Trabajo Final de Carrera - Gestion de La Seguridad Basada en La Iso - Iec 27001

TRABAJO FINAL DE CARRERA:
GESTION DE LA SEGURIDAD BASADA EN LA

ISO/IEC 27001
Autor: Xavier Duch

Titulacin: Ingeniero Tcnico de Informtica de Gestin
Consultor: Cristina Perez
Fecha de entrega: 13-06-2014
Contenido
TRABAJO FINAL DE CARRERA: ................................................................................................... 1
GESTION DE LA SEGURIDAD BASADA EN LA ISO/IEC 27001 ..................................................... 1
Autor: Xavier Duch .................................................................................................................... 1
Titulacin: Ingeniero Tcnico de Informtica de Gestin ......................................................... 1
Consultor: Cristina Perez ........................................................................................................... 1
Fecha de entrega: 13-06-2014 .................................................................................................. 1
Contenido .................................................................................................................................. 2
1
Licencia .................................................................................................................................. 6
Dedicatoria y agradecimientos.............................................................................................. 6
Descripcin del proyecto....................................................................................................... 6
Tablas y Figuras ..................................................................................................................... 7
Introduccin .......................................................................................................................... 8
5.1
Justificacin del TFC i contexto: punto de partida i aportacin del TFC ....................... 8
5.2
Objetivos del TFC........................................................................................................... 8
5.3
Enfoque y metodologa ................................................................................................. 8
5.4
Planificacin del proyecto ............................................................................................. 9
5.5
Productos obtenidos ................................................................................................... 10
5.6
Resumen descripcin de los otros puntos de la memoria .......................................... 11
Anlisis, Requisitos y Diseo .............................................................................................. 11

Implementacin .................................................................................................................. 11
Memoria y Producto Final ................................................................................................... 11
6
Anlisis y Diseo .................................................................................................................. 11

6.1
Anlisis de la Situacin Actual ..................................................................................... 12
La gestin de la seguridad de EkinderGarden donde est actualmente? ............................. 12

6.1.1
Personal ............................................................................................................... 12
6.1.2
Activos ................................................................................................................. 13
6.1.3
Tecnologa ........................................................................................................... 13
6.1.4
Poltica de Seguridad ........................................................................................... 14
6.1.5
Gestin del Riesgo ............................................................................................... 14
6.1.6
Anlisis de Riesgo ................................................................................................ 16
6.1.7
Tratamiento de Riesgos....................................................................................... 17
Hacia dnde vamos? ............................................................................................................. 17

6.2
Plan de Implementacin ............................................................................................. 18

2
Nuevos Servicios en el sistema ............................................................................................... 18

6.2.1
Implementacin Canales Comunicacin ............................................................. 18
6.2.2
Implementacin de sistema Team Fundation Server ......................................... 18
6.2.3
Implementacin Portal SharePoint ..................................................................... 18
6.2.4
Implementacin Sistema Monitorizacin ........................................................... 18
6.2.5
Implementacin Firewall Avanzado .................................................................... 19
6.2.6
Implementacin IPS Firewall Hosting.................................................................. 19
6.2.7
Implementacin Veeam Backup Replication ...................................................... 19
6.2.8
Implementacin Cloud Google ............................................................................ 19
6.3
Diseo del Alcance ...................................................................................................... 20
6.3.1
Diseo de sistema Team Fundation Server ......................................................... 20
6.3.2
Diseo Portal SharePoint .................................................................................... 21
6.3.3
Diseo Sistema Monitorizacin........................................................................... 21
6.3.4
Diseo Firewall Avanzado ................................................................................... 22
6.3.5
Diseo IPS Firewall Hosting ................................................................................. 22
6.3.6
Diseo Veeam Backup Replication ...................................................................... 23
6.3.7
Diseo Cloud Google Apps .................................................................................. 23
6.3.8
Nuevo Esquema Tecnolgico .............................................................................. 24
6.4
Diseo de canales de comunicacin ........................................................................... 24
6.4.1
Descripcin de las funcionalidades ..................................................................... 24
Empleados ........................................................................................................................... 24
Proveedores / posibles proveedores .................................................................................. 25
Clientes / posibles Clientes ................................................................................................. 25
6.4.2
Diseo .................................................................................................................. 26
6.4.3
Conclusiones........................................................................................................ 26
6.5
Anlisis de Riesgo ........................................................................................................ 26
6.5.1
Inventariado Activos............................................................................................ 27
6.5.2
Informe Anlisis Riesgo ....................................................................................... 28
6.6
Tratamiento de Riesgo ................................................................................................ 28
6.7
Requisitos .................................................................................................................... 28
6.8
Revisin Puntos Control SOA ...................................................................................... 28
Implementacin .................................................................................................................. 28
7.1
Implementacin de Mejoras ....................................................................................... 29

3
7.1.1
7.2
Revisin de las polticas de Seguridad......................................................................... 32
7.2.1
A.5 Poltica de Seguridad..................................................................................... 33
7.2.2
A6. Organizacin de la Seguridad ........................................................................ 33
7.2.3
A7. Gestin de Activos ........................................................................................ 38
7.2.4
A8. Seguridad en Recursos Humanos.................................................................. 39
7.2.5
A.9 Seguridad Fsica y Ambiental ........................................................................ 40
7.2.6
A.10 Gestin de las comunicaciones y operaciones ........................................... 40
7.2.7
A.11 Control de Accesos ...................................................................................... 45
7.2.8
A.12 Adquisicin, desarrollo y mantenimiento de los sistemas de informacin 46
7.2.9
A.13 Gestin de Incidencias de Seguridad .......................................................... 47
7.2.10
A.14 Gestin de la Continuidad del Negocio....................................................... 48
7.3
Implementacin Canales de Comunicacin ........................................................ 29
Revisin de Indicadores .............................................................................................. 49
7.3.1
Indicadores .......................................................................................................... 49
7.3.2
Resultado indicadores ......................................................................................... 49
Conclusiones y lneas de trabajo futuro .............................................................................. 50

8.1
Conclusiones Finales Implementaciones .................................................................... 50
8.2
Lneas de Trabajo Futuro ............................................................................................. 51
8.2.1
Auditorias ............................................................................................................ 51
8.2.2
Revisin Posterior................................................................................................ 51
Propuesta de Mejoras ......................................................................................................... 52

9.1
Primera mejora ........................................................................................................... 52
9.2
Segunda Mejora .......................................................................................................... 52
9.3
Tercera mejora ............................................................................................................ 52
10
Glosario ........................................................................................................................... 53
10.1
Anlisis de riesgos ....................................................................................................... 53
10.2
Auditora de seguridad ................................................................................................ 53
10.3
Autenticacin .............................................................................................................. 53
10.4
Confidencialidad .......................................................................................................... 53
10.5
Cortafuegos ................................................................................................................. 53
10.6
Disponibilidad .............................................................................................................. 53
10.7
Incidente de seguridad ................................................................................................ 53
10.8
Integridad .................................................................................................................... 53
4
10.9
IPS ................................................................................................................................ 53
10.10
ISO/IEC 27001 .......................................................................................................... 53
10.11
Plan de contingencia ............................................................................................... 54
10.12
Poltica de Seguridad ............................................................................................... 54
10.13
Vulnerabilidad ......................................................................................................... 54
10.14
No conformidad ...................................................................................................... 54
10.15
Observacin............................................................................................................. 54
10.16
Oportunidad de Mejora .......................................................................................... 54
11
Bibliografa ...................................................................................................................... 55
12
Anexos ............................................................................................................................. 56
12.1
Anexo 1 Requisitos Seguridad, software, Hardware ................................................... 56
Sistema Team Fundation Server 2012 .................................................................................... 56

Portal SharePoint .................................................................................................................... 56
Sistema Monitorizacin........................................................................................................... 56
Firewall Avanzado ................................................................................................................... 57
IPS Firewall Hosting ................................................................................................................. 57
Veeam Backup Replication ...................................................................................................... 57
Cloud Google Apps .................................................................................................................. 57
Canales Comunicacin ............................................................................................................ 57
12.2
Anexo 2 Documentos de seguridad del SGI ................................................................ 58
12.3
Anexo 3 Registros Nuevos Activos .............................................................................. 59
12.4
Anexo 4 Gestin Capacidad Servidores....................................................................... 60
1 Licencia
Esta obra est sujeta a una licencia de reconocimiento no comercial sin obra derivada 3.0 Espaa de
Creative Commons.
2 Dedicatoria y agradecimientos
Quiero dedicar este proyecto en especial a mis padres por haberme apoyado en todo momento, por sus
consejos, sus valores, por la motivacin constante que me ha permitido ser la persona quien soy ahora.
A mis abuelos de los que siempre me han apoyado en estudiar, en avanzar y me han dado toda su
alegra. Tambin a toda mi familia que siempre est ah cuando se la necesita. Gracias Familia.
A mis amigos para aguantarme en estos momentos de mxima concentracin y para apoyarme en todo
momento.
Finalmente quera agradecer toda la ayuda y consejos que me ha ofrecido Cristina Perez, en este
proyecto. Gracias Cristina.
3 Descripcin del proyecto

Este proyecto se inicia en base a la necesidad de mejorar la seguridad de la informacin en mi empresa
actual, EkinderGarden. Recib la responsabilidad en mi puesto de trabajo, como Responsable de
Sistemas, en dedicarme a la seguridad de la informacin, tanto en funciones tcnicas como de gestin.
A partir de este momento pens en presentar el proyecto final de carrera en el rea de seguridad.
Actualmente EkinderGarden est certificada en la normativa de seguridad ISO 27001 cumpliendo con
los estndares de todos los procesos implicados.
Despus de la certificacin se detect que el cumplimiento y gestin solo est en el alcance de los
responsables de su implementacin sin ningn valor aadido y desvinculada de la parte del negocio
concretamente en todas las partes interesadas.
La solucin propuesta consiste en disear un canal de comunicacin e interaccin entre las diferentes
partes interesadas (empleados, candidatos a empleados, proveedores, clientes y posibles clientes),
dentro el sistema de la seguridad de EkinderGarden con el fin de mejorar la gestin de la seguridad en
todos los niveles, la percepcin de valor y conseguir un incremento de la eficiencia dentro de mi puesto
de trabajo.
Adicionalmente estn aprobadas en direccin una serie de mejoras tecnolgicas dentro del mbito de la
seguridad de la informacin que harn posible el cumplimiento de los objetivos de este proyecto.
En las prximas lneas describiremos con ms detalle los objetivos propuestos y finalmente la conclusin
de los resultados.
4 Tablas y Figuras
Figura 1 Metodologa
Figura 2 Planificacin Inicial
Figura 3 Ciclo trabajo anlisis y diseo
Figura 4 Personal
Figura 6 Gestin de Riesgos
Figura 7 Team Fundation Server
Figura 8 SharePoint
Figura 9 Monitorizacin
Figura 10 Firewall Avanzado
Figura 11 IPS ASA
Figura 12 Veeam Backup
Figura 13 Cloud Google Apps
Figura 14 Sistema Final
Figura 15 Canales Comunicacin
Figura 16 Empleados
Figura 17 Proveedores1
Figura 19 Clientes
Figura 20 Ciclo trabajo Implementacin
Figura 21 Requisitos
Figura 22 Vulnerabilidades
Figura 23 Nagios
Figura 24 OpsView
Figura 25 SonicWall
Figura 26 SharePoint
Figura 28 Antivirus
Figura 29 Proteccin Firewall
Figura 30 Gestin Incidentes
Tabla1 Planificacin
Tabla 2 Inventariado Activos
Tabla 3 Valoracin Activos
5 Introduccin
5.1
Justificacin del TFC i contexto: punto de partida i aportacin del TFC
Para el desarrollo de este proyecto partimos inicialmente con una aceptacin, por parte de Direccin de
EkinderGarden, para la implementacin de los cambios que describiremos en las prximas pginas.
Mi aportacin en el TFC es como Responsable de Sistemas y con suficientes conocimientos y privilegios
para poder desarrollar e implementar la totalidad del TFC.
5.2
Objetivos del TFC
En este punto definiremos los diferentes objetivos de seguridad necesarios para resolver el problema.
El objetivo principal para la resolucin del problema consiste en mejorar la gestin de la seguridad en
todo el alcance que compone el sistema de la seguridad de la informacin de EkinderGarden y darle un
valor aadido a la certificacin ISO 27001.
Los objetivos secundarios relacionados con el objetivo principal son los siguientes:
Concienciacin de la seguridad en las partes interesadas.
Eficiencia en la gestin e implementacin de los controles de seguridad
Mejorar la imagen de la organizacin
5.3
Enfoque y metodologa
La metodologa que utilizaremos para la implementacin de este proyecto es la metodologa PDCA.

Cada una de las siguientes fases de esta metodologa ser aplicada al trabajo de este proyecto.
Figura 1. Metodologa del TFC
Planificar
En esta fase tiene lugar la creacin del SGSI, con la definicin del alcance y la Poltica de Seguridad. El
ncleo fundamental de esta fase y del SGSI es la realizacin de un anlisis de riesgos que refleje la
situacin actual de la entidad. A partir del resultado de este anlisis se definir un plan de tratamiento
de riesgos que conlleva la implantacin en la organizacin de una serie de controles de seguridad con el
objetivo de mitigar los riesgos no asumidos por la Direccin.
Hacer
Esta fase cubre la implantacin del plan de tratamiento de riesgos, su ejecucin. Incluye tambin la
formacin y concienciacin de los empleados en materia de seguridad y la definicin de mtricas e
indicadores que sirvan para evaluar la eficacia de los controles implantados.
Comprobar
Durante esta fase se realizan diferentes tipos de revisiones para comprobar la correcta implantacin del
sistema. Entre ellos, se realiza una auditora interna independiente y objetiva, as como una revisin
global por Direccin, con el objetivo de marcarse nuevas metas a cubrir en el prximo ciclo.
Mejorar
El resultado de las revisiones debe reflejarse en la definicin e implantacin de acciones correctivas,
preventivas y de mejora para avanzar en la consecucin de un sistema eficaz y eficiente.
La metodologa PDCA describe una serie de tareas que deben realizarse para el cumplimiento y
seguimiento de los objetivo de seguridad y aplicados a este proyecto. Las fases enlazadas a la
metodologa son las siguientes:
Planificar corresponder a la fase 1 y fase 2 de nuestra planificacin
Hacer corresponder a la fase 3 de nuestra planificacin.
Comprobar corresponder a las lneas de trabajo futuras.
Mejorar corresponder a las lneas de trabajo futuras.
El resultado esta descrito en el siguiente apartado
5.4
Planificacin del proyecto
Planificacin Inicial
Describiremos las tareas de las cuales estn formadas las diferentes fases del proyecto. Estas sub-tareas
estn diseadas mediante la aplicacin Project y especificadas mediante el Diagrama de Gantt. El
resultado es el siguiente
La especificacin de las tareas es la siguiente:
Nombre de tarea
Duracin
Comienzo
Fin
Fase 1 Plan de Trabajo

