de informacin utilizan sistemas de autenticacin de usuarios basados en contraseas, limitando el acceso a los recursos del sistema segn el perfil de trabajo al que pertenece el usuario. Diariamente se recibe informacin sobre amenazas, como suplantacin de identidad de los usuarios, acceso no autorizado a los sistemas de informacin, acceso no autorizado a datos, etc., que forman parte de la realidad cotidiana en las empresas. La principal estrategia para que los usuarios utilicen sus contraseas en el sistema de forma segura, es formarlos sobre su correcto uso. Implantacin de medidas

Pgina -41-

La entrega de las credenciales al usuario (nombre de usuario y contrasea) debe realizarse por algn procedimiento que obligue al usuario a cambiar la contrasea en el siguiente inicio de sesin, lo que garantiza que solamente l conoce la contrasea. Se debe formar a los usuarios en la seleccin y empleo de sus contraseas, para garantizar que las mismas tienen una calidad mnima frente a intentos de acceso. Se debe concienciar a los usuarios de la confidencialidad de la contrasea, y de que la revelacin de la misma supone una suplantacin de su identidad digital, que puede tener repercusiones disciplinarias y legales. Normativa Las medidas sobre la responsabilidad de los usuarios en el uso de sus contraseas estn reguladas, tanto en la Ley de Proteccin de datos como en la ISO 17799, en los siguientes puntos: Se debe requerir a los usuarios buenas prcticas de seguridad en la seleccin y empleo de sus contraseas. (Punto 11.3.1 ISO 17799:2005) Cuando el mecanismo de autenticacin se base en la existencia de contraseas, existir un procedimiento de asignacin, distribucin y almacenamiento que garantice su confidencialidad e integridad.

(Articulo 11.2 RMS) Las contraseas se cambiarn con la periodicidad que se determine en el documento de seguridad y mientras estn vigentes se almacenarn de forma ininteligible. (Articulo 11.3 RMS) Se limitar la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de informacin. (Articulo 18.2 RMS) La asignacin de contraseas debera ser controlada por un proceso de direccin formal. (Punto 11.2.3 ISO17799:2005) Todos los usuarios deberan tener un identificador nico para su empleo personal y una tcnica conveniente de autenticacin debera ser escogida para justificar la seguridad de identificacin de los usuarios. (Punto 11.5.2 ISO17799:2005) Los sistemas de contraseas debern asegurar la calidad de las mismas. (Punto 11.5.3 ISO17799:2005) Ejemplo

Pgina -42-

El administrador del sistema de informacin se encarga de la asignacin de las contraseas de acceso al sistema de informacin del personal y las comunica por escrito. Sin medidas: Un usuario guarda en su cajn una libreta que contiene todas las contraseas que ha utilizado como usuario, e incluso la ltima la tiene anotada en un papel pegado en el monitor de su equipo. El administrador del sistema tiene otro listado con los usuarios y contraseas de todos los usuarios. Las principales amenazas relacionadas con la seguridad de la informacin son: Las contraseas no estn protegidas, cualquier acceso a las listas de contraseas pueden permitir accesos no autorizados. Cualquiera que tenga acceso al equipo dispone de una contrasea vlida para acceder al sistema de informacin. El administrador puede realizar cualquier accin dentro del sistema de informacin usurpando la identidad de otro usuario, invalidando cualquier evidencia con validez legal.

Definiendo medidas: La empresa establece normas sobre la responsabilidad de los usuarios en el uso de sus contraseas y les informa formalmente. Los usuarios memorizan sus contraseas o las guardan en un lugar donde slo ellos pueden acceder. El administrador obliga a cambiar la contrasea a los usuarios la primera vez que inician sesin, quedando esta nicamente en conocimiento de dicho usuario. Slo ese usuario tendr acceso al sistema de informacin con su nombre de usuario y contrasea. Si se garantiza que las pruebas no son alterables, las actuaciones del usuario podrn tener carcter probatorio de sus acciones.

Paso 12 Se deber seleccionar un procedimiento de asignacin de contraseas as como concienciar y formar a los usuarios sobre la importancia de la confidencialidad de las contraseas y sobre la eleccin de contraseas robustas.

Pgina -43-

Normas de uso de servicios pblicos

El uso de servicios pblicos como puede ser Internet o conexiones con terceros a travs de las redes de comunicaciones de la empresa, puede dar lugar a amenazas de la seguridad de la informacin, tales como acceso a pginas no seguras, descarga de datos y/o programas no seguros, instalacin de software no autorizado, ejecucin de cdigos maliciosos, acceso de personal no autorizado al sistema de informacin, etc. Estas son algunas de las amenazas que residen en dicho uso. Medidas de apoyo Se deben establecer normas de uso de los sistemas que acceden a servicios pblicamente disponibles (por ejemplo Internet), y limitar dicho acceso exclusivamente a usuarios autorizados. Formar a los usuarios autorizados sobre el uso de servicios pblicos evita posibles infecciones por cdigo malicioso, sustracciones de contraseas, accesos a la informacin por terceros no autorizados y adems, minimiza la posibilidad de posibles fallos de seguridad al utilizar dichos servicios. Normativa Aunque no existe una normativa que regule exactamente este punto, dado el crecimiento del uso de Internet y comunicaciones entre redes empresariales, se debe establecer normas para prevenir y regular el uso de dichos servicios por parte del personal de la empresa. Estas normas se deben incluir en la poltica de seguridad de la empresa, as como en la definicin de las obligaciones y responsabilidades del personal. Ejemplo En la empresa se ha facilitado el acceso a Internet en todos los equipos de tratamiento de informacin, tambin se ha instalado un servidor de comunicaciones que permite a los usuarios acceder al sistema de informacin desde ubicaciones remotas. A los trabajadores se les ha facilitado una cuenta de acceso y un nombre de usuario y contrasea para acceder desde fuera de la oficina en caso de necesidad. Sin medidas:

Pgina -44-

Un usuario (Usuario 1) accede a pginas que permiten la descarga de software ilegal, descarga software y lo instala en el equipo, entra a travs de Web a su correo personal, visita pginas de dudosa seguridad. Otro de los usuarios (Usuario 2) ha salido fuera de las instalaciones y necesita acceder al sistema de informacin, accede al sistema de informacin de la empresa desde uno de los equipos de un cybercaf. Los puntos vulnerados son los siguientes:

El equipo del Usuario 1, instalacin de software no regulado por la empresa e ilegal

El equipo del Usuario 1, posibilidad de infeccin por malware ubicado en las paginas Webs o descargado desde su correo

El Usuario 2, posible infeccin del sistema de informacin El Usuario 2, posible robo de informacin El Usuario 2, posible robo de credenciales para el acceso al sistema de informacin de la empresa

Ambos usuarios podran alegar que han efectuado dichas acciones porque no conocen la poltica de seguridad de la empresa.

Definiendo medidas: La empresa establece normas para el uso de comunicaciones, no conectar desde equipos de tratamiento que no sean fiables o seguros, no acceder al sistema desde sitios donde no se tenga privacidad para el tratamiento de los datos, tipo de pginas que no se deben visitar, cmo y desde dnde realizar las comunicaciones, etc. y las incluye dentro de las obligaciones y responsabilidades del personal y en la poltica de seguridad de la empresa. De este modo, los usuarios saben de que modo tratar los servicios que la empresa pone a su disposicin para la realizacin de sus funciones.

Paso 13 Se debe restringir el uso de los servicios pblicos a aquellos usuarios autorizados expresamente para su uso. Los usuarios autorizados debern recibir formacin complementaria sobre el uso de tales sistemas y las posibles amenazas que pueden presentar.

