Вы находитесь на странице: 1из 214

Gua de aplicacin de la Norma UNE-ISO/IEC 27001

sobre seguridad en sistemas


de informacin para pymes

Luis Gmez Fernndez y Ana Andrs lvarez


2. edicin
(ampliada con el Esquema
Nacional de Seguridad)
Ttulo: Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes.
2. edicin
Autores: Luis Gmez Fernndez y Ana Andrs lvarez

AENOR (Asociacin Espaola de Normalizacin y Certificacin), 2012


Todos los derechos reservados. Queda prohibida la reproduccin total o parcial en cualquier soporte,
sin la previa autorizacin escrita de AENOR.

ISBN: 978-84-8143-7-
Impreso en Espaa - Printed in Spain
Edita: AENOR
Maqueta y diseo de cubierta: AENOR

Nota: AENOR no se hace responsable de las opiniones expresadas por los autores en esta obra.

Gnova, 6. 28004 Madrid Tel.: 902 102 201 Fax: 913 103 695
comercial@aenor.es www.aenor.es
ndice

Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Objeto de esta gua . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

1. Introduccin a los Sistemas de Gestin de Seguridad de


la Informacin (SGSI) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
1.1. Definicin de un SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
1.2. El ciclo de mejora continua . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
1.3. La Norma UNE-ISO/IEC 27001 . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
1.3.1. Origen de la norma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
1.3.2. Objeto y campo de aplicacin de la norma . . . . . . . . . . . . 17
1.4. La Norma UNE-ISO/IEC 27002 . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
1.4.1. Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
1.4.2. Objeto y campo de aplicacin . . . . . . . . . . . . . . . . . . . . . . 18
1.5. El Esquema Nacional de Seguridad (ENS) . . . . . . . . . . . . . . . . . . . . 18
1.5.1. Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
1.5.2. Objeto y campo de aplicacin . . . . . . . . . . . . . . . . . . . . . . 19
1.6. Trminos y definiciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

2. Comprender la Norma UNE-ISO/IEC 27001 . . . . . . . . . . . . . . . . . . . . . 23


2.1. Requisitos generales del sistema de gestin de la seguridad . . . . . . . 23
2.2. Establecimiento y gestin del SGSI . . . . . . . . . . . . . . . . . . . . . . . . . 25
2.2.1. Establecimiento del SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . 25
2.2.2. Definicin del alcance del SGSI . . . . . . . . . . . . . . . . . . . . . 27
2.2.3. Definicin de la poltica de seguridad . . . . . . . . . . . . . . . . . 28
4 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

2.2.4. Identificacin de los activos de informacin . . . . . . . . . . . . 28


2.2.5. Definicin del enfoque del anlisis de riesgos . . . . . . . . . . . 29
2.2.6. Cmo escoger la metodologa del anlisis de riesgos . . . . . 30
2.2.7. Tratamiento de los riesgos . . . . . . . . . . . . . . . . . . . . . . . . . 31
2.2.8. Seleccin de controles . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
2.2.9. Gestin de riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
2.2.10. Declaracin de aplicabilidad . . . . . . . . . . . . . . . . . . . . . . . 32
2.2.11. Implementacin y puesta en marcha del SGSI . . . . . . . . . . . 33
2.2.12. Control y revisin del SGSI . . . . . . . . . . . . . . . . . . . . . . . . 33
2.2.13. Mantenimiento y mejora del SGSI . . . . . . . . . . . . . . . . . . . 34
2.3. Requisitos de documentacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
2.3.1. Generalidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
2.3.2. Control de documentos . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
2.3.3. Control de registros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
2.4. Compromiso de la direccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
2.5. Gestin de los recursos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
2.6. Formacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
2.7. Auditoras internas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
2.8. Revisin por la direccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
2.8.1. Entradas a la revisin . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
2.8.2. Salidas de la revisin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
2.9. Mejora continua . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
2.9.1. Accin correctiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
2.9.2. Accin preventiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
2.10. El anexo A . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

3. Comprender la Norma UNE-ISO/IEC 27002 . . . . . . . . . . . . . . . . . . . . . 45


3.1. Valoracin y tratamiento del riesgo . . . . . . . . . . . . . . . . . . . . . . . . . 46
3.2. Poltica de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
3.3. Organizacin de la seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
3.4. Gestin de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
3.5. Seguridad ligada a los recursos humanos . . . . . . . . . . . . . . . . . . . . 50
3.6. Seguridad fsica y del entorno . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
3.7. Gestin de comunicaciones y operaciones . . . . . . . . . . . . . . . . . . . . 53
ndice 5

3.8. Control de acceso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59


3.9. Adquisicin, desarrollo y mantenimiento de los sistemas . . . . . . . . . . 64
3.10. Gestin de las incidencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
3.11. Gestin de la continuidad del negocio . . . . . . . . . . . . . . . . . . . . . . 68
3.12. Cumplimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70

4. Definicin e implementacin de un SGSI . . . . . . . . . . . . . . . . . . . . . . . . 73


4.1. El proyecto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
4.2. Documentacin del SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
4.3. Poltica de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
4.4. Inventario de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
4.5. Anlisis de riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
4.6. Gestin de riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
4.7. Plan de tratamiento del riesgo . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
4.8. Procedimientos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
4.9. Formacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
4.10. Revisin por la direccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
4.11. Auditora interna . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
4.12. Registros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89

5. Proceso de certificacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91

6. Relacin entre los apartados de la norma y la documentacin del sistema . . 93

7. Correspondencia entre las Normas UNE-EN ISO 9001:2008,


UNE-EN ISO 14001:2004 y UNE-ISO/IEC 27001:2007 . . . . . . . . . . . . 97

8. Caso prctico: modelo de SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101


8.1. Documentacin de la poltica de seguridad . . . . . . . . . . . . . . . . . . . 101
8.1.1. Poltica de seguridad de la informacin . . . . . . . . . . . . . . . 101
8.1.2. Definicin del SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
8.1.3. Organizacin e infraestructura de seguridad . . . . . . . . . . . . 103
8.1.4. Clasificacin de la informacin . . . . . . . . . . . . . . . . . . . . . 104
8.1.5. Anlisis de riesgos de seguridad . . . . . . . . . . . . . . . . . . . . . 104
8.2. Documentacin del inventario de activos . . . . . . . . . . . . . . . . . . . . . 105
8.2.1. Procesos de negocio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
6 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

8.2.2. Inventario de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105


8.2.3. Relacin proceso de negocio-activos . . . . . . . . . . . . . . . . . 106
8.2.4. Valoracin de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
8.3. Documentacin del Anlisis de riesgos . . . . . . . . . . . . . . . . . . . . . . 107
8.3.1. Valoracin del riesgo por activos . . . . . . . . . . . . . . . . . . . . 107
8.3.2. Tramitacin del riesgo . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
8.4. Documentacin de la Gestin de riesgos . . . . . . . . . . . . . . . . . . . . . 110
8.4.1. Valoracin del riesgo por activos . . . . . . . . . . . . . . . . . . . . 110
8.5. Documentacin de la Declaracin de aplicabilidad . . . . . . . . . . . . . 114
8.5.1. Controles aplicados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
8.6. Documentacin del Plan de tratamiento del riesgo . . . . . . . . . . . . . . 123
8.6.1. Objetivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
8.6.2. Alcance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
8.6.3. Responsabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
8.6.4. Tareas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
8.6.5. Seguimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
8.6.6. Objetivos e indicadores . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
8.7. Documentacin del Procedimiento de auditoras internas . . . . . . . . . 125
8.7.1. Objetivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
8.7.2. Alcance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
8.7.3. Responsabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
8.7.4. Desarrollo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
8.7.5. Requisitos de documentacin . . . . . . . . . . . . . . . . . . . . . . . 128
8.7.6. Referencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
8.7.7. Anexos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
8.8. Documentacin del Procedimiento para las copias de seguridad . . . . 131
8.8.1. Objetivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
8.8.2. Alcance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
8.8.3. Responsabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
8.8.4. Trminos y definiciones . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
8.8.5. Procedimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
8.8.6. Requisitos de documentacin . . . . . . . . . . . . . . . . . . . . . . . 134
8.8.7. Referencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
8.8.8. Anexos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
ndice 7

9. Comprender el Esquema Nacional de Seguridad (ENS) . . . . . . . . . . . . . 137


9.1. Generalidades del ENS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
9.2. Principios bsicos del ENS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
9.3. Requisitos mnimos de seguridad del ENS . . . . . . . . . . . . . . . . . . . . 140
9.3.1. Organizacin e implementacin del proceso de seguridad . . 140
9.3.2. Anlisis y gestin de los riesgos . . . . . . . . . . . . . . . . . . . . . 140
9.3.3. Gestin de personal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
9.3.4. Profesionalidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
9.3.5. Autorizacin y control de los accesos . . . . . . . . . . . . . . . . . 141
9.3.6. Proteccin de las instalaciones . . . . . . . . . . . . . . . . . . . . . . 141
9.3.7. Adquisicin de nuevos productos de seguridad . . . . . . . . . . 142
9.3.8. Seguridad por defecto . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142
9.3.9. Integridad y actualizacin del sistema . . . . . . . . . . . . . . . . . 142
9.3.10. Proteccin de la informacin almacenada y en trnsito . . . . 143
9.3.11. Prevencin ante otros sistemas de informacin
interconectados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
9.3.12. Registro de actividad . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
9.3.13. Incidentes de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
9.3.14. Continuidad de la actividad . . . . . . . . . . . . . . . . . . . . . . . . 144
9.3.15. Mejora continua del proceso de seguridad . . . . . . . . . . . . . 144
9.3.16. Soporte al cumplimiento . . . . . . . . . . . . . . . . . . . . . . . . . . 144
9.4. Otros requisitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
9.4.1. Comunicaciones electrnicas . . . . . . . . . . . . . . . . . . . . . . . 145
9.4.2. Auditora de la seguridad . . . . . . . . . . . . . . . . . . . . . . . . . 146
9.4.3. Estado de seguridad de los sistemas . . . . . . . . . . . . . . . . . . 146
9.4.4. Respuesta a incidentes de seguridad . . . . . . . . . . . . . . . . . . 146
9.4.5. Normas de conformidad . . . . . . . . . . . . . . . . . . . . . . . . . . 147
9.4.6. Actualizacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
9.4.7. Categorizacin de los sistemas . . . . . . . . . . . . . . . . . . . . . 147
9.4.8. Formacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148

10. Implementacin del ENS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149


10.1. El plan de adecuacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
10.2. Adecuacin al ENS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
10.2.1. Planificacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
10.2.2. Implementacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
8 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

10.2.3. Verificacin y validacin . . . . . . . . . . . . . . . . . . . . . . . . . . 154


10.2.4. Actualizacin y mejora continua . . . . . . . . . . . . . . . . . . . . . 155

11. Ejemplo prctico: plan de adecuacin . . . . . . . . . . . . . . . . . . . . . . . . . . 157


11.1. Documentacin de la poltica de seguridad . . . . . . . . . . . . . . . . . . . 157
11.2. Documentacin de la categora del sistema . . . . . . . . . . . . . . . . . . . 158
11.2.1. Criterios de valoracin de los activos . . . . . . . . . . . . . . . . . 158
11.2.2. Categorizacin de sistemas . . . . . . . . . . . . . . . . . . . . . . . . 158
11.3. Documentacin del anlisis de riesgos . . . . . . . . . . . . . . . . . . . . . . 160
11.3.1. Metodologa de anlisis . . . . . . . . . . . . . . . . . . . . . . . . . . 160
11.3.2. Valoracin de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160
11.3.3. Mapas de riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
11.3.4. Nivel de riesgo aceptable . . . . . . . . . . . . . . . . . . . . . . . . . 161
11.4. Documentacin de la declaracin de aplicabilidad . . . . . . . . . . . . . 164
11.5. Insuficiencias del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
11.6. Plan de mejora . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168

12. Bibliografa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171


Normas de referencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
Legislacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
Otros documentos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
Links de inters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176

Norma UNE-ISO/IEC 27001:2007 Tecnologa de la informacin. Tcnicas de


seguridad. Sistemas de Gestin de la Seguridad de la Informacin (SGSI).
Requisitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
Introduccin

La informacin es el principal activo de muchas organizaciones y precisa ser prote-


gida adecuadamente frente a amenazas que puedan poner en peligro la continuidad
del negocio.
En la actualidad, las empresas de cualquier tipo o sector de actividad se enfrentan
cada vez ms con riesgos e inseguridades procedentes de una amplia variedad de
contingencias, las cuales pueden daar considerablemente tanto los sistemas de infor-
macin como la informacin procesada y almacenada.
Ante estas circunstancias, las organizaciones han de establecer estrategias y contro-
les adecuados que garanticen una gestin segura de los procesos del negocio, pri-
mando la proteccin de la informacin.
Para proteger la informacin de una manera coherente y eficaz es necesario imple-
mentar un Sistema de Gestin de Seguridad de la Informacin (SGSI). Este sis-
tema es una parte del sistema global de gestin, basado en un anlisis de los riesgos
del negocio, que permite asegurar la informacin frente a la prdida de:
Confidencialidad: slo acceder a la informacin quien se encuentre autori-
zado.
Integridad: la informacin ser exacta y completa.
Disponibilidad: los usuarios autorizados tendrn acceso a la informacin
cuando lo requieran.

La seguridad total es inalcanzable, pero mediante el proceso de mejora continua


del sistema de seguridad se puede conseguir un nivel de seguridad altamente satis-
factorio, que reduzca al mnimo los riesgos a los que se est expuesto y el impacto
que ocasionaran si efectivamente se produjeran.
Objeto de esta gua

El objeto de esta publicacin es facilitar la comprensin de los diversos conceptos


involucrados en un sistema de gestin normalizado y contemplar las recomenda-
ciones generales para la implementacin de un SGSI en una pyme, utilizando la
norma de facto en el mercado internacional para ello, la Norma UNE-ISO/IEC
27001. Tambin se ofrece una visin general de cmo hacerlo en el caso de utilizar el
modelo del Esquema Nacional de Seguridad (ENS), obligatorio por ley en nuestro
pas, para la proteccin de los sistemas que soportan la administracin electrnica,
visin tambin particularmente de inters para pymes que proporcionen servicios
TIC a las Administraciones Pblicas.
Tanto la Norma UNE-ISO/IEC 27001 como el ENS, facilitan la mejora en segu-
ridad, aunque pueden resultar de difcil aplicacin para aquellos que no estn
familiarizados con los conceptos que tratan.
Esta gua no pretende ser preceptiva (existen infinidad de formas de implementar
correctamente la norma y el ENS), sino informativa, proporcionando explicaciones
bsicas de los requisitos de la norma y orientando respecto a la manera en que se
pueden cumplir esos requisitos.
Generalmente, una primera aproximacin a la norma puede infundir desconfianza
en cuanto a la capacidad de la empresa para poder llevar a cabo todos los requeri-
mientos que expresa. Muchos trminos no se utilizan en la actividad cotidiana de
una pyme, tales como riesgos, amenazas, vulnerabilidades. Adems, exige una serie
de tareas desconocidas en la operativa habitual, tales como la realizacin de un an-
lisis de riesgos y la seleccin de controles. Para complicar ms las cosas, se hace
referencia a la Norma UNE-ISO/IEC 27002, que especifica una amplia gama de
controles de seguridad a implementar, en numerosos casos, con una gran carga de
contenido tcnico. Los objetivos, controles e indicaciones contenidos en la Norma
12 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

UNE-ISO/IEC 27002 pueden llegar a ser muy difciles de valorar por un gestor
que no cuente con la informacin o la formacin adecuada, hecho que le impedira
decidir cabalmente sobre cul es su relevancia para la empresa y las consecuencias
de la implementacin o no de un determinado control en ella.
Esta gua pretende suplir semejantes carencias, proporcionando informacin deta-
llada sobre el significado prctico de los requisitos de la norma y explicando con
ejemplos cmo se pueden realizar, teniendo siempre en cuenta la situacin inicial,
los requisitos de seguridad de la empresa y, por supuesto, los recursos disponibles,
ya que sin contar con esto ningn sistema de gestin se hallar bien diseado y, por
lo tanto, estar condenado al fracaso.
Para una mejor comprensin de las implicaciones de los diversos requisitos de la
norma, esta gua incluye un ejemplo prctico, basado en una empresa ficticia, con
la documentacin bsica que debe incluir un SGSI e indicaciones sobre la informa-
cin que debe recoger cada documento.
1
Introduccin a los
Sistemas de Gestin
de Seguridad de la
Informacin (SGSI)

1.1. Definicin de un SGSI


Un Sistema de Gestin de Seguridad de la Informacin (SGSI), segn la Norma
UNE-ISO/IEC 27001, es una parte del sistema de gestin general, basada en un
enfoque de riesgo empresarial, que se establece para crear, implementar, operar,
supervisar, revisar, mantener y mejorar la seguridad de la informacin. Esto signi-
fica que se va a dejar de operar de una manera intuitiva y se va a empezar a tomar
el control sobre lo que sucede en los sistemas de informacin y sobre la propia
informacin que se maneja en la organizacin. Nos permitir conocer mejor nues-
tra organizacin, cmo funciona y qu podemos hacer para que la situacin
mejore.
La norma especifica que, como cualquier otro sistema de gestin, el SGSI incluye
tanto la organizacin como las polticas, la planificacin, las responsabilidades, las
prcticas, los procedimientos, los procesos y los recursos. Es decir, tanto la docu-
mentacin de soporte como las tareas que se realizan. Los sistemas de gestin que
definen las normas ISO siempre estn documentados, ya que, por un lado, es la
mejor manera de formalizar normas e instrucciones y, por otro, son ms fciles de
transmitir y comunicar, cosa que no sucedera si se confa en un traspaso de infor-
macin verbal informal.
La norma es compatible con el resto de las normas ISO para sistemas de gestin
(UNE-EN ISO 9001 y UNE-EN ISO 14001) y poseen idntica estructura y
requisitos comunes, por lo que se recomienda integrar el SGSI con el resto de los
sistemas de gestin que existan en la empresa para no duplicar esfuerzos.
Incluso cuando no exista un sistema de gestin formal, el amplio conocimiento
actual de estos sistemas hace que las principales caractersticas de la norma sean
14 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

comprensibles para la mayora de la gente, y que para explicarla en detalle sea


suficiente con incidir en las diferencias fundamentales, a saber, que con un SGSI
lo que tratamos es de gestionar la seguridad de la informacin de nuestra
organizacin.

1.2. El ciclo de mejora continua


Para establecer y gestionar un sistema de gestin de la seguridad de la informacin
se utiliza el ciclo PDCA (conocido tambin como ciclo Deming), tradicional en los
sistemas de gestin de la calidad (vase la figura 1.1). El ciclo PDCA es un con-
cepto ideado originalmente por Shewhart, pero adaptado a lo largo del tiempo por
algunos de los ms sobresalientes personajes del mundo de la calidad. Esta meto-
dologa ha demostrado su aplicabilidad y ha permitido establecer la mejora conti-
nua en organizaciones de todas clases.
El modelo PDCA o Planificar-Hacer-Verificar-Actuar (Plan-Do-Check-Act, de sus
siglas en ingls), tiene una serie de fases y acciones que permiten establecer un
modelo de indicadores y mtricas comparables en el tiempo, de manera que se
pueda cuantificar el avance en la mejora de la organizacin:
Plan. Esta fase se corresponde con establecer el SGSI. Se planifica y disea el
programa, sistematizando las polticas a aplicar en la organizacin, cules son
los fines a alcanzar y en qu ayudarn a lograr los objetivos de negocio, qu
medios se utilizarn para ello, los procesos de negocio y los activos que los
soportan, cmo se enfocar el anlisis de riesgos y los criterios que se segui-
rn para gestionar las contingencias de modo coherente con las polticas y
objetivos de seguridad.
Do. Es la fase en la que se implementa y pone en funcionamiento el SGSI.
Las polticas y los controles escogidos para cumplirlas se implementan
mediante recursos tcnicos, procedimientos o ambas cosas a la vez, y se asig-
nan responsables a cada tarea para comenzar a ejecutarlas segn las instruc-
ciones.
Check. Esta fase es la de monitorizacin y revisin del SGSI. Hay que con-
trolar que los procesos se ejecutan como se ha establecido, de manera eficaz
y eficiente, alcanzando los objetivos definidos para ellos. Adems, hay que
verificar el grado de cumplimiento de las polticas y procedimientos, identi-
ficando los fallos que pudieran existir y, hasta donde sea posible, su origen,
mediante revisiones y auditoras.
1. Introduccin a los Sistemas de Gestin de Seguridad de la Informacin (SGSI) 15

Act. Es la fase en la que se mantiene y mejora el SGSI, decidiendo y efec-


tuando las acciones preventivas y correctivas necesarias para rectificar los
fallos, detectados en las auditoras internas y revisiones del SGSI, o cualquier
otra informacin relevante para permitir la mejora permanente del SGSI.

La mejora continua es un proceso en s mismo. Debe entenderse como la mejora


progresiva de los niveles de eficiencia y eficacia de una organizacin en un pro-
ceso continuo de aprendizaje, tanto de sus actividades como de los resultados
propios.
Dado que la norma se encuentra enfocada hacia la mejora continua, es un esfuerzo
innecesario tratar de implementar un SGSI perfecto en un primer proyecto de este
tipo. El objetivo debera ser disear un SGSI que se ajuste lo ms posible a la reali-
dad de la organizacin, que contemple las medidas de seguridad mnimas e impres-
cindibles para proteger la informacin y cumplir con la norma, pero que consuma
pocos recursos e introduzca el menor nmero de cambios posibles. De esta manera,
el SGSI se podr integrar de una forma no traumtica en la operativa habitual de la
organizacin, dotndola de herramientas con las que hasta entonces no contaba que
puedan demostrar su eficacia a corto plazo.
La aceptacin de este primer SGSI es un factor de xito fundamental. Permitir a
la organizacin ir mejorando su seguridad paulatinamente y con escaso esfuerzo.

Tomar acciones correctivas


y preventivas
Act Plan Definir poltica y alcance

Revisar y auditar el SGSI Check Do Implementar el SGSI

Figura 1.1. Ciclo PDCA


16 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

1.3. La Norma UNE-ISO/IEC 27001


1.3.1. Origen de la norma
ISO (Organizacin Internacional de Normalizacin) e IEC (Comisin Electrotc-
nica Internacional) constituyen el sistema especializado para la normalizacin a
nivel mundial. Los organismos nacionales que son miembros de ISO o IEC parti-
cipan en el desarrollo de las normas internacionales a travs de comits tcnicos
establecidos por las organizaciones respectivas para realizar acuerdos en campos
especficos de la actividad tcnica. Los comits tcnicos de ISO e IEC colaboran en
los campos de inters mutuo.
En el campo de la tecnologa de la informacin, ISO e IEC han establecido un
comit tcnico conjunto, el denominado ISO/IEC JTC 1 (Joint Technical Commit-
tee 1). Los borradores de estas normas internacionales, adoptadas por la unin de
este comit tcnico, son enviados a los organismos de las diferentes naciones para
su votacin. La publicacin como norma internacional requiere la aprobacin de,
por lo menos, el 75% de los organismos nacionales que emiten su voto.
La Norma Internacional ISO/IEC 27002 fue preparada inicialmente por el Insti-
tuto de Normas Britnico (como BS 7799), y adoptada bajo la supervisin del sub-
comit de tcnicos de seguridad del comit tcnico ISO/IEC JTC 1, en paralelo
con su aprobacin por los organismos nacionales miembros de ISO e IEC.
Una vez que fue publicada la Norma ISO/IEC 17799-1 (actualmente se corres-
ponde con la Norma ISO/IEC 27002), Reino Unido (BSI) y Espaa (AENOR)
elevaron al comit internacional sus normas nacionales sobre las especificaciones de
los sistemas de gestin de la seguridad de la informacin (SGSI), BS 7799-2 y
UNE 71502 respectivamente, siendo estas normas el origen de lo que finalmente
acabo publicndose como norma internacional ISO/IEC 27001 en el ao 2005,
que fue adoptada como norma espaola UNE-ISO/IEC 27001 en el ao 2007,
tras un periodo de convivencia con la norma anteriormente mencionada.
Actualmente, tanto la norma ISO/IEC 27001 como la ISO/IEC 27002 estn en
proceso de revisin internacional, y se espera que se publiquen las nuevas versiones
a lo largo del ao 2013.
Como se ha comentado anteriormente, este estndar internacional adopta tambin
el modelo Plan-Do-Check-Act (PDCA), es decir, se basa en un ciclo de mejora con-
tinua que consiste en planificar, desarrollar, comprobar y actuar en consecuencia
con lo que se haya detectado al efectuar las comprobaciones. De esta manera se
conseguir ir refinando la gestin, hacindola ms eficaz y efectiva.
1. Introduccin a los Sistemas de Gestin de Seguridad de la Informacin (SGSI) 17

1.3.2. Objeto y campo de aplicacin de la norma


La Norma UNE-ISO/IEC 27001, como el resto de las normas aplicables a los sis-
temas de gestin, est pensada para que se emplee en todo tipo de organizaciones
(empresas privadas y pblicas, entidades sin nimo de lucro, etc.), sin importar el
tamao o la actividad.
Esta norma especifica los requisitos para la creacin, implementacin, funciona-
miento, supervisin, revisin, mantenimiento y mejora de un SGSI documentado,
teniendo en cuenta los riesgos empresariales generales de la organizacin. Es decir,
explica cmo disear un SGSI y establecer los controles de seguridad, de acuerdo
con las necesidades de una organizacin o de partes de la misma, pero no aclara
mediante qu procedimientos se ponen en prctica. Por ejemplo, uno de los princi-
pales requisitos es la realizacin de un anlisis de riesgos con unas determinadas
caractersticas de objetividad y precisin, pero no aporta indicaciones de cul es la
mejor manera de llevar a cabo dicho anlisis. Puede ejecutarse con una herramienta
comercial, con una aplicacin diseada expresamente para la empresa, mediante
reuniones, entrevistas, tablas o cualquier otro mtodo que se estime oportuno.
Todos estos recursos servirn para cumplir la norma, siempre y cuando se observen
los requisitos de objetividad del mtodo, los resultados sean repetibles y la
metodologa se documente.

1.4. La Norma UNE-ISO/IEC 27002


1.4.1. Origen
La Norma UNE-ISO/IEC 27002 Tecnologa de la informacin. Cdigo de buenas
prcticas para la gestin de la seguridad de la informacin, ha sido elaborada por el
AEN/CTN 71/SC 27 Tcnicas de seguridad que pertenece al comit tcnico con-
junto ISO/IEC JTC 1/SC 27 Tecnologa de la informacin. En ambas normas el con-
tenido es idntico, diferencindose nicamente en la numeracin, que ha sido
modificada en el marco de la creacin de la familia de normas ISO 27000.
Esta norma se est desarrollando dentro de una familia de normas internacionales
sobre Sistemas de Gestin de la Seguridad de la Informacin (SGSI). Tal familia
incluye normas internacionales sobre requisitos, gestin del riesgo, mtricas y
mediciones, as como una gua de implementacin de los sistemas de gestin de la
seguridad de la informacin. Dicha familia de normas tiene un esquema de nume-
racin que utilizar los nmeros de la serie 27000.
18 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

1.4.2. Objeto y campo de aplicacin


La Norma UNE-ISO/IEC 27002 establece las directrices y principios generales
para el comienzo, la implementacin, el mantenimiento y la mejora de la gestin
de la seguridad de la informacin en una organizacin. Es un catlogo de buenas
prcticas, obtenido a partir de la experiencia y colaboracin de numerosos partici-
pantes, los cuales han alcanzado un consenso acerca de los objetivos comnmente
aceptados para la gestin de la seguridad de la informacin.
Los objetivos de control y los controles de esta norma internacional tienen como
fin servir de gua para el desarrollo de pautas de seguridad internas y prcticas efec-
tivas de gestin de la seguridad. Por ello, la eleccin de los controles permanece
sujeta a lo detectado en un anlisis de riesgos previo, y el grado de implementacin
de cada uno de los controles se llevar a cabo de acuerdo a los requisitos de seguri-
dad identificados y a los recursos disponibles de la organizacin para alcanzar as
un balance razonable entre seguridad y coste.

1.5. El Esquema Nacional de Seguridad (ENS)


1.5.1. Origen
La Ley 11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a los Ser-
vicios Pblicos est siendo el motor y la gua de la administracin electrnica. Esta
ley ha dado paso a una nueva etapa en la gestin de la Administracin Pblica,
impulsando la adopcin de los medios tecnolgicos actualmente disponibles para
realizar tareas de gestin y facilitando a los ciudadanos el acceso a la Administra-
cin Pblica en contextos ms adecuados a la realidad social.
Esta ley, en su artculo 1 reconoce el derecho de los ciudadanos a relacionarse con
las Administraciones Pblicas por medios electrnicos con la misma validez que
por los medios tradicionales, y estipula que stas utilicen las tecnologas de la infor-
macin asegurando la disponibilidad, el acceso, la integridad, la autenticidad, la
confidencialidad y la conservacin de los datos, informaciones y servicios que ges-
tionen en el ejercicio de sus competencias. Tambin determina que la herramienta
para conseguir este objetivo ser el Esquema Nacional de Seguridad, que estable-
cer una poltica de seguridad en la utilizacin de medios electrnicos, y contar
con unos principios bsicos y una serie de requisitos mnimos que permitirn una
proteccin adecuada de los sistemas y la informacin.
El ENS est regulado por el Real Decreto 3/2010, de 8 de enero, que recoge los
requisitos tcnicos y organizativos que se deben cumplir para proteger la informa-
cin dentro del mbito de aplicacin del mismo. Por tanto, se puede decir que trata
1. Introduccin a los Sistemas de Gestin de Seguridad de la Informacin (SGSI) 19

la proteccin de la informacin y de los servicios en el mbito de la administracin


electrnica y que, a la luz de principios y requisitos generalmente reconocidos,
exige la gestin continuada de la seguridad, aplicando un sistema de gestin de
seguridad de la informacin.

1.5.2. Objeto y campo de aplicacin


El objeto del ENS es garantizar la seguridad de los servicios prestados mediante
medios electrnicos, de manera que los ciudadanos puedan realizar cualquier tr-
mite con la confianza de que va a tener validez jurdica plena y que sus datos van a
ser tratados de manera segura.
Toda la Administracin Pblica espaola, Administracin General del Estado,
Administraciones de las Comunidades Autnomas, Administraciones Locales, as
como las entidades de derecho pblico vinculadas o dependientes de las mismas,
estn sujetas al cumplimiento de los requisitos del ENS.
Su mbito de aplicacin son los sistemas de informacin, los datos, las comunica-
ciones y los servicios electrnicos, que permitan a los ciudadanos y a las Adminis-
traciones Pblicas el ejercicio de derechos y el cumplimiento de deberes a travs de
medios electrnicos.

1.6. Trminos y definiciones


Para cumplir con las intenciones de este documento, conviene aclarar el significado
de ciertos trminos y definiciones:
Activo
Cualquier bien que tiene valor para la organizacin.
[ISO/IEC 13335-1:2004]

Disponibilidad
La propiedad de ser accesible y utilizable por una entidad autorizada.
[ISO/IEC 13335-1:2004]

Confidencialidad
La propiedad por la que la informacin no se pone a disposicin o se revela
a individuos, entidades o procesos no autorizados.
[ISO/IEC 13335-1:2004]
20 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Seguridad de la informacin
La preservacin de la confidencialidad, la integridad y la disponibilidad de la
informacin, pudiendo, adems, abarcar otras propiedades, como la autenti-
cidad, la responsabilidad, la fiabilidad y el no repudio.
[ISO/IEC 17799:2005]

Evento de seguridad de la informacin


La ocurrencia detectada en un estado de un sistema, servicio o red que indica
una posible violacin de la poltica de seguridad de la informacin, un fallo
de las salvaguardas o una situacin desconocida hasta el momento y que
puede ser relevante para la seguridad.
[ISO/IEC TR 18044:2004]

Incidente de seguridad de la informacin


Un nico evento o una serie de eventos de seguridad de la informacin, ines-
perados o no deseados, que tienen una probabilidad significativa de compro-
meter las operaciones empresariales y de amenazar la seguridad de la infor-
macin.
[ISO/IEC TR 18044:2004]

Sistema de Gestin de la Seguridad de la Informacin (SGSI) [Information


Security Management System, ISMS]
La parte del sistema de gestin general, basada en un enfoque de riesgo
empresarial, que se establece para crear, implementar, operar, supervisar, revi-
sar, mantener y mejorar la seguridad de la informacin.
Nota: el sistema de gestin incluye la estructura organizativa. las polticas, las actividades
de planificacin, las responsabilidades, las prcticas, los procedimientos, los procesos y
los recursos.

Integridad
La propiedad de salvaguardar la exactitud y completitud de los activos.
[ISO/IEC 13335-1:2004]

Riesgo residual
Riesgo remanente que existe despus de que se hayan tornado las medidas
de seguridad.
[ISO/IEC Guide 73:2002]
1. Introduccin a los Sistemas de Gestin de Seguridad de la Informacin (SGSI) 21

Aceptacin del riesgo


La decisin de aceptar un riesgo.
[ISO/IEC Guide 73:2002]

Anlisis de riesgos
Utilizacin sistemtica de la informacin disponible para identificar peligros
y estimar los riesgos.
[ISO/IEC Guide 73:2002]

Evaluacin de riesgos
El proceso general de anlisis y estimacin de los riesgos.
[ISO/IEC Guide 73:2002]

Estimacin de riesgos
El proceso de comparacin del riesgo estimado con los criterios de riesgo,
para as determinar la importancia del riesgo.
[ISO/IEC Guide 73:2002]

Gestin de riesgos
Actividades coordinadas para dirigir y controlar una organizacin con res-
pecto a los riesgos.
[ISO/IEC Guide 73:2002]

Tratamiento de riesgos
El proceso de seleccin e implementacin de las medidas encaminadas a
modificar los riesgos.
[ISO/IEC Guide 73:2002].
Nota: en esta norma internacional, el trmino control se utiliza como sinnimo de
medida de seguridad.

Declaracin de aplicabilidad
Declaracin documentada que describe los objetivos de control y los contro-
les que son relevantes para el SGSI de la organizacin y aplicables al mismo.
Nota: los objetivos de control y los controles se basan en los resultados y conclusiones de
la evaluacin de riesgos y en los procesos de tratamiento del riesgo, en los requisitos lega-
les o reglamentarios, en las obligaciones contractuales y en las necesidades empresariales
de la organizacin en materia de seguridad de la informacin.
2 Comprender la
Norma UNE-ISO/IEC 27001

La seguridad no es el resultado de un proceso, es un proceso en s mismo. Se con-


seguir un nivel de seguridad aceptable en la medida en que este proceso funcione
y progrese adecuadamente.
No es de extraar, por tanto, que la Norma UNE-ISO/IEC 27001 exija que se
adopte un proceso para establecer, implementar, operar, monitorizar, revisar, man-
tener y mejorar el SGSI en una organizacin. Es decir, hay que disearlo, ponerlo
en marcha, comprobar que se obtienen los resultados esperados y, en funcin de
esa evaluacin, tomar acciones para corregir las desviaciones detectadas o intentar
mejorar la situacin, en este caso, la seguridad de la informacin. Y todo ello de
una manera ordenada y metdica, mediante un proceso.

2.1. Requisitos generales del sistema de gestin


de la seguridad
Una organizacin necesita identificar y administrar cualquier tipo de actividad para
funcionar eficientemente. Cualquier actividad que emplea recursos y es adminis-
trada para transformar entradas en salidas, puede ser considerada como un pro-
ceso. A menudo, estas salidas son aprovechadas nuevamente como entradas, gene-
rando una realimentacin.
Habitualmente se piensa que los sistemas de gestin son un conjunto de activida-
des que requieren unos niveles de recursos y dinero que no estn al alcance de una
empresa pequea. Nada ms lejos de la realidad. En infinidad de ocasiones son las
pequeas empresas las que ms se pueden beneficiar de estas iniciativas, ya que
24 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

carecen de los conocimientos y la cultura que transmiten las normas de manera tan
sinttica y depurada. El xito de un proyecto de implementacin de un SGSI est
fuertemente ligado a la habilidad del promotor de asignar los recursos justos y
necesarios para disear un sistema adecuado a las necesidades de la organizacin.
El sistema debe cumplir con los requisitos de la norma, por supuesto, pero no
menos importante es el cumplimiento de los requisitos del negocio. Cualquier
sistema de gestin debe apoyar el cumplimiento de los objetivos de la organizacin
o no tendr razn de ser.
Los requisitos que exige este estndar internacional son genricos y aplicables a la
totalidad de las organizaciones, independientemente de su tamao o sector de acti-
vidad. En particular, no se acepta la exclusin de los requerimientos especificados
en los apartados 4, 5, 6, 7 y 8 cuando una organizacin solicite su conformidad con
esta norma. Estos apartados son las que realmente conforman el cuerpo principal
de la norma:
Sistema de gestin de la seguridad de la informacin.
Responsabilidad de la direccin.
Auditoras internas del SGSI.
Revisin del SGSI por la direccin.
Mejora del SGSI.

Lo que la norma reclama es que exista un sistema documentado (poltica, anlisis


de riesgos, procedimientos, etc.), donde la direccin colabore activamente y se
implique en el desarrollo y gestin del sistema. Se controlar el funcionamiento
del sistema para que marche correctamente y la mejora sea continua, practicndose
auditoras internas y revisiones del sistema para verificar que se estn obteniendo
los resultados esperados, igualmente se activarn acciones encaminadas a solucio-
nar los problemas detectados en las actividades de comprobacin (auditoras y revi-
siones), a prevenir problemas y a mejorar aquellos asuntos que sean susceptibles
de ello.
El sistema constar de una documentacin en varios niveles (vase la figura 2.1):
Polticas, que proporcionan las guas generales de actuacin en cada caso.
Procedimientos, que dan las instrucciones para ejecutar cada una de las tareas
previstas.
Registros, que son las evidencias de que se han llevado a cabo las actuaciones
establecidas.
2. Comprender la Norma UNE-ISO/IEC 27001 25

Polticas

Procedimientos

Registros

Figura 2.1. Niveles de documentacin

2.2. Establecimiento y gestin del SGSI


2.2.1. Establecimiento del SGSI
La norma establece una serie de requisitos, que se detallan a continuacin (vase la
figura 2.2). Para satisfacerlos, la organizacin debe buscar los medios ms apropia-
dos a sus circunstancias, necesidades y, por supuesto, los recursos disponibles. Debe
recopilarse informacin sobre varios aspectos, tales como a qu se dedica la organi-
zacin, qu necesidades de seguridad precisa teniendo en cuenta su actividad, y el
mbito en el que opera, as como las restricciones legales a las que puede estar
sujeta dicha actividad.
Los requisitos en muchos casos no se encuentran definidos. La organizacin sabe,
en trminos generales, qu nivel de seguridad desea, pero no existen mecanismos
para expresarlo y documentarlo. Hay que concretar esas necesidades que se perci-
ben para poder comenzar el diseo del SGSI. Sabiendo qu se necesita se podrn
26 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

ISO 27001

Reglamentos Leyes

SGSI

Recursos Negocio

Contratos

Figura 2.2. Requisitos del SGSI

proponer opciones y tomar decisiones. Es fundamental no comprometer recursos


difciles de conseguir. Hay que ser realista con los recursos disponibles en cada
momento y dimensionar el proyecto de acuerdo con las prioridades del negocio.
Cuando una empresa decide adaptarse a esta norma (vase la figura 2.3), bsica-
mente se emprendern las actividades que se detallan a continuacin, y que como
tienen que ser documentadas, al finalizarlas, el SGSI contar ya con los siguientes
documentos:
Poltica de seguridad, que contendr las directrices generales a las que se
ajustar la organizacin en cuanto a seguridad, as como la estrategia a seguir
a la hora de establecer objetivos y lneas de actuacin. La poltica estar ali-
neada con el resto de los objetivos del negocio y polticas de gestin que
existan en la organizacin. Esta poltica estar aprobada por la direccin.
Inventario de activos, que detallar los activos dentro del alcance del SGSI,
as como los propietarios y la valoracin de tales activos.
Anlisis de riesgos, con los riesgos identificados basndose en la poltica de
la organizacin sobre seguridad de la informacin y el grado de seguridad
requerido.
2. Comprender la Norma UNE-ISO/IEC 27001 27

Las decisiones de la direccin respecto a los riesgos identificados, as como


la aprobacin de los riesgos residuales.
Documento de aplicabilidad con la relacin de los controles que son aplicables
para conseguir el nivel de riesgo residual aprobado por la direccin.

Definir
alcance

Definir poltica
de seguridad
Identificar activos
Definir el enfoque
de anlisis
Identificar los riesgos

Analizar los riesgos

Tratar los riesgos

Figura 2.3. Establecer el SGSI

2.2.2. Definicin del alcance del SGSI


Es decir, sobre qu proceso (o procesos) va a actuar, ya que no es necesaria la apli-
cacin de la norma a toda la entidad. Hay que evaluar los recursos que se pueden
dedicar al proyecto y si realmente es preciso abarcar toda la organizacin. Normal-
mente es ms prctico limitar el alcance del SGSI a aquellos servicios, departamentos
o procesos en los que resulte ms sencillo, bien porque el esfuerzo va a ser menor
o porque la visibilidad del proyecto (interna o externa) es mayor. En cualquier caso,
28 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

hay que tener en cuenta que dimensionar correctamente el proyecto es fundamental


para alcanzar el xito. Embarcarse en un proyecto costoso, complejo, que se alarga
en el tiempo, con falta de resultados, est abocado al fracaso.

2.2.3. Definicin de la poltica de seguridad


Decidir qu criterios se van a seguir, estableciendo las principales lneas de accin
que se van a seguir para que la confidencialidad, la integridad y la disponibilidad
queden garantizadas. Esta poltica tendr en cuenta los requisitos del negocio, los
contractuales y los legales y estatutarios que sean aplicables. Es primordial incorpo-
rar en esta fase inicial las necesidades de la organizacin. Aunque a veces son difci-
les de expresar y documentar, es esencial que el SGSI est alineado con el resto de
las estrategias, planes y modos de funcionar de la organizacin para que pueda inte-
grarse en el da a da sin complicaciones y rindiendo resultados desde el principio.
Cuando resulte posible, ser til recopilar los documentos de seguridad existentes
en la organizacin para incorporarlos desde el principio al sistema. La poltica de
seguridad debe dejar claras las normas bsicas de seguridad en la organizacin,
definiendo cul va a ser el comportamiento de la misma en cuanto a los usos de la
informacin y de los sistemas, los accesos, cmo se gestionarn las incidencias, etc.
Los empleados deben conocer esta poltica y adherirse a ella, incluso formalmente
si es necesario.

2.2.4. Identificacin de los activos de informacin


Se deben identificar junto con sus responsables. El SGSI va a proteger los activos
que queden dentro del alcance definido, por eso es vital listarlos todos, lo cual no
significa que haya que detallar cada componente de los sistemas de informacin y
cada documento que se maneje en la empresa, pero s es indispensable identificar
qu activos son los que soportan los procesos de la organizacin. Es decir, qu hace
falta para que la empresa funcione: los equipos, las aplicaciones, los informes, los
expedientes, las bases de datos, las comunicaciones, etc. Para ello, lo primero es
identificar los activos dentro del alcance del SGSI (hardware, software, infraestruc-
turas, aplicaciones, servicios, etc.) junto con los responsables de estos activos.
Una vez identificados deben valorarse, de manera que se puedan categorizar, ya
que es probable que este inventario de activos sea voluminoso, por lo que no es
viable realizar un anlisis de riesgos sobre todos ellos. De acuerdo con la relevancia
que la organizacin otorgue a los activos, se escoger el grupo de los ms valiosos
para efectuar el anlisis de riesgos. Esta tarea consume gran parte de los recursos del
proyecto, por lo que es conveniente simplificarla ya desde esta fase.
2. Comprender la Norma UNE-ISO/IEC 27001 29

Los activos deben relacionarse con los procesos de negocio que soportan, de
forma que quede explcita la dependencia del negocio respecto de esos activos.
La norma es bastante clara al respecto. El SGSI debe apoyar la consecucin de
los objetivos de negocio. Se realiza una gestin para obtener unos resultados, la
seguridad de la informacin no es una excepcin. Su gestin ha de estar orien-
tada en todo momento a que la organizacin funcione ms y mejor y consiga sus
propsitos. Como la seguridad parece un tema muy tcnico se puede caer en el
error de considerar que es un problema que deben solucionar los informticos.
No cabe duda de que la seguridad de la informacin consta de un destacable
componente tcnico y que el personal tcnico debe estar involucrado activamente
en el diseo, desarrollo y mantenimiento de un SGSI, pero recordemos que esta-
mos hablando de un sistema de gestin, por lo que la parte de gestin es tanto
o ms importante que la parte tcnica. Un sistema no funciona si el personal que
lo debe utilizar no lo hace. Como prueba, slo hay que pensar que las incidencias
ms graves de seguridad no suelen tener su origen en fallos tcnicos, sino en fallos
humanos.

2.2.5. Definicin del enfoque del anlisis de riesgos


Hay que decidir cmo se enfocar el anlisis de riesgos. El anlisis de riesgos deter-
minar las amenazas y vulnerabilidades de los activos de informacin previamente
inventariados. Esta tarea es crucial para el correcto diseo del SGSI, puesto que de
su resultado depende que se escojan unos controles u otros, que son los que con-
formarn nuestro sistema.
Como es una tarea laboriosa, se buscan mtodos para que su ejecucin sea ms
simple sin dejar de ser rigurosa. Primeramente se elige el nivel de detalle con el
que se va a llevar a cabo el anlisis, enfoque de mnimos o detallado, y despus
el grado de formalidad, enfoque informal o formal. Estas categoras no son exclu-
yentes, es decir, se puede optar por un enfoque detallado y formal para un grupo
de activos muy crticos, para otro grupo importante se hace un anlisis detallado e
informal y para un tercer grupo de menor relevancia, un enfoque de mnimos.
Esto se llamara enfoque mixto. En un enfoque de mnimos se establece un nivel
bsico de seguridad para los sistemas, efectuando una simplificacin del inventario
de activos y del anlisis de riesgos que consuma los recursos mnimos. Con un
enfoque detallado se realizan revisiones detalladas del anlisis de riesgos para todos
los sistemas, se identifican todos los riesgos y la evaluacin de sus magnitudes.
Como estas tareas consumen muchos recursos, no se suele utilizar un enfoque deta-
llado para todos los activos, slo para los ms notables.
30 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

2.2.6. Cmo escoger la metodologa del anlisis


de riesgos
Puesto que la norma nicamente establece que los resultados han de ser compara-
bles y repetibles, debe escogerse aquella metodologa que mejor se adapte a los
modos de trabajo de la organizacin, as el ejercicio se integrar sin problemas en
el trabajo cotidiano. Adems, ayuda a que los resultados sean ms aceptables por la
organizacin y a que se pueda mantener en el tiempo. Si la metodologa escogida
es excesivamente complicada y requiere mucho esfuerzo para llevar a cabo el anlisis,
la carga de trabajo aadida complicar el proyecto, y los resultados pueden parecer
poco fiables por los no implicados directamente en su obtencin, puesto que ser
difcil explicarlos.
Identificar los riesgos que pueden afectar a la organizacin y a sus activos de infor-
macin. Hay que saber cules son los peligros a los que se enfrenta la empresa, los
puntos dbiles, para poder solucionar de manera efectiva los problemas, insistiendo
con ms recursos y esfuerzos en los temas que ms lo necesitan. Un SGSI tiene que
incluir medidas de seguridad apropiadas a los riesgos a los que la organizacin debe
enfrentarse, para ello se plantear un anlisis de riesgos que determine el nivel de
riesgo existente sobre los activos de informacin de la empresa. Con un mtodo
de anlisis de riesgos ya escogido se identificarn las amenazas sobre estos activos,
las vulnerabilidades que podran ser explotadas por las amenazas y los impactos que
pueden tener en los activos. El riesgo se define a menudo como la funcin del dao
que podra producir una amenaza por la probabilidad de que eso ocurra. Cuantifi-
cando estos parmetros, se obtendrn los valores de riesgo para cada activo.
Definir los criterios para aceptar los riesgos y seleccionar los controles, de manera
proporcional a los riesgos detectados y a los recursos disponibles. En la prctica, el
punto de corte para decidir si se acepta un riesgo o no va a venir dado por los
recursos que se le puedan asignar al SGSI. Puesto que tendremos valores para cada
uno de los activos, se decidir a la vista de los mismos dnde se halla el valor por
debajo del cual ya no podremos hacer ms de lo que se ha hecho. Aplicar controles
a todos los activos no suele ser viable ni organizativa ni econmicamente.
Una vez definidos los lmites, condicionantes y requisitos que debe cumplir el
SGSI, puesto que en la norma no se requiere que exista un Manual de seguridad en
la lnea de otras normas de gestin, toda esta informacin debe quedar plasmada
en parte de los documentos que compondrn el SGSI. En particular es necesario
documentar en esta fase:
La poltica de seguridad, que adems debe aprobarse por la direccin.
La metodologa a seguir para realizar el anlisis de riesgos.
2. Comprender la Norma UNE-ISO/IEC 27001 31

2.2.7. Tratamiento de los riesgos


Obtenidos los niveles de riesgo, hay que decidir si son aceptables o no, segn el cri-
terio fijado previamente. Si no lo son, hay que evaluar cmo se van a tratar esos
riesgos:
Mitigar el riesgo. Es decir, reducirlo, mediante la implementacin de controles
que disminuyan el riesgo hasta un nivel aceptable.
Asumir el riesgo. La direccin tolera el riesgo, ya que est por debajo de un
valor de riesgo asumible o bien porque no se puede hacer frente razonable-
mente a ese riesgo, por costoso o por difcil. La direccin debe firmar que
los activos con un valor de riesgo inferior no estarn sometidos a controles
que mitiguen el riesgo.
Transferir el riesgo a un tercero. Por ejemplo, asegurando el activo que tiene
el riesgo o subcontratando el servicio. An as, evidenciar que la responsabi-
lidad sobre el activo permanece siempre en manos de la organizacin y tener
en cuenta que hay daos, como los causados a la reputacin de la organiza-
cin, que difcilmente son cubiertos por ningn seguro.
Eliminar el riesgo. Aunque no suele ser la opcin ms viable, ya que puede
resultar complicado o costoso.

Tambin se puede optar por una estrategia que combine dos o ms de estas elec-
ciones. Por ejemplo, un sistema muy crtico y con mucho riesgo puede decidirse a
aplicar controles que mitiguen el riesgo en los aspectos operativos cotidianos y sub-
contratar los cambios con lo que se transferir parte del riesgo al contratista. La
opciones ms habituales son las de mitigar y asumir. Cuando se resuelva mitigar el
riesgo, los controles deben ser seleccionados e implementados teniendo en cuenta
los requisitos identificados y el resultado del anlisis de riesgos.

2.2.8. Seleccin de controles


La norma especifica que los controles deben ser seleccionados de entre los listados
en el anexo A de la propia norma, es decir, los que la Norma UNE-ISO/IEC 27002
contiene. En caso necesario, se pueden aadir otros, pero esta lista de controles es
un slido punto de partida para elegir las medidas de seguridad apropiadas para
el SGSI, asegurando que ningn aspecto o control importante se pasan por alto.
La seleccin de controles es un punto crtico del SGSI. A la hora de escoger o
rechazar un control se debe considerar hasta qu punto ese control va a ayudar
32 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

a reducir el riesgo que hay y cul va a ser el coste de su implementacin y mante-


nimiento. Cabe la posibilidad de que un control que se estime oportuno imple-
mentar, sea demasiado costoso o difcil de implementar para la organizacin, por
resistencia al cambio o por falta de formacin, y que haya que excluirlo de la selec-
cin por esos motivos. Un SGSI no tiene necesariamente que tener cubiertos todos
y cada uno de los riesgos a los que se est expuesto, sino que tratar de mitigarlos
de acuerdo con las necesidades del negocio. Las necesidades de seguridad de un
banco y de un almacn de madera son radicalmente distintas, y eso significa que
sus SGSI tambin han de serlo. Nunca el coste de implementacin y manteni-
miento de un control debe superar a los beneficios que se esperan de l.

2.2.9. Gestin de riesgos


Una vez seleccionados los controles se repetir el anlisis de riesgos, teniendo en
cuenta ya todas las medidas de seguridad implementadas y aquellas elegidas para
hacerlo. El valor del riesgo obtenido ser el riesgo actual, en funcin del que se
determina el riesgo asumible por la organizacin, y se deciden las nuevas estrate-
gias y acciones para reducir los riesgos que estn por encima de ese valor.
Una tercera iteracin del anlisis de riesgos que contemplan las medidas previstas,
nos dar los riesgos residuales.
La direccin debe aprobar el valor de riesgo aceptable y asumir el riesgo residual.

2.2.10. Declaracin de aplicabilidad


El siguiente requisito de la norma es la preparacin de una declaracin de aplicabi-
lidad, que debe incluir:
Los objetivos de control y los controles seleccionados, con las razones de
esta seleccin.
Los objetivos de control y los controles actualmente implementados, con
una justificacin.
La exclusin de cualquier control objetivo del control y de cualquier control
en el anexo A y la justificacin para dicha exclusin.

Esta declaracin de aplicabilidad sirve para comprobar que realmente se han consi-
derado todas las opciones de controles disponibles y que no se ha omitido ninguno.
2. Comprender la Norma UNE-ISO/IEC 27001 33

2.2.11. Implementacin y puesta en marcha del SGSI


Para poner en marcha el SGSI la direccin tiene que aprobar la documentacin desa-
rrollada en las actividades detalladas en el punto anterior y proveer los recursos
necesarios para ejecutar las actividades.
Estas actividades se registrarn en un plan de tratamiento del riesgo que regule todas
las acciones necesarias para tratarle, adems de los recursos, las responsabilidades y las
prioridades para la gestin de los riesgos de seguridad de la informacin.
Tan importante como la definicin de las tareas a realizar y los recursos que se van a
asignar, es decidir cmo se va a medir la eficacia de estas acciones y de las medidas de
seguridad aplicadas. Esto implica establecer un conjunto de objetivos y mtricas aso-
ciadas a los mismos, tanto para los procesos como para las medidas de seguridad, que
permitan evaluar de manera objetiva y precisa el avance en la mejora de la seguridad.
La seguridad de la informacin es una cuestin multidisciplinar e importante para
cada proyecto y sistema y para todos los usuarios en la organizacin. La asignacin
y delimitacin de responsabilidades debe asegurar que se acometen todas las tareas
relevantes y que se llevan a cabo de un modo eficiente. Si bien este objetivo puede
lograrse a travs de diversos esquemas, dependiendo de la estructura y tamao de
la organizacin, en cualquier caso se ha de de contar con la designacin de:
Un responsable de seguridad, que coordine las tareas y esfuerzos en materia de
seguridad. Actuar como foco de todos los aspectos de seguridad de la organi-
zacin y sus responsabilidades cubrirn todas las funciones de seguridad.
Un comit de seguridad que trate y busque soluciones a los temas de seguri-
dad, resuelva los asuntos interdisciplinarios y apruebe directrices y normas.

Ambos, el comit de seguridad y el responsable de seguridad de la organizacin,


deben tener sus tareas bien delimitadas y encontrarse a un nivel suficiente en la
estructura de la organizacin, de forma que pueda asegurarse el compromiso con
la poltica de seguridad. La organizacin debe proporcionar lneas claras de comu-
nicacin, responsabilidad y autoridad al responsable de seguridad, y sus tareas han
de ser aprobadas por el comit de seguridad.

2.2.12. Control y revisin del SGSI


La revisin del SGSI forma parte de la fase del Check (comprobar) del ciclo PDCA.
Hay que controlar y revisar el SGSI de manera peridica para garantizar la conve-
niencia, adecuacin y eficacia continuas del sistema.
34 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Para efectuar la revisin hay que recopilar informacin de los resultados de las dis-
tintas actividades del SGSI para comprobar si se estn alcanzando los objetivos, y,
si no es as, averiguar las causas y buscar soluciones.
Las revisiones consistirn en estudiar los resultados de las auditoras de seguridad,
los incidentes, los resultados de la eficacia de las mediciones, las sugerencias y las
opiniones de todas las partes interesadas. Hay que medir la eficacia de los controles
para verificar que se han cumplido los requisitos de seguridad.
Adems, hay que revisar los anlisis del riesgo a intervalos planificados y examinar
los riesgos residuales, as como los niveles aceptables del riesgo, teniendo en cuenta
los cambios en la organizacin, la tecnologa, los objetivos y procesos del negocio,
las amenazas identificadas, la eficacia de los controles implementados, los cambios
en el entorno legal o reglamentarios, cambios en las obligaciones contractuales y
cambios en el entorno social. Las auditoras internas del SGSI tambin forman
parte de esta fase de revisin.
Las revisiones del SGSI tienen que estar planificadas y gestionadas para asegurar
que el alcance contina siendo adecuado y que se han identificado mejoras en el
proceso del SGSI.
En cualquier caso, todos los resultados de las revisiones deben ser documentados
para proporcionar evidencia de su realizacin, involucrar a la direccin en la ges-
tin del sistema y apoyar las acciones de mejora, as como para actualizar los planes
de seguridad.