Buscar Recursos
Definicin del Proyecto
Creacin de Objetivos
Definicin de Metodologa
Creacin de Tareas
Planificacin
Estado del Arte
14 das
2 das
2 das
3 das
1 da
2 das
2 das
2 das
mi 26/02/14
mi 26/02/14
vie 28/02/14
mar 04/03/14
vie 07/03/14
lun 10/03/14
mi 12/03/14
vie 14/03/14
lun 17/03/14
jue 27/02/14
lun 03/03/14
jue 06/03/14
vie 07/03/14
mar 11/03/14
jue 13/03/14
lun 17/03/14
Fase 2 Anlisis, Requisitos y Diseo

Anlisis de la situacin Actual
Plan de Implementacin
Revisin Polticas de Seguridad
Diseo del Alcance
Anlisis de los Riesgos
Inventariado Activos
Informe de Anlisis Riesgo
Tratamiento Riesgo
Requisitos Seguridad, Hardware, Software
Diseo de canales comunicacin
Revisin Puntos control SOA
Elaboracin del informe PAC2
20 das
1 da
2 das
2 das
2 das
3 das
1 da
2 das
2 das
2 das
3 das
2 das
1 da
mar 18/03/14
mar 18/03/14
mi 19/03/14
jue 20/03/14
lun 24/03/14
mi 26/03/14
mi 26/03/14
jue 27/03/14
mar 01/04/14
jue 03/04/14
lun 07/04/14
jue 10/04/14
lun 14/04/14
lun 14/04/14
mar 18/03/14
jue 20/03/14
vie 21/03/14
mar 25/03/14
vie 28/03/14
mi 26/03/14
vie 28/03/14
mi 02/04/14
vie 04/04/14
mi 09/04/14
vie 11/04/14
lun 14/04/14
Fase 3 Implementacin
Revisin Objetivos + Indicadores Seguridad
Implementacin Mejoras
Implementacin Canales comunicacin
Implementacin de Acceso Web a Clientes
Implementacin de Concienciacin Seguridad Empleados
Implementacin de Gestin Auditorias Proveedores
Documentacin de las polticas de Seguridad
Poltica de Seguridad
Organizacin de la Seguridad
Seguridad en Recursos Humanos
Seguridad fsica y ambiental
Gestin de las comunicaciones y operaciones
25 das
1 da
8 das
2 das
3 das
1 da
2 das
15 das
1 da
1 da
1 da
1 da
3 das
mar 15/04/14
mar 15/04/14
mi 16/04/14
mi 16/04/14
vie 18/04/14
mi 23/04/14
jue 24/04/14
mar 29/04/14
mar 29/04/14
mi 30/04/14
jue 01/05/14
vie 02/05/14
lun 05/05/14
lun 19/05/14
mar 15/04/14
vie 25/04/14
jue 17/04/14
mar 22/04/14
mi 23/04/14
vie 25/04/14
lun 19/05/14
mar 29/04/14
mi 30/04/14
jue 01/05/14
vie 02/05/14
mi 07/05/14
Nueva Poltica de Auditoria

Nueva poltica de Gestin de Vulnerabilidades
Nueva Poltica de Gestin de la Capacidad
Control de Accesos
Nueva Poltica Control de Accesos
Nueva Poltica de Red
Nueva poltica de contraseas
Nueva Poltica de encriptacin
Adquisicin, desarrollo y mantenimiento de SI
Seguridad en el Desarrollo
Gestin en las vulnerabilidades
Gestin de incidentes de seguridad del servicio
Gestin de la continuidad del servicio
Cumplimiento Legal
Fase 4 Memoria y producto final
Recopilacin de la documentacin
Documentacin resumen del proyecto
Elaboracin del producto final
Fase 5 Presentacin
Elaboracin de Presentacin Final
Elaboracin de video
1 da
1 da
1 da
4 das
1 da
1 da
1 da
1 da
1 da
0,5 das
0,5 das
1 da
1 da
1 da
lun 05/05/14
mar 06/05/14
mi 07/05/14
jue 08/05/14
jue 08/05/14
vie 09/05/14
lun 12/05/14
mar 13/05/14
mi 14/05/14
mi 14/05/14
mi 14/05/14
jue 15/05/14
vie 16/05/14
lun 19/05/14
lun 05/05/14
mar 06/05/14
mi 07/05/14
mar 13/05/14
jue 08/05/14
vie 09/05/14
lun 12/05/14
mar 13/05/14
mi 14/05/14
mi 14/05/14
mi 14/05/14
jue 15/05/14
vie 16/05/14
lun 19/05/14
19 das
5 das
4 das
10 das
mar 20/05/14
mar 20/05/14
mar 27/05/14
lun 02/06/14
vie 13/06/14
lun 26/05/14
vie 30/05/14
vie 13/06/14
5 das
2 das
3 das
lun 16/06/14
lun 16/06/14
mi 18/06/14
vie 20/06/14
mar 17/06/14
vie 20/06/14
Tabla 1 Planificacin
Planificacin final
Durante las diferentes fases del proyecto hemos realizado algunos cambios en la planificacin. Los
cambios realizados son:
Tareas en la fase Anlisis, requisitos y diseo
Hemos cambiado el orden de las siguientes tareas:
Revisin de polticas seguridad: la revisin de las polticas de seguridad dentro un sistema
de seguridad de la informacin deben realizarse una vez finalizado la gestin del riesgo, por
lo tanto esta tarea se mover al final dentro la fase 2 de diseo.
Diseo canales de comunicacin: el diseo de cualquier solucin en seguridad de la
informacin debe realizarse antes del anlisis, por la tanto esta tarea debe ir antes de la
gestin del riesgo.
Tareas la fase de Implementacin
Hemos cambiado las siguientes tareas:
Revisin de indicadores: la revisin de los indicadores debe definirse en la parte final de
las implementaciones como medida de revisin de la eficacia dentro del sistema de
seguridad de la informacin, por lo tanto moveremos esta tarea al final de esta fase.
Adicionalmente la tarea de revisin de objetivos la describiremos en este documento de
memoria del proyecto.
Visin General de la Documentacin: hemos creado una nueva tarea para resumir las
conclusiones finales en la fase de implementacin y remarcar la existencia de las auditorias
de seguridad como revisin de la eficacia dentro el sistema de seguridad de la informacin.
5.5
Productos obtenidos
En este TFC no se ha desarrollado ningn producto de software pero si se ha implementado una serie de
polticas de seguridad mediante unos cambios en el sistema de seguridad de la informacin con la
finalidad mejorar la seguridad en todos los mbitos. Por lo tanto el producto obtenido consiste en
mejorar las polticas de seguridad en un sistema de seguridad en base a la normativa de seguridad ISO
27001. Las polticas que hemos gestionado y producto obtenido son las siguientes:
Poltica de proteccin de cdigo malicioso

Poltica de seguridad en la gestin de recursos humanos
Poltica de gestin documental
10
Poltica de proteccin de redes

Poltica de gestin de incidentes
Poltica de continuidad del negocio
Poltica de copias de seguridad
Poltica de control de acceso
Adicionalmente en la parte de presentacin del proyecto se realizar una visualizacin de las

implementaciones realizadas en este proyecto como parte de demostracin del producto final a las
mejora de las polticas de seguridad.
5.6
Resumen descripcin de los otros puntos de la memoria
Una vez obtenida la planificacin de este proyecto describiremos un resumen de la composicin de los
puntos de la memoria. El resultado es el siguiente:
Anlisis, Requisitos y Diseo
En esta parte realizaremos el anlisis, requisitos y diseo de todo el TFC. Describiremos la situacin
actual dentro el sistema de la seguridad, el alcance, el anlisis de seguridad enlazado a los activos de
todo el sistema, realizaremos un anlisis de riesgos de todos los activos y si obtenemos activos con
riesgos no aceptable realizaremos su tratamiento.
Implementacin
En esta parte realizaremos toda la implementacin en base el diseo, los requisitos definidos en la
anterior fase, la revisin de las nuevas polticas de seguridad y finalmente la implementacin de las
polticas, procesos y de todos los controles a modificar en base a la normativa ISO 27001.
Memoria y Producto Final
Esta parte est formada por todos los puntos anteriores, las conclusiones finales y la revisin del
cumplimiento de los objetivos finales en del TFC.
6 Anlisis y Diseo
Despus de realizar la planificacin del proyecto de Gestin de la Seguridad en EkinderGarden nos
centraremos en la parte de anlisis de requisitos y diseo de la solucin.
Para la realizacin de la parte de anlisis de requisitos y diseo debemos aplicar la metodologa PDCA de
la norma ISO 27001, concretamente la parte de PLANIFICAR. Dicha parte fue descrita en la fase de
planificacin y est formada por una serie de tareas que complementan la resolucin de esta parte. Las
Tareas a implementar son las siguientes:
Anlisis de la situacin Actual

Diseo del Alcance
Diseo canales de comunicacin
Anlisis de los Riesgos
Tratamiento de Riesgos
Requisitos de Seguridad, Hardware y Software
Plan de implementacin
Revisin Puntos Control SOA
El siguiente grfico describe el ciclo de trabajo de este documento:
11
Figura 3 Ciclo trabajo anlisis y diseo
6.1
Anlisis de la Situacin Actual
El anlisis de la situacin actual del sistema de gestin de la seguridad en EkinderGarden se centra

principalmente en el manual de Seguridad de la informacin. Dicho manual contiene todos los puntos
necesarios para el cumplimiento de la normativa ISO 27001.
Las palabras que definen mejor el anlisis de la situacin actual: si pudiramos saber primero donde
estamos y hacia dnde vamos, podramos juzgar mejor que hacer y cmo hacerlo.
La gestin de la seguridad de EkinderGarden donde est actualmente?
Actualmente la gestin de la seguridad est formada por:
Personal
Activos
Tecnologa
Gestin del Riesgos
6.1.1
Personal
EkinderGarden est formado por 51 profesionales en diferentes reas de trabajo. El siguiente

organigrama describe la estructura de la organizacin.
Figura 4 Personal SGI
Todo el personal de EkinderGarden, directamente o indirectamente, est dentro el alcance del sistema
de la seguridad. El personal dentro del alcance directo es el siguiente:
12
El responsable de Seguridad
Asegurarse de que la plantilla cuenta con la formacin adecuada, conoce y comprende la

Poltica de Seguridad y pone en prctica las directrices de seguridad.
Asegurarse de que el software que se utiliza tiene licencia y cumple con los requisitos de las
normas de referencia que les aplican.
Asegurarse de que los soportes y equipos que contengan informacin son desechados segn
lo establecido.
Implementar las medidas de seguridad necesarias para evitar fraudes, robos o interrupcin
en los servicios.
Mantener documentacin actualizada de todas las funciones crticas para asegurar la
continuidad de las operaciones en caso de que alguien no est disponible.
Comit de Direccin
Comunicar a la organizacin de la importancia de satisfacer los requerimientos de los

clientes as como los legales y reglamentarios.
Establecer la Poltica de Gestin Integral.
Establecer y aprobar los Objetivos del Sistema de Gestin Integrado.
Revisar los correspondientes registros del Sistema de Gestin Integrado.
6.1.2
Activos
Actualmente los activos del sistema de la informacin de EkinderGarden estn clasificados en diferentes
agrupaciones. Estas agrupaciones son:
6.1.3
Personas: contiene todas las reas y personas dentro el alcance de la normativa ISO 27001
Comunicaciones: contiene los activos de todos los dispositivos de comunicaciones,
Routers, Firewalls, switches.
Infraestructura: contiene los activos de todos los dispositivos fsicos: Servidores, edificios,
CPD
Software: contiene los activos todos los aplicativos de software: Sistemas Operativos,
aplicaciones...
Informacin: contiene los activos de los repositorios de informacin: Archivos de datos,
repositorio cdigo fuente.
Intangibles: contiene los activos de la reputacin y la imagen de la empresa.
Tecnologa
El sistema de la informacin de EkinderGarden est fsicamente formado por dos CPD. El CPD de
Barcelona y el CPD del proveedor de Hosting.
La situacin actual de los 2 CPD de la infraestructura informtica EkinderGarden, esta implementada
en:
CPD Hosting, compuesto por 3 servidores virtuales.

CPD Barcelona, compuesto por 3 servidores fsicos y 3 virtuales.
CPD Hosting
Los 3 servidores de nuestro Hosting estn situados en el CPD de Nexica, implementados con el sistema
Windows Server 2008 Web Edition y el sistema donde se almacenan los datos de nuestros clientes es
SQL Server 2012. A parte de los 3 servidores virtuales existe una red de copias de seguridad y
13
monitorizacin configurada con Veritas Backup para copias de seguridad y CACTI

monitorizacin de todos los servicios de los servidores.
para la
CPD Barcelona
El CPD de Barcelona dispone de una sala de servidores formado por dos armarios Rack: Un armario para
las comunicaciones externas e internas y otro armario para los servidores. La principal tecnologa de los
servidores es la virtualizacin de mquinas virtuales.
Los servidores trabajan bajo sistema operativo Vmware. Los servidores virtuales que ofrecen los
principales servicios trabajan con sistema Windows Server 2008, por ejemplo, el servidor de ficheros, el
servidor de correo electrnico y los servidores de desarrollos y test de las aplicaciones.
Las comunicaciones de nuestra red estn configuradas mediante VPN IPSEC. Los usuarios con permiso
pueden acceder al sistema mediante VPN cliente. La tecnologa de nuestras redes es CISCO.
6.1.4
La poltica de seguridad implementada en el sistema de seguridad de EkinderGarden es al siguiente:

Aplicamos estndares de seguridad en nuestros procesos de diseo, implantacin, comunicacin y administracin
de soluciones de retribucin flexible basados en la confidencialidad, la disponibilidad y la integridad para
asegurar un tratamiento seguro de los datos. Trabajamos para que nuestros servidores tengan una disponibilidad
mnima del 99%, asegurando que nuestros partners tecnolgicos cumplan nuestros mismos requisitos y
testeando anualmente nuestros planes de continuidad.
La poltica de seguridad es la base del funcionamiento de todo el sistema de seguridad aplicado en la

normativa ISO/IEC 27001, por lo tanto su cumplimiento es fundamental para que toda la gestin de la
seguridad se aplique correctamente.
6.1.5
Gestin del Riesgo
EkinderGarden ha implementado un proceso de gestin de riesgos para identificar sus activos de

informacin y proporcionar servicio al Cliente. La gestin del riesgo es la base de toda la gestin de la
seguridad del sistema de la informacin.
Activos
Los activos de informacin se agrupan en base a las necesidades del negocio. La responsabilidad de un
activo de informacin recae sobre un propietario designado a tal efecto, que ser el responsable de
asegurar que se mantiene la proteccin adecuada sobre el mismo. Asimismo, se ha asignado a cada
activo de informacin un administrador cuya funcin es la de hacer el mantenimiento correspondiente.
Valoracin Activos
Cada activo de informacin se ha valorado en funcin de los trminos de confidencialidad,
disponibilidad e integridad y, por tanto, a cada uno le corresponde un nivel de riesgo que depende de
su impacto en caso de ocurrencia. En base a los criterios antes mencionados, EkinderGarden ha
clasificado los riesgos segn su importancia para la Organizacin.
Integridad
El alto nivel de integridad deber ser seleccionada para los objetos, si la modificacin no autorizada
podra dar lugar a daos para Compensa.
Alto (2)
Normal (1)
Ejemplos de ello son la informacin que se publica en Internet (Informacin pblica), el cdigo fuente o
los registros financieros.
El nivel de integridad Normal deber ser seleccionado para los objetos dnde la modificacin no
autorizada no dara lugar a un dao significativo para Compensa.
Ejemplos de ello son la correspondencia y la informacin publicada en el portal del empleado de
Compensa.
14
Disponibilidad
Alto (3)
Normal (2)
Bajo (1)
Tiempo Recuperacin
El nivel de disponibilidad Alto deber ser seleccionado para los objetos si:
- La falta de disponibilidad de los objetos de ms de 4-24 horas podra dar lugar a
graves consecuencias para Compensa
- La prdida de datos aceptables en el caso de un desastre es menor a 12 horas.
- El requisito de nivel de servicio es alto
El nivel de disponibilidad Normal deber ser seleccionado para los objetos si:
- La falta de disponibilidad de los objetos de ms de 24 a 72 horas conducira a
consecuencias moderadas para Compensa
- La prdida de datos aceptables en el caso de un desastre es menor a 24 horas
- El requisito de nivel de servicio es de tamao medio
El nivel de disponibilidad Bajo deber ser seleccionado para los objetos si:
- Los objetos no estn disponible en ms de 72 horas
- La prdida de datos aceptables en el caso de un desastre es ms de 24 horas
- El requisito de nivel de servicio es baja
> 4 hrs
< 24 hrs
> 24 hrs
< 72 hrs
< 1 semana

Confidencialidad
Confidencial (3)
Uso Interno (2)
Pblico (1)
El nivel de confidencialidad muy alta deber ser seleccionado para los objetos, si el acceso no autorizado o la
revelacin del objeto severamente los daos y perjuicios Compensa llegar a tener repercusiones comerciales
extensa.
Ejemplos de ello son los datos financieros consolidados, la informacin de patentes, informacin personal
altamente sensible.
El nivel de confidencialidad Alto deber ser seleccionada para los objetos, si el acceso no autorizado o la
revelacin del objeto que conlleva un para el negocio de Compensa
Ejemplos de ello son la informacin tcnica relacionada con los productos actuales o futuros o servicios, los
planes de acuerdos, de negocios o de mercado, datos financieros, datos de personal, Ejemplos de ello son la
informacin publicada en la intranet de Compensa, la correspondencia, etc.
El nivel de confidencialidad No sern seleccionados para la informacin y los sistemas de la informacin cuando
hay una decisin tomada por un organismo autorizado de Compensa o funcionario para que la informacin
abierta para cualquier persona fuera de Compensa.
Ejemplos de ello son los comunicados de prensa, informacin sobre los sitios web para el pblico en general
(www.compensach.com), etc.
Ejemplo
El Activo Servidor Datos tiene un valor de confidencialidad de 3, disponibilidad 3 e integridad 3.
Sumando los tres obtenemos un valor en el activo de 9. Este valor ser utilizado para calcular el riesgo
del activo.
Metodologa
La metodologa utilizada para la gestin del riesgo se basa en MAGERIT. La figura6 describe el proceso
de toda la gestin. La gestin del riesgo se divide en dos procesos. Anlisis de Riesgo y Tratamiento del
riesgo
Figura 6 Gestin del Riesgo
15
6.1.6
Anlisis de Riesgo
Para la realizacin del anlisis de riesgo primero, como ya hemos descrito anteriormente, debemos
identificar y valorar los activos. Los activos son los elementos ms importantes dentro el sistema de la
informacin. Los activos se clasifican en infraestructura, software, comunicaciones y personas.
El anlisis de riesgo basado en MAGERIT est formado por los siguientes conceptos:
Probabilidad de Amenaza
La probabilidad de ocurrencia de una amenaza tendr un valor entre 1 y 100. Por ejemplo una amenaza
del 5 quiere indicar que habr una probabilidad de ocurrencia de amenaza del 5%, es decir, una
probabilidad baja de que ocurra dicha amenaza.
Ejemplo de Probabilidad de Amenaza
Para calcular la probabilidad de ocurrencia de una amenaza nos basaremos en la experiencia del pasado
y en cada uno de los controles de seguridad implementados en dicho momento. Por ejemplo si tenemos
el activo Servidor de Datos sin actualizar su sistema y sin antivirus podemos realizar una aproximacin
de clculo de la probabilidad de ocurrencia de la amenaza con el valor 20 en referencia a la amenaza de
software daino. Por lo tanto un 20% de las veces que circule software daino por este servidor, ser
infectado.
Nivel de impacto
El ltimo criterio a ponderar es el impacto que puede provocar que se materialicen una o ms amenazas
del activo.
5
La materializacin de la amenaza podra originar un impacto superior a 200.000
La materializacin de la amenaza podra originar un impacto de entre 100.000 y 200.000
La materializacin de la amenaza podra originar un impacto entre 50.000 y 100.000
La materializacin de la amenaza podra originar un impacto de hasta 50.000
La materializacin de la amenaza podra originar un impacto prcticamente nulo en la organizacin.
Nivel de riesgo
El nivel de riesgo vendr dado por la siguiente frmula para cada activo de:
Probabilidad de amenaza * Nivel de impacto * Valoracin del activo
El valor obtenido es el que permite clasificar los riesgos segn su importancia para la organizacin.
La valoracin del riesgo es la siguiente:
Los riesgos definidos despus del clculo entre la probabilidad de amenaza e impacto son entre 1 y
4500. El valor 4500 identifica el riesgo ms alto y el valor 1 el riesgo ms bajo.
La estructura del registro de riesgos es la siguiente:
Activo: nombre del activo.

Valoracin: valoracin del activo: de 1 a 9.
Amenazas del activo: amenazas que afectan al activo.
Vulnerabilidad: vulnerabilidades del activo.
16
Probabilidad de ocurrencia de Amenaza: valor entre 1 a 100.

Impacto: valor del impacto: de 1 a 5.
Valoracin del Riesgo: de 1 a 9.
Riesgo Actual: valor del riesgo calculado con la formula Probabilidad de amenaza * Nivel
de impacto * Valoracin del activo.
La frecuencia de anlisis del riesgo es la siguiente:
Cada vez que agregamos nuevos activos debemos realizar un anlisis de los posibles riesgos.
Cuatrimestralmente se realizara un anlisis de riesgos completo de todos los activos.
Para la reduccin del riesgo de las vulnerabilidades obtenidas en el Anlisis de Riesgos se ha establecido
un Plan de Tratamiento. El perodo de seguimiento de la vulnerabilidad es desde mensual a anual, en
funcin a la criticidad de la misma.
6.1.7
Tratamiento de Riesgos
El tratamiento de riesgos implicar seleccionar e implantar las medidas tcnicas y organizativas

necesarias para impedir, reducir o controlar los riesgos identificados, de forma que los perjuicios que
puedan causar se eliminen o, si esto no es posible, se reduzcan lo mximo posible.
Las estrategias de tratamiento de los riesgos son las siguientes:
Aceptar el riesgo. Aceptar el riesgo y no implantar controles para su disminucin o eliminacin.

Evitar el riesgo. Eliminar la causa o la consecuencia de dicho riesgo.
Disminuir el riesgo. Limitar el riesgo implementando controles que disminuyan el impacto
Transferir el riesgo.
o Pasar el riesgo a otros, como por ejemplo una aseguradora.
o Transferir el riesgo significa que el tercero realiza las acciones necesarias para
disminuir el riesgo, como por ejemplo:
Evidencia de contrato de mantenimiento de Hosting
Evidencia de SLA
Informes de resoluciones de incidentes de seguridad
Seguimiento de proveedor respecto a la seguridad.
o Se tiene que realizar seguimiento de las acciones del tercero
o Registrar las evidencias en el plan de tratamiento de riesgos
El tratamiento de los niveles de riesgo de EkinderGarden son los siguientes:
De 1 a 249 son considerados niveles de riesgos aceptados automticamente sin

realizar tratamiento.
> 250: se tendr que realizar tratamiento y direccin decide si se aceptan o no.
Finalmente hemos terminado de escribir la situacin actual. Despus de definir el plan de
implementacin de este proyecto realizaremos un Anlisis de Riesgos de los activos nuevos. En el punto
Anlisis de Riesgos se pueden apreciar los detalles.
Posteriormente nos hacemos la siguiente pregunta:
Hacia dnde vamos?
La respuesta ya la descubrimos en la planificacin de este proyecto.
Mejorar la gestin de la seguridad en todo el alcance que compone el sistema de la seguridad de la
informacin de EkinderGarden y darle un valor aadido a la certificacin ISO 27001.
17
Para llegar a nuestra meta primero tenemos que realizar una serie de tareas. En los siguientes puntos
describiremos lo necesario para conseguirlo.
6.2
Plan de Implementacin
En este punto describiremos las funcionalidades de las diferentes implementaciones de los cambios
informticos que se realizaran en este proyecto de la Gestin de la seguridad de la informacin basada
en ISO 27001/IEC.
Nuevos Servicios en el sistema
Se ha presentado a direccin las mejoras tecnolgicas en el sistema de seguridad de la informacin con
el fin de mejorar la seguridad. Los servicios son los siguientes:
6.2.1
Implementacin Canales Comunicacin
La implementacin de los canales de comunicacin tiene como objetivo mejorar la gestin seguridad en
las partes interesadas del sistema de la informacin. Para ms detalles de esta implementacin ir al
punto 4.3 de diseo de canales de comunicacin.
6.2.2
Implementacin de sistema Team Fundation Server
La implementacin del sistema Team Fundation Server tiene como objetivo mejorar la seguridad en el
ciclo de la vida de las aplicaciones desarrolladas en la organizacin. El sistema Team Fundation Server
consiste en implementar un servidor de repositorio del cdigo fuente de las aplicaciones internas que
trabaja la organizacin. El servidor trabaja con acceso web con sistema Windows Server 2008, SQL
Server 2018 e Internet Information Server IIS 7.5 y los clientes trabajan con la herramienta Visual Studio
2012.
Finalmente esta implementacin implica realizar cambios en los controles de seguridad del Anexo 12 y
14 de la normativa ISO 27001.
6.2.3
Implementacin Portal SharePoint
La implementacin del Portal SharePoint tiene como objetivo mejorar la gestin documental de los
procedimientos, controles y registros del sistema de la informacin.
Esta implementacin consiste en construir un servidor Windows Server mediante un Internet
Information Server IIS 7.5 ms SQL Server 2008 y SharePoint Fundation 2010.
Los usuarios podrn acceder a un entorno web y trabajar con la documentacin del sistema de la
informacin con un control de versiones, aprobaciones y auditoria de seguimiento.
La gestin de la documentacin es uno de los requisitos principales en cuanto a la gestin de la
seguridad de la informacin. Por lo tanto esta implementacin implica realizar cambios en los controles
de seguridad de punto 4 y el Anexo 14 de la normativa ISO 27001.
6.2.4
Implementacin Sistema Monitorizacin
La implementacin del sistema de monitorizacin tiene como objetivo detectar los incidentes de
seguridad y prevenir los posibles fallos de los diferentes servicios en el sistema de la informacin.
Tambin podemos realizar la gestin de la seguridad de los incidentes y la gestin de la capacidad de los
activos.
La implementacin del sistema de monitorizacin consiste en construir un servidor Linux Centos 5.5
ms un servidor WEB Apache y finalmente el software de monitorizacin NAGIOS y OPSVIEW
18
Tambin implementaremos el software Veeam One Monitor para la monitorizacin en el sistema

VMWARE.
Para esta implementacin dispondremos de un acceso web podremos controlar los diferentes recursos
de los activos del sistema de la informacin. Dispondremos de alertas que nos informaran del estado del
servidor.
6.2.5
Implementacin Firewall Avanzado
La implementacin de un Firewall Avanzado tiene como objetivo mejorar la proteccin de las amenazas
entre la red externa, internet y la red interna del sistema de la informacin.
Para el cumplimiento de este objetivo se debe instalar un firewall avanzado de la marca SONICWALL.
Este sistema de firewalls lleva las siguientes funciones.
Filtraje de contenido web: filtraje de contenidos web no permitidos dentro el sistema de la

informacin mediante una poltica especfica dentro el firewall.
Anlisis del trafico: con esta funcin el firewall analiza el trfico procedente del exterior e
identifica posibles virus, spyware.
IDS: con esta funcin el firewall realiza la deteccin de intrusos procedentes del exterior, es
decir desde Internet.
Finalmente esta implementacin implica realizar cambios en los controles de seguridad del Anexo 10, 11
y 14 de la normativa ISO 27001.
6.2.6
Implementacin IPS Firewall Hosting
La implementacin del sistema IPS en el Firewall del Hosting tiene como objetivo mejorar la proteccin
de los accesos a los activos ms importantes del sistema de la informacin y prevenir los ataques
externos hacia los servidores del Hosting.
El sistema IPS estar unido al Firewall ASA del Hosting y tendr una serie de polticas de seguridad
contra los ataques externos en todos los niveles de las aplicaciones y amenazas externas, como por
ejemplo prevencin de ataques SQL Injection y de Cross Site Scripting.
Finalmente esta implementacin implica realizar cambios en los controles de seguridad del Anexo 10, 11
y 12 de la normativa ISO 27001.
6.2.7
Implementacin Veeam Backup Replication
La implementacin de la aplicacin Veeam Backup Replication tiene como objetivo mejorar los procesos
de copias de seguridad y en concreto la disponibilidad de los servidores virtuales.
El sistema Veeam Backup Replication 7.0 se construye en el servidor de copias de seguridad y se instala
la aplicacin del fabricante Veeam. Esta solucin implica mejorar las copias de seguridad de los
servidores virtuales y replicar todos los servidores en el servidor de backup mejorando la disponibilidad
de la informacin y reduciendo su riesgo.
6.2.8
Implementacin Cloud Google
La implementacin de Cloud Google Apps tiene como objetivo:

