Você está na página 1de 214

Gua de aplicacin de la Norma UNE-ISO/IEC 27001

sobre seguridad en sistemas


de informacin para pymes
Luis Gmez Fernndez y Ana Andrs lvarez
2. edicin
(ampliada con el Esquema
Nacional de Seguridad)

Ttulo: Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes.
2. edicin
Autores: Luis Gmez Fernndez y Ana Andrs lvarez

AENOR (Asociacin Espaola de Normalizacin y Certificacin), 2012


Todos los derechos reservados. Queda prohibida la reproduccin total o parcial en cualquier soporte,
sin la previa autorizacin escrita de AENOR.
ISBN: 978-84-8143-7-
Impreso en Espaa - Printed in Spain
Edita: AENOR
Maqueta y diseo de cubierta: AENOR

Nota: AENOR no se hace responsable de las opiniones expresadas por los autores en esta obra.

Gnova, 6. 28004 Madrid Tel.: 902 102 201 Fax: 913 103 695
comercial@aenor.es www.aenor.es

ndice

Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Objeto de esta gua . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

11

1.

2.

Introduccin a los Sistemas de Gestin de Seguridad de


la Informacin (SGSI) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

13

1.1.

Definicin de un SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

13

1.2.

El ciclo de mejora continua . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

14

1.3.

La Norma UNE-ISO/IEC 27001 . . . . . . . . . . . . . . . . . . . . . . . . . . .


1.3.1. Origen de la norma . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.3.2. Objeto y campo de aplicacin de la norma . . . . . . . . . . . .

16
16
17

1.4.

La Norma UNE-ISO/IEC 27002 . . . . . . . . . . . . . . . . . . . . . . . . . . .


1.4.1. Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4.2. Objeto y campo de aplicacin . . . . . . . . . . . . . . . . . . . . . .

17
17
18

1.5.

El Esquema Nacional de Seguridad (ENS) . . . . . . . . . . . . . . . . . . . .


1.5.1. Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.5.2. Objeto y campo de aplicacin . . . . . . . . . . . . . . . . . . . . . .

18
18
19

1.6.

Trminos y definiciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

19

Comprender la Norma UNE-ISO/IEC 27001 . . . . . . . . . . . . . . . . . . . . .

23

2.1.

Requisitos generales del sistema de gestin de la seguridad . . . . . . .

23

2.2.

Establecimiento y gestin del SGSI . . . . . . . . . . . . . . . . . . . . . . . . .


2.2.1. Establecimiento del SGSI . . . . . . . . . . . . . . . . . . . . . . . . . .
2.2.2. Definicin del alcance del SGSI . . . . . . . . . . . . . . . . . . . . .
2.2.3. Definicin de la poltica de seguridad . . . . . . . . . . . . . . . . .

25
25
27
28

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

2.2.4.
2.2.5.
2.2.6.
2.2.7.
2.2.8.
2.2.9.
2.2.10.
2.2.11.
2.2.12.
2.2.13.

3.

Identificacin de los activos de informacin . . . . . . . . . . . .


Definicin del enfoque del anlisis de riesgos . . . . . . . . . . .
Cmo escoger la metodologa del anlisis de riesgos . . . . .
Tratamiento de los riesgos . . . . . . . . . . . . . . . . . . . . . . . . .
Seleccin de controles . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gestin de riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Declaracin de aplicabilidad . . . . . . . . . . . . . . . . . . . . . . .
Implementacin y puesta en marcha del SGSI . . . . . . . . . . .
Control y revisin del SGSI . . . . . . . . . . . . . . . . . . . . . . . .
Mantenimiento y mejora del SGSI . . . . . . . . . . . . . . . . . . .

28
29
30
31
31
32
32
33
33
34

2.3.

Requisitos de documentacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.3.1. Generalidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.3.2. Control de documentos . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.3.3. Control de registros . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

35
35
35
36

2.4.

Compromiso de la direccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

36

2.5.

Gestin de los recursos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

37

2.6.

Formacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

38

2.7.

Auditoras internas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

38

2.8.

Revisin por la direccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .


2.8.1. Entradas a la revisin . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.8.2. Salidas de la revisin . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

39
40
40

2.9.

Mejora continua . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.9.1. Accin correctiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.9.2. Accin preventiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

41
42
43

2.10. El anexo A . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

44

Comprender la Norma UNE-ISO/IEC 27002 . . . . . . . . . . . . . . . . . . . . .

45

3.1.

Valoracin y tratamiento del riesgo . . . . . . . . . . . . . . . . . . . . . . . . .

46

3.2.

Poltica de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

47

3.3.

Organizacin de la seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . .

47

3.4.

Gestin de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

49

3.5.

Seguridad ligada a los recursos humanos . . . . . . . . . . . . . . . . . . . .

50

3.6.

Seguridad fsica y del entorno . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

51

3.7.

Gestin de comunicaciones y operaciones . . . . . . . . . . . . . . . . . . . .

53

ndice

3.8.

Control de acceso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

59

3.9.

Adquisicin, desarrollo y mantenimiento de los sistemas . . . . . . . . . .

64

3.10. Gestin de las incidencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

67

3.11. Gestin de la continuidad del negocio . . . . . . . . . . . . . . . . . . . . . .

68

3.12. Cumplimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

70

Definicin e implementacin de un SGSI . . . . . . . . . . . . . . . . . . . . . . . .

73

4.1.

El proyecto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

73

4.2.

Documentacin del SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

75

4.3.

Poltica de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

76

4.4.

Inventario de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

77

4.5.

Anlisis de riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

79

4.6.

Gestin de riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

83

4.7.

Plan de tratamiento del riesgo . . . . . . . . . . . . . . . . . . . . . . . . . . . .

86

4.8.

Procedimientos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

86

4.9.

Formacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

88

4.10. Revisin por la direccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

88

4.11. Auditora interna . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

88

4.12. Registros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

89

5.

Proceso de certificacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

91

6.

Relacin entre los apartados de la norma y la documentacin del sistema . .

93

7.

Correspondencia entre las Normas UNE-EN ISO 9001:2008,


UNE-EN ISO 14001:2004 y UNE-ISO/IEC 27001:2007 . . . . . . . . . . . .

97

4.

8.

Caso prctico: modelo de SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101


8.1.

Documentacin de la poltica de seguridad . . . . . . . . . . . . . . . . . . .


8.1.1. Poltica de seguridad de la informacin . . . . . . . . . . . . . . .
8.1.2. Definicin del SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8.1.3. Organizacin e infraestructura de seguridad . . . . . . . . . . . .
8.1.4. Clasificacin de la informacin . . . . . . . . . . . . . . . . . . . . .
8.1.5. Anlisis de riesgos de seguridad . . . . . . . . . . . . . . . . . . . . .

101
101
101
103
104
104

8.2.

Documentacin del inventario de activos . . . . . . . . . . . . . . . . . . . . . 105


8.2.1. Procesos de negocio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

8.2.2.
8.2.3.
8.2.4.

Inventario de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105


Relacin proceso de negocio-activos . . . . . . . . . . . . . . . . . 106
Valoracin de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106

8.3.

Documentacin del Anlisis de riesgos . . . . . . . . . . . . . . . . . . . . . . 107


8.3.1. Valoracin del riesgo por activos . . . . . . . . . . . . . . . . . . . . 107
8.3.2. Tramitacin del riesgo . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110

8.4.

Documentacin de la Gestin de riesgos . . . . . . . . . . . . . . . . . . . . . 110


8.4.1. Valoracin del riesgo por activos . . . . . . . . . . . . . . . . . . . . 110

8.5.

Documentacin de la Declaracin de aplicabilidad . . . . . . . . . . . . . 114


8.5.1. Controles aplicados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114

8.6.

Documentacin del Plan de tratamiento del riesgo . . . . . . . . . . . . . .


8.6.1. Objetivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8.6.2. Alcance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8.6.3. Responsabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8.6.4. Tareas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8.6.5. Seguimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8.6.6. Objetivos e indicadores . . . . . . . . . . . . . . . . . . . . . . . . . . .

123
123
123
123
123
124
124

8.7.

Documentacin del Procedimiento de auditoras internas . . . . . . . . .


8.7.1. Objetivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8.7.2. Alcance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8.7.3. Responsabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8.7.4. Desarrollo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8.7.5. Requisitos de documentacin . . . . . . . . . . . . . . . . . . . . . . .
8.7.6. Referencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8.7.7. Anexos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

125
125
125
125
126
128
128
128

8.8.

Documentacin del Procedimiento para las copias de seguridad . . . .


8.8.1. Objetivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8.8.2. Alcance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8.8.3. Responsabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8.8.4. Trminos y definiciones . . . . . . . . . . . . . . . . . . . . . . . . . . .
8.8.5. Procedimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8.8.6. Requisitos de documentacin . . . . . . . . . . . . . . . . . . . . . . .
8.8.7. Referencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8.8.8. Anexos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

131
131
132
132
132
132
134
134
134

ndice

9.

Comprender el Esquema Nacional de Seguridad (ENS) . . . . . . . . . . . . . 137


9.1.

Generalidades del ENS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137

9.2.

Principios bsicos del ENS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138

9.3.

Requisitos mnimos de seguridad del ENS . . . . . . . . . . . . . . . . . . . .


9.3.1. Organizacin e implementacin del proceso de seguridad . .
9.3.2. Anlisis y gestin de los riesgos . . . . . . . . . . . . . . . . . . . . .
9.3.3. Gestin de personal . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
9.3.4. Profesionalidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
9.3.5. Autorizacin y control de los accesos . . . . . . . . . . . . . . . . .
9.3.6. Proteccin de las instalaciones . . . . . . . . . . . . . . . . . . . . . .
9.3.7. Adquisicin de nuevos productos de seguridad . . . . . . . . . .
9.3.8. Seguridad por defecto . . . . . . . . . . . . . . . . . . . . . . . . . . . .
9.3.9. Integridad y actualizacin del sistema . . . . . . . . . . . . . . . . .
9.3.10. Proteccin de la informacin almacenada y en trnsito . . . .
9.3.11. Prevencin ante otros sistemas de informacin
interconectados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
9.3.12. Registro de actividad . . . . . . . . . . . . . . . . . . . . . . . . . . . .
9.3.13. Incidentes de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . .
9.3.14. Continuidad de la actividad . . . . . . . . . . . . . . . . . . . . . . . .
9.3.15. Mejora continua del proceso de seguridad . . . . . . . . . . . . .
9.3.16. Soporte al cumplimiento . . . . . . . . . . . . . . . . . . . . . . . . . .

140
140
140
141
141
141
141
142
142
142
143

Otros requisitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
9.4.1. Comunicaciones electrnicas . . . . . . . . . . . . . . . . . . . . . . .
9.4.2. Auditora de la seguridad . . . . . . . . . . . . . . . . . . . . . . . . .
9.4.3. Estado de seguridad de los sistemas . . . . . . . . . . . . . . . . . .
9.4.4. Respuesta a incidentes de seguridad . . . . . . . . . . . . . . . . . .
9.4.5. Normas de conformidad . . . . . . . . . . . . . . . . . . . . . . . . . .
9.4.6. Actualizacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
9.4.7. Categorizacin de los sistemas . . . . . . . . . . . . . . . . . . . . .
9.4.8. Formacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

145
145
146
146
146
147
147
147
148

9.4.

143
143
144
144
144
144

10. Implementacin del ENS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149


10.1. El plan de adecuacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
10.2. Adecuacin al ENS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
10.2.1. Planificacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
10.2.2. Implementacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

10.2.3. Verificacin y validacin . . . . . . . . . . . . . . . . . . . . . . . . . . 154


10.2.4. Actualizacin y mejora continua . . . . . . . . . . . . . . . . . . . . . 155
11. Ejemplo prctico: plan de adecuacin . . . . . . . . . . . . . . . . . . . . . . . . . . 157
11.1. Documentacin de la poltica de seguridad . . . . . . . . . . . . . . . . . . . 157
11.2. Documentacin de la categora del sistema . . . . . . . . . . . . . . . . . . . 158
11.2.1. Criterios de valoracin de los activos . . . . . . . . . . . . . . . . . 158
11.2.2. Categorizacin de sistemas . . . . . . . . . . . . . . . . . . . . . . . . 158
11.3. Documentacin del anlisis de riesgos . . . . . . . . . . . . . . . . . . . . . .
11.3.1. Metodologa de anlisis . . . . . . . . . . . . . . . . . . . . . . . . . .
11.3.2. Valoracin de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . .
11.3.3. Mapas de riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
11.3.4. Nivel de riesgo aceptable . . . . . . . . . . . . . . . . . . . . . . . . .

160
160
160
161
161

11.4. Documentacin de la declaracin de aplicabilidad . . . . . . . . . . . . . 164


11.5. Insuficiencias del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
11.6. Plan de mejora . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
12. Bibliografa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
Normas de referencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
Legislacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
Otros documentos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
Links de inters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176
Norma UNE-ISO/IEC 27001:2007 Tecnologa de la informacin. Tcnicas de
seguridad. Sistemas de Gestin de la Seguridad de la Informacin (SGSI).
Requisitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177

Introduccin

La informacin es el principal activo de muchas organizaciones y precisa ser protegida adecuadamente frente a amenazas que puedan poner en peligro la continuidad
del negocio.
En la actualidad, las empresas de cualquier tipo o sector de actividad se enfrentan
cada vez ms con riesgos e inseguridades procedentes de una amplia variedad de
contingencias, las cuales pueden daar considerablemente tanto los sistemas de informacin como la informacin procesada y almacenada.
Ante estas circunstancias, las organizaciones han de establecer estrategias y controles adecuados que garanticen una gestin segura de los procesos del negocio, primando la proteccin de la informacin.
Para proteger la informacin de una manera coherente y eficaz es necesario implementar un Sistema de Gestin de Seguridad de la Informacin (SGSI). Este sistema es una parte del sistema global de gestin, basado en un anlisis de los riesgos
del negocio, que permite asegurar la informacin frente a la prdida de:
Confidencialidad: slo acceder a la informacin quien se encuentre autorizado.
Integridad: la informacin ser exacta y completa.
Disponibilidad: los usuarios autorizados tendrn acceso a la informacin
cuando lo requieran.
La seguridad total es inalcanzable, pero mediante el proceso de mejora continua
del sistema de seguridad se puede conseguir un nivel de seguridad altamente satisfactorio, que reduzca al mnimo los riesgos a los que se est expuesto y el impacto
que ocasionaran si efectivamente se produjeran.

Objeto de esta gua

El objeto de esta publicacin es facilitar la comprensin de los diversos conceptos


involucrados en un sistema de gestin normalizado y contemplar las recomendaciones generales para la implementacin de un SGSI en una pyme, utilizando la
norma de facto en el mercado internacional para ello, la Norma UNE-ISO/IEC
27001. Tambin se ofrece una visin general de cmo hacerlo en el caso de utilizar el
modelo del Esquema Nacional de Seguridad (ENS), obligatorio por ley en nuestro
pas, para la proteccin de los sistemas que soportan la administracin electrnica,
visin tambin particularmente de inters para pymes que proporcionen servicios
TIC a las Administraciones Pblicas.
Tanto la Norma UNE-ISO/IEC 27001 como el ENS, facilitan la mejora en seguridad, aunque pueden resultar de difcil aplicacin para aquellos que no estn
familiarizados con los conceptos que tratan.
Esta gua no pretende ser preceptiva (existen infinidad de formas de implementar
correctamente la norma y el ENS), sino informativa, proporcionando explicaciones
bsicas de los requisitos de la norma y orientando respecto a la manera en que se
pueden cumplir esos requisitos.
Generalmente, una primera aproximacin a la norma puede infundir desconfianza
en cuanto a la capacidad de la empresa para poder llevar a cabo todos los requerimientos que expresa. Muchos trminos no se utilizan en la actividad cotidiana de
una pyme, tales como riesgos, amenazas, vulnerabilidades. Adems, exige una serie
de tareas desconocidas en la operativa habitual, tales como la realizacin de un anlisis de riesgos y la seleccin de controles. Para complicar ms las cosas, se hace
referencia a la Norma UNE-ISO/IEC 27002, que especifica una amplia gama de
controles de seguridad a implementar, en numerosos casos, con una gran carga de
contenido tcnico. Los objetivos, controles e indicaciones contenidos en la Norma

12

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

UNE-ISO/IEC 27002 pueden llegar a ser muy difciles de valorar por un gestor
que no cuente con la informacin o la formacin adecuada, hecho que le impedira
decidir cabalmente sobre cul es su relevancia para la empresa y las consecuencias
de la implementacin o no de un determinado control en ella.
Esta gua pretende suplir semejantes carencias, proporcionando informacin detallada sobre el significado prctico de los requisitos de la norma y explicando con
ejemplos cmo se pueden realizar, teniendo siempre en cuenta la situacin inicial,
los requisitos de seguridad de la empresa y, por supuesto, los recursos disponibles,
ya que sin contar con esto ningn sistema de gestin se hallar bien diseado y, por
lo tanto, estar condenado al fracaso.
Para una mejor comprensin de las implicaciones de los diversos requisitos de la
norma, esta gua incluye un ejemplo prctico, basado en una empresa ficticia, con
la documentacin bsica que debe incluir un SGSI e indicaciones sobre la informacin que debe recoger cada documento.

Introduccin a los
Sistemas de Gestin
de Seguridad de la
Informacin (SGSI)

1.1. Definicin de un SGSI


Un Sistema de Gestin de Seguridad de la Informacin (SGSI), segn la Norma
UNE-ISO/IEC 27001, es una parte del sistema de gestin general, basada en un
enfoque de riesgo empresarial, que se establece para crear, implementar, operar,
supervisar, revisar, mantener y mejorar la seguridad de la informacin. Esto significa que se va a dejar de operar de una manera intuitiva y se va a empezar a tomar
el control sobre lo que sucede en los sistemas de informacin y sobre la propia
informacin que se maneja en la organizacin. Nos permitir conocer mejor nuestra organizacin, cmo funciona y qu podemos hacer para que la situacin
mejore.
La norma especifica que, como cualquier otro sistema de gestin, el SGSI incluye
tanto la organizacin como las polticas, la planificacin, las responsabilidades, las
prcticas, los procedimientos, los procesos y los recursos. Es decir, tanto la documentacin de soporte como las tareas que se realizan. Los sistemas de gestin que
definen las normas ISO siempre estn documentados, ya que, por un lado, es la
mejor manera de formalizar normas e instrucciones y, por otro, son ms fciles de
transmitir y comunicar, cosa que no sucedera si se confa en un traspaso de informacin verbal informal.
La norma es compatible con el resto de las normas ISO para sistemas de gestin
(UNE-EN ISO 9001 y UNE-EN ISO 14001) y poseen idntica estructura y
requisitos comunes, por lo que se recomienda integrar el SGSI con el resto de los
sistemas de gestin que existan en la empresa para no duplicar esfuerzos.
Incluso cuando no exista un sistema de gestin formal, el amplio conocimiento
actual de estos sistemas hace que las principales caractersticas de la norma sean

14

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

comprensibles para la mayora de la gente, y que para explicarla en detalle sea


suficiente con incidir en las diferencias fundamentales, a saber, que con un SGSI
lo que tratamos es de gestionar la seguridad de la informacin de nuestra
organizacin.

1.2. El ciclo de mejora continua


Para establecer y gestionar un sistema de gestin de la seguridad de la informacin
se utiliza el ciclo PDCA (conocido tambin como ciclo Deming), tradicional en los
sistemas de gestin de la calidad (vase la figura 1.1). El ciclo PDCA es un concepto ideado originalmente por Shewhart, pero adaptado a lo largo del tiempo por
algunos de los ms sobresalientes personajes del mundo de la calidad. Esta metodologa ha demostrado su aplicabilidad y ha permitido establecer la mejora continua en organizaciones de todas clases.
El modelo PDCA o Planificar-Hacer-Verificar-Actuar (Plan-Do-Check-Act, de sus
siglas en ingls), tiene una serie de fases y acciones que permiten establecer un
modelo de indicadores y mtricas comparables en el tiempo, de manera que se
pueda cuantificar el avance en la mejora de la organizacin:
Plan. Esta fase se corresponde con establecer el SGSI. Se planifica y disea el
programa, sistematizando las polticas a aplicar en la organizacin, cules son
los fines a alcanzar y en qu ayudarn a lograr los objetivos de negocio, qu
medios se utilizarn para ello, los procesos de negocio y los activos que los
soportan, cmo se enfocar el anlisis de riesgos y los criterios que se seguirn para gestionar las contingencias de modo coherente con las polticas y
objetivos de seguridad.
Do. Es la fase en la que se implementa y pone en funcionamiento el SGSI.
Las polticas y los controles escogidos para cumplirlas se implementan
mediante recursos tcnicos, procedimientos o ambas cosas a la vez, y se asignan responsables a cada tarea para comenzar a ejecutarlas segn las instrucciones.
Check. Esta fase es la de monitorizacin y revisin del SGSI. Hay que controlar que los procesos se ejecutan como se ha establecido, de manera eficaz
y eficiente, alcanzando los objetivos definidos para ellos. Adems, hay que
verificar el grado de cumplimiento de las polticas y procedimientos, identificando los fallos que pudieran existir y, hasta donde sea posible, su origen,
mediante revisiones y auditoras.

1. Introduccin a los Sistemas de Gestin de Seguridad de la Informacin (SGSI)

15

Act. Es la fase en la que se mantiene y mejora el SGSI, decidiendo y efectuando las acciones preventivas y correctivas necesarias para rectificar los
fallos, detectados en las auditoras internas y revisiones del SGSI, o cualquier
otra informacin relevante para permitir la mejora permanente del SGSI.
La mejora continua es un proceso en s mismo. Debe entenderse como la mejora
progresiva de los niveles de eficiencia y eficacia de una organizacin en un proceso continuo de aprendizaje, tanto de sus actividades como de los resultados
propios.
Dado que la norma se encuentra enfocada hacia la mejora continua, es un esfuerzo
innecesario tratar de implementar un SGSI perfecto en un primer proyecto de este
tipo. El objetivo debera ser disear un SGSI que se ajuste lo ms posible a la realidad de la organizacin, que contemple las medidas de seguridad mnimas e imprescindibles para proteger la informacin y cumplir con la norma, pero que consuma
pocos recursos e introduzca el menor nmero de cambios posibles. De esta manera,
el SGSI se podr integrar de una forma no traumtica en la operativa habitual de la
organizacin, dotndola de herramientas con las que hasta entonces no contaba que
puedan demostrar su eficacia a corto plazo.
La aceptacin de este primer SGSI es un factor de xito fundamental. Permitir a
la organizacin ir mejorando su seguridad paulatinamente y con escaso esfuerzo.

Tomar acciones correctivas


y preventivas

Revisar y auditar el SGSI

Act

Plan

Check

Do

Figura 1.1. Ciclo PDCA

Definir poltica y alcance

Implementar el SGSI

16

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

1.3. La Norma UNE-ISO/IEC 27001


1.3.1. Origen de la norma
ISO (Organizacin Internacional de Normalizacin) e IEC (Comisin Electrotcnica Internacional) constituyen el sistema especializado para la normalizacin a
nivel mundial. Los organismos nacionales que son miembros de ISO o IEC participan en el desarrollo de las normas internacionales a travs de comits tcnicos
establecidos por las organizaciones respectivas para realizar acuerdos en campos
especficos de la actividad tcnica. Los comits tcnicos de ISO e IEC colaboran en
los campos de inters mutuo.
En el campo de la tecnologa de la informacin, ISO e IEC han establecido un
comit tcnico conjunto, el denominado ISO/IEC JTC 1 (Joint Technical Committee 1). Los borradores de estas normas internacionales, adoptadas por la unin de
este comit tcnico, son enviados a los organismos de las diferentes naciones para
su votacin. La publicacin como norma internacional requiere la aprobacin de,
por lo menos, el 75% de los organismos nacionales que emiten su voto.
La Norma Internacional ISO/IEC 27002 fue preparada inicialmente por el Instituto de Normas Britnico (como BS 7799), y adoptada bajo la supervisin del subcomit de tcnicos de seguridad del comit tcnico ISO/IEC JTC 1, en paralelo
con su aprobacin por los organismos nacionales miembros de ISO e IEC.
Una vez que fue publicada la Norma ISO/IEC 17799-1 (actualmente se corresponde con la Norma ISO/IEC 27002), Reino Unido (BSI) y Espaa (AENOR)
elevaron al comit internacional sus normas nacionales sobre las especificaciones de
los sistemas de gestin de la seguridad de la informacin (SGSI), BS 7799-2 y
UNE 71502 respectivamente, siendo estas normas el origen de lo que finalmente
acabo publicndose como norma internacional ISO/IEC 27001 en el ao 2005,
que fue adoptada como norma espaola UNE-ISO/IEC 27001 en el ao 2007,
tras un periodo de convivencia con la norma anteriormente mencionada.
Actualmente, tanto la norma ISO/IEC 27001 como la ISO/IEC 27002 estn en
proceso de revisin internacional, y se espera que se publiquen las nuevas versiones
a lo largo del ao 2013.
Como se ha comentado anteriormente, este estndar internacional adopta tambin
el modelo Plan-Do-Check-Act (PDCA), es decir, se basa en un ciclo de mejora continua que consiste en planificar, desarrollar, comprobar y actuar en consecuencia
con lo que se haya detectado al efectuar las comprobaciones. De esta manera se
conseguir ir refinando la gestin, hacindola ms eficaz y efectiva.

1. Introduccin a los Sistemas de Gestin de Seguridad de la Informacin (SGSI)

17

1.3.2. Objeto y campo de aplicacin de la norma


La Norma UNE-ISO/IEC 27001, como el resto de las normas aplicables a los sistemas de gestin, est pensada para que se emplee en todo tipo de organizaciones
(empresas privadas y pblicas, entidades sin nimo de lucro, etc.), sin importar el
tamao o la actividad.
Esta norma especifica los requisitos para la creacin, implementacin, funcionamiento, supervisin, revisin, mantenimiento y mejora de un SGSI documentado,
teniendo en cuenta los riesgos empresariales generales de la organizacin. Es decir,
explica cmo disear un SGSI y establecer los controles de seguridad, de acuerdo
con las necesidades de una organizacin o de partes de la misma, pero no aclara
mediante qu procedimientos se ponen en prctica. Por ejemplo, uno de los principales requisitos es la realizacin de un anlisis de riesgos con unas determinadas
caractersticas de objetividad y precisin, pero no aporta indicaciones de cul es la
mejor manera de llevar a cabo dicho anlisis. Puede ejecutarse con una herramienta
comercial, con una aplicacin diseada expresamente para la empresa, mediante
reuniones, entrevistas, tablas o cualquier otro mtodo que se estime oportuno.
Todos estos recursos servirn para cumplir la norma, siempre y cuando se observen
los requisitos de objetividad del mtodo, los resultados sean repetibles y la
metodologa se documente.

1.4. La Norma UNE-ISO/IEC 27002


1.4.1. Origen
La Norma UNE-ISO/IEC 27002 Tecnologa de la informacin. Cdigo de buenas
prcticas para la gestin de la seguridad de la informacin, ha sido elaborada por el
AEN/CTN 71/SC 27 Tcnicas de seguridad que pertenece al comit tcnico conjunto ISO/IEC JTC 1/SC 27 Tecnologa de la informacin. En ambas normas el contenido es idntico, diferencindose nicamente en la numeracin, que ha sido
modificada en el marco de la creacin de la familia de normas ISO 27000.
Esta norma se est desarrollando dentro de una familia de normas internacionales
sobre Sistemas de Gestin de la Seguridad de la Informacin (SGSI). Tal familia
incluye normas internacionales sobre requisitos, gestin del riesgo, mtricas y
mediciones, as como una gua de implementacin de los sistemas de gestin de la
seguridad de la informacin. Dicha familia de normas tiene un esquema de numeracin que utilizar los nmeros de la serie 27000.

18

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

1.4.2. Objeto y campo de aplicacin


La Norma UNE-ISO/IEC 27002 establece las directrices y principios generales
para el comienzo, la implementacin, el mantenimiento y la mejora de la gestin
de la seguridad de la informacin en una organizacin. Es un catlogo de buenas
prcticas, obtenido a partir de la experiencia y colaboracin de numerosos participantes, los cuales han alcanzado un consenso acerca de los objetivos comnmente
aceptados para la gestin de la seguridad de la informacin.
Los objetivos de control y los controles de esta norma internacional tienen como
fin servir de gua para el desarrollo de pautas de seguridad internas y prcticas efectivas de gestin de la seguridad. Por ello, la eleccin de los controles permanece
sujeta a lo detectado en un anlisis de riesgos previo, y el grado de implementacin
de cada uno de los controles se llevar a cabo de acuerdo a los requisitos de seguridad identificados y a los recursos disponibles de la organizacin para alcanzar as
un balance razonable entre seguridad y coste.

1.5. El Esquema Nacional de Seguridad (ENS)


1.5.1. Origen
La Ley 11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a los Servicios Pblicos est siendo el motor y la gua de la administracin electrnica. Esta
ley ha dado paso a una nueva etapa en la gestin de la Administracin Pblica,
impulsando la adopcin de los medios tecnolgicos actualmente disponibles para
realizar tareas de gestin y facilitando a los ciudadanos el acceso a la Administracin Pblica en contextos ms adecuados a la realidad social.
Esta ley, en su artculo 1 reconoce el derecho de los ciudadanos a relacionarse con
las Administraciones Pblicas por medios electrnicos con la misma validez que
por los medios tradicionales, y estipula que stas utilicen las tecnologas de la informacin asegurando la disponibilidad, el acceso, la integridad, la autenticidad, la
confidencialidad y la conservacin de los datos, informaciones y servicios que gestionen en el ejercicio de sus competencias. Tambin determina que la herramienta
para conseguir este objetivo ser el Esquema Nacional de Seguridad, que establecer una poltica de seguridad en la utilizacin de medios electrnicos, y contar
con unos principios bsicos y una serie de requisitos mnimos que permitirn una
proteccin adecuada de los sistemas y la informacin.
El ENS est regulado por el Real Decreto 3/2010, de 8 de enero, que recoge los
requisitos tcnicos y organizativos que se deben cumplir para proteger la informacin dentro del mbito de aplicacin del mismo. Por tanto, se puede decir que trata

1. Introduccin a los Sistemas de Gestin de Seguridad de la Informacin (SGSI)

19

la proteccin de la informacin y de los servicios en el mbito de la administracin


electrnica y que, a la luz de principios y requisitos generalmente reconocidos,
exige la gestin continuada de la seguridad, aplicando un sistema de gestin de
seguridad de la informacin.

1.5.2. Objeto y campo de aplicacin


El objeto del ENS es garantizar la seguridad de los servicios prestados mediante
medios electrnicos, de manera que los ciudadanos puedan realizar cualquier trmite con la confianza de que va a tener validez jurdica plena y que sus datos van a
ser tratados de manera segura.
Toda la Administracin Pblica espaola, Administracin General del Estado,
Administraciones de las Comunidades Autnomas, Administraciones Locales, as
como las entidades de derecho pblico vinculadas o dependientes de las mismas,
estn sujetas al cumplimiento de los requisitos del ENS.
Su mbito de aplicacin son los sistemas de informacin, los datos, las comunicaciones y los servicios electrnicos, que permitan a los ciudadanos y a las Administraciones Pblicas el ejercicio de derechos y el cumplimiento de deberes a travs de
medios electrnicos.

1.6. Trminos y definiciones


Para cumplir con las intenciones de este documento, conviene aclarar el significado
de ciertos trminos y definiciones:
Activo
Cualquier bien que tiene valor para la organizacin.
[ISO/IEC 13335-1:2004]
Disponibilidad
La propiedad de ser accesible y utilizable por una entidad autorizada.
[ISO/IEC 13335-1:2004]
Confidencialidad
La propiedad por la que la informacin no se pone a disposicin o se revela
a individuos, entidades o procesos no autorizados.
[ISO/IEC 13335-1:2004]

20

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Seguridad de la informacin
La preservacin de la confidencialidad, la integridad y la disponibilidad de la
informacin, pudiendo, adems, abarcar otras propiedades, como la autenticidad, la responsabilidad, la fiabilidad y el no repudio.
[ISO/IEC 17799:2005]
Evento de seguridad de la informacin
La ocurrencia detectada en un estado de un sistema, servicio o red que indica
una posible violacin de la poltica de seguridad de la informacin, un fallo
de las salvaguardas o una situacin desconocida hasta el momento y que
puede ser relevante para la seguridad.
[ISO/IEC TR 18044:2004]
Incidente de seguridad de la informacin
Un nico evento o una serie de eventos de seguridad de la informacin, inesperados o no deseados, que tienen una probabilidad significativa de comprometer las operaciones empresariales y de amenazar la seguridad de la informacin.
[ISO/IEC TR 18044:2004]
Sistema de Gestin de la Seguridad de la Informacin (SGSI) [Information
Security Management System, ISMS]
La parte del sistema de gestin general, basada en un enfoque de riesgo
empresarial, que se establece para crear, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de la informacin.
Nota: el sistema de gestin incluye la estructura organizativa. las polticas, las actividades
de planificacin, las responsabilidades, las prcticas, los procedimientos, los procesos y
los recursos.

Integridad
La propiedad de salvaguardar la exactitud y completitud de los activos.
[ISO/IEC 13335-1:2004]
Riesgo residual
Riesgo remanente que existe despus de que se hayan tornado las medidas
de seguridad.
[ISO/IEC Guide 73:2002]

1. Introduccin a los Sistemas de Gestin de Seguridad de la Informacin (SGSI)

21

Aceptacin del riesgo


La decisin de aceptar un riesgo.
[ISO/IEC Guide 73:2002]
Anlisis de riesgos
Utilizacin sistemtica de la informacin disponible para identificar peligros
y estimar los riesgos.
[ISO/IEC Guide 73:2002]
Evaluacin de riesgos
El proceso general de anlisis y estimacin de los riesgos.
[ISO/IEC Guide 73:2002]
Estimacin de riesgos
El proceso de comparacin del riesgo estimado con los criterios de riesgo,
para as determinar la importancia del riesgo.
[ISO/IEC Guide 73:2002]
Gestin de riesgos
Actividades coordinadas para dirigir y controlar una organizacin con respecto a los riesgos.
[ISO/IEC Guide 73:2002]
Tratamiento de riesgos
El proceso de seleccin e implementacin de las medidas encaminadas a
modificar los riesgos.
[ISO/IEC Guide 73:2002].
Nota: en esta norma internacional, el trmino control se utiliza como sinnimo de
medida de seguridad.

Declaracin de aplicabilidad
Declaracin documentada que describe los objetivos de control y los controles que son relevantes para el SGSI de la organizacin y aplicables al mismo.
Nota: los objetivos de control y los controles se basan en los resultados y conclusiones de
la evaluacin de riesgos y en los procesos de tratamiento del riesgo, en los requisitos legales o reglamentarios, en las obligaciones contractuales y en las necesidades empresariales
de la organizacin en materia de seguridad de la informacin.

Comprender la
Norma UNE-ISO/IEC 27001

La seguridad no es el resultado de un proceso, es un proceso en s mismo. Se conseguir un nivel de seguridad aceptable en la medida en que este proceso funcione
y progrese adecuadamente.
No es de extraar, por tanto, que la Norma UNE-ISO/IEC 27001 exija que se
adopte un proceso para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el SGSI en una organizacin. Es decir, hay que disearlo, ponerlo
en marcha, comprobar que se obtienen los resultados esperados y, en funcin de
esa evaluacin, tomar acciones para corregir las desviaciones detectadas o intentar
mejorar la situacin, en este caso, la seguridad de la informacin. Y todo ello de
una manera ordenada y metdica, mediante un proceso.

2.1. Requisitos generales del sistema de gestin


de la seguridad
Una organizacin necesita identificar y administrar cualquier tipo de actividad para
funcionar eficientemente. Cualquier actividad que emplea recursos y es administrada para transformar entradas en salidas, puede ser considerada como un proceso. A menudo, estas salidas son aprovechadas nuevamente como entradas, generando una realimentacin.
Habitualmente se piensa que los sistemas de gestin son un conjunto de actividades que requieren unos niveles de recursos y dinero que no estn al alcance de una
empresa pequea. Nada ms lejos de la realidad. En infinidad de ocasiones son las
pequeas empresas las que ms se pueden beneficiar de estas iniciativas, ya que

24

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

carecen de los conocimientos y la cultura que transmiten las normas de manera tan
sinttica y depurada. El xito de un proyecto de implementacin de un SGSI est
fuertemente ligado a la habilidad del promotor de asignar los recursos justos y
necesarios para disear un sistema adecuado a las necesidades de la organizacin.
El sistema debe cumplir con los requisitos de la norma, por supuesto, pero no
menos importante es el cumplimiento de los requisitos del negocio. Cualquier
sistema de gestin debe apoyar el cumplimiento de los objetivos de la organizacin
o no tendr razn de ser.
Los requisitos que exige este estndar internacional son genricos y aplicables a la
totalidad de las organizaciones, independientemente de su tamao o sector de actividad. En particular, no se acepta la exclusin de los requerimientos especificados
en los apartados 4, 5, 6, 7 y 8 cuando una organizacin solicite su conformidad con
esta norma. Estos apartados son las que realmente conforman el cuerpo principal
de la norma:
Sistema de gestin de la seguridad de la informacin.
Responsabilidad de la direccin.
Auditoras internas del SGSI.
Revisin del SGSI por la direccin.
Mejora del SGSI.
Lo que la norma reclama es que exista un sistema documentado (poltica, anlisis
de riesgos, procedimientos, etc.), donde la direccin colabore activamente y se
implique en el desarrollo y gestin del sistema. Se controlar el funcionamiento
del sistema para que marche correctamente y la mejora sea continua, practicndose
auditoras internas y revisiones del sistema para verificar que se estn obteniendo
los resultados esperados, igualmente se activarn acciones encaminadas a solucionar los problemas detectados en las actividades de comprobacin (auditoras y revisiones), a prevenir problemas y a mejorar aquellos asuntos que sean susceptibles
de ello.
El sistema constar de una documentacin en varios niveles (vase la figura 2.1):
Polticas, que proporcionan las guas generales de actuacin en cada caso.
Procedimientos, que dan las instrucciones para ejecutar cada una de las tareas
previstas.
Registros, que son las evidencias de que se han llevado a cabo las actuaciones
establecidas.

2. Comprender la Norma UNE-ISO/IEC 27001

25

Polticas

Procedimientos

Registros

Figura 2.1. Niveles de documentacin

2.2. Establecimiento y gestin del SGSI


2.2.1. Establecimiento del SGSI
La norma establece una serie de requisitos, que se detallan a continuacin (vase la
figura 2.2). Para satisfacerlos, la organizacin debe buscar los medios ms apropiados a sus circunstancias, necesidades y, por supuesto, los recursos disponibles. Debe
recopilarse informacin sobre varios aspectos, tales como a qu se dedica la organizacin, qu necesidades de seguridad precisa teniendo en cuenta su actividad, y el
mbito en el que opera, as como las restricciones legales a las que puede estar
sujeta dicha actividad.
Los requisitos en muchos casos no se encuentran definidos. La organizacin sabe,
en trminos generales, qu nivel de seguridad desea, pero no existen mecanismos
para expresarlo y documentarlo. Hay que concretar esas necesidades que se perciben para poder comenzar el diseo del SGSI. Sabiendo qu se necesita se podrn

26

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

ISO 27001

Reglamentos

Leyes

SGSI

Recursos

Negocio

Contratos

Figura 2.2. Requisitos del SGSI

proponer opciones y tomar decisiones. Es fundamental no comprometer recursos


difciles de conseguir. Hay que ser realista con los recursos disponibles en cada
momento y dimensionar el proyecto de acuerdo con las prioridades del negocio.
Cuando una empresa decide adaptarse a esta norma (vase la figura 2.3), bsicamente se emprendern las actividades que se detallan a continuacin, y que como
tienen que ser documentadas, al finalizarlas, el SGSI contar ya con los siguientes
documentos:
Poltica de seguridad, que contendr las directrices generales a las que se
ajustar la organizacin en cuanto a seguridad, as como la estrategia a seguir
a la hora de establecer objetivos y lneas de actuacin. La poltica estar alineada con el resto de los objetivos del negocio y polticas de gestin que
existan en la organizacin. Esta poltica estar aprobada por la direccin.
Inventario de activos, que detallar los activos dentro del alcance del SGSI,
as como los propietarios y la valoracin de tales activos.
Anlisis de riesgos, con los riesgos identificados basndose en la poltica de
la organizacin sobre seguridad de la informacin y el grado de seguridad
requerido.

2. Comprender la Norma UNE-ISO/IEC 27001

27

Las decisiones de la direccin respecto a los riesgos identificados, as como


la aprobacin de los riesgos residuales.
Documento de aplicabilidad con la relacin de los controles que son aplicables
para conseguir el nivel de riesgo residual aprobado por la direccin.

Definir
alcance
Definir poltica
de seguridad
Identificar activos
Definir el enfoque
de anlisis
Identificar los riesgos
Analizar los riesgos
Tratar los riesgos

Figura 2.3. Establecer el SGSI

2.2.2. Definicin del alcance del SGSI


Es decir, sobre qu proceso (o procesos) va a actuar, ya que no es necesaria la aplicacin de la norma a toda la entidad. Hay que evaluar los recursos que se pueden
dedicar al proyecto y si realmente es preciso abarcar toda la organizacin. Normalmente es ms prctico limitar el alcance del SGSI a aquellos servicios, departamentos
o procesos en los que resulte ms sencillo, bien porque el esfuerzo va a ser menor
o porque la visibilidad del proyecto (interna o externa) es mayor. En cualquier caso,

28

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

hay que tener en cuenta que dimensionar correctamente el proyecto es fundamental


para alcanzar el xito. Embarcarse en un proyecto costoso, complejo, que se alarga
en el tiempo, con falta de resultados, est abocado al fracaso.

2.2.3. Definicin de la poltica de seguridad


Decidir qu criterios se van a seguir, estableciendo las principales lneas de accin
que se van a seguir para que la confidencialidad, la integridad y la disponibilidad
queden garantizadas. Esta poltica tendr en cuenta los requisitos del negocio, los
contractuales y los legales y estatutarios que sean aplicables. Es primordial incorporar en esta fase inicial las necesidades de la organizacin. Aunque a veces son difciles de expresar y documentar, es esencial que el SGSI est alineado con el resto de
las estrategias, planes y modos de funcionar de la organizacin para que pueda integrarse en el da a da sin complicaciones y rindiendo resultados desde el principio.
Cuando resulte posible, ser til recopilar los documentos de seguridad existentes
en la organizacin para incorporarlos desde el principio al sistema. La poltica de
seguridad debe dejar claras las normas bsicas de seguridad en la organizacin,
definiendo cul va a ser el comportamiento de la misma en cuanto a los usos de la
informacin y de los sistemas, los accesos, cmo se gestionarn las incidencias, etc.
Los empleados deben conocer esta poltica y adherirse a ella, incluso formalmente
si es necesario.

2.2.4. Identificacin de los activos de informacin


Se deben identificar junto con sus responsables. El SGSI va a proteger los activos
que queden dentro del alcance definido, por eso es vital listarlos todos, lo cual no
significa que haya que detallar cada componente de los sistemas de informacin y
cada documento que se maneje en la empresa, pero s es indispensable identificar
qu activos son los que soportan los procesos de la organizacin. Es decir, qu hace
falta para que la empresa funcione: los equipos, las aplicaciones, los informes, los
expedientes, las bases de datos, las comunicaciones, etc. Para ello, lo primero es
identificar los activos dentro del alcance del SGSI (hardware, software, infraestructuras, aplicaciones, servicios, etc.) junto con los responsables de estos activos.
Una vez identificados deben valorarse, de manera que se puedan categorizar, ya
que es probable que este inventario de activos sea voluminoso, por lo que no es
viable realizar un anlisis de riesgos sobre todos ellos. De acuerdo con la relevancia
que la organizacin otorgue a los activos, se escoger el grupo de los ms valiosos
para efectuar el anlisis de riesgos. Esta tarea consume gran parte de los recursos del
proyecto, por lo que es conveniente simplificarla ya desde esta fase.

2. Comprender la Norma UNE-ISO/IEC 27001

29

Los activos deben relacionarse con los procesos de negocio que soportan, de
forma que quede explcita la dependencia del negocio respecto de esos activos.
La norma es bastante clara al respecto. El SGSI debe apoyar la consecucin de
los objetivos de negocio. Se realiza una gestin para obtener unos resultados, la
seguridad de la informacin no es una excepcin. Su gestin ha de estar orientada en todo momento a que la organizacin funcione ms y mejor y consiga sus
propsitos. Como la seguridad parece un tema muy tcnico se puede caer en el
error de considerar que es un problema que deben solucionar los informticos.
No cabe duda de que la seguridad de la informacin consta de un destacable
componente tcnico y que el personal tcnico debe estar involucrado activamente
en el diseo, desarrollo y mantenimiento de un SGSI, pero recordemos que estamos hablando de un sistema de gestin, por lo que la parte de gestin es tanto
o ms importante que la parte tcnica. Un sistema no funciona si el personal que
lo debe utilizar no lo hace. Como prueba, slo hay que pensar que las incidencias
ms graves de seguridad no suelen tener su origen en fallos tcnicos, sino en fallos
humanos.

2.2.5. Definicin del enfoque del anlisis de riesgos


Hay que decidir cmo se enfocar el anlisis de riesgos. El anlisis de riesgos determinar las amenazas y vulnerabilidades de los activos de informacin previamente
inventariados. Esta tarea es crucial para el correcto diseo del SGSI, puesto que de
su resultado depende que se escojan unos controles u otros, que son los que conformarn nuestro sistema.
Como es una tarea laboriosa, se buscan mtodos para que su ejecucin sea ms
simple sin dejar de ser rigurosa. Primeramente se elige el nivel de detalle con el
que se va a llevar a cabo el anlisis, enfoque de mnimos o detallado, y despus
el grado de formalidad, enfoque informal o formal. Estas categoras no son excluyentes, es decir, se puede optar por un enfoque detallado y formal para un grupo
de activos muy crticos, para otro grupo importante se hace un anlisis detallado e
informal y para un tercer grupo de menor relevancia, un enfoque de mnimos.
Esto se llamara enfoque mixto. En un enfoque de mnimos se establece un nivel
bsico de seguridad para los sistemas, efectuando una simplificacin del inventario
de activos y del anlisis de riesgos que consuma los recursos mnimos. Con un
enfoque detallado se realizan revisiones detalladas del anlisis de riesgos para todos
los sistemas, se identifican todos los riesgos y la evaluacin de sus magnitudes.
Como estas tareas consumen muchos recursos, no se suele utilizar un enfoque detallado para todos los activos, slo para los ms notables.

30

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

2.2.6. Cmo escoger la metodologa del anlisis


de riesgos
Puesto que la norma nicamente establece que los resultados han de ser comparables y repetibles, debe escogerse aquella metodologa que mejor se adapte a los
modos de trabajo de la organizacin, as el ejercicio se integrar sin problemas en
el trabajo cotidiano. Adems, ayuda a que los resultados sean ms aceptables por la
organizacin y a que se pueda mantener en el tiempo. Si la metodologa escogida
es excesivamente complicada y requiere mucho esfuerzo para llevar a cabo el anlisis,
la carga de trabajo aadida complicar el proyecto, y los resultados pueden parecer
poco fiables por los no implicados directamente en su obtencin, puesto que ser
difcil explicarlos.
Identificar los riesgos que pueden afectar a la organizacin y a sus activos de informacin. Hay que saber cules son los peligros a los que se enfrenta la empresa, los
puntos dbiles, para poder solucionar de manera efectiva los problemas, insistiendo
con ms recursos y esfuerzos en los temas que ms lo necesitan. Un SGSI tiene que
incluir medidas de seguridad apropiadas a los riesgos a los que la organizacin debe
enfrentarse, para ello se plantear un anlisis de riesgos que determine el nivel de
riesgo existente sobre los activos de informacin de la empresa. Con un mtodo
de anlisis de riesgos ya escogido se identificarn las amenazas sobre estos activos,
las vulnerabilidades que podran ser explotadas por las amenazas y los impactos que
pueden tener en los activos. El riesgo se define a menudo como la funcin del dao
que podra producir una amenaza por la probabilidad de que eso ocurra. Cuantificando estos parmetros, se obtendrn los valores de riesgo para cada activo.
Definir los criterios para aceptar los riesgos y seleccionar los controles, de manera
proporcional a los riesgos detectados y a los recursos disponibles. En la prctica, el
punto de corte para decidir si se acepta un riesgo o no va a venir dado por los
recursos que se le puedan asignar al SGSI. Puesto que tendremos valores para cada
uno de los activos, se decidir a la vista de los mismos dnde se halla el valor por
debajo del cual ya no podremos hacer ms de lo que se ha hecho. Aplicar controles
a todos los activos no suele ser viable ni organizativa ni econmicamente.
Una vez definidos los lmites, condicionantes y requisitos que debe cumplir el
SGSI, puesto que en la norma no se requiere que exista un Manual de seguridad en
la lnea de otras normas de gestin, toda esta informacin debe quedar plasmada
en parte de los documentos que compondrn el SGSI. En particular es necesario
documentar en esta fase:
La poltica de seguridad, que adems debe aprobarse por la direccin.
La metodologa a seguir para realizar el anlisis de riesgos.