2.2.13. Mantenimiento y mejora del SGSI


La seguridad es un proceso en continuo cambio. Las organizaciones no son estti-
cas y su gestin tampoco lo es. Por lo tanto, sera un grave error considerar que una
vez analizados los riesgos y definidas las medidas para reducirlos se haya terminado
el trabajo. Los cambios en la organizacin impactarn en los niveles de riesgo y a la
inversa, y tiene que haber mecanismos que acomoden estos cambios y mantengan
el nivel de seguridad en un nivel aceptable.
Un sistema de gestin debe mantenerse y mejorarse en lo posible para que resulte
efectivo. El mantenimiento incluye el detectar mejoras e implementarlas, aprender
de los defectos y errores identificados, y aplicar acciones correctivas y preventivas
donde sea apropiado.
2. Comprender la Norma UNE-ISO/IEC 27001 35

2.3. Requisitos de documentacin


2.3.1. Generalidades
El SGSI debe contar con la documentacin necesaria que justifique las decisiones
de la direccin, las polticas y las acciones tomadas y que se pueda demostrar que
los controles seleccionados lo han sido como resultado de estas decisiones y del
anlisis de riesgos. Es decir, se debe delinear la trazabilidad que se ha de seguir
desde las polticas y objetivos hasta los controles implementados.
Por ello es necesario tener documentado:
La poltica y los objetivos del SGSI.
El alcance del SGSI.
Una descripcin de la metodologa de anlisis del riesgo.
El inventario de activos.
Los procedimientos y controles de apoyo al SGSI.
El anlisis del riesgo.
El plan de tratamiento del riesgo.
La declaracin de aplicabilidad.
Los procedimientos necesarios para la implementacin de los controles y
para asegurarse de que se cumplan los objetivos.
Los registros requeridos por la norma.

La norma no exige ningn tipo de formato para los documentos ni para los regis-
tros, cualquier soporte es vlido.

2.3.2. Control de documentos


Los documentos requeridos por el SGSI deben hallarse protegidos y controlados,
por lo que se precisan unos procedimientos de control de documentacin, de revi-
sin y de registro (informes, auditoras, cambios, autorizaciones de acceso, permisos
temporales, bajas, etc.).
Los procedimientos de documentacin deben contemplar cmo se generan, aprue-
ban, revisan y actualizan los documentos segn sea necesario.
36 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Una buena gestin documental contar con que los cambios sean identificados y
que la identificacin de los documentos y su estado resulten claras.
Los documentos deben estar disponibles y accesibles en todos los puntos en los que
sea necesario utilizarlos. Adems, hay que comprobar que el almacenamiento sea
correcto y que cuando haya que destruir los documentos se haga de acuerdo con su
clasificacin. Cuando un documento quede obsoleto hay que retirarlo para evitar
su uso.

2.3.3. Control de registros


Los registros son aquellos documentos que proporcionan evidencia de la realiza-
cin de actividades del SGSI. Con ellos se puede verificar el cumplimiento de los
requisitos. Ejemplo de registros son el libro de visitas, los informes de auditoras y
los logs de los sistemas.
Los registros estarn protegidos y controlados teniendo en cuenta cualquier requi-
sito de tipo legal, reglamentario u obligacin contractual. Permanecern legibles,
fcilmente identificables y recuperables. Los controles necesarios para la identificacin,
almacenamiento, proteccin, recuperacin, tiempo de conservacin y disposicin
de los registros se encontrarn documentados e implementados.
Debern guardarse todos los registros del funcionamiento del proceso y las inci-
dencias de seguridad significativas relacionadas con el SGSI.

2.4. Compromiso de la direccin


Uno de los requisitos fundamentales para poner en marcha un SGSI es contar
con el compromiso de la direccin, no slo por ser uno de los epgrafes contem-
plados en la norma, sino porque el cambio de cultura y concienciacin que
genera el proceso sera imposible de sobrellevar sin el compromiso constante de
la direccin.
El desarrollo, la implementacin y el mantenimiento del SGSI exigen un esfuerzo
organizativo importante, que nicamente podra llevarse a cabo con una voluntad
clara de hacerlo por parte de la direccin, puesto que es ella quien tiene que pro-
veer de recursos al proyecto, tanto financieros como humanos, por lo que su apoyo
es imprescindible.
La direccin debe comprometerse de manera evidente con el establecimiento,
implementacin, puesta en marcha, monitorizacin, revisin, mantenimiento y
2. Comprender la Norma UNE-ISO/IEC 27001 37

mejora del SGSI. La forma en la que se plasma este compromiso es colaborando o


ejecutando, segn los casos, las siguientes tareas:
Establecer la poltica del SGSI.
Asegurar que se establecen los objetivos y planes del SGSI.
Asignar los roles y las responsabilidades para la seguridad de la informa-
cin.
Comunicar a la organizacin la conveniencia del cumplimiento de los obje-
tivos de seguridad de la informacin y, conforme a la poltica de seguridad
de la informacin, sus responsabilidades legales y la necesidad de la mejora
continua.
Proporcionar recursos suficientes para implementar, mantener y mejorar
el SGSI.
Decidir los criterios de aceptacin de los riesgos.
Verificar que se realizan las auditoras internas del SGSI.
Dirigir la gestin de las revisiones del SGSI.

2.5. Gestin de los recursos


Como se comentaba anteriormente, es la direccin la que debe gestionar los
recursos. Ha de comenzar por proveer de recursos al desarrollo y mantenimiento
del SGSI en funcin de lo que se estime necesario para establecer, implementar,
poner en funcionamiento, efectuar el seguimiento, revisar, mantener y mejorar el
SGSI.
Hay que contar con las diversas tareas que implica el funcionamiento, la verifica-
cin y la mejora del sistema, puesto que conservar el nivel de seguridad que aporta
el SGSI slo puede lograrse comprobando regularmente que los procedimientos
de seguridad estn alineados con el negocio, que cumplen con los requisitos legales,
que los controles estn correctamente implementados y que se llevan a cabo las
acciones oportunas para corregir errores y mejorar el sistema.
Captulo aparte merece la gestin de los recursos humanos. Este punto es uno de
los factores crticos de xito. Sin una colaboracin activa del personal es muy difcil
implementar con xito un SGSI.
38 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

2.6. Formacin
La norma exige que todos los trabajadores con responsabilidades definidas en el
SGSI sean competentes para efectuar las actividades necesarias. Esto significa que
hay que definir las competencias necesarias y, en funcin de tales necesidades,
proporcionar la formacin a la plantilla o adoptar otras acciones para satisfacerlas
(por ejemplo, la contratacin de personal competente).
Como cualquier otra actividad, requiere una planificacin, as como verificar que
se cumplen los objetivos y mantener los registros de educacin, formacin y cuali-
ficacin de los empleados.
Independientemente de la formacin, el personal estar concienciado de la impor-
tancia de las actividades de seguridad de la informacin y en particular de las suyas
propias, y de que cmo la aportacin de cada uno es fundamental para alcanzar los
objetivos de seguridad establecidos, y en consecuencia los de la organizacin.
En la medida que seamos capaces de formar al personal y concienciarlo de que es
fundamental ceirse a las normas de seguridad, reduciremos drsticamente la pro-
babilidad de fallos y su potencial impacto.

2.7. Auditoras internas


Una de las herramientas ms interesantes para controlar el funcionamiento del
SGSI son las auditoras internas. Estas auditoras deben programarse y prepararse
regularmente, normalmente una vez al ao. Esta programacin se recoger en el
plan de auditoras.
A la hora de desarrollar el plan de auditoras hay que fijarse en:
El estado e importancia de los procesos y las reas que sern auditadas, de
este modo se determinar el tiempo y los recursos que habr que destinar
para efectuar la auditora.
Los criterios de la auditora.
El alcance, si va a ser global (va a abarcar toda la empresa) o parcial (slo una
parte).
La frecuencia de realizacin de las auditoras, sabiendo que cada tres aos, al
menos, toda la organizacin debe ser auditada.
Los mtodos que se van a utilizar para hacer las auditoras.
2. Comprender la Norma UNE-ISO/IEC 27001 39

El plan ha de estar aprobado por la direccin. Una vez preparado y aprobado, debe
distribuirse a todos los departamentos y a los auditores afectados con la suficiente
antelacin, de manera que puedan preparar adecuadamente la auditora.
Las auditoras internas sirven para determinar si los objetivos, los controles y los
procedimientos son conformes con los requisitos aplicables (los de la propia
norma, los de negocio, los legales, los de seguridad, etc.), as como el grado de
implementacin que tienen, si se estn aplicando bien y si los resultados obtenidos
son los esperados.
Debe existir un procedimiento documentado que defina las responsabilidades y los
requisitos para planificar y dirigir las auditoras, para informar de los resultados y para
mantener los registros, tales como el informe de auditora emitido por los auditores.
El responsable del rea auditada debe asegurar que las acciones para eliminar las
no conformidades detectadas y sus causas se llevan a cabo en un plazo razonable.
El seguimiento de las actividades debe incluir la verificacin de las acciones tomadas
y el informe de la verificacin de los resultados.
Es importante la seleccin de los auditores, ya que no deben auditar su propio tra-
bajo, slo siendo independientes se puede garantizar la imparcialidad.

2.8. Revisin por la direccin


La direccin debe revisar el SGSI de manera peridica para garantizar la conve-
niencia, adecuacin y eficacia continuas del sistema. El proceso de revisin por la
direccin no debera ser un ejercicio ejecutado nicamente para cumplir los requi-
sitos de la norma y de los auditores, sino que debera ser una parte integral del pro-
ceso de gestin del negocio de la organizacin.
Para realizar esta revisin hay que recopilar informacin de los resultados de las dis-
tintas actividades del SGSI para comprobar si se estn alcanzando los objetivos, y
si no es as, averiguar las causas y decidir sobre las posibles soluciones.
Esta revisin es una de las pocas tareas que se le asigna especficamente a la direccin,
por lo que posee relevancia en varios aspectos: mantiene a la direccin en contacto
con la realidad del SGSI, ya que lgicamente no se encuentra involucrada en el da a
da, pero es importante que est al tanto de los trabajos realizados, de los logros obte-
nidos y de los problemas que aparezcan. Adems es una herramienta para aportar ini-
ciativas al SGSI, ya que es la direccin la encargada de la visin estratgica de la
empresa, la que determina hacia dnde debe ir y cmo. Como herramienta de ges-
tin que es, el SGSI debe incorporar esta visin y colaborar para hacerla viable.
40 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

2.8.1. Entradas a la revisin


Los resultados de la revisin deben ser documentados para proporcionar evidencia
de su realizacin, involucrar a la direccin en la gestin del sistema y apoyar las
acciones de mejora.
Las entradas a la revisin pueden ser:
Los resultados de las auditoras y las revisiones del SGSI.
Comentarios de las partes interesadas (usuarios de los sistemas de informa-
cin, contratistas, clientes, etc.).
Tcnicas, productos o procedimientos que podran ser empleados en la orga-
nizacin para mejorar el funcionamiento y la efectividad del SGSI.
El estado de las acciones preventivas y correctivas.
Las vulnerabilidades o amenazas que no se han tratado adecuadamente en
anlisis de riesgos anteriores.
Los resultados de las mtricas de efectividad.
Las acciones de seguimiento de anteriores revisiones por la direccin.
Cualquier cambio que pudiera afectar al SGSI.
Recomendaciones para la mejora.

Con esta informacin se puede tener una visin general de hasta qu punto el SGSI
est funcionando bien, mal o no todo lo bien que se esperaba. Investigando en las
causas de los fallos o dificultades encontradas se pueden corregir los errores y mejorar
el rendimiento del sistema, que en definitiva es el objetivo de la revisin, adems
de involucrar a la direccin activamente en la gestin del sistema.

2.8.2. Salidas de la revisin


Los resultados de la revisin pueden ser de varios tipos:
Identificacin de acciones para mejorar la efectividad del SGSI.
Actualizacin de la evaluacin y la gestin de riesgos.
Modificacin de los procedimientos y controles que afectan a la seguridad
de la informacin para ajustarse a incidentes o cambios en:
Requisitos de negocio, de seguridad o legales.
2. Comprender la Norma UNE-ISO/IEC 27001 41

Procesos de negocio que tengan efecto en los requisitos de negocio exis-


tentes.
Obligaciones contractuales.
Niveles de riesgo y/o criterios para aceptar los riesgos.
Necesidades de recursos.

Realizacin de mejoras en la manera de medir la efectividad de los con-


troles.

La revisin, aunque se centre en la deteccin y resolucin de problemas en la gestin


y operativa del SGSI, debe considerar tambin los puntos fuertes, es decir, qu se
est haciendo bien y la razn, sobre todo en comparacin con revisiones anteriores,
de manera que se ponga en evidencia la mejora continua del sistema.
Como resultado del proceso de revisin por la direccin, debera existir evidencia
de decisiones relacionadas con cambios en la poltica y los objetivos de seguridad,
los planes, presupuestos o acciones de mejora.
Se requieren registros de la revisin por la direccin, pero no se especifica su
formato. Las actas de las reuniones son el tipo ms comn de registro, pero los
registros electrnicos, los diagramas estadsticos, las presentaciones, etc., podran
ser tipos de registro aceptables.
El informe de revisin por la direccin suele realizarlo el responsable de seguridad
y discutirse dentro del comit de seguridad, aunque es la direccin quien debe
aprobarlo una vez consensuado.

2.9. Mejora continua


La mejora continua es una actividad recurrente para incrementar la capacidad a la
hora de cumplir los requisitos. El proceso mediante el cual se establecen objetivos
y se identifican oportunidades de mejora es continuo.
Es un punto fundamental en cualquier sistema de gestin segn las normas ISO.
Este concepto tambin es crucial en todos los modelos de mejora de procesos o
negocio que existen. En pura lgica, cualquier organizacin desea hacer las cosas
cada vez mejor (mejores productos, ms baratos, en menos tiempo, mayores bene-
ficios), por lo que la mejora continua es un concepto empresarial de primer orden.
Los sistemas de gestin tendrn por tanto que apoyar este proceso, que se reali-
menta a s mismo y nunca termina, ya que siempre se puede mejorar en algo.
42 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Cuando una organizacin se considera madura, es decir, cuando la mejora conti-


nua forma parte de la cultura de la empresa y se obtiene el mximo rendimiento de
los procesos, es porque todos los niveles de la organizacin estn involucrados y la
direccin ha hecho de la mejora continua una de las herramientas fundamentales
para la gestin del negocio. Aunque la mejora continua es un proceso que debe ser
impulsado desde la direccin, su implementacin se realizar en la base, donde se
ejecuta el trabajo.
Las principales herramientas para la mejora continua son las revisiones, las audito-
ras, las acciones correctivas, preventivas y de mejora, los objetivos y el anlisis de
los incidentes de seguridad. Los resultados de estas actividades son una valiossima
fuente de informacin sobre cules son los puntos dbiles de la organizacin y sus
procesos. Sabiendo esto, se pueden tomar acciones encaminadas a eliminarlos,
haciendo que los procesos sean ms eficientes y efectivos, en definitiva, que hacer
el trabajo sea cada vez ms rpido y menos costoso, tanto en recursos humanos
como en materiales.

2.9.1. Accin correctiva


La accin correctiva se define como la tarea que se emprende para corregir una no
conformidad significativa con cualquiera de los requisitos del sistema de gestin de
seguridad de la informacin.
Localizado el problema debe determinarse la relacin causa-efecto, considerando
todas las causas posibles. A veces no es fcil dilucidar cules son las causas exactas
del problema, pero hay que intentar aproximarse lo ms posible. En primer lugar
porque slo conociendo de dnde parti el problema se puede tomar una decisin
coherente y acertada para solucionarlo. Y adems porque es la manera de ir desta-
pando los puntos dbiles de nuestros procesos. En ms de una ocasin varios pro-
blemas detectados se han originado de un nico punto, y hasta que no se solucione
ese punto es muy probable que se sucedan incidencias que aparentemente pueden
tener poco que ver entre s.
Una vez localizado el origen, se analiza su importancia relativa y las alternativas que
pueden aplicarse para solucionar el problema, evaluando su coste y complejidad.
Esto se realizar normalmente dentro del comit de seguridad, que tomar la deci-
sin sobre las acciones a tomar y asignar responsables y plazos para su ejecucin.
Es esencial el cumplimiento de los plazos, y el comit debe velar por ello y analizar,
en su caso, cules son los motivos por los que no se cumplen.
Un error frecuente cuando se empiezan a utilizar las acciones correctivas es hacerlo
para todo, grandes y pequeos problemas. Es cierto que, y ms al principio, es dif-
2. Comprender la Norma UNE-ISO/IEC 27001 43

cil distinguir entre los diversos grados de gravedad de las incidencias o no confor-
midades detectadas. Pero utilizar las acciones correctivas para todo no resulta
eficaz, deberan reservarse para asuntos que no pueden ser resueltos satisfactoria-
mente por otros medios. Cuando surgen los problemas hay que valorar si son inci-
dentes cotidianos, problemas de origen conocido, de fcil solucin y que no conllevan
un impacto considerable. Si el problema tiene causas difciles de detectar, la solu-
cin no es obvia o factible, es un hecho recurrente, el impacto que ha causado es
importante o es una desviacin sistemtica de las normas, entonces s es apropiado
utilizar una accin correctiva para solucionarlo.
Esta herramienta debe emplearse para detectar errores o fallos en los procesos y
nunca para buscar culpables. Si no se hace as, no se contar con la colaboracin
del personal en la deteccin de las causas de los problemas y la bsqueda de solu-
ciones, y realmente son los que tienen el conocimiento para ello, por lo que es fun-
damental asegurarse su colaboracin.

2.9.2. Accin preventiva


Las acciones preventivas se aplican para evitar la aparicin de futuras no conformida-
des. Son acciones encaminadas a eliminar la causa de una posible no conformidad.
En una accin preventiva se determina la posible fuente de problemas con el objeto
de eliminarla. Se pretende con ello evitar tener que solucionar problemas, puesto
que es ms eficaz y sencillo prevenirlos que solucionarlos.
Se puede decidir abrir acciones preventivas a raz de observaciones detalladas en las
auditoras internas o externas, del anlisis de la evolucin de los objetivos y de los
resultados de las actividades de revisin, ya que pueden utilizarse como fuentes de
informacin para el establecimiento de acciones preventivas:
Los resultados de la revisin por la direccin.
Los resultados de los anlisis de incidencias y objetivos.
Los registros.
El personal.

Las acciones preventivas son poco frecuentes al inicio de la implementacin de un


SGSI, ya que requieren una cierta madurez del sistema y una actitud proactiva del
personal para que afloren los problemas potenciales susceptibles de ser el objeto de
una accin preventiva. Por eso mismo son una potente herramienta de gestin que
permite adelantarse a los fallos, economizando recursos y costes. Se pasa de una
coyuntura de apagar fuegos a controlar la situacin y modificarla de acuerdo con
las necesidades de la organizacin.
44 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Tanto en el caso de las acciones preventivas como en el de las correctivas, debe asig-
narse responsables con nombres y apellidos, y determinar fechas lmites de resolu-
cin para que la responsabilidad no se diluya. Por supuesto no es viable asignar
tareas a quien puede no tener la competencia o autoridad para llevarlas a cabo, por
lo que hay que ser cuidadosos al asignar dichas responsabilidades.

2.10. El anexo A
El anexo A contiene los 133 controles considerados como las mejores prcticas en
seguridad de la informacin y que se detallan en la Norma UNE-ISO/IEC 27002.
A lo largo de la Norma UNE-ISO/IEC 27001 se referencia este anexo como el
punto de partida para la seleccin de controles. Es decir, cuando se est desarro-
llando el SGSI, al llegar a dicha tarea, se debe utilizar esta tabla como lista de che-
queo para decidir si procede o no aplicar cada uno de los controles. El resultado de
este chequeo se documentar en el documento de aplicabilidad.
3 Comprender la Norma
UNE-ISO/IEC 27002

Esta norma contiene 11 captulos de controles de seguridad, es decir, reas de la


seguridad a considerar, con un total de 39 categoras principales de seguridad, con
sus correspondientes objetivos y los controles asociados a esos objetivos, ms un
captulo de introduccin sobre valoracin y tratamiento del riesgo.
Los 11 captulos (acompaados del nmero de categoras principales de seguridad
incluidos dentro de cada captulo) son los siguientes:
Poltica de seguridad (1).
Aspectos organizativos de la seguridad de la informacin (2).
Gestin de activos (2).
Seguridad ligada a los recursos humanos (3).
Seguridad fsica y del entorno (2).
Gestin de comunicaciones y operaciones (10).
Control de acceso (7).
Adquisicin, desarrollo y mantenimiento de los sistemas de informacin (6).
Gestin de incidentes de seguridad de la informacin y mejoras (2).
Gestin de la continuidad del negocio (1).
Cumplimiento (3).

Para cada uno de los controles la norma proporciona guas para su imple-
mentacin. Esta norma no es certificable, por lo que las recomendaciones no deben
ser consideradas normativas. Las indicaciones que da la norma son bastantes
46 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

exhaustivas, por lo que resultan muy tiles como referencia, pero no son obligatorias.
El grado de implementacin de cada uno de los controles es algo que la organizacin
debe decidir en funcin de sus necesidades y recursos disponibles. Y, por supuesto, el
modo en que se implementen es de competencia exclusiva de la organizacin.

3.1. Valoracin y tratamiento del riesgo


La norma propone 133 controles, pero no para tener que cumplirlos todos, sino
para elegir de entre ellos los que sean ms apropiados. Esto es precisamente lo que
nos ayudar a decidir la valoracin del riesgo.
Una vez identificados y valorados los activos, se elige el grupo a analizar. Pueden
ser todos, pero en el caso de que sean numerosos es recomendable escoger un
grupo, habitualmente el de los ms crticos, para no complicar en exceso el anlisis
de riesgos. Este anlisis es una tarea crucial y, en muchos casos, la ms laboriosa,
por cuanto exige valorar una gran cantidad de parmetros desde mltiples puntos
de vista, y suele implicar a multitud de personas que deben llegar a un consenso en
sus valoraciones. El objetivo es poner un valor lo ms objetivo posible a los riesgos
a los que estn expuestos los activos.
Para ello existen diversas metodologas, como CRAMM, Ebios, Magerit, ISO
13335-2, etc., y muchas herramientas en el mercado, como Callio, Cramm, Pilar,
casi siempre basadas en alguna de las metodologas ms aceptadas. Lo importante es
elegir aquel mtodo o herramienta que sea fcil de utilizar y que no exija demasiado
esfuerzo despus para mantener actualizado el anlisis de riesgos.
Es necesario que el personal de los distintos mbitos de la organizacin se implique
en la realizacin del anlisis de riesgos. Lo que la norma s exige es que este anlisis
sea objetivo y repetible. Para cumplir con el primer requisito resulta casi impre-
scindible que la mayor parte de las reas implicadas en el SGSI participen y aporten
su punto de vista en el anlisis de riesgos. Las distintas perspectivas permitirn
obtener un idea ms precisa de cules son exactamente los peligros y en qu medida
pueden afectar a la organizacin, sobre todo cuando la organizacin funciona por
departamentos y no por procesos, puesto que cada rea conoce y controla lo que
pasa en su entorno, pero no en el resto, no lo que ocurre a lo largo de todo el pro-
ceso, y saber eso es precisamente lo que se necesita para que el anlisis de riesgos
sea realista y est lo menos sesgado posible hacia un rea en particular. Cuanto ms
objetivo sea el anlisis y ms fcil de utilizar el mtodo o herramienta escogido,
mejor se cumplir el segundo requisito de que el anlisis sea repetible.
En general, en cualquier metodologa o herramienta se proporcionar una lista de
posibles amenazas, unas vulnerabilidades que habr que considerar, y unos baremos
3. Comprender la Norma UNE-ISO/IEC 27002 47

para ponderar la probabilidad y el impacto que ocasionaran en la organizacin


que la amenaza se convirtiese en realidad. Valorando todos los parmetros que nos
ofrecen, se obtendr un valor de riesgo. Sealar que este anlisis de riesgos debe
efectuarse observando que no existe ninguna medida de seguridad implementada
para calcular lo que se llama riesgo intrnseco, es decir, el riesgo que presenta un
activo por el mero hecho de existir.
Obtenidos los valores de riesgo de todos los activos conseguiremos una imagen de
dnde radican los mayores riesgos en nuestra organizacin y, por lo tanto, en qu
puntos hay que incrementar el esfuerzo, dnde tendremos que aplicar medidas o
mejorar las existentes.

3.2. Poltica de seguridad


El nico objetivo de este captulo es que la organizacin cuente con una poltica
que refleje sus expectativas en materia de seguridad, a fin de gestionarla con
coherencia y soporte.
Este captulo consta de dos controles:
Documento de poltica de seguridad. El documento de poltica de seguridad
de la informacin debera establecer el compromiso de la direccin y el
enfoque de la organizacin para gestionar la seguridad de la informacin.
Este documento debera ser aprobado por la direccin y publicado y comu-
nicado a todos los empleados y terceras partes.
Revisin de la poltica de seguridad. La poltica de seguridad debe ser un
documento vivo, que se revise y actualice peridicamente para que siga
siendo adecuado tras los inevitables cambios que sufre toda organizacin.

Al implementar un SGSI segn la UNE-ISO/IEC 27001, es obligatorio desarrollar


una poltica de seguridad y mantenerla actualizada, por lo que la mera imple-
mentacin del sistema ya cumple con estos dos controles.

3.3. Organizacin de la seguridad


Este captulo tiene dos objetivos:
Organizacin interna, para gestionar la seguridad de la informacin dentro
de la organizacin. Los controles de este objetivo son:
48 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Compromiso de la direccin con la seguridad de la informacin. La direc-


cin debe respaldar la seguridad de la informacin y tomar decisiones al
respecto, tales como poner objetivos y aprobar el riesgo aceptable, pro-
porcionando recursos y avalando acciones.
Coordinacin de la seguridad de la informacin. Es fundamental que las
actividades relativas a la seguridad de la informacin estn coordinadas
para que no haya redundancia o lagunas y produzcan situaciones inde-
seadas.
Asignacin de responsabilidades relativas a la seguridad de la informacin.
Hay que definir claramente quin se va a encargar de cada actividad de
seguridad de la informacin, evitando malentendidos y errores.
Proceso de autorizacin de recursos para el tratamiento de la informacin.
La gestin de la seguridad debe comenzar en el mismo proceso de com-
pra de cada nuevo recurso de tratamiento de la informacin.
Acuerdos de confidencialidad. Para proteger adecuadamente la informa-
cin sensible de la organizacin, deben establecerse y revisarse de una
manera regular cundo y quin debe firmar este tipo de acuerdo.
Contacto con las autoridades. Sera recomendable mantener los contactos
adecuados con las autoridades correspondientes, en particular en lo refe-
rente a planes de continuidad del negocio que pueden requerir de contac-
tos en los cuerpos y fuerzas de seguridad del Estado.
Contacto con grupos de inters especial. Dada la complejidad de la seguri-
dad y los numerosos cambios tecnolgicos que influyen en cmo hay que
enfocarla y tratarla, es fundamental mantenerse al da y conservar el con-
tacto con grupos de inters especial, foros y asociaciones profesionales
especialistas en seguridad.
Revisin independiente de la seguridad de la informacin. Siempre es til
contar con la opinin de terceros, sobre todo si son especialistas en el
tema, para que valoren si el enfoque de la organizacin para la gestin de
la seguridad de la informacin es adecuado y en qu se puede mejorar. La
ausencia de presiones internas y la comparacin con otras organizaciones
o modelos de gestin permite que surja un aporte de cosas nuevas que
difcilmente hubieran aflorado internamente.

Terceros. El objetivo aqu es que las medidas de seguridad abarquen tam-


bin a cualquier tercero que sea susceptible de acceder, procesar, comu-
nicar o gestionar la informacin de la organizacin. Los controles para
ello son:
3. Comprender la Norma UNE-ISO/IEC 27002 49

Identificacin de riesgos derivados del acceso de terceros. Lgicamente, el


primer control ser saber cules son los riesgos que supone el acceso de
terceros a nuestros sistemas e informacin, para poder implementar los
controles adecuados antes de permitir dicho acceso.
Tratamiento de la seguridad en la relacin con los clientes. Si a los clientes
se les permite acceder a la informacin, hay que considerar qu requisitos
deben cumplir y los sistemas para garantizar la seguridad.
Tratamiento de la seguridad en contratos con terceros. Es crtico que se
hagan acuerdos formales con aquellos terceros que posean acceso a recur-
sos de tratamiento de informacin de la organizacin. Estos acuerdos
deben basarse en un contrato formal que contemple todos los requisitos
de seguridad necesarios y que obligue a que se cumplan las polticas y
normas de seguridad de la organizacin. El contrato debe asegurar que no
hay malentendidos entre la organizacin y los terceros. De esta manera la
organizacin puede mantener el mismo control tanto sobre sus usuarios
internos como sobre los externos.

3.4. Gestin de activos


Los activos de informacin son los elementos que tratamos de proteger con el
SGSI. Los controles de este captulo estn dirigidos a lograrlo.
Responsabilidad sobre los activos. Para conseguir y mantener una proteccin
adecuada sobre los activos de la organizacin deben existir responsabilidades
claras. Hay tres controles para este objetivo:
Inventario de activos. Para poder gestionarlos, es fundamental identificar
dichos activos, preparando con esa informacin un inventario de todos los
activos importantes, que habr de ser mantenido y actualizado. Se nece-
sita un inventario de los recursos de informacin de la organizacin para,
basndose en este conocimiento, asegurar que se brinda un nivel adecuado
de proteccin.
Propiedad de los activos. Cada uno de los activos contar con un propie-
tario, una parte designada de la organizacin, y ser responsable de su
seguridad.
Uso aceptable de los activos. Las reglas bsicas para el empleo aceptable
de la informacin y de los activos asociados con los recursos para el
tratamiento de la informacin deben ser documentadas y publicadas, para
que se apliquen en toda la organizacin.
50 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Clasificacin de la informacin, para asegurar que la informacin recibe un


nivel adecuado de proteccin en funcin de su criticidad. Existen dos con-
troles:
Directrices de clasificacin. Debe clasificarse la informacin de acuerdo a
su sensibilidad y criticidad, su valor para la organizacin y el dao que
ocasionara su fuga o filtracin, para as poder adoptar las medidas de
seguridad adecuadas a cada nivel de proteccin.
Etiquetado y manipulado de la informacin. La informacin debe ser
marcada y tratada de acuerdo con el esquema de clasificacin adoptado
por la organizacin. El etiquetado de la informacin puede realizarse de
diferentes formas, pero debera hacerse de modo que se distinga fcil-
mente el tipo de informacin que contiene el documento.

3.5. Seguridad ligada a los recursos humanos


Este captulo establece la necesidad de educar e informar a los empleados
actuales y potenciales sobre lo que se espera de ellos en materia de seguridad y
asuntos de confidencialidad. Tambin determina cmo incide el papel que los
empleados desempean en materia de seguridad en el funcionamiento general
de la compaa.
Ante la contratacin de personal deben tomarse medidas de seguridad previas a la
contratacin, durante el perodo que dure el contrato y al concluir. Este captulo
marca tres objetivos:
Antes del empleo, para asegurar que cualquier persona que entre a formar
parte de la organizacin (empleados, contratistas, etc.) conoce y entiende sus
responsabilidades en materia de seguridad y puede llevar a cabo las tareas
que se le encomienden, colaborando activamente en reducir los riesgos de
robo, fraude o utilizacin indebida de los recursos. Los controles son tres:
Funciones y responsabilidades. Para poder exigirlas, las funciones y
responsabilidades de seguridad de los empleados contratistas y terceros se
deben definir y documentar.
Investigacin de antecedentes. Para segn qu puestos puede ser especial-
mente relevante comprobar los antecedentes de todos los candidatos a
ejercer el trabajo. Esta comprobacin deber efectuarse de acuerdo a la
legislacin vigente y de una manera proporcionada a los requisitos del
negocio y de seguridad de la organizacin.
3. Comprender la Norma UNE-ISO/IEC 27002 51

Trminos y condiciones de contratacin. Los contratos debern reflejar,


junto con los trminos del acuerdo, las obligaciones y responsabilidades
de las dos partes en lo relativo a seguridad de la informacin.

Durante el empleo, para que en el trabajo cotidiano todo el mundo se


encuentre concienciado en materia de seguridad y ponga en prctica la
poltica de seguridad de la organizacin, reduciendo el riesgo de error
humano. Este objetivo cuenta con tres controles:
Responsabilidades de la direccin, que es la que debe establecer las direc-
trices a seguir y exigir su cumplimiento, tanto a los empleados como a
contratistas y terceros.
Concienciacin, formacin y capacitacin en seguridad de la informacin.
Hay que poner en conocimiento de los implicados las polticas y proced-
imientos de la organizacin, y proporcionar la formacin adecuada para
que las puedan ejecutar.
Proceso disciplinario. Debe existir algn mecanismo de penalizacin para
las infracciones de seguridad que sirva como mtodo de disuasin.

Cese del empleo o cambio de puesto de trabajo, para lograr que cuando
alguien deja de trabajar con la organizacin o cambia la relacin con ella,
dichos cambios discurran adecuadamente y no generan vulnerabilidades. Los
controles son:
Responsabilidad del cese o cambio. Las responsabilidades deben estar
establecidas y ser conocidas en caso de cese o cambio de puesto de algn
empleado, para efectuarlo correctamente.
Devolucin de activos. Si cesa el empleo o contrato, los activos que se han
entregado para poder realizarlo deben ser devueltos.
Retirada de los derechos de acceso. Cuando concluye el empleo, el con-
trato o el acuerdo con un empleado o contratista, deben retirarse todos los
derechos de acceso a la informacin y a los recursos de tratamiento de la
informacin o bien deben ser adaptados a los cambios producidos.

3.6. Seguridad fsica y del entorno


Este captulo responde a la necesidad de proteger fsicamente las reas en las que
se encuentran los equipos y la informacin. Los mecanismos de proteccin para el
52 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

sistema de informacin de la organizacin pasan por definir un permetro fsico de


seguridad que impida el acceso no autorizado a la informacin y eviten daos por
eventos, tales como fuego, inundacin, terremoto, explosin, malestar social y
otras formas de desastres naturales o provocados por el hombre.
Existen dos objetivos:
reas seguras. Deben establecerse unas medidas de seguridad para prevenir
los accesos fsicos no autorizados, los daos y las intromisiones en las instala-
ciones y en la informacin de la organizacin. Podemos utilizar los siguientes
controles:
Permetro de seguridad fsica. Barreras, muros, puertas de entrada con restric-
ciones (recepcin, cerraduras, control a travs de tarjeta, etc.), cualquier
medio que sirva para proteger las zonas en las que se encuentra la informa-
cin y los sistemas de informacin formarn parte de este primer control.
Controles fsicos de entrada. Las reas en las que slo el personal autori-
zado puede entrar deben poseer controles de entrada apropiados que res-
trinjan el acceso.
Seguridad de oficinas, despachos e instalaciones. Tambin estos recintos
deben contar con medidas razonables que permitan mantener la informa-
cin y los sistemas bajo control.
Proteccin contra las amenazas externas y de origen ambiental. Tanto por
la magnitud de los daos que pueden ocasionar estas amenazas, como
por la legislacin que controla este punto, se deben aplicar las medidas
apropiadas contra el dao causado por fuego, inundacin, terremoto y
otros desastres, tanto naturales como provocados por el hombre.
Trabajo en reas seguras. Por su especial sensibilidad, las reas seguras
contarn, adems de con medidas de proteccin fsica, con directrices para
trabajar en ellas.
reas de acceso pblico y de carga y descarga. Puesto que estos puntos
son vulnerables a accesos no autorizados, debern controlarse con cuidado
y, en la medida de lo posible, mantenerlos alejados y aislados de aquellas
zonas en las que residan los sistemas de informacin.

Seguridad de los equipos, para que las actividades de la organizacin no se


interrumpan debido a daos en los equipos, robo de activos o prdidas de
los mismos. Los controles definidos para este objetivo son:
Emplazamiento y proteccin de equipos. Los equipos deben situarse en
lugares seguros, protegidos de riesgos ambientales (agua, luz, viento, etc.)
3. Comprender la Norma UNE-ISO/IEC 27002 53

que puedan daarlos. Asimismo, se ubicarn all donde su acceso resulte


complicado para personas no autorizadas.
Instalaciones de suministro. Los equipos pueden daarse si se producen
fallos en el suministro elctrico o en las comunicaciones, por lo que es
recomendable que tengan alguna proteccin para evitar problemas si suce-
den estos fallos, especialmente si se trata de equipos muy crticos.
Seguridad del cableado. Puesto que el cableado hace posible que los
equipos funcionen, se instalar de manera que se eviten daos, que impi-
dan interceptaciones o que dificulten una fuga de informacin.
Mantenimiento de los equipos. Otro punto crucial para que los equipos
funcionen correctamente es que se sometan a un mantenimiento, preven-
tivo y correctivo, que asegure su disponibilidad y su integridad.
Seguridad de los equipos fuera de las instalaciones. Cuando los equipos
estn fuera de las instalaciones de la organizacin, el nivel de seguridad
debe ser el mismo, aunque las circunstancias no lo sean, por lo que
deben disearse y aplicarse las medidas de seguridad adecuadas a estos
equipos.
Reutilizacin o retirada segura de equipos. Los equipos almacenan infor-
macin que debe ser eliminada (sobre todo si es sensible) cuando son reti-
rados o se van a reutilizar. Para evitar problemas, esta eliminacin se com-
probar antes de retirarlos o ponerlos en uso de nuevo.
Retirada de materiales propiedad de la empresa. Hay que autorizar y regis-
trar las salidas de equipos para poder controlar la informacin o software
en todo momento, de manera que se sepa quin es el responsable de los
activos y dnde se encuentran.

3.7. Gestin de comunicaciones y operaciones


Este es el captulo con ms objetivos y controles, y el ms tcnico de toda la
norma. Aqu se recogen los controles tcnicos, puesto que se trata de proteger el
funcionamiento y las operaciones de los sistemas de informacin. Hay que tener
en cuenta que el origen de esta norma se encuentra en grandes empresas y corpo-
raciones con sistemas de informacin muy sofisticados y amplios. En el contexto
de una pyme, es aqu donde se hace ms relevante realizar el esfuerzo de escalar
hacia abajo los requisitos planteados por la norma. Muchos de los controles de
este captulo no sern aplicables en el contexto de una pyme tpica, a menos que
54 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

su negocio posea implicaciones que los hagan necesarios, y desde luego la imple-
mentacin de los que s son aplicables tiene que ser lo ms sencilla que seamos
capaces de disear. Un banco tendr que tener un procedimiento de copias de
seguridad muy estricto y laborioso y muchos recursos dedicados a esa tarea, tanto
para realizarla como para almacenar las copias. En una pyme puede ser suficiente
una copia semanal, almacenada en un pequeo dispositivo USB que se pueda
transportar cmodamente fuera de las instalaciones a un lugar seguro.
Este captulo contiene diez objetivos:
Responsabilidades y procedimientos de operacin. Para encargarse eficaz-
mente de que los sistemas de informacin funcionen de manera correcta y
segura, ser necesario establecer las responsabilidades y procedimientos para
la gestin de todos los recursos de informacin, reduciendo los riesgos de
negligencia o uso indebido. Los controles son:
Documentacin de los procedimientos de operacin. Siempre hay una
forma ms o menos establecida de afrontar las tareas, este control trata de
documentar esos modos de trabajo, estableciendo las responsabilidades y
cubriendo todas las tareas fundamentales, por ejemplo, el procedimiento
para las copias de seguridad, para la configuracin de accesos, etc.
Gestin de cambios. Los sistemas de informacin y las aplicaciones deben
estar bajo control de cambios, ya que stos son una fuente importante de
errores y fallos. Esta gestin del cambio tiene que incluir la identificacin
de los cambios, su aprobacin, la planificacin de cmo y cundo van a
ser incorporados, las pruebas que se efectuarn, siempre fuera del entorno
de produccin, y cul ser el procedimiento para deshacerlos si sucede
algn evento imprevisto.
Segregacin de tareas. Hay que separar las diversas reas de responsabili-
dad para evitar usos o accesos indebidos, accidentales o intencionados, de
la informacin. Esta segregacin puede resultar difcil de emprender en
organizaciones pequeas, pero el principio debera aplicarse en la medida
en que sea posible y prctico.
Separacin de los recursos de desarrollo, prueba y operacin. Siguiendo
el mismo principio anterior, es necesario separar el entorno donde se rea-
licen desarrollos del entorno de prueba, y por supuesto los entornos de
produccin deben permanecer aislados del resto, as se eliminan riesgos
de accesos no autorizados o cambios no deseados. Deberan establecerse
las normas para trasladar software y datos de unos entornos a otros, por
ejemplo, en qu condiciones se pueden usar datos reales para realizar
pruebas.
3. Comprender la Norma UNE-ISO/IEC 27002 55

Gestin de la provisin de servicios por terceros. Estos servicios deben tener el


mismo nivel de seguridad que los internos, por lo que se establecern acuerdos
en los que se recogern estos requisitos, comprobndose el cumplimiento de
los acuerdos y gestionando los cambios necesarios para asegurar que los servi-
cios entregados son conformes con lo estipulado. Los controles son tres:
Provisin de servicios. Se establecern acuerdos de nivel de servicio con
todos los requisitos necesarios para que se cumplan las expectativas, tanto
funcionales como de seguridad, para la provisin del servicio. Estos acuer-
dos establecern las normas para el intercambio de informacin y las
responsabilidades de los contratistas respecto a los activos de informacin
a los que tengan acceso.
Supervisin y revisin de los servicios prestados por terceros. Ha de man-
tenerse un control para garantizar que los servicios se suministran segn
los acuerdos establecidos, incluso realizando auditoras cuando sea perti-
nente. Para ello se revisarn los informes entregados y los registros gene-
rados por la actividad, y se comprobar que los incidentes y problemas de
seguridad de la informacin se gestionan y resuelven adecuadamente.
Gestin del cambio en los servicios prestados por terceros. En la lnea de
mantener el mismo nivel de seguridad en los servicios suministrados por
terceros que en los internos, tambin los cambios deben ser gestionados
en dichos servicios. Durante su provisin pueden darse cambios para
mejorar los servicios, nuevos desarrollos, modificaciones de las polticas y
procedimientos de la organizacin, cambios tecnolgicos, etc. Ha de exis-
tir un procedimiento claro para incorporar estos cambios a los servicios
de una forma eficaz.

Planificacin y aceptacin del sistema, de modo que se eviten fallos de los


sistemas por sobrecargas y fallos de disponibilidad. Existen dos controles:
Gestin de capacidades. Para ello se controlar el uso de recursos para que
se puedan hacer previsiones de futuro, planificando con tiempo suficiente
la capacidad que va a ser necesaria para evitar agotarla.
Aceptacin del sistema. Se deberan establecer, documentar, y probar pre-
viamente a su aceptacin y uso los requisitos operacionales de los sistemas
nuevos, as se evitaran fallos, incluso aunque se trate de una simple actua-
lizacin.

Proteccin contra cdigo malicioso y descargable. Evitar virus, troyanos y el


resto de los tipos de cdigo malicioso sirve para proteger la integridad del
software y de la informacin.
56 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Controles contra el cdigo malicioso. La proteccin contra este riesgo


tiene dos vertientes, la tcnica y la humana. Deben instalarse sistemas de
deteccin, prevencin y recuperacin que protejan contra cdigo mali-
cioso. Adems se deben realizar procedimientos adecuados de concien-
ciacin para que todos los usuarios sean conscientes de los problemas que
genera el cdigo malicioso y cmo proceder cuando se reciban correos
engaosos.
Controles contra el cdigo descargado en el cliente. Si se autoriza el uso
de cdigo descargado en el cliente (JavaScript, VBScript, applets de Java
applets, controles ActiveX, etc.), la configuracin debe garantizar que
dicho cdigo autorizado funciona de acuerdo con una poltica de seguri-
dad claramente definida. Cualquier uso y recepcin de cdigo ambu-
lante no autorizado ha de bloquearse. Los ataques del cdigo mvil
pueden modificar la informacin, robar las contraseas o archivos, redi-
reccionar los accesos telefnicos por mdem o lanzar un ataque de dene-
gacin de servicio, por lo que hay que ser especialmente precavidos en
este punto.

Copias de seguridad. Realizar copias de la informacin ayuda a mantener la


integridad y disponibilidad de la misma y de los recursos de tratamiento de
la informacin, ya que en caso de incidente se podra recuperar rpidamente.
Este objetivo slo tiene un control:
Copias de seguridad de la informacin. Deberan establecerse procedi-
mientos para efectuar las copias de seguridad de acuerdo con la frecuencia
y amplitud que recomienden la sensibilidad y criticidad de la informacin
gestionada. Adems, las copias han de comprobarse regularmente para
verificar que la informacin es y permanece correcta y completa, y ensayar
los tiempos de recuperacin. Se ha convertido en un requisito bsico contar
con una copia de seguridad fuera de las instalaciones de la organizacin,
lo cual garantiza la disponibilidad de la informacin incluso en caso de
desastre.

Gestin de la seguridad de las redes. Por pequea que sea la organizacin, lo


ms corriente es que cuente con una red por la que circulan las comunica-
ciones digitales y la informacin. Este objetivo trata de asegurar esta
infraestructura para evitar incidentes.
Controles de red. Para proteger la red, en primer lugar, debe estar gestion-
ada y controlada, con responsabilidades claras y diferenciadas de las
responsabilidades operativas, si es posible. Las medidas de seguridad para
proteger la confidencialidad, la integridad de los datos que pasan a travs
3. Comprender la Norma UNE-ISO/IEC 27002 57

de ellas y los dispositivos que protegen las aplicaciones y los sistemas


conectados son crticas aqu, as como mantener logs con informacin que
pueda ayudar a detectar fallos, errores o ataques.
Seguridad de los servicios de red. Dado el gran nmero de utilidades que
soportan las redes, se deben identificar los requisitos funcionales y de
seguridad y los niveles de servicio que deben incluirse en todo acuerdo
de servicios de red, tanto si estos servicios son internos como si se subcon-
tratan. Esto incluir las necesidades de autenticacin de usuarios, de ci-
frado de datos, de control de conexiones, requisitos de acceso para usuarios
remotos, etc.

Manipulacin de los soportes. La informacin puede estar en varios for-


matos y soportes, por lo que protegerlos es bsico para evitar que se revele
o destruya informacin o se interrumpan las actividades de la organi-
zacin.
Gestin de soportes extrables. La proliferacin de este tipo de soportes
(discos pticos, lpices USB, discos duros externos) hace necesario
establecer normas para su utilizacin.
Retirada de soportes. Cuando ya no se vayan a utilizar, hay que retirarlos
de acuerdo con las normas que se establezcan, las cuales eviten que la
informacin que contengan pueda llegar a personas no autorizadas.
Procedimientos de manipulacin de la informacin. Se deberan estable-
cer procedimientos para tratar y almacenar la informacin. El objetivo
es impedir que dicha informacin sea revelada sin autorizacin o que se
la d un mal uso, por ejemplo, se recomienda que se etiqueten los soportes
segn la clasificacin de la informacin que porten, considerando los
siguientes aspectos: las restricciones de acceso, el mantenimiento de un
registro de los destinatarios autorizados, el almacenamiento de los
soportes de acuerdo con las especificaciones del fabricante, etc.
Seguridad de la documentacin del sistema. Es importante mantener
segura esta informacin, ya que contiene datos valiosos para la organi-
zacin, por ejemplo, las descripciones de las aplicaciones de los procesos,
las estructuras de datos y los procesos de autorizacin.

Intercambio de informacin. Un SGSI debe proteger la informacin a lo


largo de todo su ciclo de vida, en muchos momentos de este ciclo la infor-
macin saldr de la organizacin por unos motivos u otros, por lo que deben
establecerse los mecanismos adecuados para que permanezca segura cuando
se intercambie con terceros. Los controles para conseguirlo son:
58 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Polticas y procedimientos de intercambio de informacin. Se deberan


establecer procedimientos y normas para proteger la informacin y los
soportes fsicos que contienen informacin en trnsito.
Acuerdos de intercambio. El intercambio de informacin debe realizarse
en el marco de un acuerdo que recoja las responsabilidades de cada parte,
las exigencias en el caso de incidentes de seguridad de la informacin,
cmo va a ser etiquetada la informacin sensible o crtica, las normas tc-
nicas para el registro y lectura de la informacin y del software, etc.
Soportes fsicos en trnsito. Para que la informacin est segura cuando se
encuentre en trnsito deben protegerse los soportes, utilizando mensajeros
y transportistas de confianza, embalando bien los soportes, etc.
Mensajera electrnica. Se establecern normas de seguridad para el uso
del correo electrnico, las cuales recogern las medidas de seguridad mni-
mas para garantizar un empleo responsable y seguro del servicio, en par-
ticular cuando se utilice para el envo de informacin confidencial.
Sistemas de informacin empresariales. Se deberan desarrollar y aplicar
polticas y procedimientos para proteger la informacin que se va a com-
partir con otros sistemas de informacin pertenecientes a otras organiza-
ciones, definiendo qu informacin puede ser compartida, por quin, las
responsabilidades de cada parte, etc.

Servicios de comercio electrnico. El xito de estos servicios se basa en la


confianza de los usuarios en la seguridad de los mismos. Para garantizar esta
seguridad de los servicios de comercio electrnico, se pueden utilizar los
siguientes controles:
Comercio electrnico. Es vital que toda la informacin incluida en el com-
ercio electrnico se proteja contra actividades fraudulentas, disputas con-
tractuales y revelacin o modificacin no autorizada de dicha informacin.
Transacciones en lnea. Estas transacciones son muy vulnerables a errores
o fallos de transmisin o de direccionamiento, alteraciones no autorizadas
de los mensajes, as como revelacin, duplicacin o reproduccin no
autorizadas del mensaje, por lo que han de ser correctamente protegidas.
Informacin puesta a disposicin pblica. La integridad de la informacin
destinada a hacerse pblica debe protegerse para impedir modificaciones
no autorizadas que daen la reputacin de la organizacin.

Supervisin. La nica manera de detectar a tiempo las actividades de proce-


samiento de la informacin no autorizadas es llevando a cabo una supervisin
3. Comprender la Norma UNE-ISO/IEC 27002 59

que las ponga en evidencia. El nivel de monitorizacin est basado en el


nivel de riesgo del negocio, cuanto ms riesgo mayor debera ser el nivel
de vigilancia. Los controles son:
Registro de auditoras. Se deben mantener registros de las operaciones de
privilegio, las conexiones y desconexiones (log in / log out), los intentos
de acceso no autorizado, violaciones de la poltica de acceso, las alertas por
fallos, etc. Estos registros deben ser almacenados durante un perodo
acordado para servir como prueba en investigaciones futuras y en la super-
visin del control de acceso.
Supervisin del uso del sistema, para verificar que los recursos del sistema
se utilizan debidamente.
Proteccin de la informacin de los registros. Debido a la sensibilidad de
los dispositivos de registro y la informacin generada por ellos, deben ser
protegidos contra manipulaciones indebidas y accesos no autorizados.
Registros de administracin y operacin. Los registros del administrador
del sistema y del operador del sistema deberan ser revisados regular-
mente, de manera que se compruebe que se cumplen las actividades del
sistema y de la administracin de la red.
Registro de fallos. Registrar los fallos, tanto de los usuarios como de las
aplicaciones, es el primer paso hacia una correcta gestin de los mismos
hasta su resolucin. Deberan existir reglas precisas para el tratamiento de
los informes de fallos, incluyendo la revisin de los registros y el cumpli-
miento de las medidas correctivas tomadas.
Sincronizacin del reloj. En caso de incidencias, teniendo todos los
equipos sincronizados, se podr comprobar qu equipos estaban conecta-
dos en el sistema de informacin, y al observar los registros de dichos
equipos, se podr llegar a una conclusin sobre lo sucedido.

3.8. Control de acceso


Este captulo trata de las medidas a tomar cuando se desee monitorizar y controlar
el acceso a la red y los recursos de informacin, y de la proteccin existente contra
los abusos internos y los intrusos externos, dada la importancia que tienen para
la organizacin sus activos. Por lo tanto, el objetivo de este grupo de controles es
regular el acceso a la informacin, de acuerdo con los requisitos de negocio y los de
seguridad, que se puede obtener aplicando alguno de los siete objetivos de control
definidos:
60 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Requisitos de negocio para el control de acceso, de manera que slo accedan


a la informacin quienes estn autorizados para ello. Tiene un control:
Poltica de control de acceso. En primer lugar hay que definir y documen-
tar cules van a ser las lneas de actuacin en la organizacin en este
aspecto. Hay que valorar qu clases de informaciones son tratadas y si se
puede permitir acceso a todo el mundo a toda o a la gran mayora de la
informacin y restringir slo una parte, o bien darle a cada uno acceso
slo a aquella informacin que necesita.

Gestin de acceso de usuario, de manera que slo los usuarios autorizados


pueden acceder a la informacin y los sistemas, mientras que aquellos que
no lo estn no puedan hacerlo. Se utilizarn los siguientes controles:
Registro de usuarios. El primer paso es establecer un registro de usuarios,
donde se anoten las altas y bajas de los mismos, junto con los permisos de
acceso que se les conceden o revoquen, todo ello de acuerdo con un pro-
cedimiento formal que evite errores en la asignacin de permisos, en la
medida de lo posible.
Gestin de privilegios. Los privilegios otorgados a los usuarios deben
estar debidamente autorizados, segn su necesidad de uso, manteniendo
un registro para controlar su utilizacin.
Gestin de contraseas de usuario. Es uno de los controles ms difundidos
y ms eficaces para el control de accesos, siempre que est bien implemen-
tado y gestionado. Para conservar la eficacia de las contraseas es funda-
mental que permanezcan confidenciales, por lo que se debe concienciar
al personal sobre este punto. Las contraseas deben tener mayor comple-
jidad (ms caracteres, mezclar nmeros, letras y smbolos) segn la critici-
dad de las aplicaciones o la informacin a la que se acceda, y deben ser
cambiadas frecuentemente, como mnimo una vez al ao.
Revisin de los derechos de acceso de usuario. Debido a los cambios que
sufren las organizaciones, los accesos que se concedieron en su momento
pueden perder validez, por lo que hay que revisarlos regularmente para
actualizarlos.

Responsabilidades de usuario. Ya se ha comentado la importancia de que el


personal colabore activamente en mantener la seguridad. Todas las medidas
tcnicas implementadas no podrn evitar que se cometan errores, como
apuntar contraseas en un papel o dejar informes confidenciales en la impre-
sora. Para evitar este tipo de fallos de seguridad, hay que formar, concienciar
y, si es necesario, comprometer al personal. Por ello, en este objetivo se tratan
3. Comprender la Norma UNE-ISO/IEC 27002 61

los controles orientados a prevenir el acceso de usuarios no autorizados, y


evitar robos de informacin o equipos causados por las malas prcticas de
los usuarios.
Uso de contrasea. Los usuarios deben seguir buenas prcticas de segu-
ridad en la seleccin y el uso de las contraseas: mantener su confidenciali-
dad, no compartirlas, no emplear la misma contrasea para propsitos pro-
fesionales que para no profesionales, no guardarla en papel o en un fichero
de software fcil de acceder, etc.
Equipo de usuario desatendido. Los usuarios, a lo largo de la jornada,
suelen ausentarse de su puesto de trabajo por diferentes motivos, dejando
desatendido el equipo y la informacin que estn utilizando. Para evitar
incidentes no deseados, las pantallas y los equipos debern bloquearse
pasado un perodo de inactividad, por ejemplo, con un protector de pan-
talla con contrasea.
Poltica de puesto de trabajo despejado y pantalla limpia. Tanto las mesas
de trabajo como los equipos informticos del puesto son dos elementos
del sistema de informacin susceptibles de fugas de informacin, por lo
que deben establecerse normas y mecanismos para que el personal man-
tenga tanto la mesa como la pantalla sin informacin visible, papeles o
medios de almacenamiento extrables, que puedan comprometer la confi-
dencialidad de los datos.

Control de acceso a la red. Los sistemas de informacin actuales cuentan con


redes que son vulnerables a accesos no autorizados, por lo que deben ser
protegidas. Los controles para ello son:
Poltica de uso de los servicios en red. Hay que establecer cmo se va a
utilizar la red y sus servicios, y definir cmo se van a asignar los accesos.
Esta poltica deber ser coherente con la poltica de accesos de la organi-
zacin.
Autenticacin de usuario para conexiones externas. Si los usuarios van a
conectarse en remoto a la red, hay mayores riesgos que en una conexin
interna, por lo que la autenticacin debe ser ms rigurosa, sobre todo si se
utilizan redes inalmbricas. Los mtodos de autenticacin se escogern
tanto ms seguros segn la valoracin del riesgo que se haya hecho de la
informacin y las aplicaciones a acceder y los medios de acceso que se van
a utilizar para ello. Si se emplean redes privadas virtuales (VPN) puede ser
suficiente el sistema de usuario y contrasea, si se va a trabajar con redes
pblicas puede ser necesario utilizar, por ejemplo, tcnicas criptogrficas o
dispositivos biomtricos.
62 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Identificacin de los equipos en las redes. De esta manera se pueden aut-


enticar las conexiones provenientes de localizaciones y equipos especfi-
cos. Los identificadores de los equipos indicarn claramente a qu red se
permite al equipo la conexin, si existe ms de una red y, en particular, si
estas redes tienen distinto grado de sensibilidad. Se puede aplicar la iden-
tificacin del equipo adicionalmente a la identificacin de usuario,
reforzndola.
Diagnstico remoto y proteccin de los puertos de configuracin. Cuando
sea necesario mantener un puerto abierto para estas tareas, se debe contro-
lar tanto el acceso fsico como el lgico permitido para este puerto.
Segregacin de las redes. Cuando sea oportuno y prctico, se separarn en
redes distintas los servicios de informacin, los de usuarios y los sistemas,
evitando as filtraciones o modificaciones de la informacin.
Control de la conexin a la red. Cuando se comparta la red, sobre todo si
se hace con otras organizaciones, los accesos deben estar perfectamente
definidos y restringidos. No todos los usuarios poseen las mismas nece-
sidades de acceso, as que, para evitar problemas, lo ms recomendable
es que cada uno tenga los derechos de acceso a la red que estrictamente
necesite para realizar su trabajo.
Control de encaminamiento (routing) de red. Los controles de encami-
namiento (routing) de redes se implementan para evitar que la informacin
llegue a un destino distinto del requerido, de manera que las conexiones de
los ordenadores y los flujos de informacin estn de acuerdo con la poltica
de control de acceso de la organizacin.