19
Reduccin del riesgo de prdida de negocio, tiempo y dinero por la inestabilidad y fragilidad del
sistema informtico.
Aumentar la disponibilidad de los servicios tecnolgicos. Facilidad de comparticin y acceso a la
informacin
La implementacin de Google Apps es una construccin de un sistema complejo dentro el sistema de la

informacin. La construccin consiste en migrar la informacin actual en el sistema cloud de Google.
Desde el correo corporativo hasta la informacin compartida. Las aplicaciones que utilizaremos son:
Google Mail
Google Docs
Google Calendar
Google Drive
Google Sites
Google Hangouts
Google Vault
La implementacin de Google Apps implica realizar un anlisis en los diferentes procedimientos y

controles de la seguridad del sistema de la informacin.
6.3
Diseo del Alcance
En este punto describiremos el nuevo alcance segn la planificacin de implementacin y los nuevos
activos necesarios para el cumplimiento de los objetivos de este proyecto.
El alcance principal de la certificacin es:
Diseo, implantacin, comunicacin y administracin de polticas y soluciones de retribucin
flexible
Este alcance est diseado en relacin a todos los activos del sistema de la informacin de la
organizacin. De cada implementacin comentada en el plan de implementaciones realizaremos un
diseo de los nuevos activos que posteriormente ser gestionado su valoracin en la gestin de riesgo.
En los siguientes apartados realizaremos un esquema del diseo de las diferentes implementaciones.
6.3.1
Diseo de sistema Team Fundation Server
El diseo de esta implementacin es la siguiente:
Figura 7 Team Fundation Server
20
Para el diseo de la implementacin del servicio Team Fundation Server necesitaremos un servidor Windows Server con la
aplicacin Team Fundation Server y los equipos clientes en Informtica necesitaran la aplicacin Visual Studio 2012 para
conectarse al servidor.
6.3.2
Diseo Portal SharePoint
Figura 8 SharePoint
Para el diseo de la implementacin del portal SharePoint necesitaremos un servidor Windows Server con las aplicaciones
SharePoint Fundation 2010 y SQL Server 2012 y los equipos clientes necesitaran conexin de red local y un navegador web.
6.3.3
Diseo Sistema Monitorizacin
Figura9 Monitorizacin
Para el diseo de la implementacin del sistema de monitorizacin necesitaremos un servidor Linux Server con las aplicaciones
Opsview y Nagios y el equipo cliente se conectara mediante un navegador web. Se monitorizarn todos los servidores del
sistema.
21
6.3.4
Diseo Firewall Avanzado
Figura 10 Firewall Avanzado

Para el diseo de la implementacin del portal Firewall Avanzado necesitaremos un dispositivo firewall con el sistema SonicWalll
implementado en la red local de Barcelona donde se controlaran todos los accesos, tanto internos como internos, de los equipos
clientes.
6.3.5
Diseo IPS Firewall Hosting
Figura 11 IPS ASA

Para el diseo de la implementacin del IPS Firewall ASA necesitaremos un dispositivo firewall con el sistema CISCO implementado
en la red local del Hosting donde se controlaran todos los accesos, tanto internos como internos.
22
6.3.6
Diseo Veeam Backup Replication

Para el diseo de la implementacin del sistema de Backup Veam Backup Replication necesitaremos un Servidor Windows con la
aplicacin Veeam Backup Replication y las aplicaciones agente en cada uno de los servidores de virtualizacin para poder replicar
los diferentes servidores virtuales del sistema. Adicionalmente necesitaremos un dispositivo Nas para almacenar la copia de las
mquinas virtuales.
6.3.7
Diseo Cloud Google Apps
Figura 13 Google Apps

Para el diseo de la implementacin del Cloud de Google Apps necesitaremos contratar el servicio de Google Apps con todos los
requisitos de seguridad analizados e implementar conexiones seguras entre la red local y la nube. Las aplicaciones clientes
necesarias sern instaladas en todos los equipos clientes, principalmente Google Mail y Google Drive
23
6.3.8
Nuevo Esquema Tecnolgico
La implementacin de cambios definidos en el plan de implementacin implica un cambio en el

esquema tecnolgico del sistema de la informacin. El resultado es el siguiente:
Figura 14
Sistema Final
6.4
Diseo de canales de comunicacin
EL diseo de los canales de comunicacin dentro el sistema de la informacin de EkinderGarden

consiste en:
Descripcin de las funcionalidades

Diseo
Conclusiones
6.4.1
Descripcin de las funcionalidades
Las funcionalidades de la implementacin de canales de comunicacin consisten en mejorar la gestin

de la seguridad de la informacin en las partes interesadas. Estas partes son las siguientes
Empleados
Proveedores /Posibles Proveedores
Clientes / Posibles Clientes
Empleados
Los empleados estn dentro del alcance de la seguridad de la informacin. Uno de los requisitos de la
normativa ISO 27001 implica que los usuarios del sistema de la informacin tienen que estar formados
continuamente en seguridad y en el caso de los empleados deben estar concienciados en la seguridad.
La solucin consiste en implementar los siguientes puntos:
Acceso privado al portal del Empleado: acceso seguro mediante protocolo SSL con un usuario y
contrasea segura.
Sitio web Cliente: creacin de sitio web para el acceso de los empleados.
24
Normativa interna: la normativa interna son las obligaciones y normas de seguridad que debe
concienciarse un empleado incluida la poltica de seguridad. Los empleados realizan la
aceptacin de la normativa electrnicamente.
Documento de seguridad: documento de normas de seguridad y requisitos legales que todos
los empleados deben conocer.
Documentos en polticas secundarias: documentacin de polticas de seguridad implicadas a la
seguridad del sistema. Continuamente se estn documentando nuevas polticas y controles de
seguridad debido a los cambios que se van produciendo, como por ejemplo las mejoras que
implementaremos.
Indicadores de Seguridad: seguimiento de los valores de los indicadores de seguridad de la
informacin. Los empleados estarn actualizados con el seguimiento de la seguridad en el
sistema.
El diseo del repositorio consiste en crear una web dentro el portal del empleado con todas las partes y
documentos comentados anteriormente.
Proveedores / posibles proveedores
La Descripcin de esta funcionalidad para a los proveedores de EkinderGarden consiste en la creacin
de un sitio web personalizado para la gestin de la seguridad de la informacin. En dicha web tendrn
que realizar una auditora de Seguridad. El objetivo principal para esta gestin consiste en mantener el
sistema seguro de las amenazas y vulnerabilidades y ofrecer a los clientes una seguridad ptima en el
tratamiento y servicio que ofrece EkinderGarden, para ello tambin es importante que nuestros
proveedores o posibles proveedores formen parte de este proceso.
El resultado de esta solucin consiste en implementar los siguientes puntos:
Acceso privado a la web Corporativa: acceso seguro mediante protocolo SSL con un usuario y
contrasea segura.
Sitio web Cliente: creacin de sitio web para el acceso de los proveedores.
Cuestionario auditoria seguridad: consiste en cumplimentar una serie de preguntas de
cumplimento de la ISO 27001. Todos los proveedores deben realizar esta auditora para ser
aprobados en el sistema de la informacin. Las preguntas sern desde seguridad fsica, lgica
hasta la poltica de vulnerabilidades de su sistema.
Contrato de confidencialidad de la informacin: contrato de confidencialidad que debe firmar
cada proveedor con acceso a la informacin.
De esta forma nuestros proveedores y posibles proveedores estarn compartiendo la filosofa de
seguridad en el sistema de la informacin y cumplirn estrictamente los requisitos de seguridad.
Clientes / posibles Clientes
Cada vez ms nuestros clientes y posibles nos exigen el cumplimiento de requisitos de seguridad en
relacin a la normativa ISO 27001. Para solventar esta necesidad debemos implementar una solucin
adecuada con la finalidad de superar sus auditoras de seguridad y ofrecer ms confianza en el servicio
que ofrece EkinderGarden a sus clientes.
La solucin consiste en implementar los siguientes puntos:
Acceso privado a la web Corporativa: acceso seguro mediante protocolo SSL con un usuario y
contrasea segura.
Sitio web Cliente: creacin de sitio web para el acceso de los clientes.
Certificados: documentacin de las certificaciones de seguridad que EkinderGarden.
Documentos Seguridad: relacin de documentos de seguridad en relacin a la norma ISO
27001 del sistema de gestin de la seguridad de EkinderGarden.
25
El resultado de este punto consiste en formalizar un acceso a la web corporativa para los clientes
posibles clientes para que accedan a la informacin de los requisitos de seguridad que nos exigen
cuando evalan la posibilidad de ofrecer nuestros servicios.
6.4.2
Diseo
El siguiente grfico muestra el diseo de los canales de comunicacin para brindar la solucin esperada
Figura 15 Canales Comunicacin
6.4.3
Conclusiones
Las conclusiones de la implementacin de los canales de comunicacin son las siguientes:
6.5
Esta implementacin implica realizar un anlisis en los diferentes procedimientos y controles

de la seguridad del sistema de la informacin.
No se agregar ningn activo nuevo en el sistema. Los activos afectados por este cambio son:
o www.micompensacion.com: web de portal de empleado y clientes
o www.compensach.com: web corporativa
Concienciar y formar a los empleados dentro el sistema de la seguridad de la informacin.
Mejorar la seleccin de proveedores que cumplan con los requisitos de seguridad de la
informacin.
Mejorar la efectividad y agilidad de las auditoras con clientes en base a la seguridad de la
informacin.
Anlisis de Riesgo
Como ya describimos en la situacin actual la metodologa que se utiliza para el anlisis de riesgo se
basa en la metodologa Magerit. En los siguientes puntos realizaremos el anlisis de riesgo del primer
cuatrimestre de este ao 2014, siguiendo la estructura de la valoracin:
1.
2.
3.
4.
Identificar los nuevos activos de las nuevas implementaciones

Valorar el activo en confidencialidad, disponibilidad e integridad
Identificamos las posibles amenazas y vulnerabilidades
Valorar la probabilidad de ocurrencia
26
5.
6.
7.
Valorar el impacto en el negocio

Obtener el valor del Riesgo de los tres valores anteriores: Probabilidad amenaza*nivel
impacto*valor del activo
Realizamos el tratamiento de Riesgo
6.5.1
Inventariado Activos
Este apartado corresponde a las acciones de los puntos 1 y 2. Identificacin y valoracin de activos en
funcin de la confidencialidad, integridad y disponibilidad.
Despus de definir las acciones del anlisis del riesgo tendremos que inventariar y valorar los nuevos
activos ya que su valor ser imprescindible y necesario para obtener el valor del riesgo final. Los nuevos
activos del sistema de la informacin obtenidos en base a las implementaciones nuevas son los
siguientes:
Compensa14: activo del servidor de gestin de documentacin.

Compensa15: activo del servidor de Team Fundation Server.
Team Fundation Server 2012: activo de software de Team Fundation Server.
Opsview y Veeam Monitor: activos del servidor de monitorizacin de los servicios y
gestin de la capacidad del sistema.
Firewall SonicWall: activo del firewall avanzado para la proteccin de la red de
Barcelona.
Veeam Backup Replicacion 7: activo de software para la replicacin de mquinas
virtuales.
IPS Hosting: activo del sistema de prevencin de intrusos implementado en el firewall
del hosting.
GoogleApps: activo para la gestin de las aplicaciones de Google y el almacenaje de la
informacin en el Cloud de Google.
num
ACTIVO
200
212
Comunicaciones
IPS Hosting
207
Firewall SonicWall
300
335
Conf.
Disp.
Int.
Valoracin
Hosting
Sistemas
Sistema de deteccin intrusos
Barcelona
Sistemas
Firewall Personalizado para Barcelona con

sistema prevencin intrusos
Infraestructura
Compensa14
Barcelona
Sistemas
Servidor SharePoint, FTP
339
Compensa15
Barcelona
Sistemas
Servidor de Team Fundation Server
400
416
Software
Google Apps
Google
Sistemas
418
Barcelona
Sistemas
Barcelona
Sistemas
Aplicacin de Backup de mquinas virtuales
427
Team Fundation Server

2012
Veeam Backup
Replication 7
OpsView Core
Gestin de la informacin en entorno de

Cloud de Google
Aplicacin Server de desarrollo Software
Barcelona
Sistemas
Aplicacin de Monitorizacin sistema
428
Veeam Monitor
Barcelona
Sistemas
Aplicacin de Monitorizacin Servidores

Virtuales
424
Sede
Persona Responsable
Descripcin
Tabla 2 Inventariado Activos
En total 9 activos ms en el sistema de la informacin. Por ejemplo el activo IPS Hosting ubicado en la
sede Hosting tiene un valor 3 de Confidencialidad, valor 3 de Disponibilidad y 3 Integridad, en total un
valor de 8 en el activo. Ver Criterios de Valoracin activos. Este valor ser utilizado en la valoracin el
riesgo.
En el siguiente punto tendremos que realizar el anlisis de riesgo de los nuevos activos y de los activos
que forman parte del sistema de la informacin.
27
6.5.2
Informe Anlisis Riesgo
Para el resultado del informe de Anlisis de riesgo realizaremos las acciones de los puntos 3 al 6.
Finalmente despus de realizar el anlisis de riesgo describiremos el informe del resultado.
Ejemplo de cmo calcular un riesgo de un activo.
6.6
Activo compensa14:
o Probabilidad de ocurrencia: Valor de probabilidad de ocurrencia de vulnerabilidades
de software, teniendo un sistema actualizado y con antivirus la probabilidad de
ocurrencia es de un 4 %.
o Impacto del activo: La materializacin de la amenaza podra originar un impacto de
hasta 50.000 en el servidor de gestin documental, por lo tanto un valor 2 de
impacto.
o Valor del activo: el resultado de valoracin de la confidencialidad, disponibilidad e
integridad es de 7.
o Valoracin final: probabilidad de ocurrencia * impacto * valor del activo = 4*2*7=56.
Hemos analizado los riesgos de los nuevos 9 activos. No existe ningn riesgo de estos activos con un
valor ms alto de 250, por lo tanto se acepta automticamente su riesgo y no se realizara ningn
tratamiento.
El total de activos restante es 93 y el valor del riesgo obtenido un supera el valor 250 por lo tanto
Todos los riesgos obtenidos se aceptan automticamente sin realizar ningn tratamiento.
El nivel de riesgos de los activos del sistema est por debajo del riesgo no aceptable por lo tanto el
sistema de seguridad de EkinderGarden est protegido de las amenazas o vulnerabilidades en este
instante.
Posteriormente se tendrn que realizar nuevos anlisis de riesgos, en concreto cuando se
introduzcan nuevos activos y cuatrimestralmente, con el objetivo de mantener y conservar un nivel
de riesgo que no exponga a la seguridad del sistema de la informacin.
Tratamiento de Riesgo
En este punto no tendremos que realizar ninguna accin ya que el resultado del anlisis de riesgo
obtenido nos indica que el nivel de riesgo est por debajo de la actuacin del tratamiento de los activos.
6.7
Requisitos
Antes de iniciar la parte de implementacin de este proyecto debemos realizar el estudio de requisitos
de todas las nuevas implementaciones. Los requisitos estn descritos en el Anexo 1.
6.8
Revisin Puntos Control SOA
Finalmente en relacin al diseo del plan de implementacin realizaremos una revisin de las polticas
de seguridad que debemos modificar siguiente la normativa ISO 27001. La revisin esta descrita en el
Anexo 2.
7 Implementacin
Despus de realizar el diseo y requisitos del proyecto de Gestin de la Seguridad en EkinderGarden nos
centraremos en la parte de implementacin.
28
Para la realizacin de la parte de implementacin debemos aplicar la metodologa PDCA de la norma ISO
27001, concretamente la parte de DO. Dicha parte fue descrita en la fase de planificacin y est
formada por una serie de tareas que complementan la resolucin de esta parte. Las Tareas a
implementar son las siguientes:
7.1
Implementacin Mejoras
Documentacin de las polticas de Seguridad
Revisin Indicadores de Seguridad
Implementacin de Mejoras
Las implementaciones de mejoras descritas en el documento anterior sern descritas en este punto.
7.1.1
Implementacin Canales de Comunicacin
Las implementaciones en los canales de comunicacin son las siguientes:

Empleados
El resultado de la implementacin es la siguiente:
Portal del Empleado con acceso para los empleados
Desarrollo final en el portal del empleado del acceso para empleados. El usuario tendr un acceso a la
web mediante protocolo SSL y podr consultar la documentacin necesaria para la concienciacin de la
seguridad en el sistema.
La documentacin est definida en normativa interna, polticas de seguridad, manual de seguridad e
indicadores de seguridad. El resultado es el siguiente:
Figura 16 Empleados
Conclusiones Finales
Las conclusiones finales sobre esta implementacin son:
Este acceso est en produccin.