2. Comprender la Norma UNE-ISO/IEC 27001

31

2.2.7. Tratamiento de los riesgos


Obtenidos los niveles de riesgo, hay que decidir si son aceptables o no, segn el criterio fijado previamente. Si no lo son, hay que evaluar cmo se van a tratar esos
riesgos:
Mitigar el riesgo. Es decir, reducirlo, mediante la implementacin de controles
que disminuyan el riesgo hasta un nivel aceptable.
Asumir el riesgo. La direccin tolera el riesgo, ya que est por debajo de un
valor de riesgo asumible o bien porque no se puede hacer frente razonablemente a ese riesgo, por costoso o por difcil. La direccin debe firmar que
los activos con un valor de riesgo inferior no estarn sometidos a controles
que mitiguen el riesgo.
Transferir el riesgo a un tercero. Por ejemplo, asegurando el activo que tiene
el riesgo o subcontratando el servicio. An as, evidenciar que la responsabilidad sobre el activo permanece siempre en manos de la organizacin y tener
en cuenta que hay daos, como los causados a la reputacin de la organizacin, que difcilmente son cubiertos por ningn seguro.
Eliminar el riesgo. Aunque no suele ser la opcin ms viable, ya que puede
resultar complicado o costoso.
Tambin se puede optar por una estrategia que combine dos o ms de estas elecciones. Por ejemplo, un sistema muy crtico y con mucho riesgo puede decidirse a
aplicar controles que mitiguen el riesgo en los aspectos operativos cotidianos y subcontratar los cambios con lo que se transferir parte del riesgo al contratista. La
opciones ms habituales son las de mitigar y asumir. Cuando se resuelva mitigar el
riesgo, los controles deben ser seleccionados e implementados teniendo en cuenta
los requisitos identificados y el resultado del anlisis de riesgos.

2.2.8. Seleccin de controles


La norma especifica que los controles deben ser seleccionados de entre los listados
en el anexo A de la propia norma, es decir, los que la Norma UNE-ISO/IEC 27002
contiene. En caso necesario, se pueden aadir otros, pero esta lista de controles es
un slido punto de partida para elegir las medidas de seguridad apropiadas para
el SGSI, asegurando que ningn aspecto o control importante se pasan por alto.
La seleccin de controles es un punto crtico del SGSI. A la hora de escoger o
rechazar un control se debe considerar hasta qu punto ese control va a ayudar

32

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

a reducir el riesgo que hay y cul va a ser el coste de su implementacin y mantenimiento. Cabe la posibilidad de que un control que se estime oportuno implementar, sea demasiado costoso o difcil de implementar para la organizacin, por
resistencia al cambio o por falta de formacin, y que haya que excluirlo de la seleccin por esos motivos. Un SGSI no tiene necesariamente que tener cubiertos todos
y cada uno de los riesgos a los que se est expuesto, sino que tratar de mitigarlos
de acuerdo con las necesidades del negocio. Las necesidades de seguridad de un
banco y de un almacn de madera son radicalmente distintas, y eso significa que
sus SGSI tambin han de serlo. Nunca el coste de implementacin y mantenimiento de un control debe superar a los beneficios que se esperan de l.

2.2.9. Gestin de riesgos


Una vez seleccionados los controles se repetir el anlisis de riesgos, teniendo en
cuenta ya todas las medidas de seguridad implementadas y aquellas elegidas para
hacerlo. El valor del riesgo obtenido ser el riesgo actual, en funcin del que se
determina el riesgo asumible por la organizacin, y se deciden las nuevas estrategias y acciones para reducir los riesgos que estn por encima de ese valor.
Una tercera iteracin del anlisis de riesgos que contemplan las medidas previstas,
nos dar los riesgos residuales.
La direccin debe aprobar el valor de riesgo aceptable y asumir el riesgo residual.

2.2.10. Declaracin de aplicabilidad


El siguiente requisito de la norma es la preparacin de una declaracin de aplicabilidad, que debe incluir:
Los objetivos de control y los controles seleccionados, con las razones de
esta seleccin.
Los objetivos de control y los controles actualmente implementados, con
una justificacin.
La exclusin de cualquier control objetivo del control y de cualquier control
en el anexo A y la justificacin para dicha exclusin.
Esta declaracin de aplicabilidad sirve para comprobar que realmente se han considerado todas las opciones de controles disponibles y que no se ha omitido ninguno.

2. Comprender la Norma UNE-ISO/IEC 27001

33

2.2.11. Implementacin y puesta en marcha del SGSI


Para poner en marcha el SGSI la direccin tiene que aprobar la documentacin desarrollada en las actividades detalladas en el punto anterior y proveer los recursos
necesarios para ejecutar las actividades.
Estas actividades se registrarn en un plan de tratamiento del riesgo que regule todas
las acciones necesarias para tratarle, adems de los recursos, las responsabilidades y las
prioridades para la gestin de los riesgos de seguridad de la informacin.
Tan importante como la definicin de las tareas a realizar y los recursos que se van a
asignar, es decidir cmo se va a medir la eficacia de estas acciones y de las medidas de
seguridad aplicadas. Esto implica establecer un conjunto de objetivos y mtricas asociadas a los mismos, tanto para los procesos como para las medidas de seguridad, que
permitan evaluar de manera objetiva y precisa el avance en la mejora de la seguridad.
La seguridad de la informacin es una cuestin multidisciplinar e importante para
cada proyecto y sistema y para todos los usuarios en la organizacin. La asignacin
y delimitacin de responsabilidades debe asegurar que se acometen todas las tareas
relevantes y que se llevan a cabo de un modo eficiente. Si bien este objetivo puede
lograrse a travs de diversos esquemas, dependiendo de la estructura y tamao de
la organizacin, en cualquier caso se ha de de contar con la designacin de:
Un responsable de seguridad, que coordine las tareas y esfuerzos en materia de
seguridad. Actuar como foco de todos los aspectos de seguridad de la organizacin y sus responsabilidades cubrirn todas las funciones de seguridad.
Un comit de seguridad que trate y busque soluciones a los temas de seguridad, resuelva los asuntos interdisciplinarios y apruebe directrices y normas.
Ambos, el comit de seguridad y el responsable de seguridad de la organizacin,
deben tener sus tareas bien delimitadas y encontrarse a un nivel suficiente en la
estructura de la organizacin, de forma que pueda asegurarse el compromiso con
la poltica de seguridad. La organizacin debe proporcionar lneas claras de comunicacin, responsabilidad y autoridad al responsable de seguridad, y sus tareas han
de ser aprobadas por el comit de seguridad.

2.2.12. Control y revisin del SGSI


La revisin del SGSI forma parte de la fase del Check (comprobar) del ciclo PDCA.
Hay que controlar y revisar el SGSI de manera peridica para garantizar la conveniencia, adecuacin y eficacia continuas del sistema.

34

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Para efectuar la revisin hay que recopilar informacin de los resultados de las distintas actividades del SGSI para comprobar si se estn alcanzando los objetivos, y,
si no es as, averiguar las causas y buscar soluciones.
Las revisiones consistirn en estudiar los resultados de las auditoras de seguridad,
los incidentes, los resultados de la eficacia de las mediciones, las sugerencias y las
opiniones de todas las partes interesadas. Hay que medir la eficacia de los controles
para verificar que se han cumplido los requisitos de seguridad.
Adems, hay que revisar los anlisis del riesgo a intervalos planificados y examinar
los riesgos residuales, as como los niveles aceptables del riesgo, teniendo en cuenta
los cambios en la organizacin, la tecnologa, los objetivos y procesos del negocio,
las amenazas identificadas, la eficacia de los controles implementados, los cambios
en el entorno legal o reglamentarios, cambios en las obligaciones contractuales y
cambios en el entorno social. Las auditoras internas del SGSI tambin forman
parte de esta fase de revisin.
Las revisiones del SGSI tienen que estar planificadas y gestionadas para asegurar
que el alcance contina siendo adecuado y que se han identificado mejoras en el
proceso del SGSI.
En cualquier caso, todos los resultados de las revisiones deben ser documentados
para proporcionar evidencia de su realizacin, involucrar a la direccin en la gestin del sistema y apoyar las acciones de mejora, as como para actualizar los planes
de seguridad.

2.2.13. Mantenimiento y mejora del SGSI


La seguridad es un proceso en continuo cambio. Las organizaciones no son estticas y su gestin tampoco lo es. Por lo tanto, sera un grave error considerar que una
vez analizados los riesgos y definidas las medidas para reducirlos se haya terminado
el trabajo. Los cambios en la organizacin impactarn en los niveles de riesgo y a la
inversa, y tiene que haber mecanismos que acomoden estos cambios y mantengan
el nivel de seguridad en un nivel aceptable.
Un sistema de gestin debe mantenerse y mejorarse en lo posible para que resulte
efectivo. El mantenimiento incluye el detectar mejoras e implementarlas, aprender
de los defectos y errores identificados, y aplicar acciones correctivas y preventivas
donde sea apropiado.

2. Comprender la Norma UNE-ISO/IEC 27001

35

2.3. Requisitos de documentacin


2.3.1. Generalidades
El SGSI debe contar con la documentacin necesaria que justifique las decisiones
de la direccin, las polticas y las acciones tomadas y que se pueda demostrar que
los controles seleccionados lo han sido como resultado de estas decisiones y del
anlisis de riesgos. Es decir, se debe delinear la trazabilidad que se ha de seguir
desde las polticas y objetivos hasta los controles implementados.
Por ello es necesario tener documentado:
La poltica y los objetivos del SGSI.
El alcance del SGSI.
Una descripcin de la metodologa de anlisis del riesgo.
El inventario de activos.
Los procedimientos y controles de apoyo al SGSI.
El anlisis del riesgo.
El plan de tratamiento del riesgo.
La declaracin de aplicabilidad.
Los procedimientos necesarios para la implementacin de los controles y
para asegurarse de que se cumplan los objetivos.
Los registros requeridos por la norma.
La norma no exige ningn tipo de formato para los documentos ni para los registros, cualquier soporte es vlido.

2.3.2. Control de documentos


Los documentos requeridos por el SGSI deben hallarse protegidos y controlados,
por lo que se precisan unos procedimientos de control de documentacin, de revisin y de registro (informes, auditoras, cambios, autorizaciones de acceso, permisos
temporales, bajas, etc.).
Los procedimientos de documentacin deben contemplar cmo se generan, aprueban, revisan y actualizan los documentos segn sea necesario.

36

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Una buena gestin documental contar con que los cambios sean identificados y
que la identificacin de los documentos y su estado resulten claras.
Los documentos deben estar disponibles y accesibles en todos los puntos en los que
sea necesario utilizarlos. Adems, hay que comprobar que el almacenamiento sea
correcto y que cuando haya que destruir los documentos se haga de acuerdo con su
clasificacin. Cuando un documento quede obsoleto hay que retirarlo para evitar
su uso.

2.3.3. Control de registros


Los registros son aquellos documentos que proporcionan evidencia de la realizacin de actividades del SGSI. Con ellos se puede verificar el cumplimiento de los
requisitos. Ejemplo de registros son el libro de visitas, los informes de auditoras y
los logs de los sistemas.
Los registros estarn protegidos y controlados teniendo en cuenta cualquier requisito de tipo legal, reglamentario u obligacin contractual. Permanecern legibles,
fcilmente identificables y recuperables. Los controles necesarios para la identificacin,
almacenamiento, proteccin, recuperacin, tiempo de conservacin y disposicin
de los registros se encontrarn documentados e implementados.
Debern guardarse todos los registros del funcionamiento del proceso y las incidencias de seguridad significativas relacionadas con el SGSI.

2.4. Compromiso de la direccin


Uno de los requisitos fundamentales para poner en marcha un SGSI es contar
con el compromiso de la direccin, no slo por ser uno de los epgrafes contemplados en la norma, sino porque el cambio de cultura y concienciacin que
genera el proceso sera imposible de sobrellevar sin el compromiso constante de
la direccin.
El desarrollo, la implementacin y el mantenimiento del SGSI exigen un esfuerzo
organizativo importante, que nicamente podra llevarse a cabo con una voluntad
clara de hacerlo por parte de la direccin, puesto que es ella quien tiene que proveer de recursos al proyecto, tanto financieros como humanos, por lo que su apoyo
es imprescindible.
La direccin debe comprometerse de manera evidente con el establecimiento,
implementacin, puesta en marcha, monitorizacin, revisin, mantenimiento y

2. Comprender la Norma UNE-ISO/IEC 27001

37

mejora del SGSI. La forma en la que se plasma este compromiso es colaborando o


ejecutando, segn los casos, las siguientes tareas:
Establecer la poltica del SGSI.
Asegurar que se establecen los objetivos y planes del SGSI.
Asignar los roles y las responsabilidades para la seguridad de la informacin.
Comunicar a la organizacin la conveniencia del cumplimiento de los objetivos de seguridad de la informacin y, conforme a la poltica de seguridad
de la informacin, sus responsabilidades legales y la necesidad de la mejora
continua.
Proporcionar recursos suficientes para implementar, mantener y mejorar
el SGSI.
Decidir los criterios de aceptacin de los riesgos.
Verificar que se realizan las auditoras internas del SGSI.
Dirigir la gestin de las revisiones del SGSI.

2.5. Gestin de los recursos


Como se comentaba anteriormente, es la direccin la que debe gestionar los
recursos. Ha de comenzar por proveer de recursos al desarrollo y mantenimiento
del SGSI en funcin de lo que se estime necesario para establecer, implementar,
poner en funcionamiento, efectuar el seguimiento, revisar, mantener y mejorar el
SGSI.
Hay que contar con las diversas tareas que implica el funcionamiento, la verificacin y la mejora del sistema, puesto que conservar el nivel de seguridad que aporta
el SGSI slo puede lograrse comprobando regularmente que los procedimientos
de seguridad estn alineados con el negocio, que cumplen con los requisitos legales,
que los controles estn correctamente implementados y que se llevan a cabo las
acciones oportunas para corregir errores y mejorar el sistema.
Captulo aparte merece la gestin de los recursos humanos. Este punto es uno de
los factores crticos de xito. Sin una colaboracin activa del personal es muy difcil
implementar con xito un SGSI.

38

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

2.6. Formacin
La norma exige que todos los trabajadores con responsabilidades definidas en el
SGSI sean competentes para efectuar las actividades necesarias. Esto significa que
hay que definir las competencias necesarias y, en funcin de tales necesidades,
proporcionar la formacin a la plantilla o adoptar otras acciones para satisfacerlas
(por ejemplo, la contratacin de personal competente).
Como cualquier otra actividad, requiere una planificacin, as como verificar que
se cumplen los objetivos y mantener los registros de educacin, formacin y cualificacin de los empleados.
Independientemente de la formacin, el personal estar concienciado de la importancia de las actividades de seguridad de la informacin y en particular de las suyas
propias, y de que cmo la aportacin de cada uno es fundamental para alcanzar los
objetivos de seguridad establecidos, y en consecuencia los de la organizacin.
En la medida que seamos capaces de formar al personal y concienciarlo de que es
fundamental ceirse a las normas de seguridad, reduciremos drsticamente la probabilidad de fallos y su potencial impacto.

2.7. Auditoras internas


Una de las herramientas ms interesantes para controlar el funcionamiento del
SGSI son las auditoras internas. Estas auditoras deben programarse y prepararse
regularmente, normalmente una vez al ao. Esta programacin se recoger en el
plan de auditoras.
A la hora de desarrollar el plan de auditoras hay que fijarse en:
El estado e importancia de los procesos y las reas que sern auditadas, de
este modo se determinar el tiempo y los recursos que habr que destinar
para efectuar la auditora.
Los criterios de la auditora.
El alcance, si va a ser global (va a abarcar toda la empresa) o parcial (slo una
parte).
La frecuencia de realizacin de las auditoras, sabiendo que cada tres aos, al
menos, toda la organizacin debe ser auditada.
Los mtodos que se van a utilizar para hacer las auditoras.

2. Comprender la Norma UNE-ISO/IEC 27001

39

El plan ha de estar aprobado por la direccin. Una vez preparado y aprobado, debe
distribuirse a todos los departamentos y a los auditores afectados con la suficiente
antelacin, de manera que puedan preparar adecuadamente la auditora.
Las auditoras internas sirven para determinar si los objetivos, los controles y los
procedimientos son conformes con los requisitos aplicables (los de la propia
norma, los de negocio, los legales, los de seguridad, etc.), as como el grado de
implementacin que tienen, si se estn aplicando bien y si los resultados obtenidos
son los esperados.
Debe existir un procedimiento documentado que defina las responsabilidades y los
requisitos para planificar y dirigir las auditoras, para informar de los resultados y para
mantener los registros, tales como el informe de auditora emitido por los auditores.
El responsable del rea auditada debe asegurar que las acciones para eliminar las
no conformidades detectadas y sus causas se llevan a cabo en un plazo razonable.
El seguimiento de las actividades debe incluir la verificacin de las acciones tomadas
y el informe de la verificacin de los resultados.
Es importante la seleccin de los auditores, ya que no deben auditar su propio trabajo, slo siendo independientes se puede garantizar la imparcialidad.

2.8. Revisin por la direccin


La direccin debe revisar el SGSI de manera peridica para garantizar la conveniencia, adecuacin y eficacia continuas del sistema. El proceso de revisin por la
direccin no debera ser un ejercicio ejecutado nicamente para cumplir los requisitos de la norma y de los auditores, sino que debera ser una parte integral del proceso de gestin del negocio de la organizacin.
Para realizar esta revisin hay que recopilar informacin de los resultados de las distintas actividades del SGSI para comprobar si se estn alcanzando los objetivos, y
si no es as, averiguar las causas y decidir sobre las posibles soluciones.
Esta revisin es una de las pocas tareas que se le asigna especficamente a la direccin,
por lo que posee relevancia en varios aspectos: mantiene a la direccin en contacto
con la realidad del SGSI, ya que lgicamente no se encuentra involucrada en el da a
da, pero es importante que est al tanto de los trabajos realizados, de los logros obtenidos y de los problemas que aparezcan. Adems es una herramienta para aportar iniciativas al SGSI, ya que es la direccin la encargada de la visin estratgica de la
empresa, la que determina hacia dnde debe ir y cmo. Como herramienta de gestin que es, el SGSI debe incorporar esta visin y colaborar para hacerla viable.

40

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

2.8.1. Entradas a la revisin


Los resultados de la revisin deben ser documentados para proporcionar evidencia
de su realizacin, involucrar a la direccin en la gestin del sistema y apoyar las
acciones de mejora.
Las entradas a la revisin pueden ser:
Los resultados de las auditoras y las revisiones del SGSI.
Comentarios de las partes interesadas (usuarios de los sistemas de informacin, contratistas, clientes, etc.).
Tcnicas, productos o procedimientos que podran ser empleados en la organizacin para mejorar el funcionamiento y la efectividad del SGSI.
El estado de las acciones preventivas y correctivas.
Las vulnerabilidades o amenazas que no se han tratado adecuadamente en
anlisis de riesgos anteriores.
Los resultados de las mtricas de efectividad.
Las acciones de seguimiento de anteriores revisiones por la direccin.
Cualquier cambio que pudiera afectar al SGSI.
Recomendaciones para la mejora.
Con esta informacin se puede tener una visin general de hasta qu punto el SGSI
est funcionando bien, mal o no todo lo bien que se esperaba. Investigando en las
causas de los fallos o dificultades encontradas se pueden corregir los errores y mejorar
el rendimiento del sistema, que en definitiva es el objetivo de la revisin, adems
de involucrar a la direccin activamente en la gestin del sistema.

2.8.2. Salidas de la revisin


Los resultados de la revisin pueden ser de varios tipos:
Identificacin de acciones para mejorar la efectividad del SGSI.
Actualizacin de la evaluacin y la gestin de riesgos.
Modificacin de los procedimientos y controles que afectan a la seguridad
de la informacin para ajustarse a incidentes o cambios en:
Requisitos de negocio, de seguridad o legales.

2. Comprender la Norma UNE-ISO/IEC 27001

41

Procesos de negocio que tengan efecto en los requisitos de negocio existentes.


Obligaciones contractuales.
Niveles de riesgo y/o criterios para aceptar los riesgos.
Necesidades de recursos.
Realizacin de mejoras en la manera de medir la efectividad de los controles.
La revisin, aunque se centre en la deteccin y resolucin de problemas en la gestin
y operativa del SGSI, debe considerar tambin los puntos fuertes, es decir, qu se
est haciendo bien y la razn, sobre todo en comparacin con revisiones anteriores,
de manera que se ponga en evidencia la mejora continua del sistema.
Como resultado del proceso de revisin por la direccin, debera existir evidencia
de decisiones relacionadas con cambios en la poltica y los objetivos de seguridad,
los planes, presupuestos o acciones de mejora.
Se requieren registros de la revisin por la direccin, pero no se especifica su
formato. Las actas de las reuniones son el tipo ms comn de registro, pero los
registros electrnicos, los diagramas estadsticos, las presentaciones, etc., podran
ser tipos de registro aceptables.
El informe de revisin por la direccin suele realizarlo el responsable de seguridad
y discutirse dentro del comit de seguridad, aunque es la direccin quien debe
aprobarlo una vez consensuado.

2.9. Mejora continua


La mejora continua es una actividad recurrente para incrementar la capacidad a la
hora de cumplir los requisitos. El proceso mediante el cual se establecen objetivos
y se identifican oportunidades de mejora es continuo.
Es un punto fundamental en cualquier sistema de gestin segn las normas ISO.
Este concepto tambin es crucial en todos los modelos de mejora de procesos o
negocio que existen. En pura lgica, cualquier organizacin desea hacer las cosas
cada vez mejor (mejores productos, ms baratos, en menos tiempo, mayores beneficios), por lo que la mejora continua es un concepto empresarial de primer orden.
Los sistemas de gestin tendrn por tanto que apoyar este proceso, que se realimenta a s mismo y nunca termina, ya que siempre se puede mejorar en algo.

42

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Cuando una organizacin se considera madura, es decir, cuando la mejora continua forma parte de la cultura de la empresa y se obtiene el mximo rendimiento de
los procesos, es porque todos los niveles de la organizacin estn involucrados y la
direccin ha hecho de la mejora continua una de las herramientas fundamentales
para la gestin del negocio. Aunque la mejora continua es un proceso que debe ser
impulsado desde la direccin, su implementacin se realizar en la base, donde se
ejecuta el trabajo.
Las principales herramientas para la mejora continua son las revisiones, las auditoras, las acciones correctivas, preventivas y de mejora, los objetivos y el anlisis de
los incidentes de seguridad. Los resultados de estas actividades son una valiossima
fuente de informacin sobre cules son los puntos dbiles de la organizacin y sus
procesos. Sabiendo esto, se pueden tomar acciones encaminadas a eliminarlos,
haciendo que los procesos sean ms eficientes y efectivos, en definitiva, que hacer
el trabajo sea cada vez ms rpido y menos costoso, tanto en recursos humanos
como en materiales.

2.9.1. Accin correctiva


La accin correctiva se define como la tarea que se emprende para corregir una no
conformidad significativa con cualquiera de los requisitos del sistema de gestin de
seguridad de la informacin.
Localizado el problema debe determinarse la relacin causa-efecto, considerando
todas las causas posibles. A veces no es fcil dilucidar cules son las causas exactas
del problema, pero hay que intentar aproximarse lo ms posible. En primer lugar
porque slo conociendo de dnde parti el problema se puede tomar una decisin
coherente y acertada para solucionarlo. Y adems porque es la manera de ir destapando los puntos dbiles de nuestros procesos. En ms de una ocasin varios problemas detectados se han originado de un nico punto, y hasta que no se solucione
ese punto es muy probable que se sucedan incidencias que aparentemente pueden
tener poco que ver entre s.
Una vez localizado el origen, se analiza su importancia relativa y las alternativas que
pueden aplicarse para solucionar el problema, evaluando su coste y complejidad.
Esto se realizar normalmente dentro del comit de seguridad, que tomar la decisin sobre las acciones a tomar y asignar responsables y plazos para su ejecucin.
Es esencial el cumplimiento de los plazos, y el comit debe velar por ello y analizar,
en su caso, cules son los motivos por los que no se cumplen.
Un error frecuente cuando se empiezan a utilizar las acciones correctivas es hacerlo
para todo, grandes y pequeos problemas. Es cierto que, y ms al principio, es dif-

2. Comprender la Norma UNE-ISO/IEC 27001

43

cil distinguir entre los diversos grados de gravedad de las incidencias o no conformidades detectadas. Pero utilizar las acciones correctivas para todo no resulta
eficaz, deberan reservarse para asuntos que no pueden ser resueltos satisfactoriamente por otros medios. Cuando surgen los problemas hay que valorar si son incidentes cotidianos, problemas de origen conocido, de fcil solucin y que no conllevan
un impacto considerable. Si el problema tiene causas difciles de detectar, la solucin no es obvia o factible, es un hecho recurrente, el impacto que ha causado es
importante o es una desviacin sistemtica de las normas, entonces s es apropiado
utilizar una accin correctiva para solucionarlo.
Esta herramienta debe emplearse para detectar errores o fallos en los procesos y
nunca para buscar culpables. Si no se hace as, no se contar con la colaboracin
del personal en la deteccin de las causas de los problemas y la bsqueda de soluciones, y realmente son los que tienen el conocimiento para ello, por lo que es fundamental asegurarse su colaboracin.

2.9.2. Accin preventiva


Las acciones preventivas se aplican para evitar la aparicin de futuras no conformidades. Son acciones encaminadas a eliminar la causa de una posible no conformidad.
En una accin preventiva se determina la posible fuente de problemas con el objeto
de eliminarla. Se pretende con ello evitar tener que solucionar problemas, puesto
que es ms eficaz y sencillo prevenirlos que solucionarlos.
Se puede decidir abrir acciones preventivas a raz de observaciones detalladas en las
auditoras internas o externas, del anlisis de la evolucin de los objetivos y de los
resultados de las actividades de revisin, ya que pueden utilizarse como fuentes de
informacin para el establecimiento de acciones preventivas:
Los resultados de la revisin por la direccin.
Los resultados de los anlisis de incidencias y objetivos.
Los registros.
El personal.
Las acciones preventivas son poco frecuentes al inicio de la implementacin de un
SGSI, ya que requieren una cierta madurez del sistema y una actitud proactiva del
personal para que afloren los problemas potenciales susceptibles de ser el objeto de
una accin preventiva. Por eso mismo son una potente herramienta de gestin que
permite adelantarse a los fallos, economizando recursos y costes. Se pasa de una
coyuntura de apagar fuegos a controlar la situacin y modificarla de acuerdo con
las necesidades de la organizacin.

44

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Tanto en el caso de las acciones preventivas como en el de las correctivas, debe asignarse responsables con nombres y apellidos, y determinar fechas lmites de resolucin para que la responsabilidad no se diluya. Por supuesto no es viable asignar
tareas a quien puede no tener la competencia o autoridad para llevarlas a cabo, por
lo que hay que ser cuidadosos al asignar dichas responsabilidades.

2.10. El anexo A
El anexo A contiene los 133 controles considerados como las mejores prcticas en
seguridad de la informacin y que se detallan en la Norma UNE-ISO/IEC 27002.
A lo largo de la Norma UNE-ISO/IEC 27001 se referencia este anexo como el
punto de partida para la seleccin de controles. Es decir, cuando se est desarrollando el SGSI, al llegar a dicha tarea, se debe utilizar esta tabla como lista de chequeo para decidir si procede o no aplicar cada uno de los controles. El resultado de
este chequeo se documentar en el documento de aplicabilidad.

Comprender la Norma
UNE-ISO/IEC 27002

Esta norma contiene 11 captulos de controles de seguridad, es decir, reas de la


seguridad a considerar, con un total de 39 categoras principales de seguridad, con
sus correspondientes objetivos y los controles asociados a esos objetivos, ms un
captulo de introduccin sobre valoracin y tratamiento del riesgo.
Los 11 captulos (acompaados del nmero de categoras principales de seguridad
incluidos dentro de cada captulo) son los siguientes:
Poltica de seguridad (1).
Aspectos organizativos de la seguridad de la informacin (2).
Gestin de activos (2).
Seguridad ligada a los recursos humanos (3).
Seguridad fsica y del entorno (2).
Gestin de comunicaciones y operaciones (10).
Control de acceso (7).
Adquisicin, desarrollo y mantenimiento de los sistemas de informacin (6).
Gestin de incidentes de seguridad de la informacin y mejoras (2).
Gestin de la continuidad del negocio (1).
Cumplimiento (3).
Para cada uno de los controles la norma proporciona guas para su implementacin. Esta norma no es certificable, por lo que las recomendaciones no deben
ser consideradas normativas. Las indicaciones que da la norma son bastantes

46

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

exhaustivas, por lo que resultan muy tiles como referencia, pero no son obligatorias.
El grado de implementacin de cada uno de los controles es algo que la organizacin
debe decidir en funcin de sus necesidades y recursos disponibles. Y, por supuesto, el
modo en que se implementen es de competencia exclusiva de la organizacin.

3.1. Valoracin y tratamiento del riesgo


La norma propone 133 controles, pero no para tener que cumplirlos todos, sino
para elegir de entre ellos los que sean ms apropiados. Esto es precisamente lo que
nos ayudar a decidir la valoracin del riesgo.
Una vez identificados y valorados los activos, se elige el grupo a analizar. Pueden
ser todos, pero en el caso de que sean numerosos es recomendable escoger un
grupo, habitualmente el de los ms crticos, para no complicar en exceso el anlisis
de riesgos. Este anlisis es una tarea crucial y, en muchos casos, la ms laboriosa,
por cuanto exige valorar una gran cantidad de parmetros desde mltiples puntos
de vista, y suele implicar a multitud de personas que deben llegar a un consenso en
sus valoraciones. El objetivo es poner un valor lo ms objetivo posible a los riesgos
a los que estn expuestos los activos.
Para ello existen diversas metodologas, como CRAMM, Ebios, Magerit, ISO
13335-2, etc., y muchas herramientas en el mercado, como Callio, Cramm, Pilar,
casi siempre basadas en alguna de las metodologas ms aceptadas. Lo importante es
elegir aquel mtodo o herramienta que sea fcil de utilizar y que no exija demasiado
esfuerzo despus para mantener actualizado el anlisis de riesgos.
Es necesario que el personal de los distintos mbitos de la organizacin se implique
en la realizacin del anlisis de riesgos. Lo que la norma s exige es que este anlisis
sea objetivo y repetible. Para cumplir con el primer requisito resulta casi imprescindible que la mayor parte de las reas implicadas en el SGSI participen y aporten
su punto de vista en el anlisis de riesgos. Las distintas perspectivas permitirn
obtener un idea ms precisa de cules son exactamente los peligros y en qu medida
pueden afectar a la organizacin, sobre todo cuando la organizacin funciona por
departamentos y no por procesos, puesto que cada rea conoce y controla lo que
pasa en su entorno, pero no en el resto, no lo que ocurre a lo largo de todo el proceso, y saber eso es precisamente lo que se necesita para que el anlisis de riesgos
sea realista y est lo menos sesgado posible hacia un rea en particular. Cuanto ms
objetivo sea el anlisis y ms fcil de utilizar el mtodo o herramienta escogido,
mejor se cumplir el segundo requisito de que el anlisis sea repetible.
En general, en cualquier metodologa o herramienta se proporcionar una lista de
posibles amenazas, unas vulnerabilidades que habr que considerar, y unos baremos

3. Comprender la Norma UNE-ISO/IEC 27002

47

para ponderar la probabilidad y el impacto que ocasionaran en la organizacin


que la amenaza se convirtiese en realidad. Valorando todos los parmetros que nos
ofrecen, se obtendr un valor de riesgo. Sealar que este anlisis de riesgos debe
efectuarse observando que no existe ninguna medida de seguridad implementada
para calcular lo que se llama riesgo intrnseco, es decir, el riesgo que presenta un
activo por el mero hecho de existir.
Obtenidos los valores de riesgo de todos los activos conseguiremos una imagen de
dnde radican los mayores riesgos en nuestra organizacin y, por lo tanto, en qu
puntos hay que incrementar el esfuerzo, dnde tendremos que aplicar medidas o
mejorar las existentes.

3.2. Poltica de seguridad


El nico objetivo de este captulo es que la organizacin cuente con una poltica
que refleje sus expectativas en materia de seguridad, a fin de gestionarla con
coherencia y soporte.
Este captulo consta de dos controles:
Documento de poltica de seguridad. El documento de poltica de seguridad
de la informacin debera establecer el compromiso de la direccin y el
enfoque de la organizacin para gestionar la seguridad de la informacin.
Este documento debera ser aprobado por la direccin y publicado y comunicado a todos los empleados y terceras partes.
Revisin de la poltica de seguridad. La poltica de seguridad debe ser un
documento vivo, que se revise y actualice peridicamente para que siga
siendo adecuado tras los inevitables cambios que sufre toda organizacin.
Al implementar un SGSI segn la UNE-ISO/IEC 27001, es obligatorio desarrollar
una poltica de seguridad y mantenerla actualizada, por lo que la mera implementacin del sistema ya cumple con estos dos controles.

3.3. Organizacin de la seguridad


Este captulo tiene dos objetivos:
Organizacin interna, para gestionar la seguridad de la informacin dentro
de la organizacin. Los controles de este objetivo son:

48

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Compromiso de la direccin con la seguridad de la informacin. La direccin debe respaldar la seguridad de la informacin y tomar decisiones al
respecto, tales como poner objetivos y aprobar el riesgo aceptable, proporcionando recursos y avalando acciones.
Coordinacin de la seguridad de la informacin. Es fundamental que las
actividades relativas a la seguridad de la informacin estn coordinadas
para que no haya redundancia o lagunas y produzcan situaciones indeseadas.
Asignacin de responsabilidades relativas a la seguridad de la informacin.
Hay que definir claramente quin se va a encargar de cada actividad de
seguridad de la informacin, evitando malentendidos y errores.
Proceso de autorizacin de recursos para el tratamiento de la informacin.
La gestin de la seguridad debe comenzar en el mismo proceso de compra de cada nuevo recurso de tratamiento de la informacin.
Acuerdos de confidencialidad. Para proteger adecuadamente la informacin sensible de la organizacin, deben establecerse y revisarse de una
manera regular cundo y quin debe firmar este tipo de acuerdo.
Contacto con las autoridades. Sera recomendable mantener los contactos
adecuados con las autoridades correspondientes, en particular en lo referente a planes de continuidad del negocio que pueden requerir de contactos en los cuerpos y fuerzas de seguridad del Estado.
Contacto con grupos de inters especial. Dada la complejidad de la seguridad y los numerosos cambios tecnolgicos que influyen en cmo hay que
enfocarla y tratarla, es fundamental mantenerse al da y conservar el contacto con grupos de inters especial, foros y asociaciones profesionales
especialistas en seguridad.
Revisin independiente de la seguridad de la informacin. Siempre es til
contar con la opinin de terceros, sobre todo si son especialistas en el
tema, para que valoren si el enfoque de la organizacin para la gestin de
la seguridad de la informacin es adecuado y en qu se puede mejorar. La
ausencia de presiones internas y la comparacin con otras organizaciones
o modelos de gestin permite que surja un aporte de cosas nuevas que
difcilmente hubieran aflorado internamente.
Terceros. El objetivo aqu es que las medidas de seguridad abarquen tambin a cualquier tercero que sea susceptible de acceder, procesar, comunicar o gestionar la informacin de la organizacin. Los controles para
ello son:

3. Comprender la Norma UNE-ISO/IEC 27002

49

Identificacin de riesgos derivados del acceso de terceros. Lgicamente, el


primer control ser saber cules son los riesgos que supone el acceso de
terceros a nuestros sistemas e informacin, para poder implementar los
controles adecuados antes de permitir dicho acceso.
Tratamiento de la seguridad en la relacin con los clientes. Si a los clientes
se les permite acceder a la informacin, hay que considerar qu requisitos
deben cumplir y los sistemas para garantizar la seguridad.
Tratamiento de la seguridad en contratos con terceros. Es crtico que se
hagan acuerdos formales con aquellos terceros que posean acceso a recursos de tratamiento de informacin de la organizacin. Estos acuerdos
deben basarse en un contrato formal que contemple todos los requisitos
de seguridad necesarios y que obligue a que se cumplan las polticas y
normas de seguridad de la organizacin. El contrato debe asegurar que no
hay malentendidos entre la organizacin y los terceros. De esta manera la
organizacin puede mantener el mismo control tanto sobre sus usuarios
internos como sobre los externos.

3.4. Gestin de activos


Los activos de informacin son los elementos que tratamos de proteger con el
SGSI. Los controles de este captulo estn dirigidos a lograrlo.
Responsabilidad sobre los activos. Para conseguir y mantener una proteccin
adecuada sobre los activos de la organizacin deben existir responsabilidades
claras. Hay tres controles para este objetivo:
Inventario de activos. Para poder gestionarlos, es fundamental identificar
dichos activos, preparando con esa informacin un inventario de todos los
activos importantes, que habr de ser mantenido y actualizado. Se necesita un inventario de los recursos de informacin de la organizacin para,
basndose en este conocimiento, asegurar que se brinda un nivel adecuado
de proteccin.
Propiedad de los activos. Cada uno de los activos contar con un propietario, una parte designada de la organizacin, y ser responsable de su
seguridad.
Uso aceptable de los activos. Las reglas bsicas para el empleo aceptable
de la informacin y de los activos asociados con los recursos para el
tratamiento de la informacin deben ser documentadas y publicadas, para
que se apliquen en toda la organizacin.

50

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Clasificacin de la informacin, para asegurar que la informacin recibe un


nivel adecuado de proteccin en funcin de su criticidad. Existen dos controles:
Directrices de clasificacin. Debe clasificarse la informacin de acuerdo a
su sensibilidad y criticidad, su valor para la organizacin y el dao que
ocasionara su fuga o filtracin, para as poder adoptar las medidas de
seguridad adecuadas a cada nivel de proteccin.
Etiquetado y manipulado de la informacin. La informacin debe ser
marcada y tratada de acuerdo con el esquema de clasificacin adoptado
por la organizacin. El etiquetado de la informacin puede realizarse de
diferentes formas, pero debera hacerse de modo que se distinga fcilmente el tipo de informacin que contiene el documento.

3.5. Seguridad ligada a los recursos humanos


Este captulo establece la necesidad de educar e informar a los empleados
actuales y potenciales sobre lo que se espera de ellos en materia de seguridad y
asuntos de confidencialidad. Tambin determina cmo incide el papel que los
empleados desempean en materia de seguridad en el funcionamiento general
de la compaa.
Ante la contratacin de personal deben tomarse medidas de seguridad previas a la
contratacin, durante el perodo que dure el contrato y al concluir. Este captulo
marca tres objetivos:
Antes del empleo, para asegurar que cualquier persona que entre a formar
parte de la organizacin (empleados, contratistas, etc.) conoce y entiende sus
responsabilidades en materia de seguridad y puede llevar a cabo las tareas
que se le encomienden, colaborando activamente en reducir los riesgos de
robo, fraude o utilizacin indebida de los recursos. Los controles son tres:
Funciones y responsabilidades. Para poder exigirlas, las funciones y
responsabilidades de seguridad de los empleados contratistas y terceros se
deben definir y documentar.
Investigacin de antecedentes. Para segn qu puestos puede ser especialmente relevante comprobar los antecedentes de todos los candidatos a
ejercer el trabajo. Esta comprobacin deber efectuarse de acuerdo a la
legislacin vigente y de una manera proporcionada a los requisitos del
negocio y de seguridad de la organizacin.

3. Comprender la Norma UNE-ISO/IEC 27002

51

Trminos y condiciones de contratacin. Los contratos debern reflejar,


junto con los trminos del acuerdo, las obligaciones y responsabilidades
de las dos partes en lo relativo a seguridad de la informacin.
Durante el empleo, para que en el trabajo cotidiano todo el mundo se
encuentre concienciado en materia de seguridad y ponga en prctica la
poltica de seguridad de la organizacin, reduciendo el riesgo de error
humano. Este objetivo cuenta con tres controles:
Responsabilidades de la direccin, que es la que debe establecer las directrices a seguir y exigir su cumplimiento, tanto a los empleados como a
contratistas y terceros.
Concienciacin, formacin y capacitacin en seguridad de la informacin.
Hay que poner en conocimiento de los implicados las polticas y procedimientos de la organizacin, y proporcionar la formacin adecuada para
que las puedan ejecutar.
Proceso disciplinario. Debe existir algn mecanismo de penalizacin para
las infracciones de seguridad que sirva como mtodo de disuasin.
Cese del empleo o cambio de puesto de trabajo, para lograr que cuando
alguien deja de trabajar con la organizacin o cambia la relacin con ella,
dichos cambios discurran adecuadamente y no generan vulnerabilidades. Los
controles son:
Responsabilidad del cese o cambio. Las responsabilidades deben estar
establecidas y ser conocidas en caso de cese o cambio de puesto de algn
empleado, para efectuarlo correctamente.
Devolucin de activos. Si cesa el empleo o contrato, los activos que se han
entregado para poder realizarlo deben ser devueltos.
Retirada de los derechos de acceso. Cuando concluye el empleo, el contrato o el acuerdo con un empleado o contratista, deben retirarse todos los
derechos de acceso a la informacin y a los recursos de tratamiento de la
informacin o bien deben ser adaptados a los cambios producidos.

3.6. Seguridad fsica y del entorno


Este captulo responde a la necesidad de proteger fsicamente las reas en las que
se encuentran los equipos y la informacin. Los mecanismos de proteccin para el

52

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

sistema de informacin de la organizacin pasan por definir un permetro fsico de


seguridad que impida el acceso no autorizado a la informacin y eviten daos por
eventos, tales como fuego, inundacin, terremoto, explosin, malestar social y
otras formas de desastres naturales o provocados por el hombre.
Existen dos objetivos:
reas seguras. Deben establecerse unas medidas de seguridad para prevenir
los accesos fsicos no autorizados, los daos y las intromisiones en las instalaciones y en la informacin de la organizacin. Podemos utilizar los siguientes
controles:
Permetro de seguridad fsica. Barreras, muros, puertas de entrada con restricciones (recepcin, cerraduras, control a travs de tarjeta, etc.), cualquier
medio que sirva para proteger las zonas en las que se encuentra la informacin y los sistemas de informacin formarn parte de este primer control.
Controles fsicos de entrada. Las reas en las que slo el personal autorizado puede entrar deben poseer controles de entrada apropiados que restrinjan el acceso.
Seguridad de oficinas, despachos e instalaciones. Tambin estos recintos
deben contar con medidas razonables que permitan mantener la informacin y los sistemas bajo control.
Proteccin contra las amenazas externas y de origen ambiental. Tanto por
la magnitud de los daos que pueden ocasionar estas amenazas, como
por la legislacin que controla este punto, se deben aplicar las medidas
apropiadas contra el dao causado por fuego, inundacin, terremoto y
otros desastres, tanto naturales como provocados por el hombre.
Trabajo en reas seguras. Por su especial sensibilidad, las reas seguras
contarn, adems de con medidas de proteccin fsica, con directrices para
trabajar en ellas.
reas de acceso pblico y de carga y descarga. Puesto que estos puntos
son vulnerables a accesos no autorizados, debern controlarse con cuidado
y, en la medida de lo posible, mantenerlos alejados y aislados de aquellas
zonas en las que residan los sistemas de informacin.
Seguridad de los equipos, para que las actividades de la organizacin no se
interrumpan debido a daos en los equipos, robo de activos o prdidas de
los mismos. Los controles definidos para este objetivo son:
Emplazamiento y proteccin de equipos. Los equipos deben situarse en
lugares seguros, protegidos de riesgos ambientales (agua, luz, viento, etc.)

3. Comprender la Norma UNE-ISO/IEC 27002

53

que puedan daarlos. Asimismo, se ubicarn all donde su acceso resulte


complicado para personas no autorizadas.
Instalaciones de suministro. Los equipos pueden daarse si se producen
fallos en el suministro elctrico o en las comunicaciones, por lo que es
recomendable que tengan alguna proteccin para evitar problemas si suceden estos fallos, especialmente si se trata de equipos muy crticos.
Seguridad del cableado. Puesto que el cableado hace posible que los
equipos funcionen, se instalar de manera que se eviten daos, que impidan interceptaciones o que dificulten una fuga de informacin.
Mantenimiento de los equipos. Otro punto crucial para que los equipos
funcionen correctamente es que se sometan a un mantenimiento, preventivo y correctivo, que asegure su disponibilidad y su integridad.
Seguridad de los equipos fuera de las instalaciones. Cuando los equipos
estn fuera de las instalaciones de la organizacin, el nivel de seguridad
debe ser el mismo, aunque las circunstancias no lo sean, por lo que
deben disearse y aplicarse las medidas de seguridad adecuadas a estos
equipos.
Reutilizacin o retirada segura de equipos. Los equipos almacenan informacin que debe ser eliminada (sobre todo si es sensible) cuando son retirados o se van a reutilizar. Para evitar problemas, esta eliminacin se comprobar antes de retirarlos o ponerlos en uso de nuevo.
Retirada de materiales propiedad de la empresa. Hay que autorizar y registrar las salidas de equipos para poder controlar la informacin o software
en todo momento, de manera que se sepa quin es el responsable de los
activos y dnde se encuentran.

3.7. Gestin de comunicaciones y operaciones


Este es el captulo con ms objetivos y controles, y el ms tcnico de toda la
norma. Aqu se recogen los controles tcnicos, puesto que se trata de proteger el
funcionamiento y las operaciones de los sistemas de informacin. Hay que tener
en cuenta que el origen de esta norma se encuentra en grandes empresas y corporaciones con sistemas de informacin muy sofisticados y amplios. En el contexto
de una pyme, es aqu donde se hace ms relevante realizar el esfuerzo de escalar
hacia abajo los requisitos planteados por la norma. Muchos de los controles de
este captulo no sern aplicables en el contexto de una pyme tpica, a menos que

54

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

su negocio posea implicaciones que los hagan necesarios, y desde luego la implementacin de los que s son aplicables tiene que ser lo ms sencilla que seamos
capaces de disear. Un banco tendr que tener un procedimiento de copias de
seguridad muy estricto y laborioso y muchos recursos dedicados a esa tarea, tanto
para realizarla como para almacenar las copias. En una pyme puede ser suficiente
una copia semanal, almacenada en un pequeo dispositivo USB que se pueda
transportar cmodamente fuera de las instalaciones a un lugar seguro.
Este captulo contiene diez objetivos:
Responsabilidades y procedimientos de operacin. Para encargarse eficazmente de que los sistemas de informacin funcionen de manera correcta y
segura, ser necesario establecer las responsabilidades y procedimientos para
la gestin de todos los recursos de informacin, reduciendo los riesgos de
negligencia o uso indebido. Los controles son:
Documentacin de los procedimientos de operacin. Siempre hay una
forma ms o menos establecida de afrontar las tareas, este control trata de
documentar esos modos de trabajo, estableciendo las responsabilidades y
cubriendo todas las tareas fundamentales, por ejemplo, el procedimiento
para las copias de seguridad, para la configuracin de accesos, etc.
Gestin de cambios. Los sistemas de informacin y las aplicaciones deben
estar bajo control de cambios, ya que stos son una fuente importante de
errores y fallos. Esta gestin del cambio tiene que incluir la identificacin
de los cambios, su aprobacin, la planificacin de cmo y cundo van a
ser incorporados, las pruebas que se efectuarn, siempre fuera del entorno
de produccin, y cul ser el procedimiento para deshacerlos si sucede
algn evento imprevisto.
Segregacin de tareas. Hay que separar las diversas reas de responsabilidad para evitar usos o accesos indebidos, accidentales o intencionados, de
la informacin. Esta segregacin puede resultar difcil de emprender en
organizaciones pequeas, pero el principio debera aplicarse en la medida
en que sea posible y prctico.
Separacin de los recursos de desarrollo, prueba y operacin. Siguiendo
el mismo principio anterior, es necesario separar el entorno donde se realicen desarrollos del entorno de prueba, y por supuesto los entornos de
produccin deben permanecer aislados del resto, as se eliminan riesgos
de accesos no autorizados o cambios no deseados. Deberan establecerse
las normas para trasladar software y datos de unos entornos a otros, por
ejemplo, en qu condiciones se pueden usar datos reales para realizar
pruebas.