Control de acceso al sistema operativo, para prevenir accesos indebidos a los


sistemas operativos que provoquen daos en las aplicaciones e inestabili-
dades de los sistemas. Los controles a utilizar para alcanzar este objetivo son:
Procedimientos seguros de inicio de sesin. Las sesiones deben ser inicia-
das con un procedimiento que no facilite a un usuario no autorizado
la entrada ni revele informacin del sistema y que limite los intentos de
entrada para bloquearlos.
Identificacin y autenticacin de usuario. Cada usuario deber tener un
identificador nico (ID de usuario) para su uso personal y exclusivo, as
se lograr que su autenticacin sea fiable, de manera que se puedan seguir
sus actividades y, si es necesario, exigir responsabilidades.
Sistema de gestin de contraseas. Gestionar las contraseas necesita de la
colaboracin del personal y servirn a su propsito en funcin de la calidad
3. Comprender la Norma UNE-ISO/IEC 27002 63

y robustez de las mismas. Donde sea posible, se permitir a los usuarios


escoger sus propias contraseas, aunque se establezcan criterios para dise-
arlas.
Uso de los recursos del sistema. Hay programas y utilidades del sistema
que pueden ser capaces de invalidar los controles del mismo y de la apli-
cacin, por lo que su uso debera estar restringido a los usuarios que real-
mente lo necesiten y encontrarse estrictamente controlado.
Desconexin automtica de sesin. Las sesiones abiertas son oportu-
nidades para realizar accesos no autorizados, por lo que debe establecerse
un tiempo tras el cual, si no ha habido actividad, la sesin caducar.
Limitacin del tiempo de conexin. Limitar la franja horaria en la que se
pueden realizar las conexiones es un mecanismo que refuerza el control de
accesos, ya que reduce el marco de oportunidades de acceso no autorizado.

Control de acceso a las aplicaciones y a la informacin. Las aplicaciones y


la informacin que contienen son elementos muy sensibles de los sistemas
de informacin, que deben ser protegidos contra accesos no autorizados
para evitar fallos de confidencialidad o de integridad. Existen dos controles para
este objetivo:
Restriccin del acceso a la informacin. Debe seguirse la poltica de acce-
sos de la organizacin, de manera que el acceso se conceda a los usuarios
autorizados para ello. Adems, deben protegerse contra accesos permitidos
por software malicioso o software del sistema operativo que permita obviar
los controles establecidos.
Aislamiento de sistemas sensibles. Cuando las aplicaciones y su informa-
cin son particularmente crticos, deberan estar alojados en entornos pro-
tegidos con equipos dedicados, aislados del resto de los sistemas.

Ordenadores porttiles y teletrabajo. Este tipo de equipos y modo de trabajo


se va extendiendo cada vez ms, con la mejora del hardware, el software y las
comunicaciones, pero son muy vulnerables, por lo que hay que ser especial-
mente escrupuloso para garantizar su seguridad.
Ordenadores porttiles y comunicaciones mviles. Cuando se emplean
este tipo de dispositivos, los riesgos son distintos que cuando se usan los
equipos de sobremesa, por lo que deben establecerse normas de uti-
lizacin especficas encaminadas a protegerlos adecuadamente, tales como
la proteccin fsica, los controles de acceso, las tcnicas criptogrficas, las
copias de respaldo y la proteccin antivirus.
64 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Teletrabajo. Para que el trabajo realizado en remoto se haga con el mismo


nivel de seguridad que si se realizara dentro de las instalaciones de la orga-
nizacin, deben existir unas normas que consideren aspectos como la
seguridad fsica en el lugar de teletrabajo y las comunicaciones. Es impres-
cindible contar con una definicin del trabajo permitido, las horas de tra-
bajo, la clasificacin de la informacin que puede mantenerse en el equipo,
y los sistemas y servicios a los que el teletrabajador est autorizado a
acceder, que garanticen unos mnimos de seguridad.

3.9. Adquisicin, desarrollo y mantenimiento de


los sistemas
En toda labor de la tecnologa de la informacin se debe implementar y mantener
la seguridad mediante el uso de controles de seguridad que abarquen todas las etapas
del ciclo de vida de los activos de informacin. El objetivo especfico de este grupo
de controles es garantizar que la seguridad sea una parte integral de los sistemas de
informacin, desde su concepcin hasta su retirada.
Requisitos de seguridad de los sistemas de informacin. Si queremos garan-
tizar una seguridad integrada en los sistemas de informacin es fundamental
que los requisitos de seguridad sean explcitos y estn documentados. El con-
trol es claro:
Anlisis y especificacin de los requisitos de seguridad. Tanto si se van
a comprar paquetes de software o equipos, como si se est pensando en
subcontratar un nuevo desarrollo, el primer paso es definir los requisitos
que debe cumplir el elemento que se va a adquirir. Si queremos que ese
elemento sea seguro y su incorporacin a los sistemas de informacin no
cree problemas, los requisitos de seguridad debern ser incorporados a las
especificaciones junto con el resto de los requisitos funcionales y tcnicos.

Tratamiento correcto de las aplicaciones. Las aplicaciones deben procesar


correctamente la informacin introducida en ellas para evitar errores, prdidas,
modificaciones no autorizadas o usos indebidos de dicha informacin. Para
alcanzar este objetivo los controles a aplicar son:
Validacin de los datos de entrada. El primer paso ser comprobar que los
datos de entrada en las aplicaciones son vlidos, es decir, la aplicacin
deber ser capaz de detectar si los datos introducidos son correctos, en la
medida de lo posible: que se encuentran dentro de un rango, que el for-
mato es aceptable, que son coherentes, etc.
3. Comprender la Norma UNE-ISO/IEC 27002 65

Control del procesamiento interno. La validacin de los datos debe conti-


nuar durante su procesamiento. La aplicacin ha de contar con mecanismos
que detecten informacin corrupta, si los resultados no encajan con lo espe-
rado o si la informacin no ha seguido el ciclo esperado de trata-miento.
Integridad de los mensajes. Los mensajes del sistema son herramientas
importantes para detectar y corregir errores, por lo que es fundamental
proteger su autenticidad e integridad.
Validacin de los datos de salida. Terminado el tratamiento de la informa-
cin, se deben validar los datos obtenidos comprobando que son cohe-
rentes con lo esperado, verosmiles y razonables, ya que a pesar de que se
han podido tomar todas las precauciones posibles en anteriores etapas del
procesamiento de la informacin, se pueden producir errores en la salida
que invaliden los datos.

Controles criptogrficos. Cuando la sensibilidad de los datos o su criticidad


hacen recomendable utilizar tcnicas criptogrficas para protegerlos, los con-
troles a aplicar son:
Poltica de uso de los controles criptogrficos. Estas medidas tan espe-
ciales son costosas, por lo que debe haber una poltica para aplicarlas de
manera coherente con las necesidades de la organizacin.
Gestin de claves. El uso de tcnicas criptogrficas implica una gestin
de las claves que les dan soporte, lo cual incluir tener normas para la gene-
racin de claves, su uso y su distribucin a los usuarios autorizados, pro-
tegindolas en todo momento.

Seguridad de los archivos de sistema. Estos archivos, incluyendo el cdigo


fuente, son activos de informacin de los que dependen en gran medida la
seguridad de los datos almacenados en los sistemas. Por ello, debe contro-
larse el acceso y manipulacin de estos archivos. Los controles son:
Control del software en explotacin. Para controlarlo adecuadamente
deben existir procedimientos para efectuar la instalacin y actualizacin
de software en los sistemas operativos, incluyendo el modo de restaurar el
programa inicial si falla la instalacin. Estas tareas debern ser ejecutadas
por administradores con la adecuada formacin y autorizacin para ello, y
slo tras haber realizado pruebas que garanticen la ausencia de problemas
tras la instalacin.
Proteccin de los datos de prueba del sistema. En muchos casos se utilizan
datos reales para realizar las pruebas, por lo que hay que ser muy cuidadosos
66 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

al seleccionarlos, mantenerlos protegidos mientras duran las pruebas y eli-


minarlos de ese entorno en cuanto concluyan.
Control de acceso al cdigo fuente de los programas. Un acceso indebido
pondra en peligro la integridad de los programas, por lo que debe tomarse
medidas, tales como mantener el cdigo fuente fuera de los entornos de
produccin y tener distintos niveles de permisos de acceso, ya que no todo
el mundo necesita acceder a toda la biblioteca, por ejemplo, el personal de
asistencia tcnica podr acceder slo a aquellos programas que precisen.

Seguridad en los procesos de desarrollo y soporte. Cuando se desarrolla soft-


ware o se proporcionan servicios de asistencia tcnica, es necesario que el
entorno en el que se desarrollan las actividades sea seguro y est controlado,
lo cual se conseguir con los siguientes controles:
Procedimientos de control de cambios. Realizar cambios en un desarrollo
es una tarea que requiere de un estricto control para evitar costosos fallos.
Por ello, deben realizarse mediante un procedimiento formal que mini-
mice el riesgo de incidentes.
Revisin tcnica de las aplicaciones tras efectuar cambios en el sistema
operativo. Los sistemas operativos son susceptibles de cambios por diver-
sos motivos, pero, al depender de l las aplicaciones, es aconsejable realizar
un chequeo para verificar que esos cambios no han afectado de alguna
manera (funcional, operativa o en seguridad) a las aplicaciones, sobre
todo a aquellas que la organizacin considere crticas.
Restricciones a los cambios en los paquetes de software. Es casi inevitable
tener que realizar cambios a los paquetes de software en algn momento
de su vida til, pero para evitar problemas con su integridad o el de la
informacin que manejan, slo se deben efectuar los cambios estricta-
mente necesarios, por personal autorizado y que controle perfectamente
todo el proceso.
Fugas de informacin. Al desarrollar software se deben prever situaciones
que permitan fugas de informacin, para ello se supervisar al personal,
las actividades del sistema, el uso de los recursos, se escanearn las comu-
nicaciones para detectar informacin oculta, etc.
Externalizacin del desarrollo de software. Cuando se subcontrata el desa-
rrollo de software, deben establecerse los mecanismos apropiados para super-
visar dicho desarrollo, de manera que los requisitos establecidos sean incor-
porados desde el principio y se vayan cumpliendo a lo largo del proyecto.
As se evita llegar al final de proyecto y descubrir que falta alguno de ellos.
3. Comprender la Norma UNE-ISO/IEC 27002 67

Gestin de las vulnerabilidades tcnicas. Los sistemas de informacin estn


sujetos a cambios y actualizaciones para corregir fallos. Los proveedores
informan sobre los mismos y emiten parches y actualizaciones para mitigarlos
o eliminarlos.
Control de las vulnerabilidades tcnicas. Hay que esforzarse para mante-
nerse al da en lo relativo a las vulnerabilidades tcnicas de los sistemas de
informacin que estn siendo utilizados. Con esa informacin se puede
evaluar en qu grado pueden las vulnerabilidades afectar a los sistemas y
al negocio, y adoptar las medidas oportunas. Es decir, no necesariamente
deben implementarse los parches y actualizaciones que recomiende el fa-
bricante, pero al menos hay que considerarlo y tomar una decisin
documentada.

3.10. Gestin de las incidencias


Puesto que es inevitable que las incidencias ocurran, hay que tener mecanismos que
permitan detectarlas y emprender acciones inmediatas para reducir en lo posible
los daos originados. Los objetivos y controles de este captulo tratan precisamente
de cmo hacerlo:
Notificacin de eventos y puntos dbiles de la seguridad de la informacin.
En muchas ocasiones no se solucionan los problemas porque no existen
canales de comunicacin apropiados para comunicarlos. El objetivo consiste
en asegurarse de que los eventos y las vulnerabilidades de la seguridad de la
informacin se comunican, y as puedan buscarse soluciones.
Notificacin de los eventos de seguridad de la informacin. Todos aquellos
en contacto con los sistemas de informacin, trabajadores, contratistas y
terceros, deberan tener instrucciones claras sobre cmo proceder en caso
de que detecten algn evento de seguridad, a quin deben comunicrselo
y de qu forma.
Notificacin de los puntos dbiles de la seguridad. Como en el control
anterior, cualquier usuario de los sistemas y la informacin, tanto los
internos como los externos, deben estar obligados a notificar cualquier
punto dbil que observen o que sospechen que exista.

Gestin de incidentes de seguridad de la informacin y mejoras. Para solu-


cionar eficazmente los incidentes que ocurran deben tomarse medidas estu-
diadas y coherentes. Los controles a aplicar son:
68 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Responsabilidades y procedimientos. Deben existir responsabilidades y


procedimientos, de manera que se pueda dar una respuesta rpida a los
incidentes. Quizs sea necesario establecer distintos niveles de soporte de
incidentes en funcin del tipo y complejidad de los mismos.
Aprendizaje de los incidentes de seguridad de la informacin. Si se regis-
tran los tipos, volmenes y costes de los incidentes de seguridad de la
informacin, pueden detectarse incidentes recurrentes o con un elevado
alcance. Esto permitira adoptar decisiones informadas para la mejora de
los controles o para aadir nuevos, que eviten gastos innecesarios.
Recopilacin de evidencias. Es necesario llevar a cabo este control con rigu-
rosidad en caso de establecer acciones legales tras un incidente. Hay que
recopilar evidencias y conservarlas en la manera prevista por la ley para
que puedan ser admitidas en un tribunal.

3.11. Gestin de la continuidad del negocio


En caso de desastre, la organizacin debe estar preparada para continuar con sus
actividades en el menor plazo de tiempo posible para evitar su desaparicin. Los
peligros de ataque terrorista o desastres casuales, que se materializan de cuando en
cuando y llenan pginas en los peridicos, han hecho que ahora se perciban ms
necesarios este tipo de actividades.
Un plan de continuidad se puede definir como el conjunto de instrucciones y pro-
cedimientos que van a seguirse en una organizacin en caso de que ocurra algo
que interrumpa las actividades normales durante un plazo de tiempo significativo.
Es decir, un corte de luz de unos minutos no ser un incidente grave para la mayora
de las organizaciones. Un corte de luz de horas puede comprometer algunas ope-
raciones de la organizacin y debern existir procedimientos para paliar esta si-
tuacin. Un corte de luz de das es muy probable que requiera un plan de con-
tinuidad en toda regla para impedir que la organizacin colapse.
Un plan de continuidad contendr procedimientos para actuar en cada etapa de la
crisis, hasta que se consigan recuperar las actividades hasta un nivel aceptable. Para
que puedan aplicarse eficazmente, todo el personal de la organizacin debe for-
marse adecuadamente en estos procedimientos:
Aspectos de seguridad de la informacin en la gestin de la continuidad del
negocio. Aun en el caso de que exista algn plan de continuidad en la orga-
nizacin, no es habitual que se contemplen los aspectos relacionados con los
sistemas de informacin y la informacin misma. Pero una organizacin no
3. Comprender la Norma UNE-ISO/IEC 27002 69

puede subsistir sin su informacin, por lo que garantizar su seguridad debe


ser un elemento clave de cualquier plan de continuidad.
Inclusin de la seguridad de la informacin en el proceso de gestin de la
continuidad del negocio. Debera desarrollarse y mantenerse un proceso
controlado para la continuidad del negocio en toda la organizacin que
trate los requisitos de seguridad de la informacin necesarios, como
cules son los activos que soportan los procesos crticos de negocio y cules
seran las consecuencias de incidencias en dichos activos.
Continuidad del negocio y evaluacin de riesgos. Una de las tareas funda-
mentales para desarrollar un plan de continuidad del negocio es el anlisis
del impacto en l, es decir, un anlisis de riesgos donde se identifican las
incidencias que pueden suponer una interrupcin de las actividades, la
probabilidad de que ocurran, sus efectos y sus consecuencias en el tiempo.
Desarrollo e implementacin de planes de continuidad que incluyan la
seguridad de la informacin. Los planes de continuidad de negocio deben
permitir la recuperacin y restauracin de las operaciones de negocio y la
disponibilidad de la informacin en los plazos identificados. Para trazar
un plan de continuidad se debe:
Identificar los objetivos y los responsables de las distintas fases.
Identificar las prdidas aceptables de informacin o servicios.
Definir las escalas temporales en las que deben estar restablecidos los
servicios y la informacin.

Marco de referencia para la planificacin de la continuidad del negocio.


Un marco de referencia de un plan de continuidad del negocio identifica
los requisitos de seguridad de la informacin, adems tendr en cuenta los
aspectos generales, tales como en qu condiciones se activarn los planes,
cules son los procedimientos de emergencia, medidas para proteger la
imagen y reputacin de la organizacin, y formacin del personal para
que pueda ejecutar sus tareas y responsabilidades adecuadamente en caso
de crisis.
Pruebas, mantenimiento y revaluacin de los planes de continuidad del
negocio. El plan ha de revisarse para verificar que sigue siendo aplicable
y que cubre todos los activos. El plan debe probarse para comprobar que es
viable y que todo el mundo conoce las acciones que debe emprender si
se activa el plan.
70 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

3.12. Cumplimiento
Este captulo trata de garantizar que los sistemas cumplen con las polticas y normas
de seguridad de la organizacin, as como con los requisitos legales pertinentes.
Cuenta con tres objetivos de control:
Cumplimiento de los requisitos legales. El objetivo de este procedimiento es
cumplir con la legislacin aplicable a la organizacin, evitando infracciones
que pueden resultar muy dainas tanto en trminos econmicos como de
reputacin para la organizacin. En nuestro pas, las principales leyes que
afectan a la mayora de las organizaciones son:
Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de datos de
carcter personal y Real Decreto 994/1999, de 11 de junio, por el que
se aprueba el Reglamento de Medidas de seguridad de los ficheros auto-
matizados que contengan datos de carcter personal.
Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el
Texto Refundido de la Ley de Propiedad Intelectual.
Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones, para la
regulacin de las telecomunicaciones, sobre la explotacin de las redes y
la prestacin de los servicios de comunicaciones electrnicas y los recursos
asociados.
Ley 34/2002, de 11 de julio, de servicios de la sociedad de la informacin
y de comercio electrnico (LSSI).

Los controles a aplicar son:


Identificacin de la legislacin aplicable. El responsable de seguridad,
junto con los servicios jurdicos de la organizacin, debe mantener actuali-
zada una lista de legislacin vigente aplicable y ocuparse de que cumplan
con ella los que tengan responsabilidades relativas a la aplicacin de la ley.
Derechos de Propiedad Intelectual (DPI). La organizacin debe contar
con procedimientos que garanticen un uso correcto de material con dere-
chos de propiedad intelectual, incluyendo el software propietario.
Proteccin de los documentos de la organizacin. En toda organizacin
existen documentos importantes por diversos motivos, que deben prote-
gerse adecuadamente frente a prdidas, destruccin y falsificacin.
Proteccin de datos y privacidad de la informacin de carcter personal.
El procedimiento deben seguirlo todos los empleados con acceso a datos
3. Comprender la Norma UNE-ISO/IEC 27002 71

personales, bien a travs del sistema informtico habilitado para acceder a


los mismos o bien a travs de cualquier otro medio.
Prevencin del uso indebido de los recursos de tratamiento de la informa-
cin. La organizacin debe tener medidas que impidan que los usuarios
recurran a los sistemas de informacin para usos indebidos.
Regulacin de los controles criptogrficos. Estos controles estn sujetos a
leyes y regulaciones, posiblemente tambin a acuerdos con otras organiza-
ciones, por lo que deben existir normas para su correcta utilizacin.

Cumplimiento de las polticas y normas de seguridad, y cumplimiento tc-


nico. El SGSI contiene numerosas polticas y normas a seguir, por lo que hay
que efectuar un seguimiento para comprobar en qu medida se cumplen.
Cumplimiento de las polticas y normas de seguridad. Los responsables
de cada rea son los encargados de velar por el correcto cumplimiento de las
mismas. Para comprobar que es as, se llevarn a cabo auditoras internas
o externas que detecten las posibles no conformidades.
Comprobacin del cumplimiento tcnico. Deben realizarse chequeos pe-
ridicos de los sistemas para verificar que se estn aplicando los controles
y medidas definidos en el sistema, para detectar posibles errores u omi-
siones que comprometan la seguridad de la informacin.

Consideraciones sobre la auditora de los sistemas de informacin. Objetivo:


lograr que el proceso de auditora de los sistemas de informacin alcance la
mxima eficacia con las mnimas interferencias.
Controles de la auditora de los sistemas de informacin. Las auditoras
informticas son herramientas muy tiles para detectar vulnerabilidades y
puntos de mejora, pero por su propia naturaleza hay que ser cuidadosos al
planificarlas y disearlas, de manera que no interfieran o interrumpan las
actividades habituales de la organizacin.
Proteccin de las herramientas de auditora de los sistemas de informa-
cin. Un uso indebido de estas herramientas, intencionado o no, puede
ser muy perjudicial, por lo que deben estar protegidas y el acceso a ellas
debera encontrarse restringido.
4 Definicin e
implementacin
de un SGSI

4.1. El proyecto
Bsicamente, un proyecto de definicin de un SGSI se puede estructurar en 7 grandes
bloques, que comprenden una serie de fases y actividades de acuerdo al esquema
presentado en la figura 4.1.
Las actividades principales para crear un SGSI son:
Definicin del alcance, los objetivos y la poltica de seguridad. Debe cubrir
todos los aspectos de la seguridad: seguridad fsica, seguridad lgica, seguri-
dad del personal, y adecuarse a las necesidades y recursos de la organizacin.
Desarrollar el inventario de activos. Hay que tener presente cules son los
activos ms valiosos, que a la vez pueden ser los ms vulnerables.
Realizar el anlisis de riesgos. Cada uno de los pasos ha de ser documentado
en el anlisis de riesgos, con las valoraciones de todos los parmetros impli-
cados: amenazas que afectan a cada activo, nivel de vulnerabilidad, probabi-
lidad de ocurrencia y los efectos que podra suponer que se materializara la
amenaza, es decir, que una amenaza explorara la vulnerabilidad de un activo.
Este anlisis proporcionar un mapa de los puntos dbiles del negocio, que
sern los que hay que tratar en primer lugar.
Seleccionar las medidas de seguridad a implementar. La gestin de los riesgos
implica seleccionar e implementar las medidas tcnicas y organizativas nece-
sarias para impedir, reducir o controlar los riesgos identificados, de forma que
los perjuicios que puedan causar se eliminen o se reduzcan al mximo. Hay
que considerar, antes de seleccionarlos, que dichos controles tienen unos
costes de implementacin y gestin.
74 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Fases del proyecto

Lanzamiento y anlisis de situacin 1

Elaboracin de poltica
Definicin del alcance 2
y propuesta de objetivos

Inventario Anlisis Seleccin


3
de activos de riesgos de controles

Elaboracin de documentacin del SGSI


4
(manual, procedimientos, instrucciones)

Implementacin del SGSI 5

Auditora interna Revisin del sistema 6

Auditora de certificacin 7

Figura 4.1. Fases del proyecto de implementacin de un SGSI

Evaluar los riesgos residuales. Despus de identificar los controles adecuados


para reducir riesgos al valor estimado como aceptable, debe evaluarse en
cunto se reduce el riesgo al aplicarlos. Por muchos controles que se apliquen
no se puede eliminar el riesgo totalmente, siempre habr un riesgo residual.
La direccin tiene que conocer que este riesgo existe y aceptarlo.
4. Definicin e implementacin de un SGSI 75

Documentar los procedimientos necesarios para implementar las medidas


seleccionadas. Los procedimientos son la manera de plasmar la imple-
mentacin de los controles de seguridad y las tareas de administracin
del SGSI. Un procedimiento debe reflejar fielmente los pasos a seguir para
la realizacin de las tareas, pero debe ser conciso y claro para que no se
cometan errores.
Implementacin de los controles y los procedimientos. Puesto que lo habitual
es que haya muchos controles a implementar, lo ms prctico es planificarla
en el tiempo. De todos modos, es preferible abordar proyectos pequeos que
tengan un plazo de ejecucin corto y permitan obtener beneficios enseguida,
que intentar abordar proyectos muy ambiciosos que se alargan en el tiempo
y que no parecen ofrecer un adecuado retorno de la inversin.
Formar y concienciar al personal. Es fundamental para que el SGSI est bien
implementacin que haya un plan de formacin con acciones formativas a
distintos niveles. El responsable del SGSI deber poseer una formacin
exhaustiva en todos los temas relacionados, incluso como auditor interno; el
personal en general tendr que conocer y asumir, si no lo han hecho ya, sus
responsabilidades en materia de seguridad, y los afectados por los nuevos
procedimientos tendrn que asimilar sus nuevas tareas o los cambios que se
han producido en las que ejecutaban.
Realizar la auditora interna y la revisin del SGSI por la direccin. De esta
manera se comprobar que el SGSI se ajusta a la norma y a los requisitos de
la organizacin.

4.2. Documentacin del SGSI


Segn la norma, en un SGSI no se exige un manual de seguridad al uso de otras
normas de gestin, que s especifican que ha de existir un manual de gestin. Sin
embargo, la norma es muy clara en cuanto a la informacin que debe estar docu-
mentada. Por ello, el SGSI consistir en un conjunto de documentos que, como
mnimo, sern los siguientes:
Poltica de seguridad.
Inventario de activos.
Anlisis de riesgos.
Gestin de riesgos.
Documento de aplicabilidad.
76 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Procedimientos para implementar los controles.


Procedimientos para la gestin del SGSI.

Pueden existir tambin otros documentos como planes de seguridad, instrucciones


tcnicas, etc.
Uno de los requisitos de la norma es que se establezca la trazabilidad en todo el sis-
tema, desde la poltica hasta los procedimientos, justificando la eleccin de los con-
troles, que deben ser proporcionales a los riesgos y a las necesidades de la empresa.
Estas necesidades comprenden tanto las de seguridad (cmo de seguro quiere que
sea el sistema), como las del negocio (qu se necesita para funcionar eficazmente,
qu estn haciendo sus competidores) y las legales o reglamentarias (qu leyes y
regulaciones aplicables a su negocio debe tener en cuenta).

4.3. Poltica de seguridad


La poltica de seguridad recoger las lneas generales de actuacin de la organizacin
en una declaracin que estar firmada por la direccin, en la que se compromete a
velar por la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad
de los activos de informacin.
Adems, como parte de este documento o en otro distinto, se debe documentar:
El alcance del sistema, es decir, qu partes de la organizacin van a estar pro-
tegidas por el SGSI. Puede ser la organizacin entera o una parte relevante
de la misma: departamento, servicio o proceso. La recomendacin a la hora
de decidir el alcance es escoger uno que sea realmente abordable por la
empresa. Si es demasiado amplio y no se cuenta con los recursos necesarios
para llevar a cabo un SGSI de esa dimensin, el proyecto se alargar y llegar
un momento en que se parar, puesto que no hay personal o presupuesto
para continuar con l, con la consiguiente frustracin de los implicados y la
prdida de tiempo y dinero de la organizacin.
La estructura de la empresa, un organigrama de las distintas reas y respons-
ables de la organizacin, y sus relaciones internas.
Las diferentes responsabilidades de cada parte de la organizacin: el respon-
sable de seguridad, la direccin, el responsable de sistemas, el personal, etc.
La topologa de la red, de manera que se muestren los principales sistemas
de informacin y comunicacin que se emplean.
4. Definicin e implementacin de un SGSI 77

La clasificacin de la informacin, utilizando la nomenclatura de la organi-


zacin y explicando los criterios de clasificacin.
El enfoque y la metodologa del anlisis de riesgos. As cualquiera puede veri-
ficar los resultados del anlisis, ajustndose al razonamiento que se ha seguido
para llevarlo a cabo.
Las normas generales de uso de los activos. Estas normas deben existir para
evitar incidentes no deseados y utilizaciones indebidas de los activos. Sern
hechas pblicas, e incluso pueden ser objeto de una entrega formal a los
empleados o terceras partes implicadas, de modo que se hagan responsables de
las infracciones. Es fundamental establecer unas pautas mnimas en temas
como el empleo de las contraseas y el de las comunicaciones, fuente de
numerosas incidencias. Estas normas de uso son un elemento importante en la
concienciacin del personal, ya que establecen unas pautas de compor-
tamiento, que aunque sean de sentido comn y no marquen lmites demasiado
estrictos, s indican que la empresa se preocupa al respecto y que los emplea-
dos deberan hacer lo mismo.
Los objetivos de seguridad que se pretenden alcanzar. Puede ser difcil
establecer unos objetivos claros y tiles sin tener datos de partida, pero al
menos se deber intentar expresar qu nivel de seguridad se desea alcanzar.
Se puede comenzar por estimar qu metas se quieren lograr en trminos
de confidencialidad, disponibilidad e integridad. Por ejemplo, para veri-
ficar las mejoras en confidencialidad puede utilizarse como mtrica el
nmero de incidencias relativas a la confidencialidad, y decidir que el obje-
tivo para este ao va a ser tener tres o menos incidencias de este tipo. Con
los resultados que se vayan obteniendo, se ir revisando dicho objetivo
para ajustarlo a la realidad. Si sistemticamente obtenemos un valor mucho
ms elevado, puede que el objetivo no sea realista y haya que revisarlo a la
baja.

Un ejemplo de cmo realizar este documento puede consultarse en el apartado 8.1


de este libro.

4.4. Inventario de activos


El inventario de activos es la recopilacin de todos aquellos elementos indispensa-
bles para que la administracin electrnica pueda prestarse con todas las garantas,
de manera que los ciudadanos tengan confianza en ella.
78 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

El inventario de activos debe recoger la siguiente informacin:


El nombre del activo, por ejemplo: equipo de usuario, router 014, proyecto,
expediente, etc.
La descripcin del activo.
Categora a la que pertenece, por ejemplo: equipo, aplicacin, servicio, etc.
Ubicacin: el lugar fsico en el que se encuentra dentro de la organizacin.
Propietario: entendiendo por tal al responsable del activo.
Identificados los activos de informacin: se les debe valorar de acuerdo a su
importancia para la empresa. Esta apreciacin ser lo ms objetiva posible, ya
que con ella se determinar sobre qu activos se realizar el anlisis de riesgos.
Por supuesto, se puede hacer una estimacin de todos los activos, pero si son
muchos, los recursos limitados, o ambas cosas, lo razonable es elegir un grupo
de activos reducido para que el anlisis de riesgos no sea inabarcable. Por ejem-
plo, se puede escoger analizar los activos que estn por encima de un valor.

Para valorar los activos se considerarn los parmetros de confidencialidad, disponi-


bilidad e integridad de los activos, determinndose la importancia que tienen para la
organizacin en una escala de valores predefinida.
Como ejemplo, vamos a utilizar un activo llamado Facturas, del tipo Datos,
ubicado en el Servidor S y cuyo propietario es el responsable de administracin.
Cada uno de los parmetros se valorar del 1 al 4 segn su relevancia para la orga-
nizacin, y el valor total del activo ser la suma aritmtica de todos los valores par-
ciales (vase la tabla 4.1).

Tabla 4.1. Inventario de activos

Activo Confidencialidad Integridad Disponibilidad Valoracin total

Facturas 2 4 2 8

La confidencialidad de las facturas es importante, pero no crtica, puesto que ha de


estar disponible para mucha gente (clientes, Hacienda, asesores fiscales, personal
de administracin, etc.) y su filtracin no supondra un trastorno excesivo. Una
base de datos de clientes tendra un valor ms alto en este aspecto, por contener
datos de carcter personal.
La integridad de las facturas es muy importante, puesto que las errneas son
origen de reclamaciones y trabajo extra, e incluso de sanciones por parte de la
4. Definicin e implementacin de un SGSI 79

Administracin, lo cual no es en absoluto deseable. La integridad de un expediente


de compra se valorara menos.
Que las facturas estn disponibles es importante, pero no fundamental para que el
negocio contine funcionando. No se producir un trastorno serio en la organi-
zacin a menos que el momento en el que suceda la indisponibilidad sea crtico
(por ejemplo, cuando llega la hora de preparar los impuestos o cerrar el ao). Sin
embargo, la disponibilidad del Servidor S en el que se alojan las facturas se valo-
rara ms alta, puesto que la indisponibilidad de dicho equipo s supondra un
trastorno considerable para la marcha de la organizacin.
La suma de los valores nos da 8. Haciendo lo mismo para todos los activos po-
dremos estimar cules son los activos ms crticos, ms valiosos para la organi-
zacin y establecer comparaciones.
Obviamente, los razonamientos anteriores son hipotticos y se ofrecen a modo de
ejemplo. En cada organizacin los activos se ven y valoran de acuerdo con las cir-
cunstancias y la utilizacin que brinda cada uno de ellos.
Otro aspecto a documentar en este punto es la relacin entre los procesos de negocio y
los activos de informacin. Segn la norma se debe documentar cmo la informacin
que se gestiona en la empresa soporta los procesos de negocio, es decir, colabora en el
funcionamiento del negocio y, por lo tanto, en que ste siga generando ingresos.
Para ello hay que definir cules son los principales procesos de negocio (adminis-
tracin, produccin, gestin de proyectos, compras, etc.) y especificar qu activos
forman parte de su operativa normal. Por ejemplo, podemos considerar que el pro-
ceso Compras se apoya en el personal del departamento, las aplicaciones con las
que se produce la documentacin, la propia documentacin (peticiones de oferta,
ofertas, rdenes de compra, etc.), los equipos de usuarios, los servidores donde se
aloja la informacin y las comunicaciones.
Un ejemplo de cmo realizar este documento puede consultarse en el apartado 8.2 de
este libro.

4.5. Anlisis de riesgos


Para efectuar el anlisis de riesgos confeccionaremos (o utilizaremos la propuesta
por la metodologa o herramienta que se haya escogido) una lista de las amenazas
a las que se enfrenta la empresa. Por ejemplo:
Fuego.
Inundacin.
80 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Corte de suministro elctrico.


Fallo del suministro de comunicaciones.
Error de usuario.

Para cada activo hay que valorar cul es la vulnerabilidad de ese activo con respecto
a cada una de las amenazas. Esta valoracin se har de acuerdo a una escala definida
por la empresa, por ejemplo de 1 a 4:
1 Nada vulnerable.
2 Poco vulnerable.
3 Bastante vulnerable.
4 Muy vulnerable.

Es decir, si tenemos un activo facturas expuesto a la amenaza fuego, ser muy


vulnerable (4) si las facturas estn en soporte papel, pero podemos considerar que
es bastante vulnerable (3) si estn en soporte electrnico.
El siguiente paso ser decidir cul es la probabilidad de que ocurra la amenaza
(vase la tabla 4.2).

Tabla 4.2. Anlisis de riesgos

Probabilidad de ocurrencia
Gua
de la amenaza

1 Muy baja Una media de una vez cada 5 aos

2 Baja Una media de una vez cada 2 aos

3 Media Una media de una vez al ao

4 Alta Una media de 3 veces al ao

Por ltimo, para decidir el nivel de riesgo de los activos habr que evaluar el
impacto que tendra en el negocio que la amenaza se materializara, siguiendo con
el ejemplo anterior, que un incendio acabara con las facturas.
Hay que definir de nuevo una escala para asignar un valor numrico a ese impacto,
como:
1 Ningn impacto.
4. Definicin e implementacin de un SGSI 81

2 Poco impacto.
3 Bastante impacto.
4 Mucho impacto.

En nuestro ejemplo vamos a considerar que el impacto sera 3.


Estas valoraciones se deben realizar sin aplicar ninguna medida de seguridad a los
activos, es decir, hay que estimar que nuestras facturas en papel estn simplemente
en una carpeta o que las facturas en soporte electrnico no tienen copias de seguri-
dad ni se encuentran protegidas por contrasea.
Con los valores obtenidos para cada activo hay que calcular el riesgo para cada
amenaza (que ser, por ejemplo, el producto de los tres parmetros), y despus cal-
cular el nivel de riesgo de ese activo, que puede ser una simple suma de todos los
valores obtenidos o puede optarse por tomar slo el valor ms alto. El objetivo es
cuantificar algo tan intangible como el nivel de riesgo y poder comparar todos los
activos con un criterio homogneo. Por ello, el mtodo de clculo no es tan crucial
como los criterios que se apliquen para efectuar esos clculos, que deben ser claros,
coherentes y bien definidos.
Las escalas y los clculos sern concretos, entendibles y se aplicarn a todos los
activos de la misma manera.
En este ejemplo (vase la tabla 4.3), el nivel de riesgo puede considerarse que
es 32, puesto que es el mayor de los obtenidos, o bien se pueden sumar los valores
y sera 50. En cualquier caso, lo esencial es utilizar el mismo sistema para todos y
cada uno de los activos, puesto que de lo que se trata es de comparar sus niveles de
riesgo, ver qu activos tienen ms riesgo que otros. De esta manera, obtendremos
un mapa de riesgos coherente, como en la tabla 4.4, del que se puede deducir
que la aplicacin de gestin est expuesta a ms riesgo y entonces debern aplicarse
ms medidas de seguridad para protegerla.

Tabla 4.3. Ejemplo del nivel de riesgo

Amenazas Facturas

Fuego 3 1 3 9

Fallo de electricidad 1 3 3 9

Error de usuario 4 4 2 32
82 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Tabla 4.4. Mapa de riesgos

Activo Riesgo

Facturas 32

Equipos de usuario 24

Aplicacin de gestin 48

Base de datos de proveedores 9

Tanto los mtodos de clculo como las valoraciones y los resultados quedarn docu-
mentados para cumplir con la norma.
Una vez obtenidos todos los valores de riesgo hay que decidir qu se va hacer con
cada uno de ellos, si se va a asumir, a transferir, a eliminar o a mitigar. Esta
declaracin de la gestin de los riesgos estar firmada por la direccin. Normal-
mente las decisiones son asumir los riesgos o mitigarlos. En cualquier caso hay que
tener en cuenta que siempre habr un pequeo grupo de controles que van a apli-
carse sobre todos los activos o sobre muchos, como es el caso de la poltica de
seguridad, el inventario de activos, la proteccin de los datos personales o las
copias de seguridad.
Decidir en qu punto un nivel de riesgo puede ser asumido por la empresa, o por
decirlo con la expresin utilizada en la norma, cundo un riesgo es asumible, depende
por entero de la empresa y de hasta qu punto puede y quiere tomar medidas en
cuanto a la seguridad de su informacin. Por eso hay que idear de nuevo un criterio
para distinguir entre los riesgos asumibles y los que no lo son.
Siguiendo con nuestro ejemplo, los posibles valores de riesgo iran del 1 al 64, por
lo que podramos estipular que la mediana, el 32, es el valor por debajo del cual se
considerar asumible el riesgo. Otra opcin podra ser la media de los valores, o
directamente convenir un valor por debajo del cual el riesgo es asumible, por ejem-
plo 10. La norma no especifica nada sobre cmo escoger este valor, y es la empresa
la que debe valorar cuntos riesgos est dispuesta a correr y hasta dnde puede
invertir en mitigarlos.
La documentacin del anlisis de riesgos recoger:
Todas las valoraciones realizadas.
Los valores de riesgo intrnseco.
4. Definicin e implementacin de un SGSI 83

Cul es el riesgo asumible.


Las decisiones tomadas respecto a cada uno de los activos.

Un ejemplo de cmo realizar este documento puede consultarse en el apartado 8.3


de este libro.

4.6. Gestin de riesgos


Una vez que sabemos a qu nos estamos enfrentando, es necesario escoger de entre
los controles incluidos en la Norma UNE-ISO/IEC 27002 los que nos van a servir
para reducir los niveles de riesgo identificados en la fase anterior.
En un sentido amplio, los controles se pueden dividir en dos grupos, los de carcter
organizativo y los tcnicos. Es importante lograr un balance en la seleccin que ase-
gure que no slo se aplican las medidas tcnicas apropiadas, sino que la gestin de la
seguridad es lo suficientemente slida como para que funcionen correctamente.
Hay que revisar uno por uno los controles y considerar:
Si est ya implementado.
Si ayudara a reducir el riesgo de alguno de los activos.
Si el coste de implementarlo es aceptable.
Si el coste de la operacin y el mantenimiento del control sern aceptables.

Existen una serie de controles que deben ser implementados obligatoriamente


si optamos por la certificacin, por ejemplo, tener una poltica de seguridad o un
inventario de activos, pero salvo esos, el resto, aunque nos parezcan muy apro-
piados al problema que tenemos entre manos, hay que valorar cuidadosamente los
criterios expuestos anteriormente, porque aplicar un control que luego es muy cos-
toso de implementar no va a ser una medida de seguridad eficiente, y uno que
suponga mucho esfuerzo implementacin por motivos culturales o de organi-
zacin, ser difcil que llegue a ser eficaz.
No hay un nmero establecido o recomendado de controles a implementar. Se
deben implementar todos aquellos que beneficien a la seguridad de la informacin,
pero no pretender abarcar demasiados, puesto que lastraran el desarrollo del SGSI
y no le permitiran una implementacin adecuada.
Por ejemplo, el activo facturas que manejbamos. Ser necesario contar con con-
troles de acceso a esta informacin (no todo el mundo tiene por qu acceder a ella),
84 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

copias de seguridad (que garanticen la disponibilidad de la informacin) o proce-


dimientos para intercambio de informacin (cmo las vamos a hacer llegar de
manera segura a los clientes o a los asesores garantizando su integridad). En gene-
ral, estos controles son fciles de implementar e incluso en muchos casos, aunque
sea de manera informal, ya existen buenas prcticas relacionadas. El coste no
resulta elevado y reducen los principales riesgos detectados (fallos de usuario,
fuego). Aislar los equipos en los que se tratan las facturas en un rea segura, con
costosas medidas de seguridad fsica y equipos especiales que garanticen la
disponibilidad es, normalmente, demasiado gravoso econmicamente para los
beneficios que se obtienen. La reduccin del riesgo sera mayor que en el primer
caso, pero no compensara.
Puesto que estamos hablando de sistemas de gestin orientados a la mejora continua,
es mucho ms prctico en una primera iteracin quedarse con un conjunto mnimo
de controles que cumplan con los requisitos de la Norma UNE-ISO/IEC 27001,
y que mitiguen hasta un nivel aceptable, aunque no sea muy bajo, el riesgo. Una
vez que el SGSI funciona de un modo correcto, se pueden ir aadiendo controles
o mejorando la implementacin de los existentes para reducir progresivamente el
riesgo, es decir, para ir mejorando el sistema.
Decididos los controles a implementar e identificados aquellos que ya se utilizaban
en la empresa, hay que repetir el anlisis de riesgos, cindose al mismo mtodo y
a los mismos criterios que la primera vez. La diferencia estriba en que lo que ahora
se debe valorar es el riesgo, puesto que ya tenemos medidas de seguridad que
habrn reducido la vulnerabilidad del activo y el posible impacto que un incidente
de seguridad supondra.
Retomando nuestro ejemplo, supongamos en esta ocasin que el activo facturas
existe en papel, guardado en un armario en una oficina con medidas antiincendios
(detectores, extintores, alarmas), y adems se almacenan en un servidor, que con-
tar con un Sistema de Alimentacin Ininterrumpida (SAI), situado en un armario
especfico cerrado con llave, con control de temperatura, etc. Adems se realiza una
copia semanal de seguridad, que a partir de ahora se enviar a otra ubicacin.
Con estas medidas de seguridad implementadas o a punto de hacerlo, la vulnera-
bilidad al fuego se ha reducido quizs a 1, y como existen copias de seguridad
incluso fuera de la oficina, el impacto tambin se reducir, por ejemplo a 2. La
vulnerabilidad al fallo de electricidad, es baja, el SAI puede ayudar a aminorar el
impacto, ya que si se produce un fallo el usuario puede terminar y guardar su tra-
bajo antes de que la avera lo elimine o corrompa. Puesto que la implementacin
de un SGSI conlleva la definicin y publicacin de una poltica de seguridad con
normas para los usuarios, la vulnerabilidad al error de usuario deber ser menor
(vase la tabla 4.5).
4. Definicin e implementacin de un SGSI 85

Tabla 4.5. Gestin de riesgos

Facturas
Amenazas
Riesgo Vulnera- Riego
Impacto
inicial bilidad residual

Fuego 9 1 2 2

Fallo de electricidad 3 1 2 2

Error de usuario 8 2 2 4

El grado de riesgo del activo facturas es ahora de 4, lo cual le sita en un nivel


inferior por debajo del cual el riesgo es asumible, es decir, no es necesario aadir
ms controles a este activo.
En esta fase se generarn dos documentos: el documento de aplicabilidad y el
informe de gestin de riesgos.
Las decisiones sobre aplicar o no un control debern quedar documentadas en el
documento de aplicabilidad. Este documento debe contener para cada control la
siguiente informacin:
Si est aplicado.
Si se va a aplicar.
Si no se va a aplicar.
Razonamiento explicando la decisin.

El informe de gestin de riesgos recoger:


Los controles aplicados a cada activo.
Las valoraciones y los valores de riesgo resultantes tras la aplicacin de los
controles.
La aceptacin de la direccin de los riesgos residuales.

Un ejemplo de cmo realizar dichos documentos puede consultarse en los apar-


tados 8.4 y 8.5 de este libro.
86 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

4.7. Plan de tratamiento del riesgo


Es conveniente, una vez decidido lo que se va a hacer, que se prepare un plan para
ejecutar las tareas a emprender para que el SGSI quede completamente implemen-
tado.
Las principales tareas sern la implementacin de todos los controles, la formacin,
la auditora interna y la revisin por la direccin.
El plan puede ser adems el documento idneo para plasmar los objetivos de seguri-
dad junto con un grupo de mtricas relevantes, medibles con escasos recursos y que
ofrezcan una informacin fiable de cmo funciona el SGSI.
La norma establece que se debe medir el rendimiento de todos aquellos controles
que se consideren relevantes. Adems, hay que procurar que medir no resulte cos-
toso, por lo que se escoger un grupo reducido de mtricas que nos orienten sobre
si el SGSI funciona o no, por ejemplo, partiendo de los tres aspectos de seguridad,
y ver de qu manera podemos medir si conseguimos mantenerlos:
Confidencialidad: reducir el porcentaje de incidentes relacionados, aumentar
la concienciacin del personal, etc.
Disponibilidad: porcentaje de disponibilidad de los equipos y sistemas.
Integridad: reducir el porcentaje de informacin errnea, disminuir el por-
centaje de fallos del sistema o las aplicaciones, etc.

Una vez en marcha el programa de mtricas, se ver cules son los puntos que
aportan informacin relevante sobre la marcha del SGSI, cules deberan ser
descartados y cules incorporados para mejorar nuestro conocimiento del fun-
cionamiento del SGSI. El mismo funcionamiento de los controles puede sugerir
nuevos objetivos y mtricas que aadir.
Un ejemplo de este documento puede consultarse en el apartado 8.6 de este libro.

4.8. Procedimientos
Es uno de los puntos ms problemticos. El objetivo de un procedimiento es
describir la manera en la que se va a realizar una tarea. El nivel de detalle de un pro-
cedimiento no debera ser muy alto. Se trata de contar cmo se hace una tarea de
forma que alguien que no est familiarizado con ella pudiera ejecutarla en caso
necesario. Para ello se debera describir a grandes rasgos lo que se debe hacer y citar
4. Definicin e implementacin de un SGSI 87

aquellos documentos que puedan ser de ayuda para llevar a cabo la tarea. Se debe
evitar ofrecer detalles que pueden cambiar con frecuencia, y obligaran a revisar el
procedimiento muy a menudo. Este tipo de datos deberan documentarse en
instrucciones tcnicas y no en procedimientos.
El lenguaje debera ser lo ms claro posible, evitando modismos y jergas ininteligi-
bles o que conduzcan a malas interpretaciones. El estilo debera ser conciso, sin
rebozos, lo cual facilita la comprensin del texto. El procedimiento, lo ms breve
posible para que sea sencillo de leer, comprender y, lo ms importante, de utilizar.
No hay ninguna regla respecto al nmero de procedimientos que deben crearse.
Adems, un control puede implementarse de diversas maneras. Habr, por ejem-
plo, controles que se implementarn con un documento como el inventario de
activos, y otros que lo harn con una medida tcnica (instalacin de un cortafue-
gos). Cuando la implementacin se efecte mediante un procedimiento, puede
aplicarse un procedimiento para cada control que se ha decidido implementar, pero
no es necesario. Tambin resulta til recoger en un mismo procedimiento varios
controles relacionados, por ejemplo, los relativos al control de accesos. Esta agru-
pacin facilita enormemente la implementacin de los controles y la gestin de la
documentacin, y en consecuencia hace ms sencilla la implementacin del sistema.
Por otro lado, dependiendo de la complejidad de la organizacin o de las activi-
dades a tratar, tambin puede suceder que un control requiera ms de un procedi-
miento para implementarse.
Sealar de nuevo que lo propuesto por la Norma UNE-ISO/IEC 27002 es mera-
mente informativo, puede utilizarse como referencia y punto de partida, pero los
procedimientos deben recoger el modo de ejecutar un control o varios, depen-
diendo del funcionamiento, estructura y cultura de la organizacin. En la medida
que el procedimiento refleje la realidad de la organizacin, o al menos la tenga en
cuenta al introducir los cambios, tendr ms xito la implementacin de los nuevos
modos de trabajo.
Es en este punto donde se hace ms notoria la necesidad de ajustar el sistema a la
organizacin. Los procedimientos son los documentos de trabajo que ms difusin
van a tener y que ms van a afectar al personal tras la poltica de seguridad. Por eso
es crucial que se perciban como herramientas de trabajo tiles y no como directri-
ces alejadas de los modos habituales de trabajo. Para ello deben reunir todos los
requisitos mencionados, que sintetizaremos en dos palabras: claridad y realismo.
Un ejemplo de cmo realizar este documento puede consultarse en los aparta-
dos 8.7 y 8.8 de este libro.
88 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

4.9. Formacin
El personal afectado por el SGSI, y en la medida de lo posible, todo el personal de
la empresa, debe recibir formacin adecuada en seguridad de la informacin.
El personal es el elemento clave que permitir al SGSI funcionar o fracasar. Todo el
mundo ha de conocer su existencia, el motivo de la nueva situacin y los objetivos
que se persiguen al implementar los nuevos modos de trabajo o al formalizar los ya
existentes.
Cada grupo tendr unas necesidades especficas y no todo el mundo necesitar for-
macin en todos los aspectos del SGSI. Por eso, el plan de formacin deber
recoger distintas actuaciones en funcin de estas necesidades.
Los medios de comunicacin interna que ya existan en la organizacin (intranet,
paneles informativos, boletines, etc.) son muy tiles para difundir, por ejemplo, la
poltica de seguridad que debe llegar a toda la organizacin.
La formacin puede ser interna, por ejemplo, charlas del responsable de seguridad
para explicar qu es un SGSI, las causas de su implementacin y los principales
cambios que haya habido es una manera muy eficaz de informar a todos.
La asistencia o participacin de la direccin en las acciones formativas es una exce-
lente oportunidad de demostrar su compromiso con el SGSI y su apoyo a la iniciativa.

4.10. Revisin por la direccin


El informe de revisin por la direccin habitualmente es elaborado por el respon-
sable de seguridad, que siguiendo los parmetros establecidos por la norma, realiza
un resumen de lo que se ha hecho y de cmo se ha desarrollado la implementacin
o en su caso la operativa del SGSI, con las incidencias, los problemas, las soluciones
y los beneficios recabados.
Este informe debe ser estudiado y aprobado por la direccin, lo cual se hace en
muchos casos dentro del comit de seguridad.

4.11. Auditora interna


La auditora es una potente herramienta que permite detectar errores y puntos
dbiles en el SGSI. Consiste en evaluar hasta qu punto el SGSI se ajusta a la
4. Definicin e implementacin de un SGSI 89

norma y el grado de cumplimiento de la organizacin de sus propias normas.


Para ello:
Se comprueba que la documentacin del SGSI est de acuerdo con lo
establecido en la norma.
Se revisa cada punto de la norma y se va verificando que, efectivamente, exis-
ten pruebas de su cumplimiento (habitualmente estas pruebas son los reg-
istros generados al ejecutar los procedimientos).
Se revisan los procedimientos, confirmando que se ejecutan tal y como est
establecido en ellos, realizando pruebas de cumplimiento, es decir, verificar
tcnicamente que los procedimientos se cumplen: que los usuarios estn efec-
tivamente dados de alta, que se efectan las copias de seguridad y cmo, etc.

Las auditoras internas deberan recoger y utilizar los resultados de otras auditoras
que se lleven a cabo, como la auditora de la LOPD, pruebas de intrusin, audi-
toras informticas, etc.
Los auditores internos han de conocer la empresa a fondo, ser independientes,
objetivos y tener algn conocimiento del SGSI.

4.12. Registros
Puestos en marcha los procedimientos, se generarn una serie de registros, que son
la prueba de que se han ejecutado.
Algunos de los principales registros son:
Actas del comit de seguridad.
Informe de la revisin por la direccin.
Informes de auditoras.
Registros de formacin.
Perfiles profesionales.
Acciones correctivas y preventivas.
Registros de copias de seguridad.
Registros de mantenimientos.
Registros de usuarios.
90 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Los registros pueden estar en cualquier formato y soporte, pero debern per-
manecer controlados para que no se deterioren o pierdan. El nmero de registros
depender de qu procedimientos se encuentren en uso, su complejidad y las cos-
tumbres de la empresa.
La recomendacin es automatizar lo ms posible la produccin de registros para
evitar tener que generarlos manualmente, con el consiguiente consumo de recursos.
5 Proceso de certificacin

Actualmente, la Norma UNE-ISO/IEC 27001 es la norma espaola vigente para


la certificacin de sistemas de gestin de la seguridad de la informacin.
La Norma UNE-ISO/IEC 27002 no es certificable, es slo una gua de buenas prc-
ticas.
Hay que tener claro que con estas normas no estamos certificando la seguridad de
la informacin de nuestra organizacin, sino el sistema mediante el cual gestion-
amos esta seguridad.
Certificar un sistema de gestin es obtener un documento que reconoce y respalda
la correcta adecuacin del sistema de gestin de seguridad de la informacin con-
forme a una norma de referencia, en este caso la Norma UNE-ISO/IEC 27001.
El certificado de cumplimiento de una norma nicamente puede ser emitido por
una entidad debidamente acreditada ante el organismo que define los criterios bajo
los que pueden llevarse a cabo estas actividades.
En Espaa las entidades de certificacin tienen que estar acreditadas por ENAC.
ENAC es una entidad privada, independiente y sin nimo de lucro, cuya funcin
es coordinar y dirigir en el mbito nacional un sistema de acreditacin conforme a
criterios y normas internacionales. ENAC acredita organismos que realizan acti-
vidades de evaluacin de la conformidad, sea cual sea el sector en que desarrolle su
actividad, su tamao, su carcter pblico o privado, o su pertenencia a asociaciones
o empresas, universidades u organizaciones de investigacin. ENAC acredita a labo-
ratorios, entidades de inspeccin, entidades de certificacin, verificadores medioam-
bientales, etc.
La realizacin de auditoras de sistemas de gestin en general se rige por la Norma
UNE-EN ISO/IEC 17021 Evaluacin de la conformidad. Requisitos para los organismos
92 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

que realizan la auditora y la certificacin de sistemas de gestin, y en particular, son


los SGSI los que deben ser auditados por entidades que cumplan los requisitos de
la Norma ISO/IEC 27006 Tecnologa de la informacin. Tcnicas de seguridad. Req-
uisitos para organismos proveedores de auditora y certificacin de Sistemas de Gestin de
Seguridad de la Informacin.
Entre los beneficios de emprender la certificacin sealaremos los siguientes:
Contribuye a impulsar las actividades de proteccin de la informacin en las
organizaciones.
Mejora la imagen y afianza la reputacin de una organizacin.
Genera confianza frente a terceros, ya que es una prueba de la rigurosidad de
la gestin de la empresa.
Es un factor que permite diferenciarse de la competencia, lo que proporciona
una cierta ventaja competitiva.
Si no existe todava otro sistema de gestin en la organizacin, logra crear
una cultura de enfoque a procesos y de mejora continua que beneficiar a
toda la estructura.