29
Con esta implementacin los empleados de Compensa tendrn mayor concienciacin y

formacin y noticias en relacin a la seguridad de la informacin. Todos los empleados de
EkinderGarden debern cumplir con estos requisitos.
Proveedores
Web Corporativa con acceso para proveedores
Desarrollo final en la web corporativa del acceso para proveedores. El usuario tendr un acceso a la web
mediante protocolo SSL y podr consultar la documentacin necesaria para realizar la auditoria.
La documentacin inicial definida en este proyecto es el contrato de confidencialidad y la plantilla de

auditoria de seguridad.
Plantilla Auditoria
Este es una parte del documento de la auditoria de seguridad que debe realizar.
30
Este acceso es un prototipo del resultado final.

Con esta implementacin la gestin y eleccin de proveedores para Compensa ser ms
eficiente. Todos los proveedores con acceso a la informacin del sistema de EkinderGarden
debern cumplir con estos requisitos.
Clientes
Web Corporativa con acceso para Clientes

Desarrollo final en la web corporativa del acceso para Clientes. El usuario tendr un acceso a la web
mediante protocolo SSL y podr consultar la documentacin necesaria en relacin a la seguridad en
EkinderGarden.
La documentacin est formada en base a todos los puntos de control de la norma ISO 27001, desde
seguridad fsica, gestin de terceros, hasta el plan de continuidad. En el siguiente grfico muestra un
ejemplo de la documentacin que podr acceder un cliente o posible cliente.
31
Figura 19 Clientes
7.2
Este desarrollo es un prototipo del resultado final.

Todos los clientes o posibles clientes con acceso a la informacin del sistema de EkinderGarden
podrn revisar el cumplimiento de los requisitos de seguridad. Mejorar la contratacin de los
diferentes servicios que ofrece EkinderGarden.
Revisin de las polticas de Seguridad
Todas las implementaciones descritas en el apartado de implementacin de mejoras conllevaran una

revisin de las polticas de seguridad. Ver Anexo 2. Deberemos describir todos los cambios realizados en
todos los puntos de control, segn la norma ISO 27001.
Los controles de seguridad de la normativa ISO 27001 son los siguientes:
A.5 Poltica de Seguridad

A.6 Organizacin de la Seguridad
A.7 Gestin de Activos
A.8 Seguridad en Recursos Humanos
A. 9 Seguridad Fsica y Ambiental
A.10 Gestin de las comunicaciones y operaciones
A.11 Control de accesos
A.12 Adquisicin , desarrollo y mantenimiento de SI
A.13 Gestin de incidentes de seguridad
A.14 Gestin de la continuidad del negocio
A.15 Cumplimiento Legal
Procedimiento del flujo de trabajo para la revisin de las polticas de seguridad.
32
El funcionamiento de la revisin de la documentacin consiste en realizar las siguientes acciones:
Figura 20 Ciclo Trabajo Implementacin

Figura
7.2.1
A.5 Poltica de Seguridad
Las implementaciones realizadas en el sistema de la gestin de la seguridad no implican ningn cambio

en la poltica de seguridad general. Los cambios sern aplicados a las polticas de seguridad secundarias.
7.2.2
A6. Organizacin de la Seguridad
Los cambios aplicados a este punto de control son los siguientes:

A.6.1.7 Contacto de grupo de Inters
Descripcin
Las implementaciones relacionadas con este punto de control son: implementacin Team Fundation
Server, implementacin SharePoint, implementacin Firewall Avanzado, implementacin Veeam
Backup, Implementacin Cloud Google.
En este punto debemos mantener los contactos apropiados con grupos de inters especial, u otros
foros, y asociaciones profesionales especializadas en seguridad.
Procedimientos y Registros
La revisin de este punto implica modificar la poltica de gestin de vulnerabilidades del documento
PSEG03-Gestion de Vulnerabilidades. El documento est formado por:
Indicadores:
o Revisin de vulnerabilidades
o % Vulnerabilidades resueltas
Deteccin de Tecnologas utilizadas: lista de tecnologas que utilizamos en el sistema.
Captura de Vulnerabilidades:
o Google Alert: captura de nuevas vulnerabilidades de cada tecnologa.
o Pginas Web de vulnerabilidades: inscripciones de los foros de cada tecnologa.
Registros y control de Vulnerabilidades: R-PSEG03-Vulnerabilidades tcnicas.
33
Acciones a realizar
Las acciones a desarrollar para el cumplimiento de este punto de control consisten:
Obtener la lista de nuevas tecnologas en el sistema de la informacin.
Agregar la alerta en Google Alerts.
Inscribirse en el foro de seguridad de cada nueva tecnologa.
Registrar vulnerabilidades en el caso de recibir alertas.
Documentacin
El en documento del sistema de gestin de la seguridad PSEG03-Gestion de Vulnerabilidades se ha
incluido los siguientes puntos:
Lista de las nuevas tecnologas: incorporacin de las nuevas tecnologas en base a las nuevas
implementaciones. Las nuevas tecnologas son:
o SharePoint Fundation: aplicacin de gestin documental.
o SonicWall: firewall implementado en el sistema.
o Nagios: monitorizacin de la red y servidores.
o Opsview: monitorizacin de la red y servidores.
o Veeam Backup: Software de replicacin y backup de servidores virtuales.
o Google Apps: aplicaciones en el Cloud de Google Apps.
o Cisco: sistema operativo del Firewall del Hosting.
Google Alerts: actualizacin de las alertas de Google Alerts.
Figura 22 vulnerabilidades
Inscripcin a los foros de seguridad de la nueva tecnologa. El resultad es el siguiente:
34
Nagios
Figura 23 Nagios
OpsView
Figura 24 Opsview
SonicWall
Figura 25 SonicWall
SharePoint desde Windows

35
Figura 26 SharePoint
Veeam Backup
Figura 27
Veeam Bakup
Conclusiones
Las conclusiones para la implementacin de los nuevos controles en relacin a este punto de control de
la Norma ISO 27001 son las siguientes:
Control de las vulnerabilidades y novedades de las nuevas tecnologas.
La inscripcin a los nuevos foros de las tecnologas, en relacin a la seguridad, prevendr las
posibles amenazas en el sistema.
Finalmente indicar que este punto de control tambin es aplicable para el punto A.12.6 Gestin de las
vulnerabilidades tcnicas
A.6.2.2 Tratamiento de seguridad en relacin Clientes
Descripcin
Las implementaciones relacionadas con este punto de control son: implementacin Canales
Comunicacin.
En este punto debemos identificar todos los requisitos de seguridad antes de dar acceso a los activos o a
la informacin en relacin a los clientes.
36
La revisin de este punto implica revisar y modificar la plantilla de contrato para un cliente. Los puntos
que debemos modificar es la parte de requisitos de seguridad de los diferentes servicios que ofrece
EkinderGarden.
Acciones a realizar.
Poltica de contrasea en el acceso a la web corporativa

Auditorias de seguridad de la informacin en relacin al acceso a la documentacin de la
web corporativa.
Documentacin
La documentacin agregada en la plantilla del contrato para un cliente es la siguiente:
La poltica de contrasea descrita en el contrato de clientes
o
o
o
o
o
o
o
o
Longitud mnima de ocho caracteres alfanumricos.

Vigencia mxima de 90 das.
Bloqueo de contrasea a los 4 intentos.
La contrasea no puede contener ni el nombre, ni los apellidos ni el DNI del usuario.
El histrico de contraseas es ilimitado.
Autoservicio de reinicio contrasea.
No se puede cambiar contrasea hasta pasadas 24 horas.
Desconexin automtica de la sesin pasados 30 min.
En relacin a la auditora de seguridad:

Los clientes pueden acceder a una serie de documentacin con los requisitos de seguridad de la norma
ISO 27001 de los servicios que ofrece EkinderGarden.
Conclusiones
Control de los requisitos de seguridad de la informacin personal y confidencia de los clientes.
Auto-Auditora de seguridad del cumplimiento de los requisitos de seguridad.
A.6.2.3 Tratamiento de seguridad en relacin Proveedores
Descripcin
Comunicacin.
En este punto debemos identificar todos los requisitos de seguridad antes de dar acceso a los activos o a
la informacin en relacin a los proveedores.
La revisin de este punto implica revisar y modificar la plantilla de contrato para un proveedor. Los
puntos que debemos modificar es la parte de requisitos de seguridad en relacin a la confidencialidad
de la informacin entre el proveedor y EkinderGarden.
Acciones a realizar.
Poltica de contrasea en el acceso a la web corporativa.

37
Auditoras de seguridad de la informacin en relacin al acceso a la documentacin de la

web corporativa.
Documentacin
La documentacin agregada en la plantilla del contrato de confidencialidad para un proveedor es la
siguiente:
La poltica de contrasea descrita en el contrato de clientes
Longitud mnima de ocho caracteres alfanumricos.

Vigencia mxima de 90 das.
Bloqueo de contrasea a los 4 intentos.
La contrasea no puede contener ni el nombre, ni los apellidos ni el DNI del usuario.
El histrico de contraseas es ilimitado.
Autoservicio de reinicio contrasea.
No se puede cambiar contrasea hasta pasadas 24 horas.
Desconexin automtica de la sesin pasados 30 min.
En relacin a la auditoria de seguridad:

La empresa tiene el derecho de auditar anualmente los acuerdos y responsabilidades de seguridad
definidos en el contrato cuando un proveedor tiene acceso a informacin personal y confidencial.
Conclusiones
Control de los requisitos de seguridad de proveedor con acceso a informacin personal y
confidencial
Previsin de fugas de informacin en la relacin de proveedores con acceso informacin
personal y confidencial
7.2.3
A7. Gestin de Activos

A.7.1.1 Inventario de Activos
Descripcin
Las implementaciones relacionadas con este punto de control son todas las implementaciones que
implican un nuevo activo en el sistema.
En este punto debemos identificar, elaborar y mantenerse un inventario de todos los activos
importantes.
La revisin de este punto implica modificar los registros del documento R-PSEG04-Gestion
ActivosRiesgos. El documento est formado por:
Nombre de Activo
Sede
Persona Responsable
Descripcin
38
Acciones a realizar
Las acciones a desarrollar para el cumplimiento de este punto de control consisten en registrar los
nuevos activos en el sistema con los campos definidos anteriormente.
Documentacin
Para ver el registro de los nuevos activos ver Anexo 3
Conclusiones
Con la identificacin de los activos tenemos un control de todos los activos que contienen informacin
en el sistema de la gestin de la seguridad de EkinderGarden.
7.2.4
A8. Seguridad en Recursos Humanos

A8.2.2 Concienciacin, formacin y entrenamiento de la seguridad de la informacin
Descripcin
Comunicacin.
En este punto todos los empleados de la organizacin, contratistas y terceros, deben recibir una
adecuada concienciacin y capacitacin con actualizaciones peridicas sobre las polticas y
procedimientos de la organizacin, segn corresponda a su puesto de trabajo.
La revisin de este punto implica modificar la normativa interna. El documento est formado por:
Recursos IT
Acciones a Desarrollar
Las acciones a realizar para el cumplimiento de este punto consisten en documentar los cambios en la
normativa interna en relacin a la implementacin de los canales de comunicacin en la parte de los
empleados.
Documentacin
La documentacin agregada a la normativa interna informa de la disponibilidad de la documentacin en
la parte de Recursos IT de la seguridad que afecta al empleado para su autoformacin, concienciacin
dentro el sistema de seguridad de la informacin. El empleado tiene disponible en su portal la siguiente
documentacin:
Normativa Interna: debe leer y aceptar la poltica de seguridad.

Documento de seguridad: documento de normas de seguridad y requisitos legales que
todos los empleados deben conocer.
Documentos en polticas secundarias: documentacin de polticas de seguridad implicados
a la seguridad del sistema. Continuamente se estn documentando nuevas polticas y
controles de seguridad debido a los cambios que se van produciendo, como por ejemplo
las mejoras que implementaremos.
Indicadores de Seguridad: debe estar informado de los cambios de los indicadores
principales.
39
Conclusiones
Con el portal del empelado y los recursos en relacin a seguridad de la informacin los empleados e
implicados en la seguridad tienen la informacin y canal necesario para la concienciacin y formacin en
la seguridad de la informacin.
7.2.5
A.9 Seguridad Fsica y Ambiental
Las implementaciones realizadas en el sistema de la gestin de la seguridad no implican ningn cambio

en el punto de control de seguridad fsica y ambiental.
7.2.6
A.10 Gestin de las comunicaciones y operaciones
A10.1.1 Documentacin de los procedimientos de operacin

Descripcin
Las implementaciones relacionadas con este punto de control son todas las nuevas implementaciones.
En este punto debemos documentar y mantener los procedimientos de operacin y ponerse a
disposicin de todos los usuarios que los necesiten.
La revisin de este punto implica modificar el PSEG07-ProcedimientosOperaciones.
Acciones a Desarrollar
Las acciones a realizar para el cumplimiento de este punto consisten documentar procedimientos de
administracin, implementacin y manual del usuario para los diferentes perfiles de usuarios en el
sistema.
Documentacin
La documentacin de este punto de control es la creacin de diferentes documentos en los diferentes
perfiles. No se describirn cuales son pero se comentara que todos los proyectos dentro un sistema de
gestin se deben documentar para un resultado coherente.
A10.3.1 Gestin de Capacidades
Descripcin
Server, implementacin SharePoint, implementacin Firewall Avanzado e implementacin Veeam
Backup.
En este punto debemos supervisar, ajustar y realizar proyecciones de los requisitos futuros de capacidad, para garantizar el comportamiento requerido del sistema.
La revisin de este punto implica modificar el registro Gestin Capacidad Infraestructura. El documento
est formado por:
Infraestructura: descripcin de infraestructura
Gestin Servidores: gestin capacidad Servidores
Acciones a Realizar
Las acciones a realizar para el cumplimiento de este punto consisten en analizar la capacidad del
sistema una vez se hayan realizado las diferentes implementaciones para garantizar que el sistema tiene
los recursos suficientes para realizar sus funciones y garantizar su correcto comportamiento.
40
Documentacin
La documentacin agregada al registro de Gestin de Capacidad de la Infraestructura es el siguiente;
Infraestructura: descripcin de la nueva infraestructuras implementadas en el sistema. Las
nuevas infraestructuras
o Servidor SharePoint: servidor de gestin de la documentacin del SGI
o Servidor Team Fundation: servidor de repositorio de cdigo fuente de las aplicaciones.
o Sistema de Backups: Almacena las copias de seguridad de los datos de los servidores,
las copias se hacen diariamente.
o Sistema Monitorizacin: Monitorizamos los servicios de cada servidor mediante la
herramienta OpsView.
o Comunicaciones: Firewall SonicWall: filtraje web y control de acceso al exterior.
Gestin Servidores: descripcin de la capacidad actual de los servidores. Ver Anexo 4.
Conclusiones
El objetivo principal de este documento es decidir si es necesario o no ampliar alguno de los recursos del
servidor principal y controlar los cambios de los recursos. El umbral para la ampliacin de alguno de los
recursos es de 75 %.
Despus de analizar el consumo de los recursos del servidor principal podemos afirmar lo siguiente:
El consumo del servidor principal no llega al umbral definido.