Pgina -45-

Normas de seguridad en Correo Electrnico

El uso del correo electrnico genera importantes amenazas al sistema de informacin. Infeccin de equipos por malware, envos de informacin sin las medidas de seguridad correctas o sustraccin de informacin son algunas amenazas. A. Implantacin de Medidas Deben establecerse normas de seguridad para el uso del correo electrnico, que recojan las medidas de seguridad mnimas para garantizar un uso responsable y seguro del servicio. La Informacin confidencial enviada a travs de mensajera electrnica deber estar protegida de manera apropiada, para que ningn tercero no autorizado pueda tener acceso a la misma. Normativa La implantacin de normas sobre seguridad en el uso del correo electrnico est reflejada en la norma ISO 17799 en el siguiente punto: La Informacin confidencial enviada a travs de mensajera electrnica debera ser protegida de manera apropiada. (Punto 10.8.4

ISO17799:2005) Ejemplo En la empresa se facilita a todos los usuarios una cuenta de correo electrnico y se configura en sus equipos. Sin medidas: No se informa a los usuarios sobre el modo de utilizar y gestionar el servicio de correo electrnico, ni de las medidas de seguridad que deben tomar. Un miembro del personal de la empresa abre todos los correos que llegan a su cuenta, descarga los archivos adjuntos que contienen sin verificar la procedencia, enva informacin confidencial de la empresa sin proteger. Los puntos vulnerados son los siguientes: Posible infeccin de malware Posible interceptacin de la informacin enviada

Los usuarios, en caso de que ocurra alguna incidencia, podrn alegar que desconocen las acciones que pueden o no llevar a cabo.

Pgina -46-

Definiendo medidas: La empresa facilita formalmente al personal las normas de seguridad para manejar el correo electrnico. No abrir correos sospechosos, de direcciones desconocidas o con asuntos poco fiables, no abrir ningn archivo adjunto sin antes analizarlo con un antivirus, no enviar informacin confidencial sin cifrado, son aspectos recogidos en dichas normas.

Paso 14 Se debe restringir el uso del correo electrnico a aquellos usuarios autorizados expresamente. Los usuarios autorizados debern recibir formacin complementaria con especial atencin a las posibles amenazas que pueden presentar.

Formacin sobre manejo de incidencias

La formacin de los usuarios sobre el manejo de incidencias es fundamental para mantener y gestionar correctamente el sistema de informacin de la

organizacin. Sin una adecuada poltica de manejo de incidencias, los tiempos de mantenimiento se alargan y los problemas de seguridad se incrementan, sin dar lugar a acciones inmediatas para su solucin. Implantacin de Medidas Deben existir canales establecidos para informar, lo ms rpidamente posible, de los incidentes relativos a la seguridad y al mal funcionamiento de los sistemas de informacin. Todos los empleados de la organizacin, incluidos los externos, deben conocer los procedimientos de comunicacin de incidencias, as como las infracciones en materia de seguridad que pueden tener un impacto en la seguridad de los activos de informacin. La formacin ayudar a la hora de localizar, resolver y analizar las incidencias que ocurren en el sistema de informacin de la empresa, antes de que el dao producido pueda extenderse o agravarse. Normativa Existe regulacin sobre la formacin sobre incidencias del personal con acceso a datos, est regulada tanto en la Ley de

Pgina -47-

Proteccin de datos como en la norma ISO 17799, en los siguientes puntos: El procedimiento de notificacin y gestin de incidencias contendr necesariamente un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, la persona que realiza la notificacin, a quien se le comunica y los efectos que se hubieran derivado de la misma. (Articulo 10.1 RMS) Se deben establecer procedimientos documentados de comunicacin formal de incidencias de seguridad. Todos los empleados, contratistas y usuarios terceros deben conocer dichos procedimientos, para identificar los distintos tipos de incidencias y debilidades que podran tener un impacto sobre la seguridad debe del sistema que ellos de informacin de la

organizacin.

Se

requerir

comuniquen

cualquier

incidencia de seguridad de la informacin, tan rpidamente como sea posible, al punto de contacto designado. (Punto 13.1 ISO17799:2005) Ejemplo Sin medidas: En la empresa no se informa al personal de las actuaciones a seguir ante las incidencias ocurridas en el tratamiento de la informacin. Un usuario (Usuario 1) sufre el bloqueo de su equipo informtico mientras realiza sus funciones, y decide apagarlo y volverlo a encender cada vez que le ocurre. Otro usuario (Usuario 2) cada vez que intenta modificar los archivos del servidor recibe un mensaje de error, por lo que opta por grabarlos con distintos nombres. Un tercero (usuario 3) detecta que su equipo se reinicia cada cierto tiempo mientras est trabajando, ante esta situacin espera que vuelva a encenderse dicho equipo. Otro (Usuario 4) guarda expedientes en una carpeta en papel -que extrava-, por lo que vuelve a imprimir todos los expedientes y crea una carpeta nueva. Los puntos de seguridad vulnerados son los siguientes:

Posible dao en los equipos de tratamiento Posible dao a los datos del sistema de informacin Robo o sustraccin de informacin

La empresa, al no conocer la existencia de stos incidentes y no tratarlos a tiempo, no puede reaccionar ante ellos, investigar por qu han pasado y poner en marcha las medidas que lo solucionen.

Pgina -48-

Definiendo medidas: En la empresa, se informa a todo el personal con acceso al sistema de informacin, sobre el procedimiento a seguir si se detecta cualquier fallo o incidencia en el sistema de tratamiento de informacin. De este modo, la deteccin de incidencias alcanzar a todos los usuarios de la organizacin y permitir su correcta gestin y solucin.

Paso

15

Se

debe

definir

un procedimiento

de gestin de

incidencias de seguridad y entregar a cada usuario sus obligaciones para el adecuado cumplimiento del mismo.

Pgina -49-

6 Controles relacionados con los Sistemas de Informacin

6.1 Objetivos Generales
El sistema de informacin empleado, as como su configuracin y gestin, es otro de los factores cuyo anlisis resulta imprescindible para crear una adecuada estrategia de seguridad de la informacin. Los controles a considerar se pueden agrupar en fsicos y lgicos. Los controles fsicos contemplan aquellos elementos relacionados con el entorno (como pueden ser los locales), o con los soportes (como pueden ser los discos duros, el papel) y los controles lgicos agrupan los sistemas (como pueden ser las aplicaciones, las copias de datos, etc.) y las comunicaciones (como pueden ser redes locales, conexiones desde el exterior, etc.). Es preciso definir normas de funcionamiento y uso para todos ellos.

6.2 Seguridad Fsica relacionada con el Entorno

La primera barrera para el acceso al sistema de informacin de la organizacin es el acceso fsico. Protegiendo el acceso a los locales se protege el acceso fsico al sistema de informacin. Establecer un permetro fsico, controles fsicos de entrada a los locales o en las zonas de carga y descarga, son las primeras medidas de seguridad a recoger en el sistema.

Permetro fsico de seguridad y controles de acceso.

Los mecanismos de proteccin para el sistema de informacin de la organizacin pasan por definir un permetro fsico de seguridad que impida el acceso no autorizado a la informacin. Una vez establecido un permetro de seguridad, se debe regular el acceso fsico a dicho permetro; para ello, se deben establecer controles fsicos de seguridad de entrada a los locales y a las ubicaciones que permitan un acceso al sistema de informacin. Implantacin de Medidas Establecer un permetro fsico de seguridad que proteja la informacin de la organizacin es vital para prevenir incidencias. El permetro fsico es la primera barrera de proteccin del sistema de informacin que garantiza en gran medida el funcionamiento del resto de medidas.

Pgina -50-

El acceso al local, mediante vas de acceso autorizadas y controladas, barreras arquitectnicas como paredes o ventanas, elementos adicionales como reas de descarga controladas, debe ser gestionado para proteger las zonas que contienen instalaciones informticas o permiten el acceso a las mismas. Dentro del permetro de seguridad, se deben identificar las ubicaciones que almacenan soportes que puedan contener datos confidenciales o especialmente protegidos (en el caso de datos de carcter personal); estas ubicaciones dispondrn de una identificacin personal de los usuarios que permita validar que disponen de autorizacin para el acceso. Se deben validar las medidas de seguridad fsicas de acceso al permetro de seguridad, compuestas por puertas, cerraduras, alarmas, vigilancia, etc., y formalizarlas en instrucciones de acceso a los locales, que debern ser comunicarlas a todo el personal. Normativa La implantacin de normas sobre seguridad en la definicin de un permetro fsico de seguridad y controles fsicos de entrada al mismo est reflejada, tanto en la Ley de Proteccin de Datos como en la norma ISO 17799, en los siguientes puntos: Exclusivamente el personal autorizado en el documento de seguridad podr tener acceso a los locales donde se encuentren ubicados los sistemas de informacin con datos de carcter personal. (Articulo 19.1 RMS) Permetros de Seguridad (barreras como paredes, tarjeta de control puertas de entrada o control en los escritorios de recepcin) deberan ser usados y proteger las reas que contienen instalaciones informticas e informacin. (Punto 9.1.1 ISO17799:2005) Las reas seguras debern estar protegidas por controles de entrada apropiados, para asegurar que permiten el acceso slo al personal autorizado. (Punto 9.1.2 ISO17799:2005) La seguridad fsica para oficinas, cuartos e instalaciones deber ser diseada y aplicada. (Punto 9.1.3 ISO17799:2005) Ejemplo La empresa dispone de una nave de trabajo y oficinas situadas en la parte superior de la nave.