La organizacin que desee solicitar el certificado debe contactar con una entidad
de certificacin acreditada.
Esta entidad recoge la informacin bsica de la empresa, como su tipo de negocio,
nmero de empleados y actividades a certificar, con el fin de asignar un equipo
auditor adecuado y determinar el nmero de das necesarios para llevar a cabo la
auditora.
Fase 1. Revisin documental. El equipo auditor revisa la documentacin
del SGSI para verificar que cumple con los principales requisitos de la norma
y emiten un informe con los hallazgos. Si el equipo auditor descubriese
incumplimientos graves de la norma, informaran a la organizacin de la
imposibilidad de conseguir la certificacin en esas condiciones. Si detectasen
pequeas no conformidades, habra que corregirlas antes de la siguiente fase,
que suele realizarse un mes ms tarde.
Fase 2. Auditora de certificacin. El equipo auditor recoger evidencias
objetivas de que la organizacin cumple tanto con los requisitos de la normas
como con sus polticas, objetivos y procedimientos, as como con los requi-
sitos documentados. Si los auditores no detectan no conformidades graves, se
concede el certificado a la empresa.
6 Relacin entre los
apartados de la norma y
la documentacin del sistema

Para certificar un SGSI debe cumplir con los apartados 4 al 8 de la norma. La justifi-
cacin de este cumplimiento quedar recogida en los documentos correspondientes y
los registros de ciertas actividades, que, a modo de ejemplo, pueden ser los siguientes:

Apartados de la norma Documento de soporte

0 Introduccin

1 Objeto y campo de aplicacin

2 Normas para consulta

3 Trminos y definiciones

4 Sistema de gestin de la seguridad de


la informacin

4.1 Requisitos generales Poltica de seguridad

4.2 Creacin y gestin del SGSI

4.2.1 Creacin del SGSI Poltica de seguridad


Inventario de activos
Anlisis de riesgos
Gestin de riesgos
Documento de aplicabilidad

(contina)
94 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Apartados de la norma Documento de soporte

4.2.2 Implementacin y operacin Plan de tratamiento del riesgo


del SGSI

4.2.3 Supervisin y revisin del SGSI Gestin de incidencias


Auditoras internas
Revisin por la direccin
Monitorizacin de objetivos

4.2.4 Mantenimiento y mejora del SGSI Acciones de mejora


Acciones preventivas y correctivas

4.3 Requisitos de la documentacin

4.3.1 Generalidades Poltica de seguridad


Objetivos de seguridad
Procedimientos
Anlisis de riesgos
Gestin de riesgos
Registros
Documento de aplicabilidad

Procedimiento para el
4.3.2 Control de documentos
control de la documentacin

Procedimiento para
4.3.3 Control de registros
el control de los registros

5 Responsabilidad de la direccin

5.1 Compromiso de la direccin Poltica y planes firmados


Criterios y aceptacin
de riesgos firmada
Revisin aprobada por la direccin

5.2 Gestin de los recursos

5.2.1 Provisin de los recursos Planes de seguridad

5.2.2 Concienciacin, formacin y Planes de formacin


capacitacin Registros de formacin

(contina)
6. Relacin entre los apartados de la norma y la documentacin del sistema 95

Apartados de la norma Documento de soporte

6 Auditoras internas del SGSI Plan de auditoras


Informes de auditoras

7 Revisin del SGSI por la direccin Informe de revisin por la direccin

7.1 Generalidades

7.2 Datos iniciales de la revisin

7.3 Resultados de la revisin

8 Mejora del SGSI

8.1 Mejora continua Acciones de mejora

8.2 Accin correctiva Acciones correctivas

8.3 Accin preventiva Acciones preventivas


7
Correspondencia entre las
Normas UNE-EN ISO 9001:2008,
UNE-EN ISO 14001:2004
y UNE-ISO/IEC 27001:2007

UNE-EN ISO 9001:2008 UNE-EN ISO 14001:2004 UNE-ISO/IEC 27001:2007

0 Introduccin Introduccin 0 Introduccin

0.1 Generalidades 0.1 Generalidades

0.2 Enfoque basado en 0.2 Enfoque por procesos


procesos
0.3 Relacin con la
Norma ISO 9004
0.4 Compatibilidad 0.3 Compatibilidad
con otros sistemas con otros sistemas
de gestin de gestin
1 Objeto y campo de 1 Objeto y campo de 1 Objeto y campo de
aplicacin aplicacin aplicacin

1.1 Generalidades 1.1 Generalidades

1.2 Aplicacin 1.2 Aplicacin

2 Normas para consulta 2 Normas para consulta 2 Normas para consulta

3 Trminos y definiciones 3 Trminos y definiciones 3 Trminos y definiciones

4 Sistema de gestin de 4 Requisitos del sistema 4 Sistema de gestin de


la calidad de gestin ambiental la seguridad de la
informacin
(contina)
98 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

UNE-EN ISO 9001:2008 UNE-EN ISO 14001:2004 UNE-ISO/IEC 27001:2007

4.1 Requisitos generales 4.1 Requisitos generales 4.1 Requisitos generales

4.2 Creacin y gestin


del SGSI

4.2.1 Creacin del SGSI

4.4 Implementacin y 4.2.2 Implementacin y


operacin operacin del SGSI

8.2.3 Seguimiento 4.5.1 Seguimiento y 4.2.3 Supervisin y


y medicin de medicin revisin del SGSI
los procesos 4.2.4 Mantenimiento y
mejora del SGSI
8.2.4 Seguimiento
y medicin
del producto
4.2 Requisitos de la 4.3 Requisitos de la
documentacin documentacin

4.2.1 Generalidades 4.3.1 Generalidades

4.2.2 Manual de
la calidad
4.2.3 Control de los 4.4.5 Control de los 4.3.2 Control de los
documentos documentos documentos
4.2.4 Control de los 4.5.4 Control de los 4.3.3 Control de registros
registros registros
5 Responsabilidad 5 Responsabilidad
de la direccin de la direccin
5.1 Compromiso 5.1 Compromiso
de la direccin de la direccin

5.2 Enfoque al cliente

5.3 Poltica de la calidad 4.2 Poltica ambiental

5.4 Planificacin 4.3 Planificacin

(contina)
7. Correspondencia entre las Normas UNE-EN ISO 9001:2008, UNE-EN ISO 14001:2004 y UNE-ISO/IEC 27001:2007 99

UNE-EN ISO 9001:2008 UNE-EN ISO 14001:2004 UNE-ISO/IEC 27001:2007

5.5 Responsabilidad,
autoridad y
comunicacin
6 Gestin de los recursos 5.2 Gestin de
los recursos
6.1 Provisin de recursos 5.2.1 Provisin de
los recursos

6.2 Recursos humanos

6.2.2 Competencia, 4.4.2 Competencia, 5.2.2 Concienciacin,


formacin y toma formacin y toma formacin y
de conciencia de conciencia capacitacin

6.3 Infraestructura

6.4 Ambiente de trabajo

8.2.2 Auditora interna 4.5.5 Auditora interna 6 Auditoras internas


del SGSI
5.6 Revisin por 4.6 Revisin por 7 Revisin del SGSI por
la direccin la direccin la direccin

5.6.1 Generalidades 7.1 Generalidades

5.6.2 Informacin 7.2 Datos iniciales


de entrada para de la revisin
la revisin
5.6.3 Resultados de 7.3 Resultados de
la revisin la revisin

8.5 Mejora 8 Mejora del SGSI

8.5.1 Mejora continua 8.1 Mejora continua

8.5.2 Accin correctiva 4.5.3 No conformidad, 8.2 Accin correctiva


accin correctiva
y accin preventiva

8.5.3 Accin preventiva 8.3 Accin preventiva


8 Caso prctico:
modelo de SGSI

8.1. Documentacin de la poltica de seguridad


8.1.1. Poltica de seguridad de la informacin
En este apartado se debera hacer relacin de los puntos que describan la poltica
de seguridad de la informacin de la empresa. Esta poltica debe estar aprobada por
la direccin de la empresa y debera ser revisada anualmente.

8.1.2. Definicin del SGSI


Este apartado recoge el mbito de aplicacin y los lmites del SGSI teniendo en
cuenta las actividades que realiza la organizacin, los servicios y productos que
oferta, el equipamiento con el que cuenta y las restricciones legales o reglamen-
tarias que sean aplicables a su actividad.

8.1.2.1. Conceptos generales


Definicin de los conceptos ms bsicos de la seguridad:
Disponibilidad.
Confidencialidad.
Integridad.
Seguridad de la Informacin.
Sistemas de Gestin de Seguridad de la Informacin.

Tambin se pueden incluir las definiciones de conceptos utilizadas internamente en


la empresa.
102 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

8.1.2.2. Campo de aplicacin de la poltica de seguridad


Descripcin de a quin y a qu afecta la poltica de seguridad, ya que puede ser al
conjunto de la organizacin, a una parte o servicio, a todos los empleados, a los
contratistas, etc.
Se puede incluir un organigrama de la organizacin.

8.1.2.3. Alcance del sistema


Descripcin de los servicios de venta y alquiler de vehculos terrestres tanto a
empresas como a particulares.

8.1.2.4. Infraestructura informtica


Inclusin de un diagrama de red de la organizacin que muestre de manera
esquemtica la infraestructura informtica con la que se cuenta.

8.1.2.5. Objetivos de la poltica de seguridad


Breve descripcin de qu se pretende conseguir con esta poltica:
Definir el SGSI.
Mejorar la confianza de los clientes y usuarios en las actividades.
Reducir el riesgo de posibles prdidas de informacin, reaccionar adecuada-
mente ante cualquier tipo de incidencia, etc.

8.1.2.6. Requisitos legales


Detalle de las leyes aplicables en relacin con la seguridad de la informacin corres-
pondiente.

8.1.2.7. Revisiones y auditoras


Establecimiento de la metodologa y periodicidad de la revisin de la poltica de
seguridad y de las auditoras de la misma.

8.1.2.8. Compromiso de la direccin


Descripcin clara y directa de cmo la direccin est detrs de la definicin y la
implementacin del SGSI.
8. Caso prctico: modelo de SGSI 103

8.1.3. Organizacin e infraestructura de seguridad


Este apartado recoge quin y cmo se va a hacer cargo de la seguridad en la
organizacin.

8.1.3.1. Responsabilidades

En esta seccin se describiran las responsabilidades de los distintos roles en materia


de seguridad de la informacin que existen en una organizacin.

8.1.3.1.1. Direccin
Breve definicin de las responsabilidades de la direccin:
Proporcionar recursos al SGSI.
Aprobar los riesgos residuales.
Realizar la revisin por la direccin.
Etc.

8.1.3.1.2. Responsable de seguridad


Breve definicin de sus responsabilidades:
Gestionar y mantener el sistema de seguridad de la informacin.
Proporcionar ayuda y soporte a los usuarios.
Proteger la informacin y los sistemas adecuadamente protegidos.
Etc.

8.1.3.1.3. Propietario de los activos


Breve definicin de sus responsabilidades:
Definir si el activo est afectado por la Ley de Proteccin de Datos y apli-
carle en su caso los procedimientos correspondientes.
Definir quin, cmo y cundo se puede tener acceso a la informacin.
Clasificar la informacin y la funcin a desempear.
Asegurarse de que el activo cuenta con el mantenimiento adecuado.
Etc.
104 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

8.1.3.1.4. Responsable de sistemas


Breve definicin de sus responsabilidades:
Administrar y gestionar las cuentas de los usuarios.
Asegurarse de que slo las personas autorizadas a tener acceso cuentan con l.
Asegurarse de que los sistemas tienen los niveles de disponibilidad requeridos
por la organizacin o incluir los aspectos de seguridad que se apliquen en los
requisitos para nuevos desarrollos.

8.1.3.1.5. Personal
Breve definicin de las responsabilidades del personal:
Cmo conocer y aplicar las directrices de la poltica de seguridad.
Notificar las incidencias de seguridad.
Etc.

8.1.3.2. Responsabilidades asociadas a los activos


Para gestionar correctamente los activos el responsable de seguridad debe crear y
mantener un inventario actualizado de los activos importantes, registrando quin es
el propietario del activo, su ubicacin fsica y el valor que tiene para la organizacin.

8.1.4. Clasificacin de la informacin


La informacin de la organizacin debe clasificarse segn su nivel de confidenciali-
dad o sensibilidad para tomar las medidas de seguridad adecuadas a este nivel de
criticidad: informacin confidencial, restringida, interna, pblica, etc.

8.1.5. Anlisis de riesgos de seguridad


Definicin de la necesidad de realizar el anlisis de riesgos y los beneficios que
comporta.

8.1.5.1. Anlisis de riesgos


Descripcin de las tareas a realizar para el anlisis de riesgos.
8. Caso prctico: modelo de SGSI 105

8.1.5.2. Gestin de riesgos


Descripcin de las tareas a realizar para la gestin de riesgos.

8.2. Documentacin del inventario de activos


En este apartado se describe la manera de documentar el listado y la valoracin de
los activos de informacin con los que cuenta la organizacin de acuerdo con los
requisitos de la norma.

8.2.1. Procesos de negocio


Un ejemplo podra ser:

Proceso de negocio Descripcin

Gestin de pagos y cobros,


Administracin
pago de impuestos, etc.
Alquiler y venta Servicios de alquiler y venta de vehculos

Comercial Captacin de clientes

Recursos Humanos Nminas, altas y bajas de personal

8.2.2. Inventario de activos


Un ejemplo podra ser:

Nombre Descripcin Categora Ubicacin Propietario

Aplicaciones Office, NominaPlus, Responsable


Aplicaciones Servidor
comerciales FacturaPlus, etc. de informtica
Servidor que contiene Responsable
Servidor Hardware Sala del servidor
los datos de la empresa de informtica
Puestos Responsable
PC de los usuarios Hardware Oficinas
de usuario de informtica
Clientes Datos de clientes Datos Servidor/Archivo Director General

Contabilidad Datos de contabilidad Datos Servidor Director financiero

Laboral Datos de personal Datos Servidor Director RRHH


Personal propio
Personal Personal Oficinas Director General
de Cibercar
106 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

8.2.3. Relacin proceso de negocio-activos


Un ejemplo podra ser:

Proceso Alquiler Recursos


Administracin Comercial
Activos y venta humanos
Aplicaciones
X X X X
comerciales

Servidor X X X X

Puestos de usuario X X X X

Clientes X X X

Contabilidad X

Laboral X

Personal X X X X

8.2.4. Valoracin de activos


Se valorarn los activos segn una escala de puntuacin de 0 (no aplicable/sin valor)
a 4 (mucho valor). La valoracin total ser la suma aritmtica de los cuatro valores.

Activo Confidencialidad Integridad Disponibilidad Total

Aplicaciones
1 2 4 7
comerciales

Servidor 2 3 4 9

Puestos de usario 1 2 3 6

Clientes 4 4 4 12

Contabilidad 2 4 3 9

Laboral 4 4 3 11

Personal 1 2 3 6
8. Caso prctico: modelo de SGSI 107

8.3. Documentacin del Anlisis de riesgos


El nivel de riesgo vendr dado por el valor ms alto para cada activo de:
Nivel de amenaza Nivel de vulnerabilidad Nivel de impacto
Tanto el nivel de vulnerabilidad como el nivel (o probabilidad) de amenaza se valo-
ran de 0 a 3 (no aplicado, bajo, medio y alto).

8.3.1. Valoracin del riesgo por activos


Aplicaciones comerciales
Un ejemplo podra ser:

Impacto Nivel de Nivel


Amenaza Vulnerabilidad
(valor del activo) amenaza de riesgo

Fuego 7 1 0 0
Robo 7 1 1 7
Error de
7 1 3 21
mantenimiento
Fallo de software 7 3 2 42
Fallo de
7 2 1 14
comunicaciones
Errores de usuario 7 2 2 28

Servidor
Un ejemplo podra ser:
Impacto Nivel de Nivel
Amenaza Vulnerabilidad
(valor del activo) amenaza de riesgo

Fuego 9 1 3 27
Robo 9 2 3 54
Error de
9 2 3 54
mantenimiento
Fallo de software 9 1 1 9
Fallo de
9 1 1 9
comunicaciones
Errores de usuario 9 2 3 54
108 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Puestos de usuario
Un ejemplo podra ser:
Impacto Nivel de Nivel
Amenaza Vulnerabilidad
(valor del activo) amenaza de riesgo

Fuego 9 1 3 27
Robo 9 2 3 54
Error de
9 2 3 54
mantenimiento
Fallo de software 9 1 1 9
Fallo de
9 1 0 0
comunicaciones
Errores de usuario 9 2 3 54

Clientes
Un ejemplo podra ser:

Impacto Nivel de Nivel


Amenaza Vulnerabilidad
(valor del activo) amenaza de riesgo

Fuego 12 1 1 12
Robo 12 2 2 48
Error de
12 1 2 12
mantenimiento
Fallo de software 12 1 1 12
Fallo de
12 1 1 12
comunicaciones
Errores de usuario 12 3 3 108

Contabilidad
Un ejemplo podra ser:

Impacto Nivel de Nivel


Amenaza Vulnerabilidad
(valor del activo) amenaza de riesgo

Fuego 9 1 1 9
Robo 9 2 2 36
Error de
9 1 1 9
mantenimiento
(contina)
8. Caso prctico: modelo de SGSI 109

Impacto Nivel de Nivel


Amenaza Vulnerabilidad
(valor del activo) amenaza de riesgo

Fallo de software 9 1 2 18
Fallo de
9 1 2 18
comunicaciones
Errores de usuario 9 3 3 81

Laboral
Un ejemplo podra ser:

Impacto Nivel de Nivel


Amenaza Vulnerabilidad
(valor del activo) amenaza de riesgo

Fuego 11 1 1 11

Robo 11 2 2 44
Error de
11 1 1 11
mantenimiento
Fallo de software 11 1 2 22
Fallo de
11 1 2 22
comunicaciones
Errores de usuario 11 3 3 99

Personal
Un ejemplo podra ser:

Impacto Nivel de Nivel


Amenaza Vulnerabilidad
(valor del activo) amenaza de riesgo

Fuego 6 1 3 18

Robo 6 0 0 0
Error de
6 0 0 0
mantenimiento
Fallo de software 6 0 0 0
Fallo de
6 0 0 0
comunicaciones
Errores de usuario 6 3 2 36
110 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

8.3.2. Tratamiento del riesgo


Un ejemplo podra ser:

Activo Riesgo Tratamiento

Aplicaciones comerciales 42 Se asume el riesgo

Servidor 54 Se asume el riesgo

Puestos de usario 54 Se asume el riesgo

Clientes 108 Se asume el riesgo

Contabilidad 81 Se asume el riesgo

Laboral 99 Se asume el riesgo

Personal 44 Se asume el riesgo

El valor de riesgo aceptable en este caso se establecera en 50, por lo que se trataran
los que igualen o superen esta cifra y se asumiran los que estuvieran por debajo. De
todas formas, se aplicaran los controles mnimos establecidos por la norma.

8.4. Documentacin de la Gestin de riesgos


Con la aplicacin de controles se reduciran tanto el nivel de amenaza como el de
vulnerabilidad o posiblemente los dos. Consecuencia de todo ello sera la disminu-
cin del nivel de riesgo.

8.4.1. Valoracin del riesgo por activos


Aplicaciones comerciales
Un ejemplo podra ser:
Impacto Nivel de Riesgo Riesgo
Amenaza Vulnerabilidad
(valor del activo) amenaza inicial residual

Fuego 7 1 0 0 0

Robo 7 1 1 7 7
Error de
7 1 3 21 14
mantenimiento

(contina)
8. Caso prctico: modelo de SGSI 111

Impacto Nivel de Riesgo Riesgo


Amenaza Vulnerabilidad
(valor del activo) amenaza inicial residual

Fallo de software 7 2 2 42 28
Fallo de
7 2 1 14 14
comunicaciones
Errores de usuario 7 1 2 28 14

Servidor
Un ejemplo podra ser:
Impacto Nivel de Riesgo Riesgo
Amenaza Vulnerabilidad
(valor del activo) amenaza inicial residual

Fuego 9 1 2 27 18

Robo 9 2 2 54 36
Error de
9 2 2 54 36
mantenimiento
Fallo de software 9 1 1 9 9
Fallo de
9 1 1 9 9
comunicaciones
Errores de usuario 9 2 2 54 36

Puestos de usuario
Un ejemplo podra ser:
Impacto Nivel de Riesgo Riesgo
Amenaza Vulnerabilidad
(valor del activo) amenaza inicial residual

Fuego 9 1 2 27 18

Robo 9 2 2 54 36
Error de
9 2 2 54 36
mantenimiento
Fallo de software 9 1 1 9 9
Fallo de
9 1 0 0 0
comunicaciones
Errores de usuario 9 2 2 54 36
112 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Clientes
Un ejemplo podra ser:
Impacto Nivel de Riesgo Riesgo
Amenaza Vulnerabilidad
(valor del activo) amenaza inicial residual

Fuego 12 1 1 12 12

Robo 12 1 2 48 24
Error de
12 1 1 12 12
mantenimiento
Fallo de software 12 1 1 12 12
Fallo de
12 1 1 12 12
comunicaciones
Errores de usuario 12 2 3 108 60

Contabilidad
Un ejemplo podra ser:
Impacto Nivel de Riesgo Riesgo
Amenaza Vulnerabilidad
(valor del activo) amenaza inicial residual

Fuego 9 1 1 9 9

Robo 9 1 1 36 9
Error de
9 1 1 9 9
mantenimiento
Fallo de software 9 1 2 18 18
Fallo de
9 1 2 18 18
comunicaciones
Errores de usuario 9 2 3 81 54
8. Caso prctico: modelo de SGSI 113

Laboral
Un ejemplo podra ser:
Impacto Nivel de Riesgo Riesgo
Amenaza Vulnerabilidad
(valor del activo) amenaza inicial residual

Fuego 11 1 1 11 11

Robo 11 1 1 44 11
Error de
11 1 1 11 11
mantenimiento
Fallo de software 11 1 2 22 22
Fallo de
11 1 2 22 22
comunicaciones
Errores de usuario 11 2 3 99 55

Personal
Un ejemplo podra ser:
Impacto Nivel de Riesgo Riesgo
Amenaza Vulnerabilidad
(valor del activo) amenaza inicial residual

Fuego 6 1 2 12 12

Robo 6 0 0 0 0
Error de
6 0 0 0 0
mantenimiento
Fallo de software 6 0 0 0 0
Fallo de
6 0 0 0 0
comunicaciones
Errores de usuario 6 1 2 24 12
114 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

8.5. Documentacin de la Declaracin de


aplicabilidad
Segn lo exigido por la norma, se deben documentar los controles seleccionados,
su aplicacin, as como aquellos que no han sido seleccionados y los motivos por
los que han sido rechazados. Toda esta informacin es la que se recoge en la
declaracin de aplicabilidad.

8.5.1. Controles aplicados


Seccin Objetivo Control Estado Justificacin

A.5 Poltica de seguridad

5.1.1 Documento de poltica


Exigido por
de seguridad de la Aplicar
Poltica de UNE/ISO-IEC 27001
informacin
A.5.1 seguridad de la
informacin 5.1.2 Revisin de la poltica
Exigido por
de seguridad de la Aplicar
UNE/ISO-IEC 27001
informacin

A.6 Organizacin de la seguridad de la informacin

6.1.1 Compromiso de la
Exigido por
Direccin con la seguridad Aplicar
UNE/ISO-IEC 27001
de la informacin

6.1.2 Coordinacin de la Exigido por


Aplicar
seguridad de la informacin UNE/ISO-IEC 27001

6.1.3 Asignacin de
Exigido por
responsabilidades en seguri- Aplicar
UNE/ISO-IEC 27001
dad de la informacin
Organizacin La autorizacin para la
A.6.1 6.1.4 Proceso de autorizacin
interna compra e instalacin de
para las instalaciones
Aplicado nuevos equipos o software
de procesamiento de la
se gestiona mediante el
Informacin
procedimiento de compras
6.1.5 Acuerdos de Se firman con empleados
Aplicado
confidencialidad y contratistas
No se considera que este
6.1.6 Contacto con las No control ayude a reducir
autoridades aplicar el riesgo de los activos
identificados
(contina)
8. Caso prctico: modelo de SGSI 115

Seccin Objetivo Control Estado Justificacin

Se mantienen contactos con


6.1.7 Contacto con grupos de
Aplicado foros especializados, listas
inters especial
de correo, revistas, etc.
Organizacin
A.6.1 Se considera que el coste
interna 6.1.8 Revisin independiente
No de implementacin de este
de la seguridad de la
aplicar control supera al beneficio
informacin
que se obtendra
Se considera que el coste
6.2.1 Identificacin de
No de implementacin de este
riesgos relacionados
aplicar control supera al beneficio
con terceras partes
que se obtendra
No se considera que este
6.2.2 Gestin de la seguridad al No control ayude a reducir
A.6.2 Terceras partes
tratar con clientes aplicar el riesgo de los activos
identificados
Se considera que el coste
6.2.3 Gestin de la seguridad
No de implementacin de este
en contratos con terceras
aplicar control supera al beneficio
partes
que se obtendra
A.7 Gestin de activos

Exigido por
7.1.1 Inventario de activos Aplicar
UNE/ISO-IEC 27001
Responsabilidades Exigido por
A.7.1 7.1.2 Propiedad de los activos Aplicar
de los activos UNE/ISO-IEC 27001
7.1.3 Utilizacin aceptable de Se marcarn unas pautas
Aplicar
los activos de utilizacin de los activos
Exigido por
7.2.1 Guas de clasificacin Aplicar
Clasificacin de UNE/ISO-IEC 27001
A.7.2
la informacin 7.2.2 Etiquetado y tratamiento de Exigido por
Aplicar
la informacin UNE/ISO-IEC 27001

A.8 Seguridad de la gestin de los recursos humanos


En el anlisis de riesgos
No
8.1.1 Roles y responsabilidades no se han detectado
aplicar
amenazas en este sentido
Antes de la Se controla la seleccin de
A.8.1 8.1.2 Anlisis y seleccin Aplicado
contratacin personal
8.1.3 Trminos y condiciones Se documentan en los
Aplicado
de empleo contratos

(contina)
116 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Seccin Objetivo Control Estado Justificacin

En el anlisis de riesgos
8.2.1 Responsabilidades de los No
no se han detectado
gestores aplicar
amenazas en este sentido
Segn el anlisis de riesgos,
8.2.2 Concienciacin, formacin
una amenaza habitual es
A.8.2 Durante el empleo y entrenamiento sobre la Aplicar
la falta de formacin en
seguridad de la informacin
materia de seguridad
En el anlisis de riesgos
No
8.2.3 Proceso disciplinario no se han detectado
aplicar
amenazas en este sentido
En el anlisis de riesgos
8.3.1 Responsabilidades No
no se han detectado
ante la finalizacin aplicar
amenazas en este sentido
Cuando el empleado cesa
Finalizacin o 8.3.2 Devolucin de activos Aplicado devuelve todos los activos
A.8.3
cambio de empleo que posea
Para evitar los accesos a
8.3.3 Retirada de los derechos la informacin de personal
Aplicado
de acceso que ya no pertenece a la
organizacin
A.9 Seguridad fsica y del entorno
Existen controles fsicos de
entrada proporcionales
9.1.1 Permetro de seguridad fsica Aplicado
al tamao y actividad
de la organizacin
Existen controles fsicos de
entrada proporcionales
9.1.2 Controles fsicos de entrada Aplicado
al tamao y actividad
de la organizacin
Se han asegurado las
A.9.1 reas seguras oficinas de acuerdo a la
9.1.3 Asegurar las oficinas, salas legislacin vigente y
Aplicado
e instalaciones proporcionalmente al
tamao y actividad de
la organizacin
Se han asegurado las
oficinas de acuerdo a la
9.1.4 Proteccin contra amenazas legislacin vigente y
Aplicado
externas y ambientales proporcionalmente al
tamao y actividad de
la organizacin
(contina)
8. Caso prctico: modelo de SGSI 117

Seccin Objetivo Control Estado Justificacin

No No existen reas
9.1.5 Trabajo en reas seguras
aplicar consideradas seguras
A.9.1 reas seguras Se establece una zona
9.1.6 reas de acceso pblico, de
Aplicado en recepcin para carga
carga y de distribucin
y descarga
Los equipos estn en reas
9.2.1 Emplazamiento y proteccin controladas por personal
Aplicado
de los equipos autorizado o en salas
cerradas con llave
Los servidores cuentan
9.2.2 Servicios de soporte Aplicado
con SAI
La instalacin del
9.2.3 Seguridad del cableado Aplicado
cableado es segura
9.2.4 Mantenimiento de los Existe un mantenimiento
Aplicado
Seguridad de equipos interno de los equipos
A.9.2
los equipos
Cuentan con ID y
9.2.5 Seguridad de los equipos
Aplicado contrasea para acceder
fuera de las instalaciones
a ellos
Los equipos descartados
9.2.6 Descarte o re-utilizacin se formatean e instalan de
Aplicado
seguros de los equipos nuevo cuando se ponen
de nuevo en servicio
Existe un procedimiento
9.2.7 Extraccin de elementos de
Aplicado de autorizacin aunque
la propiedad
no est documentado

A.10 Gestin de las comunicaciones y las operaciones

10.1.1 Procedimientos operativos Exigido por


Aplicar
documentados UNE/ISO-IEC 27001
Los cambios se realizarn
10.1.2 Gestin de cambios Aplicar
de manera controlada
Procedimientos En circunstancias
A.10.1 operativos y aconsejables, los equipos
responsabilidades 10.1.3 Separacin de tareas Aplicado
se encuentran aislados
del resto
10.1.4 Separacin de las No se considera que este
No
instalaciones de desarrollo, control ayude a reducir los
aplicar
prueba y operacin riesgos detectados

(contina)
118 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Seccin Objetivo Control Estado Justificacin

Se considera que el coste


No de implementacin de
10.2.1 Suministro del servicio
aplicar este control superara al
beneficio que se obtendra
Gestin de Se considera que el coste
10.2.2 Revisin y monitorizacin
los servicios No de implementacin de
A.10.2 de servicios de terceras
suministrados aplicar este control superara al
partes
por terceros beneficio que se obtendra
Se considera que el coste
10.2.3 Gestin de cambios a los No de implementacin de
servicios de terceras partes aplicar este control superara al
beneficio que se obtendra
Se hara un estudio
peridico de las
Planificacin 10.3.1 Gestin de la capacidad Aplicado necesidades presentes y
A.10.3 y aceptacin futuras de capacidad
del sistema del sistema informtico
Hasta ahora se hace de
10.3.2 Aceptacin del sistema Aplicado
una manera informal
10.4.1 Controles contra cdigo Se dispone de sistemas
Aplicado
malicioso antivirus y anti spyware
Proteccin frente a
A.10.4 cdigo malicioso No se considera que este
y cdigo mvil 10.4.2 Controles contra No control ayude a reducir
cdigo mvil aplicar el riesgo de los activos
identificados
Necesario para evitar
Copias de 10.5.1 Respaldo de la
A.10.5 Aplicado riesgos de prdida de
seguridad informacin
informacin
Cada departamento
dispondra de una firma
10.6.1 Controles de red Aplicado digital para usarla en
Gestin de caso de transmisin de
A.10.6 la seguridad informacin sensible
de la red Se considera que el coste
10.6.2 Servicios de seguridad No de implementacin de
de redes aplicar este control superara al
beneficio que se obtendra
Necesario para evitar
riesgos de prdida de
Gestin 10.7.1 Gestin de soportes
A.10.7 Aplicar informacin. Exigido
de soportes removibles
por la LOPD para datos
de carcter personal
(contina)
8. Caso prctico: modelo de SGSI 119

Seccin Objetivo Control Estado Justificacin

10.7.2 Descarte de medios


Existiran trituradoras
(de almacenamiento de Aplicado
de papel
la informacin)
10.7.3 Procedimientos de Dado el resultado del an-
Gestin tratamiento de la Aplicar lisis de riesgos, convendra
A.10.7
de soportes informacin aplicar este tipo de control
No se considera que la
10.7.4 Seguridad de la
No aplicacin de este control
documentacin
aplicar ayudara a reducir los
del sistema
riesgos detectados
Se considera que el coste
10.8.1 Polticas y procedimientos
No de implementacin de
de intercambio de la
aplicar este control superara al
informacin
beneficio que se obtendra
No No se realizaran
10.8.2 Acuerdos de intercambio
aplicar intercambios
No se extraeran soportes
No
Intercambio 10.8.3 Soportes fsicos en trnsito con informacin relevante
A.10.8 aplicar
de informacin fuera de las oficinas
Dado el resultado del
anlisis de riesgos, se
10.8.4 Mensajera electrnica Aplicar
creera conveniente
aplicar este tipo de control
No se considera que este
10.8.5 Sistemas de informacin No control ayudara a reducir
de negocio aplicar el riesgo de los activos
identificados
No No se realizara comercio
10.9.1 Comercio electrnico
aplicar electrnico

Servicios de No No se realizaran
10.9.2 Transacciones en lnea
A.10.9 comercio aplicar transacciones en lnea
electrnico Dado el resultado del
10.9.3 Informacin pblica anlisis de riesgos,
Aplicar
disponible se creera conveniente
aplicar este tipo de control
Se controlaran los accesos
10.10.1 Registro de auditora Aplicado
a algunas aplicaciones

A.10.10 Seguimiento Dado el resultado del


10.10.2 Uso del sistema de anlisis de riesgos,
Aplicar
monitorizacin se creera conveniente
aplicar este tipo de control
(contina)
120 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Seccin Objetivo Control Estado Justificacin

Dado el resultado
del anlisis de riesgos,
10.10.3 Proteccin de la
Aplicar se creera conveniente
informacin de log
aplicar este tipo de
control

El tamao de la
10.10.4 Logs del operador y No organizacin hara que
del administrador aplicar este control no fuera
necesario
A.10.10 Seguimiento
Dado el resultado
del anlisis de riesgos,
10.10.5 Registro de fallos Aplicar se creera conveniente
aplicar este tipo de
control

No se considera que este


No control ayudara a reducir
10.10.6 Sincronizacin horaria
aplicar el riesgo de los activos
identificados

A.11 Control de accesos

Los usuarios contaran


Requisitos del con la informacin
A.11.1 negocio para 11.1.1 Poltica de de accesos Aplicado pertinente respecto
el de accesos a los permisos de
accesos que poseen

El movimiento de
alta y baja de usuarios
11.2.1 Registro de usuarios Aplicar en los sistemas hara
indispensable este
control

Se asignaran permisos
Gestin 11.2.2 Gestin de privilegios Aplicar a nivel del sistema
A.11.2 de accesos de operativo
los usuarios Dado el resultado del
11.2.3 Gestin de contraseas anlisis de riesgos,
Aplicar
de usuarios se creera conveniente
aplicar este tipo de control
Se hara bajo peticin del
11.2.4 Revisin de derechos de
Aplicado responsable directo
usuario
del usuario

(contina)
8. Caso prctico: modelo de SGSI 121

Seccin Objetivo Control Estado Justificacin

Sera necesario para


11.3.1 Uso de contraseas Aplicar proteger el acceso a
la informacin
Se considerara necesario
Responsabilidades 11.3.2 Equipamiento desatendido
A.11.3 Aplicar para evitar accesos
del usuario por el usuario
no autorizados
Se evitaran as
11.3.3 Poltica de mesas y
Aplicar filtraciones de informacin
pantallas limpias
indeseadas

Dado el resultado
del anlisis de riesgos,
11.4.1 Poltica de uso de
Aplicar se creera conveniente
servicios de red
aplicar este tipo
de control

Dado el resultado
del anlisis de riesgos,
11.4.2 Autenticacin de usuarios
Aplicar se creera conveniente
para conexiones externas
aplicar este tipo
de control

No se considera que este


11.4.3 Identificacin de equipos No control ayude a reducir
en las redes aplicar el riesgo de los activos
identificados
Control de
A.11.4 11.4.4 Proteccin del puerto
acceso a la red
remoto de configuracin Aplicado Se controlara este acceso
y diagnstico
No se considera que este
No control ayude a reducir
11.4.5 Segmentacin de rede
aplicar el riesgo de los activos
identificados

No se considera que este


11.4.6 Control de conexin No control ayude a reducir
de red aplicar el riesgo de los activos
identificados

No se considera que este


11.4.7 Control de
No control ayude a reducir
reencaminamiento
aplicar el riesgo de los activos
de redes
identificados

(contina)
122 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Seccin Objetivo Control Estado Justificacin

Se controlara que el
11.5.1 Procedimientos seguros de acceso a los sistemas de
entrada a los sistemas Aplicado informacin no muestre
de informacin informacin y se limitara el
nmero de intentos fallidos
11.5.2 Identificacin y Cada usuario contara con
Aplicado
autenticacin de usuarios una ID y una contrasea

Cada usuario tendra su


contrasea. Este control
Control de acceso 11.5.3 Sistemas de gestin sera necesario para evitar
Aplicar
A.11.5 a los sistemas de contraseas accesos que pudieran
en operacin suplantar la identidad
de algn usuario

11.5.4 Uso de utilidades Se restringira el uso de


Aplicar
del sistema estas utilidades.
No se considera que este
11.5.5 Finalizacin del tiempo No
control ayudara a reducir
de sesin aplicar
los riesgos detectados
No se considera que este
11.5.6 Limitacin en el tiempo No
control ayudara a reducir
de conexin aplicar
los riesgos detectados
Slo se dara acceso
11.6.1 Restricciones de acceso a la informacin que
Aplicado
a la informacin necesitara el usuario
Control de acceso para realizar su trabajo
A.11.6 a las aplicaciones
y la informacin No se considera que este
11.6.2 Aislamiento de sistemas No control ayudara a reducir
sensibles aplicar el riesgo de los activos
identificados

No se considera que este


11.7.1 Comunicaciones e No control ayudara a reducir
informtica mvil aplicar el riesgo de los activos
Informtica mvil identificados
A.11.7
y teletrabajo Se considera que el coste
No de implementacin de
11.7.2 Teletrabajo
aplicar este control superara al
beneficio que se obtendra
8. Caso prctico: modelo de SGSI 123

8.6. Documentacin del Plan de tratamiento


del riesgo
Una vez establecidos los controles a implementar y el riesgo que se pretende
reducir con ellos, hay que definir las tareas que se van a llevar a cabo, los plazos y
los recursos asignados. Todo ello debe documentarse en este plan.

8.6.1. Objetivo
Descripcin de los objetivos del plan de tratamiento del riesgo.

8.6.2. Alcance
Definicin del periodo al que va afectar el plan de tratamiento del riesgo.

8.6.3. Responsabilidades
El responsable de seguridad se encargar de la ejecucin y supervisin de las distintas
actividades.
La direccin debera revisar y aprobar el plan y los objetivos marcados en el plan.

8.6.4. Tareas
Un ejemplo podra ser: Mes 10

Mes 11

Mes 12
Mes 1

Mes 2

Mes 3

Mes 4

Mes 5

Mes 6

Mes 7

Mes 8

Mes 9

ID Actividades

1 Implementacin del SGSI


Aprobacin de la poltica de seguridad
Aprobacin del inventario de activos
Aprobacin del anlisis de riesgos y los riesgos
residuales
Aprobacin del documento de aplicabilidad
Aprobacin del plan de tratamiento del riesgo
Aprobacin de procedimientos
Publicacin de documentos
Impartir formacin
Implementar procedimientos
2 Auditora interna
3 Revisin del SGSI
4 Auditora de certificacin
124 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

8.6.5. Seguimiento
Verificacin del cumplimiento del plan en el plazo acordado por el responsable de
seguridad. En el caso de que produzcan desviaciones, se deberan tomar las medi-
das oportunas para corregirlas y, en caso necesario, se debera actualizar el plan para
reflejar los cambios.

8.6.6. Objetivos e indicadores


Un ejemplo podra ser:

Frecuencia
Indicador Mtrica Frmula Responsable Fuente
de recogida

Mejorar la (Nmero de accesos


Porcentaje
efectividad del no autorizados / Responsable Registro
de accesos Trimestral
control de accesos Nmero total de de sistemas de accesos
no autorizados
en un 5% accesos) 100

Suma total de
Mejorar la
Valoracin de valoraciones totales
efectividad de Responsable Registros
la formacin en de cada asistente / Trimestral
la formacin de seguridad de formacin
s del personal Nmero de
en un 5%
asistencias

(Nmero de
Porcentaje de
incidencias
las incidencias
de seguridad Responsable Registros
de seguridad Trimestral
debidas a fallos del de sistemas de incidencias
debidas a fallos
usuario / Nmero de
del usuario
incidencias) 100

(Nmero de equipos
Mejorar la Porcentaje de que pasaron su
efectividad de los los equipos mantenimiento en Responsable Registro de
Trimestral
mantenimientos correctamente fecha / Nmero de de sistemas mantenimientos
en un 5% mantenidos equipos totales de la
empresa) 100

(Nmero de
Porcentaje incidencias
de incidencias de seguridad
Responsable Registro
debidas a debidas a fallos Trimestral
de sistemas de incidencias
fallos de del mantenimiento /
mantenimiento Nmero de
incidencias) 100

(contina)
8. Caso prctico: modelo de SGSI 125

Frecuencia
Indicador Mtrica Frmula Responsable Fuente
de recogida

(Nmero de ataques Registro


Reducir un 5% Porcentaje detectados / de incidencias
Responsable
los ataques con de ataques Nmero de ataques Trimestral
de sistemas Registros
xito a los s con xito con impacto
en los s) 100 del sistema

(Nmero de
incidencias Test de
Porcentaje de intrusin
de seguridad Responsable
incidencias por Trimestral
debidas a ataques / de sistemas Monitorizacin
ataques a los s
Nmero de de los sistemas
incidencias) 100

(Nmero de horas
Mejorar la sin disponibilidad /
Porcentaje de Responsable Registros
disponibilidad Nmero de horas Trimestral
disponibilidad de sistemas del sistema
el 5% disponibilidad
necesaria) 100

8.7. Documentacin del Procedimiento de


auditoras internas
8.7.1. Objetivo
El presente procedimiento debera dar cumplimiento a la Norma UNE-ISO/IEC
27001 en lo relativo a las actividades, criterios y responsabilidades para la realizacin
de auditoras internas del sistema de gestin de seguridad de la informacin.

8.7.2. Alcance
Este procedimiento se debera aplicar a todos los servicios incluidos dentro del
alcance del sistema de gestin de seguridad de la informacin.

8.7.3. Responsabilidades
El responsable de seguridad debe definir e implementar un sistema de auditoras
internas que incluya la preparacin, realizacin, registro y seguimiento de las mismas.
Para programar su frecuencia de realizacin ha de tenerse en cuenta que se debe
126 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

auditar por completo el conjunto del SGSI cada tres aos. Lo ms recomendable
es hacer una anualmente.

El personal que realice la auditora no tendr en ningn caso responsabilidad


directa sobre el rea a auditar.

8.7.4. Desarrollo
La manera de llevar a cabo las tareas objeto de este procedimiento son detalladas a
continuacin.

8.7.4.1. Cualificacin del personal


El personal encargado de la ejecucin de las auditoras debera tener las siguientes
caractersticas:
Preparacin profesional necesaria en las metodologas que hay que emplear.
Conocimientos generales adecuados, tanto del ambiente empresarial como
del SGSI.
Carisma personal para transmitir credibilidad.
Estar convenientemente respaldado por la autoridad empresarial.
Debe ser elegido de manera que se garantice la independencia en relacin
con las actividades involucradas.

8.7.4.2. Planificacin de la auditora


Las auditoras pueden hacerse sobre la totalidad del SGSI implicando a toda la
organizacin, considerndose en estos casos como global. O bien, podra hacerse
sobre una parte en concreto, implicando a un determinado departamento, contrato,
sector, etc., considerndose entonces como parcial.
El responsable de seguridad debera realizar anualmente un plan de auditoras que
incluya las fechas y el auditor de cada auditora. Este plan ser aprobado por la
direccin y el responsable de seguridad lo distribuir a todos los departamentos y
auditores afectados.
Con independencia de lo anterior, se deberan realizar auditoras internas cuando:
La amplitud o profundidad de las modificaciones al SGSI as lo aconsejen.
Parcialmente, cuando se implementen procedimientos nuevos o se detecten
no conformidades en las reas afectadas.
8. Caso prctico: modelo de SGSI 127

8.7.4.3. Preparacin de la auditora

Las auditoras se llevan a cabo mediante una lista de comprobacin que, en cada
caso, debe ser elaborada por el auditor bajo la supervisin del responsable de
seguridad y que ser enviada al departamento afectado.
El auditor debe establecer el alcance de la auditora, las actividades a auditar, los
documentos aplicables y la lista de comprobacin. Basndose en esta informacin,
confeccionar la lista de comprobacin que debera ser revisada por el responsable
de seguridad y enviada, con suficiente antelacin, al departamento que va a ser
auditado. Adems, en el caso de modificarse la inicialmente programada, en dicha
lista se incluira la nueva fecha prevista de realizacin de la auditora y que estara
acordada entre los auditores y el rea a auditar.

8.7.4.4. Realizacin de la auditora

El primer paso en la auditora debera ser una reunin donde se confirme el alcance
de la misma, su secuencia y donde se discuta aquellos puntos que cualquiera de las
partes crea conveniente.
A continuacin, se procedera a llevar a cabo la auditora en s mediante el uso de
la lista de comprobacin, anteriormente realizada, como gua de trabajo. Se exami-
nara simultneamente la evidencia objetiva para comprobar que se cumplen los
requisitos y los controles aplicables.
En caso de que la auditora se realizara como consecuencia de la existencia de no
conformidades, se profundizara a fin de identificar las causas y efectos y poder
definir la accin correctiva/preventiva requerida.
Terminada la auditora, el equipo auditor redactara un informe de resultados, iden-
tificando de manera clara y concreta las no conformidades detectadas. Cuando haya
no conformidades importantes, se debera programar la fecha de la siguiente audi-
tora para verificar su eliminacin.
El responsable del departamento afectado por la no conformidad detectada o en su
caso el comit de seguridad, elaborar la accin correctiva/preventiva a llevar a
cabo, que ser aprobada por el responsable de seguridad. El responsable del rea
afectada por la accin correctiva/preventiva deber tomar las medidas necesarias
para aplicar totalmente las acciones correctivas y preventivas dentro del plazo sea-
lado en el informe.
Los informes de auditora sern archivados por el responsable de seguridad y se
enviarn copias a direccin y al responsable del rea auditada.
128 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

El cierre de la accin correctiva/preventiva se realizar una vez que, tanto el respon-


sable del rea afectada como los auditores internos, hayan comprobado su efectivi-
dad. En el apartado correspondiente del impreso de la accin correctora, se dejar
constancia de dichas comprobaciones con lo que se considerar la accin
correctiva/preventiva cerrada.

8.7.5. Requisitos de documentacin


Los documentos asociados a este procedimiento son:
Plan de auditoras.
Lista de comprobacin.
Informes de auditora.
Acciones correctivas y preventivas.

8.7.6. Referencias
Los documentos de referencia para la realizacin de este procedimiento son:
Norma UNE-ISO/IEC 27001.
Norma UNE-ISO/IEC 17799.
Poltica de seguridad.
Procedimientos de seguridad.
Objetivos de seguridad.
Acciones correctivas y preventivas.
Resultados de otras auditoras: anteriores auditoras internas y externas del
SGSI, auditoras de la LOPD, tests de intrusin, etc.
Revisin del sistema de gestin.

8.7.7. Anexos
Lista de comprobacin de auditora (vase la figura 8.1).
Informe de auditora (vase la figura 8.2).
Plan de auditoras internas (vase la figura 8.3).
8. Caso prctico: modelo de SGSI 129

Departamento Auditora de calidad N.o Fecha

Cuestiones a aplicar:
Verificacin del cumplimiento de las no conformidades detectadas en anteriores auditoras.
Revisin de documentacin existente en el puesto.
Cumplimiento del procedimiento (el que aplique al departamento).
Verificacin de registros.
Cambios en la estructura y funcionamiento del departamento.

Observaciones

Auditor Jefe Dpto. afectado

Fecha Fecha

Figura 8.1. Lista de comprobacin de auditora


130 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Nmero auditora Fecha auditora

rea/Proceso clave auditado

Auditor

Grupo auditor

Hallazgos detectados:

Requisito No
Hallazgos Observacin
de la norma conformidad

Comentarios

Nombre Firma
Fecha
Elaborado por

Nombre Firma
Fecha
Revisa y aprueba

Figura 8.2. Informe de auditora


8. Caso prctico: modelo de SGSI 131

N.o Departamento/Seccin Fecha prevista Auditores

Figura 8.3. Plan de auditora interna

8.8. Documentacin del Procedimiento para las


copias de seguridad
8.8.1. Objetivo
El presente procedimiento general debera dar cumplimiento al control 10.5.1 de
la Norma UNE-ISO/IEC 17799 para asegurar la informacin de respaldo. Debera
definir la sistemtica establecida para crear copias de seguridad de manera ptima y
que no sean obviadas por algn usuario del sistema.
132 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

8.8.2. Alcance
Debera estar dirigida a todos los equipos de proceso de informacin que realizan
copias de seguridad de la informacin principal.

8.8.3. Responsabilidades

Responsable Actividades

Administrador Se deberan definir:


del sistema Todos los mecanismos necesarios para la correcta realizacin
de las copias de respaldo y recuperacin.
La realizacin de dichas copias segn la normativa que ellos
mismos hayan definido.

8.8.4. Trminos y definiciones


Equipos de proceso: cualquier equipo electrnico utilizado para procesar de
forma automtica la informacin.

8.8.5. Procedimiento
Para asegurar que las copias de respaldo y recuperacin son realizadas correcta-
mente segn la normativa vigente y las definiciones establecidas por el adminis-
trador, se deberan establecer las siguientes medidas:

8.8.5.1. Realizacin de las copias de seguridad en servidores

La informacin que debera requerir copia de seguridad es:


Documentacin.
Informacin del sistema.
Pginas web.
Bases de datos.
Correos electrnicos.
8. Caso prctico: modelo de SGSI 133

Las copias de seguridad se deberan realizar peridicamente volcando la informa-


cin desde el servidor a un DVD que se debera almacenar de manera adecuada, en
un sitio protegido y controlado por el responsable correspondiente.
En el caso de que la informacin a guardar tuviera datos extremadamente confi-
denciales, sta debera ser almacenada en una segunda ubicacin diferente a la del
fichero principal haciendo para ello distintas copias y guardndolas en distintos
sitios bajo tutela del responsable correspondiente.
Si se produjeran fallos en la realizacin de la copia de respaldo, se deber proceder a
realizarla de nuevo, bien de manera manual o bien automtica con un nuevo soporte.

8.8.5.2. Rotacin de los soportes de copias de seguridad y


recuperacin en servidores
No se conveniente reutilizar los soportes de informacin. Cada semana se debera
utilizar un DVD diferente convenientemente identificado (contenido guardado en
l y fecha de realizacin).
Igualmente, se debera desechar y sustituir el soporte cuando se hayan encontrado
errores en la grabacin del mismo. Todas estas altas y bajas de soportes debern
quedar registradas de acuerdo a la sistemtica definida en el Procedimiento de
gestin de soportes.

8.8.5.3. Recuperacin de datos de servidores


La recuperacin de datos de los servidores, as como del resto de equipamiento
informtico, deber ser llevada a cabo nicamente por los administradores del sis-
tema utilizando la copia de respaldo disponible ms reciente o aqulla que sea ms
adecuada a cada situacin.
En el caso de que existan aplicaciones que lo permitan, puede utilizarse la opcin
de la propia aplicacin para restaurar los datos. De otra manera, su recuperacin
consistir en la reposicin de los ficheros guardados en la copia de respaldo, copin-
dolos sobre la ubicacin de los ficheros originales. En caso de ser necesario, se
grabarn los datos no incluidos en la copia de seguridad manualmente.
En caso de utilizar personal tcnico externo no habitual para estas tareas, ste
deber estar acompaado en todo momento del responsable de seguridad o del
personal correspondiente.
La recuperacin de datos deber registrarse como incidencia y quedar registrada de
acuerdo a la sistemtica definida en el Procedimiento de gestin de incidencias.
134 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

8.8.5.4. Realizacin de copias de seguridad en los PC

La realizacin de las copias de respaldo de aquellos datos ubicados en los PC de


usuario consistir en una copia extrada a un soporte externo cada vez que las modi-
ficaciones de la informacin sean relevantes.
De la misma manera que se ha detallado en el apartado 5.2, todas las altas y bajas
de soportes deberan quedar registradas de acuerdo a la sistemtica definida en el
Procedimiento de gestin de soportes.

8.8.5.5. Recuperacin de datos de los PC

La recuperacin de datos consistir en la reposicin de los ficheros guardados en la


copia de respaldo, copindolos sobre la ubicacin de los ficheros originales.

8.8.6. Requisitos de documentacin


Inventario de equipos de proceso.
Registro de simulaciones de recuperacin de informacin.
Inventario de soportes.
Registro de incidencias.

8.8.7. Referencias
Poltica de seguridad.
UNE-ISO/IEC 17799.
Manuales de funcionamiento y uso de los equipos electrnicos.
Ley Orgnica de Proteccin de Datos.

8.8.8. Anexos
Registro de copias de seguridad (vase la figura 8.4).
8. Caso prctico: modelo de SGSI 135

Registro de copias de seguridad

Fecha de copia: ___ / ___ / ______ Hora: ___ : ___

Soporte

Tipo de soporte y nmero

Contenido

Servidor o equipo

Informacin almacenada

Almacenamiento

Medio

Responsable

Lugar

Autorizacin

Persona responsable
de la copia

Persona que autoriza

Observaciones

Firmas

Figura 8.4. Registro de copias de seguridad


9 Comprender el
Esquema Nacional
de Seguridad (ENS)

9.1. Generalidades del ENS


El ENS establece la poltica de seguridad en el mbito de la administracin electr-
nica. Para ello, se han definido unos principios bsicos y unos requisitos mnimos
que se consideran imprescindibles para proteger adecuadamente unos servicios tan
crticos y sensibles como los que nos ocupan.
El alcance del ENS son los sistemas de informacin, los datos, las comunicaciones,
y los servicios electrnicos de cualquier Administracin Pblica (estatal, auton-
mica o local), as como de las entidades dependientes de ellas que se utilicen para la
prestacin de servicios electrnicos.
El Real Decreto 3/2010 pretende con su aplicacin asegurar el acceso, la integri-
dad, la disponibilidad, la autenticidad, la confidencialidad, la trazabilidad y la con-
servacin de los datos, las informaciones y los servicios utilizados en medios elec-
trnicos que se gestionan en las Administraciones Pblicas.
Lgicamente, el ENS no se ha desarrollado sin consultar la normativa y legislacin
que existen en el sector TIC a nivel internacional, por lo que muchos de los con-
ceptos que se manejan tienen similitudes y paralelismos con los que se han visto
anteriormente en esta publicacin. Sin embargo, ha de tenerse en cuenta que las
normas son documentos voluntarios que las organizaciones adoptan con distintos
fines (mejorar su gestin, distinguirse en el mercado, etc.). En cambio, el ENS es
una obligacin legal en el mbito de la administracin electrnica y no es opcional
para los organismos pblicos que prestan estos servicios.
Como ejemplo de los paralelismos entre la Norma UNE-ISO/IEC 27001 y el ENS
se muestra la correspondencia que existe entre algunos de los requisitos de ambas
en la tabla 9.1.
138 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Tabla 9.1. Correspondencias entre el ENS y la Norma UNE-ISO/IEC 27001

ENS Requisito UNE-ISO/IEC 27001

11 Poltica de seguridad 4.2.1.b)

12 Compromiso de la direccin 5.1.c) d)

13.1
Evaluacin de riesgos 4.2.1.c) d) e)
13.2

13.3 Gestin de riesgos 4.2.1.f) g)

27.1 Documento de aplicabilidad 4.2.1.g)

14 - 15 Formacin 5.2.2

34.1 Auditoras 4.2.3.e) - 6

26 Mejora continua 8.1

9.2. Principios bsicos del ENS


El ENS seala unos principios bsicos y unos requisitos mnimos que conducen a
la exigencia de la gestin continuada de la seguridad, para la que cabe aplicar un
sistema de gestin. Para satisfacerlos se puede aplicar un modelo de tipo PCDA
como el expuesto en la Norma UNE-ISO/IEC 27001. Los principios bsicos esta-
blecidos en el ENS son los siguientes:
Seguridad integral. Sin exigir expresamente que se desarrolle un sistema de
gestin, el ENS al reclamar que la seguridad sea un esfuerzo integral, impide
que se pretenda gestionar la misma mediante un plan formado por varias
medidas puntuales sin una visin global de los problemas de seguridad y su
importancia dentro de la organizacin. Con esto se evitan agujeros de segu-
ridad y utilizar recursos en aspectos que tal vez no lo necesiten.
Gestin de riesgos. Es un aspecto que recoge cualquier mtodo o modelo de
gestin de seguridad de la informacin, ya que slo sabiendo los riesgos a
los que se est expuesto se pueden tomar decisiones informadas. Como los
9. Comprender el Esquema Nacional de Seguridad (ENS) 139

sistemas de informacin y su entorno estn en constante cambio, es necesa-


rio mantener la evaluacin de los riesgos actualizada.
Prevencin, reaccin y recuperacin. Establecer medidas de seguridad de dis-
tinto tipo es fundamental para conseguir el objetivo de seguridad integral.
Evidentemente, el primer paso para evitar problemas de seguridad es contar
con medidas preventivas (como por ejemplo, la instalacin de un antivirus
como medida de prevencin contra infecciones o el uso de sistemas de
autenticacin para evitar accesos no autorizados). Sin embargo, a pesar del
cuidado que se ponga, los incidentes pueden suceder, por lo que es necesario
contar con medidas que permitan reaccionar adecuadamente y minimizar los
daos (por ejemplo, el uso de un sistema de monitorizacin de la red aler-
tar a los administradores si se produce un acceso no autorizado, y permitir
tomar acciones para limitar el dao o incluso evitarlo). Asimismo, deben
existir medios para recuperarse de los daos ocasionados por un incidente.
Si, por ejemplo, la intrusin ha ocasionado la eliminacin de un documento,
se debera contar con una copia de seguridad que permita recuperar los
datos.
Lneas de defensa. El conjunto de medidas de seguridad elegidas tienen que
estar implementadas de modo que los sistemas de informacin cuenten con
distintos niveles de proteccin, de manera que un incidente vaya encon-
trando dificultades que le impidan hacer todo el dao del que seran capaces
(por ejemplo, para impedir accesos no autorizados a un servidor, se tendr
un recinto en el que se ubique y donde el acceso al mismo est controlado
con un registro de entradas y salidas, un mecanismo de autenticacin del
acceso, tiempos limitados de conexin, un protocolo de actuacin para
cerrar aquellos puertos que sean necesarios o cerrar segmentos de red, etc.).
Este enfoque est alineado con el objetivo de contar con una gestin de la
seguridad integral, y con tener distintos tipos de medidas de seguridad.
Reevaluacin peridica. Para mantener constante un nivel de seguridad
aceptable es necesario revisar continuamente que el nivel de riesgo no ha
variado y que las medidas de seguridad aplicadas funcionan segn lo espe-
rado. Hay que realizar una revisin peridica de estos aspectos para ir
haciendo los ajustes necesarios y contar en todo momento con las medidas
de seguridad adecuadas y proporcionales a los sistemas de informacin y a
su entorno.
Funcin diferenciada. La gestin de la seguridad de la informacin es una
tarea en la que estn involucradas muchas personas que, dependiendo de su
perfil y funciones, tienen distintas prioridades. Para no comprometer la segu-
ridad, el ENS ha definido como principio bsico que los responsables de la
140 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

informacin, del servicio y de la seguridad sean personas distintas. De esta


manera, cada responsable debe definir los requisitos que aplican a su infor-
macin y a su servicio, y el responsable de seguridad se encargar de aplicar
las acciones oportunas para satisfacer de la mejor manera posible todos esos
requisitos con los medios y las polticas disponibles.