3. Comprender la Norma UNE-ISO/IEC 27002

55

Gestin de la provisin de servicios por terceros. Estos servicios deben tener el


mismo nivel de seguridad que los internos, por lo que se establecern acuerdos
en los que se recogern estos requisitos, comprobndose el cumplimiento de
los acuerdos y gestionando los cambios necesarios para asegurar que los servicios entregados son conformes con lo estipulado. Los controles son tres:
Provisin de servicios. Se establecern acuerdos de nivel de servicio con
todos los requisitos necesarios para que se cumplan las expectativas, tanto
funcionales como de seguridad, para la provisin del servicio. Estos acuerdos establecern las normas para el intercambio de informacin y las
responsabilidades de los contratistas respecto a los activos de informacin
a los que tengan acceso.
Supervisin y revisin de los servicios prestados por terceros. Ha de mantenerse un control para garantizar que los servicios se suministran segn
los acuerdos establecidos, incluso realizando auditoras cuando sea pertinente. Para ello se revisarn los informes entregados y los registros generados por la actividad, y se comprobar que los incidentes y problemas de
seguridad de la informacin se gestionan y resuelven adecuadamente.
Gestin del cambio en los servicios prestados por terceros. En la lnea de
mantener el mismo nivel de seguridad en los servicios suministrados por
terceros que en los internos, tambin los cambios deben ser gestionados
en dichos servicios. Durante su provisin pueden darse cambios para
mejorar los servicios, nuevos desarrollos, modificaciones de las polticas y
procedimientos de la organizacin, cambios tecnolgicos, etc. Ha de existir un procedimiento claro para incorporar estos cambios a los servicios
de una forma eficaz.
Planificacin y aceptacin del sistema, de modo que se eviten fallos de los
sistemas por sobrecargas y fallos de disponibilidad. Existen dos controles:
Gestin de capacidades. Para ello se controlar el uso de recursos para que
se puedan hacer previsiones de futuro, planificando con tiempo suficiente
la capacidad que va a ser necesaria para evitar agotarla.
Aceptacin del sistema. Se deberan establecer, documentar, y probar previamente a su aceptacin y uso los requisitos operacionales de los sistemas
nuevos, as se evitaran fallos, incluso aunque se trate de una simple actualizacin.
Proteccin contra cdigo malicioso y descargable. Evitar virus, troyanos y el
resto de los tipos de cdigo malicioso sirve para proteger la integridad del
software y de la informacin.

56

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Controles contra el cdigo malicioso. La proteccin contra este riesgo


tiene dos vertientes, la tcnica y la humana. Deben instalarse sistemas de
deteccin, prevencin y recuperacin que protejan contra cdigo malicioso. Adems se deben realizar procedimientos adecuados de concienciacin para que todos los usuarios sean conscientes de los problemas que
genera el cdigo malicioso y cmo proceder cuando se reciban correos
engaosos.
Controles contra el cdigo descargado en el cliente. Si se autoriza el uso
de cdigo descargado en el cliente (JavaScript, VBScript, applets de Java
applets, controles ActiveX, etc.), la configuracin debe garantizar que
dicho cdigo autorizado funciona de acuerdo con una poltica de seguridad claramente definida. Cualquier uso y recepcin de cdigo ambulante no autorizado ha de bloquearse. Los ataques del cdigo mvil
pueden modificar la informacin, robar las contraseas o archivos, redireccionar los accesos telefnicos por mdem o lanzar un ataque de denegacin de servicio, por lo que hay que ser especialmente precavidos en
este punto.
Copias de seguridad. Realizar copias de la informacin ayuda a mantener la
integridad y disponibilidad de la misma y de los recursos de tratamiento de
la informacin, ya que en caso de incidente se podra recuperar rpidamente.
Este objetivo slo tiene un control:
Copias de seguridad de la informacin. Deberan establecerse procedimientos para efectuar las copias de seguridad de acuerdo con la frecuencia
y amplitud que recomienden la sensibilidad y criticidad de la informacin
gestionada. Adems, las copias han de comprobarse regularmente para
verificar que la informacin es y permanece correcta y completa, y ensayar
los tiempos de recuperacin. Se ha convertido en un requisito bsico contar
con una copia de seguridad fuera de las instalaciones de la organizacin,
lo cual garantiza la disponibilidad de la informacin incluso en caso de
desastre.
Gestin de la seguridad de las redes. Por pequea que sea la organizacin, lo
ms corriente es que cuente con una red por la que circulan las comunicaciones digitales y la informacin. Este objetivo trata de asegurar esta
infraestructura para evitar incidentes.
Controles de red. Para proteger la red, en primer lugar, debe estar gestionada y controlada, con responsabilidades claras y diferenciadas de las
responsabilidades operativas, si es posible. Las medidas de seguridad para
proteger la confidencialidad, la integridad de los datos que pasan a travs

3. Comprender la Norma UNE-ISO/IEC 27002

57

de ellas y los dispositivos que protegen las aplicaciones y los sistemas


conectados son crticas aqu, as como mantener logs con informacin que
pueda ayudar a detectar fallos, errores o ataques.
Seguridad de los servicios de red. Dado el gran nmero de utilidades que
soportan las redes, se deben identificar los requisitos funcionales y de
seguridad y los niveles de servicio que deben incluirse en todo acuerdo
de servicios de red, tanto si estos servicios son internos como si se subcontratan. Esto incluir las necesidades de autenticacin de usuarios, de cifrado de datos, de control de conexiones, requisitos de acceso para usuarios
remotos, etc.
Manipulacin de los soportes. La informacin puede estar en varios formatos y soportes, por lo que protegerlos es bsico para evitar que se revele
o destruya informacin o se interrumpan las actividades de la organizacin.
Gestin de soportes extrables. La proliferacin de este tipo de soportes
(discos pticos, lpices USB, discos duros externos) hace necesario
establecer normas para su utilizacin.
Retirada de soportes. Cuando ya no se vayan a utilizar, hay que retirarlos
de acuerdo con las normas que se establezcan, las cuales eviten que la
informacin que contengan pueda llegar a personas no autorizadas.
Procedimientos de manipulacin de la informacin. Se deberan establecer procedimientos para tratar y almacenar la informacin. El objetivo
es impedir que dicha informacin sea revelada sin autorizacin o que se
la d un mal uso, por ejemplo, se recomienda que se etiqueten los soportes
segn la clasificacin de la informacin que porten, considerando los
siguientes aspectos: las restricciones de acceso, el mantenimiento de un
registro de los destinatarios autorizados, el almacenamiento de los
soportes de acuerdo con las especificaciones del fabricante, etc.
Seguridad de la documentacin del sistema. Es importante mantener
segura esta informacin, ya que contiene datos valiosos para la organizacin, por ejemplo, las descripciones de las aplicaciones de los procesos,
las estructuras de datos y los procesos de autorizacin.
Intercambio de informacin. Un SGSI debe proteger la informacin a lo
largo de todo su ciclo de vida, en muchos momentos de este ciclo la informacin saldr de la organizacin por unos motivos u otros, por lo que deben
establecerse los mecanismos adecuados para que permanezca segura cuando
se intercambie con terceros. Los controles para conseguirlo son:

58

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Polticas y procedimientos de intercambio de informacin. Se deberan


establecer procedimientos y normas para proteger la informacin y los
soportes fsicos que contienen informacin en trnsito.
Acuerdos de intercambio. El intercambio de informacin debe realizarse
en el marco de un acuerdo que recoja las responsabilidades de cada parte,
las exigencias en el caso de incidentes de seguridad de la informacin,
cmo va a ser etiquetada la informacin sensible o crtica, las normas tcnicas para el registro y lectura de la informacin y del software, etc.
Soportes fsicos en trnsito. Para que la informacin est segura cuando se
encuentre en trnsito deben protegerse los soportes, utilizando mensajeros
y transportistas de confianza, embalando bien los soportes, etc.
Mensajera electrnica. Se establecern normas de seguridad para el uso
del correo electrnico, las cuales recogern las medidas de seguridad mnimas para garantizar un empleo responsable y seguro del servicio, en particular cuando se utilice para el envo de informacin confidencial.
Sistemas de informacin empresariales. Se deberan desarrollar y aplicar
polticas y procedimientos para proteger la informacin que se va a compartir con otros sistemas de informacin pertenecientes a otras organizaciones, definiendo qu informacin puede ser compartida, por quin, las
responsabilidades de cada parte, etc.
Servicios de comercio electrnico. El xito de estos servicios se basa en la
confianza de los usuarios en la seguridad de los mismos. Para garantizar esta
seguridad de los servicios de comercio electrnico, se pueden utilizar los
siguientes controles:
Comercio electrnico. Es vital que toda la informacin incluida en el comercio electrnico se proteja contra actividades fraudulentas, disputas contractuales y revelacin o modificacin no autorizada de dicha informacin.
Transacciones en lnea. Estas transacciones son muy vulnerables a errores
o fallos de transmisin o de direccionamiento, alteraciones no autorizadas
de los mensajes, as como revelacin, duplicacin o reproduccin no
autorizadas del mensaje, por lo que han de ser correctamente protegidas.
Informacin puesta a disposicin pblica. La integridad de la informacin
destinada a hacerse pblica debe protegerse para impedir modificaciones
no autorizadas que daen la reputacin de la organizacin.
Supervisin. La nica manera de detectar a tiempo las actividades de procesamiento de la informacin no autorizadas es llevando a cabo una supervisin

3. Comprender la Norma UNE-ISO/IEC 27002

59

que las ponga en evidencia. El nivel de monitorizacin est basado en el


nivel de riesgo del negocio, cuanto ms riesgo mayor debera ser el nivel
de vigilancia. Los controles son:
Registro de auditoras. Se deben mantener registros de las operaciones de
privilegio, las conexiones y desconexiones (log in / log out), los intentos
de acceso no autorizado, violaciones de la poltica de acceso, las alertas por
fallos, etc. Estos registros deben ser almacenados durante un perodo
acordado para servir como prueba en investigaciones futuras y en la supervisin del control de acceso.
Supervisin del uso del sistema, para verificar que los recursos del sistema
se utilizan debidamente.
Proteccin de la informacin de los registros. Debido a la sensibilidad de
los dispositivos de registro y la informacin generada por ellos, deben ser
protegidos contra manipulaciones indebidas y accesos no autorizados.
Registros de administracin y operacin. Los registros del administrador
del sistema y del operador del sistema deberan ser revisados regularmente, de manera que se compruebe que se cumplen las actividades del
sistema y de la administracin de la red.
Registro de fallos. Registrar los fallos, tanto de los usuarios como de las
aplicaciones, es el primer paso hacia una correcta gestin de los mismos
hasta su resolucin. Deberan existir reglas precisas para el tratamiento de
los informes de fallos, incluyendo la revisin de los registros y el cumplimiento de las medidas correctivas tomadas.
Sincronizacin del reloj. En caso de incidencias, teniendo todos los
equipos sincronizados, se podr comprobar qu equipos estaban conectados en el sistema de informacin, y al observar los registros de dichos
equipos, se podr llegar a una conclusin sobre lo sucedido.

3.8. Control de acceso


Este captulo trata de las medidas a tomar cuando se desee monitorizar y controlar
el acceso a la red y los recursos de informacin, y de la proteccin existente contra
los abusos internos y los intrusos externos, dada la importancia que tienen para
la organizacin sus activos. Por lo tanto, el objetivo de este grupo de controles es
regular el acceso a la informacin, de acuerdo con los requisitos de negocio y los de
seguridad, que se puede obtener aplicando alguno de los siete objetivos de control
definidos:

60

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Requisitos de negocio para el control de acceso, de manera que slo accedan


a la informacin quienes estn autorizados para ello. Tiene un control:
Poltica de control de acceso. En primer lugar hay que definir y documentar cules van a ser las lneas de actuacin en la organizacin en este
aspecto. Hay que valorar qu clases de informaciones son tratadas y si se
puede permitir acceso a todo el mundo a toda o a la gran mayora de la
informacin y restringir slo una parte, o bien darle a cada uno acceso
slo a aquella informacin que necesita.
Gestin de acceso de usuario, de manera que slo los usuarios autorizados
pueden acceder a la informacin y los sistemas, mientras que aquellos que
no lo estn no puedan hacerlo. Se utilizarn los siguientes controles:
Registro de usuarios. El primer paso es establecer un registro de usuarios,
donde se anoten las altas y bajas de los mismos, junto con los permisos de
acceso que se les conceden o revoquen, todo ello de acuerdo con un procedimiento formal que evite errores en la asignacin de permisos, en la
medida de lo posible.
Gestin de privilegios. Los privilegios otorgados a los usuarios deben
estar debidamente autorizados, segn su necesidad de uso, manteniendo
un registro para controlar su utilizacin.
Gestin de contraseas de usuario. Es uno de los controles ms difundidos
y ms eficaces para el control de accesos, siempre que est bien implementado y gestionado. Para conservar la eficacia de las contraseas es fundamental que permanezcan confidenciales, por lo que se debe concienciar
al personal sobre este punto. Las contraseas deben tener mayor complejidad (ms caracteres, mezclar nmeros, letras y smbolos) segn la criticidad de las aplicaciones o la informacin a la que se acceda, y deben ser
cambiadas frecuentemente, como mnimo una vez al ao.
Revisin de los derechos de acceso de usuario. Debido a los cambios que
sufren las organizaciones, los accesos que se concedieron en su momento
pueden perder validez, por lo que hay que revisarlos regularmente para
actualizarlos.
Responsabilidades de usuario. Ya se ha comentado la importancia de que el
personal colabore activamente en mantener la seguridad. Todas las medidas
tcnicas implementadas no podrn evitar que se cometan errores, como
apuntar contraseas en un papel o dejar informes confidenciales en la impresora. Para evitar este tipo de fallos de seguridad, hay que formar, concienciar
y, si es necesario, comprometer al personal. Por ello, en este objetivo se tratan

3. Comprender la Norma UNE-ISO/IEC 27002

61

los controles orientados a prevenir el acceso de usuarios no autorizados, y


evitar robos de informacin o equipos causados por las malas prcticas de
los usuarios.
Uso de contrasea. Los usuarios deben seguir buenas prcticas de seguridad en la seleccin y el uso de las contraseas: mantener su confidencialidad, no compartirlas, no emplear la misma contrasea para propsitos profesionales que para no profesionales, no guardarla en papel o en un fichero
de software fcil de acceder, etc.
Equipo de usuario desatendido. Los usuarios, a lo largo de la jornada,
suelen ausentarse de su puesto de trabajo por diferentes motivos, dejando
desatendido el equipo y la informacin que estn utilizando. Para evitar
incidentes no deseados, las pantallas y los equipos debern bloquearse
pasado un perodo de inactividad, por ejemplo, con un protector de pantalla con contrasea.
Poltica de puesto de trabajo despejado y pantalla limpia. Tanto las mesas
de trabajo como los equipos informticos del puesto son dos elementos
del sistema de informacin susceptibles de fugas de informacin, por lo
que deben establecerse normas y mecanismos para que el personal mantenga tanto la mesa como la pantalla sin informacin visible, papeles o
medios de almacenamiento extrables, que puedan comprometer la confidencialidad de los datos.
Control de acceso a la red. Los sistemas de informacin actuales cuentan con
redes que son vulnerables a accesos no autorizados, por lo que deben ser
protegidas. Los controles para ello son:
Poltica de uso de los servicios en red. Hay que establecer cmo se va a
utilizar la red y sus servicios, y definir cmo se van a asignar los accesos.
Esta poltica deber ser coherente con la poltica de accesos de la organizacin.
Autenticacin de usuario para conexiones externas. Si los usuarios van a
conectarse en remoto a la red, hay mayores riesgos que en una conexin
interna, por lo que la autenticacin debe ser ms rigurosa, sobre todo si se
utilizan redes inalmbricas. Los mtodos de autenticacin se escogern
tanto ms seguros segn la valoracin del riesgo que se haya hecho de la
informacin y las aplicaciones a acceder y los medios de acceso que se van
a utilizar para ello. Si se emplean redes privadas virtuales (VPN) puede ser
suficiente el sistema de usuario y contrasea, si se va a trabajar con redes
pblicas puede ser necesario utilizar, por ejemplo, tcnicas criptogrficas o
dispositivos biomtricos.

62

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Identificacin de los equipos en las redes. De esta manera se pueden autenticar las conexiones provenientes de localizaciones y equipos especficos. Los identificadores de los equipos indicarn claramente a qu red se
permite al equipo la conexin, si existe ms de una red y, en particular, si
estas redes tienen distinto grado de sensibilidad. Se puede aplicar la identificacin del equipo adicionalmente a la identificacin de usuario,
reforzndola.
Diagnstico remoto y proteccin de los puertos de configuracin. Cuando
sea necesario mantener un puerto abierto para estas tareas, se debe controlar tanto el acceso fsico como el lgico permitido para este puerto.
Segregacin de las redes. Cuando sea oportuno y prctico, se separarn en
redes distintas los servicios de informacin, los de usuarios y los sistemas,
evitando as filtraciones o modificaciones de la informacin.
Control de la conexin a la red. Cuando se comparta la red, sobre todo si
se hace con otras organizaciones, los accesos deben estar perfectamente
definidos y restringidos. No todos los usuarios poseen las mismas necesidades de acceso, as que, para evitar problemas, lo ms recomendable
es que cada uno tenga los derechos de acceso a la red que estrictamente
necesite para realizar su trabajo.
Control de encaminamiento (routing) de red. Los controles de encaminamiento (routing) de redes se implementan para evitar que la informacin
llegue a un destino distinto del requerido, de manera que las conexiones de
los ordenadores y los flujos de informacin estn de acuerdo con la poltica
de control de acceso de la organizacin.
Control de acceso al sistema operativo, para prevenir accesos indebidos a los
sistemas operativos que provoquen daos en las aplicaciones e inestabilidades de los sistemas. Los controles a utilizar para alcanzar este objetivo son:
Procedimientos seguros de inicio de sesin. Las sesiones deben ser iniciadas con un procedimiento que no facilite a un usuario no autorizado
la entrada ni revele informacin del sistema y que limite los intentos de
entrada para bloquearlos.
Identificacin y autenticacin de usuario. Cada usuario deber tener un
identificador nico (ID de usuario) para su uso personal y exclusivo, as
se lograr que su autenticacin sea fiable, de manera que se puedan seguir
sus actividades y, si es necesario, exigir responsabilidades.
Sistema de gestin de contraseas. Gestionar las contraseas necesita de la
colaboracin del personal y servirn a su propsito en funcin de la calidad

3. Comprender la Norma UNE-ISO/IEC 27002

63

y robustez de las mismas. Donde sea posible, se permitir a los usuarios


escoger sus propias contraseas, aunque se establezcan criterios para disearlas.
Uso de los recursos del sistema. Hay programas y utilidades del sistema
que pueden ser capaces de invalidar los controles del mismo y de la aplicacin, por lo que su uso debera estar restringido a los usuarios que realmente lo necesiten y encontrarse estrictamente controlado.
Desconexin automtica de sesin. Las sesiones abiertas son oportunidades para realizar accesos no autorizados, por lo que debe establecerse
un tiempo tras el cual, si no ha habido actividad, la sesin caducar.
Limitacin del tiempo de conexin. Limitar la franja horaria en la que se
pueden realizar las conexiones es un mecanismo que refuerza el control de
accesos, ya que reduce el marco de oportunidades de acceso no autorizado.
Control de acceso a las aplicaciones y a la informacin. Las aplicaciones y
la informacin que contienen son elementos muy sensibles de los sistemas
de informacin, que deben ser protegidos contra accesos no autorizados
para evitar fallos de confidencialidad o de integridad. Existen dos controles para
este objetivo:
Restriccin del acceso a la informacin. Debe seguirse la poltica de accesos de la organizacin, de manera que el acceso se conceda a los usuarios
autorizados para ello. Adems, deben protegerse contra accesos permitidos
por software malicioso o software del sistema operativo que permita obviar
los controles establecidos.
Aislamiento de sistemas sensibles. Cuando las aplicaciones y su informacin son particularmente crticos, deberan estar alojados en entornos protegidos con equipos dedicados, aislados del resto de los sistemas.
Ordenadores porttiles y teletrabajo. Este tipo de equipos y modo de trabajo
se va extendiendo cada vez ms, con la mejora del hardware, el software y las
comunicaciones, pero son muy vulnerables, por lo que hay que ser especialmente escrupuloso para garantizar su seguridad.
Ordenadores porttiles y comunicaciones mviles. Cuando se emplean
este tipo de dispositivos, los riesgos son distintos que cuando se usan los
equipos de sobremesa, por lo que deben establecerse normas de utilizacin especficas encaminadas a protegerlos adecuadamente, tales como
la proteccin fsica, los controles de acceso, las tcnicas criptogrficas, las
copias de respaldo y la proteccin antivirus.

64

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Teletrabajo. Para que el trabajo realizado en remoto se haga con el mismo


nivel de seguridad que si se realizara dentro de las instalaciones de la organizacin, deben existir unas normas que consideren aspectos como la
seguridad fsica en el lugar de teletrabajo y las comunicaciones. Es imprescindible contar con una definicin del trabajo permitido, las horas de trabajo, la clasificacin de la informacin que puede mantenerse en el equipo,
y los sistemas y servicios a los que el teletrabajador est autorizado a
acceder, que garanticen unos mnimos de seguridad.

3.9. Adquisicin, desarrollo y mantenimiento de


los sistemas
En toda labor de la tecnologa de la informacin se debe implementar y mantener
la seguridad mediante el uso de controles de seguridad que abarquen todas las etapas
del ciclo de vida de los activos de informacin. El objetivo especfico de este grupo
de controles es garantizar que la seguridad sea una parte integral de los sistemas de
informacin, desde su concepcin hasta su retirada.
Requisitos de seguridad de los sistemas de informacin. Si queremos garantizar una seguridad integrada en los sistemas de informacin es fundamental
que los requisitos de seguridad sean explcitos y estn documentados. El control es claro:
Anlisis y especificacin de los requisitos de seguridad. Tanto si se van
a comprar paquetes de software o equipos, como si se est pensando en
subcontratar un nuevo desarrollo, el primer paso es definir los requisitos
que debe cumplir el elemento que se va a adquirir. Si queremos que ese
elemento sea seguro y su incorporacin a los sistemas de informacin no
cree problemas, los requisitos de seguridad debern ser incorporados a las
especificaciones junto con el resto de los requisitos funcionales y tcnicos.
Tratamiento correcto de las aplicaciones. Las aplicaciones deben procesar
correctamente la informacin introducida en ellas para evitar errores, prdidas,
modificaciones no autorizadas o usos indebidos de dicha informacin. Para
alcanzar este objetivo los controles a aplicar son:
Validacin de los datos de entrada. El primer paso ser comprobar que los
datos de entrada en las aplicaciones son vlidos, es decir, la aplicacin
deber ser capaz de detectar si los datos introducidos son correctos, en la
medida de lo posible: que se encuentran dentro de un rango, que el formato es aceptable, que son coherentes, etc.

3. Comprender la Norma UNE-ISO/IEC 27002

65

Control del procesamiento interno. La validacin de los datos debe continuar durante su procesamiento. La aplicacin ha de contar con mecanismos
que detecten informacin corrupta, si los resultados no encajan con lo esperado o si la informacin no ha seguido el ciclo esperado de trata-miento.
Integridad de los mensajes. Los mensajes del sistema son herramientas
importantes para detectar y corregir errores, por lo que es fundamental
proteger su autenticidad e integridad.
Validacin de los datos de salida. Terminado el tratamiento de la informacin, se deben validar los datos obtenidos comprobando que son coherentes con lo esperado, verosmiles y razonables, ya que a pesar de que se
han podido tomar todas las precauciones posibles en anteriores etapas del
procesamiento de la informacin, se pueden producir errores en la salida
que invaliden los datos.
Controles criptogrficos. Cuando la sensibilidad de los datos o su criticidad
hacen recomendable utilizar tcnicas criptogrficas para protegerlos, los controles a aplicar son:
Poltica de uso de los controles criptogrficos. Estas medidas tan especiales son costosas, por lo que debe haber una poltica para aplicarlas de
manera coherente con las necesidades de la organizacin.
Gestin de claves. El uso de tcnicas criptogrficas implica una gestin
de las claves que les dan soporte, lo cual incluir tener normas para la generacin de claves, su uso y su distribucin a los usuarios autorizados, protegindolas en todo momento.
Seguridad de los archivos de sistema. Estos archivos, incluyendo el cdigo
fuente, son activos de informacin de los que dependen en gran medida la
seguridad de los datos almacenados en los sistemas. Por ello, debe controlarse el acceso y manipulacin de estos archivos. Los controles son:
Control del software en explotacin. Para controlarlo adecuadamente
deben existir procedimientos para efectuar la instalacin y actualizacin
de software en los sistemas operativos, incluyendo el modo de restaurar el
programa inicial si falla la instalacin. Estas tareas debern ser ejecutadas
por administradores con la adecuada formacin y autorizacin para ello, y
slo tras haber realizado pruebas que garanticen la ausencia de problemas
tras la instalacin.
Proteccin de los datos de prueba del sistema. En muchos casos se utilizan
datos reales para realizar las pruebas, por lo que hay que ser muy cuidadosos

66

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

al seleccionarlos, mantenerlos protegidos mientras duran las pruebas y eliminarlos de ese entorno en cuanto concluyan.
Control de acceso al cdigo fuente de los programas. Un acceso indebido
pondra en peligro la integridad de los programas, por lo que debe tomarse
medidas, tales como mantener el cdigo fuente fuera de los entornos de
produccin y tener distintos niveles de permisos de acceso, ya que no todo
el mundo necesita acceder a toda la biblioteca, por ejemplo, el personal de
asistencia tcnica podr acceder slo a aquellos programas que precisen.
Seguridad en los procesos de desarrollo y soporte. Cuando se desarrolla software o se proporcionan servicios de asistencia tcnica, es necesario que el
entorno en el que se desarrollan las actividades sea seguro y est controlado,
lo cual se conseguir con los siguientes controles:
Procedimientos de control de cambios. Realizar cambios en un desarrollo
es una tarea que requiere de un estricto control para evitar costosos fallos.
Por ello, deben realizarse mediante un procedimiento formal que minimice el riesgo de incidentes.
Revisin tcnica de las aplicaciones tras efectuar cambios en el sistema
operativo. Los sistemas operativos son susceptibles de cambios por diversos motivos, pero, al depender de l las aplicaciones, es aconsejable realizar
un chequeo para verificar que esos cambios no han afectado de alguna
manera (funcional, operativa o en seguridad) a las aplicaciones, sobre
todo a aquellas que la organizacin considere crticas.
Restricciones a los cambios en los paquetes de software. Es casi inevitable
tener que realizar cambios a los paquetes de software en algn momento
de su vida til, pero para evitar problemas con su integridad o el de la
informacin que manejan, slo se deben efectuar los cambios estrictamente necesarios, por personal autorizado y que controle perfectamente
todo el proceso.
Fugas de informacin. Al desarrollar software se deben prever situaciones
que permitan fugas de informacin, para ello se supervisar al personal,
las actividades del sistema, el uso de los recursos, se escanearn las comunicaciones para detectar informacin oculta, etc.
Externalizacin del desarrollo de software. Cuando se subcontrata el desarrollo de software, deben establecerse los mecanismos apropiados para supervisar dicho desarrollo, de manera que los requisitos establecidos sean incorporados desde el principio y se vayan cumpliendo a lo largo del proyecto.
As se evita llegar al final de proyecto y descubrir que falta alguno de ellos.

3. Comprender la Norma UNE-ISO/IEC 27002

67

Gestin de las vulnerabilidades tcnicas. Los sistemas de informacin estn


sujetos a cambios y actualizaciones para corregir fallos. Los proveedores
informan sobre los mismos y emiten parches y actualizaciones para mitigarlos
o eliminarlos.
Control de las vulnerabilidades tcnicas. Hay que esforzarse para mantenerse al da en lo relativo a las vulnerabilidades tcnicas de los sistemas de
informacin que estn siendo utilizados. Con esa informacin se puede
evaluar en qu grado pueden las vulnerabilidades afectar a los sistemas y
al negocio, y adoptar las medidas oportunas. Es decir, no necesariamente
deben implementarse los parches y actualizaciones que recomiende el fabricante, pero al menos hay que considerarlo y tomar una decisin
documentada.

3.10. Gestin de las incidencias


Puesto que es inevitable que las incidencias ocurran, hay que tener mecanismos que
permitan detectarlas y emprender acciones inmediatas para reducir en lo posible
los daos originados. Los objetivos y controles de este captulo tratan precisamente
de cmo hacerlo:
Notificacin de eventos y puntos dbiles de la seguridad de la informacin.
En muchas ocasiones no se solucionan los problemas porque no existen
canales de comunicacin apropiados para comunicarlos. El objetivo consiste
en asegurarse de que los eventos y las vulnerabilidades de la seguridad de la
informacin se comunican, y as puedan buscarse soluciones.
Notificacin de los eventos de seguridad de la informacin. Todos aquellos
en contacto con los sistemas de informacin, trabajadores, contratistas y
terceros, deberan tener instrucciones claras sobre cmo proceder en caso
de que detecten algn evento de seguridad, a quin deben comunicrselo
y de qu forma.
Notificacin de los puntos dbiles de la seguridad. Como en el control
anterior, cualquier usuario de los sistemas y la informacin, tanto los
internos como los externos, deben estar obligados a notificar cualquier
punto dbil que observen o que sospechen que exista.
Gestin de incidentes de seguridad de la informacin y mejoras. Para solucionar eficazmente los incidentes que ocurran deben tomarse medidas estudiadas y coherentes. Los controles a aplicar son:

68

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Responsabilidades y procedimientos. Deben existir responsabilidades y


procedimientos, de manera que se pueda dar una respuesta rpida a los
incidentes. Quizs sea necesario establecer distintos niveles de soporte de
incidentes en funcin del tipo y complejidad de los mismos.
Aprendizaje de los incidentes de seguridad de la informacin. Si se registran los tipos, volmenes y costes de los incidentes de seguridad de la
informacin, pueden detectarse incidentes recurrentes o con un elevado
alcance. Esto permitira adoptar decisiones informadas para la mejora de
los controles o para aadir nuevos, que eviten gastos innecesarios.
Recopilacin de evidencias. Es necesario llevar a cabo este control con rigurosidad en caso de establecer acciones legales tras un incidente. Hay que
recopilar evidencias y conservarlas en la manera prevista por la ley para
que puedan ser admitidas en un tribunal.

3.11. Gestin de la continuidad del negocio


En caso de desastre, la organizacin debe estar preparada para continuar con sus
actividades en el menor plazo de tiempo posible para evitar su desaparicin. Los
peligros de ataque terrorista o desastres casuales, que se materializan de cuando en
cuando y llenan pginas en los peridicos, han hecho que ahora se perciban ms
necesarios este tipo de actividades.
Un plan de continuidad se puede definir como el conjunto de instrucciones y procedimientos que van a seguirse en una organizacin en caso de que ocurra algo
que interrumpa las actividades normales durante un plazo de tiempo significativo.
Es decir, un corte de luz de unos minutos no ser un incidente grave para la mayora
de las organizaciones. Un corte de luz de horas puede comprometer algunas operaciones de la organizacin y debern existir procedimientos para paliar esta situacin. Un corte de luz de das es muy probable que requiera un plan de continuidad en toda regla para impedir que la organizacin colapse.
Un plan de continuidad contendr procedimientos para actuar en cada etapa de la
crisis, hasta que se consigan recuperar las actividades hasta un nivel aceptable. Para
que puedan aplicarse eficazmente, todo el personal de la organizacin debe formarse adecuadamente en estos procedimientos:
Aspectos de seguridad de la informacin en la gestin de la continuidad del
negocio. Aun en el caso de que exista algn plan de continuidad en la organizacin, no es habitual que se contemplen los aspectos relacionados con los
sistemas de informacin y la informacin misma. Pero una organizacin no

3. Comprender la Norma UNE-ISO/IEC 27002

69

puede subsistir sin su informacin, por lo que garantizar su seguridad debe


ser un elemento clave de cualquier plan de continuidad.
Inclusin de la seguridad de la informacin en el proceso de gestin de la
continuidad del negocio. Debera desarrollarse y mantenerse un proceso
controlado para la continuidad del negocio en toda la organizacin que
trate los requisitos de seguridad de la informacin necesarios, como
cules son los activos que soportan los procesos crticos de negocio y cules
seran las consecuencias de incidencias en dichos activos.
Continuidad del negocio y evaluacin de riesgos. Una de las tareas fundamentales para desarrollar un plan de continuidad del negocio es el anlisis
del impacto en l, es decir, un anlisis de riesgos donde se identifican las
incidencias que pueden suponer una interrupcin de las actividades, la
probabilidad de que ocurran, sus efectos y sus consecuencias en el tiempo.
Desarrollo e implementacin de planes de continuidad que incluyan la
seguridad de la informacin. Los planes de continuidad de negocio deben
permitir la recuperacin y restauracin de las operaciones de negocio y la
disponibilidad de la informacin en los plazos identificados. Para trazar
un plan de continuidad se debe:
Identificar los objetivos y los responsables de las distintas fases.
Identificar las prdidas aceptables de informacin o servicios.
Definir las escalas temporales en las que deben estar restablecidos los
servicios y la informacin.
Marco de referencia para la planificacin de la continuidad del negocio.
Un marco de referencia de un plan de continuidad del negocio identifica
los requisitos de seguridad de la informacin, adems tendr en cuenta los
aspectos generales, tales como en qu condiciones se activarn los planes,
cules son los procedimientos de emergencia, medidas para proteger la
imagen y reputacin de la organizacin, y formacin del personal para
que pueda ejecutar sus tareas y responsabilidades adecuadamente en caso
de crisis.
Pruebas, mantenimiento y revaluacin de los planes de continuidad del
negocio. El plan ha de revisarse para verificar que sigue siendo aplicable
y que cubre todos los activos. El plan debe probarse para comprobar que es
viable y que todo el mundo conoce las acciones que debe emprender si
se activa el plan.

70

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

3.12. Cumplimiento
Este captulo trata de garantizar que los sistemas cumplen con las polticas y normas
de seguridad de la organizacin, as como con los requisitos legales pertinentes.
Cuenta con tres objetivos de control:
Cumplimiento de los requisitos legales. El objetivo de este procedimiento es
cumplir con la legislacin aplicable a la organizacin, evitando infracciones
que pueden resultar muy dainas tanto en trminos econmicos como de
reputacin para la organizacin. En nuestro pas, las principales leyes que
afectan a la mayora de las organizaciones son:
Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de datos de
carcter personal y Real Decreto 994/1999, de 11 de junio, por el que
se aprueba el Reglamento de Medidas de seguridad de los ficheros automatizados que contengan datos de carcter personal.
Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el
Texto Refundido de la Ley de Propiedad Intelectual.
Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones, para la
regulacin de las telecomunicaciones, sobre la explotacin de las redes y
la prestacin de los servicios de comunicaciones electrnicas y los recursos
asociados.
Ley 34/2002, de 11 de julio, de servicios de la sociedad de la informacin
y de comercio electrnico (LSSI).
Los controles a aplicar son:
Identificacin de la legislacin aplicable. El responsable de seguridad,
junto con los servicios jurdicos de la organizacin, debe mantener actualizada una lista de legislacin vigente aplicable y ocuparse de que cumplan
con ella los que tengan responsabilidades relativas a la aplicacin de la ley.
Derechos de Propiedad Intelectual (DPI). La organizacin debe contar
con procedimientos que garanticen un uso correcto de material con derechos de propiedad intelectual, incluyendo el software propietario.
Proteccin de los documentos de la organizacin. En toda organizacin
existen documentos importantes por diversos motivos, que deben protegerse adecuadamente frente a prdidas, destruccin y falsificacin.
Proteccin de datos y privacidad de la informacin de carcter personal.
El procedimiento deben seguirlo todos los empleados con acceso a datos

3. Comprender la Norma UNE-ISO/IEC 27002

71

personales, bien a travs del sistema informtico habilitado para acceder a


los mismos o bien a travs de cualquier otro medio.
Prevencin del uso indebido de los recursos de tratamiento de la informacin. La organizacin debe tener medidas que impidan que los usuarios
recurran a los sistemas de informacin para usos indebidos.
Regulacin de los controles criptogrficos. Estos controles estn sujetos a
leyes y regulaciones, posiblemente tambin a acuerdos con otras organizaciones, por lo que deben existir normas para su correcta utilizacin.
Cumplimiento de las polticas y normas de seguridad, y cumplimiento tcnico. El SGSI contiene numerosas polticas y normas a seguir, por lo que hay
que efectuar un seguimiento para comprobar en qu medida se cumplen.
Cumplimiento de las polticas y normas de seguridad. Los responsables
de cada rea son los encargados de velar por el correcto cumplimiento de las
mismas. Para comprobar que es as, se llevarn a cabo auditoras internas
o externas que detecten las posibles no conformidades.
Comprobacin del cumplimiento tcnico. Deben realizarse chequeos peridicos de los sistemas para verificar que se estn aplicando los controles
y medidas definidos en el sistema, para detectar posibles errores u omisiones que comprometan la seguridad de la informacin.
Consideraciones sobre la auditora de los sistemas de informacin. Objetivo:
lograr que el proceso de auditora de los sistemas de informacin alcance la
mxima eficacia con las mnimas interferencias.
Controles de la auditora de los sistemas de informacin. Las auditoras
informticas son herramientas muy tiles para detectar vulnerabilidades y
puntos de mejora, pero por su propia naturaleza hay que ser cuidadosos al
planificarlas y disearlas, de manera que no interfieran o interrumpan las
actividades habituales de la organizacin.
Proteccin de las herramientas de auditora de los sistemas de informacin. Un uso indebido de estas herramientas, intencionado o no, puede
ser muy perjudicial, por lo que deben estar protegidas y el acceso a ellas
debera encontrarse restringido.

Definicin e
implementacin
de un SGSI

4.1. El proyecto
Bsicamente, un proyecto de definicin de un SGSI se puede estructurar en 7 grandes
bloques, que comprenden una serie de fases y actividades de acuerdo al esquema
presentado en la figura 4.1.
Las actividades principales para crear un SGSI son:
Definicin del alcance, los objetivos y la poltica de seguridad. Debe cubrir
todos los aspectos de la seguridad: seguridad fsica, seguridad lgica, seguridad del personal, y adecuarse a las necesidades y recursos de la organizacin.
Desarrollar el inventario de activos. Hay que tener presente cules son los
activos ms valiosos, que a la vez pueden ser los ms vulnerables.
Realizar el anlisis de riesgos. Cada uno de los pasos ha de ser documentado
en el anlisis de riesgos, con las valoraciones de todos los parmetros implicados: amenazas que afectan a cada activo, nivel de vulnerabilidad, probabilidad de ocurrencia y los efectos que podra suponer que se materializara la
amenaza, es decir, que una amenaza explorara la vulnerabilidad de un activo.
Este anlisis proporcionar un mapa de los puntos dbiles del negocio, que
sern los que hay que tratar en primer lugar.
Seleccionar las medidas de seguridad a implementar. La gestin de los riesgos
implica seleccionar e implementar las medidas tcnicas y organizativas necesarias para impedir, reducir o controlar los riesgos identificados, de forma que
los perjuicios que puedan causar se eliminen o se reduzcan al mximo. Hay
que considerar, antes de seleccionarlos, que dichos controles tienen unos
costes de implementacin y gestin.

74

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Fases del proyecto


Lanzamiento y anlisis de situacin

Definicin del alcance

Inventario
de activos

Elaboracin de poltica
y propuesta de objetivos

Anlisis
de riesgos

Seleccin
de controles

Elaboracin de documentacin del SGSI


(manual, procedimientos, instrucciones)

Implementacin del SGSI

Auditora interna

Revisin del sistema

Auditora de certificacin

Figura 4.1. Fases del proyecto de implementacin de un SGSI

Evaluar los riesgos residuales. Despus de identificar los controles adecuados


para reducir riesgos al valor estimado como aceptable, debe evaluarse en
cunto se reduce el riesgo al aplicarlos. Por muchos controles que se apliquen
no se puede eliminar el riesgo totalmente, siempre habr un riesgo residual.
La direccin tiene que conocer que este riesgo existe y aceptarlo.

4. Definicin e implementacin de un SGSI

75

Documentar los procedimientos necesarios para implementar las medidas


seleccionadas. Los procedimientos son la manera de plasmar la implementacin de los controles de seguridad y las tareas de administracin
del SGSI. Un procedimiento debe reflejar fielmente los pasos a seguir para
la realizacin de las tareas, pero debe ser conciso y claro para que no se
cometan errores.
Implementacin de los controles y los procedimientos. Puesto que lo habitual
es que haya muchos controles a implementar, lo ms prctico es planificarla
en el tiempo. De todos modos, es preferible abordar proyectos pequeos que
tengan un plazo de ejecucin corto y permitan obtener beneficios enseguida,
que intentar abordar proyectos muy ambiciosos que se alargan en el tiempo
y que no parecen ofrecer un adecuado retorno de la inversin.
Formar y concienciar al personal. Es fundamental para que el SGSI est bien
implementacin que haya un plan de formacin con acciones formativas a
distintos niveles. El responsable del SGSI deber poseer una formacin
exhaustiva en todos los temas relacionados, incluso como auditor interno; el
personal en general tendr que conocer y asumir, si no lo han hecho ya, sus
responsabilidades en materia de seguridad, y los afectados por los nuevos
procedimientos tendrn que asimilar sus nuevas tareas o los cambios que se
han producido en las que ejecutaban.
Realizar la auditora interna y la revisin del SGSI por la direccin. De esta
manera se comprobar que el SGSI se ajusta a la norma y a los requisitos de
la organizacin.

4.2. Documentacin del SGSI


Segn la norma, en un SGSI no se exige un manual de seguridad al uso de otras
normas de gestin, que s especifican que ha de existir un manual de gestin. Sin
embargo, la norma es muy clara en cuanto a la informacin que debe estar documentada. Por ello, el SGSI consistir en un conjunto de documentos que, como
mnimo, sern los siguientes:
Poltica de seguridad.
Inventario de activos.
Anlisis de riesgos.
Gestin de riesgos.
Documento de aplicabilidad.

76

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Procedimientos para implementar los controles.


Procedimientos para la gestin del SGSI.
Pueden existir tambin otros documentos como planes de seguridad, instrucciones
tcnicas, etc.
Uno de los requisitos de la norma es que se establezca la trazabilidad en todo el sistema, desde la poltica hasta los procedimientos, justificando la eleccin de los controles, que deben ser proporcionales a los riesgos y a las necesidades de la empresa.
Estas necesidades comprenden tanto las de seguridad (cmo de seguro quiere que
sea el sistema), como las del negocio (qu se necesita para funcionar eficazmente,
qu estn haciendo sus competidores) y las legales o reglamentarias (qu leyes y
regulaciones aplicables a su negocio debe tener en cuenta).

4.3. Poltica de seguridad


La poltica de seguridad recoger las lneas generales de actuacin de la organizacin
en una declaracin que estar firmada por la direccin, en la que se compromete a
velar por la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad
de los activos de informacin.
Adems, como parte de este documento o en otro distinto, se debe documentar:
El alcance del sistema, es decir, qu partes de la organizacin van a estar protegidas por el SGSI. Puede ser la organizacin entera o una parte relevante
de la misma: departamento, servicio o proceso. La recomendacin a la hora
de decidir el alcance es escoger uno que sea realmente abordable por la
empresa. Si es demasiado amplio y no se cuenta con los recursos necesarios
para llevar a cabo un SGSI de esa dimensin, el proyecto se alargar y llegar
un momento en que se parar, puesto que no hay personal o presupuesto
para continuar con l, con la consiguiente frustracin de los implicados y la
prdida de tiempo y dinero de la organizacin.
La estructura de la empresa, un organigrama de las distintas reas y responsables de la organizacin, y sus relaciones internas.
Las diferentes responsabilidades de cada parte de la organizacin: el responsable de seguridad, la direccin, el responsable de sistemas, el personal, etc.
La topologa de la red, de manera que se muestren los principales sistemas
de informacin y comunicacin que se emplean.

4. Definicin e implementacin de un SGSI

77

La clasificacin de la informacin, utilizando la nomenclatura de la organizacin y explicando los criterios de clasificacin.


El enfoque y la metodologa del anlisis de riesgos. As cualquiera puede verificar los resultados del anlisis, ajustndose al razonamiento que se ha seguido
para llevarlo a cabo.
Las normas generales de uso de los activos. Estas normas deben existir para
evitar incidentes no deseados y utilizaciones indebidas de los activos. Sern
hechas pblicas, e incluso pueden ser objeto de una entrega formal a los
empleados o terceras partes implicadas, de modo que se hagan responsables de
las infracciones. Es fundamental establecer unas pautas mnimas en temas
como el empleo de las contraseas y el de las comunicaciones, fuente de
numerosas incidencias. Estas normas de uso son un elemento importante en la
concienciacin del personal, ya que establecen unas pautas de comportamiento, que aunque sean de sentido comn y no marquen lmites demasiado
estrictos, s indican que la empresa se preocupa al respecto y que los empleados deberan hacer lo mismo.
Los objetivos de seguridad que se pretenden alcanzar. Puede ser difcil
establecer unos objetivos claros y tiles sin tener datos de partida, pero al
menos se deber intentar expresar qu nivel de seguridad se desea alcanzar.
Se puede comenzar por estimar qu metas se quieren lograr en trminos
de confidencialidad, disponibilidad e integridad. Por ejemplo, para verificar las mejoras en confidencialidad puede utilizarse como mtrica el
nmero de incidencias relativas a la confidencialidad, y decidir que el objetivo para este ao va a ser tener tres o menos incidencias de este tipo. Con
los resultados que se vayan obteniendo, se ir revisando dicho objetivo
para ajustarlo a la realidad. Si sistemticamente obtenemos un valor mucho
ms elevado, puede que el objetivo no sea realista y haya que revisarlo a la
baja.
Un ejemplo de cmo realizar este documento puede consultarse en el apartado 8.1
de este libro.

4.4. Inventario de activos


El inventario de activos es la recopilacin de todos aquellos elementos indispensables para que la administracin electrnica pueda prestarse con todas las garantas,
de manera que los ciudadanos tengan confianza en ella.

78

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

El inventario de activos debe recoger la siguiente informacin:


El nombre del activo, por ejemplo: equipo de usuario, router 014, proyecto,
expediente, etc.
La descripcin del activo.
Categora a la que pertenece, por ejemplo: equipo, aplicacin, servicio, etc.
Ubicacin: el lugar fsico en el que se encuentra dentro de la organizacin.
Propietario: entendiendo por tal al responsable del activo.
Identificados los activos de informacin: se les debe valorar de acuerdo a su
importancia para la empresa. Esta apreciacin ser lo ms objetiva posible, ya
que con ella se determinar sobre qu activos se realizar el anlisis de riesgos.
Por supuesto, se puede hacer una estimacin de todos los activos, pero si son
muchos, los recursos limitados, o ambas cosas, lo razonable es elegir un grupo
de activos reducido para que el anlisis de riesgos no sea inabarcable. Por ejemplo, se puede escoger analizar los activos que estn por encima de un valor.
Para valorar los activos se considerarn los parmetros de confidencialidad, disponibilidad e integridad de los activos, determinndose la importancia que tienen para la
organizacin en una escala de valores predefinida.
Como ejemplo, vamos a utilizar un activo llamado Facturas, del tipo Datos,
ubicado en el Servidor S y cuyo propietario es el responsable de administracin.
Cada uno de los parmetros se valorar del 1 al 4 segn su relevancia para la organizacin, y el valor total del activo ser la suma aritmtica de todos los valores parciales (vase la tabla 4.1).
Tabla 4.1. Inventario de activos
Activo

Confidencialidad

Integridad

Disponibilidad

Valoracin total

Facturas

La confidencialidad de las facturas es importante, pero no crtica, puesto que ha de


estar disponible para mucha gente (clientes, Hacienda, asesores fiscales, personal
de administracin, etc.) y su filtracin no supondra un trastorno excesivo. Una
base de datos de clientes tendra un valor ms alto en este aspecto, por contener
datos de carcter personal.
La integridad de las facturas es muy importante, puesto que las errneas son
origen de reclamaciones y trabajo extra, e incluso de sanciones por parte de la

4. Definicin e implementacin de un SGSI

79

Administracin, lo cual no es en absoluto deseable. La integridad de un expediente


de compra se valorara menos.
Que las facturas estn disponibles es importante, pero no fundamental para que el
negocio contine funcionando. No se producir un trastorno serio en la organizacin a menos que el momento en el que suceda la indisponibilidad sea crtico
(por ejemplo, cuando llega la hora de preparar los impuestos o cerrar el ao). Sin
embargo, la disponibilidad del Servidor S en el que se alojan las facturas se valorara ms alta, puesto que la indisponibilidad de dicho equipo s supondra un
trastorno considerable para la marcha de la organizacin.
La suma de los valores nos da 8. Haciendo lo mismo para todos los activos podremos estimar cules son los activos ms crticos, ms valiosos para la organizacin y establecer comparaciones.
Obviamente, los razonamientos anteriores son hipotticos y se ofrecen a modo de
ejemplo. En cada organizacin los activos se ven y valoran de acuerdo con las circunstancias y la utilizacin que brinda cada uno de ellos.
Otro aspecto a documentar en este punto es la relacin entre los procesos de negocio y
los activos de informacin. Segn la norma se debe documentar cmo la informacin
que se gestiona en la empresa soporta los procesos de negocio, es decir, colabora en el
funcionamiento del negocio y, por lo tanto, en que ste siga generando ingresos.
Para ello hay que definir cules son los principales procesos de negocio (administracin, produccin, gestin de proyectos, compras, etc.) y especificar qu activos
forman parte de su operativa normal. Por ejemplo, podemos considerar que el proceso Compras se apoya en el personal del departamento, las aplicaciones con las
que se produce la documentacin, la propia documentacin (peticiones de oferta,
ofertas, rdenes de compra, etc.), los equipos de usuarios, los servidores donde se
aloja la informacin y las comunicaciones.
Un ejemplo de cmo realizar este documento puede consultarse en el apartado 8.2 de
este libro.