Pgina -51-

Sin medidas: Si la organizacin no define ningn permetro fsico que restringa el acceso al personal autorizado, puede no atender a elementos como puertas y ventanas que ocasionen robos de equipos o de informacin, y permitir a cualquier empleado que puede transitar y utilizar los espacios de la oficina, accediendo a informacin en papel clasificada como restringida, o provocando daos en sistemas de informacin al no disponer de instrucciones sobre su uso. Definiendo medidas: La empresa delimita como permetro de seguridad la ubicacin de las oficinas en la planta superior de la nave, establece medidas de restriccin de acceso a las mismas, asegura puertas y ventanas e informa a todo el personal de sus funciones. Paso 16 Se debe definir un permetro de seguridad que represente la primera barrera de acceso a los sistemas de informacin. Se definirn las normas de acceso al interior de dicho permetro para personal autorizado. Dichas normas sern difundidas y de obligado cumplimiento.

Control de accesos pblicos, reas de carga y descarga

Las reas de carga y descarga de mercancas, los accesos pblicos y los accesos de entrega de material a las oficinas de la organizacin, suponen amenazas de accesos no autorizados y por tanto, requieren de un tratamiento especfico respecto a las medidas de seguridad a implantar. Implantacin de Medidas De forma habitual, una organizacin necesita elementos de comunicacin con el exterior, estos elementos o espacios permiten el transito de mercancas y personas y suponen de una forma manifiesta amenazas a la seguridad. Se deben definir normas de uso de dichos espacios, de forma que en ningn momento queden desatendidos de personal de la organizacin que vigile los posibles accesos que puedan producirse desde estos elementos. Las medidas de seguridad aplicables a estos espacios pueden ir, desde puertas blindadas, alarmas, sistemas de seguridad profesionales con vigilancia 24h, etc.

Pgina -52-

Normativa La implantacin de normas sobre seguridad en el control de los accesos pblicos, reas de carga y descarga o reas de entrega, estn reflejadas en la norma ISO 17799 en el siguiente punto: Los puntos de acceso a la organizacin tales como zonas de entrega de mercancas, reas de carga y descarga y otros puntos donde personas no autorizadas pueden entrar sin permiso deben ser controlados y, de ser posible, aislados de las instalaciones informticas y sistema de

informacin de la empresa para as evitar el acceso no autorizado. (Punto 9.1.6 ISO17799:2005) Ejemplo La empresa dispone de un rea de carga y descarga de mercancas en la que existe un acceso a la oficina principal, tambin existe un acceso desde el exterior para clientes y proveedores. Sin medidas: Los accesos a las oficinas desde las reas de carga y descarga no son controlados, y los accesos desde el exterior quedan abiertos en horario laboral sin ningn tipo de vigilancia ni control. Dicha situacin pude dar lugar a las siguientes situaciones: Acceso por terceros no autorizados al sistema de informacin Sustraccin de informacin

Definiendo medidas: En la empresa se definen y cumplen las siguientes medidas: Los accesos desde el rea de carga y descarga estn controlados mediante una puerta cerrada, que solo se puede abrir mediante un cdigo, y slo el personal autorizado dispone de cdigo de apertura. Los accesos pblicos permanecen cerrados y existe una persona encargada de abrir dichos accesos a terceros. Los terceros que tengan que acceder a las oficinas para la entrega de alguna documentacin siempre son acompaados por personal autorizado. Estas normas de seguridad se formalizan y se entregan al personal encargado de la vigilancia y descarga de mercancas.

Pgina -53-

Paso 17 Se debe establecer un adecuado control de los espacios de acceso pblico y reas de carga y descarga, normalizar los accesos a dichas zonas y vigilar su correcto cumplimiento.

Proteccin contra amenazas externas y ambientales

La mayor parte de las amenazas externas y ambientales no son controlables por parte de la organizacin, en su anlisis se deben definir medidas de seguridad para evitar impactos en la organizacin, tales como la prdida total o parcial del sistema de informacin de la empresa. Implantacin de Medidas Las medidas de seguridad que pueden paliar los efectos de amenazas externas estn relacionadas con la disponibilidad de los sistemas (Planes de Recuperacin ante desastres) y la continuidad del negocio (Planes de continuidad de negocio). Estas medidas estn condicionadas en su mayor parte por los requisitos de negocio establecidos al analizar los principales riesgos de la organizacin. Normativa La implantacin de normas sobre proteccin contra amenazas externas y ambientales estn reflejadas en la ISO 17799 en el siguiente punto: La proteccin fsica contra el dao del fuego, inundacin, terremoto, explosin, terceros malintencionados y otras formas de desastre natural o artificial debera ser diseada y aplicada. (Punto 9.1.4

ISO17799:2005) Ejemplo La empresa est ubicada en los mrgenes del ro, en una nave antigua.

Sin medidas: La empresa no establece ninguna medida de seguridad preventiva contra las posibles inundaciones. Los puntos de seguridad vulnerados son los siguientes: Prdida de recursos del sistema de informacin Prdida de informacin

Pgina -54-

Definiendo medidas: La empresa decide establecer un sistema de evacuacin de emergencia, sita el Centro de Proceso de Datos (CPD) en la parte alta del edificio, adems se instruye al personal sobre las tareas a llevar a cabo en caso de inundacin.

Paso 18 Se debe establecer un Plan de Continuidad de Negocio que garantice la recuperacin de los sistemas en caso de desastre.

6.3 Seguridad Fsica relacionada con los Soportes

Inventario y etiquetado de soportes

Incluido en la Gua de clasificacin de la informacin (ver pgina 21), se debe definir la forma de identificar el tipo de informacin que contiene cada uno de los diferentes soportes utilizados en la organizacin. Estos procedimientos de tratamiento de la informacin deben cubrir tanto los formatos fsicos como los formatos lgicos, incluyendo para cada tipo: Copia Almacenamiento Transmisin por correo, fax y correo electrnico Transmisin oral, incluida telefona mvil, transmisin de voz y mquinas de respuesta automtica Destruccin El etiquetado de la informacin puede realizarse de diferentes formas, pero se debera hacer de manera que se distinga de una forma fcil el tipo de informacin que contiene el documento. El inventario de soportes permitir llevar una mejor gestin de la informacin, controlando en todo momento los tratamientos y salidas de informacin fuera de la organizacin. Implantacin de Medidas Tras la aprobacin por la direccin la Gua de clasificacin de informacin, se dispone del respaldo necesario para abordar el inventario y etiquetado de soportes. Una vez seleccionado el procedimiento de etiquetado, se proceder a identificar en el inventario todos los soportes y a etiquetarlos segn el contenido que

Pgina -55-

almacenan o tratan. Dicho inventario ser mantenido de forma peridica, segn los requisitos establecidos en la Gua de clasificacin de la informacin. Normativa La implantacin de normas sobre inventariado y etiquetado de soportes est reflejada, tanto en la Ley de Proteccin de Datos como en la ISO 17799, en los siguientes puntos: Los soportes informticos que

contengan datos de carcter personal debern permitir identificar el tipo de informacin que contienen, ser

inventariados y almacenarse en un lugar con acceso restringido al

personal autorizado para ello. (Articulo 13.1 RMS) Todo activo del sistema de informacin debera ser claramente

identificado e inventariado. (Punto 7.1.1 ISO17799:2005) Un apropiado juego de procedimientos para el manejo y etiquetado de la informacin debera ser desarrollado y puesto en prctica conforme al esquema de clasificacin adoptado por la organizacin. (Punto 7.2.2 ISO17799:2005) Ejemplo Sin medidas: La empresa no ha etiquetado los soportes ni dispone de inventario. Todos los equipos se ubican en la misma sala, donde realiza su trabajo el personal de la empresa. Los equipos no disponen de medidas de seguridad especficas. Se puede estar tratando informacin Restringida por usuarios no

autorizados. Respecto a las comunicaciones, no se controla si la informacin

restringida sale de la organizacin. No se detecta la prdida de un soporte con copias de seguridad.