9.3. Requisitos mnimos de seguridad del ENS


El ENS requiere que las organizaciones cuenten con una poltica formalmente
aprobada y se establezcan las directrices a seguir para gestionar la seguridad en la
organizacin. Dicha poltica tiene que reunir una serie de requisitos mnimos que
se detallan a continuacin.

9.3.1. Organizacin e implementacin del proceso


de seguridad
La gestin de la seguridad requiere que haya ciertas responsabilidades asignadas
que son fundamentales para que se desarrollen los trabajos correctamente, tales
como el responsable de seguridad, el responsable de la informacin y el de los
servicios o el comit de seguridad. Pero la responsabilidad de la seguridad de la
informacin es universal, cada persona debera ser responsable de la informacin
y de los servicios a los que tiene acceso.
La poltica debe contemplar todas estas responsabilidades y las lneas de actuacin
que se deben observar. Adems, debe ser publicada y difundida de manera que
todo el mundo la conozca y se pueda aplicar.

9.3.2. Anlisis y gestin de los riesgos


La poltica recoger el modo en el que se va a realizar el anlisis y la gestin de los
riesgos que afectan a los sistemas de informacin de la organizacin. Para el anli-
sis se puede usar cualquier metodologa internacionalmente aceptada.
En la prctica, la amplia difusin de la metodologa MAGERIT y de PILAR, su
herramienta asociada, hacen que sean las ms comnmente utilizadas en la Admi-
nistracin Pblica espaola. Para la gestin de los riesgos se aplicarn medidas de
seguridad que sean proporcionales a los riesgos que se pretenden mitigar, debiendo
compensar en coste y esfuerzo su implementacin.
9. Comprender el Esquema Nacional de Seguridad (ENS) 141

9.3.3. Gestin de personal


El personal es una parte fundamental de los sistemas de informacin. Cada uno de
ellos tiene responsabilidades en materia de seguridad, acorde con el puesto desem-
peado. La comunicacin de estas responsabilidades, y una adecuada formacin y
concienciacin en materia de seguridad permitirn una correcta gestin de la
misma.
Adems, tendrn que existir normas de seguridad y mecanismos para verificar que
se cumplen los preceptos marcados. Los usuarios estarn identificados en los siste-
mas de manera nica para poder supervisar sus acciones y, si se diera el caso, poder
exigirles responsabilidades.

9.3.4. Profesionalidad
Las tareas que implica la gestin de la seguridad sern realizadas por personal cua-
lificado para ello, que debern contemplar en ellas todo el ciclo de vida de los siste-
mas, desde su compra e instalacin inicial hasta su retirada, pasando por su mante-
nimiento. Para ello, es importante que se reciba la formacin necesaria que permita
realizar su labor de manera segura.
Cuando se contraten servicios de seguridad externos, se deber acreditar que dichos
servicios tienen el nivel de seguridad requerido por los sistemas de la entidad.

9.3.5. Autorizacin y control de los accesos


Uno de los primeros asuntos a tratar cuando se trata de seguridad es la definicin
de la poltica que se va a seguir para autorizar accesos, es decir, qu se va permitir a
cada usuario y cules van a ser los criterios para la designacin de los permisos. La
recomendacin es autorizar el acceso a los servicios y a la informacin en funcin
de la necesidad de cada puesto. Adems, se deber tener un mecanismo que per-
mita revisar y anular los privilegios de acceso para evitar incidentes.

9.3.6. Proteccin de las instalaciones


La seguridad fsica es el primer paso para garantizar la proteccin de los servicios y
la informacin que se gestionan. Para ello, los sistemas que albergan informacin
deben estar fsicamente en otras instalaciones, protegidos contra accesos no autori-
zados y con medidas contra incendios, inundaciones, etc.
142 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

9.3.7. Adquisicin de nuevos productos de seguridad


Cuando se valoren nuevos productos de seguridad para su adquisicin, se debera
tener en mayor consideracin aquellos que tengan certificada (ISO/IEC 15408, etc.)
la funcionalidad de seguridad.

9.3.8. Seguridad por defecto


Para limitar los riesgos y evitar problemas de seguridad, se requiere que los siste-
mas sean diseados y configurados de manera que su uso sea seguro. Esto implica
actuaciones en distintos aspectos:
Que slo tengan la funcionalidad necesaria para el uso que se pretende dar al
sistema.
Que las funciones de operacin, administracin y registro de actividad sean
las mnimas necesarias.
Que estas funciones slo puedan ser realizadas por el personal autorizado
y, para reforzar el control, se pueda restringir el periodo y los lugares de
acceso.
Que se configure el sistema para que no estn disponibles ni accesibles fun-
ciones que no sean estrictamente necesarias.
Que el uso del sistema sea sencillo y seguro, de manera que un evento de
seguridad tenga que ser producido deliberadamente por el usuario.

9.3.9. Integridad y actualizacin del sistema


Para garantizar en todo momento la integridad del sistema, no se podr instalar
ningn elemento fsico ni lgico sin tener una autorizacin formal previa para ello.
La actualizacin del sistema se llevar a cabo manteniendo un control permanente
sobre las indicaciones de los fabricantes, las vulnerabilidades y las actualizaciones
que les afecten. El identificar nuevas vulnerabilidades, evaluar su aplicacin o no a
los sistemas y ejecutar los cambios que se aprueben har que se mantenga el nivel
de seguridad del sistema.
9. Comprender el Esquema Nacional de Seguridad (ENS) 143

9.3.10. Proteccin de la informacin almacenada y


en trnsito
Es muy habitual que las medidas de proteccin de las que goza la informacin al
inicio de su ciclo de vida, al generarse y gestionarse, se diluyan o desaparezcan
cuando se transmite o almacena. Es fundamental protegerla durante todo su ciclo
de vida, por ello se deben disear medidas de seguridad que tengan en cuenta que
muchas veces la informacin se encuentra en entornos inseguros: equipos portti-
les, asistentes personales (PDA), dispositivos perifricos, soportes de informacin
y comunicaciones sobre redes abiertas o con cifrado dbil.
Los procedimientos para la recuperacin y conservacin a largo plazo de los docu-
mentos electrnicos producidos por las Administraciones Pblicas en el mbito de
sus competencias se encuentran sujetos a este requisito.
En este aspecto es donde se ampla de alguna manera el alcance del ENS. Hemos
visto que sus requisitos aplican nicamente a los servicios de administracin elec-
trnica, pero an existe mucha informacin en soporte no electrnico, que se ha
originado o es el origen de informacin electrnica, y por lo tanto, deber estar
protegida como si lo fuera, con la salvedad de que las medidas que se apliquen sean
coherentes con el soporte donde se encuentra.

9.3.11. Prevencin ante otros sistemas de informacin


interconectados
De igual manera que se protege el permetro fsico de un sistema, debe protegerse
el lgico. Como es intrnseco a la administracin electrnica el tener los sistemas
internos de la entidad conectados con internet y con otras entidades, este perme-
tro lgico conlleva unos riesgos que deben ser analizados y evaluados, de manera
que se puedan mitigar de manera coherente y proporcional.

9.3.12. Registro de actividad


Para gestionar la seguridad es imprescindible tener identificados a los usuarios y
sus respectivos privilegios en los sistemas de informacin, ya que es una de las
herramientas principales para impedir accesos no autorizados. Debe complemen-
tarse con el registro de las actividades de los usuarios, de manera que se puedan
identificar accesos fraudulentos o no autorizados y tomar las medidas de correc-
cin que sean necesarias, as como proceder a la sancin del infractor si fuera
144 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

necesario. Lgicamente, debe tenerse cuidado a la hora de recopilar estos datos


para no entrar en conflicto con lo estipulado en la Ley Orgnica de Proteccin de
Datos de carcter personal y sus desarrollos, o invadir la privacidad de los usuarios.

9.3.13. Incidentes de seguridad


La gestin de los incidentes de seguridad es uno de los pilares de cualquier sistema
de gestin de la seguridad. Es inevitable que sucedan incidentes a pesar de las
medidas establecidas, por lo que se necesita contar con un mecanismo que permita,
tanto reaccionar rpidamente para minimizar los daos como luego analizar y
extraer conclusiones, que permitan incorporar mejoras al sistema de gestin, a los
de informacin, o a todos, para evitar otros incidentes similares.
Como es de rigor en un entorno tan conectado como el que nos ocupa, el ENS
requiere que se cuente con un sistema de deteccin y reaccin frente al cdigo
daino.

9.3.14. Continuidad de la actividad


El riesgo de que algn incidente grave inutilice o no permita acceder a los
medios habituales de trabajo, por su grave impacto en los servicios que se pres-
tan, requiere de un plan de continuidad que de alguna manera permita seguir
operando. Como mnimo, se dispondr de copias de seguridad y una serie de
protocolos de actuacin.

9.3.15. Mejora continua del proceso de seguridad


La seguridad es un proceso. Para mantener un cierto nivel de seguridad, hay que
estar continuamente revisando, actualizando y mejorando el sistema, o de lo con-
trario, los cambios en el contexto (el personal, la tecnologa, nuevas vulnerabili-
dades, etc.) harn que el nivel descienda.

9.3.16. Soporte al cumplimiento


Para cumplir con todos estos requisitos mnimos hay que aplicar las medidas de
seguridad que se detallan en el anexo II del Real Decreto 3/2010 considerando que:
Deben aplicarse a los activos que constituyen el sistema.
9. Comprender el Esquema Nacional de Seguridad (ENS) 145

Deben escogerse segn la categora del sistema.


Pueden aplicarse otras medidas que se estimen oportunas segn los servicios
y la informacin gestionados y los riesgos identificados mediante el anlisis
de riesgos.
Que no puede haber conflicto con los requisitos de la LOPD.

Si se considera que algn sistema de informacin no est relacionado con el mbito


de aplicacin del ENS, la entidad podr excluirlo del sistema de gestin de la
seguridad.
Para facilitar el cumplimiento del ENS, existen infraestructuras y servicios comu-
nes reconocidos en las Administraciones Pblicas. Asimismo, como herramientas
de consulta, el Centro Criptolgico Nacional (CCN) ha elaborado y difundido
guas de seguridad.

9.4. Otros requisitos


9.4.1. Comunicaciones electrnicas
Evidentemente, las comunicaciones son un aspecto crtico a tener en cuenta en el
momento de disear la seguridad de un sistema de informacin por su sensibili-
dad. El ENS demanda que se controlen las comunicaciones, de manera que las
transmisiones se lleven a cabo sin incidencias, que su contenido llegue ntegro y
que se pueda identificar al remitente y al destinatario de las mismas de manera
inequvoca.
No hay que olvidar que las comunicaciones tienen un valor y eficacia jurdicos
que no se deben perder en ningn momento. Este es el caso de las notificaciones
y publicaciones electrnicas, ya que el ENS exige que se asegure la autenticidad
del organismo que las publica, la integridad de la informacin publicada, que
conste la fecha y hora de la puesta a disposicin del interesado de la resolucin o
el acto objeto de publicacin o notificacin, as como del acceso a su contenido,
adems de que se asegure la autenticidad del destinatario de la publicacin o
notificacin.
Una de las herramientas que se utilizar para garantizar la seguridad de las comu-
nicaciones ser la firma electrnica, que protege la autenticidad de quien emite una
comunicacin electrnica. Su utilizacin debe estar regulada mediante una poltica
y aplicada segn lo estipulado en el anexo II del ENS y el Esquema Nacional de
Interoperabilidad.
146 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

9.4.2. Auditora de la seguridad


Para garantizar la adecuacin en todo momento del sistema a los requisitos del
ENS, se estipular la realizacin de una auditora cada dos aos, como mnimo, o
antes si hay cambios importantes en el sistema de informacin, que puedan afectar
a las medidas de seguridad requeridas. Esta auditora deber servir tambin como
herramienta de mejora de la eficacia de las medidas de seguridad establecidas.
Debern emitirse informes que identifiquen las deficiencias y desviaciones del sis-
tema de seguridad respecto a lo establecido en el ENS, que sern presentados al
responsable del sistema para que valore los resultados y adopte las medidas de
correccin adecuadas.

9.4.3. Estado de seguridad de los sistemas


Regularmente, el Comit Sectorial de Administracin Electrnica elaborar un
informe en el que se recogern las principales variables de la seguridad en los siste-
mas de informacin a los que se refiere el ENS, de forma que permita elaborar un
perfil general del estado de la seguridad en las Administraciones Pblicas.

9.4.4. Respuesta a incidentes de seguridad


Para ayudar a dar respuesta a los incidentes de seguridad, el Centro Criptolgico
Nacional (CCN) pone a disposicin de las entidades el Centro Criptolgico Nacio-
nal-Computer Emergency Reaction Team (CCN-CERT). Se denomina CERT a un
grupo de trabajo responsable de desarrollar medidas de prevencin y de reaccin
ante incidentes de seguridad en los sistemas de informacin.
Este CCN-CERT prestar a las Administraciones Pblicas los siguientes servicios:
Soporte y coordinacin para la resolucin de incidentes de seguridad y tratar
vulnerabilidades.
Investigacin y divulgacin de las mejores prcticas sobre seguridad de la
informacin. En este contexto se han desarrollado las series de documentos
Centro Criptolgico Nacional-Seguridad de las Tecnologas de Informacin
y Comunicaciones (CCN-STIC), elaboradas por el Centro Criptolgico
Nacional y que se pueden consultar en su sitio web.
Formacin en el campo de la seguridad de las tecnologas de la informacin.
Informacin sobre vulnerabilidades, alertas y avisos de nuevas amenazas.
9. Comprender el Esquema Nacional de Seguridad (ENS) 147

Un programa para informar, formar, emitir recomendaciones y proporcionar


herramientas para que cada entidad pueda desarrollar sus propias capacida-
des de respuesta a incidentes de seguridad, actuando el CCN como
coordinador nacional.

9.4.5. Normas de conformidad


El ENS demanda en este aspecto:
Que se garantice la seguridad de las redes y los registros electrnicos por ser
la primera toma contacto del ciudadano con la administracin electrnica.
Que la seguridad est presente en todo el ciclo de vida de los servicios y los
sistemas. Para ello, las especificaciones de seguridad deben formar parte de la
planificacin de un nuevo servicio o sistema.
Que exista un mecanismo de control que monitorice y verifique el correcto
seguimiento de las directrices de seguridad, de manera que se pueda garanti-
zar que funciona correctamente. Deben establecerse puntos y elementos de
control para realizar esta tarea.
Las entidades sujetas al ENS deben hacer pblicas, en las correspondientes
sedes electrnicas, las declaraciones de conformidad con el ENS y cualquier
otro distintivo de seguridad que posean como, por ejemplo, la certificacin
segn la Norma UNE-ISO/IEC 27001.

9.4.6. Actualizacin
Es un aspecto que ya se ha tratado anteriormente y en el que se insiste en este cap-
tulo. El sistema de seguridad debe estar permanentemente actualizado, mejorn-
dolo con el tiempo para responder a los cambios en los servicios de administracin
electrnica, la evolucin tecnolgica, y los nuevos estndares internacionales sobre
seguridad y auditora en los sistemas y tecnologas de la informacin.

9.4.7. Categorizacin de los sistemas


El ENS describe en su anexo I el modo de proceder para asignar una categora al
sistema o sistemas que se identifiquen en una entidad. Hay tres categoras, baja,
media y alta, a las que se adscribirn los sistemas en funcin de la gravedad del
impacto que tendra un incidente que afectara a la seguridad de la informacin o
148 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

de los servicios. Esta categora determinar las medidas que haya que aplicar al sis-
tema, y por lo tanto, el esfuerzo que habra que dedicar a la seguridad del mismo.
El responsable de cada informacin o servicio es quien debe realizar las valoracin
del impacto de un incidente en la disponibilidad, autenticidad, integridad, confi-
dencialidad o trazabilidad de ese activo, y mantenerlas actualizadas.
El responsable del sistema es quien debe asignar la categora al mismo.

9.4.8. Formacin
Ningn sistema de gestin puede funcionar si no se cuenta con el personal adecua-
damente formado y concienciado. En este caso, es particularmente esencial, ya que
las personas son un activo importante de los sistemas y una fuente de riesgos
importante. El ENS requiere que el personal reciba la formacin necesaria que
garantice su cumplimiento.
10 Implementacin del ENS

10.1. El plan de adecuacin


La implementacin del ENS puede dividirse en dos partes:
La elaboracin del plan de adecuacin.
La ejecucin de las acciones definidas en dicho plan.

El plan de adecuacin lo desarrollar el responsable de seguridad cuando lo haya o


la persona a la que se asigne esta funcin de forma temporal y debe contener la
siguiente informacin:
La poltica de seguridad. Cada entidad debe contar con una poltica de segu-
ridad que recoja sus objetivos, el marco legal, los roles y funciones de seguri-
dad, as como los comits de seguridad y las directrices para la gestin de la
documentacin, entre otros puntos. Si no posible elaborarla y aprobarla en
esos momentos, debe planificarse como una tarea a realizar en el plan de
mejora.
Informacin que se maneja, con su valoracin. Se identifica primero la infor-
macin que se utiliza para la prestacin de los servicios electrnicos y des-
pus se evala en un rango de tres categoras (baja, media y alta) cmo sera
el impacto de un incidente sobre esa informacin en cada uno de las cinco
dimensiones de seguridad: confidencialidad, integridad, disponibilidad,
autenticidad y trazabilidad. Los criterios generales de valoracin del impacto
en cada nivel son:
Bajos. Cuando las consecuencias de un incidente supongan un perjuicio
limitado sobre los activos o las funciones de la entidad.
150 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Medios. Cuando las consecuencias de un incidente supongan un perjuicio


grave sobre los activos o las funciones de la entidad, de manera que no
puedan funcionar normalmente, se dae seriamente algn activo, se haya
incumplido alguna ley o se haya perjudicado a alguna persona.
Alto. Cuando las consecuencias de un incidente supongan un perjuicio
muy grave sobre los activos o las funciones de la entidad, de manera que
no pueda funcionar, se haya daado gravemente algn activo o incluso
haya sido destruido, se haya incumplido gravemente alguna ley o se haya
perjudicado irremediablemente a alguna persona.
Si esta valoracin la realiza el responsable de seguridad, se considerar provi-
sional y deber planificarse la valoracin por parte de los propietarios de la
informacin en el plan de mejora.
Servicios que se prestan, con su valoracin. Como en el caso de la informacin,
hay que identificar los servicios, valorando las cinco dimensiones del mismo
modo, en funcin de la gravedad del impacto de un incidente en la entidad.
Adems de los servicios actualmente prestados, hay que incluir los que van a
ser puestos en marcha, ya que el ENS exige que cualquier servicio que se
comience a prestar debe estar ya cumpliendo con los requisitos, as que deben
analizarse junto con el resto.
Datos de carcter personal. Ser bastante habitual por la naturaleza de los
servicios electrnicos, que se manejen datos de carcter personal. Se identifi-
carn o se har referencia al Documento de Seguridad de la LOPD.
Categora del sistema. Las valoraciones de la informacin y los servicios
son los datos de partida para decidir la categora del sistema o los sistemas
identificados. En cada dimensin sta vendr dada por el mayor de los
niveles que haya alcanzado en ella. Finalmente, ser el mayor de los niveles
alcanzado en cualquiera de las cinco dimensiones. Es decir, un sistema en
el que las cinco dimensiones estn valoradas de nivel bajo, ser de catego-
ra bsica. Si alguna de ellas es de nivel medio y ninguna es alto, ser de
categora media. Si alguna de ellas es de nivel alto, la categora del sistema
ser alta.
Para economizar recursos es preferible desglosar el sistema en tanto subsiste-
mas como sea razonable hacerlo, de manera que las medidas para el nivel
alto, que son ms exigentes que para el resto, se apliquen al menor nmero
de servicios e informacin posible. Como ejemplo, se puede tomar una sede
electrnica. Si la consideramos como un nico sistema, teniendo en cuenta
los requisitos planteados por la Ley 11/2007, la disponibilidad del registro
electrnico tendr que ser de 24 horas al da, los 365 das del ao, por lo
10. Implementacin del ENS 151

tanto, se podr valorar su dimensin de disponibilidad como de nivel alto, y


consecuentemente, la categora del sistema ser alta.
Sin embargo, si desglosamos la sede electrnica en varios subsistemas, por
ejemplo:
Pgina web.
Registro electrnico.
Notificaciones.
Servicio de validacin de documentos.
Tabln de anuncios.
Como solamente el registro electrnico tiene ese requisito de disponibilidad,
este subsistema ser de nivel alto, pero el resto pueden ser de niveles ms
bajos, con el consiguiente ahorro de esfuerzo y recursos.
Declaracin de aplicabilidad de las medidas del anexo II del ENS. Es un requi-
sito formal del ENS, consiste en un listado de las medidas de seguridad a apli-
car al sistema de acuerdo con la categora del mismo. En el anexo II del ENS
se recogen las 75 medidas de seguridad, con las dimensiones a las que aplican
y en qu medida lo hacen segn la categora del sistema. Por ejemplo, la
medida op.pl.1, Anlisis de riesgos, aplica al sistema, y si es de nivel bajo
habra que hacer un anlisis informal, si fuera de nivel medio uno semiformal
y si fuera de nivel alto uno formal. Otro ejemplo, la medida mp.if.9, Instala-
ciones alternativas, afecta a la disponibilidad y no aplicara a los sistemas de
niveles bajo y medio, pero s a los de nivel alto. Si hubiera medidas que habra
que aplicar debido al nivel del sistema, pero no se consideran aplicables, habra
que justificar por qu es as. Asimismo, si se usaran otras medidas diferentes de
las propuestas por el ENS, tambin habra que justificarlas e identificar a cu-
les sustituyen. Esta declaracin estar firmada por el responsable de seguridad.
Anlisis de riesgos. Realizarle tiene como objetivo completar las medidas de
seguridad a las que obliga el ENS con otras que se considere necesarias para
mitigar los riesgos identificados, adems de establecer un mapa de riesgos
potenciales y actuales que ponga de manifiesto el progreso en la eliminacin
de problemas. Los riesgos residuales, los que quedan tras la aplicacin de las
medidas de seguridad seleccionadas, deben ser formalmente aceptados por
los responsables de la informacin y servicios afectados, o en su defecto, lo
har el responsable de seguridad.
El ENS exige que la metodologa que se use para la realizacin del anlisis
de riesgos sea reconocida internacionalmente. La metodologa MAGERIT,
del Ministerio de Administraciones Pblicas, as como su herramienta aso-
152 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

ciada PILAR, cumplen este requisito dado que est recogida en el inventario
de la European Network and information Security Agency (ENISA). El alto
grado de implementacin de MAGERIT y PILAR en la Administracin
Pblica espaola, junto con el coste nulo que suponen, hacen que sean la
eleccin habitual a la hora de decidir la herramienta a utilizar.
Insuficiencias del sistema. Se realizar un anlisis de los requisitos que no se
estn cumpliendo, como punto de partida para la definicin del plan de
mejora. Estas insuficiencias pueden venir de desviaciones respecto a los dis-
tintos artculos del Real Decreto 3/2010, incumplimientos de las medidas de
seguridad, tal y como se definen en el anexo II, o incumplimientos de los
requisitos exigidos por el Real Decreto 1720/2007 para los datos de carcter
personal tratados por el sistema.
Plan de mejora seguridad, incluyendo plazos estimados de ejecucin. Se
determinarn las acciones a tomar para eliminar o subsanar las insuficiencias
detectadas y se planificar su ejecucin, indicando los plazos previstos de eje-
cucin, los hitos del proyecto y la estimacin de costes.

Una vez elaborado y aprobado el plan de adecuacin, la entidad puede publicar su


declaracin de conformidad en la sede electrnica, as como otros certificados de
accesibilidad, interoperabilidad, menciones de calidad de cualquiera de las Admi-
nistraciones Pblicas (estatal, autonmica y local), de organizaciones internaciona-
les o de organismos privados. Esta declaracin ha de ir firmada por el titular del
organismo emisor de la declaracin de conformidad, que ha de identificarse con su
nombre completo y cargo que desempea.

10.2. Adecuacin al ENS


La adecuacin al ENS pasa por la realizacin de una serie de tareas que coinciden a
grandes rasgos con las que se vieron previamente para la implementacin de un SGSI
segn la Norma UNE-ISO/IEC 27001: definir el alcance de la aplicacin del ENS,
la poltica de seguridad, asignar responsabilidades, realizar un anlisis de riesgos, etc.
Hay que sealar que, dado que cumplir con el ENS es una obligacin legal, no es
posible obviar ninguna de las acciones y documentos que exige.

10.2.1. Planificacin
La planificacin es la realizacin del plan de adecuacin.
10. Implementacin del ENS 153

Toda la informacin necesaria para poder comparar el estado de la seguridad en la


entidad con el estado que pide el ENS, se recopilar durante la realizacin del plan
de adecuacin, que a su vez contendr el plan de mejora con las acciones a tomar.
Este plan incluir:
El desarrollo y la aprobacin de una poltica de seguridad.
La asignacin y aprobacin de los responsables de seguridad, de la informa-
cin y de los servicios.
La definicin la normativa de seguridad. Sern documentos que detallen
cmo y quin realizar las distintas tareas y cmo se identificarn y resol-
vern los comportamientos anmalos, tales como procedimientos para la
gestin de incidencias, la monitorizacin del sistema o el plan de conti-
nuidad.
La definicin y la descripcin de los procesos de autorizacin, formalizando
las autorizaciones que cubran todos los elementos de los sistemas de infor-
macin: instalaciones, equipos, aplicaciones, medios de comunicacin, acce-
sos, soportes, etc.
La implementacin de medidas de seguridad.
La formacin al personal de la entidad sobre la poltica, normativa y proce-
dimientos de seguridad.
La evaluacin de la eficacia de las medidas adoptadas.
La definicin e implementacin de los procedimientos para la actualizacin
de la gestin de la seguridad.
La realizacin de una auditora de seguridad.

10.2.2. Implementacin
Partiendo del plan de mejora y de la declaracin de aplicabilidad, se desarrollar la
normativa de seguridad, es decir, aquellos procedimientos necesarios para imple-
mentar todos los requisitos que hacen falta para cumplir con los requisitos del ENS.
Estos procedimientos detallarn las distintas tareas, los responsables de su ejecu-
cin y supervisin, as como los mecanismos para identificar y resolver los compor-
tamientos anmalos.
Puede ser necesario desarrollar tambin instrucciones de trabajo y documentos
modelo que permitan registrar las operaciones descritas en los procedimientos, as
como controlar la resolucin de las incidencias.
154 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Otras tareas que se realizarn en esta fase son:


La elaboracin y puesta en marcha de un plan de pruebas y monitorizacin
del sistema, para controlar la seguridad del mismo.
La definicin y ejecucin de un plan de auditoras, en las que se revisarn la
poltica de seguridad y su cumplimiento, as como el conjunto de riesgos,
normativas, procedimientos y controles establecidos.
La definicin y ejecucin de un plan de formacin y sensibilizacin. Se debe-
ra impartir formacin a todo el personal de la entidad, de modo que cada
uno conozca cules son sus responsabilidades y tareas para proteger la infor-
macin y los servicios que gestione. Es una parte fundamental de la imple-
mentacin, tanto por ser imprescindible para cumplir con el ENS como para
garantizar el xito de las medidas implementadas.

10.2.3. Verificacin y validacin


El nivel de seguridad debe ser controlado para verificar si las medidas de seguridad
estn funcionando correctamente y los resultados son los esperados. Con el tiempo
y los cambios en la organizacin, puede ser que las adoptadas en un principio no
sean las adecuadas por ser excesivas o insuficientes, no ser eficaces para reducir el
riesgo, etc.
Adems del control rutinario, se deben realizar revisiones, como por ejemplo:
Autoevaluaciones. Llevadas a cabo por el responsable de seguridad, perti-
nentemente documentadas, y en las que se chequeen:
La validez y vigencia de la poltica, y la normativa de seguridad.
La vigencia de la categorizacin de los sistemas y el anlisis de riesgos.
La validez y vigencia de los controles aplicados.
La eficacia de los controles.
Auditoras. Llevadas a cabo por un auditor cualificado e independiente, que
compruebe que las medidas implementadas y la documentacin de soporte
cumple con los requisitos del ENS.

Cuando los sistemas son de nivel bajo, una autoevaluacin peridica es suficiente,
pero si son de nivel medio o alto estn sujetos, como mnimo, a una auditora cada
dos aos.
10. Implementacin del ENS 155

10.2.4. Actualizacin y mejora continua


Para cumplir con los requisitos de actualizacin y mejora continua que plantea el
ENS, se utilizar la informacin derivada de la gestin de incidencias y los resulta-
dos de las actividades de verificacin y validacin.
A partir de aqu, se debe derivar a un plan de accin para subsanar los errores
detectados, que justificarn el cumplimiento en este aspecto que requiere el ENS.
11 Ejemplo prctico:
plan de adecuacin

11.1. Documentacin de la poltica de seguridad


Aprobacin y entrada en vigor. Fecha de la aprobacin y entrada en vigor de la
poltica.
Introduccin. Breve descripcin de los objetivos de la organizacin en cuanto a la
seguridad de la informacin y los medios que se estn utilizarn para garantizarla.
Prevencin. Declaracin de las medidas de seguridad existentes para prevenir
daos a la informacin o los servicios.
Deteccin. Declaracin de las medidas de seguridad existentes para detectar inci-
dentes que puedan producir daos a la informacin o los servicios.
Respuesta. Declaracin de las medidas de seguridad existentes para dar respuesta a
los incidentes que puedan producir daos a la informacin o los servicios.
Recuperacin. Declaracin de las medidas de seguridad existentes para recuperar
la disponibilidad de los servicios y garantizar la continuidad de las actividades de la
entidad.
Alcance. Declaracin del alcance de la aplicacin del ENS, habitualmente en tr-
minos de los servicios que se prestan en la entidad.
Misin. Declaracin de la misin de la entidad en los aspectos de seguridad.
Marco normativo. Declaracin de la legislacin aplicable a la entidad en el mbito
de la seguridad de la informacin.
Organizacin de la seguridad. Descripcin de los principales roles y responsabili-
dades exigidos por el ENS: responsable de servicio, responsable de la informacin
y responsable de seguridad.
158 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Descripcin de la composicin de los comits de seguridad y de sus funciones.


Procedimientos de designacin. Descripcin del mecanismo a utilizar para desig-
nar los responsables descritos anteriormente.
Poltica de seguridad de la informacin. Descripcin de la gestin de la poltica,
vigencia, revisin y actualizacin, y difusin.
Datos de carcter personal. En esta seccin se deben identificar los datos de
carcter personal que quedan dentro del mbito del ENS o hacer referencia al
documento de seguridad.
Gestin de riesgos. Declaracin de haber realizado un anlisis de riesgos y de la
periodicidad de su revisin y actualizacin.
Desarrollo de la poltica de seguridad de la informacin. Descripcin de los
mecanismos por los que se desarrollar la poltica, como por ejemplo, la normativa
de seguridad y cmo se va a difundir en la organizacin.
Obligaciones del personal. Descripcin de las principales obligaciones del personal,
como por ejemplo, conocer y aplicar la poltica, y formarse segn requerimientos.
Terceras partes. Descripcin de los mecanismos para gestionar la seguridad
cuando se presten servicios o se gestione informacin de terceros, y a la inversa,
cuando terceros presten servicios o gestionen informacin de la entidad.

11.2. Documentacin de la categora del sistema


11.2.1. Criterios de valoracin de los activos
En esta seccin se describirn los criterios mediante los que se van a valorar los acti-
vos.
Para el ejemplo se han seguido los criterios definidos en la gua CCN-STIC-803
Esquema Nacional de Seguridad, valoracin de los sistemas.

11.2.2. Categorizacin de sistemas


Para categorizar los sistemas segn el ENS, se recomienda seguir los pasos descri-
tos en la gua CCN-STIC-803 Valoracin de los sistemas.
Se identificarn los servicios que se prestan y la informacin que los soporta,
decidiendo para cada uno de ellos, la relevancia para la entidad del impacto de
11. Ejemplo prctico: plan de adecuacin 159

un incidente en cada una de las dimensiones de seguridad: disponibilidad (D),


integridad (I) y confidencialidad (C), autenticidad (A) y trazabilidad (T).
En la tabla 11.1 se muestra un ejemplo donde se han incluido los responsables pro-
puestos. Los que se asignen definitivamente quedarn documentados en la poltica
de seguridad.

Tabla 11.1. Categorizacin de sistemas

Sistema / Tipo de
Responsable Activos D I C A T Categora
Subsistema Activo

Sede electrnica

Portal web B B B B B B

Secretara Informacin
Informacin B B B B B
general de la sede

Responsable
Servicios Portal de sede B B B B B
TIC

Consultas y notificaciones B M M M M M

Responsable Expedientes
Informacin M M M M M
del servicio administrativos

Responsable
Servicios Consultas M M B M M
TIC

Notificaciones M A M M M

Registro electrnico M M A A A A

Secretara Datos del


Informacin A M M M M
general registro

Responsable Registro
Servicios A M B M M
TIC general

Tabln oficial B B B B B B

Secretara Informacin
Informacin B B B B B
general del tabln

Responsable Plataforma
Servicios B B B B B
TIC del tabln
160 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

11.3. Documentacin del anlisis de riesgos


11.3.1. Metodologa de anlisis
En esta seccin se indicar la metodologa que se va a seguir para realizar el anlisis
de riesgos. En este ejemplo, se ha utilizado la herramienta PILAR basada en la
metodologa MAGERIT.

11.3.2. Valoracin de activos


En este punto se identificarn los activos utilizados para soportar los servicios y la
informacin, y se valorar su importancia para la entidad en cada una de las cinco
dimensiones de seguridad. Puede verse un ejemplo en la tabla 11.2.

Tabla 11.2. Valoracin de activos

Activo D I C A T

Servicios

Portal de la sede B B B B B

Consultas M M B M M

Notificaciones M A M M M

Registro General A M B M M

Plataforma del tabln oficial B B B B B

Informacin

Informacin de la sede B B B B B

Expedientes administrativos M M M M M

Datos del registro A M M M M

Informacin del tabln B B B B B

[HW] Hardware

Servidor de datos A A M M M

Servidor de aplicaciones A A M M M

Puestos de usuario M M M M M

(contina)
11. Ejemplo prctico: plan de adecuacin 161

Tabla 11.2. Valoracin de activos (continuacin)

Activo D I C A T

Red de comunicaciones A A M M M

[SW] Software

Aplicacin de gestin A A M M M

Gestin de BD Oracle A A M M M

Ofimtica M M M M M

[I] Instalaciones

Sede central M M M M M

CPD alternativo M M M M M

[PE] Personal

Personal propio M M M M M

Personal subcontratado M M M M M

11.3.3. Mapas de riesgos


Con la valoracin anterior se realizar un anlisis de riesgos, evaluando en primer
lugar el riesgo potencial, que es el que presenta un activo antes de aplicarle ninguna
medida de seguridad y despus el riesgo actual, que es el que presentan los activos
considerando las medidas de seguridad (salvaguardas) implementadas en la organi-
zacin.
En la tabla 11.3 se muestra un ejemplo de listado de las medidas implementadas y
su grado de madurez.
En la tabla 11.4 se muestran los riesgos potenciales y los actuales de los activos
identificados.

11.3.4. Nivel de riesgo aceptable


A la vista de los riesgos identificados hay que marcar el nivel que se considera acep-
table. En este ejemplo, se considerar que el riesgo aceptable es 4. Se aplicarn
medidas a los riesgos que superen este valor y se asumirn el resto.
162 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Tabla 11.3. Medidas de seguridad implementadas

Nivel de
Medidas
madurez

Marco organizativo 40%

Poltica de seguridad 50%

Normativa de seguridad 50%

Procedimientos de seguridad 50%

Proceso de autorizacin 10%

Marco operacional 43%

Planificacin 40%

Control de acceso 56%

Explotacin 58%

Servicios externos 63%

Continuidad del servicio 10%

Monitorizacin del sistema 30%

Medidas de proteccin 44%

Proteccin de las instalaciones e infraestructuras 70%

Gestin del personal 43%

Proteccin de los equipos 37%

Proteccin de las comunicaciones 37%

Proteccin de los soportes de informacin 18%

Proteccin de las aplicaciones informticas (SW) 50%

Proteccin de la informacin 48%

Proteccin de los servicios 50%


11. Ejemplo prctico: plan de adecuacin 163

Tabla 11.4. Mapa de riesgos

Potencial Actual
Activo
[D] [I] [C] [A] [T] [D] [I] [C] [A] [T]

[SE] Servicios

Portal de la sede 1,9 1,5 1,9 1,5 1 0,94 0,94 1,4 0,9 0,8

Consultas 3,6 3,3 1,9 3,3 2,8 2,5 2,5 1,4 2,5 2

Notificaciones 3,6 5,1 3,6 3,3 2,8 2,5 4,2 3,1 2,5 2

Registro general 6 3,3 1,9 3,3 2,8 4,8 2,5 1,4 2,5 2

Plataforma del tabln oficial 1,9 1,5 1,9 1,5 1 0,9 0,9 1,4 0,9 0,8

[IN] Informacin

Informacin de la sede electrnica 1 1,5 1,9 1,5 1 0,8 1,1 1,5 1,4 0,9

Expedientes administrativos 2,8 3,3 3,6 3,3 2,8 2,2 2,8 3,3 3,2 2,5

Datos del registro electrnico 2,8 3,3 3,6 3,3 2,8 2,2 2,8 3,3 3,2 2,5

Informacin del tabln de anuncios 1 1,5 1,9 1,5 1 0,8 1,1 1,5 1,4 0,9

[HW] Hardware

Servidor de datos 5,1 3,8 3,3 - - 4,2 2,9 2,5 - -

Servidor de aplicaciones 5,1 3,8 3,3 - - 4,2 2,9 2,5 - -

Puestos de usuario 3,3 2,1 3,3 - - 2,4 1,1 2,5 - -

Red de comunicaciones 5,1 3,8 3,3 - - 4,1 3,1 2,3 - -

[SW] Software

Aplicacin de gestin 5,1 5,7 4,5 3,9 3,4 4,3 4,7 3,7 3,4 2,9

Gestin de DB Oracle 5,1 5,7 4,5 3,9 3,4 4,3 4,7 3,7 3,4 2,9

Ofimtica 3,3 3,9 3,9 3,3 2,8 2,6 2,9 3,1 2,8 2,3

[L] Instalaciones

Sede central 2,5 2,8 2,8 - - 1,7 1,8 1,8 - -

CPD alternativo 3 2,8 2,8 - - 2,2 1,8 1,8 - -

[P] Personal

Personal propio 2,5 2 2,9 - - 1,9 1,7 2,6 - -

Personal subcontratado 2,5 2 2,9 - - 1,8 1,6 2,6 - -


164 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

11.4. Documentacin de la declaracin de


aplicabilidad
Esta declaracin consiste en detallar las medidas de seguridad de entre las mencio-
nadas en el anexo II del ENS, con el estado en el que se encuentran, teniendo en
cuenta las que aplican debido a la categora de los sistemas y subsistemas, y aque-
llas que se decidan para mitigar los riesgos detectados.
Cada medida de seguridad tendr uno de los dos estados siguientes:
No aplica. Control no seleccionado debido a que no es obligatorio segn la
categora del sistema, ni se considera necesario para mitigar los riesgos.
Aplica. Control seleccionado por requerimiento del ENS para la categora
del sistema o para mitigar algn riesgo detectado.

En la tabla 11.5 se muestra un ejemplo. A pesar de que por el nivel de los sistemas
no aplicara, para reducir los riesgos no asumibles, se han seleccionado los siguien-
tes controles que se han sealado como aplica en los sistemas de nivel medio:
op.mon.2 Sistema de mtricas.
mp.if.9 Instalaciones alternativas.
mp.per.9 Personal alternativo.
mp.com.9 Medios alternativos.

Tabla 11.5. Declaracin de aplicabilidad

Dimensiones Tipo de Medida Estado Estado


afectadas medida de seguridad nivel medio nivel alto

org Marco organizativo

categora org.1 Poltica de seguridad Aplica Aplica

categora org.2 Normativa de seguridad Aplica Aplica

categora org.3 Procedimientos de seguridad Aplica Aplica

categora org.4 Proceso de autorizacin Aplica Aplica

op Marco operacional

op.pl Planificacin

categora op.pl.1 Anlisis de riesgos Aplica Aplica

(contina)
11. Ejemplo prctico: plan de adecuacin 165

Tabla 11.5. Declaracin de aplicabilidad (continuacin)

Dimensiones Tipo de Medida Estado Estado


afectadas medida de seguridad nivel medio nivel alto

categora op.pl.2 Arquitectura de seguridad Aplica Aplica

categora op.pl.3 Adquisicin de nuevos componentes Aplica Aplica

D op.pl.4 Dimensionamiento/Gestin de capacidades Aplica Aplica

categora op.pl.5 Componentes certificados n.a. Aplica

op.acc Control de acceso

AT op.acc.1 Identificacin Aplica Aplica

ICAT op.acc.2 Requisitos de acceso Aplica Aplica

ICAT op.acc.3 Segregacin de funciones y tareas Aplica Aplica

ICAT op.acc.4 Acceso de gestin de derecho des Aplica Aplica

ICAT op.acc.5 Mecanismo de autenticacin Aplica Aplica

ICAT op.acc.6 Acceso local (local login) Aplica Aplica

ICAT op.acc.7 Acceso remoto (remote login) Aplica Aplica

op.exp Explotacin

categora op.exp.1 Inventario de activos Aplica Aplica

categora op.exp.2 Configuracin de seguridad Aplica Aplica

categora op.exp.3 Gestin de la configuracin Aplica Aplica

categora op.exp.4 Mantenimiento Aplica Aplica

categora op.exp.5 Gestin de cambios Aplica Aplica

categora op.exp.6 Proteccin frente a cdigo daino Aplica Aplica

categora op.exp.7 Gestin de incidencias Aplica Aplica

T op.exp.8 Registro de la actividad de los usuarios n.a. Aplica

categora op.exp.9 Registro de la gestin de incidencias Aplica Aplica

T op.exp.10 Proteccin de los registros de actividad n.a. Aplica

categora op.exp.11 Proteccin de claves criptogrficas Aplica Aplica

op.ext Servicios externos

categora op.ext.1 Contratacin y acuerdos de nivel de servicio Aplica Aplica

categora op.ext.2 Gestin diaria Aplica Aplica

D op.ext.9 Medios alternativos n.a. Aplica

(contina)
166 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Tabla 11.5. Declaracin de aplicabilidad (continuacin)

Dimensiones Tipo de Medida Estado Estado


afectadas medida de seguridad nivel medio nivel alto

op.cont Continuidad del servicio

D op.cont.1 Anlisis de impacto Aplica Aplica

D op.cont.2 Plan de continuidad n.a. Aplica

D op.cont.3 Pruebas peridicas n.a. Aplica

op.mon Monitorizacin del sistema

categora op.mon.1 Deteccin de intrusin n.a. Aplica

categora op.mon.2 Sistema de mtricas Aplica Aplica

mp Medidas de proteccin

mp.if Proteccin de las instalaciones e infraestructuras

categora mp.if.1 reas separadas y con control de acceso Aplica Aplica

categora mp.if.2 Identificacin de las personas Aplica Aplica

categora mp.if.3 Acondicionamiento de los locales Aplica Aplica

D mp.if.4 Energa elctrica Aplica Aplica

D mp.if.5 Proteccin frente a incendios Aplica Aplica

D mp.if.6 Proteccin frente a inundaciones Aplica Aplica

categora mp.if.7 Registro de entrada y salida de equipamiento Aplica Aplica

D mp.if.9 Instalaciones alternativas Aplica Aplica

mp.per Gestin del personal

categora mp.per.1 Caracterizacin del puesto de trabajo Aplica Aplica

categora mp.per.2 Deberes y obligaciones Aplica Aplica

categora mp.per.3 Concienciacin Aplica Aplica

categora mp.per.4 Formacin Aplica Aplica

D mp.per.9 Personal alternativo Aplica Aplica

mp.eq Proteccin de los equipos

categora mp.eq.1 Puesto de trabajo despejado Aplica Aplica

A mp.eq.2 Bloqueo de puesto de trabajo Aplica Aplica

categora mp.eq.3 Proteccin de equipos porttiles Aplica Aplica

D mp.eq.9 Medios alternativos Aplica Aplica

(contina)
11. Ejemplo prctico: plan de adecuacin 167

Tabla 11.5. Declaracin de aplicabilidad (continuacin)

Dimensiones Tipo de Medida Estado Estado


afectadas medida de seguridad nivel medio nivel alto

mp.com Proteccin de las comunicaciones

categora mp.com.1 Permetro seguro Aplica Aplica

C mp.com.2 Proteccin de la confidencialidad Aplica Aplica

IA mp.com.3 Proteccin de la autenticidad y de la integridad Aplica Aplica

categora mp.com.4 Segregacin de redes n.a. Aplica

D mp.com.9 Medios alternativos n.a. Aplica

mp.si Proteccin de los soportes de informacin

C mp.si.1 Etiquetado Aplica Aplica

IC mp.si.2 Criptografa Aplica Aplica

categora mp.si.3 Custodia Aplica Aplica

categora mp.si.4 Transporte Aplica Aplica

C mp.si.5 Borrado y destruccin Aplica Aplica

mp.sw Proteccin de las aplicaciones informticas

categora mp.sw.1 Desarrollo Aplica Aplica

categora mp.sw.2 Aceptacin y puesta en servicio Aplica Aplica

mp.info Proteccin de la informacin

categora mp.info.1 Datos de carcter personal Aplica Aplica

C mp.info.2 Calificacin de la informacin Aplica Aplica

C mp.info.3 Cifrado n.a. Aplica

IA mp.info.4 Firma electrnica Aplica Aplica

T mp.info.5 Sellos de tiempo n.a. Aplica

C mp.info.6 Limpieza de documentos Aplica Aplica

D mp.info.9 Copias de seguridad (back up) Aplica Aplica

mp.s Proteccin de los servicios

categora mp.s.1 Proteccin del correo electrnico Aplica Aplica

categora mp.s.2 Proteccin de servicios y aplicaciones web Aplica Aplica

D mp.s.8 Proteccin frente a la denegacin de servicio Aplica Aplica

D mp.s.9 Medios alternativos n.a. Aplica


168 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

11.5. Insuficiencias del sistema


En esta seccin se documentarn las insuficiencias identificadas respecto a los
requisitos del ENS.
Por ejemplo, el bajo nivel de madurez de algunas de las medidas aplicadas viene
dado por una falta de documentacin, por lo que se podra decir que las principa-
les insuficiencias detectadas son:
Documentacin. No hay una gestin documental formal de los aspectos de
seguridad de la informacin a excepcin de lo provisto para cumplir con la
LOPD.
Formacin. El personal ha recibido formacin en cuanto a LOPD pero no
se ha impartido sobre otros aspectos de seguridad.

11.6. Plan de mejora


El plan de mejora debe contener las acciones a tomar hasta el plazo marcado por el
Real Decreto 3/2010.
En la tabla 11.6 se muestra un ejemplo.

Tabla 11.6. Plan de mejora

1.er 2. 1.er 2. 1.er


ID Acciones semestre semestre semestre semestre semestre
2012 2012 2013 2013 2014

1 Lanzamiento del ENS

1.1 Planificar formacin

1.2 Planificar auditoras

2 Documentacin del ENS

2.1 Elaboracin de la normativa


de seguridad

2.2 Elaboracin de procedimientos


de seguridad

2.3 Formalizar la gestin de los


servicios externos

(contina)
11. Ejemplo prctico: plan de adecuacin 169

Tabla 11.6. Plan de mejora (continuacin)

1.er 2. 1.er 2. 1.er


ID Acciones semestre semestre semestre semestre semestre
2012 2012 2013 2013 2014

2.4 Documentar la gestin de la


continuidad

2.5 Establecer mtricas de


desempeo

3 Implementacin del ENS

3.1 Llevar a cabo acciones de


concienciacin y formativas

3.2 Implementar procedimientos de


seguridad

4 Monitorizacin y supervisin

4.1 Realizar auditoras

4.2 Revisar objetivos

4.3 Revisar el anlisis de riesgos

5 Proyecto 5: actualizacin y
mantenimiento

4.4 Planificar mejoras


Bibliografa

Normas de referencia
Norma UNE- ISO/IEC 27000 Tecnologa de la informacin. Tcnicas de seguridad.
Sistemas de Gestin de la Seguridad de la Informacin (SGSI). Visin de conjunto y
vocabulario.
La aplicacin de cualquier norma necesita de un vocabulario claramente defi-
nido, que evite distintas interpretaciones de conceptos tcnicos y de gestin.

Norma UNE-ISO/IEC 27001 Tecnologa de la informacin. Tcnicas de seguridad.


Sistemas de Gestin de la Seguridad de la Informacin (SGSI). Requisitos.
En ella se recogen los requisitos para establecer, implementar, documentar y
evaluar un SGSI. Es la norma sobre la que se desarrolla el sistema y la que per-
mite obtener la certificacin del mismo por parte de un organismo certificador
independiente. La certificacin del sistema de gestin contribuye a fomentar las
actividades de proteccin de la informacin en las organizaciones, mejorando
su imagen y generando confianza frente a terceros. En su anexo A, enumera los
objetivos de control y controles que desarrolla la UNE-ISO/IEC 27002 para
que sean seleccionados por las organizaciones en el desarrollo de sus SGSI, esta-
bleciendo as formalmente el nexo de unin entre las dos normas.

Norma UNE-ISO/IEC 27002 Tecnologa de la informacin. Tcnicas de seguridad.


Cdigo de buenas prcticas para la gestin de la seguridad de la informacin.
Esta norma ofrece recomendaciones para realizar la gestin de la seguridad de
la informacin que pueden utilizarse por los responsables de iniciar, implemen-
tar o mantener la seguridad en una organizacin. Persigue proporcionar una
172 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

base comn para desarrollar normas de seguridad y constituir una prctica efi-
caz de la gestin. Esta norma no es certificable.

Norma ISO/IEC 27003 Information technology Information security management


system implementation guidance.
Es una gua de implementacin de un SGSI basado en la Norma ISO/IEC
27001 e informacin acerca del uso del modelo PDCA y de los requerimientos
de sus diferentes fases.

Norma ISO/IEC 27004 Information technology Information security management


Measurement.
Especifica las mtricas y las tcnicas de medida aplicables para determinar la efi-
cacia de un SGSI y de los controles relacionados. Estas mtricas se usan funda-
mentalmente para la medicin de los componentes de la fase Do (implementar
y utilizar) del ciclo PDCA.

Norma ISO/IEC 27005 Information technology Information security risk mana-


gement.
Consiste en una gua de tcnicas para la gestin del riesgo de la seguridad de la
informacin y servir, por tanto, de apoyo a la Norma UNE-ISO/IEC 27001 y
a la implementacin de un SGSI. Recoge partes de ISO/IEC TR 13335.

Norma ISO/IEC 27006 Information technology Requirements for bodies pro-


viding audit and certification of information security management systems.
Especifica los requisitos para la acreditacin de entidades de auditora y certifi-
cacin de sistemas de gestin de seguridad de la informacin.

Norma ISO/IEC 27007 Information technology Guidelines for information secu-


rity management systems auditing.
En fase de desarrollo. Consistir en una gua para realizar una auditora a un
SGSI.

Norma ISO/IEC 27011 Information technology Information security management


guidelines for telecommunications organizations based on ISO/IEC 27002.
Es una gua de gestin de seguridad de la informacin especfica para telecomu-
nicaciones, elaborada a partir de una Recomendacin de la UIT (Unin Inter-
nacional de Telecomunicaciones).
Bibliografa 173

Norma ISO/IEC FCD 27032 Information technology Guidelines for cybersecurity


En fase de desarrollo. Consistir en una gua relativa a la ciberseguridad.

Serie ISO/IEC 27033 Information technology Network security


Dividida en 7 partes: gestin de seguridad de redes, arquitectura de seguridad
de redes, escenarios de redes de referencia, aseguramiento de las comunicacio-
nes entre redes mediante gateways, acceso remoto, aseguramiento de comunica-
ciones en redes mediante VPNs y diseo e implementacin de seguridad en
redes. Provendr de la revisin, ampliacin y renumeracin de ISO 18028.

Serie ISO/IEC 27034 Information technology Network security.


Se ha publicado la primera parte, y el resto est en desarrollo. Ser en una gua
de seguridad en aplicaciones.

Informe UNE 71501-1 IN Tecnologa de la Informacin (TI). Gua para la gestin


de la seguridad de TI. Parte 1: Conceptos y modelos para la seguridad de TI.
Este informe proporciona una visin general de los conceptos fundamentales y
de los modelos utilizados para describir la gestin de seguridad de TI.

Informe UNE 71501-2 IN Tecnologa de la informacin (TI). Gua para la gestin


de la seguridad de TI. Parte 2: Gestin y planificacin de la seguridad de TI.
Se describen varios aspectos de gestin y planificacin de la seguridad de TI.

Informe UNE 71501-3 IN Tecnologa de la informacin (TI). Gua para la gestin


de la seguridad de TI. Parte 3: Tcnicas para la gestin de la seguridad de TI.
Esta norma describe varias tcnicas de seguridad indicadas para distintas fases
de un proyecto, desde la planificacin hasta la explotacin, pasando por la
implementacin.

Informe UNE 66172:2003 Directrices para la justificacin y desarrollo de normas de


sistemas de gestin.

ISO/IEC 15408 Information technology Security techniques Evaluation criteria


for IT security.

UNE-ISO GUIA 73:2010 IN Gestin del riesgo. Vocabulario.


174 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Legislacin
Ley 11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a los Servi-
cios Pblicos. Su objeto es establecer la poltica de seguridad en la utilizacin de
medios electrnicos, y est constituido por principios bsicos y requisitos mni-
mos que permitan una proteccin adecuada de la informacin.
Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de
Seguridad en el mbito de la Administracin Electrnica.
Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de
Interoperabilidad en el mbito de la Administracin Electrnica.
Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter
Personal.
Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento
de desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre, de proteccin de
datos de carcter personal.

Otros documentos
CCN-STIC-201 Estructura de seguridad. Enero 2009.
CCN-STIC-402 Organizacin y gestin TIC. Diciembre 2006.
CCN-STIC-801 Responsabilidades en el Esquema Nacional de Seguridad. Febrero
2010.
CCN-STIC-802 Auditora del Esquema Nacional de Seguridad. Junio 2010.
CCN-STIC-803 Valoracin de sistemas en el Esquema Nacional de Seguridad.
Enero 2011.
CCN-STIC-804 Medidas de implantacin del Esquema Nacional de Seguridad
(borrador). Octubre 2011.
CCN-STIC-805 Poltica de seguridad del Esquema Nacional de Seguridad. Sep-
tiembre 2011.
CCN-STIC-806 Plan de adecuacin del Esquema Nacional de Seguridad. Enero
2011.
CCN-STIC-807 Criptologa de empleo en el Esquema Nacional de Seguridad.
Septiembre 2011.
Bibliografa 175

CCN-STIC-808 Verificacin del cumplimiento de las medidas en el Esquema


Nacional de Seguridad. Septiembre 2011.
CCN-STIC-809 Declaracin de conformidad del Esquema Nacional de Seguridad
(borrador). Julio 2010.
CCN-STIC-810 Creacin de un CERT-CSIRT (borrador). Septiembre 2011.
CCN-STIC-811 Interconexin en el Esquema Nacional de Seguridad (borrador).
Septiembre 2011.
CCN-STIC-812 Seguridad en entornos y aplicaciones web (borrador). Octubre
2011.
CCN-STIC-814 Seguridad en correo electrnico (borrador). Agosto 2011.
CCN-STIC-815 Mtricas e indicadores en el Esquema Nacional de Seguridad
(borrador). Diciembre 2011.
Norma Tcnica de Interoperabilidad de Documento Electrnico. Resolucin de 19
de julio de 2011 de la Secretara de Estado para la Funcin Pblica.
Norma Tcnica de Interoperabilidad de Digitalizacin de Documentos. Resolu-
cin de 19 de julio de 2011 de la Secretara de Estado para la Funcin Pblica.
Norma Tcnica de Interoperabilidad de Expediente Electrnico. Resolucin de 19
de julio de 2011, de la Secretara de Estado para la Funcin Pblica.
Norma Tcnica de Interoperabilidad de Poltica de Firma Electrnica y de certifi-
cados de la Administracin. Resolucin de 19 de julio de 201, de la Secretara
de Estado para la Funcin Pblica.
Norma Tcnica de Interoperabilidad de requisitos de conexin a la red de comuni-
caciones de las Administraciones Pblicas espaolas. Resolucin de 19 de julio
de 2011 de la Secretara de Estado para la Funcin Pblica.
Norma Tcnica de Interoperabilidad de Procedimientos de copiado autntico y
conversin entre documentos electrnicos. Resolucin de 19 de julio de 2011
de la Secretara de Estado para la Funcin Pblica.
Norma Tcnica de Interoperabilidad de Modelo de Datos para el Intercambio de
asientos entre las entidades registrales. Resolucin de 19 de julio de 2011, de la
Secretara de Estado para la Funcin Pblica.
CNSS Inst. 4009 National Information Assurance (IA) Glossary. April 2010.
FIPS 200. Minimum Security Requirements for Federal Information and Information
Systems. March 2006.
176 Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

ISO Guide 73 Risk management Vocabulary. 2009.