4.5. Anlisis de riesgos


Para efectuar el anlisis de riesgos confeccionaremos (o utilizaremos la propuesta
por la metodologa o herramienta que se haya escogido) una lista de las amenazas
a las que se enfrenta la empresa. Por ejemplo:
Fuego.
Inundacin.

80

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Corte de suministro elctrico.


Fallo del suministro de comunicaciones.
Error de usuario.
Para cada activo hay que valorar cul es la vulnerabilidad de ese activo con respecto
a cada una de las amenazas. Esta valoracin se har de acuerdo a una escala definida
por la empresa, por ejemplo de 1 a 4:
1 Nada vulnerable.
2 Poco vulnerable.
3 Bastante vulnerable.
4 Muy vulnerable.
Es decir, si tenemos un activo facturas expuesto a la amenaza fuego, ser muy
vulnerable (4) si las facturas estn en soporte papel, pero podemos considerar que
es bastante vulnerable (3) si estn en soporte electrnico.
El siguiente paso ser decidir cul es la probabilidad de que ocurra la amenaza
(vase la tabla 4.2).
Tabla 4.2. Anlisis de riesgos
Probabilidad de ocurrencia
de la amenaza

Gua

1 Muy baja

Una media de una vez cada 5 aos

2 Baja

Una media de una vez cada 2 aos

3 Media

Una media de una vez al ao

4 Alta

Una media de 3 veces al ao

Por ltimo, para decidir el nivel de riesgo de los activos habr que evaluar el
impacto que tendra en el negocio que la amenaza se materializara, siguiendo con
el ejemplo anterior, que un incendio acabara con las facturas.
Hay que definir de nuevo una escala para asignar un valor numrico a ese impacto,
como:
1 Ningn impacto.

4. Definicin e implementacin de un SGSI

81

2 Poco impacto.
3 Bastante impacto.
4 Mucho impacto.
En nuestro ejemplo vamos a considerar que el impacto sera 3.
Estas valoraciones se deben realizar sin aplicar ninguna medida de seguridad a los
activos, es decir, hay que estimar que nuestras facturas en papel estn simplemente
en una carpeta o que las facturas en soporte electrnico no tienen copias de seguridad ni se encuentran protegidas por contrasea.
Con los valores obtenidos para cada activo hay que calcular el riesgo para cada
amenaza (que ser, por ejemplo, el producto de los tres parmetros), y despus calcular el nivel de riesgo de ese activo, que puede ser una simple suma de todos los
valores obtenidos o puede optarse por tomar slo el valor ms alto. El objetivo es
cuantificar algo tan intangible como el nivel de riesgo y poder comparar todos los
activos con un criterio homogneo. Por ello, el mtodo de clculo no es tan crucial
como los criterios que se apliquen para efectuar esos clculos, que deben ser claros,
coherentes y bien definidos.
Las escalas y los clculos sern concretos, entendibles y se aplicarn a todos los
activos de la misma manera.
En este ejemplo (vase la tabla 4.3), el nivel de riesgo puede considerarse que
es 32, puesto que es el mayor de los obtenidos, o bien se pueden sumar los valores
y sera 50. En cualquier caso, lo esencial es utilizar el mismo sistema para todos y
cada uno de los activos, puesto que de lo que se trata es de comparar sus niveles de
riesgo, ver qu activos tienen ms riesgo que otros. De esta manera, obtendremos
un mapa de riesgos coherente, como en la tabla 4.4, del que se puede deducir
que la aplicacin de gestin est expuesta a ms riesgo y entonces debern aplicarse
ms medidas de seguridad para protegerla.

Tabla 4.3. Ejemplo del nivel de riesgo


Amenazas

Facturas

Fuego

Fallo de electricidad

Error de usuario

32

82

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Tabla 4.4. Mapa de riesgos


Activo

Riesgo

Facturas

32

Equipos de usuario

24

Aplicacin de gestin

48

Base de datos de proveedores

Tanto los mtodos de clculo como las valoraciones y los resultados quedarn documentados para cumplir con la norma.
Una vez obtenidos todos los valores de riesgo hay que decidir qu se va hacer con
cada uno de ellos, si se va a asumir, a transferir, a eliminar o a mitigar. Esta
declaracin de la gestin de los riesgos estar firmada por la direccin. Normalmente las decisiones son asumir los riesgos o mitigarlos. En cualquier caso hay que
tener en cuenta que siempre habr un pequeo grupo de controles que van a aplicarse sobre todos los activos o sobre muchos, como es el caso de la poltica de
seguridad, el inventario de activos, la proteccin de los datos personales o las
copias de seguridad.
Decidir en qu punto un nivel de riesgo puede ser asumido por la empresa, o por
decirlo con la expresin utilizada en la norma, cundo un riesgo es asumible, depende
por entero de la empresa y de hasta qu punto puede y quiere tomar medidas en
cuanto a la seguridad de su informacin. Por eso hay que idear de nuevo un criterio
para distinguir entre los riesgos asumibles y los que no lo son.
Siguiendo con nuestro ejemplo, los posibles valores de riesgo iran del 1 al 64, por
lo que podramos estipular que la mediana, el 32, es el valor por debajo del cual se
considerar asumible el riesgo. Otra opcin podra ser la media de los valores, o
directamente convenir un valor por debajo del cual el riesgo es asumible, por ejemplo 10. La norma no especifica nada sobre cmo escoger este valor, y es la empresa
la que debe valorar cuntos riesgos est dispuesta a correr y hasta dnde puede
invertir en mitigarlos.
La documentacin del anlisis de riesgos recoger:
Todas las valoraciones realizadas.
Los valores de riesgo intrnseco.

4. Definicin e implementacin de un SGSI

83

Cul es el riesgo asumible.


Las decisiones tomadas respecto a cada uno de los activos.
Un ejemplo de cmo realizar este documento puede consultarse en el apartado 8.3
de este libro.

4.6. Gestin de riesgos


Una vez que sabemos a qu nos estamos enfrentando, es necesario escoger de entre
los controles incluidos en la Norma UNE-ISO/IEC 27002 los que nos van a servir
para reducir los niveles de riesgo identificados en la fase anterior.
En un sentido amplio, los controles se pueden dividir en dos grupos, los de carcter
organizativo y los tcnicos. Es importante lograr un balance en la seleccin que asegure que no slo se aplican las medidas tcnicas apropiadas, sino que la gestin de la
seguridad es lo suficientemente slida como para que funcionen correctamente.
Hay que revisar uno por uno los controles y considerar:
Si est ya implementado.
Si ayudara a reducir el riesgo de alguno de los activos.
Si el coste de implementarlo es aceptable.
Si el coste de la operacin y el mantenimiento del control sern aceptables.
Existen una serie de controles que deben ser implementados obligatoriamente
si optamos por la certificacin, por ejemplo, tener una poltica de seguridad o un
inventario de activos, pero salvo esos, el resto, aunque nos parezcan muy apropiados al problema que tenemos entre manos, hay que valorar cuidadosamente los
criterios expuestos anteriormente, porque aplicar un control que luego es muy costoso de implementar no va a ser una medida de seguridad eficiente, y uno que
suponga mucho esfuerzo implementacin por motivos culturales o de organizacin, ser difcil que llegue a ser eficaz.
No hay un nmero establecido o recomendado de controles a implementar. Se
deben implementar todos aquellos que beneficien a la seguridad de la informacin,
pero no pretender abarcar demasiados, puesto que lastraran el desarrollo del SGSI
y no le permitiran una implementacin adecuada.
Por ejemplo, el activo facturas que manejbamos. Ser necesario contar con controles de acceso a esta informacin (no todo el mundo tiene por qu acceder a ella),

84

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

copias de seguridad (que garanticen la disponibilidad de la informacin) o procedimientos para intercambio de informacin (cmo las vamos a hacer llegar de
manera segura a los clientes o a los asesores garantizando su integridad). En general, estos controles son fciles de implementar e incluso en muchos casos, aunque
sea de manera informal, ya existen buenas prcticas relacionadas. El coste no
resulta elevado y reducen los principales riesgos detectados (fallos de usuario,
fuego). Aislar los equipos en los que se tratan las facturas en un rea segura, con
costosas medidas de seguridad fsica y equipos especiales que garanticen la
disponibilidad es, normalmente, demasiado gravoso econmicamente para los
beneficios que se obtienen. La reduccin del riesgo sera mayor que en el primer
caso, pero no compensara.
Puesto que estamos hablando de sistemas de gestin orientados a la mejora continua,
es mucho ms prctico en una primera iteracin quedarse con un conjunto mnimo
de controles que cumplan con los requisitos de la Norma UNE-ISO/IEC 27001,
y que mitiguen hasta un nivel aceptable, aunque no sea muy bajo, el riesgo. Una
vez que el SGSI funciona de un modo correcto, se pueden ir aadiendo controles
o mejorando la implementacin de los existentes para reducir progresivamente el
riesgo, es decir, para ir mejorando el sistema.
Decididos los controles a implementar e identificados aquellos que ya se utilizaban
en la empresa, hay que repetir el anlisis de riesgos, cindose al mismo mtodo y
a los mismos criterios que la primera vez. La diferencia estriba en que lo que ahora
se debe valorar es el riesgo, puesto que ya tenemos medidas de seguridad que
habrn reducido la vulnerabilidad del activo y el posible impacto que un incidente
de seguridad supondra.
Retomando nuestro ejemplo, supongamos en esta ocasin que el activo facturas
existe en papel, guardado en un armario en una oficina con medidas antiincendios
(detectores, extintores, alarmas), y adems se almacenan en un servidor, que contar con un Sistema de Alimentacin Ininterrumpida (SAI), situado en un armario
especfico cerrado con llave, con control de temperatura, etc. Adems se realiza una
copia semanal de seguridad, que a partir de ahora se enviar a otra ubicacin.
Con estas medidas de seguridad implementadas o a punto de hacerlo, la vulnerabilidad al fuego se ha reducido quizs a 1, y como existen copias de seguridad
incluso fuera de la oficina, el impacto tambin se reducir, por ejemplo a 2. La
vulnerabilidad al fallo de electricidad, es baja, el SAI puede ayudar a aminorar el
impacto, ya que si se produce un fallo el usuario puede terminar y guardar su trabajo antes de que la avera lo elimine o corrompa. Puesto que la implementacin
de un SGSI conlleva la definicin y publicacin de una poltica de seguridad con
normas para los usuarios, la vulnerabilidad al error de usuario deber ser menor
(vase la tabla 4.5).

4. Definicin e implementacin de un SGSI

85

Tabla 4.5. Gestin de riesgos


Facturas
Amenazas

Riesgo
inicial

Vulnerabilidad

Impacto

Riego
residual

Fuego

Fallo de electricidad

Error de usuario

El grado de riesgo del activo facturas es ahora de 4, lo cual le sita en un nivel


inferior por debajo del cual el riesgo es asumible, es decir, no es necesario aadir
ms controles a este activo.
En esta fase se generarn dos documentos: el documento de aplicabilidad y el
informe de gestin de riesgos.
Las decisiones sobre aplicar o no un control debern quedar documentadas en el
documento de aplicabilidad. Este documento debe contener para cada control la
siguiente informacin:
Si est aplicado.
Si se va a aplicar.
Si no se va a aplicar.
Razonamiento explicando la decisin.
El informe de gestin de riesgos recoger:
Los controles aplicados a cada activo.
Las valoraciones y los valores de riesgo resultantes tras la aplicacin de los
controles.
La aceptacin de la direccin de los riesgos residuales.
Un ejemplo de cmo realizar dichos documentos puede consultarse en los apartados 8.4 y 8.5 de este libro.

86

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

4.7. Plan de tratamiento del riesgo


Es conveniente, una vez decidido lo que se va a hacer, que se prepare un plan para
ejecutar las tareas a emprender para que el SGSI quede completamente implementado.
Las principales tareas sern la implementacin de todos los controles, la formacin,
la auditora interna y la revisin por la direccin.
El plan puede ser adems el documento idneo para plasmar los objetivos de seguridad junto con un grupo de mtricas relevantes, medibles con escasos recursos y que
ofrezcan una informacin fiable de cmo funciona el SGSI.
La norma establece que se debe medir el rendimiento de todos aquellos controles
que se consideren relevantes. Adems, hay que procurar que medir no resulte costoso, por lo que se escoger un grupo reducido de mtricas que nos orienten sobre
si el SGSI funciona o no, por ejemplo, partiendo de los tres aspectos de seguridad,
y ver de qu manera podemos medir si conseguimos mantenerlos:
Confidencialidad: reducir el porcentaje de incidentes relacionados, aumentar
la concienciacin del personal, etc.
Disponibilidad: porcentaje de disponibilidad de los equipos y sistemas.
Integridad: reducir el porcentaje de informacin errnea, disminuir el porcentaje de fallos del sistema o las aplicaciones, etc.
Una vez en marcha el programa de mtricas, se ver cules son los puntos que
aportan informacin relevante sobre la marcha del SGSI, cules deberan ser
descartados y cules incorporados para mejorar nuestro conocimiento del funcionamiento del SGSI. El mismo funcionamiento de los controles puede sugerir
nuevos objetivos y mtricas que aadir.
Un ejemplo de este documento puede consultarse en el apartado 8.6 de este libro.

4.8. Procedimientos
Es uno de los puntos ms problemticos. El objetivo de un procedimiento es
describir la manera en la que se va a realizar una tarea. El nivel de detalle de un procedimiento no debera ser muy alto. Se trata de contar cmo se hace una tarea de
forma que alguien que no est familiarizado con ella pudiera ejecutarla en caso
necesario. Para ello se debera describir a grandes rasgos lo que se debe hacer y citar

4. Definicin e implementacin de un SGSI

87

aquellos documentos que puedan ser de ayuda para llevar a cabo la tarea. Se debe
evitar ofrecer detalles que pueden cambiar con frecuencia, y obligaran a revisar el
procedimiento muy a menudo. Este tipo de datos deberan documentarse en
instrucciones tcnicas y no en procedimientos.
El lenguaje debera ser lo ms claro posible, evitando modismos y jergas ininteligibles o que conduzcan a malas interpretaciones. El estilo debera ser conciso, sin
rebozos, lo cual facilita la comprensin del texto. El procedimiento, lo ms breve
posible para que sea sencillo de leer, comprender y, lo ms importante, de utilizar.
No hay ninguna regla respecto al nmero de procedimientos que deben crearse.
Adems, un control puede implementarse de diversas maneras. Habr, por ejemplo, controles que se implementarn con un documento como el inventario de
activos, y otros que lo harn con una medida tcnica (instalacin de un cortafuegos). Cuando la implementacin se efecte mediante un procedimiento, puede
aplicarse un procedimiento para cada control que se ha decidido implementar, pero
no es necesario. Tambin resulta til recoger en un mismo procedimiento varios
controles relacionados, por ejemplo, los relativos al control de accesos. Esta agrupacin facilita enormemente la implementacin de los controles y la gestin de la
documentacin, y en consecuencia hace ms sencilla la implementacin del sistema.
Por otro lado, dependiendo de la complejidad de la organizacin o de las actividades a tratar, tambin puede suceder que un control requiera ms de un procedimiento para implementarse.
Sealar de nuevo que lo propuesto por la Norma UNE-ISO/IEC 27002 es meramente informativo, puede utilizarse como referencia y punto de partida, pero los
procedimientos deben recoger el modo de ejecutar un control o varios, dependiendo del funcionamiento, estructura y cultura de la organizacin. En la medida
que el procedimiento refleje la realidad de la organizacin, o al menos la tenga en
cuenta al introducir los cambios, tendr ms xito la implementacin de los nuevos
modos de trabajo.
Es en este punto donde se hace ms notoria la necesidad de ajustar el sistema a la
organizacin. Los procedimientos son los documentos de trabajo que ms difusin
van a tener y que ms van a afectar al personal tras la poltica de seguridad. Por eso
es crucial que se perciban como herramientas de trabajo tiles y no como directrices alejadas de los modos habituales de trabajo. Para ello deben reunir todos los
requisitos mencionados, que sintetizaremos en dos palabras: claridad y realismo.
Un ejemplo de cmo realizar este documento puede consultarse en los apartados 8.7 y 8.8 de este libro.

88

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

4.9. Formacin
El personal afectado por el SGSI, y en la medida de lo posible, todo el personal de
la empresa, debe recibir formacin adecuada en seguridad de la informacin.
El personal es el elemento clave que permitir al SGSI funcionar o fracasar. Todo el
mundo ha de conocer su existencia, el motivo de la nueva situacin y los objetivos
que se persiguen al implementar los nuevos modos de trabajo o al formalizar los ya
existentes.
Cada grupo tendr unas necesidades especficas y no todo el mundo necesitar formacin en todos los aspectos del SGSI. Por eso, el plan de formacin deber
recoger distintas actuaciones en funcin de estas necesidades.
Los medios de comunicacin interna que ya existan en la organizacin (intranet,
paneles informativos, boletines, etc.) son muy tiles para difundir, por ejemplo, la
poltica de seguridad que debe llegar a toda la organizacin.
La formacin puede ser interna, por ejemplo, charlas del responsable de seguridad
para explicar qu es un SGSI, las causas de su implementacin y los principales
cambios que haya habido es una manera muy eficaz de informar a todos.
La asistencia o participacin de la direccin en las acciones formativas es una excelente oportunidad de demostrar su compromiso con el SGSI y su apoyo a la iniciativa.

4.10. Revisin por la direccin


El informe de revisin por la direccin habitualmente es elaborado por el responsable de seguridad, que siguiendo los parmetros establecidos por la norma, realiza
un resumen de lo que se ha hecho y de cmo se ha desarrollado la implementacin
o en su caso la operativa del SGSI, con las incidencias, los problemas, las soluciones
y los beneficios recabados.
Este informe debe ser estudiado y aprobado por la direccin, lo cual se hace en
muchos casos dentro del comit de seguridad.

4.11. Auditora interna


La auditora es una potente herramienta que permite detectar errores y puntos
dbiles en el SGSI. Consiste en evaluar hasta qu punto el SGSI se ajusta a la

4. Definicin e implementacin de un SGSI

89

norma y el grado de cumplimiento de la organizacin de sus propias normas.


Para ello:
Se comprueba que la documentacin del SGSI est de acuerdo con lo
establecido en la norma.
Se revisa cada punto de la norma y se va verificando que, efectivamente, existen pruebas de su cumplimiento (habitualmente estas pruebas son los registros generados al ejecutar los procedimientos).
Se revisan los procedimientos, confirmando que se ejecutan tal y como est
establecido en ellos, realizando pruebas de cumplimiento, es decir, verificar
tcnicamente que los procedimientos se cumplen: que los usuarios estn efectivamente dados de alta, que se efectan las copias de seguridad y cmo, etc.
Las auditoras internas deberan recoger y utilizar los resultados de otras auditoras
que se lleven a cabo, como la auditora de la LOPD, pruebas de intrusin, auditoras informticas, etc.
Los auditores internos han de conocer la empresa a fondo, ser independientes,
objetivos y tener algn conocimiento del SGSI.

4.12. Registros
Puestos en marcha los procedimientos, se generarn una serie de registros, que son
la prueba de que se han ejecutado.
Algunos de los principales registros son:
Actas del comit de seguridad.
Informe de la revisin por la direccin.
Informes de auditoras.
Registros de formacin.
Perfiles profesionales.
Acciones correctivas y preventivas.
Registros de copias de seguridad.
Registros de mantenimientos.
Registros de usuarios.

90

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Los registros pueden estar en cualquier formato y soporte, pero debern permanecer controlados para que no se deterioren o pierdan. El nmero de registros
depender de qu procedimientos se encuentren en uso, su complejidad y las costumbres de la empresa.
La recomendacin es automatizar lo ms posible la produccin de registros para
evitar tener que generarlos manualmente, con el consiguiente consumo de recursos.

Proceso de certificacin

Actualmente, la Norma UNE-ISO/IEC 27001 es la norma espaola vigente para


la certificacin de sistemas de gestin de la seguridad de la informacin.
La Norma UNE-ISO/IEC 27002 no es certificable, es slo una gua de buenas prcticas.
Hay que tener claro que con estas normas no estamos certificando la seguridad de
la informacin de nuestra organizacin, sino el sistema mediante el cual gestionamos esta seguridad.
Certificar un sistema de gestin es obtener un documento que reconoce y respalda
la correcta adecuacin del sistema de gestin de seguridad de la informacin conforme a una norma de referencia, en este caso la Norma UNE-ISO/IEC 27001.
El certificado de cumplimiento de una norma nicamente puede ser emitido por
una entidad debidamente acreditada ante el organismo que define los criterios bajo
los que pueden llevarse a cabo estas actividades.
En Espaa las entidades de certificacin tienen que estar acreditadas por ENAC.
ENAC es una entidad privada, independiente y sin nimo de lucro, cuya funcin
es coordinar y dirigir en el mbito nacional un sistema de acreditacin conforme a
criterios y normas internacionales. ENAC acredita organismos que realizan actividades de evaluacin de la conformidad, sea cual sea el sector en que desarrolle su
actividad, su tamao, su carcter pblico o privado, o su pertenencia a asociaciones
o empresas, universidades u organizaciones de investigacin. ENAC acredita a laboratorios, entidades de inspeccin, entidades de certificacin, verificadores medioambientales, etc.
La realizacin de auditoras de sistemas de gestin en general se rige por la Norma
UNE-EN ISO/IEC 17021 Evaluacin de la conformidad. Requisitos para los organismos

92

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

que realizan la auditora y la certificacin de sistemas de gestin, y en particular, son


los SGSI los que deben ser auditados por entidades que cumplan los requisitos de
la Norma ISO/IEC 27006 Tecnologa de la informacin. Tcnicas de seguridad. Requisitos para organismos proveedores de auditora y certificacin de Sistemas de Gestin de
Seguridad de la Informacin.
Entre los beneficios de emprender la certificacin sealaremos los siguientes:
Contribuye a impulsar las actividades de proteccin de la informacin en las
organizaciones.
Mejora la imagen y afianza la reputacin de una organizacin.
Genera confianza frente a terceros, ya que es una prueba de la rigurosidad de
la gestin de la empresa.
Es un factor que permite diferenciarse de la competencia, lo que proporciona
una cierta ventaja competitiva.
Si no existe todava otro sistema de gestin en la organizacin, logra crear
una cultura de enfoque a procesos y de mejora continua que beneficiar a
toda la estructura.
La organizacin que desee solicitar el certificado debe contactar con una entidad
de certificacin acreditada.
Esta entidad recoge la informacin bsica de la empresa, como su tipo de negocio,
nmero de empleados y actividades a certificar, con el fin de asignar un equipo
auditor adecuado y determinar el nmero de das necesarios para llevar a cabo la
auditora.
Fase 1. Revisin documental. El equipo auditor revisa la documentacin
del SGSI para verificar que cumple con los principales requisitos de la norma
y emiten un informe con los hallazgos. Si el equipo auditor descubriese
incumplimientos graves de la norma, informaran a la organizacin de la
imposibilidad de conseguir la certificacin en esas condiciones. Si detectasen
pequeas no conformidades, habra que corregirlas antes de la siguiente fase,
que suele realizarse un mes ms tarde.
Fase 2. Auditora de certificacin. El equipo auditor recoger evidencias
objetivas de que la organizacin cumple tanto con los requisitos de la normas
como con sus polticas, objetivos y procedimientos, as como con los requisitos documentados. Si los auditores no detectan no conformidades graves, se
concede el certificado a la empresa.

Relacin entre los


apartados de la norma y
la documentacin del sistema

Para certificar un SGSI debe cumplir con los apartados 4 al 8 de la norma. La justificacin de este cumplimiento quedar recogida en los documentos correspondientes y
los registros de ciertas actividades, que, a modo de ejemplo, pueden ser los siguientes:
Apartados de la norma

Documento de soporte

0 Introduccin
1 Objeto y campo de aplicacin
2 Normas para consulta
3 Trminos y definiciones
4 Sistema de gestin de la seguridad de
la informacin
4.1 Requisitos generales

Poltica de seguridad

4.2 Creacin y gestin del SGSI


4.2.1 Creacin del SGSI

Poltica de seguridad
Inventario de activos
Anlisis de riesgos
Gestin de riesgos
Documento de aplicabilidad
(contina)

94

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Apartados de la norma

4.2.2 Implementacin y operacin


del SGSI
4.2.3 Supervisin y revisin del SGSI

4.2.4 Mantenimiento y mejora del SGSI

Documento de soporte

Plan de tratamiento del riesgo

Gestin de incidencias
Auditoras internas
Revisin por la direccin
Monitorizacin de objetivos
Acciones de mejora
Acciones preventivas y correctivas

4.3 Requisitos de la documentacin


4.3.1 Generalidades

4.3.2 Control de documentos


4.3.3 Control de registros

Poltica de seguridad
Objetivos de seguridad
Procedimientos
Anlisis de riesgos
Gestin de riesgos
Registros
Documento de aplicabilidad
Procedimiento para el
control de la documentacin
Procedimiento para
el control de los registros

5 Responsabilidad de la direccin
5.1 Compromiso de la direccin

Poltica y planes firmados


Criterios y aceptacin
de riesgos firmada
Revisin aprobada por la direccin

5.2 Gestin de los recursos


5.2.1 Provisin de los recursos
5.2.2 Concienciacin, formacin y
capacitacin

Planes de seguridad
Planes de formacin
Registros de formacin
(contina)

6. Relacin entre los apartados de la norma y la documentacin del sistema

Apartados de la norma

6 Auditoras internas del SGSI

7 Revisin del SGSI por la direccin

Documento de soporte

Plan de auditoras
Informes de auditoras
Informe de revisin por la direccin

7.1 Generalidades
7.2 Datos iniciales de la revisin
7.3 Resultados de la revisin
8 Mejora del SGSI
8.1 Mejora continua

Acciones de mejora

8.2 Accin correctiva

Acciones correctivas

8.3 Accin preventiva

Acciones preventivas

95

Correspondencia entre las


Normas UNE-EN ISO 9001:2008,
UNE-EN ISO 14001:2004
y UNE-ISO/IEC 27001:2007

UNE-EN ISO 9001:2008

0 Introduccin

UNE-EN ISO 14001:2004

Introduccin

UNE-ISO/IEC 27001:2007

0 Introduccin

0.1 Generalidades

0.1 Generalidades

0.2 Enfoque basado en


procesos

0.2 Enfoque por procesos

0.3 Relacin con la


Norma ISO 9004
0.4 Compatibilidad
con otros sistemas
de gestin
1 Objeto y campo de
aplicacin

0.3 Compatibilidad
con otros sistemas
de gestin
1 Objeto y campo de
aplicacin

1 Objeto y campo de
aplicacin

1.1 Generalidades

1.1 Generalidades

1.2 Aplicacin

1.2 Aplicacin

2 Normas para consulta

2 Normas para consulta

2 Normas para consulta

3 Trminos y definiciones

3 Trminos y definiciones

3 Trminos y definiciones

4 Sistema de gestin de
la calidad

4 Requisitos del sistema


de gestin ambiental

4 Sistema de gestin de
la seguridad de la
informacin
(contina)

98

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

UNE-EN ISO 9001:2008

4.1 Requisitos generales

UNE-EN ISO 14001:2004

4.1 Requisitos generales

UNE-ISO/IEC 27001:2007

4.1 Requisitos generales


4.2 Creacin y gestin
del SGSI
4.2.1 Creacin del SGSI

8.2.3 Seguimiento
y medicin de
los procesos

4.4 Implementacin y
operacin

4.2.2 Implementacin y
operacin del SGSI

4.5.1 Seguimiento y
medicin

4.2.3 Supervisin y
revisin del SGSI
4.2.4 Mantenimiento y
mejora del SGSI

8.2.4 Seguimiento
y medicin
del producto
4.2 Requisitos de la
documentacin

4.3 Requisitos de la
documentacin

4.2.1 Generalidades

4.3.1 Generalidades

4.2.2 Manual de
la calidad
4.2.3 Control de los
documentos

4.4.5 Control de los


documentos

4.3.2 Control de los


documentos

4.2.4 Control de los


registros

4.5.4 Control de los


registros

4.3.3 Control de registros

5 Responsabilidad
de la direccin

5 Responsabilidad
de la direccin

5.1 Compromiso
de la direccin

5.1 Compromiso
de la direccin

5.2 Enfoque al cliente


5.3 Poltica de la calidad

4.2 Poltica ambiental

5.4 Planificacin

4.3 Planificacin
(contina)

7. Correspondencia entre las Normas UNE-EN ISO 9001:2008, UNE-EN ISO 14001:2004 y UNE-ISO/IEC 27001:2007

UNE-EN ISO 9001:2008

UNE-EN ISO 14001:2004

UNE-ISO/IEC 27001:2007

5.5 Responsabilidad,
autoridad y
comunicacin
6 Gestin de los recursos

5.2 Gestin de
los recursos

6.1 Provisin de recursos

5.2.1 Provisin de
los recursos

6.2 Recursos humanos


6.2.2 Competencia,
formacin y toma
de conciencia

4.4.2 Competencia,
formacin y toma
de conciencia

5.2.2 Concienciacin,
formacin y
capacitacin

8.2.2 Auditora interna

4.5.5 Auditora interna

6 Auditoras internas
del SGSI

5.6 Revisin por


la direccin

4.6 Revisin por


la direccin

7 Revisin del SGSI por


la direccin

6.3 Infraestructura
6.4 Ambiente de trabajo

5.6.1 Generalidades

7.1 Generalidades

5.6.2 Informacin
de entrada para
la revisin

7.2 Datos iniciales


de la revisin

5.6.3 Resultados de
la revisin

7.3 Resultados de
la revisin

8.5 Mejora

8 Mejora del SGSI

8.5.1 Mejora continua

8.1 Mejora continua

8.5.2 Accin correctiva

8.5.3 Accin preventiva

4.5.3 No conformidad,
accin correctiva
y accin preventiva

99

8.2 Accin correctiva

8.3 Accin preventiva

Caso prctico:
modelo de SGSI

8.1. Documentacin de la poltica de seguridad


8.1.1. Poltica de seguridad de la informacin
En este apartado se debera hacer relacin de los puntos que describan la poltica
de seguridad de la informacin de la empresa. Esta poltica debe estar aprobada por
la direccin de la empresa y debera ser revisada anualmente.

8.1.2. Definicin del SGSI


Este apartado recoge el mbito de aplicacin y los lmites del SGSI teniendo en
cuenta las actividades que realiza la organizacin, los servicios y productos que
oferta, el equipamiento con el que cuenta y las restricciones legales o reglamentarias que sean aplicables a su actividad.

8.1.2.1. Conceptos generales


Definicin de los conceptos ms bsicos de la seguridad:
Disponibilidad.
Confidencialidad.
Integridad.
Seguridad de la Informacin.
Sistemas de Gestin de Seguridad de la Informacin.
Tambin se pueden incluir las definiciones de conceptos utilizadas internamente en
la empresa.

102

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

8.1.2.2. Campo de aplicacin de la poltica de seguridad


Descripcin de a quin y a qu afecta la poltica de seguridad, ya que puede ser al
conjunto de la organizacin, a una parte o servicio, a todos los empleados, a los
contratistas, etc.
Se puede incluir un organigrama de la organizacin.

8.1.2.3. Alcance del sistema


Descripcin de los servicios de venta y alquiler de vehculos terrestres tanto a
empresas como a particulares.

8.1.2.4. Infraestructura informtica


Inclusin de un diagrama de red de la organizacin que muestre de manera
esquemtica la infraestructura informtica con la que se cuenta.

8.1.2.5. Objetivos de la poltica de seguridad


Breve descripcin de qu se pretende conseguir con esta poltica:
Definir el SGSI.
Mejorar la confianza de los clientes y usuarios en las actividades.
Reducir el riesgo de posibles prdidas de informacin, reaccionar adecuadamente ante cualquier tipo de incidencia, etc.

8.1.2.6. Requisitos legales


Detalle de las leyes aplicables en relacin con la seguridad de la informacin correspondiente.

8.1.2.7. Revisiones y auditoras


Establecimiento de la metodologa y periodicidad de la revisin de la poltica de
seguridad y de las auditoras de la misma.

8.1.2.8. Compromiso de la direccin


Descripcin clara y directa de cmo la direccin est detrs de la definicin y la
implementacin del SGSI.

8. Caso prctico: modelo de SGSI

103

8.1.3. Organizacin e infraestructura de seguridad


Este apartado recoge quin y cmo se va a hacer cargo de la seguridad en la
organizacin.

8.1.3.1. Responsabilidades
En esta seccin se describiran las responsabilidades de los distintos roles en materia
de seguridad de la informacin que existen en una organizacin.

8.1.3.1.1. Direccin
Breve definicin de las responsabilidades de la direccin:
Proporcionar recursos al SGSI.
Aprobar los riesgos residuales.
Realizar la revisin por la direccin.
Etc.

8.1.3.1.2. Responsable de seguridad


Breve definicin de sus responsabilidades:
Gestionar y mantener el sistema de seguridad de la informacin.
Proporcionar ayuda y soporte a los usuarios.
Proteger la informacin y los sistemas adecuadamente protegidos.
Etc.

8.1.3.1.3. Propietario de los activos


Breve definicin de sus responsabilidades:
Definir si el activo est afectado por la Ley de Proteccin de Datos y aplicarle en su caso los procedimientos correspondientes.
Definir quin, cmo y cundo se puede tener acceso a la informacin.
Clasificar la informacin y la funcin a desempear.
Asegurarse de que el activo cuenta con el mantenimiento adecuado.
Etc.

104

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

8.1.3.1.4. Responsable de sistemas


Breve definicin de sus responsabilidades:
Administrar y gestionar las cuentas de los usuarios.
Asegurarse de que slo las personas autorizadas a tener acceso cuentan con l.
Asegurarse de que los sistemas tienen los niveles de disponibilidad requeridos
por la organizacin o incluir los aspectos de seguridad que se apliquen en los
requisitos para nuevos desarrollos.

8.1.3.1.5. Personal
Breve definicin de las responsabilidades del personal:
Cmo conocer y aplicar las directrices de la poltica de seguridad.
Notificar las incidencias de seguridad.
Etc.

8.1.3.2. Responsabilidades asociadas a los activos


Para gestionar correctamente los activos el responsable de seguridad debe crear y
mantener un inventario actualizado de los activos importantes, registrando quin es
el propietario del activo, su ubicacin fsica y el valor que tiene para la organizacin.

8.1.4. Clasificacin de la informacin


La informacin de la organizacin debe clasificarse segn su nivel de confidencialidad o sensibilidad para tomar las medidas de seguridad adecuadas a este nivel de
criticidad: informacin confidencial, restringida, interna, pblica, etc.

8.1.5. Anlisis de riesgos de seguridad


Definicin de la necesidad de realizar el anlisis de riesgos y los beneficios que
comporta.

8.1.5.1. Anlisis de riesgos


Descripcin de las tareas a realizar para el anlisis de riesgos.

8. Caso prctico: modelo de SGSI

105

8.1.5.2. Gestin de riesgos


Descripcin de las tareas a realizar para la gestin de riesgos.

8.2. Documentacin del inventario de activos


En este apartado se describe la manera de documentar el listado y la valoracin de
los activos de informacin con los que cuenta la organizacin de acuerdo con los
requisitos de la norma.

8.2.1. Procesos de negocio


Un ejemplo podra ser:
Proceso de negocio

Descripcin

Administracin

Gestin de pagos y cobros,


pago de impuestos, etc.

Alquiler y venta

Servicios de alquiler y venta de vehculos

Comercial

Captacin de clientes

Recursos Humanos

Nminas, altas y bajas de personal

8.2.2. Inventario de activos


Un ejemplo podra ser:
Nombre

Descripcin

Categora

Ubicacin

Propietario

Aplicaciones
comerciales

Office, NominaPlus,
FacturaPlus, etc.

Aplicaciones

Servidor

Responsable
de informtica

Servidor que contiene


los datos de la empresa

Hardware

Sala del servidor

Responsable
de informtica

PC de los usuarios

Hardware

Oficinas

Responsable
de informtica

Datos de clientes

Datos

Servidor/Archivo

Director General

Datos de contabilidad

Datos

Servidor

Director financiero

Laboral

Datos de personal

Datos

Servidor

Director RRHH

Personal

Personal propio
de Cibercar

Personal

Oficinas

Director General

Servidor
Puestos
de usuario
Clientes
Contabilidad

106

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

8.2.3. Relacin proceso de negocio-activos


Un ejemplo podra ser:
Proceso

Administracin

Alquiler
y venta

Comercial

Recursos
humanos

Aplicaciones
comerciales

Servidor

Puestos de usuario

Clientes

Contabilidad

Activos

Laboral
Personal

X
X

8.2.4. Valoracin de activos


Se valorarn los activos segn una escala de puntuacin de 0 (no aplicable/sin valor)
a 4 (mucho valor). La valoracin total ser la suma aritmtica de los cuatro valores.
Activo

Confidencialidad

Integridad

Disponibilidad

Total

Aplicaciones
comerciales

Servidor

Puestos de usario

Clientes

12

Contabilidad

Laboral

11

Personal

8. Caso prctico: modelo de SGSI

107

8.3. Documentacin del Anlisis de riesgos


El nivel de riesgo vendr dado por el valor ms alto para cada activo de:
Nivel de amenaza Nivel de vulnerabilidad Nivel de impacto
Tanto el nivel de vulnerabilidad como el nivel (o probabilidad) de amenaza se valoran de 0 a 3 (no aplicado, bajo, medio y alto).

8.3.1. Valoracin del riesgo por activos


Aplicaciones comerciales
Un ejemplo podra ser:
Impacto
(valor del activo)

Nivel de
amenaza

Vulnerabilidad

Nivel
de riesgo

Fuego

Robo

Error de
mantenimiento

21

Fallo de software

42

Fallo de
comunicaciones

14

Errores de usuario

28

Impacto
(valor del activo)

Nivel de
amenaza

Vulnerabilidad

Nivel
de riesgo

Fuego

27

Robo

54

Error de
mantenimiento

54

Fallo de software

Fallo de
comunicaciones

Errores de usuario

54

Amenaza

Servidor
Un ejemplo podra ser:
Amenaza

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

108

Puestos de usuario
Un ejemplo podra ser:
Impacto
(valor del activo)

Nivel de
amenaza

Vulnerabilidad

Nivel
de riesgo

Fuego

27

Robo

54

Error de
mantenimiento

54

Fallo de software

Fallo de
comunicaciones

Errores de usuario

54

Impacto
(valor del activo)

Nivel de
amenaza

Vulnerabilidad

Nivel
de riesgo

Fuego

12

12

Robo

12

48

Error de
mantenimiento

12

12

Fallo de software

12

12

Fallo de
comunicaciones

12

12

Errores de usuario

12

108

Impacto
(valor del activo)

Nivel de
amenaza

Vulnerabilidad

Nivel
de riesgo

Fuego

Robo

36

Error de
mantenimiento

Amenaza

Clientes
Un ejemplo podra ser:
Amenaza

Contabilidad
Un ejemplo podra ser:
Amenaza

(contina)

8. Caso prctico: modelo de SGSI

Impacto
(valor del activo)

Nivel de
amenaza

Vulnerabilidad

Nivel
de riesgo

Fallo de software

18

Fallo de
comunicaciones

18

Errores de usuario

81

Impacto
(valor del activo)

Nivel de
amenaza

Vulnerabilidad

Nivel
de riesgo

Fuego

11

11

Robo

11

44

Error de
mantenimiento

11

11

Fallo de software

11

22

Fallo de
comunicaciones

11

22

Errores de usuario

11

99

Impacto
(valor del activo)

Nivel de
amenaza

Vulnerabilidad

Nivel
de riesgo

Fuego

18

Robo

Error de
mantenimiento

Fallo de software

Fallo de
comunicaciones

Errores de usuario

36

Amenaza

Laboral
Un ejemplo podra ser:
Amenaza

Personal
Un ejemplo podra ser:
Amenaza

109

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

110

8.3.2. Tratamiento del riesgo


Un ejemplo podra ser:
Activo

Riesgo

Tratamiento

Aplicaciones comerciales

42

Se asume el riesgo

Servidor

54

Se asume el riesgo

Puestos de usario

54

Se asume el riesgo

Clientes

108

Se asume el riesgo

Contabilidad

81

Se asume el riesgo

Laboral

99

Se asume el riesgo

Personal

44

Se asume el riesgo

El valor de riesgo aceptable en este caso se establecera en 50, por lo que se trataran
los que igualen o superen esta cifra y se asumiran los que estuvieran por debajo. De
todas formas, se aplicaran los controles mnimos establecidos por la norma.

8.4. Documentacin de la Gestin de riesgos


Con la aplicacin de controles se reduciran tanto el nivel de amenaza como el de
vulnerabilidad o posiblemente los dos. Consecuencia de todo ello sera la disminucin del nivel de riesgo.

8.4.1. Valoracin del riesgo por activos


Aplicaciones comerciales
Un ejemplo podra ser:
Impacto
(valor del activo)

Nivel de
amenaza

Vulnerabilidad

Riesgo
inicial

Riesgo
residual

Fuego

Robo

Error de
mantenimiento

21

14

Amenaza

(contina)

8. Caso prctico: modelo de SGSI

111

Impacto
(valor del activo)

Nivel de
amenaza

Vulnerabilidad

Riesgo
inicial

Riesgo
residual

Fallo de software

42

28

Fallo de
comunicaciones

14

14

Errores de usuario

28

14

Impacto
(valor del activo)

Nivel de
amenaza

Vulnerabilidad

Riesgo
inicial

Riesgo
residual

Fuego

27

18

Robo

54

36

Error de
mantenimiento

54

36

Fallo de software

Fallo de
comunicaciones

Errores de usuario

54

36

Impacto
(valor del activo)

Nivel de
amenaza

Vulnerabilidad

Riesgo
inicial

Riesgo
residual

Fuego

27

18

Robo

54

36

Error de
mantenimiento

54

36

Fallo de software

Fallo de
comunicaciones

Errores de usuario

54

36

Amenaza

Servidor
Un ejemplo podra ser:
Amenaza

Puestos de usuario
Un ejemplo podra ser:
Amenaza

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

112

Clientes
Un ejemplo podra ser:
Impacto
(valor del activo)

Nivel de
amenaza

Vulnerabilidad

Riesgo
inicial

Riesgo
residual

Fuego

12

12

12

Robo

12

48

24

Error de
mantenimiento

12

12

12

Fallo de software

12

12

12

Fallo de
comunicaciones

12

12

12

Errores de usuario

12

108

60

Impacto
(valor del activo)

Nivel de
amenaza

Vulnerabilidad

Riesgo
inicial

Riesgo
residual

Fuego

Robo

36

Error de
mantenimiento

Fallo de software

18

18

Fallo de
comunicaciones

18

18

Errores de usuario

81

54

Amenaza

Contabilidad
Un ejemplo podra ser:
Amenaza

8. Caso prctico: modelo de SGSI

113

Laboral
Un ejemplo podra ser:
Impacto
(valor del activo)

Nivel de
amenaza

Vulnerabilidad

Riesgo
inicial

Riesgo
residual

Fuego

11

11

11

Robo

11

44

11

Error de
mantenimiento

11

11

11

Fallo de software

11

22

22

Fallo de
comunicaciones

11

22

22

Errores de usuario

11

99

55

Impacto
(valor del activo)

Nivel de
amenaza

Vulnerabilidad

Riesgo
inicial

Riesgo
residual

Fuego

12

12

Robo

Error de
mantenimiento

Fallo de software

Fallo de
comunicaciones

Errores de usuario

24

12

Amenaza

Personal
Un ejemplo podra ser:
Amenaza

114

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

8.5. Documentacin de la Declaracin de


aplicabilidad
Segn lo exigido por la norma, se deben documentar los controles seleccionados,
su aplicacin, as como aquellos que no han sido seleccionados y los motivos por
los que han sido rechazados. Toda esta informacin es la que se recoge en la
declaracin de aplicabilidad.

8.5.1. Controles aplicados


Seccin

Objetivo

A.5

A.5.1

Estado

Justificacin

Poltica de seguridad

Poltica de
seguridad de la
informacin

A.6

A.6.1

Control

5.1.1 Documento de poltica


de seguridad de la
informacin

Aplicar

Exigido por
UNE/ISO-IEC 27001

5.1.2 Revisin de la poltica


de seguridad de la
informacin

Aplicar

Exigido por
UNE/ISO-IEC 27001

Organizacin de la seguridad de la informacin

Organizacin
interna

6.1.1 Compromiso de la
Direccin con la seguridad
de la informacin

Aplicar

Exigido por
UNE/ISO-IEC 27001

6.1.2 Coordinacin de la
seguridad de la informacin

Aplicar

Exigido por
UNE/ISO-IEC 27001

6.1.3 Asignacin de
responsabilidades en seguridad de la informacin

Aplicar

Exigido por
UNE/ISO-IEC 27001

6.1.4 Proceso de autorizacin


para las instalaciones
de procesamiento de la
Informacin

Aplicado

La autorizacin para la
compra e instalacin de
nuevos equipos o software
se gestiona mediante el
procedimiento de compras

6.1.5 Acuerdos de
confidencialidad

Aplicado

Se firman con empleados


y contratistas

6.1.6 Contacto con las


autoridades

No
aplicar

No se considera que este


control ayude a reducir
el riesgo de los activos
identificados
(contina)

8. Caso prctico: modelo de SGSI

Seccin

Objetivo

Control

Estado

Justificacin

Aplicado

Se mantienen contactos con


foros especializados, listas
de correo, revistas, etc.