Definiendo medidas: La empresa publica y comunica a todos los trabajadores una Gua de clasificacin de la informacin. Cada soporte dispone de una etiqueta identificativa y est relacionado en el inventario de soportes. Se custodian

Pgina -56-

con medidas especiales aquellos soportes que almacenan informacin restringida. Se crea un procedimiento para revisar la conformidad del inventario mensualmente. Se pueden detectar posibles prdidas o sustracciones de soportes Es mas fcil catalogar y aplicar medidas de seguridad a los soportes

Paso 19 Se debe crear un inventario de soportes y proceder a su etiquetado de acuerdo a las normas recogidas en la Gua de clasificacin de la informacin.

Salidas de soportes con datos de las instalaciones

Una vez inventariados y etiquetados los soportes, se debe controlar cualquier movimiento de los mismos fuera del permetro de seguridad establecido en las instalaciones de la organizacin. Implantacin de Medidas Para cumplir con el control de la salida de soportes se deber establecer un registro que incluya: la identificacin del soporte que sale de la organizacin, la autorizacin por parte del responsable encargado de su supervisin, el destino del soporte, la fecha y hora del envo y la finalidad del mismo. Si el soporte incluye datos de carcter personal, adems le sern de aplicacin las medidas recogidas en el RMS, que establece medidas de identificacin en funcin del tipo de datos que contenga. Normativa La implantacin de procedimientos que controlan las salidas de soportes con datos de las instalaciones de la empresa est reflejada, tanto en la Ley de Proteccin de Datos como en la norma ISO 17799, en los siguientes puntos: La salida de soportes informticos que contengan datos de carcter personal fuera de los locales en los que est ubicado el fichero, nicamente podr ser autorizada por el responsable de fichero. (Articulo 13.2 RMS) Igualmente se dispondr de un sistema de registro de salida de soportes informticos que permita, directa o indirectamente, conocer los

Pgina -57-

datos

de

dicha

salida.

Dicha

salida

deber

estar

debidamente

autorizada. (Articulo 20.2 RMS) Los equipos, la informacin o el software no debern salir fuera de los locales de la empresa sin autorizacin previa. (Punto 9.2.7

ISO17799:2005) Ejemplo Sin medidas: Si en la empresa no se implantan medidas para el control de soportes, existen

amenazas de:

Salidas de soportes no autorizadas Salidas de soportes sin constancia en la empresa Salidas de soportes sin las medidas de seguridad correspondientes

Definiendo medidas: En la empresa se solicita una autorizacin por escrito para sacar cualquier soporte de las instalaciones, se realizan comprobaciones de las medidas de seguridad antes de salir y se refleja dicha salida en un registro.

Con estas actuaciones, la empresa tiene controladas las salidas de soportes que se realizan en sus instalaciones, as como las medidas de seguridad aplicadas a las mismas.

Paso 20 Se debe crear un registro de salida y entrada de soportes que permitan identificar el soporte, la finalidad del movimiento, la fecha y hora, la autorizacin del responsable y el destino del mismo, como requisitos mnimos.

Medidas de reutilizacin / eliminacin de soportes

Los soportes que se reutilizan o eliminan, deben ser objeto de un proceso de eliminacin o borrado de los datos que almacenan, para evitar posteriores accesos no autorizados a la informacin que contienen.

Pgina -58-

El proceso de borrado, deber quedar registrado en el inventario de soportes indicando la fecha y hora, el responsable que lo ha realizado y la nueva finalidad del soporte. Implantacin de Medidas Se deben definir procedimientos formales que definan las medidas de seguridad para la reutilizacin y eliminacin de los soportes del sistema de informacin de la empresa. Medidas como la eliminacin total y segura de los datos de todos los soportes antes de su reutilizacin, o la destruccin fsica de los mismos para su desecho, se deben implantar formalmente en la organizacin. Normativa La implantacin de medidas de reutilizacin / eliminacin de soportes est reflejada, tanto en la Ley de Proteccin de Datos como en la norma ISO 17799, en los siguientes puntos: Cuando un soporte vaya a ser desechado o reutilizado, se adoptarn las medidas necesarias para impedir cualquier recuperacin posterior de la informacin almacenada en l, previamente a que se proceda a su baja en el inventario. (Articulo 20.3 RMS) Los soportes que almacenen datos debern ser eliminados de modo seguro cuando se desechen, usando para ello procedimientos formales. (Punto 10.7.2 ISO17799:2005) Ejemplo Se compra un ordenador nuevo para el responsable de los proyectos de la empresa, dejando el equipo antiguo al administrativo que han contratado nuevo en prcticas. Sin medidas: Si la empresa no define medidas para la reutilizacin y eliminacin de soportes: Los disquetes desechados se tiran a la papelera sin ms. Las amenazas a las que se expone la empresa son las siguientes: Acceso a informacin no autorizado Robo de informacin

Pgina -59-

Definiendo medidas: La empresa decide definir las medidas de reutilizacin y desecho de los soportes de la empresa. Antes de cambiar de ubicacin el equipo se procede a la eliminacin de toda la informacin del disco duro del equipo. Para los disquetes y CDs de desechados destruccin se fsica

establecen

medidas

antes de tirarlos a la papelera. Con estas medidas se impide el acceso a los datos que contenan los soportes antes de su reutilizacin o desecho.

Paso 21 Se deben establecer procesos formales de eliminacin y reutilizacin de soportes que garanticen la confidencialidad de la informacin almacenada en ellos.

Normas de uso de dispositivos mviles y soportes extrables

Los dispositivos mviles (porttiles, agendas electrnicas, tablet pc, etc.), as como los soportes extrables (llaves usb, discos duros porttiles) generan vulnerabilidades en la seguridad del sistemas de informacin, debido a su facilidad de uso, alta movilidad, capacidad de almacenamiento y polticas permisivas por parte de las organizaciones, que permiten el flujo de informacin albergada en los soportes sin control alguno. Preguntas como si un empleado puede almacenar informacin en una llave usb, si se controla la informacin almacenada en porttiles y agendas electrnicas o si estn controladas las unidades grabadoras de CD de los equipos, tienen difcil respuesta si la informacin no est clasificada y se han desarrollado

instrucciones para su manejo por parte de los usuarios. Implantacin de Medidas Las actuaciones para conseguir un control sobre el uso de dispositivos mviles y soportes extrables contempla la realizacin de una clasificacin de la

informacin, que incluya la identificacin de los soportes y la informacin que almacena. Se deben realizar las siguientes actuaciones:

Pgina -60-

Inventariar

todos

los

soportes

existentes,

asignando a cada uno de ellos un responsable. Etiquetar de forma visible cada soporte, segn las normas recogidas en la gua de clasificacin de la informacin. Prohibir la creacin y uso de soportes no autorizados que no dejen registro en el

inventario de la organizacin. Establecer instrucciones de uso de cada tipo de dispositivo mvil o soportes, incluyendo los usuarios autorizados, entradas y salidas de la organizacin y la notificacin de las incidencias que puedan presentarse en materia de seguridad de la informacin. Normativa La implantacin de normas de uso de soportes extrables est reflejada en la norma ISO 17799 en el siguiente punto: Debera haber procedimientos que describan las medidas de seguridad para el manejo de medios extrables. (Puntos 10.7.1 ISO17799:2005) Ejemplo La empresa decide que facilitar al responsable del departamento contable un lpiz de memoria USB, para la realizacin de las copias de seguridad de la contabilidad de la organizacin. Sin medidas: Si la empresa no define ninguna norma de utilizacin de dicho lpiz de memoria, el responsable del uso del lpiz, como le sobra espacio en el soporte tras realizar la copia de seguridad, decide conectar el lpiz en el PC de su casa para guardar en el mismo unas fotos personales, y msica que se descarga de Internet para escucharla luego en la oficina. Las posibles amenazas de seguridad que pueden ocurrir son: Robo de informacin Infeccin de malware del sistema de informacin de la empresa