SP 800-12. An Introduction to Computer Security: The NIST Handbook. Special
Publication 800-12. October 1995.

Links de inters
Asociacin Espaola de Normalizacin (AENOR).
www.aenor.es
European Network and Information Security Agency (ENISA).
www.enisa.europa.eu
Instituto Nacional de Tecnologas de la Comunicacin (INTECO).
www.inteco.es
ISMS Forum Spain. Asociacin Espaola para el Fomento de la Seguridad de
la Informacin.
www.ismsforum.es
MAGERIT versin 2. Metodologa de Anlisis y Gestin de Riesgos de los
Sistemas de Informacin.
www.csi.map.es/csi/pg5m20.htm
Esquema Nacional de Seguridad
https://www.ccn-cert.cni.es
http://administracionelectronica.gob.es/?_nfpb=true&_pageLabel=P4002281
273766578416&langPae=es
Esquema Nacional de Interoperabilidad
http://administracionelectronica.gob.es/?_nfpb=true&_pageLabel=P4001281
273739471793&langPae=es
National Institute of Standards and Technology (NIST).
An Introduction to Computer Security: The NIST Handbook
http://csrc.nist.gov/publications
RED.ES. Documentos emitidos por RED.ES.
www.red.es
START UP. Empresa consultora especializada en diseo e implementacin de
sistemas de gestin de seguridad de la informacin.
www.seguridadinformacion.com
Norma UNE-ISO/IEC 27001:2007
Tecnologa de la informacin.
Tcnicas de seguridad.
Sistemas de Gestin de la Seguridad
de la Informacin (SGSI). Requisitos
QRUPD
 
81(,62,(&

HVSDxROD 

1RYLHPEUH
    
 778/2  7HFQRORJtDGHODLQIRUPDFLyQ
    
7pFQLFDVGHVHJXULGDG

6LVWHPDVGH*HVWLyQGHOD6HJXULGDGGHOD,QIRUPDFLyQ 6*6,

5HTXLVLWRV

,62,(& 


,QIRUPDWLRQ WHFKQRORJ\ 6HFXULW\ WHFKQLTXHV ,QIRUPDWLRQ VHFXULW\ PDQDJHPHQW V\VWHPV 5HTXLUHPHQWV
,62,(& 

7HFKQRORJLHV GH O
LQIRUPDWLRQ 7HFKQLTXHV GH VpFXULWp 6\VWqPHV GH JHVWLRQ GH VpFXULWp GH O
LQIRUPDWLRQ
([LJHQFHV ,62,(& 
      
    
 &255(6321'(1&,$  (VWDQRUPDHVLGpQWLFDDOD1RUPD,QWHUQDFLRQDO,62,(&
   
      
    
 2%6(59$&,21(6  (VWDQRUPDDQXODUi\VXVWLWXLUiDOD1RUPD81(HO
   

      
    
 $17(&('(17(6  (VWD QRUPD KD VLGR HODERUDGD SRU HO FRPLWp WpFQLFR $(1&71  7HFQRORJtD GH OD
    ,QIRUPDFLyQFX\D6HFUHWDUtDGHVHPSHxD$(7,&

      

 (GLWDGDHLPSUHVDSRU$(125  /$62%6(59$&,21(6$(67('2&80(172+$1'(',5,*,56($
'HSyVLWROHJDO0
3iJLQDV

$(125  &*pQRYD 7HOpIRQR  *UXSR
 5HSURGXFFLyQSURKLELGD 0$'5,'(VSDxD )D[ 
6
  ,62,(&

1',&(
3iJLQD
35/2*2   

 ,1752'8&&,1  
 *HQHUDOLGDGHV   
 (QIRTXHSRUSURFHVR   
 &RPSDWLELOLGDGFRQRWURVVLVWHPDVGHJHVWLyQ   

 2%-(72<&$032'($3/,&$&,1   
 *HQHUDOLGDGHV   
 $SOLFDFLyQ   

 1250$63$5$&2168/7$  

 7e50,126<'(),1,&,21(6   

 6,67(0$'(*(67,1'(/$6(*85,'$''(/$,1)250$&,1   
 5HTXLVLWRVJHQHUDOHV   
 &UHDFLyQ\JHVWLyQGHO6*6,   
 &UHDFLyQGHO6*6,   
 ,PSOHPHQWDFLyQ\RSHUDFLyQGHO6*6,   
 6XSHUYLVLyQ\UHYLVLyQGHO6*6,  
 0DQWHQLPLHQWR\PHMRUDGHO6*6,   
 5HTXLVLWRVGHODGRFXPHQWDFLyQ   
 *HQHUDOLGDGHV   
 &RQWUROGHGRFXPHQWRV   
 &RQWUROGHUHJLVWURV  

 5(63216$%,/,'$''(/$',5(&&,1   
 &RPSURPLVRGHODGLUHFFLyQ  
 *HVWLyQGHORVUHFXUVRV  
 3URYLVLyQGHORVUHFXUVRV   
 &RQFLHQFLDFLyQIRUPDFLyQ\FDSDFLWDFLyQ   

 $8',725$6,17(51$6'(/6*6,   

 5(9,6,1'(/6*6,325/$',5(&&,1  
 *HQHUDOLGDGHV   
 'DWRVLQLFLDOHVGHODUHYLVLyQ  
 5HVXOWDGRVGHODUHYLVLyQ   

 0(-25$'(/6*6,   
 0HMRUDFRQWLQXD   
 $FFLyQFRUUHFWLYD  
 $FFLyQSUHYHQWLYD  

$1(;2$ 1RUPDWLYR  2%-(7,926'(&21752/<&21752/(6   

$1(;2% ,QIRUPDWLYR  /2635,1&,3,26'(/$2&'(<(67$
 1250$,17(51$&,21$/  

$1(;2& ,QIRUPDWLYR  &255(6321'(1&,$(175(/$61250$6,62
 ,62<(67$1250$,17(51$&,21$/  

%,%/,2*5$)$  
,62,(& 





35/2*2

,62 2UJDQL]DFLyQ ,QWHUQDFLRQDO GH 1RUPDOL]DFLyQ  H ,(& &RPLVLyQ (OHFWURWpFQLFD ,QWHUQDFLRQDO 
FRQVWLWX\HQ HO VLVWHPD HVSHFLDOL]DGR SDUD OD QRUPDOL]DFLyQ D QLYHO PXQGLDO /RV RUJDQLVPRV QDFLRQDOHV
TXH VRQ PLHPEURV GH ,62 R ,(& SDUWLFLSDQ HQ HO GHVDUUROOR GH ODV QRUPDV LQWHUQDFLRQDOHV D WUDYpV GH
FRPLWpVWpFQLFRVHVWDEOHFLGRVSRUODVRUJDQL]DFLRQHVUHVSHFWLYDVSDUDUHDOL]DUDFXHUGRVHQFDPSRVHVSHFt
ILFRV GH OD DFWLYLGDG WpFQLFD /RV FRPLWpV WpFQLFRV GH ,62 H ,(& FRODERUDQ HQ ORV FDPSRV GH LQWHUpV
PXWXR 2WUDV RUJDQL]DFLRQHV LQWHUQDFLRQDOHV JXEHUQDPHQWDOHV \ QR JXEHUQDPHQWDOHV HQ FRODERUDFLyQ
FRQ,62H,(&WDPELpQWRPDQSDUWHHQHOWUDEDMR(QHOFDPSRGHODWHFQRORJtDGHODLQIRUPDFLyQ,62H
,(&KDQHVWDEOHFLGRXQFRPLWpWpFQLFRFRQMXQWRHOGHQRPLQDGR,62,(&-7&

/DV QRUPDV LQWHUQDFLRQDOHV VH UHGDFWDQ GH DFXHUGR FRQ ODV UHJODV HVWDEOHFLGDV HQ OD 3DUWH  GH ODV
'LUHFWLYDV,62,(&

/DWDUHDSULQFLSDOGHORVFRPLWpVWpFQLFRVHVHODERUDUQRUPDVLQWHUQDFLRQDOHV/RVSUR\HFWRVGHQRUPDV
LQWHUQDFLRQDOHVDGRSWDGRVSRUORVFRPLWpVWpFQLFRVVHHQYtDQDORVRUJDQLVPRVQDFLRQDOHVPLHPEURVSDUD
VX YRWR /D SXEOLFDFLyQ FRPR QRUPD LQWHUQDFLRQDO UHTXLHUH OD DSUREDFLyQ GH DO PHQRV HO  GH ORV
RUJDQLVPRVQDFLRQDOHVPLHPEURVFRQGHUHFKRDYRWR

6H OODPD OD DWHQFLyQ VREUH OD SRVLELOLGDG GH TXH DOJXQRV GH ORV HOHPHQWRV GH HVWD QRUPD LQWHUQDFLRQDO
SXHGDQHVWDUVXMHWRVDGHUHFKRVGHSDWHQWH,62H,(&QRDVXPHQODUHVSRQVDELOLGDGGHODLGHQWLILFDFLyQ
GHGLFKRVGHUHFKRVGHSDWHQWH

/D1RUPD,62,(&KDVLGRHODERUDGDSRUHOVXEFRPLWp6&7pFQLFDVGHVHJXULGDGTXHIRUPD
SDUWHGHOFRPLWpWpFQLFRFRQMXQWR,62,(&-7&7HFQRORJtDVGHODLQIRUPDFLyQ

  ,62,(&

 ,1752'8&&,1

 *HQHUDOLGDGHV
(VWD QRUPD LQWHUQDFLRQDO SURSRUFLRQD XQ PRGHOR SDUD OD FUHDFLyQ LPSOHPHQWDFLyQ RSHUDFLyQ VXSHUYLVLyQ UHYLVLyQ
PDQWHQLPLHQWR\PHMRUDGHXQ6LVWHPDGH*HVWLyQGHOD6HJXULGDGGHOD,QIRUPDFLyQ 6*6, /DDGRSFLyQGHXQ6*6,
GHEHUtDVHUIUXWRGHXQDGHFLVLyQHVWUDWpJLFDGHXQDRUJDQL]DFLyQ(OGLVHxR\ODLPSOHPHQWDFLyQGHO6*6,GHSHQGHQGH
ODVQHFHVLGDGHV\REMHWLYRVGHFDGDRUJDQL]DFLyQDVtFRPRGHVXVUHTXLVLWRVGHVHJXULGDGVXVSURFHVRVVXWDPDxR\
HVWUXFWXUD(VSUHYLVLEOHTXHHVWRVIDFWRUHV\ORVVLVWHPDVTXHORVVRSRUWDQFDPELHQFRQHOWLHPSR/RKDELWXDOHVTXHOD
LPSOHPHQWDFLyQGHXQ6*6,VHDMXVWHDODVQHFHVLGDGHVGHODRUJDQL]DFLyQSRUHMHPSORXQDVLWXDFLyQVHQFLOODUHTXLHUH
XQ6*6,VLPSOH

(VWD QRUPD LQWHUQDFLRQDO VLUYH SDUD TXH FXDOTXLHU SDUWH LQWHUHVDGD \D VHD LQWHUQD R H[WHUQD D OD RUJDQL]DFLyQ SXHGD
HIHFWXDUXQDHYDOXDFLyQGHODFRQIRUPLGDG

 (QIRTXHSRUSURFHVR
(VWD QRUPD LQWHUQDFLRQDO DGRSWD XQ HQIRTXH SRU SURFHVR SDUD OD FUHDFLyQ LPSOHPHQWDFLyQ RSHUDFLyQ VXSHUYLVLyQ
UHYLVLyQPDQWHQLPLHQWR\PHMRUDGHO6*6,GHXQDRUJDQL]DFLyQ

8QDRUJDQL]DFLyQWLHQHTXHGHILQLU\JHVWLRQDUQXPHURVDVDFWLYLGDGHVSDUDIXQFLRQDUFRQHILFDFLD&XDOTXLHUDFWLYLGDG
TXH XWLOL]D UHFXUVRV \ VH JHVWLRQD GH PRGR TXH SHUPLWH OD WUDQVIRUPDFLyQ GH XQRV HOHPHQWRV GH HQWUDGD HQ XQRV
HOHPHQWRVGHVDOLGDSXHGHFRQVLGHUDUVHXQSURFHVR$PHQXGRODVDOLGDGHXQSURFHVRVHFRQYLHUWHGLUHFWDPHQWHHQOD
HQWUDGDGHOSURFHVRVLJXLHQWH

/DDSOLFDFLyQGHXQFRQMXQWRGHSURFHVRVHQXQDRUJDQL]DFLyQMXQWRFRQODLGHQWLILFDFLyQGHpVWRV\VXVLQWHUDFFLRQHV\
VXJHVWLyQSXHGHFDOLILFDUVHGHHQIRTXHSRUSURFHVR

(OHQIRTXHSRUSURFHVRSDUDODJHVWLyQGHODVHJXULGDGGHODLQIRUPDFLyQTXHVHGHVFULEHHQHVWDQRUPDLQWHUQDFLRQDO
DQLPDDORVXVXDULRVDHQIDWL]DUODLPSRUWDQFLDGH

D  FRPSUHQGHU ORV UHTXLVLWRV GH VHJXULGDG GH OD LQIRUPDFLyQ GH XQD RUJDQL]DFLyQ \ OD QHFHVLGDG GH HVWDEOHFHU XQD
SROtWLFDGHVHJXULGDGGHODLQIRUPDFLyQ\VXVREMHWLYRV

E  LPSOHPHQWDU\RSHUDUORVFRQWUROHVSDUDDGPLQLVWUDUORVULHVJRVGHVHJXULGDGGHODLQIRUPDFLyQGHXQDRUJDQL]DFLyQ
HQHOPDUFRGHVXVULHVJRVHPSUHVDULDOHVJHQHUDOHV

F  VXSHUYLVDU\UHYLVDUHOUHQGLPLHQWR\ODHILFDFLDGHO6*6,\

G  DVHJXUDUODPHMRUDFRQWLQXDVREUHODEDVHGHODPHGLFLyQREMHWLYD

(VWDQRUPDLQWHUQDFLRQDOVLJXHHOPRGHOR3ODQLILFDUKDFHUYHULILFDUDFWXDU 3ODQ'R&KHFN$FWFRQRFLGRFRPRPR
GHOR3'&$ TXHVHDSOLFDSDUDHVWUXFWXUDUWRGRVORVSURFHVRVGHO6*6,/DILJXUDPXHVWUDFyPRXQ6*6,SDUWLHQGR
GHORVUHTXLVLWRV\H[SHFWDWLYDVGHVHJXULGDGGHODLQIRUPDFLyQGHODVSDUWHVLQWHUHVDGDV\DWUDYpVGHODVDFFLRQHV\SUR
FHVRVQHFHVDULRVSURGXFHORVHOHPHQWRVGHVDOLGDGHVHJXULGDGGHODLQIRUPDFLyQTXHUHVSRQGHQDGLFKRVUHTXLVLWRV\
H[SHFWDWLYDV/DILJXUDLOXVWUDDVLPLVPRORVYtQFXORVFRQORVSURFHVRVTXHVHGHVFULEHQHQORVFDStWXORV\

/DDGRSFLyQGHOPRGHOR3'&$WDPELpQUHIOHMDUiORVSULQFLSLRVGHILQLGRVHQODV'LUHFWULFHVGHOD2&'(   TXH
ULJHQODVHJXULGDGGHORVVLVWHPDV\ODVUHGHVGHLQIRUPDFLyQ(VWDQRUPDLQWHUQDFLRQDOSURSRUFLRQDXQPRGHORUREXVWR
SDUDLPSOHPHQWDUORVSULQFLSLRVGHGLFKDVGLUHFWULFHVTXHULJHQODHYDOXDFLyQGHULHVJRVHOGLVHxR\ODLPSOHPHQWDFLyQ
GHODVHJXULGDGDVtFRPRODJHVWLyQ\ODUHHYDOXDFLyQGHODVHJXULGDG

 
  'LUHFWULFHV GH OD 2&'(SDUD OD 6HJXULGDG GH ORV 6LVWHPDV \ 5HGHV GH ,QIRUPDFLyQ  +DFLD XQDFXOWXUDGHOD VHJXULGDG 3DUtV 2&'(MXOLR
GHZZZRHFGRUJ
,62,(& 

(-(03/2 UHTXLVLWRGHVHJXULGDG 
8QUHTXLVLWRSRGUtDVHUTXHQLQJXQDYLRODFLyQGHODVHJXULGDGGHODLQIRUPDFLyQGHEHSURYRFDUSHUMXLFLRVHFRQyPLFRV
JUDYHV\RFRPSURPHWHUDODRUJDQL]DFLyQ

(-(03/2 H[SHFWDWLYDGHVHJXULGDG 
(QHOFDVRGHTXHVHSURGXMHUDXQLQFLGHQWHJUDYHFRPRSRUHMHPSORXQDWDTXHLQIRUPiWLFRDOVLWLRZHEGHFRPHUFLR
HOHFWUyQLFRGHXQDRUJDQL]DFLyQGHEHUtDKDEHUSHUVRQDVFRQVXILFLHQWHIRUPDFLyQHQORVSURFHGLPLHQWRVDGHFXDGRVSDUD
PLQLPL]DUODVFRQVHFXHQFLDV





)LJXUD0RGHOR3'&$DSOLFDGRDORVSURFHVRVGHO6*6,


3ODQLILFDU FUHDFLyQGHO6*6,  'HILQLUODSROtWLFDREMHWLYRVSURFHVRV\SURFHGLPLHQWRVGHO6*6,UHOHYDQWHVSDUD
JHVWLRQDUHOULHVJR\PHMRUDUODVHJXULGDGGHODLQIRUPDFLyQFRQHOILQGHREWHQHU
UHVXOWDGRVDFRUGHVFRQODVSROtWLFDV\REMHWLYRVJHQHUDOHVGHODRUJDQL]DFLyQ
+DFHU LPSOHPHQWDFLyQ\ ,PSOHPHQWDU\RSHUDUODSROtWLFDFRQWUROHVSURFHVRV\SURFHGLPLHQWRVGHO6*6,
RSHUDFLyQGHO6*6, 
9HULILFDU VXSHUYLVLyQ\UHYLVLyQ (YDOXDU \ HQ VX FDVR PHGLU HO UHQGLPLHQWR GHO SURFHVR FRQWUD OD SROtWLFD ORV
GHO6*6,  REMHWLYRV \ OD H[SHULHQFLD SUiFWLFD GHO 6*6, H LQIRUPDU GH ORV UHVXOWDGRV D OD
'LUHFFLyQSDUDVXUHYLVLyQ
$FWXDU PDQWHQLPLHQWR\PHMRUD $GRSWDU PHGLGDV FRUUHFWLYDV \ SUHYHQWLYDV HQ IXQFLyQ GH ORV UHVXOWDGRV GH OD
GHO6*6,  DXGLWRUtDLQWHUQDGHO 6*6, \ GHODUHYLVLyQSRUSDUWHGHOD GLUHFFLyQRGHRWUDV
LQIRUPDFLRQHVUHOHYDQWHVSDUDORJUDUODPHMRUDFRQWLQXDGHO6*6,


 &RPSDWLELOLGDGFRQRWURVVLVWHPDVGHJHVWLyQ
(VWDQRUPDLQWHUQDFLRQDOVLJXHODVSDXWDVPDUFDGDVHQODV1RUPDV,62H,62SDUDDVHJXUDUXQD
LPSOHPHQWDFLyQLQWHJUDGD\FRQVLVWHQWHFRQODVPHQFLRQDGDVQRUPDVGHJHVWLyQ'HHVWHPRGRXQVLVWHPDGHJHVWLyQ
ELHQFRQFHELGRSXHGHFXPSOLUORVUHTXLVLWRVGHWRGDVHVDVQRUPDV/DWDEOD&PXHVWUDODUHODFLyQHQWUHORVFDStWXORV
GHHVWDQRUPDLQWHUQDFLRQDO\ODV1RUPDV,62H,62

(VWD QRUPD LQWHUQDFLRQDO HVWi GLVHxDGD SDUD SRVLELOLWDU D XQD RUJDQL]DFLyQ HO DGDSWDU VX 6*6, D ORV UHTXLVLWRV GH ORV
VLVWHPDVGHJHVWLyQPHQFLRQDGRV
  ,62,(&

,03257$17( (VWD SXEOLFDFLyQ QR SUHWHQGH LQFOXLU WRGDV ODV SURYLVLRQHV QHFHVDULDV HQ XQ FRQWUDWR /RV
XVXDULRVGHODQRUPDVRQUHVSRQVDEOHVGHVXFRUUHFWDDSOLFDFLyQ/DFRQIRUPLGDGFRQHVWDQRUPDLQWHUQDFLRQDO
QRRWRUJDLQPXQLGDGIUHQWHDOFXPSOLPLHQWRGHODVREOLJDFLRQHVOHJDOHV

 2%-(72<&$032'($3/,&$&,1

 *HQHUDOLGDGHV
(VWDQRUPDLQWHUQDFLRQDODEDUFDWRGRWLSRGHRUJDQL]DFLRQHV SRUHMHPSORHPSUHVDVRUJDQLVPRV\HQWHVS~EOLFRVHQWL
GDGHVVLQiQLPRGHOXFUR \HVSHFLILFDORVUHTXLVLWRVSDUDODFUHDFLyQLPSOHPHQWDFLyQRSHUDFLyQVXSHUYLVLyQUHYLVLyQ
PDQWHQLPLHQWR \ PHMRUD GH XQ 6*6, GRFXPHQWDGR HQ HO PDUFR GH ORV ULHVJRV HPSUHVDULDOHV JHQHUDOHV GH OD
RUJDQL]DFLyQ(VSHFLILFDORVUHTXLVLWRVSDUDHOHVWDEOHFLPLHQWRGHFRQWUROHVGHVHJXULGDGDGDSWDGRVDODVQHFHVLGDGHVGH
XQDRUJDQL]DFLyQRGHSDUWHVGHODPLVPD

(O6*6,HVWiGLVHxDGRFRQHOILQGHDVHJXUDUODVHOHFFLyQGHFRQWUROHVGHVHJXULGDGDGHFXDGRV\SURSRUFLRQDGRVTXH
SURWHMDQORVDFWLYRVGHLQIRUPDFLyQ\GHQJDUDQWtDVDODVSDUWHVLQWHUHVDGDV
127$ /DVUHIHUHQFLDDOWpUPLQRHPSUHVDULDORGHQHJRFLRHQHVWDQRUPDLQWHUQDFLRQDOGHEHUtDQLQWHUSUHWDUVHHQXQVHQWLGRDPSOLRDEDUFDQGR
DTXHOODVDFWLYLGDGHVTXHVRQHVHQFLDOHVSDUDDOFDQ]DUORVILQHVTXHSHUVLJXHODRUJDQL]DFLyQ
127$ /D1RUPD,62,(&SURSRUFLRQDXQDJXtDGHLPSODQWDFLyQTXHSXHGHXWLOL]DUVHDOGLVHxDUORVFRQWUROHV

 $SOLFDFLyQ
/RVUHTXLVLWRVHVWDEOHFLGRVHQHVWDQRUPDLQWHUQDFLRQDOVRQJHQpULFRV\DSOLFDEOHVDWRGDVODVRUJDQL]DFLRQHVFXDOTXLHUD
TXH VHD VX WLSR WDPDxR \ QDWXUDOH]D &XDQGR XQD RUJDQL]DFLyQ GHFODUD TXH FXPSOH HVWD QRUPD LQWHUQDFLRQDO QR VH
DGPLWLUiODH[FOXVLyQGHQLQJXQRGHORVUHTXLVLWRVGHILQLGRVHQORVFDStWXORV\

7RGDH[FOXVLyQGHFRQWUROHVTXHVHFRQVLGHUHQHFHVDULDSDUDFXPSOLUORVFULWHULRVGHDFHSWDFLyQGHOULHVJRQHFHVLWDVHUMXVWLIL
FDGDPHGLDQWHHYLGHQFLDGHTXHORVULHVJRVDVRFLDGRVKDQVLGRDFHSWDGRVSRUODVSHUVRQDVUHVSRQVDEOHV&XDQGRVHH[FOX\D
DOJ~QFRQWUROQRVHDFHSWDUiQLQJXQDGHFODUDFLyQGHFRQIRUPLGDGFRQHVWDQRUPDLQWHUQDFLRQDODPHQRVTXHWDOHVH[FOXVLRQHV
QRDIHFWHQDODFDSDFLGDG\RUHVSRQVDELOLGDGGHODRUJDQL]DFLyQSDUDJDUDQWL]DUODVHJXULGDGGHODLQIRUPDFLyQGHDFXHUGRFRQ
ORVUHTXLVLWRVGHVHJXULGDGGHULYDGRVGHODHYDOXDFLyQGHULHVJRV\GHORVUHTXLVLWRVOHJDOHVRUHJODPHQWDULRVDSOLFDEOHV

127$ (QODPD\RUtDGHORVFDVRVVLXQDRUJDQL]DFLyQWLHQHLPSODQWDGRXQVLVWHPDGHJHVWLyQGHOSURFHVRGHQHJRFLR SRUHMHPSOR ,62R
,62 HVSUHIHULEOHFXPSOLUORVUHTXLVLWRVGHHVWDQRUPDLQWHUQDFLRQDOGHQWURGHOVLVWHPDGHJHVWLyQ\DH[LVWHQWH

 1250$63$5$&2168/7$
/DVQRUPDVTXHDFRQWLQXDFLyQVHLQGLFDQVRQLQGLVSHQVDEOHVSDUDODDSOLFDFLyQGHHVWDQRUPD3DUDODVUHIHUHQFLDVFRQ
IHFKDVyORVHDSOLFDODHGLFLyQFLWDGD3DUDODVUHIHUHQFLDVVLQIHFKDVHDSOLFDOD~OWLPDHGLFLyQGHODQRUPD LQFOX\HQGR
FXDOTXLHUPRGLILFDFLyQGHpVWD 
,62,(&7HFQRORJtDGHODLQIRUPDFLyQ7pFQLFDVGHVHJXULGDG&yGLJRGHEXHQDVSUiFWLFDVSDUDODJHVWLyQ
GHODVHJXULGDGGHODLQIRUPDFLyQ

 7e50,126<'(),1,&,21(6
3DUDORVILQHVGHOSUHVHQWHGRFXPHQWRVHDSOLFDQODVVLJXLHQWHVGHILQLFLRQHV

 DFWLYR
&XDOTXLHUELHQTXHWLHQHYDORUSDUDODRUJDQL]DFLyQ
>,62,(&@

 GLVSRQLELOLGDG
/DSURSLHGDGGHVHUDFFHVLEOH\XWLOL]DEOHSRUXQDHQWLGDGDXWRUL]DGD
>,62,(&@
,62,(& 

 FRQILGHQFLDOLGDG
/D SURSLHGDG SRU OD TXH OD LQIRUPDFLyQ QR VH SRQH D GLVSRVLFLyQ R VH UHYHOD D LQGLYLGXRV HQWLGDGHV R SURFHVRV QR
DXWRUL]DGRV

>,62,(&@

 VHJXULGDGGHODLQIRUPDFLyQ
/DSUHVHUYDFLyQGHODFRQILGHQFLDOLGDGODLQWHJULGDG\ODGLVSRQLELOLGDGGHODLQIRUPDFLyQSXGLHQGRDGHPiVDEDUFDU
RWUDVSURSLHGDGHVFRPRODDXWHQWLFLGDGODUHVSRQVDELOLGDGODILDELOLGDG\HOQRUHSXGLR

>,62,(&@

 HYHQWRGHVHJXULGDGGHODLQIRUPDFLyQ
/DRFXUUHQFLDGHWHFWDGDHQXQHVWDGRGHXQVLVWHPDVHUYLFLRRUHGTXHLQGLFDXQDSRVLEOHYLRODFLyQGHODSROtWLFDGH
VHJXULGDGGHODLQIRUPDFLyQXQIDOORGHODVVDOYDJXDUGDVRXQDVLWXDFLyQGHVFRQRFLGDKDVWDHOPRPHQWR\TXHSXHGHVHU
UHOHYDQWHSDUDODVHJXULGDG

>,62,(&75@

 LQFLGHQWHGHVHJXULGDGGHODLQIRUPDFLyQ
XQ~QLFRHYHQWRRXQDVHULHGHHYHQWRVGHVHJXULGDGGHODLQIRUPDFLyQLQHVSHUDGRVRQRGHVHDGRVTXHWLHQHQXQDSUR
EDELOLGDGVLJQLILFDWLYDGHFRPSURPHWHUODVRSHUDFLRQHVHPSUHVDULDOHV\GHDPHQD]DUODVHJXULGDGGHODLQIRUPDFLyQ

>,62,(&75@

 6LVWHPD GH *HVWLyQ GH OD 6HJXULGDG GH OD ,QIRUPDFLyQ 6*6,  >,QIRUPDWLRQ 6HFXULW\ 0DQDJHPHQW 6\VWHP
,606 @
/DSDUWHGHOVLVWHPDGHJHVWLyQJHQHUDOEDVDGDHQXQHQIRTXHGHULHVJRHPSUHVDULDOTXHVHHVWDEOHFHSDUDFUHDULPSOH
PHQWDURSHUDUVXSHUYLVDUUHYLVDUPDQWHQHU\PHMRUDUODVHJXULGDGGHODLQIRUPDFLyQ

127$ (OVLVWHPDGHJHVWLyQLQFOX\HODHVWUXFWXUDRUJDQL]DWLYDODVSROtWLFDVODVDFWLYLGDGHVGHSODQLILFDFLyQODVUHVSRQVDELOLGDGHVODVSUiFWLFDVORV
SURFHGLPLHQWRVORVSURFHVRV\ORVUHFXUVRV

 LQWHJULGDG
/DSURSLHGDGGHVDOYDJXDUGDUODH[DFWLWXG\FRPSOHWLWXGGHORVDFWLYRV

>,62,(&@

 ULHVJRUHVLGXDO
5LHVJRUHPDQHQWHTXHH[LVWHGHVSXpVGHTXHVHKD\DQWRPDGRODVPHGLGDVGHVHJXULGDG

>,62,(&*XLGH@

 DFHSWDFLyQGHOULHVJR
/DGHFLVLyQGHDFHSWDUXQULHVJR

>,62,(&*XLGH@

 DQiOLVLVGHULHVJRV
8WLOL]DFLyQVLVWHPiWLFDGHODLQIRUPDFLyQGLVSRQLEOHSDUDLGHQWLILFDUSHOLJURV\HVWLPDUORVULHVJRV

>,62,(&*XLGH@
  ,62,(&

 HYDOXDFLyQGHULHVJRV
(OSURFHVRJHQHUDOGHDQiOLVLV\HVWLPDFLyQGHORVULHVJRV
>,62,(&*XLGH@

 HVWLPDFLyQGHULHVJRV
(OSURFHVRGHFRPSDUDFLyQGHOULHVJRHVWLPDGRFRQORVFULWHULRVGHULHVJRSDUDDVtGHWHUPLQDUODLPSRUWDQFLDGHOULHVJR
>,62,(&*XLGH@

 JHVWLyQGHULHVJRV
$FWLYLGDGHVFRRUGLQDGDVSDUDGLULJLU\FRQWURODUXQDRUJDQL]DFLyQFRQUHVSHFWRDORVULHVJRV
>,62,(&*XLGH@

 WUDWDPLHQWRGHULHVJRV
(OSURFHVRGHVHOHFFLyQHLPSOHPHQWDFLyQGHODVPHGLGDVHQFDPLQDGDVDPRGLILFDUORVULHVJRV
>,62,(&*XLGH@

127$ (QHVWDQRUPDLQWHUQDFLRQDOHOWpUPLQRFRQWUROVHXWLOL]DFRPRVLQyQLPRGHPHGLGDGHVHJXULGDG

 GHFODUDFLyQGHDSOLFDELOLGDG
'HFODUDFLyQGRFXPHQWDGDTXHGHVFULEHORVREMHWLYRVGHFRQWURO\ORVFRQWUROHVTXHVRQUHOHYDQWHVSDUDHO6*6,GHOD
RUJDQL]DFLyQ\DSOLFDEOHVDOPLVPR

127$ /RVREMHWLYRVGHFRQWURO\ORVFRQWUROHVVHEDVDQHQORVUHVXOWDGRV\FRQFOXVLRQHVGHODHYDOXDFLyQGHULHVJRV\HQORVSURFHVRVGHWUDWDPLHQWR
GHOULHVJRHQORVUHTXLVLWRVOHJDOHVRUHJODPHQWDULRVHQODVREOLJDFLRQHVFRQWUDFWXDOHV\HQODVQHFHVLGDGHVHPSUHVDULDOHVGHODRUJDQL]DFLyQ
HQPDWHULDGHVHJXULGDGGHODLQIRUPDFLyQ


 6,67(0$'(*(67,1'(/$6(*85,'$''(/$,1)250$&,1

 5HTXLVLWRVJHQHUDOHV
/DRUJDQL]DFLyQGHEHFUHDULPSOHPHQWDURSHUDUVXSHUYLVDUUHYLVDUPDQWHQHU\PHMRUDUXQ6*6,GRFXPHQWDGRGHQWUR
GHOFRQWH[WRGHODVDFWLYLGDGHVHPSUHVDULDOHVJHQHUDOHVGHODRUJDQL]DFLyQ\GHORVULHVJRVTXHpVWDDIURQWD$HIHFWRVGH
HVWDQRUPDLQWHUQDFLRQDOHOSURFHVRXWLOL]DGRVHEDVDHQHOPRGHOR3'&$GHVFULWRHQODILJXUD

 &UHDFLyQ\JHVWLyQGHO6*6,

 &UHDFLyQGHO6*6,
/DRUJDQL]DFLyQGHEHKDFHUORVLJXLHQWH

D  'HILQLU HO DOFDQFH \ ORV OtPLWHV GHO 6*6, HQ WpUPLQRV GH ODV FDUDFWHUtVWLFDV GH OD DFWLYLGDG HPSUHVDULDO GH OD
RUJDQL]DFLyQVXXELFDFLyQVXVDFWLYRV\WHFQRORJtDLQFOX\HQGRORVGHWDOOHV\ODMXVWLILFDFLyQGHFXDOTXLHUH[FOXVLyQ
GHODOFDQFH YpDVH 

E  'HILQLUXQDSROtWLFDGHO6*6,DFRUGHFRQODVFDUDFWHUtVWLFDVGHODDFWLYLGDGHPSUHVDULDOODRUJDQL]DFLyQVXXELFD
FLyQVXVDFWLYRV\WHFQRORJtDTXH
  LQFOX\DXQPDUFRSDUDODILMDFLyQGHREMHWLYRV\HVWDEOH]FDXQDRULHQWDFLyQJHQHUDOVREUHODVGLUHFWULFHV\SULQ
FLSLRVGHDFWXDFLyQHQUHODFLyQFRQODVHJXULGDGGHODLQIRUPDFLyQ
  WHQJDHQFXHQWDORVUHTXLVLWRVGHODDFWLYLGDGHPSUHVDULDOORVUHTXLVLWRVOHJDOHVRUHJODPHQWDULRV\ODVREOLJDFLR
QHVGHVHJXULGDGFRQWUDFWXDOHV
  HVWpDOLQHDGDFRQHOFRQWH[WRGHODHVWUDWHJLDGHJHVWLyQGHULHVJRVGHODRUJDQL]DFLyQFRQWH[WRHQHOTXHWHQGUi
OXJDUODFUHDFLyQ\HOPDQWHQLPLHQWRGHO6*6,
,62,(& 

  HVWDEOH]FDFULWHULRVGHHVWLPDFLyQGHOULHVJR>YpDVHF @\
  VHDDSUREDGDSRUOD'LUHFFLyQ

127$ $HIHFWRVGHHVWDQRUPDLQWHUQDFLRQDOODSROtWLFDGHVHJXULGDGGHODLQIRUPDFLyQVHFRQVLGHUDXQVXEFRQMXQWRGHODSROtWLFDGHO6*6,
(VWDVSROtWLFDVSXHGHQHVWDUGHVFULWDVHQXQ~QLFRGRFXPHQWR

F  'HILQLUHOHQIRTXHGHODHYDOXDFLyQGHULHVJRVGHODRUJDQL]DFLyQ
  (VSHFLILFDUXQDPHWRGRORJtDGHHYDOXDFLyQGHULHVJRVDGHFXDGDSDUDHO6*6,ODVQHFHVLGDGHVGHQHJRFLRLGHQWL
ILFDGDVHQPDWHULDGHVHJXULGDGGHODLQIRUPDFLyQGHODHPSUHVD\ORVUHTXLVLWRVOHJDOHV\UHJODPHQWDULRV
  'HVDUUROODUFULWHULRVGHDFHSWDFLyQGHULHVJR\ILMDUORVQLYHOHVGHULHVJRDFHSWDEOHV>YpDVHI @

/DPHWRGRORJtDVHOHFFLRQDGDSDUDODHYDOXDFLyQGHULHVJRVGHEHDVHJXUDUTXHODVHYDOXDFLRQHVGHULHVJRVJHQHUHQ
UHVXOWDGRVFRPSDUDEOHV\UHSURGXFLEOHV

127$ +D\GLIHUHQWHVPHWRGRORJtDVSDUDODHYDOXDFLyQGHULHVJRV(QOD1RUPD ,62,(&757HFQRORJtDGHODLQIRUPDFLyQ'LUHF
WULFHVSDUDODJHVWLyQGHODVHJXULGDGGH7,7pFQLFDVGHJHVWLyQGHODVHJXULGDGGH7,VHFRPHQWDQDOJXQRVHMHPSORVGHPHWRGRORJtDV
SDUDODHYDOXDFLyQGHULHVJRV

G  ,GHQWLILFDUORVULHVJRV
  ,GHQWLILFDUORVDFWLYRVTXHHVWiQGHQWURGHOiPELWRGHDSOLFDFLyQGHO6*6,\DORVSURSLHWDULRV GHHVWRVDFWLYRV
  ,GHQWLILFDUODVDPHQD]DVDTXHHVWiQH[SXHVWRVHVRVDFWLYRV
  ,GHQWLILFDUODVYXOQHUDELOLGDGHVEDMRODVTXHSRGUtDQDFWXDUGLFKDVDPHQD]DV
  ,GHQWLILFDUORVLPSDFWRVTXHVREUHORVDFWLYRVSXHGHWHQHUXQDSpUGLGDGHFRQILGHQFLDOLGDGLQWHJULGDG\GLVSRQL
ELOLGDGHQORVPLVPRV

H  $QDOL]DU\YDORUDUORVULHVJRV
  (YDOXDUORVHIHFWRVHQODDFWLYLGDGHPSUHVDULDOGHODRUJDQL]DFLyQTXHSXGLHUDQGHULYDUVHGHHYHQWXDOHVIDOORVGH
VHJXULGDGWHQLHQGRHQFXHQWDODVFRQVHFXHQFLDVGHXQDSpUGLGDGHFRQILGHQFLDOLGDGLQWHJULGDGRGLVSRQLELOLGDG
GHORVDFWLYRV
  (YDOXDUODSUREDELOLGDGGHXQDIRUPDUHDOLVWDGHTXHVHSURGX]FDQIDOORVGHVHJXULGDGDODOX]GHODVDPHQD]DV\
YXOQHUDELOLGDGHVH[LVWHQWHVORVLPSDFWRVDVRFLDGRVDORVDFWLYRV\ORVFRQWUROHVLPSOHPHQWDGRV
  (VWLPDUORVQLYHOHVGHULHVJR
  'HWHUPLQDUVLORVULHVJRVVRQDFHSWDEOHVRVLUHTXLHUHQXQWUDWDPLHQWRFRQIRUPHDORVFULWHULRVGHDFHSWDFLyQGH
ULHVJRVHVWDEOHFLGRVHQF  

I  ,GHQWLILFDU\HYDOXDUODVRSFLRQHVSDUDHOWUDWDPLHQWRGHULHVJRV

/DVSRVLEOHVDFFLRQHVDUHDOL]DUHQWUHRWUDVVRQODVVLJXLHQWHV
  DSOLFDUFRQWUROHVDGHFXDGRV
  DVXPLUORVULHVJRVGHPDQHUDFRQVFLHQWH\REMHWLYDFRQIRUPHDODVSROtWLFDVGHODRUJDQL]DFLyQ\DORVFULWHULRV
GHDFHSWDFLyQGHULHVJRV>YpDVHF  @
  HYLWDUORVULHVJRV\
  WUDQVIHULUORVULHVJRVDVRFLDGRVDODDFWLYLGDGHPSUHVDULDODRWUDVSDUWHVFRPRSRUHMHPSORFRPSDxtDVGHVHJXURV
RSURYHHGRUHV

 
  (OWpUPLQRSURSLHWDULRVHUHILHUHDXQLQGLYLGXRRXQDHQWLGDGDOTXHVHOHKDDVLJQDGRODUHVSRQVDELOLGDGDGPLQLVWUDWLYDSDUDHOFRQWUROGHOD
SURGXFFLyQ HO GHVDUUROOR HO PDQWHQLPLHQWR HO XVR \ OD VHJXULGDG GH ORV DFWLYRV (O WpUPLQR SURSLHWDULR QR VLJQLILFD TXH OD SHUVRQD WHQJD
UHDOPHQWHDOJ~QGHUHFKRGHSURSLHGDGVREUHHODFWLYR
  ,62,(&

J  6HOHFFLRQDUORVREMHWLYRVGHFRQWURO\ORVFRQWUROHVSDUDHOWUDWDPLHQWRGHORVULHVJRV

/RV REMHWLYRV GH FRQWURO \ ORV FRQWUROHV GHEHQ VHOHFFLRQDUVH H LPSOHPHQWDUVH SDUD FXPSOLU ORV UHTXLVLWRV LGHQWL
ILFDGRVHQODHYDOXDFLyQGHULHVJRV\HQHOSURFHVRGHWUDWDPLHQWRGHULHVJRV(VWDVHOHFFLyQGHEHWHQHUHQFXHQWDORV
FULWHULRVGHDFHSWDFLyQGHULHVJRV>YpDVHF  @DGHPiVGHORVUHTXLVLWRVOHJDOHVUHJODPHQWDULRV\FRQWUDFWXDOHV

/RVREMHWLYRVGHFRQWURO\ORVFRQWUROHVGHODQH[R$GHEHQVHOHFFLRQDUVHFRPRSDUWHGHHVWHSURFHVRHQODPHGLGDHQ
TXHVLUYDQSDUDVDWLVIDFHUORVUHTXLVLWRVLGHQWLILFDGRV

/RVREMHWLYRVGHFRQWURO\ORVFRQWUROHVHQXPHUDGRVHQHODQH[R$QRVRQH[KDXVWLYRVSRUORTXHSXHGHQVHOHFFLR
QDUVHRWURVREMHWLYRVGHFRQWURO\RWURVFRQWUROHVDGLFLRQDOHV

127$ (ODQH[R$FRQWLHQHXQDOLVWDFRPSOHWDGHREMHWLYRVGHFRQWURO\FRQWUROHVTXHVHKDQFRQVLGHUDGRFRP~QPHQWHUHOHYDQWHVHQODVRUJDQL
]DFLRQHV(ODQH[R$SURSRUFLRQDDORVXVXDULRVGHHVWDQRUPDLQWHUQDFLRQDOXQSXQWRGHSDUWLGDSDUDVHOHFFLRQDUORVFRQWUROHVJDUDQ
WL]DQGRTXHQRVHSDVDQSRUDOWRLPSRUWDQWHVRSFLRQHVGHFRQWURO

K  2EWHQHUODDSUREDFLyQSRUSDUWHGHOD'LUHFFLyQGHORVULHVJRVUHVLGXDOHVSURSXHVWRV

L  2EWHQHUODDXWRUL]DFLyQGHOD'LUHFFLyQSDUDLPSOHPHQWDU\RSHUDUHO6*6,

M  (ODERUDUXQDGHFODUDFLyQGHDSOLFDELOLGDG

8QDGHFODUDFLyQGHDSOLFDELOLGDGGHEHLQFOXLUORVLJXLHQWH
  ORVREMHWLYRVGHFRQWURO\ORVFRQWUROHVVHOHFFLRQDGRVHQJ \ODVMXVWLILFDFLRQHVGHVXVHOHFFLyQ
  ORVREMHWLYRVGHFRQWURO\ORVFRQWUROHVDFWXDOPHQWHLPSOHPHQWDGRV>YpDVHH  @\
  ODH[FOXVLyQGHFXDOTXLHUREMHWLYRGHFRQWURO\FRQWUROGHODQH[R$\ODMXVWLILFDFLyQGHHVWDH[FOXVLyQ

127$ /DGHFODUDFLyQGHDSOLFDELOLGDGSURSRUFLRQDXQUHVXPHQGHODVGHFLVLRQHVUHODWLYDVDOWUDWDPLHQWRGHORVULHVJRV/DMXVWLILFDFLyQGHODV
H[FOXVLRQHVIDFLOLWDXQDFRPSUREDFLyQFUX]DGDGHTXHQRVHKDRPLWLGRLQDGYHUWLGDPHQWHQLQJ~QFRQWURO

 ,PSOHPHQWDFLyQ\RSHUDFLyQGHO6*6,
/DRUJDQL]DFLyQGHEHKDFHUORTXHVHLQGLFDDFRQWLQXDFLyQ

D  )RUPXODUXQSODQGHWUDWDPLHQWRGHULHVJRVTXHLGHQWLILTXHODVDFFLRQHVGHOD'LUHFFLyQORVUHFXUVRVODVUHVSRQVD
ELOLGDGHV\ODVSULRULGDGHVDGHFXDGRVSDUDJHVWLRQDUORVULHVJRVGHODVHJXULGDGGHODLQIRUPDFLyQ YpDVH 

E  ,PSOHPHQWDUHOSODQGHWUDWDPLHQWRGHULHVJRVSDUDORJUDUORVREMHWLYRVGHFRQWUROLGHQWLILFDGRVTXHWHQJDHQFXHQWD
ODILQDQFLDFLyQ\ODDVLJQDFLyQGHIXQFLRQHV\UHVSRQVDELOLGDGHV

F  ,PSOHPHQWDUORVFRQWUROHVVHOHFFLRQDGRVHQJ SDUDFXPSOLUORVREMHWLYRVGHFRQWURO

G  'HILQLUHOPRGRGHPHGLUODHILFDFLDGHORVFRQWUROHVRGHORVJUXSRVGHFRQWUROHVVHOHFFLRQDGRV\HVSHFLILFDUFyPR
WLHQHQ TXH XVDUVH HVWDV PHGLFLRQHV SDUD HYDOXDU OD HILFDFLD GH ORV FRQWUROHV GH FDUD D SURGXFLU XQRV UHVXOWDGRV
FRPSDUDEOHV\UHSURGXFLEOHV>YpDVHF @
127$ /DPHGLFLyQGHODHILFDFLDGHORVFRQWUROHVSHUPLWHDORVGLUHFWLYRV\DOSHUVRQDOGHWHUPLQDUKDVWDTXpSXQWRORVFRQWUROHVFXPSOHQORV
REMHWLYRVGHFRQWUROSODQLILFDGRV

H  ,PSOHPHQWDUSURJUDPDVGHIRUPDFLyQ\GHFRQFLHQFLDFLyQ YpDVH 

I  *HVWLRQDUODRSHUDFLyQGHO6*6,

J  *HVWLRQDUORVUHFXUVRVGHO6*6, YpDVH 

K  ,PSOHPHQWDUSURFHGLPLHQWRV\RWURVFRQWUROHVTXHSHUPLWDQXQDGHWHFFLyQWHPSUDQDGHHYHQWRVGHVHJXULGDG\XQD
UHVSXHVWDDQWHFXDOTXLHULQFLGHQWHGHVHJXULGDG>YpDVHD @
,62,(& 

 6XSHUYLVLyQ\UHYLVLyQGHO6*6,
/DRUJDQL]DFLyQGHEHKDFHUORTXHVHLQGLFDDFRQWLQXDFLyQ

D  (MHFXWDUSURFHGLPLHQWRVGHVXSHUYLVLyQ\UHYLVLyQDVtFRPRRWURVPHFDQLVPRVGHFRQWUROSDUD
  GHWHFWDUORDQWHVSRVLEOHORVHUURUHVHQORVUHVXOWDGRVGHOSURFHVDGR
  LGHQWLILFDUORDQWHVSRVLEOHODVGHELOLGDGHVGHOVLVWHPDGHVHJXULGDGDVtFRPRHODSURYHFKDPLHQWRGHpVWDVWDQWR
FRQRVLQp[LWR\ORVLQFLGHQWHV
  SHUPLWLUDOD'LUHFFLyQGHWHUPLQDUVLODVDFWLYLGDGHVGHVHJXULGDGGHOHJDGDVHQRWUDVSHUVRQDVROOHYDGDVDFDER
SRUPHGLRVLQIRUPiWLFRVRDWUDYpVGHWHFQRORJtDVGHODLQIRUPDFLyQGDQORVUHVXOWDGRVHVSHUDGRV
  D\XGDU D GHWHFWDU HYHQWRV GH VHJXULGDG \ SRU WDQWR D SUHYHQLU LQFLGHQWHV GH VHJXULGDG PHGLDQWH HO XVR GH
LQGLFDGRUHV\
  GHWHUPLQDUVLODVDFFLRQHVWRPDGDVSDUDUHVROYHUXQDYLRODFLyQGHODVHJXULGDGKDQVLGRHILFDFHV

E  5HDOL]DU UHYLVLRQHV SHULyGLFDV GH OD HILFDFLD GHO 6*6, WHQLHQGR HQ FXHQWD ORV UHVXOWDGRV GH ODV DXGLWRUtDV GH
VHJXULGDGORVLQFLGHQWHVORVUHVXOWDGRVGHODVPHGLFLRQHVGHODHILFDFLDODVVXJHUHQFLDVDVtFRPRORVFRPHQWDULRV
GHWRGDVODVSDUWHVLQWHUHVDGDV(VWDVUHYLVLRQHVLQFOX\HQHOFXPSOLPLHQWRGHODSROtWLFD\GHORVREMHWLYRVGHO6*6,
\ODUHYLVLyQGHORVFRQWUROHVGHVHJXULGDG

F  0HGLUODHILFDFLDGHORVFRQWUROHVSDUDYHULILFDUVLVHKDQFXPSOLGRORVUHTXLVLWRVGHVHJXULGDG

G  5HYLVDUODVHYDOXDFLRQHVGHULHVJRVHQLQWHUYDORVSODQLILFDGRV\UHYLVDUORVULHVJRVUHVLGXDOHV\ORVQLYHOHVGHULHVJR
DFHSWDEOHVTXHKDQVLGRLGHQWLILFDGRVWHQLHQGRHQFXHQWDORVFDPELRVHQ
  ODRUJDQL]DFLyQ
  ODWHFQRORJtD
  ORVREMHWLYRV\UHTXLVLWRVHPSUHVDULDOHV
  ODVDPHQD]DVLGHQWLILFDGDV
  ODHILFDFLDGHORVFRQWUROHVLPSOHPHQWDGRV\
  ORV IDFWRUHV H[WHUQRV FRPR SRU HMHPSOR ORV FDPELRV GHO HQWRUQR OHJDO R UHJODPHQWDULR GH ODV REOLJDFLRQHV
FRQWUDFWXDOHV\GHOFOLPDVRFLDO

H  5HDOL]DUODVDXGLWRUtDVLQWHUQDVGHO6*6,HQLQWHUYDORVSODQLILFDGRV YpDVH 

127$ /DVDXGLWRUtDVLQWHUQDVDYHFHVGHQRPLQDGDVDXGLWRUtDVSRUSULPHUDSDUWHODVOOHYDDFDERODSURSLDRUJDQL]DFLyQRELHQVHUHDOL]DQSRU
HQFDUJRGHpVWDFRQILQHVLQWHUQRV

I  5HDOL]DU SRU SDUWH GH OD 'LUHFFLyQ XQD UHYLVLyQ GHO 6*6, FRQ FDUiFWHU UHJXODU SDUD DVHJXUDU TXH HO iPELWR GH
DSOLFDFLyQVLJXHVLHQGRDGHFXDGR\TXHVHLGHQWLILFDQPHMRUDVGHOSURFHVRGHO6*6, YpDVH 

J  $FWXDOL]DUORVSODQHVGHVHJXULGDGWHQLHQGRHQFXHQWDODVFRQFOXVLRQHVGHODVDFWLYLGDGHVGHVXSHUYLVLyQ\UHYLVLyQ

K  5HJLVWUDUODVDFFLRQHVHLQFLGHQFLDVTXHSXGLHUDQDIHFWDUDODHILFDFLDRDOIXQFLRQDPLHQWRGHO6*6, YpDVH 

 0DQWHQLPLHQWR\PHMRUDGHO6*6,
5HJXODUPHQWHODRUJDQL]DFLyQGHEHKDFHUORTXHVHLQGLFDDFRQWLQXDFLyQ

D  ,PSOHPHQWDUHQHO6*6,ODVPHMRUDVLGHQWLILFDGDV

E  $SOLFDUODVPHGLGDVFRUUHFWLYDV\SUHYHQWLYDVDGHFXDGDVGHDFXHUGRFRQORVDSDUWDGRV\VREUHODEDVHGHOD
H[SHULHQFLDHQPDWHULDGHVHJXULGDGGHODSURSLDRUJDQL]DFLyQ\GHRWUDVRUJDQL]DFLRQHV
  ,62,(&

F  &RPXQLFDUODVDFFLRQHV\PHMRUDVDWRGDVODVSDUWHVLQWHUHVDGDVFRQXQQLYHOGHGHWDOOHDFRUGHFRQODVFLUFXQVWDQFLDV

G  $VHJXUDUTXHODVPHMRUDVDOFDQFHQORVREMHWLYRVSUHYLVWRV

 5HTXLVLWRVGHODGRFXPHQWDFLyQ

 *HQHUDOLGDGHV
/DGRFXPHQWDFLyQGHEHLQFOXLUODVGHFLVLRQHVGHOD'LUHFFLyQMXQWRFRQORVUHJLVWURV UHFRUGV GHODVPLVPDVGHELHQGR
TXHGDU FRQVWDQFLD GH TXH ODV DFFLRQHV GDQ UHVSXHVWD D ODV GHFLVLRQHV \ D ODV SROtWLFDV DGRSWDGDV \ JDUDQWL]DQGR TXH
GLFKRVGRFXPHQWRV\ORVFRUUHVSRQGLHQWHVUHJLVWURVHVWiQGLVSRQLEOHV

127$1$&,21$/ 6HJ~Q UHFRJH OD 1RUPD 81(,62  HO LQJOpV SRVHH WUHV WpUPLQRV GLVWLQWRV GRFXPHQWV UHFRUGV \ DUFKLYHV  SDUD
GHVLJQDUORTXHHQFDVWHOODQRFRPRHQHOUHVWRGHOHQJXDVODWLQDVFXHQWDFRQXQD~QLFDYR] GRFXPHQWRV $VtGRFXPHQWHV
HO HTXLYDOHQWH GH GRFXPHQWR HQ VX VLJQLILFDGR JHQpULFR FRPR PHUD LQIRUPDFLyQ UHJLVWUDGD 3RU HO FRQWUDULR ORV WpUPLQRV
UHFRUGV\DUFKLYHVGHVLJQDQGHPDQHUDHVSHFtILFDDDTXHOORVGRFXPHQWRVSURGXFLGRVFRPRSUXHED\UHIOHMRGHODVDFWLYLGDGHV
GHODRUJDQL]DFLyQTXHORVKDFUHDGRUHVHUYiQGRVHHOHPSOHRGHHVWH~OWLPRDORVGRFXPHQWRVGHFDUiFWHUKLVWyULFR

127$1$&,21$/ 8QUHJLVWURGLVSRQLEOHHVDTXpOTXHSXHGHVHUORFDOL]DGRUHFXSHUDGRSUHVHQWDGRHLQWHUSUHWDGR

(V LPSRUWDQWH SRGHU GHPRVWUDU OD UHODFLyQ GH ORV FRQWUROHV VHOHFFLRQDGRV FRQ ORV UHVXOWDGRV GH ORV SURFHVRV GH
HYDOXDFLyQ\GHWUDWDPLHQWRGHULHVJRV\SRUWDQWRFRQODSROtWLFD\REMHWLYRVGHO6*6,

/DGRFXPHQWDFLyQGHO6*6,GHEHLQFOXLU

D  GHFODUDFLRQHVGRFXPHQWDGDVGHODSROtWLFD>YpDVHE @\GHORVREMHWLYRVGHO6*6,

E  HODOFDQFHGHO6*6,>YpDVHD @

F  ORVSURFHGLPLHQWRV\PHFDQLVPRVGHFRQWUROTXHVRSRUWDQDO6*6,

G  XQDGHVFULSFLyQGHODPHWRGRORJtDGHHYDOXDFLyQGHULHVJRV>YpDVHF @

H  HOLQIRUPHGHHYDOXDFLyQGHULHVJRV>YpDVHF DJ @

I  HOSODQGHWUDWDPLHQWRGHULHVJRV>YpDVHE @

J  ORVSURFHGLPLHQWRVGRFXPHQWDGRVTXHQHFHVLWDODRUJDQL]DFLyQSDUDDVHJXUDUXQDFRUUHFWDSODQLILFDFLyQRSHUDFLyQ\
FRQWURO GH VXV SURFHVRV GH VHJXULGDG GH OD LQIRUPDFLyQ \ SDUD GHVFULELU FyPR PHGLU OD HILFDFLD GH ORV FRQWUROHV
>YpDVHF @