6.1.8 Revisin independiente


de la seguridad de la
informacin

No
aplicar

Se considera que el coste


de implementacin de este
control supera al beneficio
que se obtendra

6.2.1 Identificacin de
riesgos relacionados
con terceras partes

No
aplicar

Se considera que el coste


de implementacin de este
control supera al beneficio
que se obtendra

6.2.2 Gestin de la seguridad al


tratar con clientes

No
aplicar

No se considera que este


control ayude a reducir
el riesgo de los activos
identificados

6.2.3 Gestin de la seguridad


en contratos con terceras
partes

No
aplicar

Se considera que el coste


de implementacin de este
control supera al beneficio
que se obtendra

7.1.1 Inventario de activos

Aplicar

Exigido por
UNE/ISO-IEC 27001

7.1.2 Propiedad de los activos

Aplicar

Exigido por
UNE/ISO-IEC 27001

7.1.3 Utilizacin aceptable de


los activos

Aplicar

Se marcarn unas pautas


de utilizacin de los activos

7.2.1 Guas de clasificacin

Aplicar

Exigido por
UNE/ISO-IEC 27001

7.2.2 Etiquetado y tratamiento de


la informacin

Aplicar

Exigido por
UNE/ISO-IEC 27001

6.1.7 Contacto con grupos de


inters especial
A.6.1

A.6.2

Organizacin
interna

Terceras partes

A.7

A.7.1

A.7.2

Gestin de activos

Responsabilidades
de los activos

Clasificacin de
la informacin

A.8

Seguridad de la gestin de los recursos humanos


No
aplicar

En el anlisis de riesgos
no se han detectado
amenazas en este sentido

8.1.2 Anlisis y seleccin

Aplicado

Se controla la seleccin de
personal

8.1.3 Trminos y condiciones


de empleo

Aplicado

Se documentan en los
contratos

8.1.1 Roles y responsabilidades


A.8.1

115

Antes de la
contratacin

(contina)

116

Seccin

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Objetivo

Control

A.8.3

Durante el empleo

Finalizacin o
cambio de empleo

En el anlisis de riesgos
no se han detectado
amenazas en este sentido

8.2.2 Concienciacin, formacin


y entrenamiento sobre la
seguridad de la informacin

Aplicar

Segn el anlisis de riesgos,


una amenaza habitual es
la falta de formacin en
materia de seguridad

8.2.3 Proceso disciplinario

No
aplicar

En el anlisis de riesgos
no se han detectado
amenazas en este sentido

8.3.1 Responsabilidades
ante la finalizacin

No
aplicar

En el anlisis de riesgos
no se han detectado
amenazas en este sentido

Aplicado

Cuando el empleado cesa


devuelve todos los activos
que posea

Aplicado

Para evitar los accesos a


la informacin de personal
que ya no pertenece a la
organizacin

8.3.2 Devolucin de activos

8.3.3 Retirada de los derechos


de acceso
A.9

Seguridad fsica y del entorno

9.1.1 Permetro de seguridad fsica

9.1.2 Controles fsicos de entrada

A.9.1

Justificacin

No
aplicar

8.2.1 Responsabilidades de los


gestores

A.8.2

Estado

reas seguras

9.1.3 Asegurar las oficinas, salas


e instalaciones

9.1.4 Proteccin contra amenazas


externas y ambientales

Aplicado

Existen controles fsicos de


entrada proporcionales
al tamao y actividad
de la organizacin

Aplicado

Existen controles fsicos de


entrada proporcionales
al tamao y actividad
de la organizacin

Aplicado

Se han asegurado las


oficinas de acuerdo a la
legislacin vigente y
proporcionalmente al
tamao y actividad de
la organizacin

Aplicado

Se han asegurado las


oficinas de acuerdo a la
legislacin vigente y
proporcionalmente al
tamao y actividad de
la organizacin
(contina)

8. Caso prctico: modelo de SGSI

Seccin

Objetivo

Control

9.1.5 Trabajo en reas seguras


A.9.1

A.9.2

reas seguras

Seguridad de
los equipos

A.10

A.10.1

Estado

No
aplicar

117

Justificacin

No existen reas
consideradas seguras

Aplicado

Se establece una zona


en recepcin para carga
y descarga

9.2.1 Emplazamiento y proteccin


de los equipos

Aplicado

Los equipos estn en reas


controladas por personal
autorizado o en salas
cerradas con llave

9.2.2 Servicios de soporte

Aplicado

Los servidores cuentan


con SAI

9.2.3 Seguridad del cableado

Aplicado

La instalacin del
cableado es segura

9.2.4 Mantenimiento de los


equipos

Aplicado

Existe un mantenimiento
interno de los equipos

9.2.5 Seguridad de los equipos


fuera de las instalaciones

Aplicado

Cuentan con ID y
contrasea para acceder
a ellos

9.2.6 Descarte o re-utilizacin


seguros de los equipos

Aplicado

Los equipos descartados


se formatean e instalan de
nuevo cuando se ponen
de nuevo en servicio

9.2.7 Extraccin de elementos de


la propiedad

Aplicado

Existe un procedimiento
de autorizacin aunque
no est documentado

9.1.6 reas de acceso pblico, de


carga y de distribucin

Gestin de las comunicaciones y las operaciones

Procedimientos
operativos y
responsabilidades

10.1.1 Procedimientos operativos


documentados

Aplicar

Exigido por
UNE/ISO-IEC 27001

10.1.2 Gestin de cambios

Aplicar

Los cambios se realizarn


de manera controlada

Aplicado

En circunstancias
aconsejables, los equipos
se encuentran aislados
del resto

No
aplicar

No se considera que este


control ayude a reducir los
riesgos detectados

10.1.3 Separacin de tareas

10.1.4 Separacin de las


instalaciones de desarrollo,
prueba y operacin

(contina)

118

Seccin

A.10.2

A.10.3

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Objetivo

Gestin de
los servicios
suministrados
por terceros

Planificacin
y aceptacin
del sistema

A.10.4

Proteccin frente a
cdigo malicioso
y cdigo mvil

A.10.5

Copias de
seguridad

Control

Estado

Justificacin

10.2.1 Suministro del servicio

No
aplicar

Se considera que el coste


de implementacin de
este control superara al
beneficio que se obtendra

10.2.2 Revisin y monitorizacin


de servicios de terceras
partes

No
aplicar

Se considera que el coste


de implementacin de
este control superara al
beneficio que se obtendra

10.2.3 Gestin de cambios a los


servicios de terceras partes

No
aplicar

Se considera que el coste


de implementacin de
este control superara al
beneficio que se obtendra

10.3.1 Gestin de la capacidad

Aplicado

Se hara un estudio
peridico de las
necesidades presentes y
futuras de capacidad
del sistema informtico

10.3.2 Aceptacin del sistema

Aplicado

Hasta ahora se hace de


una manera informal

10.4.1 Controles contra cdigo


malicioso

Aplicado

Se dispone de sistemas
antivirus y anti spyware

No
aplicar

10.5.1 Respaldo de la
informacin

Aplicado

Necesario para evitar


riesgos de prdida de
informacin

Aplicado

Cada departamento
dispondra de una firma
digital para usarla en
caso de transmisin de
informacin sensible

10.6.1 Controles de red


A.10.6

Gestin de
la seguridad
de la red
10.6.2 Servicios de seguridad
de redes

A.10.7

Gestin
de soportes

No se considera que este


control ayude a reducir
el riesgo de los activos
identificados

10.4.2 Controles contra


cdigo mvil

10.7.1 Gestin de soportes


removibles

No
aplicar

Se considera que el coste


de implementacin de
este control superara al
beneficio que se obtendra

Aplicar

Necesario para evitar


riesgos de prdida de
informacin. Exigido
por la LOPD para datos
de carcter personal
(contina)

8. Caso prctico: modelo de SGSI

Seccin

Objetivo

Control

10.7.2 Descarte de medios


(de almacenamiento de
la informacin)

A.10.7

A.10.8

A.10.9

Gestin
de soportes

Intercambio
de informacin

Servicios de
comercio
electrnico

Aplicado

Justificacin

Existiran trituradoras
de papel

10.7.3 Procedimientos de
tratamiento de la
informacin

Aplicar

Dado el resultado del anlisis de riesgos, convendra


aplicar este tipo de control

10.7.4 Seguridad de la
documentacin
del sistema

No
aplicar

No se considera que la
aplicacin de este control
ayudara a reducir los
riesgos detectados

10.8.1 Polticas y procedimientos


de intercambio de la
informacin

No
aplicar

Se considera que el coste


de implementacin de
este control superara al
beneficio que se obtendra

10.8.2 Acuerdos de intercambio

No
aplicar

No se realizaran
intercambios

10.8.3 Soportes fsicos en trnsito

No
aplicar

No se extraeran soportes
con informacin relevante
fuera de las oficinas

10.8.4 Mensajera electrnica

Aplicar

Dado el resultado del


anlisis de riesgos, se
creera conveniente
aplicar este tipo de control

10.8.5 Sistemas de informacin


de negocio

No
aplicar

No se considera que este


control ayudara a reducir
el riesgo de los activos
identificados

10.9.1 Comercio electrnico

No
aplicar

No se realizara comercio
electrnico

10.9.2 Transacciones en lnea

No
aplicar

No se realizaran
transacciones en lnea

Aplicar

Dado el resultado del


anlisis de riesgos,
se creera conveniente
aplicar este tipo de control

Aplicado

Se controlaran los accesos


a algunas aplicaciones

Aplicar

Dado el resultado del


anlisis de riesgos,
se creera conveniente
aplicar este tipo de control

10.9.3 Informacin pblica


disponible

10.10.1 Registro de auditora


A.10.10 Seguimiento

Estado

119

10.10.2 Uso del sistema de


monitorizacin

(contina)

120

Seccin

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Objetivo

Control

Estado

Justificacin

10.10.3 Proteccin de la
informacin de log

Aplicar

Dado el resultado
del anlisis de riesgos,
se creera conveniente
aplicar este tipo de
control

10.10.4 Logs del operador y


del administrador

No
aplicar

El tamao de la
organizacin hara que
este control no fuera
necesario

10.10.5 Registro de fallos

Aplicar

Dado el resultado
del anlisis de riesgos,
se creera conveniente
aplicar este tipo de
control

10.10.6 Sincronizacin horaria

No
aplicar

No se considera que este


control ayudara a reducir
el riesgo de los activos
identificados

A.10.10 Seguimiento

A.11

A.11.1

A.11.2

Control de accesos
Requisitos del
negocio para
el de accesos

Gestin
de accesos de
los usuarios

Aplicado

Los usuarios contaran


con la informacin
pertinente respecto
a los permisos de
accesos que poseen

11.2.1 Registro de usuarios

Aplicar

El movimiento de
alta y baja de usuarios
en los sistemas hara
indispensable este
control

11.2.2 Gestin de privilegios

Aplicar

Se asignaran permisos
a nivel del sistema
operativo

11.2.3 Gestin de contraseas


de usuarios

Aplicar

Dado el resultado del


anlisis de riesgos,
se creera conveniente
aplicar este tipo de control

11.2.4 Revisin de derechos de


usuario

Aplicado

Se hara bajo peticin del


responsable directo
del usuario

11.1.1 Poltica de de accesos

(contina)

8. Caso prctico: modelo de SGSI

Seccin

A.11.3

Objetivo

Responsabilidades
del usuario

Control

Control de
acceso a la red

Justificacin

11.3.1 Uso de contraseas

Aplicar

Sera necesario para


proteger el acceso a
la informacin

11.3.2 Equipamiento desatendido


por el usuario

Aplicar

Se considerara necesario
para evitar accesos
no autorizados

11.3.3 Poltica de mesas y


pantallas limpias

Aplicar

Se evitaran as
filtraciones de informacin
indeseadas

Aplicar

Dado el resultado
del anlisis de riesgos,
se creera conveniente
aplicar este tipo
de control

11.4.2 Autenticacin de usuarios


para conexiones externas

Aplicar

Dado el resultado
del anlisis de riesgos,
se creera conveniente
aplicar este tipo
de control

11.4.3 Identificacin de equipos


en las redes

No
aplicar

No se considera que este


control ayude a reducir
el riesgo de los activos
identificados

11.4.4 Proteccin del puerto


remoto de configuracin
y diagnstico

Aplicado

Se controlara este acceso

11.4.5 Segmentacin de rede

No
aplicar

No se considera que este


control ayude a reducir
el riesgo de los activos
identificados

11.4.6 Control de conexin


de red

No
aplicar

No se considera que este


control ayude a reducir
el riesgo de los activos
identificados

11.4.7 Control de
reencaminamiento
de redes

No
aplicar

No se considera que este


control ayude a reducir
el riesgo de los activos
identificados

11.4.1 Poltica de uso de


servicios de red

A.11.4

Estado

121

(contina)

122

Seccin

A.11.5

A.11.6

A.11.7

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Objetivo

Control de acceso
a los sistemas
en operacin

Control

Estado

Justificacin

11.5.1 Procedimientos seguros de


entrada a los sistemas
de informacin

Aplicado

Se controlara que el
acceso a los sistemas de
informacin no muestre
informacin y se limitara el
nmero de intentos fallidos

11.5.2 Identificacin y
autenticacin de usuarios

Aplicado

Cada usuario contara con


una ID y una contrasea

11.5.3 Sistemas de gestin


de contraseas

Aplicar

Cada usuario tendra su


contrasea. Este control
sera necesario para evitar
accesos que pudieran
suplantar la identidad
de algn usuario

11.5.4 Uso de utilidades


del sistema

Aplicar

Se restringira el uso de
estas utilidades.

11.5.5 Finalizacin del tiempo


de sesin

No
aplicar

No se considera que este


control ayudara a reducir
los riesgos detectados

11.5.6 Limitacin en el tiempo


de conexin

No
aplicar

No se considera que este


control ayudara a reducir
los riesgos detectados
Slo se dara acceso
a la informacin que
necesitara el usuario
para realizar su trabajo

11.6.1 Restricciones de acceso


a la informacin

Aplicado

11.6.2 Aislamiento de sistemas


sensibles

No
aplicar

No se considera que este


control ayudara a reducir
el riesgo de los activos
identificados

11.7.1 Comunicaciones e
informtica mvil

No
aplicar

No se considera que este


control ayudara a reducir
el riesgo de los activos
identificados

11.7.2 Teletrabajo

No
aplicar

Se considera que el coste


de implementacin de
este control superara al
beneficio que se obtendra

Control de acceso
a las aplicaciones
y la informacin

Informtica mvil
y teletrabajo

8. Caso prctico: modelo de SGSI

123

8.6. Documentacin del Plan de tratamiento


del riesgo
Una vez establecidos los controles a implementar y el riesgo que se pretende
reducir con ellos, hay que definir las tareas que se van a llevar a cabo, los plazos y
los recursos asignados. Todo ello debe documentarse en este plan.

8.6.1. Objetivo
Descripcin de los objetivos del plan de tratamiento del riesgo.

8.6.2. Alcance
Definicin del periodo al que va afectar el plan de tratamiento del riesgo.

8.6.3. Responsabilidades
El responsable de seguridad se encargar de la ejecucin y supervisin de las distintas
actividades.
La direccin debera revisar y aprobar el plan y los objetivos marcados en el plan.

8.6.4. Tareas

Implementacin del SGSI


Aprobacin de la poltica de seguridad
Aprobacin del inventario de activos
Aprobacin del anlisis de riesgos y los riesgos
residuales
Aprobacin del documento de aplicabilidad
Aprobacin del plan de tratamiento del riesgo
Aprobacin de procedimientos
Publicacin de documentos
Impartir formacin
Implementar procedimientos

Auditora interna

Revisin del SGSI

Auditora de certificacin

Mes 12

Mes 11

Mes 10

Mes 9

Mes 8

Mes 7

Mes 6

Mes 5

Mes 4

Mes 3

Actividades

Mes 2

ID

Mes 1

Un ejemplo podra ser:

124

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

8.6.5. Seguimiento
Verificacin del cumplimiento del plan en el plazo acordado por el responsable de
seguridad. En el caso de que produzcan desviaciones, se deberan tomar las medidas oportunas para corregirlas y, en caso necesario, se debera actualizar el plan para
reflejar los cambios.

8.6.6. Objetivos e indicadores


Un ejemplo podra ser:
Indicador

Mtrica

Frmula

Responsable

Frecuencia
de recogida

Fuente

Mejorar la
efectividad del
control de accesos
en un 5%

Porcentaje
de accesos
no autorizados

(Nmero de accesos
no autorizados /
Nmero total de
accesos) 100

Responsable
de sistemas

Trimestral

Registro
de accesos

Mejorar la
efectividad de
la formacin
en un 5%

Valoracin de
la formacin en
s del personal

Suma total de
valoraciones totales
de cada asistente /
Nmero de
asistencias

Responsable
de seguridad

Trimestral

Registros
de formacin

Porcentaje de
las incidencias
de seguridad
debidas a fallos
del usuario

(Nmero de
incidencias
de seguridad
debidas a fallos del
usuario / Nmero de
incidencias) 100

Responsable
de sistemas

Trimestral

Registros
de incidencias

Porcentaje de
los equipos
correctamente
mantenidos

(Nmero de equipos
que pasaron su
mantenimiento en
fecha / Nmero de
equipos totales de la
empresa) 100

Responsable
de sistemas

Trimestral

Registro de
mantenimientos

Porcentaje
de incidencias
debidas a
fallos de
mantenimiento

(Nmero de
incidencias
de seguridad
debidas a fallos
del mantenimiento /
Nmero de
incidencias) 100

Responsable
de sistemas

Trimestral

Registro
de incidencias

Mejorar la
efectividad de los
mantenimientos
en un 5%

(contina)

8. Caso prctico: modelo de SGSI

Frecuencia
de recogida

Indicador

Mtrica

Frmula

Responsable

Reducir un 5%
los ataques con
xito a los s

Porcentaje
de ataques
con xito

(Nmero de ataques
detectados /
Nmero de ataques
con impacto
en los s) 100

Responsable
de sistemas

Porcentaje de
incidencias por
ataques a los s

(Nmero de
incidencias
de seguridad
debidas a ataques /
Nmero de
incidencias) 100

Responsable
de sistemas

Trimestral

Porcentaje de
disponibilidad

(Nmero de horas
sin disponibilidad /
Nmero de horas
disponibilidad
necesaria) 100

Responsable
de sistemas

Trimestral

Mejorar la
disponibilidad
el 5%

Trimestral

125

Fuente

Registro
de incidencias
Registros
del sistema

Test de
intrusin
Monitorizacin
de los sistemas

Registros
del sistema

8.7. Documentacin del Procedimiento de


auditoras internas
8.7.1. Objetivo
El presente procedimiento debera dar cumplimiento a la Norma UNE-ISO/IEC
27001 en lo relativo a las actividades, criterios y responsabilidades para la realizacin
de auditoras internas del sistema de gestin de seguridad de la informacin.

8.7.2. Alcance
Este procedimiento se debera aplicar a todos los servicios incluidos dentro del
alcance del sistema de gestin de seguridad de la informacin.

8.7.3. Responsabilidades
El responsable de seguridad debe definir e implementar un sistema de auditoras
internas que incluya la preparacin, realizacin, registro y seguimiento de las mismas.
Para programar su frecuencia de realizacin ha de tenerse en cuenta que se debe

126

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

auditar por completo el conjunto del SGSI cada tres aos. Lo ms recomendable
es hacer una anualmente.
El personal que realice la auditora no tendr en ningn caso responsabilidad
directa sobre el rea a auditar.

8.7.4. Desarrollo
La manera de llevar a cabo las tareas objeto de este procedimiento son detalladas a
continuacin.

8.7.4.1. Cualificacin del personal


El personal encargado de la ejecucin de las auditoras debera tener las siguientes
caractersticas:
Preparacin profesional necesaria en las metodologas que hay que emplear.
Conocimientos generales adecuados, tanto del ambiente empresarial como
del SGSI.
Carisma personal para transmitir credibilidad.
Estar convenientemente respaldado por la autoridad empresarial.
Debe ser elegido de manera que se garantice la independencia en relacin
con las actividades involucradas.

8.7.4.2. Planificacin de la auditora


Las auditoras pueden hacerse sobre la totalidad del SGSI implicando a toda la
organizacin, considerndose en estos casos como global. O bien, podra hacerse
sobre una parte en concreto, implicando a un determinado departamento, contrato,
sector, etc., considerndose entonces como parcial.
El responsable de seguridad debera realizar anualmente un plan de auditoras que
incluya las fechas y el auditor de cada auditora. Este plan ser aprobado por la
direccin y el responsable de seguridad lo distribuir a todos los departamentos y
auditores afectados.
Con independencia de lo anterior, se deberan realizar auditoras internas cuando:
La amplitud o profundidad de las modificaciones al SGSI as lo aconsejen.
Parcialmente, cuando se implementen procedimientos nuevos o se detecten
no conformidades en las reas afectadas.

8. Caso prctico: modelo de SGSI

127

8.7.4.3. Preparacin de la auditora


Las auditoras se llevan a cabo mediante una lista de comprobacin que, en cada
caso, debe ser elaborada por el auditor bajo la supervisin del responsable de
seguridad y que ser enviada al departamento afectado.
El auditor debe establecer el alcance de la auditora, las actividades a auditar, los
documentos aplicables y la lista de comprobacin. Basndose en esta informacin,
confeccionar la lista de comprobacin que debera ser revisada por el responsable
de seguridad y enviada, con suficiente antelacin, al departamento que va a ser
auditado. Adems, en el caso de modificarse la inicialmente programada, en dicha
lista se incluira la nueva fecha prevista de realizacin de la auditora y que estara
acordada entre los auditores y el rea a auditar.

8.7.4.4. Realizacin de la auditora


El primer paso en la auditora debera ser una reunin donde se confirme el alcance
de la misma, su secuencia y donde se discuta aquellos puntos que cualquiera de las
partes crea conveniente.
A continuacin, se procedera a llevar a cabo la auditora en s mediante el uso de
la lista de comprobacin, anteriormente realizada, como gua de trabajo. Se examinara simultneamente la evidencia objetiva para comprobar que se cumplen los
requisitos y los controles aplicables.
En caso de que la auditora se realizara como consecuencia de la existencia de no
conformidades, se profundizara a fin de identificar las causas y efectos y poder
definir la accin correctiva/preventiva requerida.
Terminada la auditora, el equipo auditor redactara un informe de resultados, identificando de manera clara y concreta las no conformidades detectadas. Cuando haya
no conformidades importantes, se debera programar la fecha de la siguiente auditora para verificar su eliminacin.
El responsable del departamento afectado por la no conformidad detectada o en su
caso el comit de seguridad, elaborar la accin correctiva/preventiva a llevar a
cabo, que ser aprobada por el responsable de seguridad. El responsable del rea
afectada por la accin correctiva/preventiva deber tomar las medidas necesarias
para aplicar totalmente las acciones correctivas y preventivas dentro del plazo sealado en el informe.
Los informes de auditora sern archivados por el responsable de seguridad y se
enviarn copias a direccin y al responsable del rea auditada.

128

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

El cierre de la accin correctiva/preventiva se realizar una vez que, tanto el responsable del rea afectada como los auditores internos, hayan comprobado su efectividad. En el apartado correspondiente del impreso de la accin correctora, se dejar
constancia de dichas comprobaciones con lo que se considerar la accin
correctiva/preventiva cerrada.

8.7.5. Requisitos de documentacin


Los documentos asociados a este procedimiento son:
Plan de auditoras.
Lista de comprobacin.
Informes de auditora.
Acciones correctivas y preventivas.

8.7.6. Referencias
Los documentos de referencia para la realizacin de este procedimiento son:
Norma UNE-ISO/IEC 27001.
Norma UNE-ISO/IEC 17799.
Poltica de seguridad.
Procedimientos de seguridad.
Objetivos de seguridad.
Acciones correctivas y preventivas.
Resultados de otras auditoras: anteriores auditoras internas y externas del
SGSI, auditoras de la LOPD, tests de intrusin, etc.
Revisin del sistema de gestin.

8.7.7. Anexos
Lista de comprobacin de auditora (vase la figura 8.1).
Informe de auditora (vase la figura 8.2).
Plan de auditoras internas (vase la figura 8.3).

8. Caso prctico: modelo de SGSI

Auditora de calidad N.o

Departamento

Fecha

Cuestiones a aplicar:
Verificacin del cumplimiento de las no conformidades detectadas en anteriores auditoras.
Revisin de documentacin existente en el puesto.
Cumplimiento del procedimiento (el que aplique al departamento).
Verificacin de registros.
Cambios en la estructura y funcionamiento del departamento.

Observaciones

Auditor Jefe

Dpto. afectado

Fecha

Fecha

Figura 8.1. Lista de comprobacin de auditora

129

130

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Fecha auditora

Nmero auditora

rea/Proceso clave auditado

Auditor

Grupo auditor

Hallazgos detectados:
Requisito
de la norma

No
conformidad

Hallazgos

Comentarios

Nombre
Elaborado por

Nombre
Revisa y aprueba

Fecha

Fecha

Figura 8.2. Informe de auditora

Firma

Firma

Observacin

8. Caso prctico: modelo de SGSI

N.o

Departamento/Seccin

Fecha prevista

131

Auditores

Figura 8.3. Plan de auditora interna

8.8. Documentacin del Procedimiento para las


copias de seguridad
8.8.1. Objetivo
El presente procedimiento general debera dar cumplimiento al control 10.5.1 de
la Norma UNE-ISO/IEC 17799 para asegurar la informacin de respaldo. Debera
definir la sistemtica establecida para crear copias de seguridad de manera ptima y
que no sean obviadas por algn usuario del sistema.

132

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

8.8.2. Alcance
Debera estar dirigida a todos los equipos de proceso de informacin que realizan
copias de seguridad de la informacin principal.

8.8.3. Responsabilidades
Responsable

Administrador
del sistema

Actividades

Se deberan definir:
Todos los mecanismos necesarios para la correcta realizacin
de las copias de respaldo y recuperacin.
La realizacin de dichas copias segn la normativa que ellos
mismos hayan definido.

8.8.4. Trminos y definiciones


Equipos de proceso: cualquier equipo electrnico utilizado para procesar de
forma automtica la informacin.

8.8.5. Procedimiento
Para asegurar que las copias de respaldo y recuperacin son realizadas correctamente segn la normativa vigente y las definiciones establecidas por el administrador, se deberan establecer las siguientes medidas:

8.8.5.1. Realizacin de las copias de seguridad en servidores


La informacin que debera requerir copia de seguridad es:
Documentacin.
Informacin del sistema.
Pginas web.
Bases de datos.
Correos electrnicos.

8. Caso prctico: modelo de SGSI

133

Las copias de seguridad se deberan realizar peridicamente volcando la informacin desde el servidor a un DVD que se debera almacenar de manera adecuada, en
un sitio protegido y controlado por el responsable correspondiente.
En el caso de que la informacin a guardar tuviera datos extremadamente confidenciales, sta debera ser almacenada en una segunda ubicacin diferente a la del
fichero principal haciendo para ello distintas copias y guardndolas en distintos
sitios bajo tutela del responsable correspondiente.
Si se produjeran fallos en la realizacin de la copia de respaldo, se deber proceder a
realizarla de nuevo, bien de manera manual o bien automtica con un nuevo soporte.

8.8.5.2. Rotacin de los soportes de copias de seguridad y


recuperacin en servidores
No se conveniente reutilizar los soportes de informacin. Cada semana se debera
utilizar un DVD diferente convenientemente identificado (contenido guardado en
l y fecha de realizacin).
Igualmente, se debera desechar y sustituir el soporte cuando se hayan encontrado
errores en la grabacin del mismo. Todas estas altas y bajas de soportes debern
quedar registradas de acuerdo a la sistemtica definida en el Procedimiento de
gestin de soportes.

8.8.5.3. Recuperacin de datos de servidores


La recuperacin de datos de los servidores, as como del resto de equipamiento
informtico, deber ser llevada a cabo nicamente por los administradores del sistema utilizando la copia de respaldo disponible ms reciente o aqulla que sea ms
adecuada a cada situacin.
En el caso de que existan aplicaciones que lo permitan, puede utilizarse la opcin
de la propia aplicacin para restaurar los datos. De otra manera, su recuperacin
consistir en la reposicin de los ficheros guardados en la copia de respaldo, copindolos sobre la ubicacin de los ficheros originales. En caso de ser necesario, se
grabarn los datos no incluidos en la copia de seguridad manualmente.
En caso de utilizar personal tcnico externo no habitual para estas tareas, ste
deber estar acompaado en todo momento del responsable de seguridad o del
personal correspondiente.
La recuperacin de datos deber registrarse como incidencia y quedar registrada de
acuerdo a la sistemtica definida en el Procedimiento de gestin de incidencias.

134

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

8.8.5.4. Realizacin de copias de seguridad en los PC


La realizacin de las copias de respaldo de aquellos datos ubicados en los PC de
usuario consistir en una copia extrada a un soporte externo cada vez que las modificaciones de la informacin sean relevantes.
De la misma manera que se ha detallado en el apartado 5.2, todas las altas y bajas
de soportes deberan quedar registradas de acuerdo a la sistemtica definida en el
Procedimiento de gestin de soportes.

8.8.5.5. Recuperacin de datos de los PC


La recuperacin de datos consistir en la reposicin de los ficheros guardados en la
copia de respaldo, copindolos sobre la ubicacin de los ficheros originales.

8.8.6. Requisitos de documentacin


Inventario de equipos de proceso.
Registro de simulaciones de recuperacin de informacin.
Inventario de soportes.
Registro de incidencias.

8.8.7. Referencias
Poltica de seguridad.
UNE-ISO/IEC 17799.
Manuales de funcionamiento y uso de los equipos electrnicos.
Ley Orgnica de Proteccin de Datos.

8.8.8. Anexos
Registro de copias de seguridad (vase la figura 8.4).

8. Caso prctico: modelo de SGSI

Registro de copias de seguridad


Fecha de copia:

___ / ___ / ______

Hora:

___ : ___

Soporte

Tipo de soporte y nmero


Contenido
Servidor o equipo
Informacin almacenada

Almacenamiento

Medio
Responsable
Lugar

Autorizacin

Persona responsable
de la copia
Persona que autoriza
Observaciones
Firmas

Figura 8.4. Registro de copias de seguridad

135

Comprender el
Esquema Nacional
de Seguridad (ENS)

9.1. Generalidades del ENS


El ENS establece la poltica de seguridad en el mbito de la administracin electrnica. Para ello, se han definido unos principios bsicos y unos requisitos mnimos
que se consideran imprescindibles para proteger adecuadamente unos servicios tan
crticos y sensibles como los que nos ocupan.
El alcance del ENS son los sistemas de informacin, los datos, las comunicaciones,
y los servicios electrnicos de cualquier Administracin Pblica (estatal, autonmica o local), as como de las entidades dependientes de ellas que se utilicen para la
prestacin de servicios electrnicos.
El Real Decreto 3/2010 pretende con su aplicacin asegurar el acceso, la integridad, la disponibilidad, la autenticidad, la confidencialidad, la trazabilidad y la conservacin de los datos, las informaciones y los servicios utilizados en medios electrnicos que se gestionan en las Administraciones Pblicas.
Lgicamente, el ENS no se ha desarrollado sin consultar la normativa y legislacin
que existen en el sector TIC a nivel internacional, por lo que muchos de los conceptos que se manejan tienen similitudes y paralelismos con los que se han visto
anteriormente en esta publicacin. Sin embargo, ha de tenerse en cuenta que las
normas son documentos voluntarios que las organizaciones adoptan con distintos
fines (mejorar su gestin, distinguirse en el mercado, etc.). En cambio, el ENS es
una obligacin legal en el mbito de la administracin electrnica y no es opcional
para los organismos pblicos que prestan estos servicios.
Como ejemplo de los paralelismos entre la Norma UNE-ISO/IEC 27001 y el ENS
se muestra la correspondencia que existe entre algunos de los requisitos de ambas
en la tabla 9.1.

138

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Tabla 9.1. Correspondencias entre el ENS y la Norma UNE-ISO/IEC 27001


ENS

Requisito

UNE-ISO/IEC 27001

11

Poltica de seguridad

4.2.1.b)

12

Compromiso de la direccin

5.1.c) d)

Evaluacin de riesgos

4.2.1.c) d) e)

13.3

Gestin de riesgos

4.2.1.f) g)

27.1

Documento de aplicabilidad

4.2.1.g)

14 - 15

Formacin

5.2.2

34.1

Auditoras

4.2.3.e) - 6

26

Mejora continua

8.1

13.1
13.2

9.2. Principios bsicos del ENS


El ENS seala unos principios bsicos y unos requisitos mnimos que conducen a
la exigencia de la gestin continuada de la seguridad, para la que cabe aplicar un
sistema de gestin. Para satisfacerlos se puede aplicar un modelo de tipo PCDA
como el expuesto en la Norma UNE-ISO/IEC 27001. Los principios bsicos establecidos en el ENS son los siguientes:
Seguridad integral. Sin exigir expresamente que se desarrolle un sistema de
gestin, el ENS al reclamar que la seguridad sea un esfuerzo integral, impide
que se pretenda gestionar la misma mediante un plan formado por varias
medidas puntuales sin una visin global de los problemas de seguridad y su
importancia dentro de la organizacin. Con esto se evitan agujeros de seguridad y utilizar recursos en aspectos que tal vez no lo necesiten.
Gestin de riesgos. Es un aspecto que recoge cualquier mtodo o modelo de
gestin de seguridad de la informacin, ya que slo sabiendo los riesgos a
los que se est expuesto se pueden tomar decisiones informadas. Como los

9. Comprender el Esquema Nacional de Seguridad (ENS)

139

sistemas de informacin y su entorno estn en constante cambio, es necesario mantener la evaluacin de los riesgos actualizada.
Prevencin, reaccin y recuperacin. Establecer medidas de seguridad de distinto tipo es fundamental para conseguir el objetivo de seguridad integral.
Evidentemente, el primer paso para evitar problemas de seguridad es contar
con medidas preventivas (como por ejemplo, la instalacin de un antivirus
como medida de prevencin contra infecciones o el uso de sistemas de
autenticacin para evitar accesos no autorizados). Sin embargo, a pesar del
cuidado que se ponga, los incidentes pueden suceder, por lo que es necesario
contar con medidas que permitan reaccionar adecuadamente y minimizar los
daos (por ejemplo, el uso de un sistema de monitorizacin de la red alertar a los administradores si se produce un acceso no autorizado, y permitir
tomar acciones para limitar el dao o incluso evitarlo). Asimismo, deben
existir medios para recuperarse de los daos ocasionados por un incidente.
Si, por ejemplo, la intrusin ha ocasionado la eliminacin de un documento,
se debera contar con una copia de seguridad que permita recuperar los
datos.
Lneas de defensa. El conjunto de medidas de seguridad elegidas tienen que
estar implementadas de modo que los sistemas de informacin cuenten con
distintos niveles de proteccin, de manera que un incidente vaya encontrando dificultades que le impidan hacer todo el dao del que seran capaces
(por ejemplo, para impedir accesos no autorizados a un servidor, se tendr
un recinto en el que se ubique y donde el acceso al mismo est controlado
con un registro de entradas y salidas, un mecanismo de autenticacin del
acceso, tiempos limitados de conexin, un protocolo de actuacin para
cerrar aquellos puertos que sean necesarios o cerrar segmentos de red, etc.).
Este enfoque est alineado con el objetivo de contar con una gestin de la
seguridad integral, y con tener distintos tipos de medidas de seguridad.
Reevaluacin peridica. Para mantener constante un nivel de seguridad
aceptable es necesario revisar continuamente que el nivel de riesgo no ha
variado y que las medidas de seguridad aplicadas funcionan segn lo esperado. Hay que realizar una revisin peridica de estos aspectos para ir
haciendo los ajustes necesarios y contar en todo momento con las medidas
de seguridad adecuadas y proporcionales a los sistemas de informacin y a
su entorno.
Funcin diferenciada. La gestin de la seguridad de la informacin es una
tarea en la que estn involucradas muchas personas que, dependiendo de su
perfil y funciones, tienen distintas prioridades. Para no comprometer la seguridad, el ENS ha definido como principio bsico que los responsables de la

140

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

informacin, del servicio y de la seguridad sean personas distintas. De esta


manera, cada responsable debe definir los requisitos que aplican a su informacin y a su servicio, y el responsable de seguridad se encargar de aplicar
las acciones oportunas para satisfacer de la mejor manera posible todos esos
requisitos con los medios y las polticas disponibles.

9.3. Requisitos mnimos de seguridad del ENS


El ENS requiere que las organizaciones cuenten con una poltica formalmente
aprobada y se establezcan las directrices a seguir para gestionar la seguridad en la
organizacin. Dicha poltica tiene que reunir una serie de requisitos mnimos que
se detallan a continuacin.

9.3.1. Organizacin e implementacin del proceso


de seguridad
La gestin de la seguridad requiere que haya ciertas responsabilidades asignadas
que son fundamentales para que se desarrollen los trabajos correctamente, tales
como el responsable de seguridad, el responsable de la informacin y el de los
servicios o el comit de seguridad. Pero la responsabilidad de la seguridad de la
informacin es universal, cada persona debera ser responsable de la informacin
y de los servicios a los que tiene acceso.
La poltica debe contemplar todas estas responsabilidades y las lneas de actuacin
que se deben observar. Adems, debe ser publicada y difundida de manera que
todo el mundo la conozca y se pueda aplicar.

9.3.2. Anlisis y gestin de los riesgos


La poltica recoger el modo en el que se va a realizar el anlisis y la gestin de los
riesgos que afectan a los sistemas de informacin de la organizacin. Para el anlisis se puede usar cualquier metodologa internacionalmente aceptada.
En la prctica, la amplia difusin de la metodologa MAGERIT y de PILAR, su
herramienta asociada, hacen que sean las ms comnmente utilizadas en la Administracin Pblica espaola. Para la gestin de los riesgos se aplicarn medidas de
seguridad que sean proporcionales a los riesgos que se pretenden mitigar, debiendo
compensar en coste y esfuerzo su implementacin.

9. Comprender el Esquema Nacional de Seguridad (ENS)

141

9.3.3. Gestin de personal


El personal es una parte fundamental de los sistemas de informacin. Cada uno de
ellos tiene responsabilidades en materia de seguridad, acorde con el puesto desempeado. La comunicacin de estas responsabilidades, y una adecuada formacin y
concienciacin en materia de seguridad permitirn una correcta gestin de la
misma.
Adems, tendrn que existir normas de seguridad y mecanismos para verificar que
se cumplen los preceptos marcados. Los usuarios estarn identificados en los sistemas de manera nica para poder supervisar sus acciones y, si se diera el caso, poder
exigirles responsabilidades.

9.3.4. Profesionalidad
Las tareas que implica la gestin de la seguridad sern realizadas por personal cualificado para ello, que debern contemplar en ellas todo el ciclo de vida de los sistemas, desde su compra e instalacin inicial hasta su retirada, pasando por su mantenimiento. Para ello, es importante que se reciba la formacin necesaria que permita
realizar su labor de manera segura.
Cuando se contraten servicios de seguridad externos, se deber acreditar que dichos
servicios tienen el nivel de seguridad requerido por los sistemas de la entidad.

9.3.5. Autorizacin y control de los accesos


Uno de los primeros asuntos a tratar cuando se trata de seguridad es la definicin
de la poltica que se va a seguir para autorizar accesos, es decir, qu se va permitir a
cada usuario y cules van a ser los criterios para la designacin de los permisos. La
recomendacin es autorizar el acceso a los servicios y a la informacin en funcin
de la necesidad de cada puesto. Adems, se deber tener un mecanismo que permita revisar y anular los privilegios de acceso para evitar incidentes.

9.3.6. Proteccin de las instalaciones


La seguridad fsica es el primer paso para garantizar la proteccin de los servicios y
la informacin que se gestionan. Para ello, los sistemas que albergan informacin
deben estar fsicamente en otras instalaciones, protegidos contra accesos no autorizados y con medidas contra incendios, inundaciones, etc.

142

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

9.3.7. Adquisicin de nuevos productos de seguridad


Cuando se valoren nuevos productos de seguridad para su adquisicin, se debera
tener en mayor consideracin aquellos que tengan certificada (ISO/IEC 15408, etc.)
la funcionalidad de seguridad.

9.3.8. Seguridad por defecto


Para limitar los riesgos y evitar problemas de seguridad, se requiere que los sistemas sean diseados y configurados de manera que su uso sea seguro. Esto implica
actuaciones en distintos aspectos:
Que slo tengan la funcionalidad necesaria para el uso que se pretende dar al
sistema.
Que las funciones de operacin, administracin y registro de actividad sean
las mnimas necesarias.
Que estas funciones slo puedan ser realizadas por el personal autorizado
y, para reforzar el control, se pueda restringir el periodo y los lugares de
acceso.
Que se configure el sistema para que no estn disponibles ni accesibles funciones que no sean estrictamente necesarias.
Que el uso del sistema sea sencillo y seguro, de manera que un evento de
seguridad tenga que ser producido deliberadamente por el usuario.

9.3.9. Integridad y actualizacin del sistema


Para garantizar en todo momento la integridad del sistema, no se podr instalar
ningn elemento fsico ni lgico sin tener una autorizacin formal previa para ello.
La actualizacin del sistema se llevar a cabo manteniendo un control permanente
sobre las indicaciones de los fabricantes, las vulnerabilidades y las actualizaciones
que les afecten. El identificar nuevas vulnerabilidades, evaluar su aplicacin o no a
los sistemas y ejecutar los cambios que se aprueben har que se mantenga el nivel
de seguridad del sistema.

9. Comprender el Esquema Nacional de Seguridad (ENS)

143

9.3.10. Proteccin de la informacin almacenada y


en trnsito
Es muy habitual que las medidas de proteccin de las que goza la informacin al
inicio de su ciclo de vida, al generarse y gestionarse, se diluyan o desaparezcan
cuando se transmite o almacena. Es fundamental protegerla durante todo su ciclo
de vida, por ello se deben disear medidas de seguridad que tengan en cuenta que
muchas veces la informacin se encuentra en entornos inseguros: equipos porttiles, asistentes personales (PDA), dispositivos perifricos, soportes de informacin
y comunicaciones sobre redes abiertas o con cifrado dbil.
Los procedimientos para la recuperacin y conservacin a largo plazo de los documentos electrnicos producidos por las Administraciones Pblicas en el mbito de
sus competencias se encuentran sujetos a este requisito.
En este aspecto es donde se ampla de alguna manera el alcance del ENS. Hemos
visto que sus requisitos aplican nicamente a los servicios de administracin electrnica, pero an existe mucha informacin en soporte no electrnico, que se ha
originado o es el origen de informacin electrnica, y por lo tanto, deber estar
protegida como si lo fuera, con la salvedad de que las medidas que se apliquen sean
coherentes con el soporte donde se encuentra.

9.3.11. Prevencin ante otros sistemas de informacin


interconectados
De igual manera que se protege el permetro fsico de un sistema, debe protegerse
el lgico. Como es intrnseco a la administracin electrnica el tener los sistemas
internos de la entidad conectados con internet y con otras entidades, este permetro lgico conlleva unos riesgos que deben ser analizados y evaluados, de manera
que se puedan mitigar de manera coherente y proporcional.

9.3.12. Registro de actividad


Para gestionar la seguridad es imprescindible tener identificados a los usuarios y
sus respectivos privilegios en los sistemas de informacin, ya que es una de las
herramientas principales para impedir accesos no autorizados. Debe complementarse con el registro de las actividades de los usuarios, de manera que se puedan
identificar accesos fraudulentos o no autorizados y tomar las medidas de correccin que sean necesarias, as como proceder a la sancin del infractor si fuera

144

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

necesario. Lgicamente, debe tenerse cuidado a la hora de recopilar estos datos


para no entrar en conflicto con lo estipulado en la Ley Orgnica de Proteccin de
Datos de carcter personal y sus desarrollos, o invadir la privacidad de los usuarios.

9.3.13. Incidentes de seguridad


La gestin de los incidentes de seguridad es uno de los pilares de cualquier sistema
de gestin de la seguridad. Es inevitable que sucedan incidentes a pesar de las
medidas establecidas, por lo que se necesita contar con un mecanismo que permita,
tanto reaccionar rpidamente para minimizar los daos como luego analizar y
extraer conclusiones, que permitan incorporar mejoras al sistema de gestin, a los
de informacin, o a todos, para evitar otros incidentes similares.
Como es de rigor en un entorno tan conectado como el que nos ocupa, el ENS
requiere que se cuente con un sistema de deteccin y reaccin frente al cdigo
daino.

9.3.14. Continuidad de la actividad


El riesgo de que algn incidente grave inutilice o no permita acceder a los
medios habituales de trabajo, por su grave impacto en los servicios que se prestan, requiere de un plan de continuidad que de alguna manera permita seguir
operando. Como mnimo, se dispondr de copias de seguridad y una serie de
protocolos de actuacin.

9.3.15. Mejora continua del proceso de seguridad


La seguridad es un proceso. Para mantener un cierto nivel de seguridad, hay que
estar continuamente revisando, actualizando y mejorando el sistema, o de lo contrario, los cambios en el contexto (el personal, la tecnologa, nuevas vulnerabilidades, etc.) harn que el nivel descienda.

9.3.16. Soporte al cumplimiento


Para cumplir con todos estos requisitos mnimos hay que aplicar las medidas de
seguridad que se detallan en el anexo II del Real Decreto 3/2010 considerando que:
Deben aplicarse a los activos que constituyen el sistema.

9. Comprender el Esquema Nacional de Seguridad (ENS)

145

Deben escogerse segn la categora del sistema.


Pueden aplicarse otras medidas que se estimen oportunas segn los servicios
y la informacin gestionados y los riesgos identificados mediante el anlisis
de riesgos.
Que no puede haber conflicto con los requisitos de la LOPD.
Si se considera que algn sistema de informacin no est relacionado con el mbito
de aplicacin del ENS, la entidad podr excluirlo del sistema de gestin de la
seguridad.
Para facilitar el cumplimiento del ENS, existen infraestructuras y servicios comunes reconocidos en las Administraciones Pblicas. Asimismo, como herramientas
de consulta, el Centro Criptolgico Nacional (CCN) ha elaborado y difundido
guas de seguridad.

9.4. Otros requisitos


9.4.1. Comunicaciones electrnicas
Evidentemente, las comunicaciones son un aspecto crtico a tener en cuenta en el
momento de disear la seguridad de un sistema de informacin por su sensibilidad. El ENS demanda que se controlen las comunicaciones, de manera que las
transmisiones se lleven a cabo sin incidencias, que su contenido llegue ntegro y
que se pueda identificar al remitente y al destinatario de las mismas de manera
inequvoca.
No hay que olvidar que las comunicaciones tienen un valor y eficacia jurdicos
que no se deben perder en ningn momento. Este es el caso de las notificaciones
y publicaciones electrnicas, ya que el ENS exige que se asegure la autenticidad
del organismo que las publica, la integridad de la informacin publicada, que
conste la fecha y hora de la puesta a disposicin del interesado de la resolucin o
el acto objeto de publicacin o notificacin, as como del acceso a su contenido,
adems de que se asegure la autenticidad del destinatario de la publicacin o
notificacin.
Una de las herramientas que se utilizar para garantizar la seguridad de las comunicaciones ser la firma electrnica, que protege la autenticidad de quien emite una
comunicacin electrnica. Su utilizacin debe estar regulada mediante una poltica
y aplicada segn lo estipulado en el anexo II del ENS y el Esquema Nacional de
Interoperabilidad.

146

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

9.4.2. Auditora de la seguridad


Para garantizar la adecuacin en todo momento del sistema a los requisitos del
ENS, se estipular la realizacin de una auditora cada dos aos, como mnimo, o
antes si hay cambios importantes en el sistema de informacin, que puedan afectar
a las medidas de seguridad requeridas. Esta auditora deber servir tambin como
herramienta de mejora de la eficacia de las medidas de seguridad establecidas.
Debern emitirse informes que identifiquen las deficiencias y desviaciones del sistema de seguridad respecto a lo establecido en el ENS, que sern presentados al
responsable del sistema para que valore los resultados y adopte las medidas de
correccin adecuadas.

9.4.3. Estado de seguridad de los sistemas


Regularmente, el Comit Sectorial de Administracin Electrnica elaborar un
informe en el que se recogern las principales variables de la seguridad en los sistemas de informacin a los que se refiere el ENS, de forma que permita elaborar un
perfil general del estado de la seguridad en las Administraciones Pblicas.

9.4.4. Respuesta a incidentes de seguridad


Para ayudar a dar respuesta a los incidentes de seguridad, el Centro Criptolgico
Nacional (CCN) pone a disposicin de las entidades el Centro Criptolgico Nacional-Computer Emergency Reaction Team (CCN-CERT). Se denomina CERT a un
grupo de trabajo responsable de desarrollar medidas de prevencin y de reaccin
ante incidentes de seguridad en los sistemas de informacin.
Este CCN-CERT prestar a las Administraciones Pblicas los siguientes servicios:
Soporte y coordinacin para la resolucin de incidentes de seguridad y tratar
vulnerabilidades.
Investigacin y divulgacin de las mejores prcticas sobre seguridad de la
informacin. En este contexto se han desarrollado las series de documentos
Centro Criptolgico Nacional-Seguridad de las Tecnologas de Informacin
y Comunicaciones (CCN-STIC), elaboradas por el Centro Criptolgico
Nacional y que se pueden consultar en su sitio web.
Formacin en el campo de la seguridad de las tecnologas de la informacin.
Informacin sobre vulnerabilidades, alertas y avisos de nuevas amenazas.

9. Comprender el Esquema Nacional de Seguridad (ENS)

147

Un programa para informar, formar, emitir recomendaciones y proporcionar


herramientas para que cada entidad pueda desarrollar sus propias capacidades de respuesta a incidentes de seguridad, actuando el CCN como
coordinador nacional.

9.4.5. Normas de conformidad


El ENS demanda en este aspecto:
Que se garantice la seguridad de las redes y los registros electrnicos por ser
la primera toma contacto del ciudadano con la administracin electrnica.
Que la seguridad est presente en todo el ciclo de vida de los servicios y los
sistemas. Para ello, las especificaciones de seguridad deben formar parte de la
planificacin de un nuevo servicio o sistema.
Que exista un mecanismo de control que monitorice y verifique el correcto
seguimiento de las directrices de seguridad, de manera que se pueda garantizar que funciona correctamente. Deben establecerse puntos y elementos de
control para realizar esta tarea.
Las entidades sujetas al ENS deben hacer pblicas, en las correspondientes
sedes electrnicas, las declaraciones de conformidad con el ENS y cualquier
otro distintivo de seguridad que posean como, por ejemplo, la certificacin
segn la Norma UNE-ISO/IEC 27001.