Definiendo medidas: La empresa define normas de uso de dicho lpiz, lo etiqueta como almacn de informacin Restringida, lo refleja en el inventario de soportes y lo entrega al usuario responsable del mismo. Al mismo tiempo, se definen las normas de uso del soporte, que incluyen medidas disciplinarias en caso de incumplimiento de las mismas, entregndoselas por escrito al responsable del departamento de contabilidad. Dentro de las normas tambin se incluye
Pgina -61-

la informacin de que peridicamente, sin aviso, se le podr solicitar que entregue el soporte para comprobar que dichas normas de uso se cumplen correctamente. Todas las medidas quedan reflejadas formalmente mediante un escrito firmado. El responsable del lpiz de memoria cumple con todas las normas de seguridad establecidas por la empresa.

Paso 22 Se deben establecer normas de uso de dispositivos mviles y soportes extrables que garanticen la confidencialidad de la informacin almacenada en ellos.

Mantenimiento de equipos

El mantenimiento de los equipos afecta directamente a la seguridad del sistema de informacin, fallos en los discos de almacenamiento de datos pueden originar prdidas de informacin, por lo que se debe llevar un control del mantenimiento de todos los equipos y soportes que componen el sistema de informacin de la empresa. Implantacin de Medidas Los equipos del sistema de informacin se deben mantener adecuadamente para asegurar su disponibilidad dentro del sistema de informacin, para ello existen recomendaciones de mantenimiento especificadas por el fabricante, que se deben seguir siempre que sea posible. El mantenimiento debe realizarlo personal cualificado y se debe llevar un control de todas las actuaciones realizadas en el sistema. Las incidencias de seguridad, debidas a errores o defectos de los equipos o del mantenimiento, debern ser documentadas y formar parte de posibles

reclamaciones al fabricante. Normativa La implantacin de procedimientos de

mantenimiento de equipos del sistema de informacin est reflejada en la norma ISO 17799 en el siguiente punto: Los equipos informticos debern ser mantenidos correctamente para

Pgina -62-

asegurar su disponibilidad e integridad continuada. (Punto 9.2.4 ISO17799:2005) Ejemplo La empresa cuenta con varios equipos informticos dentro de su sistema de informacin. Sin medidas: Una vez instalados y configurados los equipos no se contempla la posibilidad de llevar un mantenimiento continuo de los mismos. Las posibles amenazas existentes son: Daos en sistemas informticos Prdida de datos por fallo de hardware

Definiendo medidas: Se consulta con la empresa que ha instalado los equipos y se establece que los equipos deberan pasar, como mnimo una revisin anual, para comprobar que todos los componentes funcionan correctamente, por lo que la empresa documenta y acuerda formalmente con la empresa la revisin anual de todos los equipos. Con esta medida la empresa disminuye la posibilidad de daos en el hardware de los equipos de su sistema de informacin.

Paso 23 Se deben establecer procedimientos de mantenimiento de equipos y garantizar que son ejecutados por personal cualificado de forma peridica.

Proteccin contra fallos en el suministro elctrico

El suministro elctrico es fundamental para el funcionamiento del sistema de informacin, errores en el diseo del sistema elctrico de alimentacin, en la aplicacin de controles para estabilizar la corriente de entrada, o en la dimensin de los sistemas de respaldo, pueden dar lugar a prdidas de horas de trabajo y de informacin. Implantacin de Medidas

Pgina -63-

Se debe realizar un diseo adecuado del sistema de suministro elctrico por profesionales, incluyendo sistemas que estabilicen la tensin suministrada a los equipos y sistemas de respaldo para suministrar energa en caso de fallo en el suministro. Normativa La implantacin de medidas de proteccin contra fallos del suministro elctrico est reflejada en la norma ISO 17799 en el siguiente punto: Los equipos debern estar protegidos ante posibles fallos de suministro elctrico y otras interrupciones relacionadas. (Punto 9.2.2

ISO17799:2005) Ejemplo Sin medidas: La empresa decide no proteger los equipos contra posibles fallos de suministro elctrico. Los fallos en seguridad son los siguientes:

Daos en los sistemas informticos por cortes de suministro o

altibajos de tensin. Daos en los datos que tratan los equipos por cortes de suministro.

Definiendo medidas: La empresa decide instalar un SAI estabilizador para todo el sistema informtico, se documenta dicho sistema y las normas para que slo el material informtico de tratamiento de datos sea conectado a dicho SAI. Con esta medida se previenen los posibles cortes de suministro y variaciones bruscas de tensin.

Paso 24 Se debe disear un sistema de suministro elctrico, incluyendo medidas de respaldo, acorde a las necesidades del sistema de informacin y revisarlo en funcin de los cambios introducidos en el mismo.

Pgina -64-

6.4 Seguridad Lgica en los Sistemas

Anlisis software
La adquisicin de software para la organizacin debe ser fruto de un estudio de necesidades, que incluya los requisitos mnimos que la organizacin quiere garantizar informacin. Implantacin de Medidas Como paso previo a la adquisicin de cualquier software, se deben analizar los requisitos de seguridad del sistema de informacin corporativo, este paso evitar amenazas de seguridad respecto a la identificacin de usuarios, defectos en las medidas de seguridad o registros de incidentes, etc. Normativa La implantacin de procedimientos de anlisis de necesidades para el software de tratamiento de informacin est reflejada en la norma ISO 17799 en el siguiente punto: Se debern estudiar las exigencias de negocio para nuevos sistemas de informacin o mejoras de los sistemas de informacin existentes, especificando las exigencias de seguridad. (Punto 12.1.1 en materia de seguridad de la

de

necesidades

para

el

ISO17799:2005) Ejemplo La empresa decide instalar un nuevo software para la gestin de los clientes y la facturacin a los mismos. Sin medidas: La empresa compra un software directamente, sin ningn tipo de requisito previo. El nuevo software puede no disponer de los mecanismos de identificacin adecuados mediante uso de contraseas individuales. Las posibles amenazas a las que se enfrenta la organizacin seran: Acceso no autorizado a datos.

Definiendo medidas: La empresa decide realizar un estudio de los requisitos que debe tener el software antes de comprarlo. Decide los campos mnimos que debe llevar, las funcionalidades que debe cumplir con respecto a las medidas de

Pgina -65-

seguridad, debe de identificar a los usuarios y llevar un registro de accesos de dichos usuarios. El software que adquiera dicha empresa cubrir todas las necesidades de la empresa.

Paso 25 Como paso previo a la adquisicin de software, se deben definir los requisitos de seguridad mnimos que el software debe garantizar y probar que se cumplen.

Actualizaciones de software

Las actualizaciones del software de la organizacin deben ser objeto de un tratamiento especfico, que incluya la definicin de un entorno de pruebas, en el que se valide que las actualizaciones permiten la ejecucin de todas las aplicaciones inmersas en el entorno de produccin. Establecer cauces de recepcin de los parches o actualizaciones por parte de los fabricantes, su revisin y prueba y la puesta en produccin de una forma eficaz, garantiza que se minimiza la probabilidad de ser infectados por virus o software daino que utilice defectos en el software. Implantacin de Medidas Se debe definir un procedimiento de actualizacin del software instalado en la empresa, estableciendo el cauce de recepcin de parches y actualizaciones, normas para la realizacin de pruebas y traspaso de las actualizaciones al entorno de produccin. Normativa La implantacin de normas y procedimientos para las actualizaciones de software est reflejada en la norma ISO 17799 en los siguientes puntos: La puesta en prctica de cambios deber estar controlada mediante el empleo de procedimientos de control de cambios formales. (Punto 12.5.1 ISO17799:2005) Cuando se realizan cambios y/o actualizaciones en sistemas de informacin cruciales para la organizacin, stos se debern probar previamente para asegurar que no hay ningn impacto adverso sobre operaciones de organizacin o su seguridad. (Punto 12.5.2

ISO17799:2005)

Pgina -66-

Ejemplo La empresa recibe semestralmente una actualizacin de su software de gestin de empresa. Sin medidas: La empresa realiza las actualizaciones directamente en todos los equipos del sistema de informacin. Al instalarla, se dan cuenta que la actualizacin ha borrado todos los telfonos de los clientes y que ya no funciona el modulo de contabilidad. Los posibles daos en el sistema de informacin de la empresa son: Prdida de datos Prdida de productividad (Tiempo)

Definiendo medidas: La empresa, segn su poltica de actualizacin, la instala en un equipo de pruebas fuera del sistema de informacin principal, con una base de datos de prueba, detectando las posibles anomalas antes de la implantacin en todo el sistema de informacin.