K  ORVUHJLVWURVUHTXHULGRVSRUHVWDQRUPDLQWHUQDFLRQDO YpDVH \

L  ODGHFODUDFLyQGHDSOLFDELOLGDG

127$ &XDQGR HQ HVWD QRUPD LQWHUQDFLRQDO DSDUHFH HO WpUPLQR SURFHGLPLHQWR GRFXPHQWDGR VLJQLILFD TXH HO SURFHGLPLHQWR VH FUHD VH
GRFXPHQWDVHLPSOHPHQWD\VHPDQWLHQH

127$ /DH[WHQVLyQGHODGRFXPHQWDFLyQGHO6*6,SXHGHGLIHULUGHXQDRUJDQL]DFLyQDRWUDGHELGRD
 HOWDPDxR\WLSRGHDFWLYLGDGHVGHODRUJDQL]DFLyQ\
 HODOFDQFH\ODFRPSOHMLGDGGHORVUHTXLVLWRVGHVHJXULGDG\GHOVLVWHPDTXHVHHVWiJHVWLRQDQGR

127$ /RVGRFXPHQWRV\UHJLVWURVSXHGHQHVWDUHQFXDOTXLHUIRUPDWRRWLSRGHPHGLR

 &RQWUROGHGRFXPHQWRV
/RV GRFXPHQWRV H[LJLGRV SRU HO 6*6, YpDVH   GHEHQ HVWDU SURWHJLGRV \ FRQWURODGRV 6H GHEH HVWDEOHFHU XQ
SURFHGLPLHQWRGRFXPHQWDGRSDUDGHILQLUODVDFFLRQHVGHJHVWLyQQHFHVDULDVSDUD

D  DSUREDUHQIRUPDORVGRFXPHQWRVSUHYLDPHQWHDVXGLVWULEXFLyQ
,62,(& 

E  UHYLVDUDFWXDOL]DU\YROYHUDDSUREDUORVGRFXPHQWRVVHJ~QYD\DVLHQGRQHFHVDULR

F  DVHJXUDUTXHHVWiQLGHQWLILFDGRVORVFDPELRVDVtFRPRHOHVWDGRGHOGRFXPHQWRTXHFRQWLHQHOD~OWLPDUHYLVLyQ

G  DVHJXUDUTXHODVYHUVLRQHVFRUUHVSRQGLHQWHVGHORVGRFXPHQWRVHVWiQGLVSRQLEOHV

H  DVHJXUDUTXHORVGRFXPHQWRVSHUPDQHFHQOHJLEOHV\IiFLOPHQWHLGHQWLILFDEOHV

I  DVHJXUDU TXH ORV GRFXPHQWRV HVWiQ GLVSRQLEOHV SDUD WRGR DTXHO TXH ORV QHFHVLWD \ VH WUDQVILHUHQ DOPDFHQDQ \ VH
GHVWUX\HQGHDFXHUGRFRQORVSURFHGLPLHQWRVDSOLFDEOHVDVXFODVLILFDFLyQ

J  DVHJXUDUTXHORVGRFXPHQWRVSURFHGHQWHVGHOH[WHULRUHVWiQLGHQWLILFDGRV

K  DVHJXUDUTXHODGLVWULEXFLyQGHORVGRFXPHQWRVHVWiFRQWURODGD

L  SUHYHQLUHOXVRQRLQWHQFLRQDGRGHGRFXPHQWRVREVROHWRV\

M  DSOLFDUXQDLGHQWLILFDFLyQDGHFXDGDDORVGRFXPHQWRVREVROHWRVTXHVRQUHWHQLGRVFRQDOJ~QSURSyVLWR

 &RQWUROGHUHJLVWURV
6HGHEHQFUHDU\PDQWHQHUUHJLVWURVSDUDSURSRUFLRQDUHYLGHQFLDVGHODFRQIRUPLGDGFRQORVUHTXLVLWRV\GHOIXQFLRQD
PLHQWRHILFD]GHO6*6,'LFKRVUHJLVWURVGHEHQHVWDSURWHJLGRV\FRQWURODGRV(O6*6,GHEHWHQHUHQFXHQWDFXDOTXLHU
UHTXLVLWROHJDORUHJXODWRULRDSOLFDEOHDVtFRPRODVREOLJDFLRQHVFRQWUDFWXDOHV/RVUHJLVWURVGHEHQSHUPDQHFHUOHJLEOHV
IiFLOPHQWH LGHQWLILFDEOHV \ UHFXSHUDEOHV /RV FRQWUROHV QHFHVDULRV SDUD OD LGHQWLILFDFLyQ DOPDFHQDPLHQWR SURWHFFLyQ
UHFXSHUDFLyQUHWHQFLyQ\GLVSRVLFLyQGHORVUHJLVWURVGHEHQHVWDUGRFXPHQWDGRVHLPSOHPHQWDGRV

'HEHQFRQVHUYDUVHORVUHJLVWURVGHOGHVDUUROORGHOSURFHVRVHJ~QVHLQGLFDHQ\GHWRGRVORVVXFHVRVGHULYDGRVGH
LQFLGHQWHVGHVHJXULGDGVLJQLILFDWLYRVUHODWLYRVDO6*6,

(-(03/2
(MHPSORVGHUHJLVWURVVRQHOOLEURGHYLVLWDVORVLQIRUPHVGHDXGLWRUtD\ORVIRUPXODULRVGHDXWRUL]DFLyQGHDFFHVRFXP
SOLPHQWDGRV


 5(63216$%,/,'$''(/$',5(&&,1

 &RPSURPLVRGHOD'LUHFFLyQ
/D 'LUHFFLyQ GHEH VXPLQLVWUDU HYLGHQFLDV GH VX FRPSURPLVR SDUD FUHDU LPSOHPHQWDU RSHUDU VXSHUYLVDU UHYLVDU
PDQWHQHU\PHMRUDUHO6*6,DWUDYpVGHODVVLJXLHQWHVDFFLRQHV

D  IRUPXODQGRODSROtWLFDGHO6*6,

E  YHODQGRSRUHOHVWDEOHFLPLHQWRGHORVREMHWLYRV\SODQHVGHO6*6,

F  HVWDEOHFLHQGRORVUROHV\UHVSRQVDELOLGDGHVHQPDWHULDGHVHJXULGDGGHODLQIRUPDFLyQ

G  FRPXQLFDQGRDODRUJDQL]DFLyQODLPSRUWDQFLDGHFXPSOLUORVREMHWLYRV\ODSROtWLFDGHVHJXULGDGGHODLQIRUPDFLyQ
VXVUHVSRQVDELOLGDGHVOHJDOHV\ODQHFHVLGDGGHODPHMRUDFRQWLQXD

H  SURSRUFLRQDQGR UHFXUVRV VXILFLHQWHV SDUD FUHDU LPSOHPHQWDU RSHUDU VXSHUYLVDU UHYLVDU PDQWHQHU \ PHMRUDU HO
6*6, YpDVH 

I  GHFLGLHQGRORVFULWHULRVGHDFHSWDFLyQGHULHVJRV\ORVQLYHOHVDFHSWDEOHVGHULHVJR

J  YHODQGRSRUTXHVHUHDOLFHQODVDXGLWRUtDVLQWHUQDVGHO6*6, YpDVH \

K  GLULJLHQGRODVUHYLVLRQHVGHO6*6, YpDVH 
  ,62,(&

 *HVWLyQGHORVUHFXUVRV

 3URYLVLyQGHORVUHFXUVRV
/DRUJDQL]DFLyQGHEHGHWHUPLQDU\SURSRUFLRQDUORVUHFXUVRVQHFHVDULRVSDUD
D  HVWDEOHFHULPSOHPHQWDURSHUDUVXSHUYLVDUUHYLVDUPDQWHQHU\PHMRUDUHO6*6,
E  DVHJXUDUTXHORVSURFHGLPLHQWRVGHVHJXULGDGGHODLQIRUPDFLyQUHVSRQGHQDORVUHTXLVLWRVHPSUHVDULDOHV
F  LGHQWLILFDU\FXPSOLUORVUHTXLVLWRVOHJDOHV\UHJODPHQWDULRVDVtFRPRODVREOLJDFLRQHVGHVHJXULGDGFRQWUDFWXDOHV
G  PDQWHQHUODVHJXULGDGDGHFXDGDPHGLDQWHODDSOLFDFLyQFRUUHFWDGHWRGRVORVFRQWUROHVLPSODQWDGRV
H  OOHYDUDFDERUHYLVLRQHVFXDQGRVHDQQHFHVDULDV\UHDFFLRQDUHQEDVHDORVUHVXOWDGRVGHHVWDVUHYLVLRQHV\
I  FXDQGRVHUHTXLHUDPHMRUDUODHILFDFLDGHO6*6,

 &RQFLHQFLDFLyQIRUPDFLyQ\FDSDFLWDFLyQ
/DRUJDQL]DFLyQGHEHDVHJXUDUVHGHTXHWRGRHOSHUVRQDODOTXHVHOHKD\DQDVLJQDGRUHVSRQVDELOLGDGHVGHILQLGDVHQHO
6*6,VHDFRPSHWHQWHSDUDOOHYDUDFDERODVWDUHDVUHTXHULGDVDWUDYpVGH
D  GHWHUPLQDUODVFRPSHWHQFLDVQHFHVDULDVSDUDHOSHUVRQDOTXHOOHYDDFDERWUDEDMRVTXHDIHFWHQDO6*6,
E  LPSDUWLU IRUPDFLyQ R UHDOL]DURWUDV DFFLRQHV SRU HMHPSOR OD FRQWUDWDFLyQ GH SHUVRQDO FRPSHWHQWH  SDUD VDWLVIDFHU
HVWDVQHFHVLGDGHV
F  HYDOXDUODHILFDFLDGHODVDFFLRQHVUHDOL]DGDV\
G  PDQWHQHUUHJLVWURVGHHGXFDFLyQIRUPDFLyQDSWLWXGHVH[SHULHQFLD\FXDOLILFDFLRQHV YpDVH 

/DRUJDQL]DFLyQGHEHDVHJXUDUVHWDPELpQGHTXHWRGRHOSHUVRQDODIHFWDGRVHDFRQVFLHQWHGHODWUDVFHQGHQFLD\GHOD
LPSRUWDQFLDGHODVDFWLYLGDGHVGHVHJXULGDGGHODLQIRUPDFLyQ\GHVXFRQWULEXFLyQDORVREMHWLYRVGHO6*6,


 $8',725$6,17(51$6'(/6*6,
/DRUJDQL]DFLyQGHEHUHDOL]DUDXGLWRUtDVLQWHUQDVGHO6*6,DLQWHUYDORVSODQLILFDGRVSDUDGHWHUPLQDUVLORVREMHWLYRVGH
FRQWUROORVFRQWUROHVORVSURFHVRV\ORVSURFHGLPLHQWRVGHHVWH6*6,
D  FXPSOHQORVUHTXLVLWRVGHHVWDQRUPDLQWHUQDFLRQDODVtFRPRODOHJLVODFLyQ\QRUPDWLYDDSOLFDEOHV
E  FXPSOHQORVUHTXLVLWRVGHVHJXULGDGGHODLQIRUPDFLyQLGHQWLILFDGRV
F  VHLPSODQWDQ\VHPDQWLHQHQGHIRUPDHIHFWLYD\
G  GDQHOUHVXOWDGRHVSHUDGR

6HGHEHSODQLILFDUXQSURJUDPDGHDXGLWRUtDVWHQLHQGRHQFXHQWDHOHVWDGRHLPSRUWDQFLDGHORVSURFHVRV\ODViUHDVD
DXGLWDUDVtFRPRORVUHVXOWDGRVGHODVDXGLWRUtDVSUHYLDV6HGHEHQGHILQLUORVFULWHULRVHODOFDQFHODIUHFXHQFLD\ORV
PpWRGRVGHDXGLWRUtD/DVHOHFFLyQGHDXGLWRUHV\ODGLUHFFLyQGHODVDXGLWRUtDVGHEHJDUDQWL]DUODREMHWLYLGDGHLPSDU
FLDOLGDGGHOSURFHVRGHDXGLWRUtD/RVDXGLWRUHVQRGHEHQDXGLWDUVXSURSLRWUDEDMR

/DVUHVSRQVDELOLGDGHV \ORVUHTXLVLWRVSDUDODSODQLILFDFLyQUHDOL]DFLyQGHODVDXGLWRUtDVODLQIRUPDFLyQGHORVUHVXO
WDGRV\HOPDQWHQLPLHQWRGHORVUHJLVWURV YpDVH GHEHQHVWDUGHILQLGRVHQXQSURFHGLPLHQWRGRFXPHQWDGR

(O UHVSRQVDEOH GHO iUHD DXGLWDGD GHEH YHODU SRU TXH VH UHDOLFHQ DFFLRQHV SDUD HOLPLQDU VLQ GHPRUDV LQGHELGDV ODV
GLVFRQIRUPLGDGHVGHWHFWDGDV\VXVFDXVDV/DVDFWLYLGDGHVGHVHJXLPLHQWRGHEHQLQFOXLUODYHULILFDFLyQGHODVDFFLRQHV
UHDOL]DGDV\ORVLQIRUPHVGHORVUHVXOWDGRVGHODYHULILFDFLyQ YpDVH 

127$ /D1RUPD,62'LUHFWULFHVSDUDODDXGLWRUtDGHORVVLVWHPDVGHJHVWLyQGHODFDOLGDG\RDPELHQWDOSURSRUFLRQDRULHQWDFLRQHV
~WLOHVSDUDUHDOL]DUODVDXGLWRUtDVLQWHUQDVGHO6*6,
,62,(& 

 5(9,6,1'(/6*6,325/$',5(&&,1

 *HQHUDOLGDGHV
/D'LUHFFLyQGHEHUHYLVDUHO6*6,GHODRUJDQL]DFLyQDLQWHUYDORVSODQLILFDGRV DOPHQRVXQDYH]DODxR SDUDDVHJXUDU
TXHVHPDQWLHQHVXFRQYHQLHQFLDDGHFXDFLyQ\HILFDFLD(VWDUHYLVLyQGHEHFRQWHPSODUODVRSRUWXQLGDGHVGHPHMRUD\OD
QHFHVLGDGGHFDPELRVHQHO6*6,LQFOX\HQGRODSROtWLFD\ORVREMHWLYRVGHVHJXULGDGGHODLQIRUPDFLyQ/RVUHVXOWDGRV
GHODVUHYLVLRQHVGHEHQHVWDUFODUDPHQWHGRFXPHQWDGRV\VHGHEHQPDQWHQHUORVUHJLVWURV YpDVH 

 'DWRVLQLFLDOHVGHODUHYLVLyQ
/RVGDWRVXWLOL]DGRVSRUOD'LUHFFLyQSDUDODUHYLVLyQGHEHQLQFOXLU

D  ORVUHVXOWDGRVGHODVDXGLWRUtDV\UHYLVLRQHVGHO6*6,

E  ORVFRPHQWDULRVGHODVSDUWHVLQWHUHVDGDV

F  ODV WpFQLFDV SURGXFWRV R SURFHGLPLHQWRV TXH SRGUtDQ XWLOL]DUVH GHQWUR GH OD RUJDQL]DFLyQ SDUD PHMRUDU HO
FRPSRUWDPLHQWR\ODHILFDFLDGHO6*6,

G  HOHVWDGRGHODVDFFLRQHVSUHYHQWLYDVRFRUUHFWLYDV

H  ODVYXOQHUDELOLGDGHVRDPHQD]DVQRDERUGDGDVDGHFXDGDPHQWHHQODHYDOXDFLyQGHULHVJRVSUHYLD

I  ORVUHVXOWDGRVGHODVPHGLFLRQHVGHODHILFDFLD

J  ODVDFFLRQHVGHVHJXLPLHQWRGHODVUHYLVLRQHVDQWHULRUHV

K  FXDOTXLHUFDPELRTXHSXGLHUDDIHFWDUDO6*6,\

L  ODVUHFRPHQGDFLRQHVGHPHMRUD

 5HVXOWDGRVGHODUHYLVLyQ
/RVUHVXOWDGRVGHODUHYLVLyQUHDOL]DGDSRUOD'LUHFFLyQGHEHQLQFOXLUFXDOTXLHUGHFLVLyQ\DFFLyQUHODWLYDVD

D  ODPHMRUDGHODHILFDFLDGHO6*6,

E  ODDFWXDOL]DFLyQGHODHYDOXDFLyQGHULHVJRV\GHOSODQGHWUDWDPLHQWRGHULHVJRV

F  OD PRGLILFDFLyQ GH ORV SURFHGLPLHQWRV \ FRQWUROHV TXH DIHFWDQ D OD VHJXULGDG GH OD LQIRUPDFLyQ FXDQGR VHD
QHFHVDULRSDUDUHVSRQGHUDORVHYHQWRVLQWHUQRVRH[WHUQRVTXHSXHGHQDIHFWDUDO6*6,LQFOX\HQGRORVFDPELRVHQ

  ORVUHTXLVLWRVGHOQHJRFLR

  ORVUHTXLVLWRVGHVHJXULGDG

  ORVSURFHVRVGHQHJRFLRTXHDIHFWDQDORVUHTXLVLWRVGHQHJRFLRH[LVWHQWHV

  ORVUHTXLVLWRVOHJDOHVRUHJODPHQWDULRV

  ODVREOLJDFLRQHVFRQWUDFWXDOHV\

  ORVQLYHOHVGHULHVJR\RORVFULWHULRVGHDFHSWDFLyQGHORVULHVJRV

G  ODVQHFHVLGDGHVGHUHFXUVRV

H  ODPHMRUDHQHOPRGRGHPHGLUODHILFDFLDGHORVFRQWUROHV
  ,62,(&

 0(-25$'(/6*6,

 0HMRUDFRQWLQXD
/DRUJDQL]DFLyQGHEHPHMRUDUGHPDQHUDFRQWLQXDODHILFDFLDGHO6*6,PHGLDQWHHOXVRGHODSROtWLFD\GHORVREMHWLYRV
GHVHJXULGDGGHODLQIRUPDFLyQGHORVUHVXOWDGRVGHODVDXGLWRUtDVGHODQiOLVLVGHODPRQLWRUL]DFLyQGHHYHQWRVGHODV
DFFLRQHVFRUUHFWLYDV\SUHYHQWLYDV\GHODVUHYLVLRQHVGHOD'LUHFFLyQ YpDVH 

 $FFLyQFRUUHFWLYD
/DRUJDQL]DFLyQGHEHUHDOL]DUDFFLRQHVSDUDHOLPLQDUODFDXVDGHODVQRFRQIRUPLGDGHVFRQORVUHTXLVLWRVGHO6*6,DILQ
GHHYLWDUTXHYXHOYDQDSURGXFLUVH(OSURFHGLPLHQWRGRFXPHQWDGRSDUDODVDFFLRQHVFRUUHFWLYDVGHEHGHILQLUORVUHTXL
VLWRVSDUD

D  LGHQWLILFDUODVQRFRQIRUPLGDGHV

E  GHWHUPLQDUODVFDXVDVGHODVQRFRQIRUPLGDGHV

F  HYDOXDUODQHFHVLGDGGHDGRSWDUDFFLRQHVSDUDDVHJXUDUVHGHTXHODVQRFRQIRUPLGDGHVQRYXHOYDQDSURGXFLUVH

G  GHWHUPLQDUHLPSODQWDUODVDFFLRQHVFRUUHFWLYDVQHFHVDULDV

H  UHJLVWUDUORVUHVXOWDGRVGHODVDFFLRQHVUHDOL]DGDV YpDVH \

I  UHYLVDUODVDFFLRQHVFRUUHFWLYDVUHDOL]DGDV

 $FFLyQSUHYHQWLYD
/DRUJDQL]DFLyQGHEHGHWHUPLQDUODVDFFLRQHVQHFHVDULDVSDUDHOLPLQDUODFDXVDGHODVSRVLEOHVQRFRQIRUPLGDGHVFRQ
ORV UHTXLVLWRV GHO 6*6, SDUD HYLWDU TXH pVWDV YXHOYDQ D SURGXFLUVH /DV DFFLRQHV SUHYHQWLYDV DGRSWDGDV GHEHQ VHU
DSURSLDGDV HQ UHODFLyQ D ORV HIHFWRV GH ORV SUREOHPDV SRWHQFLDOHV (O SURFHGLPLHQWR GRFXPHQWDGR SDUD ODV DFFLRQHV
SUHYHQWLYDVGHEHGHILQLUORVUHTXLVLWRVSDUD

D  LGHQWLILFDUODVSRVLEOHVQRFRQIRUPLGDGHV\VXVFDXVDV

E  HYDOXDUODQHFHVLGDGGHDGRSWDUDFFLRQHVSDUDSUHYHQLUODRFXUUHQFLDGHQRFRQIRUPLGDGHV

F  GHWHUPLQDUHLPSOHPHQWDUODVDFFLRQHVSUHYHQWLYDVQHFHVDULDV

G  UHJLVWUDUORVUHVXOWDGRVGHODVDFFLRQHVDGRSWDGDV YpDVH \

H  UHYLVDUODVDFFLRQHVSUHYHQWLYDVDGRSWDGDV

/DRUJDQL]DFLyQGHEHLGHQWLILFDUORVFDPELRVHQORVULHVJRVDVtFRPRORVUHTXLVLWRVGHODVDFFLRQHVSUHYHQWLYDVFHQ
WUDQGRODDWHQFLyQHQORVULHVJRVTXHKD\DQVXIULGRFDPELRVVLJQLILFDWLYRV

/DSULRULGDGGHODVDFFLRQHVSUHYHQWLYDVGHEHGHWHUPLQDUVHEDViQGRVHHQORVUHVXOWDGRVGHODHYDOXDFLyQGHULHVJRV

127$ $FWXDUSDUDSUHYHQLUODVQRFRQIRUPLGDGHVVXHOHVHUPiVUHQWDEOHTXHUHDOL]DUDFFLRQHVFRUUHFWLYDV

,62,(& 

$1(;2$ 1RUPDWLYR 

2%-(7,926'(&21752/<&21752/(6



/RVREMHWLYRVGHFRQWURO\ORVFRQWUROHVLQGLFDGRVHQODWDEOD$WLHQHQFRUUHVSRQGHQFLDGLUHFWDFRQORVHVWDEOHFLGRVHQ
OD1RUPD,62,(&FDStWXORVD/DVOLVWDVGHODWDEOD$QRVRQH[KDXVWLYDV\XQDRUJDQL]DFLyQSXHGH
FRQVLGHUDUTXHVRQQHFHVDULRVREMHWLYRVGHFRQWURO\FRQWUROHVDGLFLRQDOHV/RVREMHWLYRVGHFRQWURO\ORVFRQWUROHVTXH
ILJXUDQHQHVWDVWDEODVGHEHQVHUVHOHFFLRQDGRVFRPRSDUWHGHOSURFHVRGHO6*6,HVSHFLILFDGRHQHODSDUWDGR

/RVFDStWXORVDGHOD1RUPD,62,(&RIUHFHQDVHVRUDPLHQWRSDUDODLPSODQWDFLyQMXQWRFRQXQDJXtD
GHEXHQDVSUiFWLFDVGHDSR\RDORVFRQWUROHVHVSHFLILFDGRVHQORVSXQWRV$KDVWD$


7DEOD$2EMHWLYRVGHFRQWURO\FRQWUROHV

$3ROtWLFDGHVHJXULGDG
$3ROtWLFDGHVHJXULGDGGHODLQIRUPDFLyQ
2EMHWLYR3URSRUFLRQDULQGLFDFLRQHVSDUDODJHVWLyQ\VRSRUWHGHODVHJXULGDGGHODLQIRUPDFLyQGHDFXHUGRFRQORV
UHTXLVLWRVHPSUHVDULDOHV\FRQODOHJLVODFLyQ\ODVQRUPDWLYDVDSOLFDEOHV
&RQWURO/D'LUHFFLyQGHEHDSUREDUXQGRFXPHQWRGHSR
'RFXPHQWRGHSROtWLFDGHVHJXULGDGGHOD
$ OtWLFDGHVHJXULGDGGHODLQIRUPDFLyQSXEOLFDUOR\GLVWUL
LQIRUPDFLyQ
EXLUORDWRGRVORVHPSOHDGRV\WHUFHURVDIHFWDGRV
&RQWURO/DSROtWLFDGHVHJXULGDGGHODLQIRUPDFLyQGHEH
5HYLVLyQGHODSROtWLFDGHVHJXULGDGHOD UHYLVDUVHDLQWHUYDORVSODQLILFDGRVRVLHPSUHTXHVHSUR
$
LQIRUPDFLyQ GX]FDQFDPELRVVLJQLILFDWLYRVDILQGHDVHJXUDUTXHVH
PDQWHQJDVXLGRQHLGDGDGHFXDFLyQ\HILFDFLD
$$VSHFWRVRUJDQL]DWLYRVGHODVHJXULGDGGHODLQIRUPDFLyQ
$2UJDQL]DFLyQLQWHUQD
2EMHWLYR*HVWLRQDUODVHJXULGDGGHODLQIRUPDFLyQGHQWURGHODRUJDQL]DFLyQ
&RQWURO/D'LUHFFLyQGHEHSUHVWDUXQDSR\RDFWLYRDOD
VHJXULGDGGHQWURGHODRUJDQL]DFLyQDWUDYpVGHGLUHFWULFHV
&RPLWpGHJHVWLyQGHVHJXULGDGGHOD
$ FODUDVXQFRPSURPLVRGHPRVWUDGRDVLJQDFLRQHVH[SOtFLWDV
LQIRUPDFLyQ
\HOUHFRQRFLPLHQWRGHODVUHVSRQVDELOLGDGHVGHVHJXULGDG
GHODLQIRUPDFLyQ
&RQWURO/DVDFWLYLGDGHVUHODWLYDVDODVHJXULGDGGHODLQ
&RRUGLQDFLyQGHODVHJXULGDGGHOD IRUPDFLyQGHEHQVHUFRRUGLQDGDVHQWUHORVUHSUHVHQWDQWHV
$
LQIRUPDFLyQ GHODVGLIHUHQWHVSDUWHVGHODRUJDQL]DFLyQFRQVXVFRUUHV
SRQGLHQWHVUROHV\IXQFLRQHVGHWUDEDMR
$ $VLJQDFLyQGHUHVSRQVDELOLGDGHVUHODWLYDVD &RQWURO'HEHQGHILQLUVHFODUDPHQWHWRGDVODVUHVSRQVDEL
ODVHJXULGDGGHODLQIRUPDFLyQ OLGDGHVUHODWLYDVDODVHJXULGDGGHODLQIRUPDFLyQ
&RQWURO3DUDFDGDQXHYRUHFXUVRGHSURFHVDGRGHODLQ
3URFHVRGHDXWRUL]DFLyQGHUHFXUVRVSDUDHO
$ IRUPDFLyQGHEHGHILQLUVHHLPSODQWDUVHXQSURFHVRGH
SURFHVDGRGHODLQIRUPDFLyQ
DXWRUL]DFLyQSRUSDUWHGHOD'LUHFFLyQ
&RQWURO'HEHGHWHUPLQDUVH\UHYLVDUVHSHULyGLFDPHQWHOD
QHFHVLGDGGHHVWDEOHFHUDFXHUGRVGHFRQILGHQFLDOLGDGRQR
$ $FXHUGRVGHFRQILGHQFLDOLGDG
UHYHODFLyQTXHUHIOHMHQODVQHFHVLGDGHVGHODRUJDQL]DFLyQ
SDUDODSURWHFFLyQGHODLQIRUPDFLyQ
  ,62,(&

$ &RQWURO'HEHQPDQWHQHUVHORVFRQWDFWRVDGHFXDGRVFRQ
&RQWDFWRFRQODVDXWRULGDGHV
ODVDXWRULGDGHVFRPSHWHQWHV
&RQWURO'HEHQPDQWHQHUVHORVFRQWDFWRVDSURSLDGRVFRQ
$ &RQWDFWRFRQJUXSRVGHHVSHFLDOLQWHUpV JUXSRVGHLQWHUpVHVSHFLDOXRWURVIRURV\DVRFLDFLRQHV
SURIHVLRQDOHVHVSHFLDOL]DGRVHQVHJXULGDG
&RQWURO(OHQIRTXHGHODRUJDQL]DFLyQSDUDODJHVWLyQGHOD
VHJXULGDGGHODLQIRUPDFLyQ\VXLPSODQWDFLyQ HVGHFLU
ORVREMHWLYRVGHFRQWUROORVFRQWUROHVODVSROtWLFDVORV
5HYLVLyQLQGHSHQGLHQWHGHODVHJXULGDGGH
$ SURFHVRV\ORVSURFHGLPLHQWRVSDUDODVHJXULGDGGHOD
ODLQIRUPDFLyQ
LQIRUPDFLyQ GHEHVRPHWHUVHDXQDUHYLVLyQLQGHSHQGLHQWH
DLQWHUYDORVSODQLILFDGRVRVLHPSUHTXHVHSURGX]FDQ
FDPELRVVLJQLILFDWLYRVHQODLPSODQWDFLyQGHODVHJXULGDG
$7HUFHURV
2EMHWLYR0DQWHQHUODVHJXULGDGGHODLQIRUPDFLyQGHODRUJDQL]DFLyQ\GHORVGLVSRVLWLYRVGHSURFHVDGRGHOD
LQIRUPDFLyQTXHVRQREMHWRGHDFFHVRWUDWDPLHQWRFRPXQLFDFLyQRJHVWLyQSRUWHUFHURV
&RQWURO'HEHQLGHQWLILFDUVHORVULHVJRVSDUDODLQIRUPD
FLyQ\SDUDORVGLVSRVLWLYRVGHSURFHVDGRGHODLQIRUPDFLyQ
,GHQWLILFDFLyQGHORVULHVJRVGHULYDGRVGHO
$ GHODRUJDQL]DFLyQGHULYDGRVGHORVSURFHVRVGHQHJRFLR
DFFHVRGHWHUFHURV
TXHUHTXLHUDQGHWHUFHURVHLPSODQWDUORVFRQWUROHV
DSURSLDGRVDQWHVGHRWRUJDUHODFFHVR
&RQWURO$QWHVGHRWRUJDUDFFHVRDORVFOLHQWHVDORVDFWLYRV
7UDWDPLHQWRGHODVHJXULGDGHQODUHODFLyQ
$ RDODLQIRUPDFLyQGHODRUJDQL]DFLyQGHEHQWUDWDUVHWRGRV
FRQORVFOLHQWHV
ORVUHTXLVLWRVGHVHJXULGDGLGHQWLILFDGRV
&RQWURO/RVDFXHUGRVFRQWHUFHURVTXHFRQOOHYHQDFFHVR
WUDWDPLHQWRFRPXQLFDFLyQRJHVWLyQELHQGHOD
LQIRUPDFLyQGHODRUJDQL]DFLyQRGHORVUHFXUVRVGH
7UDWDPLHQWRGHODVHJXULGDGHQFRQWUDWRV
$ WUDWDPLHQWRGHODLQIRUPDFLyQRELHQODLQFRUSRUDFLyQGH
FRQWHUFHURV
SURGXFWRVRVHUYLFLRVDORVUHFXUVRVGHWUDWDPLHQWRGHOD
LQIRUPDFLyQGHEHQFXEULUWRGRVORVUHTXLVLWRVGHVHJXULGDG
SHUWLQHQWHV
$*HVWLyQGHDFWLYRV
$5HVSRQVDELOLGDGVREUHORVDFWLYRV
2EMHWLYR&RQVHJXLU\PDQWHQHUXQDSURWHFFLyQDGHFXDGDGHORVDFWLYRVGHODRUJDQL]DFLyQ
&RQWURO7RGRVORVDFWLYRVGHEHQHVWDUFODUDPHQWHLGHQWLIL
$ ,QYHQWDULRGHDFWLYRV FDGRV\GHEHHODERUDUVH\PDQWHQHUVHXQLQYHQWDULRGH
WRGRVORVDFWLYRVLPSRUWDQWHV
&RQWURO7RGDODLQIRUPDFLyQ\DFWLYRVDVRFLDGRVFRQORV
UHFXUVRVSDUDHOWUDWDPLHQWRGHODLQIRUPDFLyQGHEHQWHQHU
$ 3URSLHGDGGHORVDFWLYRV
XQSURSLHWDULR TXHIRUPHSDUWHGHODRUJDQL]DFLyQ\KD\D
VLGRGHVLJQDGRFRPRSURSLHWDULR
&RQWURO6HGHEHQLGHQWLILFDUGRFXPHQWDUHLPSODQWDUODV
UHJODVSDUDHOXVRDFHSWDEOHGHODLQIRUPDFLyQ\ORVDFWLYRV
$ 8VRDFHSWDEOHGHORVDFWLYRV
DVRFLDGRVFRQORVUHFXUVRVSDUDHOSURFHVDGRGHOD
LQIRUPDFLyQ

 
  ([SOLFDFLyQ(OWpUPLQRSURSLHWDULRVHUHILHUHDODSHUVRQDRHQWLGDGDODTXHVHOHKDDVLJQDGRODUHVSRQVDELOLGDGDGPLQLVWUDWLYDGHOFRQWUROGH
ODSURGXFFLyQGHVDUUROORPDQWHQLPLHQWRXVR\VHJXULGDGGHORVDFWLYRV(OWpUPLQRSURSLHWDULRQRVLJQLILFDTXHODSHUVRQDWHQJDUHDOPHQWH
DOJ~QGHUHFKRGHSURSLHGDGVREUHHODFWLYR
,62,(& 

$&ODVLILFDFLyQGHODLQIRUPDFLyQ
2EMHWLYR$VHJXUDUTXHODLQIRUPDFLyQUHFLEHXQQLYHODGHFXDGRGHSURWHFFLyQ
&RQWURO/DLQIRUPDFLyQGHEHVHUFODVLILFDGDVHJ~QVX
$ 'LUHFWULFHVGHFODVLILFDFLyQ YDORUORVUHTXLVLWRVOHJDOHVODVHQVLELOLGDG\ODFULWLFLGDG
SDUDODRUJDQL]DFLyQ
&RQWURO6HGHEHGHVDUUROODUHLPSODQWDUXQFRQMXQWR
DGHFXDGRGHSURFHGLPLHQWRVSDUDHWLTXHWDU\PDQHMDUOD
$ (WLTXHWDGR\PDQLSXODGRGHODLQIRUPDFLyQ
LQIRUPDFLyQGHDFXHUGRFRQHOHVTXHPDGHFODVLILFDFLyQ
DGRSWDGRSRUODRUJDQL]DFLyQ
$6HJXULGDGOLJDGDDORVUHFXUVRVKXPDQRV
$$QWHVGHOHPSOHR 
2EMHWLYR$VHJXUDUTXHORVHPSOHDGRVORVFRQWUDWLVWDV\ORVWHUFHURVHQWLHQGHQVXVUHVSRQVDELOLGDGHV\VRQDGHFXDGRV
SDUDOOHYDUDFDERODVIXQFLRQHVTXHOHVFRUUHVSRQGHQDVtFRPRSDUDUHGXFLUHOULHVJRGHURERIUDXGHRGHXVR
LQGHELGRGHORVUHFXUVRV
&RQWURO/DVIXQFLRQHV\UHVSRQVDELOLGDGHVGHVHJXULGDGGH
ORVHPSOHDGRVFRQWUDWLVWDV\WHUFHURVVHGHEHQGHILQLU\
$ )XQFLRQHV\UHVSRQVDELOLGDGHV
GRFXPHQWDUGHDFXHUGRFRQODSROtWLFDGHVHJXULGDGGHOD
LQIRUPDFLyQGHODRUJDQL]DFLyQ
&RQWURO/DFRPSUREDFLyQGHORVDQWHFHGHQWHVGHWRGRVORV
FDQGLGDWRVDOSXHVWRGHWUDEDMRGHORVFRQWUDWLVWDVRGHORV
WHUFHURVVHGHEHOOHYDUDFDERGHDFXHUGRFRQODVOHJLVOD
$ ,QYHVWLJDFLyQGHDQWHFHGHQWHV FLRQHVQRUPDWLYDV\FyGLJRVpWLFRVTXHVHDQGHDSOLFDFLyQ
\GHXQDPDQHUDSURSRUFLRQDGDDORVUHTXLVLWRVGHO
QHJRFLRODFODVLILFDFLyQGHODLQIRUPDFLyQDODTXHVH
DFFHGH\ORVULHVJRVFRQVLGHUDGRV
&RQWURO&RPRSDUWHGHVXVREOLJDFLRQHVFRQWUDFWXDOHVORV
HPSOHDGRVORVFRQWUDWLVWDV\ORVWHUFHURVGHEHQDFHSWDU\
$ 7pUPLQRV\FRQGLFLRQHVGHFRQWUDWDFLyQ ILUPDUORVWpUPLQRV\FRQGLFLRQHVGHVXFRQWUDWRGHWUDEDMR
TXHGHEHHVWDEOHFHUVXVUHVSRQVDELOLGDGHV\ODVGHODRU
JDQL]DFLyQHQORUHODWLYRDVHJXULGDGGHODLQIRUPDFLyQ
$'XUDQWHHOHPSOHR
2EMHWLYR$VHJXUDUTXHWRGRVORVHPSOHDGRVFRQWUDWLVWDV\WHUFHURVVRQFRQVFLHQWHVGHODVDPHQD]DV\SUREOHPDVTXH
DIHFWDQDODVHJXULGDGGHODLQIRUPDFLyQ\GHVXVUHVSRQVDELOLGDGHV\REOLJDFLRQHV\GHTXHHVWiQSUHSDUDGRVSDUD
FXPSOLUODSROtWLFDGHVHJXULGDGGHODRUJDQL]DFLyQHQHOGHVDUUROORKDELWXDOGHVXWUDEDMR\SDUDUHGXFLUHOULHVJRGH
HUURUKXPDQR
&RQWURO/D'LUHFFLyQGHEHH[LJLUDORVHPSOHDGRVFRQ
WUDWLVWDV\WHUFHURVTXHDSOLTXHQODVHJXULGDGGHDFXHUGR
$ 5HVSRQVDELOLGDGHVGHOD'LUHFFLyQ
FRQODVSROtWLFDV\SURFHGLPLHQWRVHVWDEOHFLGRVHQOD
RUJDQL]DFLyQ
&RQWURO7RGRVORVHPSOHDGRVGHODRUJDQL]DFLyQ\FXDQGR
FRUUHVSRQGDORVFRQWUDWLVWDV\WHUFHURVGHEHQUHFLELUXQD
&RQFLHQFLDFLyQIRUPDFLyQ\FDSDFLWDFLyQ
$ DGHFXDGDFRQFLHQFLDFLyQ\IRUPDFLyQFRQDFWXDOL]DFLRQHV
HQVHJXULGDGGHODLQIRUPDFLyQ
SHULyGLFDVVREUHODVSROtWLFDV\SURFHGLPLHQWRVGHODRUJD
QL]DFLyQVHJ~QFRUUHVSRQGDFRQVXSXHVWRGHWUDEDMR

 
  ([SOLFDFLyQ/DSDODEUDHPSOHRXWLOL]DGDHQHVWHGRFXPHQWRKDFHUHIHUHQFLDDGLVWLQWDVVLWXDFLRQHVFRQWUDWDFLyQGHSHUVRQDO WHPSRUDORGHODU
JDGXUDFLyQ QRPEUDPLHQWRGHFDUJRVFDPELRGHFDUJRVDVLJQDFLyQGHFRQWUDWLVWDV\WHUPLQDFLyQGHFXDOTXLHUDGHHVWRVDFXHUGRVRFRPSUR
PLVRV
  ,62,(&

&RQWURO'HEHH[LVWLUXQSURFHVRGLVFLSOLQDULRIRUPDOSDUD
$ 3URFHVRGLVFLSOLQDULR ORVHPSOHDGRVTXHKD\DQSURYRFDGRDOJXQDYLRODFLyQGHOD
VHJXULGDG
$&HVHGHOHPSOHRRFDPELRGHSXHVWRGHWUDEDMR
2EMHWLYR$VHJXUDUTXHORVHPSOHDGRVFRQWUDWLVWDV\WHUFHURVDEDQGRQDQODRUJDQL]DFLyQRFDPELDQGHSXHVWRGH
WUDEDMRGHXQDPDQHUDRUGHQDGD
&RQWURO/DVUHVSRQVDELOLGDGHVSDUDSURFHGHUDOFHVHHQHO
$ 5HVSRQVDELOLGDGGHOFHVHRFDPELR HPSOHRRDOFDPELRGHSXHVWRGHWUDEDMRGHEHQHVWDU
FODUDPHQWHGHILQLGDV\DVLJQDGDV
&RQWURO7RGRVORVHPSOHDGRVFRQWUDWLVWDV\WHUFHURVGH
$ 'HYROXFLyQGHDFWLYRV EHQGHYROYHUWRGRVDFWLYRVGHODRUJDQL]DFLyQTXHHVWpQHQ
VXSRGHUDOILQDOL]DUVXHPSOHRFRQWUDWRRDFXHUGR
&RQWURO/RVGHUHFKRVGHDFFHVRDODLQIRUPDFLyQ\DORV
UHFXUVRVGHWUDWDPLHQWRGHODLQIRUPDFLyQGHWRGRVORV
$ 5HWLUDGDGHORVGHUHFKRVGHDFFHVR HPSOHDGRVFRQWUDWLVWDV\WHUFHURVGHEHQVHUUHWLUDGRVDOD
ILQDOL]DFLyQGHOHPSOHRGHOFRQWUDWRRGHODFXHUGRRELHQ
GHEHQVHUDGDSWDGRVDORVFDPELRVSURGXFLGRV
$6HJXULGDGItVLFD\DPELHQWDO
$UHDVVHJXUDV
2EMHWLYR3UHYHQLUORVDFFHVRVItVLFRVQRDXWRUL]DGRVORVGDxRV\ODVLQWURPLVLRQHVHQODVLQVWDODFLRQHV\HQOD
LQIRUPDFLyQGHODRUJDQL]DFLyQ
&RQWURO6HGHEHQXWLOL]DUSHUtPHWURVGHVHJXULGDG
EDUUHUDVPXURVSXHUWDVGHHQWUDGDFRQFRQWURODWUDYpVGH
$ 3HUtPHWURGHVHJXULGDGItVLFD WDUMHWDRSXHVWRVGHFRQWURO SDUDSURWHJHUODViUHDVTXH
FRQWLHQHQODLQIRUPDFLyQ\ORVUHFXUVRVGHWUDWDPLHQWRGH
ODLQIRUPDFLyQ
&RQWURO/DViUHDVVHJXUDVGHEHQHVWDUSURWHJLGDVSRU
$ &RQWUROHVItVLFRVGHHQWUDGD FRQWUROHVGHHQWUDGDDGHFXDGRVSDUDDVHJXUDUTXH
~QLFDPHQWHVHSHUPLWHHODFFHVRDOSHUVRQDODXWRUL]DGR
6HJXULGDGGHRILFLQDVGHVSDFKRVH &RQWURO6HGHEHQGLVHxDU\DSOLFDUODVPHGLGDVGHVH
$
LQVWDODFLRQHV JXULGDGItVLFDSDUDODVRILFLQDVGHVSDFKRVHLQVWDODFLRQHV
&RQWURO6HGHEHGLVHxDU\DSOLFDUXQDSURWHFFLyQItVLFD
3URWHFFLyQFRQWUDODVDPHQD]DVH[WHUQDV\ FRQWUDHOGDxRFDXVDGRSRUIXHJRLQXQGDFLyQWHUUHPRWR
$
GHRULJHQDPELHQWDO H[SORVLyQUHYXHOWDVVRFLDOHV\RWUDVIRUPDVGHGHVDVWUHV
QDWXUDOHVRSURYRFDGRVSRUHOKRPEUH
&RQWURO6HGHEHQGLVHxDUHLPSODQWDUXQDSURWHFFLyQItVLFD
$ 7UDEDMRHQiUHDVVHJXUDV
\XQDVHULHGHGLUHFWULFHVSDUDWUDEDMDUHQODViUHDVVHJXUDV
&RQWURO'HEHQFRQWURODUVHORVSXQWRVGHDFFHVRWDOHV
FRPRODViUHDVGHFDUJD\GHVFDUJD\RWURVSXQWRVDWUDYpV
UHDVGHDFFHVRS~EOLFR\GHFDUJD\ GHORVTXHSHUVRQDOQRDXWRUL]DGRSXHGHDFFHGHUDODV
$
GHVFDUJD LQVWDODFLRQHV\VLHVSRVLEOHGLFKRVSXQWRVVHGHEHQDLVODU
GHORVUHFXUVRVGHWUDWDPLHQWRGHODLQIRUPDFLyQSDUDHYLWDU
ORVDFFHVRVQRDXWRUL]DGRV
$6HJXULGDGGHORVHTXLSRV
2EMHWLYR(YLWDUSpUGLGDVGDxRVURERVRFLUFXQVWDQFLDVTXHSRQJDQHQSHOLJURORVDFWLYRVRTXHSXHGDQSURYRFDUOD
LQWHUUXSFLyQGHODVDFWLYLGDGHVGHODRUJDQL]DFLyQ
,62,(& 

&RQWURO/RVHTXLSRVGHEHQVLWXDUVHRSURWHJHUVHGHIRUPD
TXHVHUHGX]FDQORVULHVJRVGHULYDGRVGHODVDPHQD]DV\
$ (PSOD]DPLHQWR\SURWHFFLyQGHHTXLSRV
SHOLJURVGHRULJHQDPELHQWDODVtFRPRODVRFDVLRQHVGHTXH
VHSURGX]FDQDFFHVRVQRDXWRUL]DGRV
&RQWURO/RVHTXLSRVGHEHQHVWDUSURWHJLGRVFRQWUDIDOORV
$ ,QVWDODFLRQHVGHVXPLQLVWUR GHDOLPHQWDFLyQ\RWUDVDQRPDOtDVFDXVDGDVSRUIDOORVHQ
ODVLQVWDODFLRQHVGHVXPLQLVWUR
&RQWURO(OFDEOHDGRHOpFWULFR\GHWHOHFRPXQLFDFLRQHVTXH
$ 6HJXULGDGGHOFDEOHDGR WUDQVPLWHGDWRVRTXHGDVRSRUWHDORVVHUYLFLRVGHLQIRUPD
FLyQGHEHHVWDUSURWHJLGRIUHQWHDLQWHUFHSWDFLRQHVRGDxRV
&RQWURO/RVHTXLSRVGHEHQUHFLELUXQPDQWHQLPLHQWR
$ 0DQWHQLPLHQWRGHORVHTXLSRV
FRUUHFWRTXHDVHJXUHVXGLVSRQLELOLGDG\VXLQWHJULGDG
&RQWURO7HQLHQGRHQFXHQWDORVGLIHUHQWHVULHVJRVTXH
6HJXULGDGGHORVHTXLSRVIXHUDGHODV FRQOOHYDWUDEDMDUIXHUDGHODVLQVWDODFLRQHVGHODRUJDQL]D
$
LQVWDODFLRQHV FLyQGHEHQDSOLFDUVHPHGLGDVGHVHJXULGDGDORVHTXLSRV
VLWXDGRVIXHUDGLFKDVLQVWDODFLRQHV
&RQWURO7RGRVORVVRSRUWHVGHDOPDFHQDPLHQWRGHEHQVHU
FRPSUREDGRVSDUDFRQILUPDUTXHWRGRGDWRVHQVLEOH\WRGDV
$ 5HXWLOL]DFLyQRUHWLUDGDVHJXUDGHHTXLSRV
ODVOLFHQFLDVGHVRIWZDUHVHKDQHOLPLQDGRRELHQVHKDQ
UHFDUJDGRGHPDQHUDVHJXUDDQWHVGHVXUHWLUDGD
&RQWURO/RVHTXLSRVODLQIRUPDFLyQRHOVRIWZDUHQR
5HWLUDGDGHPDWHULDOHVSURSLHGDGGHOD
$ GHEHQVDFDUVHGHODVLQVWDODFLRQHVVLQXQDDXWRUL]DFLyQ
HPSUHVD
SUHYLD
$*HVWLyQGHFRPXQLFDFLRQHV\RSHUDFLRQHV
$5HVSRQVDELOLGDGHV\SURFHGLPLHQWRVGHRSHUDFLyQ
2EMHWLYR$VHJXUDUHOIXQFLRQDPLHQWRFRUUHFWR\VHJXURGHORVUHFXUVRVGHSURFHVDPLHQWRGHODLQIRUPDFLyQ
&RQWURO'HEHQGRFXPHQWDUVH\PDQWHQHUVHORVSURFHGL
'RFXPHQWDFLyQGHORVSURFHGLPLHQWRVGH
$ PLHQWRVGHRSHUDFLyQ\SRQHUVHDGLVSRVLFLyQGHWRGRVORV
RSHUDFLyQ
XVXDULRVTXHORVQHFHVLWHQ
&RQWURO'HEHQFRQWURODUVHORVFDPELRVHQORVUHFXUVRV\
$ *HVWLyQGHFDPELRV
ORVVLVWHPDVGHWUDWDPLHQWRGHODLQIRUPDFLyQ
&RQWURO/DVWDUHDV\iUHDVGHUHVSRQVDELOLGDGGHEHQ
VHJUHJDUVHSDUDUHGXFLUODSRVLELOLGDGGHTXHVHSURGX]FDQ
$ 6HJUHJDFLyQGHWDUHDV
PRGLILFDFLRQHVQRDXWRUL]DGDVRQRLQWHQFLRQDGDVRXVRV
LQGHELGRVGHORVDFWLYRVGHODRUJDQL]DFLyQ
&RQWURO'HEHQVHSDUDUVHORVUHFXUVRVGHGHVDUUROORGH
6HSDUDFLyQGHORVUHFXUVRVGHGHVDUUROOR
$ SUXHEDV\GHRSHUDFLyQSDUDUHGXFLUORVULHVJRVGHDFFHVR
SUXHED\RSHUDFLyQ
QRDXWRUL]DGRRORVFDPELRVHQHOVLVWHPDRSHUDWLYR
$*HVWLyQGHODSURYLVLyQGHVHUYLFLRVSRUWHUFHURV
2EMHWLYR,PSODQWDU\PDQWHQHUHOQLYHODSURSLDGRGHVHJXULGDGGHODLQIRUPDFLyQHQODSURYLVLyQGHOVHUYLFLRHQFRQ
VRQDQFLDFRQORVDFXHUGRVGHSURYLVLyQGHVHUYLFLRVSRUWHUFHURV
&RQWURO6HGHEHFRPSUREDUTXHORVFRQWUROHVGHVHJXUL
GDGODVGHILQLFLRQHVGHORVVHUYLFLRV\ORVQLYHOHVGHSURYL
$ 3URYLVLyQGHVHUYLFLRV VLyQLQFOXLGRVHQHODFXHUGRGHSURYLVLyQGHVHUYLFLRVSRU
WHUFHURVKDQVLGRLPSODQWDGRVSXHVWRVHQRSHUDFLyQ\VRQ
PDQWHQLGRVSRUSDUWHGHXQWHUFHUR
  ,62,(&

&RQWURO/RVVHUYLFLRVLQIRUPHV\UHJLVWURVSURSRUFLRQD
6XSHUYLVLyQ\UHYLVLyQGHORVVHUYLFLRV GRVSRUXQWHUFHURGHEHQVHUREMHWRGHVXSHUYLVLyQ\
$
SUHVWDGRVSRUWHUFHURV UHYLVLyQSHULyGLFDV\WDPELpQGHEHQOOHYDUVHDFDER
DXGLWRULDVSHULyGLFDV
&RQWURO6HGHEHQJHVWLRQDUORVFDPELRVHQODSURYLVLyQGH
ORVVHUYLFLRVLQFOX\HQGRHOPDQWHQLPLHQWR\ODPHMRUDGH
*HVWLyQGHFDPELRVHQORVVHUYLFLRV ODVSROtWLFDVORVSURFHGLPLHQWRV\ORVFRQWUROHVGHVHJXUL
$
SUHVWDGRVSRUWHUFHURV GDGGHODLQIRUPDFLyQH[LVWHQWHVWHQLHQGRHQFXHQWDOD
FULWLFLGDGGHORVSURFHVRV\VLVWHPDVGHOQHJRFLRDIHFWDGRV
DVtFRPRODUHHYDOXDFLyQGHORVULHVJRV
$3ODQLILFDFLyQ\DFHSWDFLyQGHOVLVWHPD
2EMHWLYR0LQLPL]DUHOULHVJRGHIDOORVGHORVVLVWHPDV
&RQWURO/DXWLOL]DFLyQGHORVUHFXUVRVVHGHEHVXSHUYLVDU\
DMXVWDUDVtFRPRUHDOL]DUSUR\HFFLRQHVGHORVUHTXLVLWRV
$ *HVWLyQGHFDSDFLGDGHV
IXWXURVGHFDSDFLGDGSDUDJDUDQWL]DUHOFRPSRUWDPLHQWR
UHTXHULGRGHOVLVWHPD
&RQWURO6HGHEHQHVWDEOHFHUORVFULWHULRVSDUDODDFHSWD
FLyQGHQXHYRVVLVWHPDVGHLQIRUPDFLyQGHODVDFWXDOL]D
$ $FHSWDFLyQGHOVLVWHPD FLRQHV\GHQXHYDVYHUVLRQHVGHORVPLVPRV\VHGHEHQ
OOHYDUDFDERSUXHEDVDGHFXDGDVGHORVVLVWHPDVGXUDQWHHO
GHVDUUROOR\SUHYLDPHQWHDODDFHSWDFLyQ
$3URWHFFLyQFRQWUDFyGLJRPDOLFLRVR\GHVFDUJDEOH
2EMHWLYR3URWHJHUODLQWHJULGDGGHOVRIWZDUH\GHODLQIRUPDFLyQ
&RQWURO6HGHEHQLPSODQWDUORVFRQWUROHVGHGHWHFFLyQ
SUHYHQFLyQ\UHFXSHUDFLyQTXHVLUYDQFRPRSURWHFFLyQ
$ &RQWUROHVFRQWUDHOFyGLJRPDOLFLRVR
FRQWUDFyGLJRPDOLFLRVR\VHGHEHQLPSODQWDUSURFHGL
PLHQWRVDGHFXDGRVGHFRQFLHQFLDFLyQGHOXVXDULR
&RQWURO&XDQGRVHDXWRULFHHOXVRGHFyGLJRGHVFDUJDGR
HQHOFOLHQWH -DYD6FULSW9%6FULSWDSSOHWVGH-DYD
&RQWUROHVFRQWUDHOFyGLJRGHVFDUJDGRHQHO DSSOHWVFRQWUROHV$FWLYH;HWF ODFRQILJXUDFLyQGHEH
$
FOLHQWH JDUDQWL]DUTXHGLFKRFyGLJRDXWRUL]DGRIXQFLRQDGH
DFXHUGRFRQXQDSROtWLFDGHVHJXULGDGFODUDPHQWHGHILQLGD
\VHGHEHHYLWDUTXHVHHMHFXWHHOFyGLJRQRDXWRUL]DGR
$&RSLDVGHVHJXULGDG
2EMHWLYR0DQWHQHUODLQWHJULGDG\GLVSRQLELOLGDGGHODLQIRUPDFLyQ\GHORVUHFXUVRVGHWUDWDPLHQWRGHODLQIRUPDFLyQ
&RQWURO6HGHEHQUHDOL]DUFRSLDVGHVHJXULGDGGHODLQIRU
$ &RSLDVGHVHJXULGDGGHODLQIRUPDFLyQ PDFLyQ\GHOVRIWZDUH\VHGHEHQSUREDUSHULyGLFDPHQWH
FRQFRQIRUPHDODSROtWLFDGHFRSLDVGHVHJXULGDGDFRUGDGD
$*HVWLyQGHODVHJXULGDGGHODVUHGHV
2EMHWLYR$VHJXUDUODSURWHFFLyQGHODLQIRUPDFLyQHQODVUHGHV\ODSURWHFFLyQGHODLQIUDHVWUXFWXUDGHVRSRUWH
&RQWURO/DVUHGHVGHEHQHVWDUDGHFXDGDPHQWHJHVWLRQDGDV
\FRQWURODGDVSDUDTXHHVWpQSURWHJLGDVIUHQWHDSRVLEOHV
$ &RQWUROHVGHUHG DPHQD]DV\SDUDPDQWHQHUODVHJXULGDGGHORVVLVWHPDV\
GHODVDSOLFDFLRQHVTXHXWLOL]DQHVWDVUHGHVLQFOX\HQGROD
LQIRUPDFLyQHQWUiQVLWR
,62,(& 