9.4.6. Actualizacin
Es un aspecto que ya se ha tratado anteriormente y en el que se insiste en este captulo. El sistema de seguridad debe estar permanentemente actualizado, mejorndolo con el tiempo para responder a los cambios en los servicios de administracin
electrnica, la evolucin tecnolgica, y los nuevos estndares internacionales sobre
seguridad y auditora en los sistemas y tecnologas de la informacin.

9.4.7. Categorizacin de los sistemas


El ENS describe en su anexo I el modo de proceder para asignar una categora al
sistema o sistemas que se identifiquen en una entidad. Hay tres categoras, baja,
media y alta, a las que se adscribirn los sistemas en funcin de la gravedad del
impacto que tendra un incidente que afectara a la seguridad de la informacin o

148

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

de los servicios. Esta categora determinar las medidas que haya que aplicar al sistema, y por lo tanto, el esfuerzo que habra que dedicar a la seguridad del mismo.
El responsable de cada informacin o servicio es quien debe realizar las valoracin
del impacto de un incidente en la disponibilidad, autenticidad, integridad, confidencialidad o trazabilidad de ese activo, y mantenerlas actualizadas.
El responsable del sistema es quien debe asignar la categora al mismo.

9.4.8. Formacin
Ningn sistema de gestin puede funcionar si no se cuenta con el personal adecuadamente formado y concienciado. En este caso, es particularmente esencial, ya que
las personas son un activo importante de los sistemas y una fuente de riesgos
importante. El ENS requiere que el personal reciba la formacin necesaria que
garantice su cumplimiento.

10

Implementacin del ENS

10.1. El plan de adecuacin


La implementacin del ENS puede dividirse en dos partes:
La elaboracin del plan de adecuacin.
La ejecucin de las acciones definidas en dicho plan.
El plan de adecuacin lo desarrollar el responsable de seguridad cuando lo haya o
la persona a la que se asigne esta funcin de forma temporal y debe contener la
siguiente informacin:
La poltica de seguridad. Cada entidad debe contar con una poltica de seguridad que recoja sus objetivos, el marco legal, los roles y funciones de seguridad, as como los comits de seguridad y las directrices para la gestin de la
documentacin, entre otros puntos. Si no posible elaborarla y aprobarla en
esos momentos, debe planificarse como una tarea a realizar en el plan de
mejora.
Informacin que se maneja, con su valoracin. Se identifica primero la informacin que se utiliza para la prestacin de los servicios electrnicos y despus se evala en un rango de tres categoras (baja, media y alta) cmo sera
el impacto de un incidente sobre esa informacin en cada uno de las cinco
dimensiones de seguridad: confidencialidad, integridad, disponibilidad,
autenticidad y trazabilidad. Los criterios generales de valoracin del impacto
en cada nivel son:
Bajos. Cuando las consecuencias de un incidente supongan un perjuicio
limitado sobre los activos o las funciones de la entidad.

150

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Medios. Cuando las consecuencias de un incidente supongan un perjuicio


grave sobre los activos o las funciones de la entidad, de manera que no
puedan funcionar normalmente, se dae seriamente algn activo, se haya
incumplido alguna ley o se haya perjudicado a alguna persona.
Alto. Cuando las consecuencias de un incidente supongan un perjuicio
muy grave sobre los activos o las funciones de la entidad, de manera que
no pueda funcionar, se haya daado gravemente algn activo o incluso
haya sido destruido, se haya incumplido gravemente alguna ley o se haya
perjudicado irremediablemente a alguna persona.
Si esta valoracin la realiza el responsable de seguridad, se considerar provisional y deber planificarse la valoracin por parte de los propietarios de la
informacin en el plan de mejora.
Servicios que se prestan, con su valoracin. Como en el caso de la informacin,
hay que identificar los servicios, valorando las cinco dimensiones del mismo
modo, en funcin de la gravedad del impacto de un incidente en la entidad.
Adems de los servicios actualmente prestados, hay que incluir los que van a
ser puestos en marcha, ya que el ENS exige que cualquier servicio que se
comience a prestar debe estar ya cumpliendo con los requisitos, as que deben
analizarse junto con el resto.
Datos de carcter personal. Ser bastante habitual por la naturaleza de los
servicios electrnicos, que se manejen datos de carcter personal. Se identificarn o se har referencia al Documento de Seguridad de la LOPD.
Categora del sistema. Las valoraciones de la informacin y los servicios
son los datos de partida para decidir la categora del sistema o los sistemas
identificados. En cada dimensin sta vendr dada por el mayor de los
niveles que haya alcanzado en ella. Finalmente, ser el mayor de los niveles
alcanzado en cualquiera de las cinco dimensiones. Es decir, un sistema en
el que las cinco dimensiones estn valoradas de nivel bajo, ser de categora bsica. Si alguna de ellas es de nivel medio y ninguna es alto, ser de
categora media. Si alguna de ellas es de nivel alto, la categora del sistema
ser alta.
Para economizar recursos es preferible desglosar el sistema en tanto subsistemas como sea razonable hacerlo, de manera que las medidas para el nivel
alto, que son ms exigentes que para el resto, se apliquen al menor nmero
de servicios e informacin posible. Como ejemplo, se puede tomar una sede
electrnica. Si la consideramos como un nico sistema, teniendo en cuenta
los requisitos planteados por la Ley 11/2007, la disponibilidad del registro
electrnico tendr que ser de 24 horas al da, los 365 das del ao, por lo

10. Implementacin del ENS

151

tanto, se podr valorar su dimensin de disponibilidad como de nivel alto, y


consecuentemente, la categora del sistema ser alta.
Sin embargo, si desglosamos la sede electrnica en varios subsistemas, por
ejemplo:
Pgina web.
Registro electrnico.
Notificaciones.
Servicio de validacin de documentos.
Tabln de anuncios.
Como solamente el registro electrnico tiene ese requisito de disponibilidad,
este subsistema ser de nivel alto, pero el resto pueden ser de niveles ms
bajos, con el consiguiente ahorro de esfuerzo y recursos.
Declaracin de aplicabilidad de las medidas del anexo II del ENS. Es un requisito formal del ENS, consiste en un listado de las medidas de seguridad a aplicar al sistema de acuerdo con la categora del mismo. En el anexo II del ENS
se recogen las 75 medidas de seguridad, con las dimensiones a las que aplican
y en qu medida lo hacen segn la categora del sistema. Por ejemplo, la
medida op.pl.1, Anlisis de riesgos, aplica al sistema, y si es de nivel bajo
habra que hacer un anlisis informal, si fuera de nivel medio uno semiformal
y si fuera de nivel alto uno formal. Otro ejemplo, la medida mp.if.9, Instalaciones alternativas, afecta a la disponibilidad y no aplicara a los sistemas de
niveles bajo y medio, pero s a los de nivel alto. Si hubiera medidas que habra
que aplicar debido al nivel del sistema, pero no se consideran aplicables, habra
que justificar por qu es as. Asimismo, si se usaran otras medidas diferentes de
las propuestas por el ENS, tambin habra que justificarlas e identificar a cules sustituyen. Esta declaracin estar firmada por el responsable de seguridad.
Anlisis de riesgos. Realizarle tiene como objetivo completar las medidas de
seguridad a las que obliga el ENS con otras que se considere necesarias para
mitigar los riesgos identificados, adems de establecer un mapa de riesgos
potenciales y actuales que ponga de manifiesto el progreso en la eliminacin
de problemas. Los riesgos residuales, los que quedan tras la aplicacin de las
medidas de seguridad seleccionadas, deben ser formalmente aceptados por
los responsables de la informacin y servicios afectados, o en su defecto, lo
har el responsable de seguridad.
El ENS exige que la metodologa que se use para la realizacin del anlisis
de riesgos sea reconocida internacionalmente. La metodologa MAGERIT,
del Ministerio de Administraciones Pblicas, as como su herramienta aso-

152

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

ciada PILAR, cumplen este requisito dado que est recogida en el inventario
de la European Network and information Security Agency (ENISA). El alto
grado de implementacin de MAGERIT y PILAR en la Administracin
Pblica espaola, junto con el coste nulo que suponen, hacen que sean la
eleccin habitual a la hora de decidir la herramienta a utilizar.
Insuficiencias del sistema. Se realizar un anlisis de los requisitos que no se
estn cumpliendo, como punto de partida para la definicin del plan de
mejora. Estas insuficiencias pueden venir de desviaciones respecto a los distintos artculos del Real Decreto 3/2010, incumplimientos de las medidas de
seguridad, tal y como se definen en el anexo II, o incumplimientos de los
requisitos exigidos por el Real Decreto 1720/2007 para los datos de carcter
personal tratados por el sistema.
Plan de mejora seguridad, incluyendo plazos estimados de ejecucin. Se
determinarn las acciones a tomar para eliminar o subsanar las insuficiencias
detectadas y se planificar su ejecucin, indicando los plazos previstos de ejecucin, los hitos del proyecto y la estimacin de costes.
Una vez elaborado y aprobado el plan de adecuacin, la entidad puede publicar su
declaracin de conformidad en la sede electrnica, as como otros certificados de
accesibilidad, interoperabilidad, menciones de calidad de cualquiera de las Administraciones Pblicas (estatal, autonmica y local), de organizaciones internacionales o de organismos privados. Esta declaracin ha de ir firmada por el titular del
organismo emisor de la declaracin de conformidad, que ha de identificarse con su
nombre completo y cargo que desempea.

10.2. Adecuacin al ENS


La adecuacin al ENS pasa por la realizacin de una serie de tareas que coinciden a
grandes rasgos con las que se vieron previamente para la implementacin de un SGSI
segn la Norma UNE-ISO/IEC 27001: definir el alcance de la aplicacin del ENS,
la poltica de seguridad, asignar responsabilidades, realizar un anlisis de riesgos, etc.
Hay que sealar que, dado que cumplir con el ENS es una obligacin legal, no es
posible obviar ninguna de las acciones y documentos que exige.

10.2.1. Planificacin
La planificacin es la realizacin del plan de adecuacin.

10. Implementacin del ENS

153

Toda la informacin necesaria para poder comparar el estado de la seguridad en la


entidad con el estado que pide el ENS, se recopilar durante la realizacin del plan
de adecuacin, que a su vez contendr el plan de mejora con las acciones a tomar.
Este plan incluir:
El desarrollo y la aprobacin de una poltica de seguridad.
La asignacin y aprobacin de los responsables de seguridad, de la informacin y de los servicios.
La definicin la normativa de seguridad. Sern documentos que detallen
cmo y quin realizar las distintas tareas y cmo se identificarn y resolvern los comportamientos anmalos, tales como procedimientos para la
gestin de incidencias, la monitorizacin del sistema o el plan de continuidad.
La definicin y la descripcin de los procesos de autorizacin, formalizando
las autorizaciones que cubran todos los elementos de los sistemas de informacin: instalaciones, equipos, aplicaciones, medios de comunicacin, accesos, soportes, etc.
La implementacin de medidas de seguridad.
La formacin al personal de la entidad sobre la poltica, normativa y procedimientos de seguridad.
La evaluacin de la eficacia de las medidas adoptadas.
La definicin e implementacin de los procedimientos para la actualizacin
de la gestin de la seguridad.
La realizacin de una auditora de seguridad.

10.2.2. Implementacin
Partiendo del plan de mejora y de la declaracin de aplicabilidad, se desarrollar la
normativa de seguridad, es decir, aquellos procedimientos necesarios para implementar todos los requisitos que hacen falta para cumplir con los requisitos del ENS.
Estos procedimientos detallarn las distintas tareas, los responsables de su ejecucin y supervisin, as como los mecanismos para identificar y resolver los comportamientos anmalos.
Puede ser necesario desarrollar tambin instrucciones de trabajo y documentos
modelo que permitan registrar las operaciones descritas en los procedimientos, as
como controlar la resolucin de las incidencias.

154

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Otras tareas que se realizarn en esta fase son:


La elaboracin y puesta en marcha de un plan de pruebas y monitorizacin
del sistema, para controlar la seguridad del mismo.
La definicin y ejecucin de un plan de auditoras, en las que se revisarn la
poltica de seguridad y su cumplimiento, as como el conjunto de riesgos,
normativas, procedimientos y controles establecidos.
La definicin y ejecucin de un plan de formacin y sensibilizacin. Se debera impartir formacin a todo el personal de la entidad, de modo que cada
uno conozca cules son sus responsabilidades y tareas para proteger la informacin y los servicios que gestione. Es una parte fundamental de la implementacin, tanto por ser imprescindible para cumplir con el ENS como para
garantizar el xito de las medidas implementadas.

10.2.3. Verificacin y validacin


El nivel de seguridad debe ser controlado para verificar si las medidas de seguridad
estn funcionando correctamente y los resultados son los esperados. Con el tiempo
y los cambios en la organizacin, puede ser que las adoptadas en un principio no
sean las adecuadas por ser excesivas o insuficientes, no ser eficaces para reducir el
riesgo, etc.
Adems del control rutinario, se deben realizar revisiones, como por ejemplo:
Autoevaluaciones. Llevadas a cabo por el responsable de seguridad, pertinentemente documentadas, y en las que se chequeen:
La validez y vigencia de la poltica, y la normativa de seguridad.
La vigencia de la categorizacin de los sistemas y el anlisis de riesgos.
La validez y vigencia de los controles aplicados.
La eficacia de los controles.
Auditoras. Llevadas a cabo por un auditor cualificado e independiente, que
compruebe que las medidas implementadas y la documentacin de soporte
cumple con los requisitos del ENS.
Cuando los sistemas son de nivel bajo, una autoevaluacin peridica es suficiente,
pero si son de nivel medio o alto estn sujetos, como mnimo, a una auditora cada
dos aos.

10. Implementacin del ENS

155

10.2.4. Actualizacin y mejora continua


Para cumplir con los requisitos de actualizacin y mejora continua que plantea el
ENS, se utilizar la informacin derivada de la gestin de incidencias y los resultados de las actividades de verificacin y validacin.
A partir de aqu, se debe derivar a un plan de accin para subsanar los errores
detectados, que justificarn el cumplimiento en este aspecto que requiere el ENS.

11

Ejemplo prctico:
plan de adecuacin

11.1. Documentacin de la poltica de seguridad


Aprobacin y entrada en vigor. Fecha de la aprobacin y entrada en vigor de la
poltica.
Introduccin. Breve descripcin de los objetivos de la organizacin en cuanto a la
seguridad de la informacin y los medios que se estn utilizarn para garantizarla.
Prevencin. Declaracin de las medidas de seguridad existentes para prevenir
daos a la informacin o los servicios.
Deteccin. Declaracin de las medidas de seguridad existentes para detectar incidentes que puedan producir daos a la informacin o los servicios.
Respuesta. Declaracin de las medidas de seguridad existentes para dar respuesta a
los incidentes que puedan producir daos a la informacin o los servicios.
Recuperacin. Declaracin de las medidas de seguridad existentes para recuperar
la disponibilidad de los servicios y garantizar la continuidad de las actividades de la
entidad.
Alcance. Declaracin del alcance de la aplicacin del ENS, habitualmente en trminos de los servicios que se prestan en la entidad.
Misin. Declaracin de la misin de la entidad en los aspectos de seguridad.
Marco normativo. Declaracin de la legislacin aplicable a la entidad en el mbito
de la seguridad de la informacin.
Organizacin de la seguridad. Descripcin de los principales roles y responsabilidades exigidos por el ENS: responsable de servicio, responsable de la informacin
y responsable de seguridad.

158

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Descripcin de la composicin de los comits de seguridad y de sus funciones.


Procedimientos de designacin. Descripcin del mecanismo a utilizar para designar los responsables descritos anteriormente.
Poltica de seguridad de la informacin. Descripcin de la gestin de la poltica,
vigencia, revisin y actualizacin, y difusin.
Datos de carcter personal. En esta seccin se deben identificar los datos de
carcter personal que quedan dentro del mbito del ENS o hacer referencia al
documento de seguridad.
Gestin de riesgos. Declaracin de haber realizado un anlisis de riesgos y de la
periodicidad de su revisin y actualizacin.
Desarrollo de la poltica de seguridad de la informacin. Descripcin de los
mecanismos por los que se desarrollar la poltica, como por ejemplo, la normativa
de seguridad y cmo se va a difundir en la organizacin.
Obligaciones del personal. Descripcin de las principales obligaciones del personal,
como por ejemplo, conocer y aplicar la poltica, y formarse segn requerimientos.
Terceras partes. Descripcin de los mecanismos para gestionar la seguridad
cuando se presten servicios o se gestione informacin de terceros, y a la inversa,
cuando terceros presten servicios o gestionen informacin de la entidad.

11.2. Documentacin de la categora del sistema


11.2.1. Criterios de valoracin de los activos
En esta seccin se describirn los criterios mediante los que se van a valorar los activos.
Para el ejemplo se han seguido los criterios definidos en la gua CCN-STIC-803
Esquema Nacional de Seguridad, valoracin de los sistemas.

11.2.2. Categorizacin de sistemas


Para categorizar los sistemas segn el ENS, se recomienda seguir los pasos descritos en la gua CCN-STIC-803 Valoracin de los sistemas.
Se identificarn los servicios que se prestan y la informacin que los soporta,
decidiendo para cada uno de ellos, la relevancia para la entidad del impacto de

11. Ejemplo prctico: plan de adecuacin

159

un incidente en cada una de las dimensiones de seguridad: disponibilidad (D),


integridad (I) y confidencialidad (C), autenticidad (A) y trazabilidad (T).
En la tabla 11.1 se muestra un ejemplo donde se han incluido los responsables propuestos. Los que se asignen definitivamente quedarn documentados en la poltica
de seguridad.
Tabla 11.1. Categorizacin de sistemas
Sistema /
Subsistema

Tipo de
Activo

Responsable

Activos

Categora

Sede electrnica
Portal web
Informacin

Secretara
general

Informacin
de la sede

Servicios

Responsable
TIC

Portal de sede

Consultas y notificaciones
Informacin

Responsable
del servicio

Expedientes
administrativos

Servicios

Responsable
TIC

Consultas

Notificaciones

Registro electrnico
Informacin

Secretara
general

Datos del
registro

Servicios

Responsable
TIC

Registro
general

Tabln oficial
Informacin

Secretara
general

Informacin
del tabln

Servicios

Responsable
TIC

Plataforma
del tabln

160

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

11.3. Documentacin del anlisis de riesgos


11.3.1. Metodologa de anlisis
En esta seccin se indicar la metodologa que se va a seguir para realizar el anlisis
de riesgos. En este ejemplo, se ha utilizado la herramienta PILAR basada en la
metodologa MAGERIT.

11.3.2. Valoracin de activos


En este punto se identificarn los activos utilizados para soportar los servicios y la
informacin, y se valorar su importancia para la entidad en cada una de las cinco
dimensiones de seguridad. Puede verse un ejemplo en la tabla 11.2.
Tabla 11.2. Valoracin de activos
Activo

Portal de la sede

Consultas

Notificaciones

Registro General

Plataforma del tabln oficial

Informacin de la sede

Expedientes administrativos

Datos del registro

Informacin del tabln

Servidor de datos

Servidor de aplicaciones

Puestos de usuario

Servicios

Informacin

[HW] Hardware

(contina)

11. Ejemplo prctico: plan de adecuacin

Tabla 11.2. Valoracin de activos


Activo

(continuacin)

Aplicacin de gestin

Gestin de BD Oracle

Ofimtica

Sede central

CPD alternativo

Personal propio

Personal subcontratado

Red de comunicaciones

161

[SW] Software

[I] Instalaciones

[PE] Personal

11.3.3. Mapas de riesgos


Con la valoracin anterior se realizar un anlisis de riesgos, evaluando en primer
lugar el riesgo potencial, que es el que presenta un activo antes de aplicarle ninguna
medida de seguridad y despus el riesgo actual, que es el que presentan los activos
considerando las medidas de seguridad (salvaguardas) implementadas en la organizacin.
En la tabla 11.3 se muestra un ejemplo de listado de las medidas implementadas y
su grado de madurez.
En la tabla 11.4 se muestran los riesgos potenciales y los actuales de los activos
identificados.

11.3.4. Nivel de riesgo aceptable


A la vista de los riesgos identificados hay que marcar el nivel que se considera aceptable. En este ejemplo, se considerar que el riesgo aceptable es 4. Se aplicarn
medidas a los riesgos que superen este valor y se asumirn el resto.

162

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Tabla 11.3. Medidas de seguridad implementadas


Medidas

Nivel de
madurez

Marco organizativo

40%

Poltica de seguridad

50%

Normativa de seguridad

50%

Procedimientos de seguridad

50%

Proceso de autorizacin

10%

Marco operacional

43%

Planificacin

40%

Control de acceso

56%

Explotacin

58%

Servicios externos

63%

Continuidad del servicio

10%

Monitorizacin del sistema

30%

Medidas de proteccin

44%

Proteccin de las instalaciones e infraestructuras

70%

Gestin del personal

43%

Proteccin de los equipos

37%

Proteccin de las comunicaciones

37%

Proteccin de los soportes de informacin

18%

Proteccin de las aplicaciones informticas (SW)

50%

Proteccin de la informacin

48%

Proteccin de los servicios

50%

11. Ejemplo prctico: plan de adecuacin

163

Tabla 11.4. Mapa de riesgos


Potencial

Actual

Activo
[D]

[I]

[C]

[A]

[T]

Portal de la sede

1,9

1,5

1,9

1,5

Consultas

3,6

3,3

1,9

3,3

Notificaciones

3,6

5,1

3,6

3,3

1,9

[D]

[I]

[C]

[A]

[T]

0,94 0,94 1,4

0,9

0,8

2,8

2,5

2,5

1,4

2,5

3,3

2,8

2,5

4,2

3,1

2,5

1,9

3,3

2,8

4,8

2,5

1,4

2,5

1,5

1,9

1,5

0,9

0,9

1,4

0,9

0,8

1,5

1,9

1,5

0,8

1,1

1,5

1,4

0,9

Expedientes administrativos

2,8

3,3

3,6

3,3

2,8

2,2

2,8

3,3

3,2

2,5

Datos del registro electrnico

2,8

3,3

3,6

3,3

2,8

2,2

2,8

3,3

3,2

2,5

1,5

1,9

1,5

0,8

1,1

1,5

1,4

0,9

Servidor de datos

5,1

3,8

3,3

4,2

2,9

2,5

Servidor de aplicaciones

5,1

3,8

3,3

4,2

2,9

2,5

Puestos de usuario

3,3

2,1

3,3

2,4

1,1

2,5

Red de comunicaciones

5,1

3,8

3,3

4,1

3,1

2,3

Aplicacin de gestin

5,1

5,7

4,5

3,9

3,4

4,3

4,7

3,7

3,4

2,9

Gestin de DB Oracle

5,1

5,7

4,5

3,9

3,4

4,3

4,7

3,7

3,4

2,9

Ofimtica

3,3

3,9

3,9

3,3

2,8

2,6

2,9

3,1

2,8

2,3

2,5

2,8

2,8

1,7

1,8

1,8

2,8

2,8

2,2

1,8

1,8

Personal propio

2,5

2,9

1,9

1,7

2,6

Personal subcontratado

2,5

2,9

1,8

1,6

2,6

[SE] Servicios

Registro general
Plataforma del tabln oficial
[IN] Informacin
Informacin de la sede electrnica

Informacin del tabln de anuncios


[HW] Hardware

[SW] Software

[L] Instalaciones
Sede central
CPD alternativo
[P] Personal

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

164

11.4. Documentacin de la declaracin de


aplicabilidad
Esta declaracin consiste en detallar las medidas de seguridad de entre las mencionadas en el anexo II del ENS, con el estado en el que se encuentran, teniendo en
cuenta las que aplican debido a la categora de los sistemas y subsistemas, y aquellas que se decidan para mitigar los riesgos detectados.
Cada medida de seguridad tendr uno de los dos estados siguientes:
No aplica. Control no seleccionado debido a que no es obligatorio segn la
categora del sistema, ni se considera necesario para mitigar los riesgos.
Aplica. Control seleccionado por requerimiento del ENS para la categora
del sistema o para mitigar algn riesgo detectado.
En la tabla 11.5 se muestra un ejemplo. A pesar de que por el nivel de los sistemas
no aplicara, para reducir los riesgos no asumibles, se han seleccionado los siguientes controles que se han sealado como aplica en los sistemas de nivel medio:
op.mon.2 Sistema de mtricas.
mp.if.9 Instalaciones alternativas.
mp.per.9 Personal alternativo.
mp.com.9 Medios alternativos.
Tabla 11.5. Declaracin de aplicabilidad
Dimensiones
afectadas

Tipo de
medida

Medida
de seguridad

Estado
nivel medio

Estado
nivel alto

org

Marco organizativo

categora

org.1

Poltica de seguridad

Aplica

Aplica

categora

org.2

Normativa de seguridad

Aplica

Aplica

categora

org.3

Procedimientos de seguridad

Aplica

Aplica

categora

org.4

Proceso de autorizacin

Aplica

Aplica

op

Marco operacional

op.pl

Planificacin

op.pl.1

Anlisis de riesgos

Aplica

Aplica

categora

(contina)

11. Ejemplo prctico: plan de adecuacin

Tabla 11.5. Declaracin de aplicabilidad


Dimensiones
afectadas

Tipo de
medida

Medida
de seguridad

165

(continuacin)
Estado
nivel medio

Estado
nivel alto

categora

op.pl.2

Arquitectura de seguridad

Aplica

Aplica

categora

op.pl.3

Adquisicin de nuevos componentes

Aplica

Aplica

op.pl.4

Dimensionamiento/Gestin de capacidades

Aplica

Aplica

categora

op.pl.5

Componentes certificados

n.a.

Aplica

op.acc

Control de acceso

AT

op.acc.1

Identificacin

Aplica

Aplica

ICAT

op.acc.2

Requisitos de acceso

Aplica

Aplica

ICAT

op.acc.3

Segregacin de funciones y tareas

Aplica

Aplica

ICAT

op.acc.4

Acceso de gestin de derecho des

Aplica

Aplica

ICAT

op.acc.5

Mecanismo de autenticacin

Aplica

Aplica

ICAT

op.acc.6

Acceso local (local login)

Aplica

Aplica

ICAT

op.acc.7

Acceso remoto (remote login)

Aplica

Aplica

op.exp

Explotacin

categora

op.exp.1

Inventario de activos

Aplica

Aplica

categora

op.exp.2

Configuracin de seguridad

Aplica

Aplica

categora

op.exp.3

Gestin de la configuracin

Aplica

Aplica

categora

op.exp.4

Mantenimiento

Aplica

Aplica

categora

op.exp.5

Gestin de cambios

Aplica

Aplica

categora

op.exp.6

Proteccin frente a cdigo daino

Aplica

Aplica

categora

op.exp.7

Gestin de incidencias

Aplica

Aplica

op.exp.8

Registro de la actividad de los usuarios

n.a.

Aplica

categora

op.exp.9

Registro de la gestin de incidencias

Aplica

Aplica

op.exp.10

Proteccin de los registros de actividad

n.a.

Aplica

categora

op.exp.11

Proteccin de claves criptogrficas

Aplica

Aplica

op.ext

Servicios externos

categora

op.ext.1

Contratacin y acuerdos de nivel de servicio

Aplica

Aplica

categora

op.ext.2

Gestin diaria

Aplica

Aplica

op.ext.9

Medios alternativos

n.a.

Aplica
(contina)

166

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Tabla 11.5. Declaracin de aplicabilidad


Dimensiones
afectadas

Tipo de
medida

(continuacin)

Medida
de seguridad

Estado
nivel medio

Estado
nivel alto

op.cont

Continuidad del servicio

op.cont.1

Anlisis de impacto

Aplica

Aplica

op.cont.2

Plan de continuidad

n.a.

Aplica

op.cont.3

Pruebas peridicas

n.a.

Aplica

op.mon

Monitorizacin del sistema

categora

op.mon.1

Deteccin de intrusin

n.a.

Aplica

categora

op.mon.2

Sistema de mtricas

Aplica

Aplica

mp

Medidas de proteccin

mp.if

Proteccin de las instalaciones e infraestructuras

categora

mp.if.1

reas separadas y con control de acceso

Aplica

Aplica

categora

mp.if.2

Identificacin de las personas

Aplica

Aplica

categora

mp.if.3

Acondicionamiento de los locales

Aplica

Aplica

mp.if.4

Energa elctrica

Aplica

Aplica

mp.if.5

Proteccin frente a incendios

Aplica

Aplica

mp.if.6

Proteccin frente a inundaciones

Aplica

Aplica

categora

mp.if.7

Registro de entrada y salida de equipamiento

Aplica

Aplica

mp.if.9

Instalaciones alternativas

Aplica

Aplica

mp.per

Gestin del personal

categora

mp.per.1

Caracterizacin del puesto de trabajo

Aplica

Aplica

categora

mp.per.2

Deberes y obligaciones

Aplica

Aplica

categora

mp.per.3

Concienciacin

Aplica

Aplica

categora

mp.per.4

Formacin

Aplica

Aplica

mp.per.9

Personal alternativo

Aplica

Aplica

mp.eq

Proteccin de los equipos

categora

mp.eq.1

Puesto de trabajo despejado

Aplica

Aplica

mp.eq.2

Bloqueo de puesto de trabajo

Aplica

Aplica

categora

mp.eq.3

Proteccin de equipos porttiles

Aplica

Aplica

mp.eq.9

Medios alternativos

Aplica

Aplica
(contina)

11. Ejemplo prctico: plan de adecuacin

Tabla 11.5. Declaracin de aplicabilidad


Dimensiones
afectadas

Tipo de
medida

167

(continuacin)

Medida
de seguridad

Estado
nivel medio

Estado
nivel alto

mp.com

Proteccin de las comunicaciones

categora

mp.com.1

Permetro seguro

Aplica

Aplica

mp.com.2

Proteccin de la confidencialidad

Aplica

Aplica

IA

mp.com.3

Proteccin de la autenticidad y de la integridad

Aplica

Aplica

categora

mp.com.4

Segregacin de redes

n.a.

Aplica

mp.com.9

Medios alternativos

n.a.

Aplica

mp.si

Proteccin de los soportes de informacin

mp.si.1

Etiquetado

Aplica

Aplica

IC

mp.si.2

Criptografa

Aplica

Aplica

categora

mp.si.3

Custodia

Aplica

Aplica

categora

mp.si.4

Transporte

Aplica

Aplica

mp.si.5

Borrado y destruccin

Aplica

Aplica

mp.sw

Proteccin de las aplicaciones informticas

categora

mp.sw.1

Desarrollo

Aplica

Aplica

categora

mp.sw.2

Aceptacin y puesta en servicio

Aplica

Aplica

mp.info

Proteccin de la informacin

categora

mp.info.1

Datos de carcter personal

Aplica

Aplica

mp.info.2

Calificacin de la informacin

Aplica

Aplica

mp.info.3

Cifrado

n.a.

Aplica

IA

mp.info.4

Firma electrnica

Aplica

Aplica

mp.info.5

Sellos de tiempo

n.a.

Aplica

mp.info.6

Limpieza de documentos

Aplica

Aplica

mp.info.9

Copias de seguridad (back up)

Aplica

Aplica

mp.s

Proteccin de los servicios

categora

mp.s.1

Proteccin del correo electrnico

Aplica

Aplica

categora

mp.s.2

Proteccin de servicios y aplicaciones web

Aplica

Aplica

mp.s.8

Proteccin frente a la denegacin de servicio

Aplica

Aplica

mp.s.9

Medios alternativos

n.a.

Aplica

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

168

11.5. Insuficiencias del sistema


En esta seccin se documentarn las insuficiencias identificadas respecto a los
requisitos del ENS.
Por ejemplo, el bajo nivel de madurez de algunas de las medidas aplicadas viene
dado por una falta de documentacin, por lo que se podra decir que las principales insuficiencias detectadas son:
Documentacin. No hay una gestin documental formal de los aspectos de
seguridad de la informacin a excepcin de lo provisto para cumplir con la
LOPD.
Formacin. El personal ha recibido formacin en cuanto a LOPD pero no
se ha impartido sobre otros aspectos de seguridad.

11.6. Plan de mejora


El plan de mejora debe contener las acciones a tomar hasta el plazo marcado por el
Real Decreto 3/2010.
En la tabla 11.6 se muestra un ejemplo.
Tabla 11.6. Plan de mejora

ID

Acciones

1.er
semestre
2012

2.
semestre
2012

1.er
semestre
2013

2.
semestre
2013

1.er
semestre
2014

1 Lanzamiento del ENS


1.1 Planificar formacin
1.2 Planificar auditoras
2 Documentacin del ENS
2.1 Elaboracin de la normativa
de seguridad
2.2 Elaboracin de procedimientos
de seguridad
2.3 Formalizar la gestin de los
servicios externos
(contina)

11. Ejemplo prctico: plan de adecuacin

Tabla 11.6. Plan de mejora

ID

Acciones

2.4 Documentar la gestin de la


continuidad
2.5 Establecer mtricas de
desempeo
3 Implementacin del ENS
3.1 Llevar a cabo acciones de
concienciacin y formativas
3.2 Implementar procedimientos de
seguridad
4 Monitorizacin y supervisin
4.1 Realizar auditoras
4.2 Revisar objetivos
4.3 Revisar el anlisis de riesgos
5 Proyecto 5: actualizacin y
mantenimiento
4.4 Planificar mejoras

1.er
semestre
2012

169

(continuacin)

2.
semestre
2012

1.er
semestre
2013

2.
semestre
2013

1.er
semestre
2014

Bibliografa

Normas de referencia
Norma UNE- ISO/IEC 27000 Tecnologa de la informacin. Tcnicas de seguridad.
Sistemas de Gestin de la Seguridad de la Informacin (SGSI). Visin de conjunto y
vocabulario.
La aplicacin de cualquier norma necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos tcnicos y de gestin.
Norma UNE-ISO/IEC 27001 Tecnologa de la informacin. Tcnicas de seguridad.
Sistemas de Gestin de la Seguridad de la Informacin (SGSI). Requisitos.
En ella se recogen los requisitos para establecer, implementar, documentar y
evaluar un SGSI. Es la norma sobre la que se desarrolla el sistema y la que permite obtener la certificacin del mismo por parte de un organismo certificador
independiente. La certificacin del sistema de gestin contribuye a fomentar las
actividades de proteccin de la informacin en las organizaciones, mejorando
su imagen y generando confianza frente a terceros. En su anexo A, enumera los
objetivos de control y controles que desarrolla la UNE-ISO/IEC 27002 para
que sean seleccionados por las organizaciones en el desarrollo de sus SGSI, estableciendo as formalmente el nexo de unin entre las dos normas.
Norma UNE-ISO/IEC 27002 Tecnologa de la informacin. Tcnicas de seguridad.
Cdigo de buenas prcticas para la gestin de la seguridad de la informacin.
Esta norma ofrece recomendaciones para realizar la gestin de la seguridad de
la informacin que pueden utilizarse por los responsables de iniciar, implementar o mantener la seguridad en una organizacin. Persigue proporcionar una

172

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

base comn para desarrollar normas de seguridad y constituir una prctica eficaz de la gestin. Esta norma no es certificable.
Norma ISO/IEC 27003 Information technology Information security management
system implementation guidance.
Es una gua de implementacin de un SGSI basado en la Norma ISO/IEC
27001 e informacin acerca del uso del modelo PDCA y de los requerimientos
de sus diferentes fases.
Norma ISO/IEC 27004 Information technology Information security management
Measurement.
Especifica las mtricas y las tcnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados. Estas mtricas se usan fundamentalmente para la medicin de los componentes de la fase Do (implementar
y utilizar) del ciclo PDCA.
Norma ISO/IEC 27005 Information technology Information security risk management.
Consiste en una gua de tcnicas para la gestin del riesgo de la seguridad de la
informacin y servir, por tanto, de apoyo a la Norma UNE-ISO/IEC 27001 y
a la implementacin de un SGSI. Recoge partes de ISO/IEC TR 13335.
Norma ISO/IEC 27006 Information technology Requirements for bodies providing audit and certification of information security management systems.
Especifica los requisitos para la acreditacin de entidades de auditora y certificacin de sistemas de gestin de seguridad de la informacin.
Norma ISO/IEC 27007 Information technology Guidelines for information security management systems auditing.
En fase de desarrollo. Consistir en una gua para realizar una auditora a un
SGSI.
Norma ISO/IEC 27011 Information technology Information security management
guidelines for telecommunications organizations based on ISO/IEC 27002.
Es una gua de gestin de seguridad de la informacin especfica para telecomunicaciones, elaborada a partir de una Recomendacin de la UIT (Unin Internacional de Telecomunicaciones).

Bibliografa

173

Norma ISO/IEC FCD 27032 Information technology Guidelines for cybersecurity


En fase de desarrollo. Consistir en una gua relativa a la ciberseguridad.
Serie ISO/IEC 27033 Information technology Network security
Dividida en 7 partes: gestin de seguridad de redes, arquitectura de seguridad
de redes, escenarios de redes de referencia, aseguramiento de las comunicaciones entre redes mediante gateways, acceso remoto, aseguramiento de comunicaciones en redes mediante VPNs y diseo e implementacin de seguridad en
redes. Provendr de la revisin, ampliacin y renumeracin de ISO 18028.
Serie ISO/IEC 27034 Information technology Network security.
Se ha publicado la primera parte, y el resto est en desarrollo. Ser en una gua
de seguridad en aplicaciones.
Informe UNE 71501-1 IN Tecnologa de la Informacin (TI). Gua para la gestin
de la seguridad de TI. Parte 1: Conceptos y modelos para la seguridad de TI.
Este informe proporciona una visin general de los conceptos fundamentales y
de los modelos utilizados para describir la gestin de seguridad de TI.
Informe UNE 71501-2 IN Tecnologa de la informacin (TI). Gua para la gestin
de la seguridad de TI. Parte 2: Gestin y planificacin de la seguridad de TI.
Se describen varios aspectos de gestin y planificacin de la seguridad de TI.
Informe UNE 71501-3 IN Tecnologa de la informacin (TI). Gua para la gestin
de la seguridad de TI. Parte 3: Tcnicas para la gestin de la seguridad de TI.
Esta norma describe varias tcnicas de seguridad indicadas para distintas fases
de un proyecto, desde la planificacin hasta la explotacin, pasando por la
implementacin.
Informe UNE 66172:2003 Directrices para la justificacin y desarrollo de normas de
sistemas de gestin.
ISO/IEC 15408 Information technology Security techniques Evaluation criteria
for IT security.
UNE-ISO GUIA 73:2010 IN Gestin del riesgo. Vocabulario.

174

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Legislacin
Ley 11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a los Servicios Pblicos. Su objeto es establecer la poltica de seguridad en la utilizacin de
medios electrnicos, y est constituido por principios bsicos y requisitos mnimos que permitan una proteccin adecuada de la informacin.
Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de
Seguridad en el mbito de la Administracin Electrnica.
Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de
Interoperabilidad en el mbito de la Administracin Electrnica.
Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter
Personal.
Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento
de desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre, de proteccin de
datos de carcter personal.

Otros documentos
CCN-STIC-201 Estructura de seguridad. Enero 2009.
CCN-STIC-402 Organizacin y gestin TIC. Diciembre 2006.
CCN-STIC-801 Responsabilidades en el Esquema Nacional de Seguridad. Febrero
2010.
CCN-STIC-802 Auditora del Esquema Nacional de Seguridad. Junio 2010.
CCN-STIC-803 Valoracin de sistemas en el Esquema Nacional de Seguridad.
Enero 2011.
CCN-STIC-804 Medidas de implantacin del Esquema Nacional de Seguridad
(borrador). Octubre 2011.
CCN-STIC-805 Poltica de seguridad del Esquema Nacional de Seguridad. Septiembre 2011.
CCN-STIC-806 Plan de adecuacin del Esquema Nacional de Seguridad. Enero
2011.
CCN-STIC-807 Criptologa de empleo en el Esquema Nacional de Seguridad.
Septiembre 2011.

Bibliografa

175

CCN-STIC-808 Verificacin del cumplimiento de las medidas en el Esquema


Nacional de Seguridad. Septiembre 2011.
CCN-STIC-809 Declaracin de conformidad del Esquema Nacional de Seguridad
(borrador). Julio 2010.
CCN-STIC-810 Creacin de un CERT-CSIRT (borrador). Septiembre 2011.
CCN-STIC-811 Interconexin en el Esquema Nacional de Seguridad (borrador).
Septiembre 2011.
CCN-STIC-812 Seguridad en entornos y aplicaciones web (borrador). Octubre
2011.
CCN-STIC-814 Seguridad en correo electrnico (borrador). Agosto 2011.
CCN-STIC-815 Mtricas e indicadores en el Esquema Nacional de Seguridad
(borrador). Diciembre 2011.
Norma Tcnica de Interoperabilidad de Documento Electrnico. Resolucin de 19
de julio de 2011 de la Secretara de Estado para la Funcin Pblica.
Norma Tcnica de Interoperabilidad de Digitalizacin de Documentos. Resolucin de 19 de julio de 2011 de la Secretara de Estado para la Funcin Pblica.
Norma Tcnica de Interoperabilidad de Expediente Electrnico. Resolucin de 19
de julio de 2011, de la Secretara de Estado para la Funcin Pblica.
Norma Tcnica de Interoperabilidad de Poltica de Firma Electrnica y de certificados de la Administracin. Resolucin de 19 de julio de 201, de la Secretara
de Estado para la Funcin Pblica.
Norma Tcnica de Interoperabilidad de requisitos de conexin a la red de comunicaciones de las Administraciones Pblicas espaolas. Resolucin de 19 de julio
de 2011 de la Secretara de Estado para la Funcin Pblica.
Norma Tcnica de Interoperabilidad de Procedimientos de copiado autntico y
conversin entre documentos electrnicos. Resolucin de 19 de julio de 2011
de la Secretara de Estado para la Funcin Pblica.
Norma Tcnica de Interoperabilidad de Modelo de Datos para el Intercambio de
asientos entre las entidades registrales. Resolucin de 19 de julio de 2011, de la
Secretara de Estado para la Funcin Pblica.
CNSS Inst. 4009 National Information Assurance (IA) Glossary. April 2010.
FIPS 200. Minimum Security Requirements for Federal Information and Information
Systems. March 2006.

176

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

ISO Guide 73 Risk management Vocabulary. 2009.


SP 800-12. An Introduction to Computer Security: The NIST Handbook. Special
Publication 800-12. October 1995.