El consumo ms elevado es la memoria RAM 73 %.
Finamente despus de gestionar los recursos del servidor principal podemos afirmar que no es
necesario realizar ninguna ampliacin.
A10.4.1 Controles contra cdigo malicioso
Descripcin
Server, implementacin SharePoint, implementacin Firewall Avanzado, implementacin Veeam Backup
e implementacin del IPS en el Firewall del Hosting.
En este punto debemos deben implementar los controles de deteccin, prevencin y recuperacin que
sirvan como proteccin contra cdigo malicioso.
La revisin de este punto implica modificar el procedimiento PSEG10-ProteccionCodigoMalicioso.El
documento est formado por las diferentes protecciones de cdigo malicioso de las diferentes
tecnologas que forma el sistema.
Acciones a Realizar
Las acciones a realizar para el cumplimiento de este punto consisten en la incorporacin de los controles
de cdigo malicioso en relacin a la implementacin del Firewall Avanzado. Describir todas las
caractersticas que ofrece. Finalmente incorporar proteccin de cdigo malicioso en los nuevos servicios
implementados.
41
Documentacin
El resultado de la documentacin de este punto de control se ha clasificado en tres reas de proteccin:
Proteccin servidores
Proteccin Red interna
Proteccin Red Externa
1. Proteccin Servidores
Para los nuevos servidores con los servicios, Team Fundation Server, Veeam Bakup Replication y
SharePoint se ha instalado un antivirus cliente llamado End Point Protecction con el fin de proteger de
las amenazas del cdigo malicioso. Las protecciones de este producto son:
Proteccin en tiempo real del sistema de ficheros
Proteccin proactiva del trfico de red y las amenazas
Figura 28 Antivirus
2. Proteccin Red Interna

La proteccin interna sobre el Firewall Avanzado est estructurada en diferentes funciones para brindar
la mxima proteccin contra cdigo malicioso.
Aplicaciones Peer to Peer
Para proteger que los usuarios descarguen software no deseado, msica etc.
Bloqueo contenido Web
Existe una poltica de bloqueo de contenido web en el firewall de Barcelona y redes sociales excepto
LinkEdin, Twitter y Facebook.
Sistema IPS
Servicio de deteccin de intrusos para prevenir cualquier cdigo malicioso, ataque externo y cualquier
indicio que pudiera provocar un error de seguridad en el sistema de la informacin.
Gateway Antivirus
Existe el servicio de Gateway Antivirus que consiste en un anlisis del trfico entrante que controla el
Firewall y detecta a nivel de tramas si existe cdigo malicioso.
42
Figura 29 Proteccin Firewall
3. Proteccin Red Externa

La proteccin externa sobre el IPS del Hosting est estructurada en diferentes funciones para brindar la
mxima proteccin contra cdigo malicioso.
La proteccin externa de cdigo malicioso sobre el IPS del Hosting tiene las siguientes caractersticas:
Configurado de forma automtica para la deteccin y bloqueo de intrusos.

Actualizacin diaria de la base de datos de CISCO de los nuevos virus y software
malicioso.
El sistema realiza funcin de prevencin y bloqueo en:
o Virus
o Spyware
o File blocking
Conclusin
La implementacin del Firewall Avanzado y el IPS en el Firewall del Hosting mejorar y aseguran la
proteccin de cdigo malicioso en las nuevas tecnolgicas implementadas y en todo el alance del
sistema.
A10.5 Copias de Seguridad

Descripcin
Las implementaciones relacionadas con este punto de control son todas las implementaciones. La
implementacin ms importante en este punto es la configuracin del nuevo activo de software de
copias de seguridad Veeam Backup Replication.
Las copias de seguridad son uno de los procedimientos que EkinderGarden realiza para permitir que los
datos puedan ser recuperados con el mnimo de prdidas en caso de desastre o corrupcin informtica.
La revisin de este punto implica modificar el procedimiento PSEG05-Copias de Seguridad. El
documento est formado por la poltica de copias de seguridad. Dicha poltica contiene la programacin
de las copias de seguridad y la poltica de restauraciones.
Acciones a Realizar
43
Las acciones a realizar para el cumplimiento de este punto consisten en configurar el nuevo software de
copias de seguridad (Veeam Backup Replication) y agregar las programaciones de copias de seguridad y
restauraciones en los nuevos y existentes activos.
Documentacin
El resultado de la documentacin de este punto de control est definido por la modificacin de la
poltica de copias de seguridad. El resultado es el siguiente:
Configuracin del software Veeam Backup Replication en la poltica de copias de seguridad.
Configuracin de todas las mquinas virtuales del sistema en la programacin de copias.
Configuracin del servicio copias de seguridad de Google Apps para la copia de seguridad de
todos los datos del Cloud en Google Apps.
Agregacin de dos mquinas virtuales, servidor de Team Fundation Server y Servidor de
SharePoint, en la programacin de copias de seguridad.
Modificacin de la poltica de restauracin y pruebas de recuperacin de las copias de
seguridad para comprobar la integridad de las copias de seguridad.
Conclusin
Las implementaciones realizadas en este punto de control mejoran la disponibilidad e integridad de la
informacin del sistema. Con un sistema ms avanzado y seguro de copias de seguridad con el software
Veeam Backup Replication tambin se mejora la contingencia y continuidad en todo el sistema.
A10.6.1 Controles de Red
Descripcin
La implementacin relacionada con este punto de control es el Firewall Avanzado Sonic Wall.
En este punto debemos controlar y gestionar las redes para mantenerlas protegidas frente a posibles
amenazas y mantener la seguridad en los sistemas y aplicaciones.
La revisin de este punto implica modificar el procedimiento PSEG11-Seguridad Lgica. Este documento
contiene una serie de polticas de seguridad. La poltica relacionada con los controles de seguridad
describe las protecciones de todas redes del sistema.
Acciones a realizar
Las acciones a realizar para el cumplimiento de este punto consisten en implementar los controles de
red nuevas despus de configurar el nuevo Firewall Avanzado en el sistema.
Actualizar diagrama del sistema.
Documentar configuracin de Firewall Avanzado.
Documentacin
El resultado de la documentacin de este punto de control consiste en documentar las nuevas redes y
actualizar los cambios en el diagrama del alcance del sistema.
La documentacin de la configuracin del Firewall no se mostrar en este documento.
Conclusin
La implementacin del Firewall Avanzado SonicWall mejora el control de seguridad en la red
controlando el trfico de informacin y protegiendo las amenazas de la red externa a la red interna.
44
Finalmente indicar que este punto de control tambin es aplicable para el punto A.11.4 Control de
conexin a la red.
10.10.1 Registro de Auditorias
Las implementaciones relacionadas con este punto de control son todas las implementaciones.
En este punto debemos realizar registros de auditora en las actividades de los usuarios, eventos de
seguridad y mantenerlos en un periodo acordado para servir a investigaciones futuras y a la supervisin
de los controles de acceso.
contiene una serie de polticas de seguridad. La poltica relacionada con el registro de auditoras
describe los diferentes entornos y tecnologas que deben registrarse.
Acciones a Realizar
Las acciones a realizar para el cumplimiento de este punto consisten en agregar las nuevas tecnologas a
auditar en el sistema.
Documentacin
Las nuevas tecnologas a auditar son:
Auditora Team Fundation Server: registros en el acceso al servidor.
Auditora de Portal SharePoint: registros en el acceso al servidor y cambios en la
documentacin.
Auditora canales de comunicacin: registro de acceso a las diferentes webs y control de
descargas de documentacin y aceptacin de polticas de seguridad.
Auditora Firewall Avanzado: registro de las reglas de seguridad implementadas en el firewall.
Auditora de Cloud Google Apps: registro de las acciones en las diferentes aplicaciones y
servicios que ofrece este servicio.
Conclusin
El registro de auditoria en el sistema de gestin de la seguridad es un punto de control importante para
la resolucin de problemas de seguridad. Con estas nuevas auditoras se controla el acceso y registro en
todas las nuevas aplicaciones y tecnologas de forma eficiente y centralizada.
7.2.7
A.11 Control de Accesos
A11.1.1 Poltica de control de Accesos

Descripcin
En este punto debemos documentar y revisar una poltica de control de acceso basada en los requisitos
del negocio y de seguridad para el acceso el acceso.
contiene una serie de polticas de seguridad. La poltica de este punto de control es la poltica de control
de acceso.
45
Acciones a Realizar
Las acciones a realizar para el cumplimiento de este punto consisten en modificar de la poltica de
control de acceso en relacin a las nuevas implementaciones.
Documentacin
La modificacin de la poltica de control de acceso consiste en:
Revisar la poltica de contraseas de los nuevos accesos: definicin de la poltica de contraseas
en:
o Canales de comunicacin: ver apartado A.6.2.2 Tratamiento de seguridad en relacin
Clientes y A.6.2.2 Tratamiento de seguridad en relacin Proveedores.
o Portal SharePoint, Cloud Google Apps y Team Fundation utilizan la misma poltica que
el servidor de dominio.
o Los dems accesos son exclusivos para el administrador del sistema.
Revisar los permisos de accesos y privilegios. Definicin de privilegios en las diferentes
implementaciones restringiendo los accesos y permitiendo el acceso a los servicios permitidos
segn el privilegio de cada uno de los usuarios del sistema.
Revisin de las polticas de vulnerabilidades y controles de red en relacin a los apartados
A.6.1.7 Contacto de grupo de Inters y A10.6.1 Controles de Red.
Revisin del contrato de confidencialidad entre proveedores: se aplica condiciones definidas en
el apartado A.6.2.2 Tratamiento de seguridad en relacin Proveedores
Conclusin
La revisin de la poltica de control de acceso en relacin a las nuevas implementaciones permite una
mejora en todos los accesos del sistema y verificar el uso adecuada para cada servicio del sistema.
Los puntos A.11.2.3 Gestin de contraseas de usuarios, A.11.4.2 Autentificacin de usuarios para
conexiones externas y A.11.4.6 Restriccin del acceso a la informacin.
7.2.8
A.12 Adquisicin, desarrollo y mantenimiento de los sistemas de informacin
A.12.3.1 Poltica de uso de los controles criptogrficos

Descripcin
En este punto debemos documentar la proteccin de la informacin mediante la definicin de una
poltica de controles criptogrficos.
contiene una serie de polticas de seguridad. La poltica de este punto de control es la poltica de
encriptacin.
Acciones a Realizar
encriptacin en relacin a las nuevas implementaciones.
Documentacin
La modificacin de la poltica encriptacin consiste en:
Encriptacin acceso a la Web Corporativa y Portal del Empleado:

o Certificado Digital Seguro y acceso HTTPS
46
Algoritmo de firma SHA1RSA

Clave pblica RSA 2048 bits.
Encriptacin acceso de los sitios Web de Administracin del sistema de monitorizacin, al
acceso de Cloud Google Apps, Firewall Avanzado y al IPS Firewall Hosting:
o Uso de Certificado Digital y acceso HTTPS
o Forzar al intercambio de encriptacin entre Google Apps y la red interna con
protocolo SSL
Conclusin
La revisin de la poltica de encriptacin en relacin a las nuevas implementaciones permite mejorar la
seguridad en el intercambio de informacin en los puntos de acceso de todas las nuevas
implementaciones.
Finalmente indicar que este punto de control tambin es aplicable para el punto A.15.1.6 Regulacin de
los controles criptogrficos.
A.12.4.3 Control de acceso al cdigo fuente de los programas
Descripcin
La implementacin relacionada con este punto de control es la implementacin de Team Fundation
Server.
En este punto debemos documentar la proteccin el acceso al cdigo fuente de los programas. EL
servidor Team Fundation Server contiene un repositorio de cdigo fuente de todas las aplicaciones que
se desarrollan en el sistema informtico.
contiene una serie de polticas de seguridad. La poltica de este punto de control es la poltica de Gestin
y control de Software.
Acciones a Realizar
Gestin y control de Software en relacin a la nueva implementacin.
Documentacin
La modificacin de la poltica de Gestin y control de Software consiste en:
Utilizan el usuario del dominio para acceder.
Definicin de los permisos y grupos de accesos al cdigo fuente de las aplicaciones.
Todos los usuarios de desarrollo acceden al cdigo fuente.
Se registra cada cambio en el cdigo fuente.
Conclusin
La revisin de la poltica de encriptacin en relacin a la implementacin del Team Fundation Server
permite mejorar la seguridad en acceso al cdigo fuente de los programas. El entorno web es
funcionalmente seguro y fcil de administrar.
7.2.9
A.13 Gestin de Incidencias de Seguridad
Descripcin
La implementacin relacionada con este punto de control es la implementacin del nuevo sistema de
Monitorizacin OpsView con Nagios.
47
La funcionalidad en este punto de control consiste en asegurarse de que los eventos y las
vulnerabilidades de la seguridad de la informacin asociados con los sistemas de informacin se
comunican de forma que sea posible emprender acciones correctivas oportunamente.
La revisin de este punto implica modificar el procedimiento PSEG13-Gestion Incidencias Informticas.
Este documento contiene las acciones en la gestin de las incidencias.
Acciones a Realizar
Las acciones a realizar para el cumplimiento de este punto consisten en modificar de la gestin de las
incidencias informticas en relacin a la nueva implementacin.
Documentacin
La modificacin de la gestin de las incidencias informticas consiste en:
monitorizacin de los servicios de red y nuevos servidores implementados que se utilizan
en el sistema informtico utilizando el sistema de alertas por correo y visual del sistema de
monitorizacin opsview.
Pro actividad en la ocurrencia de incidentes de seguridad y deteccin mediante el nuevo
sistema de monitorizacin.
Ejemplo de eventos de seguridad:
Figura 30 Gestin Incidentes
Conclusin
La implementacin del sistema de monitorizacin de OpsView mejora la pro actividad y deteccin de
incidentes de seguridad y su tratamiento final.
7.2.10
A.14 Gestin de la Continuidad del Negocio
Descripcin
En este punto debemos documentar la proteccin de los procesos crticos de negocio contra los efectos
derivados de fallos importantes o catastrficos de los sistemas de informacin, as como garantizar su
oportuna reanudacin.
La revisin de este punto implica modificar el PSEG14-GestinContinuidadNegocio. El documento est
formado por los siguientes puntos:
Continuidad del servidor principal.
Continuidad del Hosting.
Fase de Recuperacin Parcial.
Fase de Normalidad.
Planificacin de pruebas.
Acciones a Realizar
Las acciones a realizar para el cumplimiento de este punto consisten en agregar los nuevos activos y
servicios en cada uno de los puntos del documento de gestin de la continuidad del negocio.
48
Documentacin
La modificacin del documento de gestin de la continuidad del negocio consiste en:
Continuidad del servidor principal: agregar los nuevos servicios y servidores en el plan de
continuidad. Firewall Avanzado, servidor Team Fundation Server, Portal SharePoint, sistema
monitorizacin y Veeam Backup Replication.
Continuidad del Hosting: la continuidad del servicio IPS en el Firewall del Hosting no afecta a la
disponibilidad de los servicios del Hosting ya que el servicio funcionaria sin el IPS.
Fase de Recuperacin Parcial: en los dos planes de continuidad se ha documentado una
recuperacin parcial de los servicios con el fin de ofrecer los diferentes servicios en el sistema.
Este punto tambin se llama contingencia.
Fase de Normalidad: la fase de normalidad es el restablecimiento de todos los servicios en
total disponibilidad.
Planificacin de pruebas: para verificar la eficiencia del plan de continuidad de todos los
servicios se ha planificado para Julio y Agosto una prueba en cada uno de ellos. El objetivo de
esta prueba conlleva a la modificacin y mejora de dicho plan.
La continuidad del Cloud Google Apps estar contemplada en el sistema de Google. Google Apps ofrece
un 99,9 % de disponibilidad con lo que aseguramos existir una continuidad constante en este servicio.
Conclusin
Las nuevas implementaciones dentro la gestin de la continuidad del negocio mantendr la correcta
continuidad de los servicios que ofrece el sistema. Para cumplir con esta conclusin tendr que
realizarse una prueba total y verificar los resultados.
7.3
Revisin de Indicadores
La revisin de los objetivos e indicadores son dos puntos importantes para la implementacin y revisin
de la gestin de la seguridad en la norma ISO 27001.
7.3.1
Indicadores
Los indicadores son herramientas para facilitar la toma de decisiones, mejorar el desempeo y anlisis y
reporte de datos de desempeo relevantes. El propsito de medir el desempeo es monitorear el
estado de las actividades medidas y facilitar la mejora de estas aplicando acciones correctivas basadas
en las medidas observadas.
Despus de disear las nuevas implementaciones y polticas de seguridad debemos configurar nuevos
indicadores de seguridad.
7.3.2
Resultado indicadores
Los nuevos indicadores de seguridad para las nuevas implementaciones y controles de seguridad son los
siguientes:
Disponibilidad del Servidor compensa14: Indicador que mide la disponibilidad del Portal
SharePoint.
Disponibilidad del Servidor compensa15: Indicador que mide la disponibilidad del servidor
Team Fundation Server.
Revisin Vulnerabilidades / % vulnerabilidades resueltas: Indicador de la revisin bimensual de
vulnerabilidades del sistema de la informacin y el porcentaje de vulnerabilidades resueltas
despus de la instalacin de las actualizaciones o parches en cada sistema
49
Revisin Gestin Capacidad / % recurso: Indicador de revisin semestral de la capacidad del

sistema / porcentaje de recurso del sistema ms alto.
Errores de Backup: Indicador que mide los errores de las copias de seguridad.
8 Conclusiones y lneas de trabajo futuro

Finalmente despus de revisar toda las polticas de seguridad describiremos un resumen general de los
cambios que han afectado las implementaciones, las conclusiones finales y las lneas de trabajo futuro
dentro el sistema de gestin de la seguridad de EkinderGarden.
8.1
Conclusiones Finales Implementaciones
Las conclusiones finales en relacin a las nuevas implementaciones y la finalizacin de la revisin de las
nuevas polticas son:
Seguridad Terceros
La implementacin y revisin de la seguridad a terceros mejora los controles de concienciacin,
tratamiento de seguridad con clientes y proveedores.
Seguridad Lgica
La implementacin y revisin de la seguridad lgica mejora los controles de acceso, vulnerabilidades,
gestin de cambios de software, control de redes, vulnerabilidades, cdigo malicioso y poltica de
contraseas.
Gestin de incidentes
La implementacin y revisin de la gestin de incidentes mejora la deteccin y prevencin de incidentes
de seguridad que pudieran ocasionar una prdida de los servicios del sistema.
Copias de Seguridad y Gestin de la continuidad del negocio
La implementacin y revisin de la poltica de copias de seguridad y gestin de la continuidad del
negocio mejora la recuperacin y continuidad del negocio.
Conclusin Finales
La implementacin de las nuevas tecnologas y servicios una vez finalizada la revisin de las polticas de
seguridad implica una disminucin de la probabilidad de ocurrencia de amenaza en todos los activos del
sistema de gestin de la seguridad y as mismo una probabilidad de riesgo ms baja que en el momento
inicial de este proyecto. Para comprobar el resultado de esta conclusin final debemos realizar
auditoras de seguridad. Las auditorias se describen en el siguiente punto.
Conclusiones Finales Proyecto
Finalmente despus de realizar todas las fases de trabajo en este proyecto de gestin de la seguridad de
la informacin basada en la norma ISO 27001, describiremos las conclusiones finales en relacin a la
revisin de los objetivos. El resultado es el siguiente:
El desarrollo de este proyecto y el resultado final obtenido nos indica que todas las acciones e
implementaciones realizadas mejorarn la eficiencia y la seguridad de todo el sistema de
seguridad de la informacin protegiendo el sistema de las amenazas que pudieran poner en
peligro la informacin de nuestro sistema.
El desarrollo e implementacin de los canales de comunicacin mejoraran la concienciacin e

imagen en la seguridad para los clientes, empleados y proveedores dentro el alcance de
50
nuestro sistema de seguridad. Tambin podemos concluir que las auditoras a proveedores y
clientes sern ms eficientes y ms agiles para la gestin de nuestro sistema.
Para la revisin del cumplimiento total de los objetivos tendremos que desarrollar la parte final del
proyecto mediante las auditorias de seguridad. En los prximos apartados describe las lneas de futuro.
8.2
Lneas de Trabajo Futuro

8.2.1
Auditorias
Anualmente realizamos Auditorias de Seguridad para la norma ISO 27001. Dichas auditorias consisten
en revisar todos los puntos de control implementados durante los cambios des de la ltima auditoria.
Finalmente destacar que las auditorias hacen referencia a la parte COMPROBAR de nuestra metodologa
PDCA. EL proceso de auditoras est formado por dos puntos.
Auditoria Interna Seguimiento
Auditoria de seguimiento sin finalidad de certificado. Es una auditoria de prueba de cumplimiento de
todos los puntos de seguridad antes de la auditoria de Certificacin.
La auditora de seguimiento est planificada para la ltima semana de junio. Un equipo auditor realizara
la comprobacin de todos los puntos e implementaciones y el resultado ser presentado en direccin. Si
en el resultado se ha producido alguna no conformidad o desviacin de los controles de seguridad
debern solucionarse con una planificacin coherente.
Auditoria de Certificacin
Actualmente EkinderGarden ya dispone de la certificacin ISO 27001. La auditora anual de certificacin
consiste en la revisin y mantenimiento del cumplimiento de la norma.
La auditora de certificacin tiene las mismas caractersticas que la auditoria de seguimiento pero el
resultado es la certificacin de la norma ISO 27001. La auditora de seguimiento est planificada para la
ltima semana de agosto.
En resumen a este punto destacamos que la lnea de futuro consistir en realizar dichas auditorias de
comprobacin de todos los cambios realizados aplicados a nuestra metodologa y el resultado obtenido
ser la comprobacin total del cumplimiento de nuestros objetivos.
8.2.2
Revisin Posterior
En el resultado de las auditorias podemos obtener algn/os incumplimiento/s en los controles de

seguridad del sistema. Podemos obtener tres clases de incumplimientos:
No conformidad: incidente grave y tendr que ser resuelto con prioridad alta.
Observacin: incidente no grave pero tendr que ser resuelto en un tiempo razonable
ya que en un futuro podra convertirse en una No conformidad
Oportunidad de Mejora: no corresponde a ningn incidente pero es aconsejable su
solucin.
La resolucin de los incumplimientos se realiza mediantes las acciones correctivas. En nuestra
metodologa dichas acciones corresponden a la fase de MEJORAR.
Ver Glosario para ms informacin.
51
9 Propuesta de Mejoras
Todas las mejoras descritas estn propuestas a direccin de EkinderGarden con el fin de mejorar an
ms la gestin y la seguridad de la informacin dentro el sistema.
9.1
Primera mejora
La primera mejora que describiremos ya ha sido aprobada por direccin de EkinderGarden, pero no ha
podido ser realizada en este proyecto. Esta implementacin es el Cloud de Google Apps que est
planificado para realizarse a finales de Agosto. Con esta implementacin queremos mejorar la
disponibilidad de los servicios de correo e informacin compartida. Google nos ofrece una disponibilidad
del 99,9 % en sus servicios.
Tambin comentar que el sistema Google Apps ha sido estudiado detalle a detalle a nivel de seguridad.
Todo su sistema cumple estrictamente con la normativa ISO 27001 y la normativa de seguridad
internacional ISAE3402.
9.2
Segunda Mejora
La segunda mejora que describiremos ya ha sido aprobada por direccin de EkinderGarden. Est
planificada para principios de septiembre. Esta mejora que queremos destacar es la implementacin de
un sistema de intercambio de informacin entre proveedores y clientes mediante SFTP. Este sistema
consiste en un FTP con el protocolo SSH con lo cual la informacin intercambiada ser realizada
mediante un canal encriptado y seguro el cual se convierte en el servicio SFTP.
9.3
Tercera mejora
Finalmente la ltima mejora propuesta para direccin de EkinderGarden y pendiente de aprobacin

consiste en realizar una auditora de Hacking tico en todo el alcance del sistema por un proveedor
externo calificado y certificado con el fin de mejorar todava ms la seguridad y prevenir el punto dbiles
en todo el sistema. El hacking tico tiene dos objetivos:
Dar ms confianza a los clientes con el proceso de gestin de su informacin.

Proteger la informacin de las vulnerabilidades externas al detectarlas previamente y
realizar acciones correctivas proactivas en el sistema.
52
10 Glosario
10.1
Anlisis de riesgos
El anlisis de riesgos es un proceso que comprende la identificacin de activos informticos, sus vulnerabilidades y amenazas a los
que se encuentran expuestos as como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles
adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.
10.2
Auditora de seguridad
Es el estudio que comprende el anlisis y gestin de sistemas llevado a cabo por profesionales en Tecnologas de la informacin
para identificar, enumerar y posteriormente describir las diversas vulnerabilidades que pudieran presentarse en una revisin
exhaustiva de las estaciones de trabajo, redes de comunicaciones, servidores o aplicaciones
10.3
Autenticacin
Procedimiento de comprobacin de la identidad de un usuario como medida de seguridad frente a posibles operaciones
fraudulentas a travs de la Red. La finalidad que persigue esta medida de seguridad es servir de salvaguarda para comprobar que
los usuarios con los que se est interactuando son realmente quienes dicen ser. Este proceso constituye una funcionalidad
caracterstica para una comunicacin segura en la Red.
10.4
Confidencialidad
Propiedad o atributo consistente en proporcionar acceso a los sistemas de informacin nicamente a aquellos usuarios
autorizados, en tiempo y forma determinados, y negar el acceso a terceros no autorizados.
Esta caracterstica de seguridad debe ir acompaada a su vez por un adecuado "control de accesos", entendiendo dicho trmino
como un mecanismo que en funcin de la identificacin autenticada permite el acceso a datos o recursos.
10.5
Cortafuegos
(En ingls Firewall) Sistema de seguridad que se compone bien de programas (software) o de equipos (hardware) y de programas
(software) en puntos clave de una red para permitir slo trfico autorizado. A menudo utilizado para restringir el acceso a una red
interna desde Internet. La regla bsica de un cortafuego es asegurar que todas las comunicaciones entre la red e Internet se
realicen conforme a las polticas de seguridad de la organizacin o corporacin. Estos sistemas tambin poseen caractersticas de
privacidad y autentificacin. Las dos tcnicas usadas en la construccin de un cortafuego son: el empleo de aplicaciones o el
filtrado de paquetes.
10.6
Disponibilidad
Se trata de la capacidad de un servicio, de unos datos o de un sistema, a ser accesible y utilizable por los usuarios (o procesos)
autorizados cuando estos lo requieran.
10.7
Incidente de seguridad
Un incidente de seguridad es un evento o una serie de eventos inesperados o no deseados, que tienen la probabilidad significativa
de comprometer las operaciones empresariales y de amenazar la seguridad de la informacin. Pueden comprometer la
confidencialidad, integridad o disponibilidad de la informacin.
10.8
Integridad
Conjunto de medidas de seguridad que se incluyen en un sistema de informacin, que garantizan la exactitud de los datos
transportados o almacenados, evitando su alteracin, prdida o destruccin, ya sea de forma accidental, por fallos de software o
hardware, por condiciones medioambientales o bien, por intervencin de terceros con fines fraudulentos.
La integridad y la confidencialidad constituyen objetivos claves en la seguridad de la informacin, ya que de un lado, se pretende
evitar los accesos no autorizados a los datos, y de otro, se garantiza la no alteracin de los mismos.
10.9
IPS
Siglas de Intrusin Prevention System (sistema de prevencin de intrusiones). Es una herramienta de seguridad que detecta un
posible ataque informtico y reacciona para evitar su consumacin.
10.10
ISO/IEC 27001
ISO/IEC 27001, conocido ms coloquialmente como ISO/27001 es un conjunto de estndares desarrollados por ISO (Organizacin
Internacional de Estandarizacin) y la IEC (Comisin Internacional Electrotcnica).
53
Este conjunto de estndares est orientado a cualquier empresa que desee organizar e instaurar una poltica de seguridad. Su
principal funcin es organizar la seguridad de la informacin, y para ello establece toda una secuencia orientada a establecer,
implementar, monitorizar, revisar, mantener y mejorar los ISMS o SGSI (Sistema de Gestin de la Seguridad de la Informacin).
Este estndar debe concretarse dentro de la denominada serie 27000 entre las que cabe citar la ISO 27000, ISO 27002.
Actualmente se ha aprobado la normativa ISO/IEC 27001:2013.
10.11
Plan de contingencia
Un Plan de contingencias es un instrumento de gestin para el buen gobierno de las Tecnologas de la Informacin y las
Comunicaciones en el dominio del soporte y el desempeo.
Dicho plan contiene las medidas tcnicas, humanas y organizativas necesarias para garantizar la continuidad del negocio y las
operaciones de una compaa.
10.12
Son las decisiones o medidas de seguridad que una empresa ha decidido tomar respecto a la seguridad de sus sistemas de
informacin despus de evaluar el valor de sus activos y los riegos a los que estn expuestos. Tambin puede referirse al
documento de nivel ejecutivo mediante el cual una empresa establece sus directrices de seguridad de la informacin
10.13
Vulnerabilidad
Fallos o huecos de seguridad detectados en algn programa o sistema informtico, que los virus utilizan para propagarse e
infectar. Estos errores de programacin y/o diseo permiten que un tercero se aproveche de ellos para realizar acciones tales
como ataques, intrusiones o cualquier otro uso indebido.
10.14
No conformidad
Incumplimiento de los requisitos de la Norma de referencia, estndares aplicables, o de los documentos del Sistema de Gestin
Integrada de la Organizacin.
10.15
Observacin
Incumplimiento de carcter puntual o indicaciones que deben ser consideradas por la Organizacin, ya que podran llegar a
constituir no conformidades en el futuro.
10.16
Oportunidad de Mejora
Acciones destinadas a la mejora continua del sistema, teniendo en consideracin que la mejora continua persigue el incremento
de la probabilidad de aumento de la satisfaccin
10.17
Accin Correctiva
Una accin correctiva es una accin tomada para eliminar las causas de una no conformidad detectada u otra situacin
indeseable. Es diferente a Correccin mediante la cual slo se elimina o repara la no conformidad detectada, no su causa.
54
11 Bibliografa
Inteco:
http://www.inteco.es/Formacion/SGSI/Conceptos_Basicos/;jsessionid=66A07A25E525CDA81F346DF58
AA4AF26
ISO 27001
http://es.wikipedia.org/wiki/ISO/IEC_27001
http://www.iso27000.es/
55
12 Anexos
12.1
Anexo 1 Requisitos Seguridad, software, Hardware
Los diferentes requisitos para el diseo de la implementacin de la gestin de la seguridad es un punto muy importante que
debemos disear en este apartado. Existen tres requisitos que debemos analizar.
Software
Hardware
Seguridad
Los requisitos de software y hardware quedan establecidos segn el fabricante, usuarios y funciones a realizar. Para los requisitos
de seguridad se ha diseado un procedimiento y es el siguiente:
Responsable Sistemas
Inicio (1)
Director Informtica
Observaciones
1. El proceso se activar cuando se realicen cambios