&RQWURO6HGHEHQLGHQWLILFDUODVFDUDFWHUtVWLFDVGHVHJXUL
GDGORVQLYHOHVGHVHUYLFLR\ORVUHTXLVLWRVGHJHVWLyQGH
$ 6HJXULGDGGHORVVHUYLFLRVGHUHG WRGRVORVVHUYLFLRVGHUHG\VHGHEHQLQFOXLUHQWRGRDFXHU
GRGHVHUYLFLRVGHUHGWDQWRVLHVWRVVHUYLFLRVVHSUHVWDQ
GHQWURGHODRUJDQL]DFLyQFRPRVLVHVXEFRQWUDWDQ
$0DQLSXODFLyQGHORVVRSRUWHV
2EMHWLYR(YLWDUODUHYHODFLyQPRGLILFDFLyQUHWLUDGDRGHVWUXFFLyQQRDXWRUL]DGDGHORVDFWLYRV\ODLQWHUUXSFLyQGH
ODVDFWLYLGDGHVGHODRUJDQL]DFLyQ
&RQWURO6HGHEHQHVWDEOHFHUSURFHGLPLHQWRVSDUDOD
$ *HVWLyQGHVRSRUWHVH[WUDtEOHV
JHVWLyQGHORVVRSRUWHVH[WUDtEOHV
&RQWURO/RVVRSRUWHVGHEHQVHUUHWLUDGRVGHIRUPDVHJXUD
$ 5HWLUDGDGHVRSRUWHV FXDQGR\DQRYD\DQDVHUQHFHVDULRVPHGLDQWHORVSURFH
GLPLHQWRVIRUPDOHVHVWDEOHFLGRV
&RQWURO'HEHQHVWDEOHFHUVHSURFHGLPLHQWRVSDUDODPDQL
3URFHGLPLHQWRVGHPDQLSXODFLyQGHOD SXODFLyQ\HODOPDFHQDPLHQWRGHODLQIRUPDFLyQGHPRGR
$
LQIRUPDFLyQ TXHVHSURWHMDGLFKDLQIRUPDFLyQFRQWUDODUHYHODFLyQQR
DXWRUL]DGDRHOXVRLQGHELGR
&RQWURO/DGRFXPHQWDFLyQGHOVLVWHPDGHEHHVWDU
$ 6HJXULGDGGHODGRFXPHQWDFLyQGHOVLVWHPD
SURWHJLGDFRQWUDDFFHVRVQRDXWRUL]DGRV
$,QWHUFDPELRGHLQIRUPDFLyQ
2EMHWLYR0DQWHQHUODVHJXULGDGGHODLQIRUPDFLyQ\GHOVRIWZDUHLQWHUFDPELDGRVGHQWURGHXQDRUJDQL]DFLyQ\FRQXQ
WHUFHUR
&RQWURO'HEHQHVWDEOHFHUVHSROtWLFDVSURFHGLPLHQWRV\
3ROtWLFDV\SURFHGLPLHQWRVGHLQWHUFDPELR FRQWUROHVIRUPDOHVTXHSURWHMDQHOLQWHUFDPELRGHLQIRU
$
GHLQIRUPDFLyQ PDFLyQPHGLDQWHHOXVRGHWRGRWLSRGHUHFXUVRVGH
FRPXQLFDFLyQ
&RQWURO'HEHQHVWDEOHFHUVHDFXHUGRVSDUDHOLQWHUFDPELR
$ $FXHUGRVGHLQWHUFDPELR GHLQIRUPDFLyQ\GHOVRIWZDUHHQWUHODRUJDQL]DFLyQ\ORV
WHUFHURV
&RQWURO'XUDQWHHOWUDQVSRUWHIXHUDGHORVOtPLWHVItVLFRV
GHODRUJDQL]DFLyQORVVRSRUWHVTXHFRQWHQJDQLQIRUPDFLyQ
$ 6RSRUWHVItVLFRVHQWUiQVLWR
GHEHQHVWDUSURWHJLGRVFRQWUDDFFHVRVQRDXWRUL]DGRVXVRV
LQGHELGRVRGHWHULRUR
&RQWURO/DLQIRUPDFLyQTXHVHDREMHWRGHPHQVDMHUtD
$ 0HQVDMHUtDHOHFWUyQLFD
HOHFWUyQLFDGHEHHVWDUDGHFXDGDPHQWHSURWHJLGD
&RQWURO'HEHQIRUPXODUVHHLPSODQWDUVHSROtWLFDV\SUR
$ 6LVWHPDVGHLQIRUPDFLyQHPSUHVDULDOHV FHGLPLHQWRVSDUDSURWHJHUODLQIRUPDFLyQDVRFLDGDDOD
LQWHUFRQH[LyQGHORVVLVWHPDVGHLQIRUPDFLyQHPSUHVDULDOHV
$6HUYLFLRVGHFRPHUFLRHOHFWUyQLFR
2EMHWLYR*DUDQWL]DUODVHJXULGDGGHORVVHUYLFLRVGHFRPHUFLRHOHFWUyQLFR\HOXVRVHJXURGHORVPLVPRV
&RQWURO/DLQIRUPDFLyQLQFOXLGDHQHOFRPHUFLRHOHFWUy
QLFRTXHVHWUDQVPLWDDWUDYpVGHUHGHVS~EOLFDVGHEHSUR
$ &RPHUFLRHOHFWUyQLFR WHJHUVHFRQWUDODVDFWLYLGDGHVIUDXGXOHQWDVODVGLVSXWDV
FRQWUDFWXDOHV\ODUHYHODFLyQRPRGLILFDFLyQQRDXWRUL]DGD
GHGLFKDLQIRUPDFLyQ
  ,62,(&

&RQWURO/DLQIRUPDFLyQFRQWHQLGDHQODVWUDQVDFFLRQHVHQ
OtQHDGHEHHVWDUSURWHJLGDSDUDHYLWDUWUDQVPLVLRQHVLQFRP
$ 7UDQVDFFLRQHVHQOtQHD SOHWDVHUURUHVGHGLUHFFLRQDPLHQWRDOWHUDFLRQHVQRDXWRUL
]DGDVGHORVPHQVDMHVODUHYHODFLyQODGXSOLFDFLyQROD
UHSURGXFFLyQQRDXWRUL]DGDVGHOPHQVDMH
&RQWURO/DLQWHJULGDGGHODLQIRUPDFLyQSXHVWDDGLVSRVL
$ ,QIRUPDFLyQSXHVWDDGLVSRVLFLyQS~EOLFD FLyQS~EOLFDVHGHEHSURWHJHUSDUDHYLWDUPRGLILFDFLRQHVQR
DXWRUL]DGDV
$6XSHUYLVLyQ
2EMHWLYR'HWHFWDUODVDFWLYLGDGHVGHSURFHVDPLHQWRGHODLQIRUPDFLyQQRDXWRUL]DGDV
&RQWURO6HGHEHQUHDOL]DUUHJLVWURVGHDXGLWRULDGHODV
DFWLYLGDGHVGHORVXVXDULRVODVH[FHSFLRQHV\HYHQWRVGH
VHJXULGDGGHODLQIRUPDFLyQ\VHGHEHQPDQWHQHUHVWRV
$ 5HJLVWURGHDXGLWRULDV
UHJLVWURVGXUDQWHXQSHULRGRDFRUGDGRSDUDVHUYLUFRPR
SUXHEDHQLQYHVWLJDFLRQHVIXWXUDV\HQODVXSHUYLVLyQGHO
FRQWUROGHDFFHVR
&RQWURO6HGHEHQHVWDEOHFHUSURFHGLPLHQWRVSDUDVXSHUYL
VDUHOXVRGHORVUHFXUVRVGHSURFHVDPLHQWRGHOD
$ 6XSHUYLVLyQGHOXVRGHOVLVWHPD
LQIRUPDFLyQ\VHGHEHQUHYLVDUSHULyGLFDPHQWHORV
UHVXOWDGRVGHODVDFWLYLGDGHVGHVXSHUYLVLyQ
&RQWURO/RVGLVSRVLWLYRVGHUHJLVWUR\ODLQIRUPDFLyQGH
3URWHFFLyQGHODLQIRUPDFLyQGHORV
$ ORVUHJLVWURVGHEHQHVWDUSURWHJLGRVFRQWUDPDQLSXODFLRQHV
UHJLVWURV
LQGHELGDV\DFFHVRVQRDXWRUL]DGRV
&RQWURO6HGHEHQUHJLVWUDUODVDFWLYLGDGHVGHO
$ 5HJLVWURVGHDGPLQLVWUDFLyQ\RSHUDFLyQ
DGPLQLVWUDGRUGHOVLVWHPD\GHODRSHUDFLyQGHOVLVWHPD
&RQWURO/RVIDOORVGHEHQVHUUHJLVWUDGRV\DQDOL]DGRV\VH
$ 5HJLVWURGHIDOORV
GHEHQWRPDUODVFRUUHVSRQGLHQWHVDFFLRQHV
&RQWURO/RVUHORMHVGHWRGRVORVVLVWHPDVGH
SURFHVDPLHQWRGHODLQIRUPDFLyQGHQWURGHXQD
$ 6LQFURQL]DFLyQGHOUHORM
RUJDQL]DFLyQRGHXQGRPLQLRGHVHJXULGDGGHEHQHVWDU
VLQFURQL]DGRVFRQXQDSUHFLVLyQGHWLHPSRDFRUGDGD
$&RQWUROGHDFFHVR
$5HTXLVLWRVGHQHJRFLRSDUDHOFRQWUROGHDFFHVR
2EMHWLYR&RQWURODUHODFFHVRDODLQIRUPDFLyQ
&RQWURO6HGHEHHVWDEOHFHUGRFXPHQWDU\UHYLVDUXQD
$ 3ROtWLFDGHFRQWUROGHDFFHVR SROtWLFDGHFRQWUROGHDFFHVREDVDGDHQORVUHTXLVLWRV
HPSUHVDULDOHV\GHVHJXULGDGSDUDHODFFHVR
$*HVWLyQGHDFFHVRGHXVXDULR
2EMHWLYR$VHJXUDUHODFFHVRGHXQXVXDULRDXWRUL]DGR\SUHYHQLUHODFFHVRQRDXWRUL]DGRDORVVLVWHPDVGHLQIRUPDFLyQ
&RQWURO'HEHHVWDEOHFHUVHXQSURFHGLPLHQWRIRUPDOGH
$ 5HJLVWURGHXVXDULR UHJLVWUR\GHDQXODFLyQGHXVXDULRVSDUDFRQFHGHU\UHYRFDU
HODFFHVRDWRGRVORVVLVWHPDV\VHUYLFLRVGHLQIRUPDFLyQ
&RQWURO/DDVLJQDFLyQ\HOXVRGHSULYLOHJLRVGHEHQHVWDU
$ *HVWLyQGHSULYLOHJLRV
UHVWULQJLGRV\FRQWURODGRV
&RQWURO/DDVLJQDFLyQGHFRQWUDVHxDVGHEHVHUFRQWURODGD
$ *HVWLyQGHFRQWUDVHxDVGHXVXDULR
DWUDYpVGHXQSURFHVRGHJHVWLyQIRUPDO
,62,(& 

&RQWURO/D'LUHFFLyQGHEHUHYLVDUORVGHUHFKRVGHDFFHVR
5HYLVLyQGHORVGHUHFKRVGHDFFHVRGH
$ GHXVXDULRDLQWHUYDORVUHJXODUHV\XWLOL]DQGRXQSURFHVR
XVXDULR
IRUPDO
$5HVSRQVDELOLGDGHVGHXVXDULR
2EMHWLYR3UHYHQLUHODFFHVRGHXVXDULRVQRDXWRUL]DGRVDVtFRPRHYLWDUHOTXHVHFRPSURPHWDRVHSURGX]FDHOURER
GHODLQIRUPDFLyQRGHORVUHFXUVRVGHSURFHVDPLHQWRGHODLQIRUPDFLyQ
&RQWURO6HGHEHUHTXHULUDORVXVXDULRVHOVHJXLUODV
$ 8VRGHFRQWUDVHxD EXHQDVSUiFWLFDVGHVHJXULGDGHQODVHOHFFLyQ\HOXVRGH
ODVFRQWUDVHxDV
&RQWURO/RVXVXDULRVGHEHQDVHJXUDUVHGHTXHHOHTXLSR
$ (TXLSRGHXVXDULRGHVDWHQGLGR
GHVDWHQGLGRWLHQHODSURWHFFLyQDGHFXDGD
&RQWURO'HEHDGRSWDUVHXQDSROtWLFDGHSXHVWRGHWUDEDMR
3ROtWLFDGHSXHVWRGHWUDEDMRGHVSHMDGR\ GHVSHMDGRGHSDSHOHV\GHVRSRUWHVGHDOPDFHQDPLHQWR
$
SDQWDOODOLPSLD H[WUDtEOHVMXQWRFRQXQDSROtWLFDGHSDQWDOODOLPSLDSDUDORV
UHFXUVRVGHSURFHVDPLHQWRGHODLQIRUPDFLyQ
$&RQWUROGHDFFHVRDODUHG
2EMHWLYR3UHYHQLUHODFFHVRQRDXWRUL]DGRDORVVHUYLFLRVHQUHG
&RQWURO6HGHEHSURSRUFLRQDUDORVXVXDULRV~QLFDPHQWHHO
$ 3ROtWLFDGHXVRGHORVVHUYLFLRVHQUHG DFFHVRDORVVHUYLFLRVSDUDTXHORVTXHKD\DQVLGR
HVSHFtILFDPHQWHDXWRUL]DGRV
&RQWURO6HGHEHQXWLOL]DUORVPpWRGRVDSURSLDGRVGH
$XWHQWLFDFLyQGHXVXDULRSDUDFRQH[LRQHV
$ DXWHQWLFDFLyQSDUDFRQWURODUHODFFHVRGHORVXVXDULRV
H[WHUQDV
UHPRWRV
&RQWURO/DLGHQWLILFDFLyQDXWRPiWLFDGHORVHTXLSRVVH
GHEHFRQVLGHUDUFRPRXQPHGLRGHDXWHQWLFDFLyQGHODV
$ ,GHQWLILFDFLyQGHORVHTXLSRVHQODVUHGHV
FRQH[LRQHVSURYHQLHQWHVGHORFDOL]DFLRQHV\HTXLSRV
HVSHFtILFRV
'LDJQyVWLFRUHPRWR\SURWHFFLyQGHORV &RQWURO6HGHEHFRQWURODUHODFFHVRItVLFR\OyJLFRDORV
$
SXHUWRVGHFRQILJXUDFLyQ SXHUWRVGHGLDJQyVWLFR\GHFRQILJXUDFLyQ
&RQWURO/RVJUXSRVGHVHUYLFLRVGHLQIRUPDFLyQXVXDULRV
$ 6HJUHJDFLyQGHODVUHGHV
\VLVWHPDVGHLQIRUPDFLyQGHEHQHVWDUVHJUHJDGRVHQUHGHV
&RQWURO(QUHGHVFRPSDUWLGDVHVSHFLDOPHQWHHQDTXHOODV
TXHWUDVSDVHQODVIURQWHUDVGHODRUJDQL]DFLyQGHEHUHV
WULQJLUVHODFDSDFLGDGGHORVXVXDULRVSDUDFRQHFWDUVHDOD
$ &RQWUROGHODFRQH[LyQDODUHG
UHGHVWRGHEHKDFHUVHGHDFXHUGRDODSROtWLFDGHFRQWUROGH
DFFHVR\DORVUHTXLVLWRVGHODVDSOLFDFLRQHVGHOQHJRFLR
YpDVH 
&RQWURO6HGHEHQLPSODQWDUFRQWUROHVGHHQFDPLQDPLHQWR
URXWLQJ GHUHGHVSDUDDVHJXUDUTXHODVFRQH[LRQHVGHORV
$ &RQWUROGHHQFDPLQDPLHQWR URXWLQJ GHUHG
RUGHQDGRUHV\ORVIOXMRVGHLQIRUPDFLyQQRYLRODQODSROtWL
FDGHFRQWUROGHDFFHVRGHODVDSOLFDFLRQHVHPSUHVDULDOHV
$&RQWUROGHDFFHVRDOVLVWHPDRSHUDWLYR
2EMHWLYR3UHYHQLUHODFFHVRQRDXWRUL]DGRDORVVLVWHPDVRSHUDWLYRV
&RQWURO(ODFFHVRDORVVLVWHPDVRSHUDWLYRVVHGHEHFRQ
$ 3URFHGLPLHQWRVVHJXURVGHLQLFLRGHVHVLyQ WURODUSRUPHGLRGHXQSURFHGLPLHQWRVHJXURGHLQLFLRGH
VHVLyQ
  ,62,(&

&RQWURO7RGRVORVXVXDULRVGHEHQWHQHUXQLGHQWLILFDGRU
~QLFR ,'GHXVXDULR SDUDVXXVRSHUVRQDO\H[FOXVLYR\
$ ,GHQWLILFDFLyQ\DXWHQWLFDFLyQGHXVXDULR
VHGHEHHOHJLUXQDWpFQLFDDGHFXDGDGHDXWHQWLFDFLyQSDUD
FRQILUPDUODLGHQWLGDGVROLFLWDGDGHOXVXDULR
&RQWURO/RVVLVWHPDVSDUDODJHVWLyQGHFRQWUDVHxDVGHEHQ
$ 6LVWHPDGHJHVWLyQGHFRQWUDVHxDV
VHULQWHUDFWLYRV\HVWDEOHFHUFRQWUDVHxDVVHJXUDV\UREXVWDV
&RQWURO6HGHEHUHVWULQJLU\FRQWURODUULJXURVDPHQWHHOXVR
$ 8VRGHORVUHFXUVRVGHOVLVWHPD GHSURJUDPDV\XWLOLGDGHVTXHSXHGDQVHUFDSDFHVGHLQYD
OLGDUORVFRQWUROHVGHOVLVWHPD\GHODDSOLFDFLyQ
&RQWURO/DVVHVLRQHVLQDFWLYDVGHEHQFHUUDUVHGHVSXpVGH
$ 'HVFRQH[LyQDXWRPiWLFDGHVHVLyQ
XQSHULRGRGHLQDFWLYLGDGGHILQLGR
&RQWURO3DUDSURSRUFLRQDUVHJXULGDGDGLFLRQDODODVDSOLFD
$ /LPLWDFLyQGHOWLHPSRGHFRQH[LyQ FLRQHVGHDOWRULHVJRVHGHEHQXWLOL]DUUHVWULFFLRQHVHQORV
WLHPSRVGHFRQH[LyQ
$&RQWUROGHDFFHVRDODVDSOLFDFLRQHV\DODLQIRUPDFLyQ
2EMHWLYR3UHYHQLUHODFFHVRQRDXWRUL]DGRDODLQIRUPDFLyQTXHFRQWLHQHQODVDSOLFDFLRQHV
&RQWURO6HGHEHUHVWULQJLUHODFFHVRDODLQIRUPDFLyQ\D
$ 5HVWULFFLyQGHODFFHVRDODLQIRUPDFLyQ ODVDSOLFDFLRQHVDORVXVXDULRV\DOSHUVRQDOGHVRSRUWHGH
DFXHUGRFRQODSROtWLFDGHFRQWUROGHDFFHVRGHILQLGD
&RQWURO/RVVLVWHPDVVHQVLEOHVGHEHQWHQHUXQHQWRUQRGH
$ $LVODPLHQWRGHVLVWHPDVVHQVLEOHV
RUGHQDGRUHVGHGLFDGRV DLVODGRV 
$2UGHQDGRUHVSRUWiWLOHV\WHOHWUDEDMR
2EMHWLYR*DUDQWL]DUODVHJXULGDGGHODLQIRUPDFLyQFXDQGRVHXWLOL]DQRUGHQDGRUHVSRUWiWLOHV\VHUYLFLRVGHWHOHWUDEDMR
&RQWURO6HGHEHLPSODQWDUXQDSROtWLFDIRUPDO\VHGHEHQ
2UGHQDGRUHVSRUWiWLOHV\FRPXQLFDFLRQHV DGRSWDUODVPHGLGDVGHVHJXULGDGDGHFXDGDVGHSURWHFFLyQ
$
PyYLOHV FRQWUDORVULHVJRVGHODXWLOL]DFLyQGHRUGHQDGRUHVSRUWiWL
OHV\FRPXQLFDFLRQHVPyYLOHV
&RQWURO6HGHEHUHGDFWDUHLPSODQWDUXQDSROtWLFDGHDFWL
$ 7HOHWUDEDMR YLGDGHVGHWHOHWUDEDMRDVtFRPRORVSODQHV\SURFHGLPLHQ
WRVGHRSHUDFLyQFRUUHVSRQGLHQWHV
$$GTXLVLFLyQGHVDUUROOR\PDQWHQLPLHQWRGHORVVLVWHPDVGHLQIRUPDFLyQ
$5HTXLVLWRVGHVHJXULGDGGHORVVLVWHPDVGHLQIRUPDFLyQ
2EMHWLYR*DUDQWL]DUTXHODVHJXULGDGHVWiLQWHJUDGDHQORVVLVWHPDVGHLQIRUPDFLyQ
&RQWURO(QODVGHFODUDFLRQHVGHORVUHTXLVLWRVGHQHJRFLR
$QiOLVLV\HVSHFLILFDFLyQGHORVUHTXLVLWRV SDUDORVQXHYRVVLVWHPDVGHLQIRUPDFLyQRSDUDPHMRUDVGH
$
GHVHJXULGDG ORVVLVWHPDVGHLQIRUPDFLyQ\DH[LVWHQWHVVHGHEHQHVSHFL
ILFDUORVUHTXLVLWRVGHORVFRQWUROHVGHVHJXULGDG
$7UDWDPLHQWRFRUUHFWRGHODVDSOLFDFLRQHV
2EMHWLYR(YLWDUHUURUHVSpUGLGDVPRGLILFDFLRQHVQRDXWRUL]DGDVRXVRVLQGHELGRVGHODLQIRUPDFLyQHQODVDSOLFDFLRQHV
&RQWURO/DLQWURGXFFLyQGHGDWRVHQODVDSOLFDFLRQHVGHEH
$ 9DOLGDFLyQGHORVGDWRVGHHQWUDGD YDOLGDUVHSDUDJDUDQWL]DUTXHGLFKRVGDWRVVRQFRUUHFWRV\
DGHFXDGRV
,62,(& 

&RQWURO3DUDGHWHFWDUFXDOTXLHUFRUUXSFLyQGHODLQIRU
PDFLyQGHELGDDHUURUHVGHSURFHVDPLHQWRRDFWRVLQWHQFLR
$ &RQWUROGHOSURFHVDPLHQWRLQWHUQR
QDGRVVHGHEHQLQFRUSRUDUFRPSUREDFLRQHVGHYDOLGDFLyQ
HQODVDSOLFDFLRQHV
&RQWURO6HGHEHQLGHQWLILFDUORVUHTXLVLWRVSDUDJDUDQWL]DU
ODDXWHQWLFLGDG\SDUDSURWHJHUODLQWHJULGDGGHORVPHQVD
$ ,QWHJULGDGGHORVPHQVDMHV
MHVHQODVDSOLFDFLRQHV\VHGHEHQLGHQWLILFDUHLPSODQWDU
ORVFRQWUROHVDGHFXDGRV
&RQWURO/RVGDWRVGHVDOLGDGHXQDDSOLFDFLyQVHGHEHQ
$ 9DOLGDFLyQGHORVGDWRVGHVDOLGD YDOLGDUSDUDJDUDQWL]DUTXHHOWUDWDPLHQWRGHODLQIRUPDFLyQ
DOPDFHQDGDHVFRUUHFWR\DGHFXDGRDODVFLUFXQVWDQFLDV
$&RQWUROHVFULSWRJUiILFRV
2EMHWLYR3URWHJHUODFRQILGHQFLDOLGDGODDXWHQWLFLGDGRODLQWHJULGDGGHODLQIRUPDFLyQSRUPHGLRVFULSWRJUiILFRV
&RQWURO6HGHEHIRUPXODUHLPSODQWDUXQDSROtWLFDSDUDHO
3ROtWLFDGHXVRGHORVFRQWUROHV
$ XVRGHORVFRQWUROHVFULSWRJUiILFRVSDUDSURWHJHUOD
FULSWRJUiILFRV
LQIRUPDFLyQ
&RQWURO'HEHLPSODQWDUVHXQVLVWHPDGHJHVWLyQGHFODYHV
$ *HVWLyQGHFODYHV SDUDGDUVRSRUWHDOXVRGHWpFQLFDVFULSWRJUiILFDVSRUSDUWH
GHODRUJDQL]DFLyQ
$6HJXULGDGGHORVDUFKLYRVGHVLVWHPD
2EMHWLYR*DUDQWL]DUODVHJXULGDGGHORVDUFKLYRVGHVLVWHPD
&RQWURO'HEHQHVWDULPSODQWDGRVSURFHGLPLHQWRVSDUD
$ &RQWUROGHOVRIWZDUHHQH[SORWDFLyQ FRQWURODUODLQVWDODFLyQGHVRIWZDUHHQORVVLVWHPDV
RSHUDWLYRV
3URWHFFLyQGHORVGDWRVGHSUXHEDGHO &RQWURO/RVGDWRVGHSUXHEDVHGHEHQVHOHFFLRQDUFRQ
$
VLVWHPD FXLGDGR\GHEHQHVWDUSURWHJLGRV\FRQWURODGRV
&RQWUROGHDFFHVRDOFyGLJRIXHQWHGHORV &RQWURO6HGHEHUHVWULQJLUHODFFHVRDOFyGLJRIXHQWHGHORV
$
SURJUDPDV SURJUDPDV
$6HJXULGDGHQORVSURFHVRVGHGHVDUUROOR\VRSRUWH
2EMHWLYR0DQWHQHUODVHJXULGDGGHOVRIWZDUH\GHODLQIRUPDFLyQGHODVDSOLFDFLRQHV
&RQWURO/DLPSODQWDFLyQGHFDPELRVGHEHFRQWURODUVH
$ 3URFHGLPLHQWRVGHFRQWUROGHFDPELRV PHGLDQWHHOXVRGHSURFHGLPLHQWRVIRUPDOHVGHFRQWUROGH
FDPELRV
&RQWURO&XDQGRVHPRGLILTXHQORVVLVWHPDVRSHUDWLYRVODV
5HYLVLyQWpFQLFDGHODVDSOLFDFLRQHVWUDV DSOLFDFLRQHVHPSUHVDULDOHVFUtWLFDVGHEHQVHUUHYLVDGDV\
$
HIHFWXDUFDPELRVHQHOVLVWHPDRSHUDWLYR SUREDGDVSDUDJDUDQWL]DUTXHQRH[LVWHQHIHFWRVDGYHUVRV
HQODVRSHUDFLRQHVRHQODVHJXULGDGGHODRUJDQL]DFLyQ
&RQWURO6HGHEHQGHVDFRQVHMDUODVPRGLILFDFLRQHVHQORV
5HVWULFFLRQHVDORVFDPELRVHQORVSDTXHWHV SDTXHWHVGHVRIWZDUHOLPLWiQGRVHDORVFDPELRV
$
GHVRIWZDUH QHFHVDULRV\WRGRVORVFDPELRVGHEHQVHUREMHWRGHXQ
FRQWUROULJXURVR
&RQWURO'HEHQHYLWDUVHODVVLWXDFLRQHVTXHSHUPLWDQTXH
$ )XJDVGHLQIRUPDFLyQ
VHSURGX]FDQIXJDVGHLQIRUPDFLyQ
&RQWURO/DH[WHUQDOL]DFLyQGHOGHVDUUROORGHVRIWZDUHGHEH
$ ([WHUQDOL]DFLyQGHOGHVDUUROORGHVRIWZDUH
VHUVXSHUYLVDGD\FRQWURODGDSRUODRUJDQL]DFLyQ
  ,62,(&

$*HVWLyQGHODYXOQHUDELOLGDGWpFQLFD
2EMHWLYR5HGXFLUORVULHVJRVUHVXOWDQWHVGHODH[SORWDFLyQGHODVYXOQHUDELOLGDGHVWpFQLFDVSXEOLFDGDV
&RQWURO6HGHEHREWHQHULQIRUPDFLyQRSRUWXQDDFHUFDGH
ODVYXOQHUDELOLGDGHVWpFQLFDVGHORVVLVWHPDVGHLQIRUPD
$ &RQWUROGHODVYXOQHUDELOLGDGHVWpFQLFDV FLyQTXHHVWiQVLHQGRXWLOL]DGRVHYDOXDUODH[SRVLFLyQGH
ODRUJDQL]DFLyQDGLFKDVYXOQHUDELOLGDGHV\DGRSWDUODV
PHGLGDVDGHFXDGDVSDUDDIURQWDUHOULHVJRDVRFLDGR
$*HVWLyQGHLQFLGHQWHVGHVHJXULGDGGHODLQIRUPDFLyQ
$1RWLILFDFLyQGHHYHQWRV\SXQWRVGpELOHVGHODVHJXULGDGGHODLQIRUPDFLyQ
2EMHWLYR$VHJXUDUVHGHTXHORVHYHQWRV\ODVYXOQHUDELOLGDGHVGHODVHJXULGDGGHODLQIRUPDFLyQDVRFLDGRVFRQORV
VLVWHPDVGHLQIRUPDFLyQVHFRPXQLFDQGHPDQHUDTXHVHDSRVLEOHHPSUHQGHUODVDFFLRQHVFRUUHFWLYDVRSRUWXQDV
&RQWURO/RVHYHQWRVGHVHJXULGDGGHODLQIRUPDFLyQVH
1RWLILFDFLyQGHORVHYHQWRVGHVHJXULGDGGH
$ GHEHQQRWLILFDUDWUDYpVGHORVFDQDOHVDGHFXDGRVGH
ODLQIRUPDFLyQ
JHVWLyQORDQWHVSRVLEOH
&RQWURO7RGRVORVHPSOHDGRVFRQWUDWLVWDV\WHUFHURVTXH
VHDQXVXDULRVGHORVVLVWHPDV\VHUYLFLRVGHLQIRUPDFLyQ
1RWLILFDFLyQGHORVSXQWRVGpELOHVGHOD
$ GHEHQHVWDUREOLJDGRVDDQRWDU\QRWLILFDUFXDOTXLHUSXQWR
VHJXULGDG
GpELOTXHREVHUYHQRTXHVRVSHFKHQH[LVWDHQGLFKRV
VLVWHPDVRVHUYLFLRV
$*HVWLyQGHLQFLGHQWHVGHVHJXULGDGGHODLQIRUPDFLyQ\PHMRUDV
2EMHWLYR*DUDQWL]DUTXHVHDSOLFDXQHQIRTXHFRKHUHQWH\HIHFWLYRDODJHVWLyQGHORVLQFLGHQWHVGHVHJXULGDGGHOD
LQIRUPDFLyQ
&RQWURO6HGHEHQHVWDEOHFHUODVUHVSRQVDELOLGDGHV\
SURFHGLPLHQWRVGHJHVWLyQSDUDJDUDQWL]DUXQDUHVSXHVWD
$ 5HVSRQVDELOLGDGHV\SURFHGLPLHQWRV
UiSLGDHIHFWLYD\RUGHQDGDDORVLQFLGHQWHVGHVHJXULGDGGH
ODLQIRUPDFLyQ
&RQWURO'HEHQH[LVWLUPHFDQLVPRVTXHSHUPLWDQFXDQWL
$SUHQGL]DMHGHORVLQFLGHQWHVGHVHJXULGDG
$ ILFDU\VXSHUYLVDUORVWLSRVYRO~PHQHV\FRVWHVGHORV
GHODLQIRUPDFLyQ
LQFLGHQWHVGHVHJXULGDGGHODLQIRUPDFLyQ
&RQWURO&XDQGRVHHPSUHQGDXQDDFFLyQFRQWUDXQDSHU
VRQDXRUJDQL]DFLyQGHVSXpVGHXQLQFLGHQWHGHVHJXULGDG
GHODLQIRUPDFLyQTXHLPSOLTXHDFFLRQHVOHJDOHV WDQWR
$ 5HFRSLODFLyQGHHYLGHQFLDV
FLYLOHVFRPRSHQDOHV GHEHQUHFRSLODUVHODVHYLGHQFLDV
FRQVHUYDUVH\SUHVHQWDUVHFRQIRUPHDODVQRUPDV
HVWDEOHFLGDVHQODMXULVGLFFLyQFRUUHVSRQGLHQWH
$*HVWLyQGHODFRQWLQXLGDGGHOQHJRFLR
$$VSHFWRVGHVHJXULGDGGHODLQIRUPDFLyQHQODJHVWLyQGHODFRQWLQXLGDGGHOQHJRFLR
2EMHWLYR&RQWUDUUHVWDUODVLQWHUUXSFLRQHVGHODVDFWLYLGDGHVHPSUHVDULDOHV\SURWHJHUORVSURFHVRVFUtWLFRVGHQHJRFLR
GHORVHIHFWRVGHULYDGRVGHIDOORVLPSRUWDQWHVRFDWDVWUyILFRVGHORVVLVWHPDVGHLQIRUPDFLyQDVtFRPRJDUDQWL]DUVX
RSRUWXQDUHDQXGDFLyQ
&RQWURO'HEHGHVDUUROODUVH\PDQWHQHUVHXQSURFHVRSDUD
,QFOXVLyQGHODVHJXULGDGGHODLQIRUPDFLyQ
ODFRQWLQXLGDGGHOQHJRFLRHQWRGDODRUJDQL]DFLyQTXH
$ HQHOSURFHVRGHJHVWLyQGHODFRQWLQXLGDG
JHVWLRQHORVUHTXLVLWRVGHVHJXULGDGGHODLQIRUPDFLyQ
GHOQHJRFLR
QHFHVDULRVSDUDODFRQWLQXLGDGGHOQHJRFLR
,62,(& 

&RQWURO'HEHQLGHQWLILFDUVHORVHYHQWRVTXHSXHGDQFDXVDU
&RQWLQXLGDGGHOQHJRFLR\HYDOXDFLyQGH LQWHUUXSFLRQHVHQORVSURFHVRVGHQHJRFLRDVtFRPRODSUR
$
ULHVJRV EDELOLGDGGHTXHVHSURGX]FDQWDOHVLQWHUUXSFLRQHVVXVHIHF
WRV\VXVFRQVHFXHQFLDVSDUDODVHJXULGDGGHODLQIRUPDFLyQ
&RQWURO'HEHQGHVDUUROODUVHHLPSODQWDUVHSODQHVSDUD
'HVDUUROORHLPSODQWDFLyQGHSODQHVGH PDQWHQHURUHVWDXUDUODVRSHUDFLRQHV\JDUDQWL]DUOD
$ FRQWLQXLGDGTXHLQFOX\DQODVHJXULGDGGHOD GLVSRQLELOLGDGGHODLQIRUPDFLyQHQHOQLYHO\HQHOWLHPSR
LQIRUPDFLyQ UHTXHULGRVGHVSXpVGHXQDLQWHUUXSFLyQRXQIDOORGHORV
SURFHVRVGHQHJRFLRFUtWLFRV
&RQWURO'HEHPDQWHQHUVHXQ~QLFRPDUFRGHUHIHUHQFLD
SDUDORVSODQHVGHFRQWLQXLGDGGHOQHJRFLRSDUDDVHJXUDU
0DUFRGHUHIHUHQFLDSDUDODSODQLILFDFLyQGH TXHWRGRVORVSODQHVVHDQFRKHUHQWHVSDUDFXPSOLUORV
$
ODFRQWLQXLGDGGHOQHJRFLR UHTXLVLWRVGHVHJXULGDGGHODLQIRUPDFLyQGHPDQHUD
FRQVLVWHQWH\SDUDLGHQWLILFDUODVSULRULGDGHVGHUHDOL]DFLyQ
GHSUXHEDV\GHPDQWHQLPLHQWR
&RQWURO/RVSODQHVGHFRQWLQXLGDGGHOQHJRFLRGHEHQ
3UXHEDVPDQWHQLPLHQWR\UHHYDOXDFLyQGH
$ SUREDUVH\DFWXDOL]DUVHSHULyGLFDPHQWHSDUDDVHJXUDUTXH
ORVSODQHVGHFRQWLQXLGDGGHOQHJRFLR
HVWiQDOGtD\TXHVRQHIHFWLYRV
$&XPSOLPLHQWR
$&XPSOLPLHQWRGHORVUHTXLVLWRVOHJDOHV
2EMHWLYR(YLWDULQFXPSOLPLHQWRVGHODVOH\HVRGHODVREOLJDFLRQHVOHJDOHVUHJODPHQWDULDVRFRQWUDFWXDOHV\GHORV
UHTXLVLWRVGHVHJXULGDG
&RQWURO7RGRVORVUHTXLVLWRVSHUWLQHQWHVWDQWROHJDOHVFRPR
UHJODPHQWDULRVRFRQWUDFWXDOHV\HOHQIRTXHGHODRUJDQL]D
$ ,GHQWLILFDFLyQGHODOHJLVODFLyQDSOLFDEOH FLyQSDUDFXPSOLUGLFKRVUHTXLVLWRVGHEHQHVWDUGHILQLGRV
GRFXPHQWDGRV\PDQWHQHUVHDFWXDOL]DGRVGHIRUPDH[SOtFLWR
SDUDFDGDVLVWHPDGHLQIRUPDFLyQGHODRUJDQL]DFLyQ
&RQWURO'HEHQLPSODQWDUVHSURFHGLPLHQWRVDGHFXDGRVSDUD
JDUDQWL]DUHOFXPSOLPLHQWRGHORVUHTXLVLWRVOHJDOHVUHJOD
'HUHFKRVGHSURSLHGDGLQWHOHFWXDO '3, 
$ PHQWDULRV\FRQWUDFWXDOHVVREUHHOXVRGHPDWHULDOFRQUHV
>,QWHOOHFWXDO3URSHUW\5LJKWV ,35 @
SHFWRDOFXDOSXHGDQH[LVWLUGHUHFKRVGHSURSLHGDGLQWHOHF
WXDO\VREUHHOXVRGHSURGXFWRVGHVRIWZDUHSURSLHWDULR
&RQWURO/RVGRFXPHQWRVLPSRUWDQWHVGHEHQHVWDUSURWHJL
3URWHFFLyQGHORVGRFXPHQWRV GHOD GRVFRQWUDODSpUGLGDGHVWUXFFLyQ\IDOVLILFDFLyQGHDFXHU
$
RUJDQL]DFLyQ GRFRQORVUHTXLVLWRVOHJDOHVUHJXODWRULRVFRQWUDFWXDOHV\
HPSUHVDULDOHV
&RQWURO'HEHJDUDQWL]DUVHODSURWHFFLyQ\ODSULYDFLGDGGH
3URWHFFLyQGHGDWRV\SULYDFLGDGGHOD
$ ORVGDWRVVHJ~QVHUHTXLHUDHQODOHJLVODFLyQ\ODVUHJXODFLR
LQIRUPDFLyQSHUVRQDO
QHV\HQVXFDVRHQODVFOiXVXODVFRQWUDFWXDOHVSHUWLQHQWHV
&RQWURO6HGHEHLPSHGLUTXHORVXVXDULRVXWLOLFHQORV
3UHYHQFLyQGHOXVRLQGHELGRGHORVUHFXUVRV
$ UHFXUVRVGHWUDWDPLHQWRGHODLQIRUPDFLyQSDUDILQHVQR
GHWUDWDPLHQWRGHODLQIRUPDFLyQ
DXWRUL]DGRV

 
 127$1$&,21$/ 6HJ~Q UHFRJH OD 1RUPD 81(,62  HO LQJOpV SRVHH WUHV WpUPLQRV GLVWLQWRV GRFXPHQWV UHFRUGV \ DUFKLYHV  SDUD
GHVLJQDUORTXHHQFDVWHOODQRFRPRHQHOUHVWRGHOHQJXDVODWLQDVFXHQWDFRQXQD~QLFDYR] GRFXPHQWRV $VtGRFXPHQWHV
HOHTXLYDOHQWHGHGRFXPHQWRHQVXVLJQLILFDGRJHQpULFRFRPRPHUDLQIRUPDFLyQUHJLVWUDGD3RUHOFRQWUDULRORVWpUPLQRV
UHFRUGV \ DUFKLYHV GHVLJQDQ GH PDQHUD HVSHFtILFD D DTXHOORV GRFXPHQWRV SURGXFLGRV FRPR SUXHED \ UHIOHMR GH ODV
DFWLYLGDGHV GH OD RUJDQL]DFLyQ TXH ORV KD FUHDGR UHVHUYiQGRVH HO HPSOHR GH HVWH ~OWLPR D ORV GRFXPHQWRV GH FDUiFWHU
KLVWyULFR
  ,62,(&

&RQWURO/RVFRQWUROHVFULSWRJUiILFRVVHGHEHQXWLOL]DUGH
$ 5HJXODFLyQGHORVFRQWUROHVFULSWRJUiILFRV DFXHUGRFRQWRGRVORVFRQWUDWRVOH\HV\UHJXODFLRQHV
SHUWLQHQWHV
$&XPSOLPLHQWRGHODVSROtWLFDV\QRUPDVGHVHJXULGDG\FXPSOLPLHQWRWpFQLFR
2EMHWLYR$VHJXUDUTXHORVVLVWHPDVFXPSOHQODVSROtWLFDV\QRUPDVGHVHJXULGDGGHODRUJDQL]DFLyQ
&RQWURO/RVGLUHFWRUHVGHEHQDVHJXUDUVHGHTXHWRGRVORV
&XPSOLPLHQWRGHODVSROtWLFDV\QRUPDVGH SURFHGLPLHQWRVGHVHJXULGDGGHQWURGHVXiUHDGHUHVSRQVD
$
VHJXULGDG ELOLGDGVHUHDOL]DQFRUUHFWDPHQWHFRQHOILQGHFXPSOLUODV
SROtWLFDV\QRUPDVGHVHJXULGDG
&RQWURO'HEHFRPSUREDUVHSHULyGLFDPHQWHTXHORVVLVWH
$ &RPSUREDFLyQGHOFXPSOLPLHQWRWpFQLFR PDVGHLQIRUPDFLyQFXPSOHQODVQRUPDVGHDSOLFDFLyQGH
ODVHJXULGDG
$&RQVLGHUDFLRQHVVREUHODDXGLWRULDGHORVVLVWHPDVGHLQIRUPDFLyQ
2EMHWLYR/RJUDUTXHHOSURFHVRGHDXGLWRULDGHORVVLVWHPDVGHLQIRUPDFLyQDOFDQFHODPi[LPDHILFDFLDFRQODVPtQL
PDVLQWHUIHUHQFLDV
&RQWURO/RVUHTXLVLWRV\ODVDFWLYLGDGHVGHDXGLWRULDTXH
LPSOLTXHQFRPSUREDFLRQHVHQORVVLVWHPDVRSHUDWLYRVGH
&RQWUROHVGHDXGLWRULDGHORVVLVWHPDVGH
$ EHQVHUFXLGDGRVDPHQWHSODQLILFDGRV\DFRUGDGRVSDUD
LQIRUPDFLyQ
PLQLPL]DUHOULHVJRGHLQWHUUXSFLRQHVHQORVSURFHVRVGH
HPSUHVDULDOHV
&RQWURO(ODFFHVRDODVKHUUDPLHQWDVGHDXGLWRULDGHORV
3URWHFFLyQGHODVKHUUDPLHQWDVGHDXGLWRULD
$ VLVWHPDVGHLQIRUPDFLyQGHEHHVWDUSURWHJLGRSDUDHYLWDU
GHORVVLVWHPDVGHLQIRUPDFLyQ
FXDOTXLHUSRVLEOHSHOLJURRXVRLQGHELGR

,62,(& 

$1(;2% ,QIRUPDWLYR 

/2635,1&,3,26'(/$2&'(<(67$1250$,17(51$&,21$/



/RV SULQFLSLRV UHFRJLGRV HQ ODV 'LUHFWULFHV GH OD 2&'( SDUD OD VHJXULGDG GH ORV VLVWHPDV \ UHGHV GH LQIRUPDFLyQ VH
DSOLFDQ D WRGDV ODV SROtWLFDV \ D WRGRV ORV QLYHOHV GH RSHUDFLyQ TXH ULJHQ OD VHJXULGDG GH ORV VLVWHPDV \ UHGHV GH
LQIRUPDFLyQ(VWDQRUPDLQWHUQDFLRQDOFRQVWLWX\HHOPDUFRGHOVLVWHPDGHJHVWLyQGHODVHJXULGDGGHODLQIRUPDFLyQSDUD
LPSOHPHQWDUDOJXQRVGHORVSULQFLSLRVGHOD2&'(XWLOL]DQGRHOPRGHOR3'&$\ORVSURFHVRVGHVFULWRVHQORVFDStWX
ORV\VHJ~QVHLQGLFDHQODWDEOD%


7DEOD%/RVSULQFLSLRVGHOD2&'(\HOPRGHOR3'&$

3ULQFLSLRGHOD2&'( 3URFHVRGHO6*6,\IDVHGHO3'&$FRUUHVSRQGLHQWHV
&RQFLHQFLDFLyQ (VWDDFWLYLGDGHVSDUWHGHODIDVH+DFHU 'R 
YpDQVH\ 
/RVSDUWLFLSDQWHVGHEHQFRQFLHQFLDUVHGHODQHFHVLGDGGHJD
UDQWL]DUODVHJXULGDGGHORVVLVWHPDV\UHGHVGHLQIRUPDFLyQ\
VDEHUTXpSXHGHQKDFHUHOORVSDUDPHMRUDUODVHJXULGDG
5HVSRQVDELOLGDG (VWDDFWLYLGDGHVSDUWHGHODIDVH+DFHU 'R 
YpDQVH\ 
7RGRVORVSDUWLFLSDQWHVVRQUHVSRQVDEOHVGHODVHJXULGDGGH
ORVVLVWHPDV\UHGHVGHLQIRUPDFLyQ
5HVSXHVWD (VWRHVHQSDUWHXQDDFWLYLGDGGHVXSHUYLVLyQGHODIDVH
9HULILFDU &KHFN  YpDVH\D \XQDDFWL
/RVSDUWLFLSDQWHVGHEHQDFWXDUGHIRUPDRSRUWXQD\ YLGDGGHUHVSXHVWDGHODIDVH$FWXDU $FW  YpDVH
FRRUGLQDGDSDUDSUHYHQLUGHWHFWDU\UHVSRQGHUDORV \D 7DPELpQSXHGHWHQHUTXHYHUFRQDOJXQRV
LQFLGHQWHVGHVHJXULGDG DVSHFWRVGHODVIDVHV3ODQLILFDU 3ODQ \9HULILFDU
&KHFN 
(YDOXDFLyQGHULHVJRV (VWDDFWLYLGDGHVSDUWHGHODIDVH3ODQLILFDU 3ODQ 
YpDVH \ODUHHYDOXDFLyQGHOULHVJRHVSDUWHGHOD
/RVSDUWLFLSDQWHVGHEHQOOHYDUDFDERHYDOXDFLRQHVGH IDVH9HULILFDU &KHFN  YpDVH\D 
ULHVJRV
'LVHxRHLPSODQWDFLyQGHODVHJXULGDG 8QDYH]TXHILQDOL]DGDODHYDOXDFLyQGHULHVJRVVHVH
OHFFLRQDQORVFRQWUROHVSDUDHOWUDWDPLHQWRGHORVULHVJRV
/RVSDUWLFLSDQWHVGHEHQLQFRUSRUDUODVHJXULGDGFRPRXQ FRPRSDUWHGHODIDVH3ODQLILFDU 3ODQ  YpDVH /D
HOHPHQWRHVHQFLDOGHORVVLVWHPDV\UHGHVGHLQIRUPDFLyQ IDVH+DFHU 'R  YpDVH\ FRPSUHQGHOD
LPSODQWDFLyQ\HOXVRRSHUDWLYRGHHVWRVFRQWUROHV
*HVWLyQGHODVHJXULGDG /DJHVWLyQGHOULHVJRHVXQSURFHVRTXHLQFOX\HOD
SUHYHQFLyQGHWHFFLyQ\UHVSXHVWDDORVLQFLGHQWHV\OD
/RVSDUWLFLSDQWHVGHEHQDGRSWDUFULWHULRVGHWDOODGRVGH JHVWLyQFRQWLQXDGDGHODVHJXULGDG7RGRVHVWRVDVSHFWRV
PDQWHQLPLHQWRUHYLVLyQ\DXGLWRUtD HVWiQFRPSUHQGLGRVHQODVIDVHV3ODQLILFDU 3ODQ 
+DFHU 'R 9HULILFDU &KHFN \$FWXDU $FW 
5HHYDOXDFLyQ /DUHHYDOXDFLyQGHODVHJXULGDGGHODLQIRUPDFLyQHV
SDUWHGHODIDVH9HULILFDU &KHFN  YpDVH\D
/RVSDUWLFLSDQWHVGHEHQUHYLVDU\UHHYDOXDUODVHJXULGDGGH  HQODFXDOGHEHQOOHYDUVHDFDERUHYLVLRQHVSHULy
ORVVLVWHPDV\UHGHVGHLQIRUPDFLyQ\HIHFWXDUODV GLFDVSDUDFRPSUREDUODHILFDFLDGHOVLVWHPDGHJHVWLyQ
PRGLILFDFLRQHVDSURSLDGDVGHODVSROtWLFDVSUiFWLFDV GHVHJXULGDGGHODLQIRUPDFLyQ\ODPHMRUDGHODVHJX
PHGLGDV\SURFHGLPLHQWRVGHVHJXULGDG ULGDGHVSDUWHGHODIDVH$FWXDU $FW  YpDVH\
D 
  ,62,(&

$1(;2& ,QIRUPDWLYR 

&255(6321'(1&,$(175(/$61250$6,62,62
<(67$1250$,17(51$&,21$/



/DWDEOD&PXHVWUDODFRUUHVSRQGHQFLDHQWUHODVQRUPDV,62H,62\HVWDQRUPDLQWHUQDFLRQDO


7DEOD&&RUUHVSRQGHQFLDHQWUHODVQRUPDV,62H,62\HVWDQRUPDLQWHUQDFLRQDO

(VWDQRUPDLQWHUQDFLRQDO ,62 ,62
,QWURGXFFLyQ ,QWURGXFFLyQ ,QWURGXFFLyQ
*HQHUDOLGDGHV *HQHUDOLGDGHV 
(QIRTXHGHOSURFHVR (QIRTXHGHOSURFHVR 
 5HODFLyQFRQOD1RUPD,62 
&RPSDWLELOLGDGFRQRWURV &RPSDWLELOLGDGFRQRWURVVLVWHPDV 
VLVWHPDVGHJHVWLyQ GHJHVWLyQ
2EMHWR\FDPSRGHDSOLFDFLyQ 2EMHWR\FDPSRGHDSOLFDFLyQ 2EMHWR\FDPSRGHDSOLFDFLyQ
*HQHUDOLGDGHV *HQHUDOLGDGHV 
$SOLFDFLyQ $SOLFDFLyQ 
1RUPDVSDUDFRQVXOWD 1RUPDVSDUDFRQVXOWD 1RUPDVSDUDFRQVXOWD
7pUPLQRV\GHILQLFLRQHV 7pUPLQRV\GHILQLFLRQHV 7pUPLQRV\GHILQLFLRQHV
6HJXULGDGGHODLQIRUPDFLyQ 6LVWHPDGHJHVWLyQGHODFDOLGDG 6LVWHPDGHJHVWLyQGHORVUHTXL
VLWRVGHO6*$
5HTXLVLWRVJHQHUDOHV 5HTXLVLWRVJHQHUDOHV 5HTXLVLWRVJHQHUDOHV
&UHDFLyQ\JHVWLyQGHO6*6,  
&UHDFLyQGHO6*6,  
,PSODQWDFLyQ\RSHUDFLyQGHO  ,PSODQWDFLyQ\RSHUDFLyQ
6*6,
6XSHUYLVLyQ\UHYLVLyQGHO 6XSHUYLVLyQ\PHGLFLyQGHORV 6XSHUYLVLyQ\PHGLFLyQ
6*6, SURFHVRV
 6XSHUYLVLyQ\PHGLFLyQGHO 
SURGXFWR
0DQWHQLPLHQWR\PHMRUDGHO  
6*6,
5HTXLVLWRVGHODGRFXPHQWDFLyQ 5HTXLVLWRVGHGRFXPHQWDFLyQ 
*HQHUDOLGDGHV *HQHUDOLGDGHV 
 0DQXDOGHFDOLGDG 
&RQWUROGHGRFXPHQWRV &RQWUROGHGRFXPHQWRV &RQWUROGHGRFXPHQWDFLyQ
&RQWUROGHUHJLVWURV &RQWUROGHUHJLVWURV &RQWUROGHUHJLVWURV
,62,(& 

(VWDQRUPDLQWHUQDFLRQDO ,62 ,62


5HVSRQVDELOLGDGGHOD'LUHFFLyQ 5HVSRQVDELOLGDGGHOD'LUHFFLyQ 
&RPSURPLVRGHOD'LUHFFLyQ &RPSURPLVRGHOD'LUHFFLyQ 
 2ULHQWDFLyQDOFOLHQWH 
 3ROtWLFDGHFDOLGDG 3ROtWLFDDPELHQWDO
 3ODQLILFDFLyQ 3ODQLILFDFLyQ
 5HVSRQVDELOLGDGDXWRULGDG\ 
FRPXQLFDFLyQ
*HVWLyQGHORVUHFXUVRV *HVWLyQGHORVUHFXUVRV 
3URYLVLyQGHORVUHFXUVRV 3URYLVLyQGHORVUHFXUVRV 
 5HFXUVRVKXPDQRV 
&RQFLHQFLDFLyQIRUPDFLyQ\ &RPSHWHQFLDFRQFLHQFLDFLyQ\ &RPSHWHQFLDIRUPDFLyQ\
FRPSHWHQFLD IRUPDFLyQ FRQFLHQFLDFLyQ
 ,QIUDHVWUXFWXUD 
 (QWRUQRGHWUDEDMR 
$XGLWRUtDVLQWHUQDVGHO6*6, $XGLWRUtDLQWHUQD $XGLWRUtDLQWHUQD
5HYLVLyQGHO6*6,SRUOD 5HYLVLyQSRUOD'LUHFFLyQ 5HYLVLyQSRUOD'LUHFFLyQ
'LUHFFLyQ
*HQHUDOLGDGHV *HQHUDOLGDGHV 
'DWRVLQLFLDOHVGHODUHYLVLyQ 'DWRVLQLFLDOHVGHODUHYLVLyQ 
5HVXOWDGRVGHODUHYLVLyQ 5HVXOWDGRVGHODUHYLVLyQ 
0HMRUDGHO6*6, 0HMRUD 
0HMRUDFRQWLQXD 0HMRUDFRQWLQXD 
$FFLyQFRUUHFWLYD $FFLRQHVFRUUHFWLYDV 'LVFRQIRUPLGDGDFFLyQ
FRUUHFWLYD\DFFLyQSUHYHQWLYD
$FFLyQSUHYHQWLYD $FFLRQHVSUHYHQWLYDV 
$QH[R$2EMHWLYRVGHFRQWURO\  $QH[R$*XtDGHXVRGHHVWD
FRQWUROHV QRUPDLQWHUQDFLRQDO
$QH[R%/RVSULQFLSLRVGHOD  
2&'(\HVWDQRUPDLQWHUQDFLRQDO
$QH[R&&RUUHVSRQGHQFLDHQWUH $QH[R$&RUUHVSRQGHQFLDHQWUHODV $QH[R%&RUUHVSRQGHQFLDHQWUH
ODV1RUPDV,62H 1RUPDV,62H ODV1RUPDV,62H
,62\HVWDQRUPD ,62 ,62
LQWHUQDFLRQDO

  ,62,(&

%,%/,2*5$)$



3XEOLFDFLRQHVGHQRUPDV

>@ ,626LVWHPDVGHJHVWLyQGHODFDOLGDG5HTXLVLWRV

>@ ,62,(&7HFQRORJtDVGHODLQIRUPDFLyQ7pFQLFDVGHVHJXULGDG*HVWLyQGHODVHJXULGDGGHODV
WHFQRORJtDVGHODLQIRUPDFLyQ\ODVFRPXQLFDFLRQHV3DUWH&RQFHSWRV\PRGHORVSDUDODJHVWLyQGHODVHJXUL
GDGGHODVWHFQRORJtDVGHODLQIRUPDFLyQ\ODVFRPXQLFDFLRQHV

>@ ,62,(&757HFQRORJtDVGHODLQIRUPDFLyQ'LUHFWULFHVSDUDODJHVWLyQGHODVHJXULGDGGHODV7,
3DUWH7pFQLFDVSDUDODJHVWLyQGHODVHJXULGDGGHODV7,

>@ ,62,(&757HFQRORJtDVGHODLQIRUPDFLyQ'LUHFWULFHVSDUDODJHVWLyQGHODVHJXULGDGGHODV7,
3DUWH6HOHFFLyQGHVDOYDJXDUGLDV

>@ ,626LVWHPDVGHJHVWLyQDPELHQWDO5HTXLVLWRV\RULHQWDFLRQHVGHXVR

>@ ,62,(& 75  7HFQRORJtDV GH OD LQIRUPDFLyQ 7pFQLFDV GH VHJXULGDG *HVWLyQ GH LQFLGHQWHV GH
VHJXULGDGGHODLQIRUPDFLyQ

>@ ,62'LUHFWULFHVSDUDDXGLWRUtDVGHFDOLGDGRGHVLVWHPDVGHJHVWLyQDPELHQWDO

>@ ,62,(& *XtD  5HTXLVLWRV JHQHUDOHV SDUD HQWLGDGHV HQFDUJDGDV GH OD HYDOXDFLyQ \ FHUWLILFDFLyQ R
UHJLVWURGHVLVWHPDVGHFDOLGDG

>@ ,62,(&*XtD*HVWLyQGHULHVJRV9RFDEXODULR'LUHFWULFHVGHXVRHQQRUPDV


2WUDVSXEOLFDFLRQHV

>@ 2&'( 'LUHFWULFHV SDUD OD VHJXULGDG GH ORV VLVWHPDV \ UHGHV GH LQIRUPDFLyQ +DFLD XQD FXOWXUD GH OD
VHJXULGDG3DUtV2&'(MXOLRGHZZZRHFGRUJ

>@ 1,6763*XtDGHJHVWLyQGHULHVJRVSDUDVLVWHPDVGHWHFQRORJtDVGHODLQIRUPDFLyQ

>@ 'HPLQJ:(2XWRIWKH&ULVLV&DPEULGJH0DVV0,7&HQWHUIRU$GYDQFHG(QJLQHHULQJ6WXG\


Sobre los autores

Luis Gmez Fernndez es licenciado en Econmicas por la Facultad de Econmicas


de la Universidad de Oviedo. Ha desempeado diversos cargos directivos, tanto en
la Administracin Pblica como la empresa privada, hasta la creacin de su propia
empresa que, actualmente, es un referente en seguridad de la informacin y servicios
de TI.
Ana Andrs lvarez es ingeniera de software por la University of Salford, Certified
Information Systems Auditor (CISA) y Certified Information Security Management
(CISM). Tiene una dilatada carrera profesional desempeada en el rea de sistemas
de gestin y mejora de procesos, y especialmente, en proyectos de seguridad de la
informacin, servicios de TI y auditoras de sistemas de gestin.