Links de inters
Asociacin Espaola de Normalizacin (AENOR).
www.aenor.es
European Network and Information Security Agency (ENISA).
www.enisa.europa.eu
Instituto Nacional de Tecnologas de la Comunicacin (INTECO).
www.inteco.es
ISMS Forum Spain. Asociacin Espaola para el Fomento de la Seguridad de
la Informacin.
www.ismsforum.es
MAGERIT versin 2. Metodologa de Anlisis y Gestin de Riesgos de los
Sistemas de Informacin.
www.csi.map.es/csi/pg5m20.htm
Esquema Nacional de Seguridad
https://www.ccn-cert.cni.es
http://administracionelectronica.gob.es/?_nfpb=true&_pageLabel=P4002281
273766578416&langPae=es
Esquema Nacional de Interoperabilidad
http://administracionelectronica.gob.es/?_nfpb=true&_pageLabel=P4001281
273739471793&langPae=es
National Institute of Standards and Technology (NIST).
An Introduction to Computer Security: The NIST Handbook
http://csrc.nist.gov/publications
RED.ES. Documentos emitidos por RED.ES.
www.red.es
START UP. Empresa consultora especializada en diseo e implementacin de
sistemas de gestin de seguridad de la informacin.
www.seguridadinformacion.com

Norma UNE-ISO/IEC 27001:2007


Tecnologa de la informacin.
Tcnicas de seguridad.
Sistemas de Gestin de la Seguridad
de la Informacin (SGSI). Requisitos

QRUPD
HVSDxROD

81(,62,(&


1RYLHPEUH




778/2




7HFQRORJtDGHODLQIRUPDFLyQ

7pFQLFDVGHVHJXULGDG

6LVWHPDVGH*HVWLyQGHOD6HJXULGDGGHOD,QIRUPDFLyQ 6*6,

5HTXLVLWRV

,62,(& 



,QIRUPDWLRQ WHFKQRORJ\ 6HFXULW\ WHFKQLTXHV ,QIRUPDWLRQ VHFXULW\ PDQDJHPHQW V\VWHPV 5HTXLUHPHQWV


,62,(& 

7HFKQRORJLHV GH O
LQIRUPDWLRQ 7HFKQLTXHV GH VpFXULWp 6\VWqPHV GH JHVWLRQ GH VpFXULWp GH O
LQIRUPDWLRQ
([LJHQFHV ,62,(& 





&255(6321'(1&,$










(VWDQRUPDHVLGpQWLFDDOD1RUPD,QWHUQDFLRQDO,62,(&




(VWDQRUPDDQXODUi\VXVWLWXLUiDOD1RUPD81(HO

2%6(59$&,21(6









$17(&('(17(6







(VWD QRUPD KD VLGR HODERUDGD SRU HO FRPLWp WpFQLFR $(1&71  7HFQRORJtD GH OD
,QIRUPDFLyQFX\D6HFUHWDUtDGHVHPSHxD$(7,&

(GLWDGDHLPSUHVDSRU$(125
'HSyVLWROHJDO0

/$62%6(59$&,21(6$(67('2&80(172+$1'(',5,*,56($

$(125
5HSURGXFFLyQSURKLELGD

&*pQRYD
0$'5,'(VSDxD

7HOpIRQR
)D[

3iJLQDV



*UXSR



,62,(&

1',&(
3iJLQD
35/2*2  


,1752'8&&,1 

*HQHUDOLGDGHV  

(QIRTXHSRUSURFHVR  

&RPSDWLELOLGDGFRQRWURVVLVWHPDVGHJHVWLyQ  


2%-(72<&$032'($3/,&$&,1  

*HQHUDOLGDGHV  

$SOLFDFLyQ  


1250$63$5$&2168/7$ 


7e50,126<'(),1,&,21(6  


6,67(0$'(*(67,1'(/$6(*85,'$''(/$,1)250$&,1  

5HTXLVLWRVJHQHUDOHV  

&UHDFLyQ\JHVWLyQGHO6*6,  

&UHDFLyQGHO6*6,  

,PSOHPHQWDFLyQ\RSHUDFLyQGHO6*6,  

6XSHUYLVLyQ\UHYLVLyQGHO6*6, 

0DQWHQLPLHQWR\PHMRUDGHO6*6,  

5HTXLVLWRVGHODGRFXPHQWDFLyQ  

*HQHUDOLGDGHV  

&RQWUROGHGRFXPHQWRV  

&RQWUROGHUHJLVWURV 


5(63216$%,/,'$''(/$',5(&&,1  

&RPSURPLVRGHODGLUHFFLyQ 

*HVWLyQGHORVUHFXUVRV 

3URYLVLyQGHORVUHFXUVRV  

&RQFLHQFLDFLyQIRUPDFLyQ\FDSDFLWDFLyQ  


$8',725$6,17(51$6'(/6*6,  


5(9,6,1'(/6*6,325/$',5(&&,1 

*HQHUDOLGDGHV  

'DWRVLQLFLDOHVGHODUHYLVLyQ 

5HVXOWDGRVGHODUHYLVLyQ  


0(-25$'(/6*6,  

0HMRUDFRQWLQXD  

$FFLyQFRUUHFWLYD 

$FFLyQSUHYHQWLYD 

$1(;2$ 1RUPDWLYR  2%-(7,926'(&21752/<&21752/(6  

$1(;2% ,QIRUPDWLYR  /2635,1&,3,26'(/$2&'(<(67$

1250$,17(51$&,21$/ 

$1(;2& ,QIRUPDWLYR  &255(6321'(1&,$(175(/$61250$6,62

,62<(67$1250$,17(51$&,21$/ 

%,%/,2*5$)$ 









































,62,(&








35/2*2

,62 2UJDQL]DFLyQ ,QWHUQDFLRQDO GH 1RUPDOL]DFLyQ  H ,(& &RPLVLyQ (OHFWURWpFQLFD ,QWHUQDFLRQDO 
FRQVWLWX\HQ HO VLVWHPD HVSHFLDOL]DGR SDUD OD QRUPDOL]DFLyQ D QLYHO PXQGLDO /RV RUJDQLVPRV QDFLRQDOHV
TXH VRQ PLHPEURV GH ,62 R ,(& SDUWLFLSDQ HQ HO GHVDUUROOR GH ODV QRUPDV LQWHUQDFLRQDOHV D WUDYpV GH
FRPLWpVWpFQLFRVHVWDEOHFLGRVSRUODVRUJDQL]DFLRQHVUHVSHFWLYDVSDUDUHDOL]DUDFXHUGRVHQFDPSRVHVSHFt
ILFRV GH OD DFWLYLGDG WpFQLFD /RV FRPLWpV WpFQLFRV GH ,62 H ,(& FRODERUDQ HQ ORV FDPSRV GH LQWHUpV
PXWXR 2WUDV RUJDQL]DFLRQHV LQWHUQDFLRQDOHV JXEHUQDPHQWDOHV \ QR JXEHUQDPHQWDOHV HQ FRODERUDFLyQ
FRQ,62H,(&WDPELpQWRPDQSDUWHHQHOWUDEDMR(QHOFDPSRGHODWHFQRORJtDGHODLQIRUPDFLyQ,62H
,(&KDQHVWDEOHFLGRXQFRPLWpWpFQLFRFRQMXQWRHOGHQRPLQDGR,62,(&-7&

/DV QRUPDV LQWHUQDFLRQDOHV VH UHGDFWDQ GH DFXHUGR FRQ ODV UHJODV HVWDEOHFLGDV HQ OD 3DUWH  GH ODV
'LUHFWLYDV,62,(&

/DWDUHDSULQFLSDOGHORVFRPLWpVWpFQLFRVHVHODERUDUQRUPDVLQWHUQDFLRQDOHV/RVSUR\HFWRVGHQRUPDV
LQWHUQDFLRQDOHVDGRSWDGRVSRUORVFRPLWpVWpFQLFRVVHHQYtDQDORVRUJDQLVPRVQDFLRQDOHVPLHPEURVSDUD
VX YRWR /D SXEOLFDFLyQ FRPR QRUPD LQWHUQDFLRQDO UHTXLHUH OD DSUREDFLyQ GH DO PHQRV HO  GH ORV
RUJDQLVPRVQDFLRQDOHVPLHPEURVFRQGHUHFKRDYRWR

6H OODPD OD DWHQFLyQ VREUH OD SRVLELOLGDG GH TXH DOJXQRV GH ORV HOHPHQWRV GH HVWD QRUPD LQWHUQDFLRQDO
SXHGDQHVWDUVXMHWRVDGHUHFKRVGHSDWHQWH,62H,(&QRDVXPHQODUHVSRQVDELOLGDGGHODLGHQWLILFDFLyQ
GHGLFKRVGHUHFKRVGHSDWHQWH

/D1RUPD,62,(&KDVLGRHODERUDGDSRUHOVXEFRPLWp6&7pFQLFDVGHVHJXULGDGTXHIRUPD
SDUWHGHOFRPLWpWpFQLFRFRQMXQWR,62,(&-7&7HFQRORJtDVGHODLQIRUPDFLyQ



,62,(&

 ,1752'8&&,1

 *HQHUDOLGDGHV
(VWD QRUPD LQWHUQDFLRQDO SURSRUFLRQD XQ PRGHOR SDUD OD FUHDFLyQ LPSOHPHQWDFLyQ RSHUDFLyQ VXSHUYLVLyQ UHYLVLyQ
PDQWHQLPLHQWR\PHMRUDGHXQ6LVWHPDGH*HVWLyQGHOD6HJXULGDGGHOD,QIRUPDFLyQ 6*6, /DDGRSFLyQGHXQ6*6,
GHEHUtDVHUIUXWRGHXQDGHFLVLyQHVWUDWpJLFDGHXQDRUJDQL]DFLyQ(OGLVHxR\ODLPSOHPHQWDFLyQGHO6*6,GHSHQGHQGH
ODVQHFHVLGDGHV\REMHWLYRVGHFDGDRUJDQL]DFLyQDVtFRPRGHVXVUHTXLVLWRVGHVHJXULGDGVXVSURFHVRVVXWDPDxR\
HVWUXFWXUD(VSUHYLVLEOHTXHHVWRVIDFWRUHV\ORVVLVWHPDVTXHORVVRSRUWDQFDPELHQFRQHOWLHPSR/RKDELWXDOHVTXHOD
LPSOHPHQWDFLyQGHXQ6*6,VHDMXVWHDODVQHFHVLGDGHVGHODRUJDQL]DFLyQSRUHMHPSORXQDVLWXDFLyQVHQFLOODUHTXLHUH
XQ6*6,VLPSOH

(VWD QRUPD LQWHUQDFLRQDO VLUYH SDUD TXH FXDOTXLHU SDUWH LQWHUHVDGD \D VHD LQWHUQD R H[WHUQD D OD RUJDQL]DFLyQ SXHGD
HIHFWXDUXQDHYDOXDFLyQGHODFRQIRUPLGDG
 (QIRTXHSRUSURFHVR
(VWD QRUPD LQWHUQDFLRQDO DGRSWD XQ HQIRTXH SRU SURFHVR SDUD OD FUHDFLyQ LPSOHPHQWDFLyQ RSHUDFLyQ VXSHUYLVLyQ
UHYLVLyQPDQWHQLPLHQWR\PHMRUDGHO6*6,GHXQDRUJDQL]DFLyQ

8QDRUJDQL]DFLyQWLHQHTXHGHILQLU\JHVWLRQDUQXPHURVDVDFWLYLGDGHVSDUDIXQFLRQDUFRQHILFDFLD&XDOTXLHUDFWLYLGDG
TXH XWLOL]D UHFXUVRV \ VH JHVWLRQD GH PRGR TXH SHUPLWH OD WUDQVIRUPDFLyQ GH XQRV HOHPHQWRV GH HQWUDGD HQ XQRV
HOHPHQWRVGHVDOLGDSXHGHFRQVLGHUDUVHXQSURFHVR$PHQXGRODVDOLGDGHXQSURFHVRVHFRQYLHUWHGLUHFWDPHQWHHQOD
HQWUDGDGHOSURFHVRVLJXLHQWH

/DDSOLFDFLyQGHXQFRQMXQWRGHSURFHVRVHQXQDRUJDQL]DFLyQMXQWRFRQODLGHQWLILFDFLyQGHpVWRV\VXVLQWHUDFFLRQHV\
VXJHVWLyQSXHGHFDOLILFDUVHGHHQIRTXHSRUSURFHVR

(OHQIRTXHSRUSURFHVRSDUDODJHVWLyQGHODVHJXULGDGGHODLQIRUPDFLyQTXHVHGHVFULEHHQHVWDQRUPDLQWHUQDFLRQDO
DQLPDDORVXVXDULRVDHQIDWL]DUODLPSRUWDQFLDGH

D  FRPSUHQGHU ORV UHTXLVLWRV GH VHJXULGDG GH OD LQIRUPDFLyQ GH XQD RUJDQL]DFLyQ \ OD QHFHVLGDG GH HVWDEOHFHU XQD
SROtWLFDGHVHJXULGDGGHODLQIRUPDFLyQ\VXVREMHWLYRV

E  LPSOHPHQWDU\RSHUDUORVFRQWUROHVSDUDDGPLQLVWUDUORVULHVJRVGHVHJXULGDGGHODLQIRUPDFLyQGHXQDRUJDQL]DFLyQ
HQHOPDUFRGHVXVULHVJRVHPSUHVDULDOHVJHQHUDOHV

F  VXSHUYLVDU\UHYLVDUHOUHQGLPLHQWR\ODHILFDFLDGHO6*6,\

G  DVHJXUDUODPHMRUDFRQWLQXDVREUHODEDVHGHODPHGLFLyQREMHWLYD

(VWDQRUPDLQWHUQDFLRQDOVLJXHHOPRGHOR3ODQLILFDUKDFHUYHULILFDUDFWXDU 3ODQ'R&KHFN$FWFRQRFLGRFRPRPR
GHOR3'&$ TXHVHDSOLFDSDUDHVWUXFWXUDUWRGRVORVSURFHVRVGHO6*6,/DILJXUDPXHVWUDFyPRXQ6*6,SDUWLHQGR
GHORVUHTXLVLWRV\H[SHFWDWLYDVGHVHJXULGDGGHODLQIRUPDFLyQGHODVSDUWHVLQWHUHVDGDV\DWUDYpVGHODVDFFLRQHV\SUR
FHVRVQHFHVDULRVSURGXFHORVHOHPHQWRVGHVDOLGDGHVHJXULGDGGHODLQIRUPDFLyQTXHUHVSRQGHQDGLFKRVUHTXLVLWRV\
H[SHFWDWLYDV/DILJXUDLOXVWUDDVLPLVPRORVYtQFXORVFRQORVSURFHVRVTXHVHGHVFULEHQHQORVFDStWXORV\

/DDGRSFLyQGHOPRGHOR3'&$WDPELpQUHIOHMDUiORVSULQFLSLRVGHILQLGRVHQODV'LUHFWULFHVGHOD2&'(   TXH
ULJHQODVHJXULGDGGHORVVLVWHPDV\ODVUHGHVGHLQIRUPDFLyQ(VWDQRUPDLQWHUQDFLRQDOSURSRUFLRQDXQPRGHORUREXVWR
SDUDLPSOHPHQWDUORVSULQFLSLRVGHGLFKDVGLUHFWULFHVTXHULJHQODHYDOXDFLyQGHULHVJRVHOGLVHxR\ODLPSOHPHQWDFLyQ
GHODVHJXULGDGDVtFRPRODJHVWLyQ\ODUHHYDOXDFLyQGHODVHJXULGDG

 

  'LUHFWULFHV GH OD 2&'(SDUD OD 6HJXULGDG GH ORV 6LVWHPDV \ 5HGHV GH ,QIRUPDFLyQ  +DFLD XQDFXOWXUDGHOD VHJXULGDG 3DUtV 2&'(MXOLR
GHZZZRHFGRUJ

,62,(&



(-(03/2 UHTXLVLWRGHVHJXULGDG 
8QUHTXLVLWRSRGUtDVHUTXHQLQJXQDYLRODFLyQGHODVHJXULGDGGHODLQIRUPDFLyQGHEHSURYRFDUSHUMXLFLRVHFRQyPLFRV
JUDYHV\RFRPSURPHWHUDODRUJDQL]DFLyQ

(-(03/2 H[SHFWDWLYDGHVHJXULGDG 
(QHOFDVRGHTXHVHSURGXMHUDXQLQFLGHQWHJUDYHFRPRSRUHMHPSORXQDWDTXHLQIRUPiWLFRDOVLWLRZHEGHFRPHUFLR
HOHFWUyQLFRGHXQDRUJDQL]DFLyQGHEHUtDKDEHUSHUVRQDVFRQVXILFLHQWHIRUPDFLyQHQORVSURFHGLPLHQWRVDGHFXDGRVSDUD
PLQLPL]DUODVFRQVHFXHQFLDV



)LJXUD0RGHOR3'&$DSOLFDGRDORVSURFHVRVGHO6*6,




3ODQLILFDU FUHDFLyQGHO6*6, 

'HILQLUODSROtWLFDREMHWLYRVSURFHVRV\SURFHGLPLHQWRVGHO6*6,UHOHYDQWHVSDUD
JHVWLRQDUHOULHVJR\PHMRUDUODVHJXULGDGGHODLQIRUPDFLyQFRQHOILQGHREWHQHU
UHVXOWDGRVDFRUGHVFRQODVSROtWLFDV\REMHWLYRVJHQHUDOHVGHODRUJDQL]DFLyQ

+DFHU LPSOHPHQWDFLyQ\
RSHUDFLyQGHO6*6, 

,PSOHPHQWDU\RSHUDUODSROtWLFDFRQWUROHVSURFHVRV\SURFHGLPLHQWRVGHO6*6,

9HULILFDU VXSHUYLVLyQ\UHYLVLyQ (YDOXDU \ HQ VX FDVR PHGLU HO UHQGLPLHQWR GHO SURFHVR FRQWUD OD SROtWLFD ORV
REMHWLYRV \ OD H[SHULHQFLD SUiFWLFD GHO 6*6, H LQIRUPDU GH ORV UHVXOWDGRV D OD
GHO6*6, 
'LUHFFLyQSDUDVXUHYLVLyQ
$FWXDU PDQWHQLPLHQWR\PHMRUD $GRSWDU PHGLGDV FRUUHFWLYDV \ SUHYHQWLYDV HQ IXQFLyQ GH ORV UHVXOWDGRV GH OD
DXGLWRUtDLQWHUQDGHO 6*6, \ GHODUHYLVLyQSRUSDUWHGHOD GLUHFFLyQRGHRWUDV
GHO6*6, 
LQIRUPDFLRQHVUHOHYDQWHVSDUDORJUDUODPHMRUDFRQWLQXDGHO6*6,


 &RPSDWLELOLGDGFRQRWURVVLVWHPDVGHJHVWLyQ
(VWDQRUPDLQWHUQDFLRQDOVLJXHODVSDXWDVPDUFDGDVHQODV1RUPDV,62H,62SDUDDVHJXUDUXQD
LPSOHPHQWDFLyQLQWHJUDGD\FRQVLVWHQWHFRQODVPHQFLRQDGDVQRUPDVGHJHVWLyQ'HHVWHPRGRXQVLVWHPDGHJHVWLyQ
ELHQFRQFHELGRSXHGHFXPSOLUORVUHTXLVLWRVGHWRGDVHVDVQRUPDV/DWDEOD&PXHVWUDODUHODFLyQHQWUHORVFDStWXORV
GHHVWDQRUPDLQWHUQDFLRQDO\ODV1RUPDV,62H,62

(VWD QRUPD LQWHUQDFLRQDO HVWi GLVHxDGD SDUD SRVLELOLWDU D XQD RUJDQL]DFLyQ HO DGDSWDU VX 6*6, D ORV UHTXLVLWRV GH ORV
VLVWHPDVGHJHVWLyQPHQFLRQDGRV



,62,(&

,03257$17( (VWD SXEOLFDFLyQ QR SUHWHQGH LQFOXLU WRGDV ODV SURYLVLRQHV QHFHVDULDV HQ XQ FRQWUDWR /RV
XVXDULRVGHODQRUPDVRQUHVSRQVDEOHVGHVXFRUUHFWDDSOLFDFLyQ/DFRQIRUPLGDGFRQHVWDQRUPDLQWHUQDFLRQDO
QRRWRUJDLQPXQLGDGIUHQWHDOFXPSOLPLHQWRGHODVREOLJDFLRQHVOHJDOHV
 2%-(72<&$032'($3/,&$&,1

 *HQHUDOLGDGHV
(VWDQRUPDLQWHUQDFLRQDODEDUFDWRGRWLSRGHRUJDQL]DFLRQHV SRUHMHPSORHPSUHVDVRUJDQLVPRV\HQWHVS~EOLFRVHQWL
GDGHVVLQiQLPRGHOXFUR \HVSHFLILFDORVUHTXLVLWRVSDUDODFUHDFLyQLPSOHPHQWDFLyQRSHUDFLyQVXSHUYLVLyQUHYLVLyQ
PDQWHQLPLHQWR \ PHMRUD GH XQ 6*6, GRFXPHQWDGR HQ HO PDUFR GH ORV ULHVJRV HPSUHVDULDOHV JHQHUDOHV GH OD
RUJDQL]DFLyQ(VSHFLILFDORVUHTXLVLWRVSDUDHOHVWDEOHFLPLHQWRGHFRQWUROHVGHVHJXULGDGDGDSWDGRVDODVQHFHVLGDGHVGH
XQDRUJDQL]DFLyQRGHSDUWHVGHODPLVPD

(O6*6,HVWiGLVHxDGRFRQHOILQGHDVHJXUDUODVHOHFFLyQGHFRQWUROHVGHVHJXULGDGDGHFXDGRV\SURSRUFLRQDGRVTXH
SURWHMDQORVDFWLYRVGHLQIRUPDFLyQ\GHQJDUDQWtDVDODVSDUWHVLQWHUHVDGDV
127$ /DVUHIHUHQFLDDOWpUPLQRHPSUHVDULDORGHQHJRFLRHQHVWDQRUPDLQWHUQDFLRQDOGHEHUtDQLQWHUSUHWDUVHHQXQVHQWLGRDPSOLRDEDUFDQGR
DTXHOODVDFWLYLGDGHVTXHVRQHVHQFLDOHVSDUDDOFDQ]DUORVILQHVTXHSHUVLJXHODRUJDQL]DFLyQ
127$ /D1RUPD,62,(&SURSRUFLRQDXQDJXtDGHLPSODQWDFLyQTXHSXHGHXWLOL]DUVHDOGLVHxDUORVFRQWUROHV

 $SOLFDFLyQ
/RVUHTXLVLWRVHVWDEOHFLGRVHQHVWDQRUPDLQWHUQDFLRQDOVRQJHQpULFRV\DSOLFDEOHVDWRGDVODVRUJDQL]DFLRQHVFXDOTXLHUD
TXH VHD VX WLSR WDPDxR \ QDWXUDOH]D &XDQGR XQD RUJDQL]DFLyQ GHFODUD TXH FXPSOH HVWD QRUPD LQWHUQDFLRQDO QR VH
DGPLWLUiODH[FOXVLyQGHQLQJXQRGHORVUHTXLVLWRVGHILQLGRVHQORVFDStWXORV\

7RGDH[FOXVLyQGHFRQWUROHVTXHVHFRQVLGHUHQHFHVDULDSDUDFXPSOLUORVFULWHULRVGHDFHSWDFLyQGHOULHVJRQHFHVLWDVHUMXVWLIL
FDGDPHGLDQWHHYLGHQFLDGHTXHORVULHVJRVDVRFLDGRVKDQVLGRDFHSWDGRVSRUODVSHUVRQDVUHVSRQVDEOHV&XDQGRVHH[FOX\D
DOJ~QFRQWUROQRVHDFHSWDUiQLQJXQDGHFODUDFLyQGHFRQIRUPLGDGFRQHVWDQRUPDLQWHUQDFLRQDODPHQRVTXHWDOHVH[FOXVLRQHV
QRDIHFWHQDODFDSDFLGDG\RUHVSRQVDELOLGDGGHODRUJDQL]DFLyQSDUDJDUDQWL]DUODVHJXULGDGGHODLQIRUPDFLyQGHDFXHUGRFRQ
ORVUHTXLVLWRVGHVHJXULGDGGHULYDGRVGHODHYDOXDFLyQGHULHVJRV\GHORVUHTXLVLWRVOHJDOHVRUHJODPHQWDULRVDSOLFDEOHV

127$ (QODPD\RUtDGHORVFDVRVVLXQDRUJDQL]DFLyQWLHQHLPSODQWDGRXQVLVWHPDGHJHVWLyQGHOSURFHVRGHQHJRFLR SRUHMHPSOR ,62R
,62 HVSUHIHULEOHFXPSOLUORVUHTXLVLWRVGHHVWDQRUPDLQWHUQDFLRQDOGHQWURGHOVLVWHPDGHJHVWLyQ\DH[LVWHQWH

 1250$63$5$&2168/7$
/DVQRUPDVTXHDFRQWLQXDFLyQVHLQGLFDQVRQLQGLVSHQVDEOHVSDUDODDSOLFDFLyQGHHVWDQRUPD3DUDODVUHIHUHQFLDVFRQ
IHFKDVyORVHDSOLFDODHGLFLyQFLWDGD3DUDODVUHIHUHQFLDVVLQIHFKDVHDSOLFDOD~OWLPDHGLFLyQGHODQRUPD LQFOX\HQGR
FXDOTXLHUPRGLILFDFLyQGHpVWD 
,62,(&7HFQRORJtDGHODLQIRUPDFLyQ7pFQLFDVGHVHJXULGDG&yGLJRGHEXHQDVSUiFWLFDVSDUDODJHVWLyQ
GHODVHJXULGDGGHODLQIRUPDFLyQ
 7e50,126<'(),1,&,21(6
3DUDORVILQHVGHOSUHVHQWHGRFXPHQWRVHDSOLFDQODVVLJXLHQWHVGHILQLFLRQHV

 DFWLYR
&XDOTXLHUELHQTXHWLHQHYDORUSDUDODRUJDQL]DFLyQ
>,62,(&@

 GLVSRQLELOLGDG
/DSURSLHGDGGHVHUDFFHVLEOH\XWLOL]DEOHSRUXQDHQWLGDGDXWRUL]DGD
>,62,(&@

,62,(&



 FRQILGHQFLDOLGDG
/D SURSLHGDG SRU OD TXH OD LQIRUPDFLyQ QR VH SRQH D GLVSRVLFLyQ R VH UHYHOD D LQGLYLGXRV HQWLGDGHV R SURFHVRV QR
DXWRUL]DGRV

>,62,(&@
 VHJXULGDGGHODLQIRUPDFLyQ
/DSUHVHUYDFLyQGHODFRQILGHQFLDOLGDGODLQWHJULGDG\ODGLVSRQLELOLGDGGHODLQIRUPDFLyQSXGLHQGRDGHPiVDEDUFDU
RWUDVSURSLHGDGHVFRPRODDXWHQWLFLGDGODUHVSRQVDELOLGDGODILDELOLGDG\HOQRUHSXGLR

>,62,(&@
 HYHQWRGHVHJXULGDGGHODLQIRUPDFLyQ
/DRFXUUHQFLDGHWHFWDGDHQXQHVWDGRGHXQVLVWHPDVHUYLFLRRUHGTXHLQGLFDXQDSRVLEOHYLRODFLyQGHODSROtWLFDGH
VHJXULGDGGHODLQIRUPDFLyQXQIDOORGHODVVDOYDJXDUGDVRXQDVLWXDFLyQGHVFRQRFLGDKDVWDHOPRPHQWR\TXHSXHGHVHU
UHOHYDQWHSDUDODVHJXULGDG

>,62,(&75@
 LQFLGHQWHGHVHJXULGDGGHODLQIRUPDFLyQ
XQ~QLFRHYHQWRRXQDVHULHGHHYHQWRVGHVHJXULGDGGHODLQIRUPDFLyQLQHVSHUDGRVRQRGHVHDGRVTXHWLHQHQXQDSUR
EDELOLGDGVLJQLILFDWLYDGHFRPSURPHWHUODVRSHUDFLRQHVHPSUHVDULDOHV\GHDPHQD]DUODVHJXULGDGGHODLQIRUPDFLyQ

>,62,(&75@
 6LVWHPD GH *HVWLyQ GH OD 6HJXULGDG GH OD ,QIRUPDFLyQ 6*6,  >,QIRUPDWLRQ 6HFXULW\ 0DQDJHPHQW 6\VWHP
,606 @
/DSDUWHGHOVLVWHPDGHJHVWLyQJHQHUDOEDVDGDHQXQHQIRTXHGHULHVJRHPSUHVDULDOTXHVHHVWDEOHFHSDUDFUHDULPSOH
PHQWDURSHUDUVXSHUYLVDUUHYLVDUPDQWHQHU\PHMRUDUODVHJXULGDGGHODLQIRUPDFLyQ

127$ (OVLVWHPDGHJHVWLyQLQFOX\HODHVWUXFWXUDRUJDQL]DWLYDODVSROtWLFDVODVDFWLYLGDGHVGHSODQLILFDFLyQODVUHVSRQVDELOLGDGHVODVSUiFWLFDVORV
SURFHGLPLHQWRVORVSURFHVRV\ORVUHFXUVRV

 LQWHJULGDG
/DSURSLHGDGGHVDOYDJXDUGDUODH[DFWLWXG\FRPSOHWLWXGGHORVDFWLYRV

>,62,(&@
 ULHVJRUHVLGXDO
5LHVJRUHPDQHQWHTXHH[LVWHGHVSXpVGHTXHVHKD\DQWRPDGRODVPHGLGDVGHVHJXULGDG

>,62,(&*XLGH@
 DFHSWDFLyQGHOULHVJR
/DGHFLVLyQGHDFHSWDUXQULHVJR

>,62,(&*XLGH@
 DQiOLVLVGHULHVJRV
8WLOL]DFLyQVLVWHPiWLFDGHODLQIRUPDFLyQGLVSRQLEOHSDUDLGHQWLILFDUSHOLJURV\HVWLPDUORVULHVJRV

>,62,(&*XLGH@



,62,(&

 HYDOXDFLyQGHULHVJRV
(OSURFHVRJHQHUDOGHDQiOLVLV\HVWLPDFLyQGHORVULHVJRV
>,62,(&*XLGH@
 HVWLPDFLyQGHULHVJRV
(OSURFHVRGHFRPSDUDFLyQGHOULHVJRHVWLPDGRFRQORVFULWHULRVGHULHVJRSDUDDVtGHWHUPLQDUODLPSRUWDQFLDGHOULHVJR
>,62,(&*XLGH@
 JHVWLyQGHULHVJRV
$FWLYLGDGHVFRRUGLQDGDVSDUDGLULJLU\FRQWURODUXQDRUJDQL]DFLyQFRQUHVSHFWRDORVULHVJRV
>,62,(&*XLGH@
 WUDWDPLHQWRGHULHVJRV
(OSURFHVRGHVHOHFFLyQHLPSOHPHQWDFLyQGHODVPHGLGDVHQFDPLQDGDVDPRGLILFDUORVULHVJRV
>,62,(&*XLGH@


127$ (QHVWDQRUPDLQWHUQDFLRQDOHOWpUPLQRFRQWUROVHXWLOL]DFRPRVLQyQLPRGHPHGLGDGHVHJXULGDG

 GHFODUDFLyQGHDSOLFDELOLGDG
'HFODUDFLyQGRFXPHQWDGDTXHGHVFULEHORVREMHWLYRVGHFRQWURO\ORVFRQWUROHVTXHVRQUHOHYDQWHVSDUDHO6*6,GHOD
RUJDQL]DFLyQ\DSOLFDEOHVDOPLVPR

127$ /RVREMHWLYRVGHFRQWURO\ORVFRQWUROHVVHEDVDQHQORVUHVXOWDGRV\FRQFOXVLRQHVGHODHYDOXDFLyQGHULHVJRV\HQORVSURFHVRVGHWUDWDPLHQWR
GHOULHVJRHQORVUHTXLVLWRVOHJDOHVRUHJODPHQWDULRVHQODVREOLJDFLRQHVFRQWUDFWXDOHV\HQODVQHFHVLGDGHVHPSUHVDULDOHVGHODRUJDQL]DFLyQ
HQPDWHULDGHVHJXULGDGGHODLQIRUPDFLyQ



 6,67(0$'(*(67,1'(/$6(*85,'$''(/$,1)250$&,1

 5HTXLVLWRVJHQHUDOHV

/DRUJDQL]DFLyQGHEHFUHDULPSOHPHQWDURSHUDUVXSHUYLVDUUHYLVDUPDQWHQHU\PHMRUDUXQ6*6,GRFXPHQWDGRGHQWUR
GHOFRQWH[WRGHODVDFWLYLGDGHVHPSUHVDULDOHVJHQHUDOHVGHODRUJDQL]DFLyQ\GHORVULHVJRVTXHpVWDDIURQWD$HIHFWRVGH
HVWDQRUPDLQWHUQDFLRQDOHOSURFHVRXWLOL]DGRVHEDVDHQHOPRGHOR3'&$GHVFULWRHQODILJXUD
 &UHDFLyQ\JHVWLyQGHO6*6,

 &UHDFLyQGHO6*6,
/DRUJDQL]DFLyQGHEHKDFHUORVLJXLHQWH

D  'HILQLU HO DOFDQFH \ ORV OtPLWHV GHO 6*6, HQ WpUPLQRV GH ODV FDUDFWHUtVWLFDV GH OD DFWLYLGDG HPSUHVDULDO GH OD
RUJDQL]DFLyQVXXELFDFLyQVXVDFWLYRV\WHFQRORJtDLQFOX\HQGRORVGHWDOOHV\ODMXVWLILFDFLyQGHFXDOTXLHUH[FOXVLyQ
GHODOFDQFH YpDVH 

E  'HILQLUXQDSROtWLFDGHO6*6,DFRUGHFRQODVFDUDFWHUtVWLFDVGHODDFWLYLGDGHPSUHVDULDOODRUJDQL]DFLyQVXXELFD
FLyQVXVDFWLYRV\WHFQRORJtDTXH
  LQFOX\DXQPDUFRSDUDODILMDFLyQGHREMHWLYRV\HVWDEOH]FDXQDRULHQWDFLyQJHQHUDOVREUHODVGLUHFWULFHV\SULQ
FLSLRVGHDFWXDFLyQHQUHODFLyQFRQODVHJXULGDGGHODLQIRUPDFLyQ
  WHQJDHQFXHQWDORVUHTXLVLWRVGHODDFWLYLGDGHPSUHVDULDOORVUHTXLVLWRVOHJDOHVRUHJODPHQWDULRV\ODVREOLJDFLR
QHVGHVHJXULGDGFRQWUDFWXDOHV
  HVWpDOLQHDGDFRQHOFRQWH[WRGHODHVWUDWHJLDGHJHVWLyQGHULHVJRVGHODRUJDQL]DFLyQFRQWH[WRHQHOTXHWHQGUi
OXJDUODFUHDFLyQ\HOPDQWHQLPLHQWRGHO6*6,

,62,(&



  HVWDEOH]FDFULWHULRVGHHVWLPDFLyQGHOULHVJR>YpDVHF @\


  VHDDSUREDGDSRUOD'LUHFFLyQ
127$ $HIHFWRVGHHVWDQRUPDLQWHUQDFLRQDOODSROtWLFDGHVHJXULGDGGHODLQIRUPDFLyQVHFRQVLGHUDXQVXEFRQMXQWRGHODSROtWLFDGHO6*6,
(VWDVSROtWLFDVSXHGHQHVWDUGHVFULWDVHQXQ~QLFRGRFXPHQWR


F  'HILQLUHOHQIRTXHGHODHYDOXDFLyQGHULHVJRVGHODRUJDQL]DFLyQ

  (VSHFLILFDUXQDPHWRGRORJtDGHHYDOXDFLyQGHULHVJRVDGHFXDGDSDUDHO6*6,ODVQHFHVLGDGHVGHQHJRFLRLGHQWL
ILFDGDVHQPDWHULDGHVHJXULGDGGHODLQIRUPDFLyQGHODHPSUHVD\ORVUHTXLVLWRVOHJDOHV\UHJODPHQWDULRV
  'HVDUUROODUFULWHULRVGHDFHSWDFLyQGHULHVJR\ILMDUORVQLYHOHVGHULHVJRDFHSWDEOHV>YpDVHI @

/DPHWRGRORJtDVHOHFFLRQDGDSDUDODHYDOXDFLyQGHULHVJRVGHEHDVHJXUDUTXHODVHYDOXDFLRQHVGHULHVJRVJHQHUHQ
UHVXOWDGRVFRPSDUDEOHV\UHSURGXFLEOHV


127$ +D\GLIHUHQWHVPHWRGRORJtDVSDUDODHYDOXDFLyQGHULHVJRV(QOD1RUPD ,62,(&757HFQRORJtDGHODLQIRUPDFLyQ'LUHF


WULFHVSDUDODJHVWLyQGHODVHJXULGDGGH7,7pFQLFDVGHJHVWLyQGHODVHJXULGDGGH7,VHFRPHQWDQDOJXQRVHMHPSORVGHPHWRGRORJtDV
SDUDODHYDOXDFLyQGHULHVJRV


G  ,GHQWLILFDUORVULHVJRV

  ,GHQWLILFDUORVDFWLYRVTXHHVWiQGHQWURGHOiPELWRGHDSOLFDFLyQGHO6*6,\DORVSURSLHWDULRV GHHVWRVDFWLYRV
  ,GHQWLILFDUODVDPHQD]DVDTXHHVWiQH[SXHVWRVHVRVDFWLYRV
  ,GHQWLILFDUODVYXOQHUDELOLGDGHVEDMRODVTXHSRGUtDQDFWXDUGLFKDVDPHQD]DV
  ,GHQWLILFDUORVLPSDFWRVTXHVREUHORVDFWLYRVSXHGHWHQHUXQDSpUGLGDGHFRQILGHQFLDOLGDGLQWHJULGDG\GLVSRQL
ELOLGDGHQORVPLVPRV


H  $QDOL]DU\YDORUDUORVULHVJRV

  (YDOXDUORVHIHFWRVHQODDFWLYLGDGHPSUHVDULDOGHODRUJDQL]DFLyQTXHSXGLHUDQGHULYDUVHGHHYHQWXDOHVIDOORVGH
VHJXULGDGWHQLHQGRHQFXHQWDODVFRQVHFXHQFLDVGHXQDSpUGLGDGHFRQILGHQFLDOLGDGLQWHJULGDGRGLVSRQLELOLGDG
GHORVDFWLYRV
  (YDOXDUODSUREDELOLGDGGHXQDIRUPDUHDOLVWDGHTXHVHSURGX]FDQIDOORVGHVHJXULGDGDODOX]GHODVDPHQD]DV\
YXOQHUDELOLGDGHVH[LVWHQWHVORVLPSDFWRVDVRFLDGRVDORVDFWLYRV\ORVFRQWUROHVLPSOHPHQWDGRV
  (VWLPDUORVQLYHOHVGHULHVJR
  'HWHUPLQDUVLORVULHVJRVVRQDFHSWDEOHVRVLUHTXLHUHQXQWUDWDPLHQWRFRQIRUPHDORVFULWHULRVGHDFHSWDFLyQGH
ULHVJRVHVWDEOHFLGRVHQF  


I  ,GHQWLILFDU\HYDOXDUODVRSFLRQHVSDUDHOWUDWDPLHQWRGHULHVJRV

/DVSRVLEOHVDFFLRQHVDUHDOL]DUHQWUHRWUDVVRQODVVLJXLHQWHV
  DSOLFDUFRQWUROHVDGHFXDGRV

  DVXPLUORVULHVJRVGHPDQHUDFRQVFLHQWH\REMHWLYDFRQIRUPHDODVSROtWLFDVGHODRUJDQL]DFLyQ\DORVFULWHULRV
GHDFHSWDFLyQGHULHVJRV>YpDVHF  @
  HYLWDUORVULHVJRV\
  WUDQVIHULUORVULHVJRVDVRFLDGRVDODDFWLYLGDGHPSUHVDULDODRWUDVSDUWHVFRPRSRUHMHPSORFRPSDxtDVGHVHJXURV
RSURYHHGRUHV
 

  (OWpUPLQRSURSLHWDULRVHUHILHUHDXQLQGLYLGXRRXQDHQWLGDGDOTXHVHOHKDDVLJQDGRODUHVSRQVDELOLGDGDGPLQLVWUDWLYDSDUDHOFRQWUROGHOD
SURGXFFLyQ HO GHVDUUROOR HO PDQWHQLPLHQWR HO XVR \ OD VHJXULGDG GH ORV DFWLYRV (O WpUPLQR SURSLHWDULR QR VLJQLILFD TXH OD SHUVRQD WHQJD
UHDOPHQWHDOJ~QGHUHFKRGHSURSLHGDGVREUHHODFWLYR



,62,(&

J  6HOHFFLRQDUORVREMHWLYRVGHFRQWURO\ORVFRQWUROHVSDUDHOWUDWDPLHQWRGHORVULHVJRV

/RV REMHWLYRV GH FRQWURO \ ORV FRQWUROHV GHEHQ VHOHFFLRQDUVH H LPSOHPHQWDUVH SDUD FXPSOLU ORV UHTXLVLWRV LGHQWL
ILFDGRVHQODHYDOXDFLyQGHULHVJRV\HQHOSURFHVRGHWUDWDPLHQWRGHULHVJRV(VWDVHOHFFLyQGHEHWHQHUHQFXHQWDORV
FULWHULRVGHDFHSWDFLyQGHULHVJRV>YpDVHF  @DGHPiVGHORVUHTXLVLWRVOHJDOHVUHJODPHQWDULRV\FRQWUDFWXDOHV

/RVREMHWLYRVGHFRQWURO\ORVFRQWUROHVGHODQH[R$GHEHQVHOHFFLRQDUVHFRPRSDUWHGHHVWHSURFHVRHQODPHGLGDHQ
TXHVLUYDQSDUDVDWLVIDFHUORVUHTXLVLWRVLGHQWLILFDGRV

/RVREMHWLYRVGHFRQWURO\ORVFRQWUROHVHQXPHUDGRVHQHODQH[R$QRVRQH[KDXVWLYRVSRUORTXHSXHGHQVHOHFFLR
QDUVHRWURVREMHWLYRVGHFRQWURO\RWURVFRQWUROHVDGLFLRQDOHV

127$ (ODQH[R$FRQWLHQHXQDOLVWDFRPSOHWDGHREMHWLYRVGHFRQWURO\FRQWUROHVTXHVHKDQFRQVLGHUDGRFRP~QPHQWHUHOHYDQWHVHQODVRUJDQL
]DFLRQHV(ODQH[R$SURSRUFLRQDDORVXVXDULRVGHHVWDQRUPDLQWHUQDFLRQDOXQSXQWRGHSDUWLGDSDUDVHOHFFLRQDUORVFRQWUROHVJDUDQ
WL]DQGRTXHQRVHSDVDQSRUDOWRLPSRUWDQWHVRSFLRQHVGHFRQWURO


K  2EWHQHUODDSUREDFLyQSRUSDUWHGHOD'LUHFFLyQGHORVULHVJRVUHVLGXDOHVSURSXHVWRV

L  2EWHQHUODDXWRUL]DFLyQGHOD'LUHFFLyQSDUDLPSOHPHQWDU\RSHUDUHO6*6,

M  (ODERUDUXQDGHFODUDFLyQGHDSOLFDELOLGDG

8QDGHFODUDFLyQGHDSOLFDELOLGDGGHEHLQFOXLUORVLJXLHQWH

  ORVREMHWLYRVGHFRQWURO\ORVFRQWUROHVVHOHFFLRQDGRVHQJ \ODVMXVWLILFDFLRQHVGHVXVHOHFFLyQ
  ORVREMHWLYRVGHFRQWURO\ORVFRQWUROHVDFWXDOPHQWHLPSOHPHQWDGRV>YpDVHH  @\


  ODH[FOXVLyQGHFXDOTXLHUREMHWLYRGHFRQWURO\FRQWUROGHODQH[R$\ODMXVWLILFDFLyQGHHVWDH[FOXVLyQ
127$ /DGHFODUDFLyQGHDSOLFDELOLGDGSURSRUFLRQDXQUHVXPHQGHODVGHFLVLRQHVUHODWLYDVDOWUDWDPLHQWRGHORVULHVJRV/DMXVWLILFDFLyQGHODV
H[FOXVLRQHVIDFLOLWDXQDFRPSUREDFLyQFUX]DGDGHTXHQRVHKDRPLWLGRLQDGYHUWLGDPHQWHQLQJ~QFRQWURO


 ,PSOHPHQWDFLyQ\RSHUDFLyQGHO6*6,

/DRUJDQL]DFLyQGHEHKDFHUORTXHVHLQGLFDDFRQWLQXDFLyQ
D  )RUPXODUXQSODQGHWUDWDPLHQWRGHULHVJRVTXHLGHQWLILTXHODVDFFLRQHVGHOD'LUHFFLyQORVUHFXUVRVODVUHVSRQVD
ELOLGDGHV\ODVSULRULGDGHVDGHFXDGRVSDUDJHVWLRQDUORVULHVJRVGHODVHJXULGDGGHODLQIRUPDFLyQ YpDVH 
E  ,PSOHPHQWDUHOSODQGHWUDWDPLHQWRGHULHVJRVSDUDORJUDUORVREMHWLYRVGHFRQWUROLGHQWLILFDGRVTXHWHQJDHQFXHQWD
ODILQDQFLDFLyQ\ODDVLJQDFLyQGHIXQFLRQHV\UHVSRQVDELOLGDGHV
F  ,PSOHPHQWDUORVFRQWUROHVVHOHFFLRQDGRVHQJ SDUDFXPSOLUORVREMHWLYRVGHFRQWURO
G  'HILQLUHOPRGRGHPHGLUODHILFDFLDGHORVFRQWUROHVRGHORVJUXSRVGHFRQWUROHVVHOHFFLRQDGRV\HVSHFLILFDUFyPR
WLHQHQ TXH XVDUVH HVWDV PHGLFLRQHV SDUD HYDOXDU OD HILFDFLD GH ORV FRQWUROHV GH FDUD D SURGXFLU XQRV UHVXOWDGRV
FRPSDUDEOHV\UHSURGXFLEOHV>YpDVHF @
127$ /DPHGLFLyQGHODHILFDFLDGHORVFRQWUROHVSHUPLWHDORVGLUHFWLYRV\DOSHUVRQDOGHWHUPLQDUKDVWDTXpSXQWRORVFRQWUROHVFXPSOHQORV
REMHWLYRVGHFRQWUROSODQLILFDGRV

H  ,PSOHPHQWDUSURJUDPDVGHIRUPDFLyQ\GHFRQFLHQFLDFLyQ YpDVH 
I  *HVWLRQDUODRSHUDFLyQGHO6*6,
J  *HVWLRQDUORVUHFXUVRVGHO6*6, YpDVH 
K  ,PSOHPHQWDUSURFHGLPLHQWRV\RWURVFRQWUROHVTXHSHUPLWDQXQDGHWHFFLyQWHPSUDQDGHHYHQWRVGHVHJXULGDG\XQD
UHVSXHVWDDQWHFXDOTXLHULQFLGHQWHGHVHJXULGDG>YpDVHD @

,62,(&



 6XSHUYLVLyQ\UHYLVLyQGHO6*6,
/DRUJDQL]DFLyQGHEHKDFHUORTXHVHLQGLFDDFRQWLQXDFLyQ

D  (MHFXWDUSURFHGLPLHQWRVGHVXSHUYLVLyQ\UHYLVLyQDVtFRPRRWURVPHFDQLVPRVGHFRQWUROSDUD
  GHWHFWDUORDQWHVSRVLEOHORVHUURUHVHQORVUHVXOWDGRVGHOSURFHVDGR
  LGHQWLILFDUORDQWHVSRVLEOHODVGHELOLGDGHVGHOVLVWHPDGHVHJXULGDGDVtFRPRHODSURYHFKDPLHQWRGHpVWDVWDQWR
FRQRVLQp[LWR\ORVLQFLGHQWHV
  SHUPLWLUDOD'LUHFFLyQGHWHUPLQDUVLODVDFWLYLGDGHVGHVHJXULGDGGHOHJDGDVHQRWUDVSHUVRQDVROOHYDGDVDFDER
SRUPHGLRVLQIRUPiWLFRVRDWUDYpVGHWHFQRORJtDVGHODLQIRUPDFLyQGDQORVUHVXOWDGRVHVSHUDGRV
  D\XGDU D GHWHFWDU HYHQWRV GH VHJXULGDG \ SRU WDQWR D SUHYHQLU LQFLGHQWHV GH VHJXULGDG PHGLDQWH HO XVR GH
LQGLFDGRUHV\
  GHWHUPLQDUVLODVDFFLRQHVWRPDGDVSDUDUHVROYHUXQDYLRODFLyQGHODVHJXULGDGKDQVLGRHILFDFHV

E  5HDOL]DU UHYLVLRQHV SHULyGLFDV GH OD HILFDFLD GHO 6*6, WHQLHQGR HQ FXHQWD ORV UHVXOWDGRV GH ODV DXGLWRUtDV GH
VHJXULGDGORVLQFLGHQWHVORVUHVXOWDGRVGHODVPHGLFLRQHVGHODHILFDFLDODVVXJHUHQFLDVDVtFRPRORVFRPHQWDULRV
GHWRGDVODVSDUWHVLQWHUHVDGDV(VWDVUHYLVLRQHVLQFOX\HQHOFXPSOLPLHQWRGHODSROtWLFD\GHORVREMHWLYRVGHO6*6,
\ODUHYLVLyQGHORVFRQWUROHVGHVHJXULGDG

F  0HGLUODHILFDFLDGHORVFRQWUROHVSDUDYHULILFDUVLVHKDQFXPSOLGRORVUHTXLVLWRVGHVHJXULGDG

G  5HYLVDUODVHYDOXDFLRQHVGHULHVJRVHQLQWHUYDORVSODQLILFDGRV\UHYLVDUORVULHVJRVUHVLGXDOHV\ORVQLYHOHVGHULHVJR
DFHSWDEOHVTXHKDQVLGRLGHQWLILFDGRVWHQLHQGRHQFXHQWDORVFDPELRVHQ
  ODRUJDQL]DFLyQ
  ODWHFQRORJtD
  ORVREMHWLYRV\UHTXLVLWRVHPSUHVDULDOHV
  ODVDPHQD]DVLGHQWLILFDGDV
  ODHILFDFLDGHORVFRQWUROHVLPSOHPHQWDGRV\
  ORV IDFWRUHV H[WHUQRV FRPR SRU HMHPSOR ORV FDPELRV GHO HQWRUQR OHJDO R UHJODPHQWDULR GH ODV REOLJDFLRQHV
FRQWUDFWXDOHV\GHOFOLPDVRFLDO


H  5HDOL]DUODVDXGLWRUtDVLQWHUQDVGHO6*6,HQLQWHUYDORVSODQLILFDGRV YpDVH 


127$ /DVDXGLWRUtDVLQWHUQDVDYHFHVGHQRPLQDGDVDXGLWRUtDVSRUSULPHUDSDUWHODVOOHYDDFDERODSURSLDRUJDQL]DFLyQRELHQVHUHDOL]DQSRU
HQFDUJRGHpVWDFRQILQHVLQWHUQRV


I  5HDOL]DU SRU SDUWH GH OD 'LUHFFLyQ XQD UHYLVLyQ GHO 6*6, FRQ FDUiFWHU UHJXODU SDUD DVHJXUDU TXH HO iPELWR GH
DSOLFDFLyQVLJXHVLHQGRDGHFXDGR\TXHVHLGHQWLILFDQPHMRUDVGHOSURFHVRGHO6*6, YpDVH 

J  $FWXDOL]DUORVSODQHVGHVHJXULGDGWHQLHQGRHQFXHQWDODVFRQFOXVLRQHVGHODVDFWLYLGDGHVGHVXSHUYLVLyQ\UHYLVLyQ

K  5HJLVWUDUODVDFFLRQHVHLQFLGHQFLDVTXHSXGLHUDQDIHFWDUDODHILFDFLDRDOIXQFLRQDPLHQWRGHO6*6, YpDVH 

 0DQWHQLPLHQWR\PHMRUDGHO6*6,
5HJXODUPHQWHODRUJDQL]DFLyQGHEHKDFHUORTXHVHLQGLFDDFRQWLQXDFLyQ

D  ,PSOHPHQWDUHQHO6*6,ODVPHMRUDVLGHQWLILFDGDV

E  $SOLFDUODVPHGLGDVFRUUHFWLYDV\SUHYHQWLYDVDGHFXDGDVGHDFXHUGRFRQORVDSDUWDGRV\VREUHODEDVHGHOD
H[SHULHQFLDHQPDWHULDGHVHJXULGDGGHODSURSLDRUJDQL]DFLyQ\GHRWUDVRUJDQL]DFLRQHV



,62,(&

F  &RPXQLFDUODVDFFLRQHV\PHMRUDVDWRGDVODVSDUWHVLQWHUHVDGDVFRQXQQLYHOGHGHWDOOHDFRUGHFRQODVFLUFXQVWDQFLDV

G  $VHJXUDUTXHODVPHMRUDVDOFDQFHQORVREMHWLYRVSUHYLVWRV
 5HTXLVLWRVGHODGRFXPHQWDFLyQ

 *HQHUDOLGDGHV
/DGRFXPHQWDFLyQGHEHLQFOXLUODVGHFLVLRQHVGHOD'LUHFFLyQMXQWRFRQORVUHJLVWURV UHFRUGV GHODVPLVPDVGHELHQGR
TXHGDU FRQVWDQFLD GH TXH ODV DFFLRQHV GDQ UHVSXHVWD D ODV GHFLVLRQHV \ D ODV SROtWLFDV DGRSWDGDV \ JDUDQWL]DQGR TXH
GLFKRVGRFXPHQWRV\ORVFRUUHVSRQGLHQWHVUHJLVWURVHVWiQGLVSRQLEOHV

127$1$&,21$/ 6HJ~Q UHFRJH OD 1RUPD 81(,62  HO LQJOpV SRVHH WUHV WpUPLQRV GLVWLQWRV GRFXPHQWV UHFRUGV \ DUFKLYHV  SDUD
GHVLJQDUORTXHHQFDVWHOODQRFRPRHQHOUHVWRGHOHQJXDVODWLQDVFXHQWDFRQXQD~QLFDYR] GRFXPHQWRV $VtGRFXPHQWHV
HO HTXLYDOHQWH GH GRFXPHQWR HQ VX VLJQLILFDGR JHQpULFR FRPR PHUD LQIRUPDFLyQ UHJLVWUDGD 3RU HO FRQWUDULR ORV WpUPLQRV
UHFRUGV\DUFKLYHVGHVLJQDQGHPDQHUDHVSHFtILFDDDTXHOORVGRFXPHQWRVSURGXFLGRVFRPRSUXHED\UHIOHMRGHODVDFWLYLGDGHV
GHODRUJDQL]DFLyQTXHORVKDFUHDGRUHVHUYiQGRVHHOHPSOHRGHHVWH~OWLPRDORVGRFXPHQWRVGHFDUiFWHUKLVWyULFR