Paso 26 Se debe definir un procedimiento de actualizacin de parches y de equipos, asegurando que dichas actualizaciones se han probado previamente a su puesta en produccin.

Proteccin contra cdigo malicioso

Los errores generados en el software instalado en la aplicacin, pueden ser aprovechados por software malicioso para producir daos en el sistema, este hecho amenaza la integridad y la confidencialidad de los datos y debe ser gestionado adecuadamente. Los virus informticos son aplicaciones o trozos de cdigo que aprovechan estos errores. Implantacin de Medidas Se debe establecer una poltica de proteccin del sistema de informacin que incluya la instalacin en todos los equipos de un software antivirus. Se deben adoptar medidas de seguridad

complementarias a la instalacin de un antivirus, como son establecer una planificacin de actualizaciones del mismo, formar y concienciar al personal para que eviten

Pgina -67-

la ejecucin de archivos o lectura de mensajes no reconocidos, recomendando la eliminacin de los mismos. Tambin se debe contemplar en las medidas la prohibicin de instalacin de software sin licencia, ya que dicho software podra encubrir al software malicioso (virus, troyanos, etc.), as como el uso de software no autorizado especficamente por la organizacin. Normativa La implantacin de normas de proteccin contra cdigo malicioso est reflejada en la norma ISO 17799 en el siguiente punto: Se debern poner en marcha medidas para la deteccin, prevencin y recuperacin del de sistema frente a de cdigo los malicioso, usuarios. as como 10.4

procedimientos ISO17799:2005) Ejemplo Sin medidas:

concienciacin

(Punto

En la empresa no se ha definido ninguna poltica de seguridad con respecto al malware y cdigos maliciosos. Los equipos no tienen instalada ninguna solucin antivirus (porque no se conectan a Internet), en los ordenadores se instala un software no legal de una aplicacin que se descarg en su casa uno de los miembros de la empresa de fuentes no fiables. Los usuarios utilizan CDs y disquetes de fuera de las instalaciones en los equipos del sistema de informacin de la empresa. Amenazas posibles:

Posible infeccin desde soportes extrables Posible infeccin por instalacin de software no fiable Violacin de la ley de propiedad intelectual

Definiendo medidas: La empresa decide instalar en todos los equipos un antivirus y mantenerlo actualizado, y establece normas para que cualquier soporte que se utilice (que no pertenezca a la empresa) primero se escanee con dicho antivirus. Tambin establece normas para que solo el software legal y autorizado por la empresa sea instalado en los equipos del sistema de informacin.

Pgina -68-

Paso 27 Se debe definir un procedimiento de instalacin y actualizacin de antivirus en la organizacin, desarrollando

actuaciones de formacin y concienciacin complementarias a usuarios, para evitar la entrada de cdigo malicioso en el sistema.

Copias de seguridad

En la actualidad, las organizaciones experimentan un continuo incremento de la cantidad de datos que necesitan para su funcionamiento, los datos

automatizados pueden considerarse como crticos para la continuidad del negocio y deben estar expuestos al menor riesgo posible de prdida, alteracin o acceso no autorizado. Una estrategia de copias de seguridad adecuada, es el seguro ms efectivo contra posibles desastres que puedan afectar al sistema de informacin de la organizacin, tales como incendios, inundaciones, fallos hardware, errores humanos, robos, virus, etc. Implantacin de Medidas Se deben establecer procedimientos para la gestin de copias de seguridad, que permitan recuperar la totalidad de los datos y configuracin de los sistemas al instante anterior a la prdida de datos. En funcin de la criticidad de los datos y del tiempo mximo para efectuar la recuperacin, existen diferentes estrategias de copias de seguridad: cinta, cd, dvd, disco duro, dispositivos usb, etc. Estas son opciones a considerar antes de definir la poltica de copias. Las copias de seguridad tendrn que estar incluidas en el sus inventario de soportes, entre la

controlados

movimientos

organizacin y el exterior, y garantizada su confidencialidad, reduciendo su manipulacin y acceso exclusivamente a personal

autorizado. Si las copias incluyen datos de carcter personal, le sern de aplicacin las medidas de seguridad recogidas en el RMS. Normativa La implantacin de procedimientos de realizacin de copias de seguridad est reflejada, tanto en la Ley de Proteccin de Datos como en la norma ISO 17799, en los siguientes puntos:

Pgina -69-

El responsable de fichero se encargar de verificar la definicin y correcta aplicacin de los procedimientos de realizacin de copias de respaldo y de recuperacin de datos. (Articulo 14.1 RMS)

Los procedimientos establecidos para la realizacin de copias de respaldo y para la recuperacin de los datos debern garantizar su reconstruccin, en el estado en que se encontraban al tiempo de producirse la prdida o destruccin. (Articulo 14.2 RMS)

Debern realizarse copias de respaldo al menos semanalmente, salvo que en dicho periodo no se hubiera producido ninguna actualizacin de los datos. (Articulo 14.3 RMS)

Deber conservarse una copia de respaldo y de los procedimientos de recuperacin de los datos, en un lugar

diferente de aquel en el que se encuentren los equipos informticos que lo tratan,

cumpliendo en todo caso las medidas de seguridad exigidas. (Articulo 25.1 RMS) Las copias de respaldo de informacin y software deberan ser realizadas y probadas con regularidad, conforme a la poltica de seguridad y de continuidad de negocio. (Punto 10.5 ISO17799:2005) Ejemplo Sin medidas: La empresa decide no realizar copias de seguridad. Las posibles amenazas a las que se enfrenta son:

Prdida de informacin.

Definiendo medidas: La empresa decide establecer mecanismos de realizacin de copias de seguridad diarias, enviando fuera de las instalaciones una de las copias una vez a la semana. De esta forma, la empresa asegura la recuperacin de los datos en caso de desastre hasta la ltima copia de seguridad realizada. Paso 28 Se debe establecer una poltica de copias de seguridad que garanticen la reconstruccin de los datos y configuracin de los sistemas al instante anterior a la prdida de informacin.

Pgina -70-

6.5 Seguridad Lgica en las Comunicaciones

Seguridad en el acceso a travs de redes. Identificacin automtica de equipos
El acceso externo al sistema de informacin corporativo debe estar limitado, asegurando dicho acceso solamente al personal autorizado. Una medida que ayuda a garantizar este acceso es exigir la identificacin automtica del equipo que accede, evitando as la conexin desde equipos no seguros, o equipos que no estn autorizados por la organizacin. Implantacin de Medidas Para aquellas organizaciones que permiten accesos externos a su sistema de informacin, se deben establecer mecanismos para la identificacin automtica de los equipos al acceder al sistema de informacin, autenticando as las conexiones desde terminales determinados. Se debe tambin implantar algn sistema de proteccin fsica a los equipos, para proteger la seguridad de su identificador. Normativa La implantacin de mecanismos de

identificacin automtica de equipos ante el sistema est recogida, tanto en la Ley de Proteccin de Datos como en la norma ISO 17799, en los siguientes puntos: Las medidas de seguridad, exigibles a los accesos a datos de carcter personal a travs de redes de comunicaciones, debern garantizar un nivel de seguridad equivalente al correspondiente a los accesos en modo local. (Articulo 5.1 RMS) La transmisin de datos de carcter personal a travs de redes de comunicaciones se realizar cifrando dichos datos, o bien utilizando cualquier otro mecanismo que garantice que la informacin no sea inteligible ni manipulada por terceros. (Articulo 26 RMS) La red debera estar suficientemente protegida para evitar amenazas tanto en los sistemas que la componen como en la informacin que transita por ella. (Punto 10.6.1 ISO17799:2005) Para redes compartidas, sobre todo aquellas que se extienden fuera de las fronteras de la organizacin, la capacidad de acceso de los usuarios