importantes en los activos del sistema informtico
Mantenimiento
Software
2. En el catlogo de requisitos para los cambios en el sistema

se debern revisar, especificar y/o actualizar los requisitos
de los controles de hardware, software y seguridad. Pueden
abarcar aspectos como:
- Anlisis de Riesgos
- Gestin de Activos
- Gestin de Vulnerabilidades
- Seguridad con terceros
- Copias de Seguridad
- Seguridad Fsica
- Control de Acceso
- Gestin en la continuidad del negocio
- Requisitos legales (LOPD, LSSI).
Elaborar / Actualizar
Catlogo de Requisitos (2)
Definir / Actualizar
Documentos de cambio en el
sistema (2)
Elaborar Planificacin de
actuacin (3)
3. El Responsable de sistemas
Planificara los cambios a realizar en el sistema y los
documentar en relacin a los controles de seguridad
4. El Director Informtica revisar y aprobar los cambios

realizados en los documentos de cambios, indicndolo en el
propio documento en los cuadros de control.
Verificar cambios realizados (4)
Aprobar cambio realizado versin del

documento (4)
Iniciar
cambio en el
Sistema
Figura 21 Requisitos
Seguidamente obtendremos los requisitos de todas las implementaciones planificadas.
Sistema Team Fundation Server

2012
Software
Sistema Operativo Windows

Server 2008 Standard R2
Framework 4.5
SQL Server 2008 Standard R2
IIS 7.5
Portal SharePoint
Software

Server 2008 Standard R2
Framework 4.5
SQL Server 2012 Standard
IIS 7.5
SharePoint Fundation 2010
Hardware
CPU Intel Xeon 1,6 Ghz

10 Gb RAM.
Disco1: 80 GB
Disco2: 20 Gb.
Seguridad
Anlisis de riesgo
Gestin de activos
Hardware

8 Gb RAM.
Disco1: 80 GB
Disco2: 80 Gb.
Seguridad
Anlisis de riesgo
Sistema Monitorizacin
Software
Sistema Operativo Centos

Linux 5.5

Server 2008 R2
Apache
Nagios
Opsview 4.0
Veeam One Monitor 7

Hardware

4 Gb RAM.
Disco1: 40 GB
Seguridad
56
Gestin de vulnerabilidades
Control de acceso
Gestin de la continuidad
Firewall Avanzado
Software
Sistema Operativo SonicWall
Modulo de Filtraje Web
Mdulo de anlisis de virus y

antyspware en red
Modulo IPS
Hardware
Modelo Sonicwall TZ210
Seguridad
Anlisis de riesgo
Gestin de activos
Seguridad Fsica
Control de acceso
Cloud Google Apps

Software

7
Office 2010, 2013
Google Drive
Google Chrome
Gestin de activos
Control de acceso
IPS Firewall Hosting

Software
IPS version 7.0

Hardware
CISCO ASA5510
Seguridad
Anlisis de riesgo
Gestin de activos
Control de acceso
Anlisis de riesgo
Gestin de activos
Seguridad Fsica
Control de acceso
Veeam Backup Replication

Software

Server 2008 R2
SQL Server 2008 R2
IIS 7.5
Framework 4.5
Hardware
Seguridad

8 Gb RAM.
Disco1: 40 GB
Disco1: 80 GB
Anlisis de riesgo
Gestin de activos
Control de acceso
Canales Comunicacin
Seguridad
Anlisis de riesgo
Gestin de activos
Seguridad con terceros
Control de acceso
Hardware
Seguridad

4 Gb RAM.
Disco1: 40 GB
Cumplimiento ISO 27001

Anlisis de riesgo
Gestin de activos
Seguridad con terceros
Control de acceso
Cumplimiento de ley LOPD y
LSSI
El anlisis de los requisitos es fundamental para que la implementacin de las nuevas tecnologas se realice de forma correcta,
metdica y eficiente.
57
12.2
Anexo 2 Documentos de seguridad del SGI
Punto de Control a Revisar

Seccin
A.6
Control
A.6 Organizacin de la Seguridad de la Informacin.
6.1.7 Contacto con grupos de inters especial
6.2.2 Tratamiento de la Seguridad en la relacin con los Clientes
6.2.3 Tratamiento de la Seguridad en contratos con terceros
A.7
A.7 Gestin de activos
A.7.1
7.1.1 Inventario de activos
A.8
A.8 Seguridad de la gestin de los recursos humanos

8.2.2 Concienciacin, formacin y entrenamiento sobre la Seguridad de la
Informacin
A.10
A.10 Gestin de las comunicaciones y las operaciones
A.10.1
10.1.1 Documentacin de los procedimientos de operacin
A.10.3
10.3.1 Gestin de capacidades
A 10.4
10.4.1 Controles contra cdigo malicioso
A10.5
10.5.1 Copias de seguridad de la informacin
A10.6
10.6.1 Controles de Red
A10.10
10.10.1 Registro de auditoras
A11
A.11 Control de Accesos
A11.1
11.1.1 Poltica de control de acceso

11.2.3 Gestin de contraseas de usuarios
11.4.2 Autenticacin de usuarios para conexiones externas
11.4.6 Control de la conexin a la red
11.4.7 Control de direccionamiento de redes
A11.6
11.6.1 Restriccin del acceso a la informacin
A12
A.13 Adquisicin, desarrollo y mantenimiento de los sistemas de

informacin
A12.3
12.3.1 Poltica de uso de los controles criptogrficos

12.4.3 Control de acceso al cdigo fuente de los programas
A12.6
12.6.1 Control de vulnerabilidades tcnicas
A13
A.13 Gestin de incidencias de seguridad
A13.1
13.1.1 Notificacin de los eventos de seguridad de la informacin
13.1.2 Notificacin de los puntos dbiles de la seguridad

A13.2
13.2.1 Responsabilidades y procedimientos
13.2.3 Recopilacin de evidencias
A14
A14 Gestin de la continuidad del Negocio
A14.1
14.1.1 Inclusin de la seguridad de la informacin en el proceso de gestin de

la continuidad del negocio
14.1.2 Continuidad del negocio y evaluacin de riesgos
14.1.3 Desarrollo e implantacin de planes de continuidad incluyendo en ellos la

seguridad de la informacin
14.1.4 Marco de referencia para la planificacin de la continuidad de negocio
14.1.5 Pruebas, mantenimiento y re-evaluacin de los planes de continuidad
A15
A15 Cumplimiento
15.1.6 Regulacin de los controles criptogrficos
58
12.3
Anexo 3 Registros Nuevos Activos
ACTIVO
Sede
Persona Responsable
Descripcin
Comunicaciones
IPS Hosting
Hosting
Sistemas
Sistema de deteccin intrusos
Firewall SonicWall
Barcelona
Sistemas
Firewall Personalizado para Barcelona con

sistema prevencin intrusos
Infraestructura
Compensa14
Barcelona
Sistemas
Servidor SharePoint, FTP
Compensa15
Barcelona
Sistemas
Servidor de Team Fundation Server
Software
Google Apps
Google
Sistemas
Team Fundation Server

2012
Veeam Backup
Replication 7
OpsView Core
Barcelona
Sistemas
Gestin de la informacin en entorno de

Cloud de Google
Aplicacin Server de desarrollo Software
Barcelona
Sistemas
Aplicacin de Backup de mquinas virtuales
Barcelona
Sistemas
Aplicacin de Monitorizacin sistema
Veeam Monitor
Barcelona
Sistemas
Aplicacin de Monitorizacin Servidores

Virtuales
59
12.4
Anexo 4 Gestin Capacidad Servidores
Para la gestin de la capacidad de los servidores nos centraremos en el servidor Principal del sistema, es
decir, el servidor fsico ya que los servicios de las diferentes implementaciones son servidores virtuales.
Se utilizan las herramientas de monitorizacin del servidor para obtener los resultados. El resultado es el
siguiente:
Servidor Principal Barcelona
El servidor Principal de Barcelona tiene instalado el sistema Vmware Esxi 5.1
Vmware nos permite gestionar la capacidad de los recursos del servidor
Consumo CPU
El consumo de las dos CPUS del servidor principal es el siguiente:
En el primer cuatrimestre del 2014 el consumo medio de las CPUS del servidor principal es del
37,39 % con picos mximos del 73,20 %. La conclusin final es que el consumo de CPUS del
servidor principal no supera el rango mximo establecido para el aumento de recursos y
cambios en la infraestructura del sistema.
Consumo Memoria
El consumo de Memoria del servidor principal es el siguiente:
En el primer cuatrimestre del 2014 el consumo medio de la Memoria del servidor principal es
del 74,30 % con picos mximos del 76,87 %. La conclusin final es que el consumo de Memoria
del servidor principal no supera el rango mximo establecido para el aumento de recursos y
cambios en la infraestructura del sistema.
60

Trabajo Final de Carrera - Gestion de La Seguridad Basada en La Iso - Iec 27001

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Trabajo Final de Carrera - Gestion de La Seguridad Basada en La Iso - Iec 27001

Загружено:

Авторское право:

Доступные форматы

TRABAJO FINAL DE CARRERA:

GESTION DE LA SEGURIDAD BASADA EN LA

Autor: Xavier Duch

Descripcin del proyecto....................................................................................................... 6

Tablas y Figuras ..................................................................................................................... 7

Objetivos del TFC........................................................................................................... 8

Enfoque y metodologa ................................................................................................. 8

Planificacin del proyecto ............................................................................................. 9

Productos obtenidos ................................................................................................... 10

Resumen descripcin de los otros puntos de la memoria .......................................... 11

Anlisis, Requisitos y Diseo .............................................................................................. 11

Anlisis y Diseo .................................................................................................................. 11

Anlisis de la Situacin Actual ..................................................................................... 12

La gestin de la seguridad de EkinderGarden donde est actualmente? ............................. 12

Poltica de Seguridad ........................................................................................... 14

Gestin del Riesgo ............................................................................................... 14

Anlisis de Riesgo ................................................................................................ 16

Hacia dnde vamos? ............................................................................................................. 17

Plan de Implementacin ............................................................................................. 18

Nuevos Servicios en el sistema ............................................................................................... 18

Implementacin Canales Comunicacin ............................................................. 18

Implementacin de sistema Team Fundation Server ......................................... 18

Implementacin Portal SharePoint ..................................................................... 18

Implementacin Sistema Monitorizacin ........................................................... 18

Implementacin Firewall Avanzado .................................................................... 19

Implementacin IPS Firewall Hosting.................................................................. 19

Implementacin Veeam Backup Replication ...................................................... 19

Implementacin Cloud Google ............................................................................ 19

Diseo del Alcance ...................................................................................................... 20

Diseo de sistema Team Fundation Server ......................................................... 20

Diseo Portal SharePoint .................................................................................... 21

Diseo Sistema Monitorizacin........................................................................... 21

Diseo Firewall Avanzado ................................................................................... 22

Diseo IPS Firewall Hosting ................................................................................. 22

Diseo Veeam Backup Replication ...................................................................... 23

Diseo Cloud Google Apps .................................................................................. 23

Nuevo Esquema Tecnolgico .............................................................................. 24

Diseo de canales de comunicacin ........................................................................... 24

Descripcin de las funcionalidades ..................................................................... 24

Anlisis de Riesgo ........................................................................................................ 26

Informe Anlisis Riesgo ....................................................................................... 28

Tratamiento de Riesgo ................................................................................................ 28

Revisin Puntos Control SOA ...................................................................................... 28

Implementacin de Mejoras ....................................................................................... 29

Revisin de las polticas de Seguridad......................................................................... 32

A.5 Poltica de Seguridad..................................................................................... 33

A6. Organizacin de la Seguridad ........................................................................ 33

A7. Gestin de Activos ........................................................................................ 38

A8. Seguridad en Recursos Humanos.................................................................. 39

A.9 Seguridad Fsica y Ambiental ........................................................................ 40

A.10 Gestin de las comunicaciones y operaciones ........................................... 40

A.11 Control de Accesos ...................................................................................... 45

A.12 Adquisicin, desarrollo y mantenimiento de los sistemas de informacin 46

A.13 Gestin de Incidencias de Seguridad .......................................................... 47

A.14 Gestin de la Continuidad del Negocio....................................................... 48

Implementacin Canales de Comunicacin ........................................................ 29

Revisin de Indicadores .............................................................................................. 49

Resultado indicadores ......................................................................................... 49

Conclusiones y lneas de trabajo futuro .............................................................................. 50

Conclusiones Finales Implementaciones .................................................................... 50

Lneas de Trabajo Futuro ............................................................................................. 51

Propuesta de Mejoras ......................................................................................................... 52

Primera mejora ........................................................................................................... 52