Pgina -71-

a la red debera ser restringida, al igual que el acceso a las aplicaciones de gestin, poniendo en prctica los requisitos de seguridad

establecidos. (Punto 11.4.6 ISO17799:2005) La identificacin de equipo automtica, deber ser considerada como el medio de autenticar conexiones de posiciones especficas y equipos. (Punto 11.4.3 ISO17799:2005) Ejemplo La empresa dispone de accesos externos al sistema de informacin desde el exterior. Sin medidas: La empresa no define ninguna medida de identificacin de los equipos que se conectan desde el exterior. De esta forma, los usuarios autorizados se podran conectar desde cualquier equipo al sistema de informacin. Las vulnerabilidades de seguridad que podran darse son: Acceso no autorizado Acceso desde equipos no seguros Infeccin del sistema de informacin por equipos no seguros

Definiendo medidas: La empresa decide definir que los usuarios externos solo podrn conectarse desde unos equipos determinados, que garantizan los niveles de seguridad exigidos por la empresa. De esta forma evita que se pueda acceder al sistema de informacin desde terminales que no sean de confianza.

Paso 29 Para aquellas organizaciones que permiten accesos externos a su sistema de informacin se debe establecer un sistema de

identificacin automtica de los equipos externos para garantizar que el acceso est autorizado.

Cifrado

En las ocasiones en que el nivel de seguridad legalmente establecido y/o la confidencialidad de los datos as lo requiera, se debe implantar en el sistema de informacin de la organizacin el uso de sistemas y tcnicas criptogrficas, siempre que otras medidas y controles no proporcionen la proteccin adecuada o requerida.

Pgina -72-

El cifrado es una tcnica para proteger la confidencialidad de la informacin clasificada de la organizacin que pueda verse comprometida. Implantacin de Medidas En las ocasiones en que el nivel de seguridad legalmente establecido y/o la confidencialidad de los datos as lo requiera, se debe implantar en el sistema de informacin de la organizacin el uso de sistemas y tcnicas criptogrficas, cuando otras medidas y controles no proporcionen la proteccin adecuada o requerida. Para ello, se deben establecer procedimientos y mecanismos que contemplen los casos en el que la informacin debe cifrarse, y los mecanismos a utilizar para dicho cifrado. Normativa La implantacin de normas y mecanismos de cifrado est reflejada en la norma ISO 17799 en los siguientes puntos: Una poltica de empleo de controles criptogrficos para la proteccin de informacin debera ser desarrollada y puesta en prctica. (Punto 12.3.1 ISO17799:2005) Los controles criptogrficos deberan ser usados desde el cumplimiento con todos los acuerdos relevantes, leyes y regulaciones. (Punto 15.1.6 ISO17799:2005)

Paso 30

Para

el

tratamiento

de

datos

de

carcter

personal,

especialmente protegidos, o que para la organizacin sean confidenciales, se debe definir un procedimiento de cifrado de la informacin que garantice la confidencialidad de los datos.

Pgina -73-

7 Controles relacionados con la Revisin del sistema

7.1 Objetivos Generales
En este ltimo apartado se relatan las medidas de seguridad que se deben aplicar al sistema de informacin para permitir una adecuada revisin de los sistemas y medidas implantadas, y para establecer registros fiables que recojan pruebas de auditora para evaluar el cumplimiento de las medidas de seguridad.

7.2 Auditora del sistema

Sincronizacin de relojes

La correcta sincronizacin de relojes de los procesadores es esencial para la exactitud de los datos reflejados en los archivos de registro (logs) y para la realizacin de auditoras, investigacin de incidencias, o como prueba en casos legales o disciplinarios. La inexactitud de los registros de auditoria puede inutilizar las evidencias recogidas. Implantacin de Medidas Todos los relojes de los equipos del sistema de informacin se deberan sincronizar ajustado a la norma acordada UTC (Tiempo Universal Coordinado) y ajustado a la hora local normalizada. Este hecho permite la correcta realizacin de un anlisis del rastro dejado por una evidencia en la secuencia de acciones cronolgicamente correcta en el tiempo. Normativa La implantacin de mecanismos de sincronizacin de relojes est reflejada en la ISO 17799 en el siguiente punto: Los relojes de todos los sistemas de informtica relevantes de tratamiento de informacin o de dominio de seguridad, debern ser sincronizados con una fuente de tiempo reconocida y exacta. (Punto 10.10.6 ISO17799:2005)

Pgina -74-

Ejemplo La empresa sufre una prdida de informacin en su sistema, y quiere analizar por qu, ya que no ha tenido ningn problema fsico ni lgico que se conozca.

Sin medidas: La empresa no defini ni aplic esta medida. En cada equipo los registros identifican en una hora distinta las acciones, con lo que es mucho ms difcil poder establecer cmo se perdi dicha informacin.

Definiendo medidas: La empresa defini todos los equipos para que sincronizaran la hora desde el servidor, con lo que le permite comprobar qu equipos estaban conectados en el sistema de informacin, y al mirar los registros de dichos equipos, puede llegar a una conclusin sobre lo ocurrido.

Paso 31

Sincronizar los relojes de los servidores con arreglo a la

norma UCT (Tiempo universal Coordinado).

Control de registros de acceso

La correcta configuracin de los registros de acceso a los sistemas, detecta el intento de intrusin de personal externo a la organizacin, o de personal interno que intenta acceder a recursos a los que no est autorizado. Es importante una correcta configuracin de los registros de acceso y una peridica revisin de dichos registros para detectar incidencias de seguridad que pueden ser corregidas. Implantacin de Medidas Se deben configurar procedimientos y registros de control de acceso, para validar que los usuarios que acceden a los recursos estn autorizados y almacenar evidencias de cualquier intento de acceso no autorizado. Los registros de acceso deben alteraciones. Normativa La implantacin de controles para los registros de acceso est reflejada, tanto en la Ley de Proteccin de Datos como en la ISO 17799, en los siguientes puntos: estar protegidos ante manipulaciones o

Pgina -75-

El

responsable

de

seguridad

competente

se

encargar de revisar peridicamente la informacin de control registrada, y elaborar un informe de las revisiones realizadas y los problemas detectados al menos una vez al mes. (Articulo 24.5 RMS) Los errores de acceso debern ser registrados, analizados y servir como soporte para llevar a cabo acciones correctivas. (Punto 10.10.5

ISO17799:2005) Las actividades de auditoria y verificacin de sistemas operacionales debern ser planificadas para evitar interrupciones en los procesos de negocio. (Punto 15.3.1 ISO17799:2005) Los registros de las instalaciones y la informacin de los logs debern estar protegidos contra el acceso no autorizado. (Punto 10.10.3 ISO17799:2005) Paso 32 Se deben configurar registros de acceso que contengan la

identificacin de los accesos al sistema.

Pgina -76-

8 Conclusiones
Es necesario que las pymes aborden la problemtica de la Seguridad de la Informacin y el cumplimiento de sus obligaciones legales. Esta Gua de Seguridad pretende ser el primer paso para que las pymes tomen conciencia de este hecho e inicien acciones dirigidas a poner en marcha sus planes de seguridad, siendo importante para ello contar con el asesoramiento de profesionales especializados. Por ltimo, destacar que la seguridad no es un producto sino un proceso, cuya implantacin exige un cambio cultural y organizativo en las empresas, que debe ser liderado por la direccin.

Pgina -77-

9 Glosario de Trminos
1. Acceso Accin mediante la cual un usuario entra en un determinado recurso, (local, sistema de informacin, equipo informtico, red) 2. Activo Los activos son los recursos del sistema de informacin o relacionados con ste, necesarios para que la organizacin funcione correctamente y alcance los objetivos propuestos por su direccin. Ejemplos de activos pueden ser los servidores de datos, las aplicaciones informticas o los expedientes en papel. 3. Actualizacin Es el trmino que se utiliza para identificar los diferentes tipos de paquetes que pueden hacer que un sistema est al da y/o incluya nuevas

funcionalidades. 4. Amenaza Evento que puede producir un dao en el sistema de informacin. 5. Antivirus Software para la deteccin y prevencin de virus. 6. Auditora Proceso de obtencin y anlisis de evidencias a fin de su evaluacin y la elaboracin de un informe acerca de la fiabilidad de los registros analizados. 7. Autenticacin Proceso mediante el cual se comprueba la identidad de un usuario. 8. Autorizacin Derecho otorgado a un individuo autenticado o proceso para utilizar el sistema de informacin y la informacin que ste contiene.

Pgina -78-

9. Certificado Digital Sistema de acreditacin que contiene informacin de un usuario o servidor, para la verificacin de su identidad en el sistema de informacin. 10.Cesin de Datos Toda revelacin de datos realizada a una persona distinta del interesado. No se considera cesin de datos cuando el acceso sea necesario para la prestacin de un servicio al responsable del fichero. 11.Cdigo malicioso (Malware) Hardware, software o firmware que es intencionalmente introducido en un sistema de informacin con un fin malicioso o no autorizado, (virus, troyanos, gusanos, rootkit). 12.Comunicaciones Transmisin y recepcin de informacin que se realiza entre dos o ms equipos o soportes de un sistema de informacin. 13.Confidencialidad Polticas y normas para garantizar que los datos no sean comunicados incorrectamente ni a personal no autorizado. 14.Contrasea Cadena de caracteres que un usuario o servicio utiliza para verificar su identidad frente a un equipo, soporte o sistema de informacin. 15.Control de Acceso Mecanismo que en funcin de la identificacin ya autentificada permite acceder a datos o recursos de un sistema de informacin, dejando un registro de dicho acceso. 16.Controles Fsicos Medidas de seguridad que vigilan y registran accesos fsicos a un sistema de informacin. 17.Controles Lgicos

Pgina -79-

Conjunto de principios y normas que vigilan y registran los accesos a datos, procesos e informacin. 18.Datos de Carcter Personal Cualquier informacin concerniente a personas fsicas que las identifique o las haga identificables. 19.Disponibilidad Garantizar que los recursos estn disponibles cuando se necesiten. 20.Dispositivo mvil Soporte de tratamiento o almacenamiento de informacin extrable y/o transportable. 21.Divulgacin La exposicin de informacin a terceros que no tienen acceso a ella. 22.Documento de Seguridad Documento que contiene las medidas de seguridad aplicadas por la empresa, para proteger los datos de carcter personal de accesos no autorizados. 23.Encargo de Tratamiento Concesin de acceso a datos de carcter personal, delegando la ejecucin de un servicio necesario para la relacin entre el responsable de fichero y los afectados. 24.Encriptacin Proceso mediante el cual la informacin es codificada para evitar el acceso a la misma por terceros no autorizados. 25.Entorno Conjunto de elementos que rodean el sistema de informacin de una empresa sin formar parte del mismo. 26.Evidencia Prueba que demuestra de forma clara, manifiesta y perceptible un hecho.

Pgina -80-

27.Fichero Conjunto organizado de datos. 28.Fichero de Datos de Carcter Personal Conjunto organizado de datos de carcter personal, cualquiera que fuere la forma o modalidad de su creacin, almacenamiento, organizacin y acceso. 29.Firewall Conjunto de hardware y software cuya funcin es proteger un sitio privado conectado a una red (local, intranet, Internet) contra accesos no

autorizados. 30.Gestin Proceso mediante el cual se obtiene, despliega o utiliza una variedad de recursos bsicos para apoyar los objetivos del proceso. 31.Hacker Experto informtico especialista en entrar en sistemas ajenos sin permiso. 32.Incidencia Cualquier anomala que afecte o pueda afectar a la seguridad de los datos del sistema de informacin de la empresa. 33.Informacin Conjunto de datos que al relacionarse adquieren sentido o un valor de contexto o de cambio. 34.Informacin Confidencial Conjunto de datos relativos a la empresa que pueda comprometer sus procesos clave. Tambin se refiere a los datos especialmente protegidos (Ideologa, religin, afiliacin sindical, creencias, origen racial o tnico, salud o vida sexual). 35.Integridad Seguridad de que una informacin no ha sido alterada.

Pgina -81-

36.Internet Conjunto de equipos y redes conectados a nivel mundial para el intercambio de informacin. 37.ISO 17799 Cdigo de Buenas Prcticas de Seguridad de la Informacin. 38.Registro (Log) Documento que recoge evidencias objetivas de las actividades efectuadas o de los resultados obtenidos en un proceso. 39.LOPD (Ley de proteccin de datos de carcter personal) Ley 15/99, de 13 de Diciembre, de tratamiento de datos de carcter personal. 40.LSSI (Ley de Servicios de la Sociedad de la Informacin y de Comercio Electrnico) Ley 34/2002, de 11 de Julio, de servicios de la sociedad de la informacin y de comercio electrnico. 41.Nivel de Seguridad (Bsico, Medio y Alto) Niveles de seguridad definidos en el Real Decreto 994/99, de 11 de junio, por el que se aprueba el Reglamento de Medidas de Seguridad de los Ficheros automatizados que contengan Datos de Carcter Personal. 42.Perfil de Usuario Definicin de las competencias, niveles de acceso y responsabilidades asignadas a un usuario para el desempeo de sus funciones. 43.Permiso Reglas para regular qu usuarios pueden obtener acceso y de qu manera a los distintos recursos del sistema de informacin. 44.Privacidad El control sobre el uso, comunicacin y distribucin de la informacin. 45.Privilegios

Pgina -82-

Derechos del usuario para utilizar los distintos activos del sistema de informacin. 46.Proceso Conjunto de actividades o eventos que se realizan o suceden con un determinado fin. 47.Recurso Cualquier componente de un sistema de informacin. 48.Red Local El trmino red local incluye tanto el hardware como el software necesario para la interconexin de varios ordenadores y perifricos con el objeto de intercambiar recursos e informacin. 49.Responsable del Fichero Persona fsica o jurdica, de naturaleza pblica o privada, u rgano

administrativo, que decide sobre la finalidad, contenido y uso del tratamiento 50.Responsable de Tratamiento Es la persona fsica o jurdica, autoridad pblica, servicio o cualquier otro mecanismo que, slo o conjuntamente con otros, trate datos personales por cuenta del responsable del fichero. 51.Riesgo Probabilidad de obtener un resultado desfavorable como resultado de la exposicin a un evento especifico. 52.RMS (Real Decreto de Medidas de Seguridad) Niveles de seguridad definidos en el Real Decreto 994/99, de 11 de junio, por el que se aprueba el Reglamento de Medidas de Seguridad de los Ficheros automatizados que contengan Datos de Carcter Personal. 53.Salvaguarda Tecnologa, poltica o procedimiento que contrarresta una amenaza o protege un valor.

Pgina -83-

54.Seguridad Disciplina, tcnicas y herramientas diseadas para ayudar a proteger la confidencialidad, integridad y disponibilidad de informacin y sistemas. 55.Sistema de Informacin Conjunto de elementos, ordenadamente relacionados entre s que aporta a la organizacin las directrices de manejo de la informacin para el cumplimiento de sus fines. 56.Software Conjunto de programas y aplicaciones para el manejo de informacin en el sistema empresarial. 57.Soporte Objeto fsico susceptible de ser tratado en un sistema de informacin y sobre el cual se pueden gravar o recuperar datos. 58.Terceros Personas que no forman parte de la organizacin. 59.Tratamiento de datos Operaciones y procedimientos tcnicos de carcter automatizado o no, que permitan la recogida, grabacin, conservacin, elaboracin, modificacin, bloqueo y cancelacin, as como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias 60.Vulnerabilidad Probabilidad de que una amenaza afecte a un activo causando un dao.

Pgina -84-