127$1$&,21$/ 8QUHJLVWURGLVSRQLEOHHVDTXpOTXHSXHGHVHUORFDOL]DGRUHFXSHUDGRSUHVHQWDGRHLQWHUSUHWDGR


(V LPSRUWDQWH SRGHU GHPRVWUDU OD UHODFLyQ GH ORV FRQWUROHV VHOHFFLRQDGRV FRQ ORV UHVXOWDGRV GH ORV SURFHVRV GH
HYDOXDFLyQ\GHWUDWDPLHQWRGHULHVJRV\SRUWDQWRFRQODSROtWLFD\REMHWLYRVGHO6*6,

/DGRFXPHQWDFLyQGHO6*6,GHEHLQFOXLU
D  GHFODUDFLRQHVGRFXPHQWDGDVGHODSROtWLFD>YpDVHE @\GHORVREMHWLYRVGHO6*6,
E  HODOFDQFHGHO6*6,>YpDVHD @
F  ORVSURFHGLPLHQWRV\PHFDQLVPRVGHFRQWUROTXHVRSRUWDQDO6*6,
G  XQDGHVFULSFLyQGHODPHWRGRORJtDGHHYDOXDFLyQGHULHVJRV>YpDVHF @
H  HOLQIRUPHGHHYDOXDFLyQGHULHVJRV>YpDVHF DJ @
I  HOSODQGHWUDWDPLHQWRGHULHVJRV>YpDVHE @
J  ORVSURFHGLPLHQWRVGRFXPHQWDGRVTXHQHFHVLWDODRUJDQL]DFLyQSDUDDVHJXUDUXQDFRUUHFWDSODQLILFDFLyQRSHUDFLyQ\
FRQWURO GH VXV SURFHVRV GH VHJXULGDG GH OD LQIRUPDFLyQ \ SDUD GHVFULELU FyPR PHGLU OD HILFDFLD GH ORV FRQWUROHV
>YpDVHF @
K  ORVUHJLVWURVUHTXHULGRVSRUHVWDQRUPDLQWHUQDFLRQDO YpDVH \
L  ODGHFODUDFLyQGHDSOLFDELOLGDG


127$ &XDQGR HQ HVWD QRUPD LQWHUQDFLRQDO DSDUHFH HO WpUPLQR SURFHGLPLHQWR GRFXPHQWDGR VLJQLILFD TXH HO SURFHGLPLHQWR VH FUHD VH
GRFXPHQWDVHLPSOHPHQWD\VHPDQWLHQH

127$ /DH[WHQVLyQGHODGRFXPHQWDFLyQGHO6*6,SXHGHGLIHULUGHXQDRUJDQL]DFLyQDRWUDGHELGRD
 HOWDPDxR\WLSRGHDFWLYLGDGHVGHODRUJDQL]DFLyQ\
 HODOFDQFH\ODFRPSOHMLGDGGHORVUHTXLVLWRVGHVHJXULGDG\GHOVLVWHPDTXHVHHVWiJHVWLRQDQGR

127$ /RVGRFXPHQWRV\UHJLVWURVSXHGHQHVWDUHQFXDOTXLHUIRUPDWRRWLSRGHPHGLR


 &RQWUROGHGRFXPHQWRV

/RV GRFXPHQWRV H[LJLGRV SRU HO 6*6, YpDVH   GHEHQ HVWDU SURWHJLGRV \ FRQWURODGRV 6H GHEH HVWDEOHFHU XQ
SURFHGLPLHQWRGRFXPHQWDGRSDUDGHILQLUODVDFFLRQHVGHJHVWLyQQHFHVDULDVSDUD

D  DSUREDUHQIRUPDORVGRFXPHQWRVSUHYLDPHQWHDVXGLVWULEXFLyQ

,62,(&

E 

F 

G 

H 

I 



UHYLVDUDFWXDOL]DU\YROYHUDDSUREDUORVGRFXPHQWRVVHJ~QYD\DVLHQGRQHFHVDULR
DVHJXUDUTXHHVWiQLGHQWLILFDGRVORVFDPELRVDVtFRPRHOHVWDGRGHOGRFXPHQWRTXHFRQWLHQHOD~OWLPDUHYLVLyQ
DVHJXUDUTXHODVYHUVLRQHVFRUUHVSRQGLHQWHVGHORVGRFXPHQWRVHVWiQGLVSRQLEOHV
DVHJXUDUTXHORVGRFXPHQWRVSHUPDQHFHQOHJLEOHV\IiFLOPHQWHLGHQWLILFDEOHV
DVHJXUDU TXH ORV GRFXPHQWRV HVWiQ GLVSRQLEOHV SDUD WRGR DTXHO TXH ORV QHFHVLWD \ VH WUDQVILHUHQ DOPDFHQDQ \ VH
GHVWUX\HQGHDFXHUGRFRQORVSURFHGLPLHQWRVDSOLFDEOHVDVXFODVLILFDFLyQ


J  DVHJXUDUTXHORVGRFXPHQWRVSURFHGHQWHVGHOH[WHULRUHVWiQLGHQWLILFDGRV

K  DVHJXUDUTXHODGLVWULEXFLyQGHORVGRFXPHQWRVHVWiFRQWURODGD

L  SUHYHQLUHOXVRQRLQWHQFLRQDGRGHGRFXPHQWRVREVROHWRV\

M  DSOLFDUXQDLGHQWLILFDFLyQDGHFXDGDDORVGRFXPHQWRVREVROHWRVTXHVRQUHWHQLGRVFRQDOJ~QSURSyVLWR

 &RQWUROGHUHJLVWURV

6HGHEHQFUHDU\PDQWHQHUUHJLVWURVSDUDSURSRUFLRQDUHYLGHQFLDVGHODFRQIRUPLGDGFRQORVUHTXLVLWRV\GHOIXQFLRQD
PLHQWRHILFD]GHO6*6,'LFKRVUHJLVWURVGHEHQHVWDSURWHJLGRV\FRQWURODGRV(O6*6,GHEHWHQHUHQFXHQWDFXDOTXLHU
UHTXLVLWROHJDORUHJXODWRULRDSOLFDEOHDVtFRPRODVREOLJDFLRQHVFRQWUDFWXDOHV/RVUHJLVWURVGHEHQSHUPDQHFHUOHJLEOHV
IiFLOPHQWH LGHQWLILFDEOHV \ UHFXSHUDEOHV /RV FRQWUROHV QHFHVDULRV SDUD OD LGHQWLILFDFLyQ DOPDFHQDPLHQWR SURWHFFLyQ
UHFXSHUDFLyQUHWHQFLyQ\GLVSRVLFLyQGHORVUHJLVWURVGHEHQHVWDUGRFXPHQWDGRVHLPSOHPHQWDGRV

'HEHQFRQVHUYDUVHORVUHJLVWURVGHOGHVDUUROORGHOSURFHVRVHJ~QVHLQGLFDHQ\GHWRGRVORVVXFHVRVGHULYDGRVGH
LQFLGHQWHVGHVHJXULGDGVLJQLILFDWLYRVUHODWLYRVDO6*6,

(-(03/2
(MHPSORVGHUHJLVWURVVRQHOOLEURGHYLVLWDVORVLQIRUPHVGHDXGLWRUtD\ORVIRUPXODULRVGHDXWRUL]DFLyQGHDFFHVRFXP
SOLPHQWDGRV


 5(63216$%,/,'$''(/$',5(&&,1

 &RPSURPLVRGHOD'LUHFFLyQ
/D 'LUHFFLyQ GHEH VXPLQLVWUDU HYLGHQFLDV GH VX FRPSURPLVR SDUD FUHDU LPSOHPHQWDU RSHUDU VXSHUYLVDU UHYLVDU
PDQWHQHU\PHMRUDUHO6*6,DWUDYpVGHODVVLJXLHQWHVDFFLRQHV
D  IRUPXODQGRODSROtWLFDGHO6*6,
E  YHODQGRSRUHOHVWDEOHFLPLHQWRGHORVREMHWLYRV\SODQHVGHO6*6,
F  HVWDEOHFLHQGRORVUROHV\UHVSRQVDELOLGDGHVHQPDWHULDGHVHJXULGDGGHODLQIRUPDFLyQ
G  FRPXQLFDQGRDODRUJDQL]DFLyQODLPSRUWDQFLDGHFXPSOLUORVREMHWLYRV\ODSROtWLFDGHVHJXULGDGGHODLQIRUPDFLyQ
VXVUHVSRQVDELOLGDGHVOHJDOHV\ODQHFHVLGDGGHODPHMRUDFRQWLQXD
H  SURSRUFLRQDQGR UHFXUVRV VXILFLHQWHV SDUD FUHDU LPSOHPHQWDU RSHUDU VXSHUYLVDU UHYLVDU PDQWHQHU \ PHMRUDU HO
6*6, YpDVH 
I  GHFLGLHQGRORVFULWHULRVGHDFHSWDFLyQGHULHVJRV\ORVQLYHOHVDFHSWDEOHVGHULHVJR
J  YHODQGRSRUTXHVHUHDOLFHQODVDXGLWRUtDVLQWHUQDVGHO6*6, YpDVH \
K  GLULJLHQGRODVUHYLVLRQHVGHO6*6, YpDVH 



,62,(&

 *HVWLyQGHORVUHFXUVRV

 3URYLVLyQGHORVUHFXUVRV
/DRUJDQL]DFLyQGHEHGHWHUPLQDU\SURSRUFLRQDUORVUHFXUVRVQHFHVDULRVSDUD
D  HVWDEOHFHULPSOHPHQWDURSHUDUVXSHUYLVDUUHYLVDUPDQWHQHU\PHMRUDUHO6*6,
E  DVHJXUDUTXHORVSURFHGLPLHQWRVGHVHJXULGDGGHODLQIRUPDFLyQUHVSRQGHQDORVUHTXLVLWRVHPSUHVDULDOHV
F  LGHQWLILFDU\FXPSOLUORVUHTXLVLWRVOHJDOHV\UHJODPHQWDULRVDVtFRPRODVREOLJDFLRQHVGHVHJXULGDGFRQWUDFWXDOHV
G  PDQWHQHUODVHJXULGDGDGHFXDGDPHGLDQWHODDSOLFDFLyQFRUUHFWDGHWRGRVORVFRQWUROHVLPSODQWDGRV
H  OOHYDUDFDERUHYLVLRQHVFXDQGRVHDQQHFHVDULDV\UHDFFLRQDUHQEDVHDORVUHVXOWDGRVGHHVWDVUHYLVLRQHV\
I  FXDQGRVHUHTXLHUDPHMRUDUODHILFDFLDGHO6*6,

 &RQFLHQFLDFLyQIRUPDFLyQ\FDSDFLWDFLyQ
/DRUJDQL]DFLyQGHEHDVHJXUDUVHGHTXHWRGRHOSHUVRQDODOTXHVHOHKD\DQDVLJQDGRUHVSRQVDELOLGDGHVGHILQLGDVHQHO
6*6,VHDFRPSHWHQWHSDUDOOHYDUDFDERODVWDUHDVUHTXHULGDVDWUDYpVGH
D  GHWHUPLQDUODVFRPSHWHQFLDVQHFHVDULDVSDUDHOSHUVRQDOTXHOOHYDDFDERWUDEDMRVTXHDIHFWHQDO6*6,
E  LPSDUWLU IRUPDFLyQ R UHDOL]DURWUDV DFFLRQHV SRU HMHPSOR OD FRQWUDWDFLyQ GH SHUVRQDO FRPSHWHQWH  SDUD VDWLVIDFHU
HVWDVQHFHVLGDGHV
F  HYDOXDUODHILFDFLDGHODVDFFLRQHVUHDOL]DGDV\
G  PDQWHQHUUHJLVWURVGHHGXFDFLyQIRUPDFLyQDSWLWXGHVH[SHULHQFLD\FXDOLILFDFLRQHV YpDVH 

/DRUJDQL]DFLyQGHEHDVHJXUDUVHWDPELpQGHTXHWRGRHOSHUVRQDODIHFWDGRVHDFRQVFLHQWHGHODWUDVFHQGHQFLD\GHOD
LPSRUWDQFLDGHODVDFWLYLGDGHVGHVHJXULGDGGHODLQIRUPDFLyQ\GHVXFRQWULEXFLyQDORVREMHWLYRVGHO6*6,


 $8',725$6,17(51$6'(/6*6,
/DRUJDQL]DFLyQGHEHUHDOL]DUDXGLWRUtDVLQWHUQDVGHO6*6,DLQWHUYDORVSODQLILFDGRVSDUDGHWHUPLQDUVLORVREMHWLYRVGH
FRQWUROORVFRQWUROHVORVSURFHVRV\ORVSURFHGLPLHQWRVGHHVWH6*6,
D  FXPSOHQORVUHTXLVLWRVGHHVWDQRUPDLQWHUQDFLRQDODVtFRPRODOHJLVODFLyQ\QRUPDWLYDDSOLFDEOHV
E  FXPSOHQORVUHTXLVLWRVGHVHJXULGDGGHODLQIRUPDFLyQLGHQWLILFDGRV
F  VHLPSODQWDQ\VHPDQWLHQHQGHIRUPDHIHFWLYD\
G  GDQHOUHVXOWDGRHVSHUDGR

6HGHEHSODQLILFDUXQSURJUDPDGHDXGLWRUtDVWHQLHQGRHQFXHQWDHOHVWDGRHLPSRUWDQFLDGHORVSURFHVRV\ODViUHDVD
DXGLWDUDVtFRPRORVUHVXOWDGRVGHODVDXGLWRUtDVSUHYLDV6HGHEHQGHILQLUORVFULWHULRVHODOFDQFHODIUHFXHQFLD\ORV
PpWRGRVGHDXGLWRUtD/DVHOHFFLyQGHDXGLWRUHV\ODGLUHFFLyQGHODVDXGLWRUtDVGHEHJDUDQWL]DUODREMHWLYLGDGHLPSDU
FLDOLGDGGHOSURFHVRGHDXGLWRUtD/RVDXGLWRUHVQRGHEHQDXGLWDUVXSURSLRWUDEDMR

/DVUHVSRQVDELOLGDGHV \ORVUHTXLVLWRVSDUDODSODQLILFDFLyQUHDOL]DFLyQGHODVDXGLWRUtDVODLQIRUPDFLyQGHORVUHVXO
WDGRV\HOPDQWHQLPLHQWRGHORVUHJLVWURV YpDVH GHEHQHVWDUGHILQLGRVHQXQSURFHGLPLHQWRGRFXPHQWDGR

(O UHVSRQVDEOH GHO iUHD DXGLWDGD GHEH YHODU SRU TXH VH UHDOLFHQ DFFLRQHV SDUD HOLPLQDU VLQ GHPRUDV LQGHELGDV ODV
GLVFRQIRUPLGDGHVGHWHFWDGDV\VXVFDXVDV/DVDFWLYLGDGHVGHVHJXLPLHQWRGHEHQLQFOXLUODYHULILFDFLyQGHODVDFFLRQHV
UHDOL]DGDV\ORVLQIRUPHVGHORVUHVXOWDGRVGHODYHULILFDFLyQ YpDVH 

127$ /D1RUPD,62'LUHFWULFHVSDUDODDXGLWRUtDGHORVVLVWHPDVGHJHVWLyQGHODFDOLGDG\RDPELHQWDOSURSRUFLRQDRULHQWDFLRQHV
~WLOHVSDUDUHDOL]DUODVDXGLWRUtDVLQWHUQDVGHO6*6,

,62,(&



 5(9,6,1'(/6*6,325/$',5(&&,1

 *HQHUDOLGDGHV
/D'LUHFFLyQGHEHUHYLVDUHO6*6,GHODRUJDQL]DFLyQDLQWHUYDORVSODQLILFDGRV DOPHQRVXQDYH]DODxR SDUDDVHJXUDU
TXHVHPDQWLHQHVXFRQYHQLHQFLDDGHFXDFLyQ\HILFDFLD(VWDUHYLVLyQGHEHFRQWHPSODUODVRSRUWXQLGDGHVGHPHMRUD\OD
QHFHVLGDGGHFDPELRVHQHO6*6,LQFOX\HQGRODSROtWLFD\ORVREMHWLYRVGHVHJXULGDGGHODLQIRUPDFLyQ/RVUHVXOWDGRV
GHODVUHYLVLRQHVGHEHQHVWDUFODUDPHQWHGRFXPHQWDGRV\VHGHEHQPDQWHQHUORVUHJLVWURV YpDVH 
 'DWRVLQLFLDOHVGHODUHYLVLyQ
/RVGDWRVXWLOL]DGRVSRUOD'LUHFFLyQSDUDODUHYLVLyQGHEHQLQFOXLU
D  ORVUHVXOWDGRVGHODVDXGLWRUtDV\UHYLVLRQHVGHO6*6,
E  ORVFRPHQWDULRVGHODVSDUWHVLQWHUHVDGDV
F  ODV WpFQLFDV SURGXFWRV R SURFHGLPLHQWRV TXH SRGUtDQ XWLOL]DUVH GHQWUR GH OD RUJDQL]DFLyQ SDUD PHMRUDU HO
FRPSRUWDPLHQWR\ODHILFDFLDGHO6*6,
G  HOHVWDGRGHODVDFFLRQHVSUHYHQWLYDVRFRUUHFWLYDV
H  ODVYXOQHUDELOLGDGHVRDPHQD]DVQRDERUGDGDVDGHFXDGDPHQWHHQODHYDOXDFLyQGHULHVJRVSUHYLD
I  ORVUHVXOWDGRVGHODVPHGLFLRQHVGHODHILFDFLD
J  ODVDFFLRQHVGHVHJXLPLHQWRGHODVUHYLVLRQHVDQWHULRUHV
K  FXDOTXLHUFDPELRTXHSXGLHUDDIHFWDUDO6*6,\
L  ODVUHFRPHQGDFLRQHVGHPHMRUD
 5HVXOWDGRVGHODUHYLVLyQ
/RVUHVXOWDGRVGHODUHYLVLyQUHDOL]DGDSRUOD'LUHFFLyQGHEHQLQFOXLUFXDOTXLHUGHFLVLyQ\DFFLyQUHODWLYDVD

D  ODPHMRUDGHODHILFDFLDGHO6*6,

E  ODDFWXDOL]DFLyQGHODHYDOXDFLyQGHULHVJRV\GHOSODQGHWUDWDPLHQWRGHULHVJRV

F  OD PRGLILFDFLyQ GH ORV SURFHGLPLHQWRV \ FRQWUROHV TXH DIHFWDQ D OD VHJXULGDG GH OD LQIRUPDFLyQ FXDQGR VHD
QHFHVDULRSDUDUHVSRQGHUDORVHYHQWRVLQWHUQRVRH[WHUQRVTXHSXHGHQDIHFWDUDO6*6,LQFOX\HQGRORVFDPELRVHQ
  ORVUHTXLVLWRVGHOQHJRFLR
  ORVUHTXLVLWRVGHVHJXULGDG
  ORVSURFHVRVGHQHJRFLRTXHDIHFWDQDORVUHTXLVLWRVGHQHJRFLRH[LVWHQWHV
  ORVUHTXLVLWRVOHJDOHVRUHJODPHQWDULRV
  ODVREOLJDFLRQHVFRQWUDFWXDOHV\
  ORVQLYHOHVGHULHVJR\RORVFULWHULRVGHDFHSWDFLyQGHORVULHVJRV

G  ODVQHFHVLGDGHVGHUHFXUVRV

H  ODPHMRUDHQHOPRGRGHPHGLUODHILFDFLDGHORVFRQWUROHV



,62,(&

 0(-25$'(/6*6,

 0HMRUDFRQWLQXD
/DRUJDQL]DFLyQGHEHPHMRUDUGHPDQHUDFRQWLQXDODHILFDFLDGHO6*6,PHGLDQWHHOXVRGHODSROtWLFD\GHORVREMHWLYRV
GHVHJXULGDGGHODLQIRUPDFLyQGHORVUHVXOWDGRVGHODVDXGLWRUtDVGHODQiOLVLVGHODPRQLWRUL]DFLyQGHHYHQWRVGHODV
DFFLRQHVFRUUHFWLYDV\SUHYHQWLYDV\GHODVUHYLVLRQHVGHOD'LUHFFLyQ YpDVH 
 $FFLyQFRUUHFWLYD
/DRUJDQL]DFLyQGHEHUHDOL]DUDFFLRQHVSDUDHOLPLQDUODFDXVDGHODVQRFRQIRUPLGDGHVFRQORVUHTXLVLWRVGHO6*6,DILQ
GHHYLWDUTXHYXHOYDQDSURGXFLUVH(OSURFHGLPLHQWRGRFXPHQWDGRSDUDODVDFFLRQHVFRUUHFWLYDVGHEHGHILQLUORVUHTXL
VLWRVSDUD

D  LGHQWLILFDUODVQRFRQIRUPLGDGHV

E  GHWHUPLQDUODVFDXVDVGHODVQRFRQIRUPLGDGHV

F  HYDOXDUODQHFHVLGDGGHDGRSWDUDFFLRQHVSDUDDVHJXUDUVHGHTXHODVQRFRQIRUPLGDGHVQRYXHOYDQDSURGXFLUVH

G  GHWHUPLQDUHLPSODQWDUODVDFFLRQHVFRUUHFWLYDVQHFHVDULDV

H  UHJLVWUDUORVUHVXOWDGRVGHODVDFFLRQHVUHDOL]DGDV YpDVH \

I  UHYLVDUODVDFFLRQHVFRUUHFWLYDVUHDOL]DGDV
 $FFLyQSUHYHQWLYD
/DRUJDQL]DFLyQGHEHGHWHUPLQDUODVDFFLRQHVQHFHVDULDVSDUDHOLPLQDUODFDXVDGHODVSRVLEOHVQRFRQIRUPLGDGHVFRQ
ORV UHTXLVLWRV GHO 6*6, SDUD HYLWDU TXH pVWDV YXHOYDQ D SURGXFLUVH /DV DFFLRQHV SUHYHQWLYDV DGRSWDGDV GHEHQ VHU
DSURSLDGDV HQ UHODFLyQ D ORV HIHFWRV GH ORV SUREOHPDV SRWHQFLDOHV (O SURFHGLPLHQWR GRFXPHQWDGR SDUD ODV DFFLRQHV
SUHYHQWLYDVGHEHGHILQLUORVUHTXLVLWRVSDUD

D  LGHQWLILFDUODVSRVLEOHVQRFRQIRUPLGDGHV\VXVFDXVDV

E  HYDOXDUODQHFHVLGDGGHDGRSWDUDFFLRQHVSDUDSUHYHQLUODRFXUUHQFLDGHQRFRQIRUPLGDGHV

F  GHWHUPLQDUHLPSOHPHQWDUODVDFFLRQHVSUHYHQWLYDVQHFHVDULDV

G  UHJLVWUDUORVUHVXOWDGRVGHODVDFFLRQHVDGRSWDGDV YpDVH \

H  UHYLVDUODVDFFLRQHVSUHYHQWLYDVDGRSWDGDV

/DRUJDQL]DFLyQGHEHLGHQWLILFDUORVFDPELRVHQORVULHVJRVDVtFRPRORVUHTXLVLWRVGHODVDFFLRQHVSUHYHQWLYDVFHQ
WUDQGRODDWHQFLyQHQORVULHVJRVTXHKD\DQVXIULGRFDPELRVVLJQLILFDWLYRV

/DSULRULGDGGHODVDFFLRQHVSUHYHQWLYDVGHEHGHWHUPLQDUVHEDViQGRVHHQORVUHVXOWDGRVGHODHYDOXDFLyQGHULHVJRV

127$ $FWXDUSDUDSUHYHQLUODVQRFRQIRUPLGDGHVVXHOHVHUPiVUHQWDEOHTXHUHDOL]DUDFFLRQHVFRUUHFWLYDV

,62,(&



$1(;2$ 1RUPDWLYR 

2%-(7,926'(&21752/<&21752/(6




/RVREMHWLYRVGHFRQWURO\ORVFRQWUROHVLQGLFDGRVHQODWDEOD$WLHQHQFRUUHVSRQGHQFLDGLUHFWDFRQORVHVWDEOHFLGRVHQ
OD1RUPD,62,(&FDStWXORVD/DVOLVWDVGHODWDEOD$QRVRQH[KDXVWLYDV\XQDRUJDQL]DFLyQSXHGH
FRQVLGHUDUTXHVRQQHFHVDULRVREMHWLYRVGHFRQWURO\FRQWUROHVDGLFLRQDOHV/RVREMHWLYRVGHFRQWURO\ORVFRQWUROHVTXH
ILJXUDQHQHVWDVWDEODVGHEHQVHUVHOHFFLRQDGRVFRPRSDUWHGHOSURFHVRGHO6*6,HVSHFLILFDGRHQHODSDUWDGR

/RVFDStWXORVDGHOD1RUPD,62,(&RIUHFHQDVHVRUDPLHQWRSDUDODLPSODQWDFLyQMXQWRFRQXQDJXtD
GHEXHQDVSUiFWLFDVGHDSR\RDORVFRQWUROHVHVSHFLILFDGRVHQORVSXQWRV$KDVWD$


7DEOD$2EMHWLYRVGHFRQWURO\FRQWUROHV

$3ROtWLFDGHVHJXULGDG
$3ROtWLFDGHVHJXULGDGGHODLQIRUPDFLyQ
2EMHWLYR3URSRUFLRQDULQGLFDFLRQHVSDUDODJHVWLyQ\VRSRUWHGHODVHJXULGDGGHODLQIRUPDFLyQGHDFXHUGRFRQORV
UHTXLVLWRVHPSUHVDULDOHV\FRQODOHJLVODFLyQ\ODVQRUPDWLYDVDSOLFDEOHV
$

'RFXPHQWRGHSROtWLFDGHVHJXULGDGGHOD
LQIRUPDFLyQ

&RQWURO/D'LUHFFLyQGHEHDSUREDUXQGRFXPHQWRGHSR
OtWLFDGHVHJXULGDGGHODLQIRUPDFLyQSXEOLFDUOR\GLVWUL
EXLUORDWRGRVORVHPSOHDGRV\WHUFHURVDIHFWDGRV

$

5HYLVLyQGHODSROtWLFDGHVHJXULGDGHOD
LQIRUPDFLyQ

&RQWURO/DSROtWLFDGHVHJXULGDGGHODLQIRUPDFLyQGHEH
UHYLVDUVHDLQWHUYDORVSODQLILFDGRVRVLHPSUHTXHVHSUR
GX]FDQFDPELRVVLJQLILFDWLYRVDILQGHDVHJXUDUTXHVH
PDQWHQJDVXLGRQHLGDGDGHFXDFLyQ\HILFDFLD

$$VSHFWRVRUJDQL]DWLYRVGHODVHJXULGDGGHODLQIRUPDFLyQ
$2UJDQL]DFLyQLQWHUQD
2EMHWLYR*HVWLRQDUODVHJXULGDGGHODLQIRUPDFLyQGHQWURGHODRUJDQL]DFLyQ

$

&RPLWpGHJHVWLyQGHVHJXULGDGGHOD
LQIRUPDFLyQ

&RQWURO/D'LUHFFLyQGHEHSUHVWDUXQDSR\RDFWLYRDOD
VHJXULGDGGHQWURGHODRUJDQL]DFLyQDWUDYpVGHGLUHFWULFHV
FODUDVXQFRPSURPLVRGHPRVWUDGRDVLJQDFLRQHVH[SOtFLWDV
\HOUHFRQRFLPLHQWRGHODVUHVSRQVDELOLGDGHVGHVHJXULGDG
GHODLQIRUPDFLyQ

$

&RRUGLQDFLyQGHODVHJXULGDGGHOD
LQIRUPDFLyQ

&RQWURO/DVDFWLYLGDGHVUHODWLYDVDODVHJXULGDGGHODLQ
IRUPDFLyQGHEHQVHUFRRUGLQDGDVHQWUHORVUHSUHVHQWDQWHV
GHODVGLIHUHQWHVSDUWHVGHODRUJDQL]DFLyQFRQVXVFRUUHV
SRQGLHQWHVUROHV\IXQFLRQHVGHWUDEDMR

$

$VLJQDFLyQGHUHVSRQVDELOLGDGHVUHODWLYDVD &RQWURO'HEHQGHILQLUVHFODUDPHQWHWRGDVODVUHVSRQVDEL
ODVHJXULGDGGHODLQIRUPDFLyQ
OLGDGHVUHODWLYDVDODVHJXULGDGGHODLQIRUPDFLyQ

$

&RQWURO3DUDFDGDQXHYRUHFXUVRGHSURFHVDGRGHODLQ
3URFHVRGHDXWRUL]DFLyQGHUHFXUVRVSDUDHO
IRUPDFLyQGHEHGHILQLUVHHLPSODQWDUVHXQSURFHVRGH
SURFHVDGRGHODLQIRUPDFLyQ
DXWRUL]DFLyQSRUSDUWHGHOD'LUHFFLyQ

$

$FXHUGRVGHFRQILGHQFLDOLGDG

&RQWURO'HEHGHWHUPLQDUVH\UHYLVDUVHSHULyGLFDPHQWHOD
QHFHVLGDGGHHVWDEOHFHUDFXHUGRVGHFRQILGHQFLDOLGDGRQR
UHYHODFLyQTXHUHIOHMHQODVQHFHVLGDGHVGHODRUJDQL]DFLyQ
SDUDODSURWHFFLyQGHODLQIRUPDFLyQ

$

$

$



,62,(&

&RQWDFWRFRQODVDXWRULGDGHV

&RQWURO'HEHQPDQWHQHUVHORVFRQWDFWRVDGHFXDGRVFRQ
ODVDXWRULGDGHVFRPSHWHQWHV

&RQWDFWRFRQJUXSRVGHHVSHFLDOLQWHUpV

&RQWURO'HEHQPDQWHQHUVHORVFRQWDFWRVDSURSLDGRVFRQ
JUXSRVGHLQWHUpVHVSHFLDOXRWURVIRURV\DVRFLDFLRQHV
SURIHVLRQDOHVHVSHFLDOL]DGRVHQVHJXULGDG

5HYLVLyQLQGHSHQGLHQWHGHODVHJXULGDGGH
ODLQIRUPDFLyQ

&RQWURO(OHQIRTXHGHODRUJDQL]DFLyQSDUDODJHVWLyQGHOD
VHJXULGDGGHODLQIRUPDFLyQ\VXLPSODQWDFLyQ HVGHFLU
ORVREMHWLYRVGHFRQWUROORVFRQWUROHVODVSROtWLFDVORV
SURFHVRV\ORVSURFHGLPLHQWRVSDUDODVHJXULGDGGHOD
LQIRUPDFLyQ GHEHVRPHWHUVHDXQDUHYLVLyQLQGHSHQGLHQWH
DLQWHUYDORVSODQLILFDGRVRVLHPSUHTXHVHSURGX]FDQ
FDPELRVVLJQLILFDWLYRVHQODLPSODQWDFLyQGHODVHJXULGDG

$7HUFHURV
2EMHWLYR0DQWHQHUODVHJXULGDGGHODLQIRUPDFLyQGHODRUJDQL]DFLyQ\GHORVGLVSRVLWLYRVGHSURFHVDGRGHOD
LQIRUPDFLyQTXHVRQREMHWRGHDFFHVRWUDWDPLHQWRFRPXQLFDFLyQRJHVWLyQSRUWHUFHURV

$

,GHQWLILFDFLyQGHORVULHVJRVGHULYDGRVGHO
DFFHVRGHWHUFHURV

&RQWURO'HEHQLGHQWLILFDUVHORVULHVJRVSDUDODLQIRUPD
FLyQ\SDUDORVGLVSRVLWLYRVGHSURFHVDGRGHODLQIRUPDFLyQ
GHODRUJDQL]DFLyQGHULYDGRVGHORVSURFHVRVGHQHJRFLR
TXHUHTXLHUDQGHWHUFHURVHLPSODQWDUORVFRQWUROHV
DSURSLDGRVDQWHVGHRWRUJDUHODFFHVR

$

7UDWDPLHQWRGHODVHJXULGDGHQODUHODFLyQ
FRQORVFOLHQWHV

&RQWURO$QWHVGHRWRUJDUDFFHVRDORVFOLHQWHVDORVDFWLYRV
RDODLQIRUPDFLyQGHODRUJDQL]DFLyQGHEHQWUDWDUVHWRGRV
ORVUHTXLVLWRVGHVHJXULGDGLGHQWLILFDGRV

7UDWDPLHQWRGHODVHJXULGDGHQFRQWUDWRV
FRQWHUFHURV

&RQWURO/RVDFXHUGRVFRQWHUFHURVTXHFRQOOHYHQDFFHVR
WUDWDPLHQWRFRPXQLFDFLyQRJHVWLyQELHQGHOD
LQIRUPDFLyQGHODRUJDQL]DFLyQRGHORVUHFXUVRVGH
WUDWDPLHQWRGHODLQIRUPDFLyQRELHQODLQFRUSRUDFLyQGH
SURGXFWRVRVHUYLFLRVDORVUHFXUVRVGHWUDWDPLHQWRGHOD
LQIRUPDFLyQGHEHQFXEULUWRGRVORVUHTXLVLWRVGHVHJXULGDG
SHUWLQHQWHV

$

$*HVWLyQGHDFWLYRV
$5HVSRQVDELOLGDGVREUHORVDFWLYRV
2EMHWLYR&RQVHJXLU\PDQWHQHUXQDSURWHFFLyQDGHFXDGDGHORVDFWLYRVGHODRUJDQL]DFLyQ
$

,QYHQWDULRGHDFWLYRV

&RQWURO7RGRVORVDFWLYRVGHEHQHVWDUFODUDPHQWHLGHQWLIL
FDGRV\GHEHHODERUDUVH\PDQWHQHUVHXQLQYHQWDULRGH
WRGRVORVDFWLYRVLPSRUWDQWHV

$

3URSLHGDGGHORVDFWLYRV

&RQWURO7RGDODLQIRUPDFLyQ\DFWLYRVDVRFLDGRVFRQORV
UHFXUVRVSDUDHOWUDWDPLHQWRGHODLQIRUPDFLyQGHEHQWHQHU
XQSURSLHWDULR TXHIRUPHSDUWHGHODRUJDQL]DFLyQ\KD\D
VLGRGHVLJQDGRFRPRSURSLHWDULR

8VRDFHSWDEOHGHORVDFWLYRV

&RQWURO6HGHEHQLGHQWLILFDUGRFXPHQWDUHLPSODQWDUODV
UHJODVSDUDHOXVRDFHSWDEOHGHODLQIRUPDFLyQ\ORVDFWLYRV
DVRFLDGRVFRQORVUHFXUVRVSDUDHOSURFHVDGRGHOD
LQIRUPDFLyQ

$

 

  ([SOLFDFLyQ(OWpUPLQRSURSLHWDULRVHUHILHUHDODSHUVRQDRHQWLGDGDODTXHVHOHKDDVLJQDGRODUHVSRQVDELOLGDGDGPLQLVWUDWLYDGHOFRQWUROGH
ODSURGXFFLyQGHVDUUROORPDQWHQLPLHQWRXVR\VHJXULGDGGHORVDFWLYRV(OWpUPLQRSURSLHWDULRQRVLJQLILFDTXHODSHUVRQDWHQJDUHDOPHQWH
DOJ~QGHUHFKRGHSURSLHGDGVREUHHODFWLYR

,62,(&



$&ODVLILFDFLyQGHODLQIRUPDFLyQ
2EMHWLYR$VHJXUDUTXHODLQIRUPDFLyQUHFLEHXQQLYHODGHFXDGRGHSURWHFFLyQ
&RQWURO/DLQIRUPDFLyQGHEHVHUFODVLILFDGDVHJ~QVX
YDORUORVUHTXLVLWRVOHJDOHVODVHQVLELOLGDG\ODFULWLFLGDG
SDUDODRUJDQL]DFLyQ

$

'LUHFWULFHVGHFODVLILFDFLyQ

$

&RQWURO6HGHEHGHVDUUROODUHLPSODQWDUXQFRQMXQWR
DGHFXDGRGHSURFHGLPLHQWRVSDUDHWLTXHWDU\PDQHMDUOD
(WLTXHWDGR\PDQLSXODGRGHODLQIRUPDFLyQ
LQIRUPDFLyQGHDFXHUGRFRQHOHVTXHPDGHFODVLILFDFLyQ
DGRSWDGRSRUODRUJDQL]DFLyQ

$6HJXULGDGOLJDGDDORVUHFXUVRVKXPDQRV
$$QWHVGHOHPSOHR 
2EMHWLYR$VHJXUDUTXHORVHPSOHDGRVORVFRQWUDWLVWDV\ORVWHUFHURVHQWLHQGHQVXVUHVSRQVDELOLGDGHV\VRQDGHFXDGRV
SDUDOOHYDUDFDERODVIXQFLRQHVTXHOHVFRUUHVSRQGHQDVtFRPRSDUDUHGXFLUHOULHVJRGHURERIUDXGHRGHXVR
LQGHELGRGHORVUHFXUVRV
$

$

$

)XQFLRQHV\UHVSRQVDELOLGDGHV

&RQWURO/DVIXQFLRQHV\UHVSRQVDELOLGDGHVGHVHJXULGDGGH
ORVHPSOHDGRVFRQWUDWLVWDV\WHUFHURVVHGHEHQGHILQLU\
GRFXPHQWDUGHDFXHUGRFRQODSROtWLFDGHVHJXULGDGGHOD
LQIRUPDFLyQGHODRUJDQL]DFLyQ

,QYHVWLJDFLyQGHDQWHFHGHQWHV

&RQWURO/DFRPSUREDFLyQGHORVDQWHFHGHQWHVGHWRGRVORV
FDQGLGDWRVDOSXHVWRGHWUDEDMRGHORVFRQWUDWLVWDVRGHORV
WHUFHURVVHGHEHOOHYDUDFDERGHDFXHUGRFRQODVOHJLVOD
FLRQHVQRUPDWLYDV\FyGLJRVpWLFRVTXHVHDQGHDSOLFDFLyQ
\GHXQDPDQHUDSURSRUFLRQDGDDORVUHTXLVLWRVGHO
QHJRFLRODFODVLILFDFLyQGHODLQIRUPDFLyQDODTXHVH
DFFHGH\ORVULHVJRVFRQVLGHUDGRV

7pUPLQRV\FRQGLFLRQHVGHFRQWUDWDFLyQ

&RQWURO&RPRSDUWHGHVXVREOLJDFLRQHVFRQWUDFWXDOHVORV
HPSOHDGRVORVFRQWUDWLVWDV\ORVWHUFHURVGHEHQDFHSWDU\
ILUPDUORVWpUPLQRV\FRQGLFLRQHVGHVXFRQWUDWRGHWUDEDMR
TXHGHEHHVWDEOHFHUVXVUHVSRQVDELOLGDGHV\ODVGHODRU
JDQL]DFLyQHQORUHODWLYRDVHJXULGDGGHODLQIRUPDFLyQ

$'XUDQWHHOHPSOHR
2EMHWLYR$VHJXUDUTXHWRGRVORVHPSOHDGRVFRQWUDWLVWDV\WHUFHURVVRQFRQVFLHQWHVGHODVDPHQD]DV\SUREOHPDVTXH
DIHFWDQDODVHJXULGDGGHODLQIRUPDFLyQ\GHVXVUHVSRQVDELOLGDGHV\REOLJDFLRQHV\GHTXHHVWiQSUHSDUDGRVSDUD
FXPSOLUODSROtWLFDGHVHJXULGDGGHODRUJDQL]DFLyQHQHOGHVDUUROORKDELWXDOGHVXWUDEDMR\SDUDUHGXFLUHOULHVJRGH
HUURUKXPDQR
$

$

5HVSRQVDELOLGDGHVGHOD'LUHFFLyQ

&RQWURO/D'LUHFFLyQGHEHH[LJLUDORVHPSOHDGRVFRQ
WUDWLVWDV\WHUFHURVTXHDSOLTXHQODVHJXULGDGGHDFXHUGR
FRQODVSROtWLFDV\SURFHGLPLHQWRVHVWDEOHFLGRVHQOD
RUJDQL]DFLyQ

&RQFLHQFLDFLyQIRUPDFLyQ\FDSDFLWDFLyQ
HQVHJXULGDGGHODLQIRUPDFLyQ

&RQWURO7RGRVORVHPSOHDGRVGHODRUJDQL]DFLyQ\FXDQGR
FRUUHVSRQGDORVFRQWUDWLVWDV\WHUFHURVGHEHQUHFLELUXQD
DGHFXDGDFRQFLHQFLDFLyQ\IRUPDFLyQFRQDFWXDOL]DFLRQHV
SHULyGLFDVVREUHODVSROtWLFDV\SURFHGLPLHQWRVGHODRUJD
QL]DFLyQVHJ~QFRUUHVSRQGDFRQVXSXHVWRGHWUDEDMR

 

  ([SOLFDFLyQ/DSDODEUDHPSOHRXWLOL]DGDHQHVWHGRFXPHQWRKDFHUHIHUHQFLDDGLVWLQWDVVLWXDFLRQHVFRQWUDWDFLyQGHSHUVRQDO WHPSRUDORGHODU
JDGXUDFLyQ QRPEUDPLHQWRGHFDUJRVFDPELRGHFDUJRVDVLJQDFLyQGHFRQWUDWLVWDV\WHUPLQDFLyQGHFXDOTXLHUDGHHVWRVDFXHUGRVRFRPSUR
PLVRV

$



3URFHVRGLVFLSOLQDULR

,62,(&

&RQWURO'HEHH[LVWLUXQSURFHVRGLVFLSOLQDULRIRUPDOSDUD
ORVHPSOHDGRVTXHKD\DQSURYRFDGRDOJXQDYLRODFLyQGHOD
VHJXULGDG

$&HVHGHOHPSOHRRFDPELRGHSXHVWRGHWUDEDMR
2EMHWLYR$VHJXUDUTXHORVHPSOHDGRVFRQWUDWLVWDV\WHUFHURVDEDQGRQDQODRUJDQL]DFLyQRFDPELDQGHSXHVWRGH
WUDEDMRGHXQDPDQHUDRUGHQDGD
$

5HVSRQVDELOLGDGGHOFHVHRFDPELR

&RQWURO/DVUHVSRQVDELOLGDGHVSDUDSURFHGHUDOFHVHHQHO
HPSOHRRDOFDPELRGHSXHVWRGHWUDEDMRGHEHQHVWDU
FODUDPHQWHGHILQLGDV\DVLJQDGDV

$

'HYROXFLyQGHDFWLYRV

&RQWURO7RGRVORVHPSOHDGRVFRQWUDWLVWDV\WHUFHURVGH
EHQGHYROYHUWRGRVDFWLYRVGHODRUJDQL]DFLyQTXHHVWpQHQ
VXSRGHUDOILQDOL]DUVXHPSOHRFRQWUDWRRDFXHUGR

5HWLUDGDGHORVGHUHFKRVGHDFFHVR

&RQWURO/RVGHUHFKRVGHDFFHVRDODLQIRUPDFLyQ\DORV
UHFXUVRVGHWUDWDPLHQWRGHODLQIRUPDFLyQGHWRGRVORV
HPSOHDGRVFRQWUDWLVWDV\WHUFHURVGHEHQVHUUHWLUDGRVDOD
ILQDOL]DFLyQGHOHPSOHRGHOFRQWUDWRRGHODFXHUGRRELHQ
GHEHQVHUDGDSWDGRVDORVFDPELRVSURGXFLGRV

$

$6HJXULGDGItVLFD\DPELHQWDO
$UHDVVHJXUDV
2EMHWLYR3UHYHQLUORVDFFHVRVItVLFRVQRDXWRUL]DGRVORVGDxRV\ODVLQWURPLVLRQHVHQODVLQVWDODFLRQHV\HQOD
LQIRUPDFLyQGHODRUJDQL]DFLyQ

$

3HUtPHWURGHVHJXULGDGItVLFD

&RQWURO6HGHEHQXWLOL]DUSHUtPHWURVGHVHJXULGDG
EDUUHUDVPXURVSXHUWDVGHHQWUDGDFRQFRQWURODWUDYpVGH
WDUMHWDRSXHVWRVGHFRQWURO SDUDSURWHJHUODViUHDVTXH
FRQWLHQHQODLQIRUPDFLyQ\ORVUHFXUVRVGHWUDWDPLHQWRGH
ODLQIRUPDFLyQ

$

&RQWUROHVItVLFRVGHHQWUDGD

&RQWURO/DViUHDVVHJXUDVGHEHQHVWDUSURWHJLGDVSRU
FRQWUROHVGHHQWUDGDDGHFXDGRVSDUDDVHJXUDUTXH
~QLFDPHQWHVHSHUPLWHHODFFHVRDOSHUVRQDODXWRUL]DGR

$

6HJXULGDGGHRILFLQDVGHVSDFKRVH
LQVWDODFLRQHV

&RQWURO6HGHEHQGLVHxDU\DSOLFDUODVPHGLGDVGHVH
JXULGDGItVLFDSDUDODVRILFLQDVGHVSDFKRVHLQVWDODFLRQHV

$

3URWHFFLyQFRQWUDODVDPHQD]DVH[WHUQDV\
GHRULJHQDPELHQWDO

&RQWURO6HGHEHGLVHxDU\DSOLFDUXQDSURWHFFLyQItVLFD
FRQWUDHOGDxRFDXVDGRSRUIXHJRLQXQGDFLyQWHUUHPRWR
H[SORVLyQUHYXHOWDVVRFLDOHV\RWUDVIRUPDVGHGHVDVWUHV
QDWXUDOHVRSURYRFDGRVSRUHOKRPEUH

$

7UDEDMRHQiUHDVVHJXUDV

&RQWURO6HGHEHQGLVHxDUHLPSODQWDUXQDSURWHFFLyQItVLFD
\XQDVHULHGHGLUHFWULFHVSDUDWUDEDMDUHQODViUHDVVHJXUDV

UHDVGHDFFHVRS~EOLFR\GHFDUJD\
GHVFDUJD

&RQWURO'HEHQFRQWURODUVHORVSXQWRVGHDFFHVRWDOHV
FRPRODViUHDVGHFDUJD\GHVFDUJD\RWURVSXQWRVDWUDYpV
GHORVTXHSHUVRQDOQRDXWRUL]DGRSXHGHDFFHGHUDODV
LQVWDODFLRQHV\VLHVSRVLEOHGLFKRVSXQWRVVHGHEHQDLVODU
GHORVUHFXUVRVGHWUDWDPLHQWRGHODLQIRUPDFLyQSDUDHYLWDU
ORVDFFHVRVQRDXWRUL]DGRV

$

$6HJXULGDGGHORVHTXLSRV
2EMHWLYR(YLWDUSpUGLGDVGDxRVURERVRFLUFXQVWDQFLDVTXHSRQJDQHQSHOLJURORVDFWLYRVRTXHSXHGDQSURYRFDUOD
LQWHUUXSFLyQGHODVDFWLYLGDGHVGHODRUJDQL]DFLyQ

,62,(&



$

(PSOD]DPLHQWR\SURWHFFLyQGHHTXLSRV

&RQWURO/RVHTXLSRVGHEHQVLWXDUVHRSURWHJHUVHGHIRUPD
TXHVHUHGX]FDQORVULHVJRVGHULYDGRVGHODVDPHQD]DV\
SHOLJURVGHRULJHQDPELHQWDODVtFRPRODVRFDVLRQHVGHTXH
VHSURGX]FDQDFFHVRVQRDXWRUL]DGRV

$

,QVWDODFLRQHVGHVXPLQLVWUR

&RQWURO/RVHTXLSRVGHEHQHVWDUSURWHJLGRVFRQWUDIDOORV
GHDOLPHQWDFLyQ\RWUDVDQRPDOtDVFDXVDGDVSRUIDOORVHQ
ODVLQVWDODFLRQHVGHVXPLQLVWUR

$

6HJXULGDGGHOFDEOHDGR

&RQWURO(OFDEOHDGRHOpFWULFR\GHWHOHFRPXQLFDFLRQHVTXH
WUDQVPLWHGDWRVRTXHGDVRSRUWHDORVVHUYLFLRVGHLQIRUPD
FLyQGHEHHVWDUSURWHJLGRIUHQWHDLQWHUFHSWDFLRQHVRGDxRV

$

0DQWHQLPLHQWRGHORVHTXLSRV

&RQWURO/RVHTXLSRVGHEHQUHFLELUXQPDQWHQLPLHQWR
FRUUHFWRTXHDVHJXUHVXGLVSRQLELOLGDG\VXLQWHJULGDG

$

6HJXULGDGGHORVHTXLSRVIXHUDGHODV
LQVWDODFLRQHV

&RQWURO7HQLHQGRHQFXHQWDORVGLIHUHQWHVULHVJRVTXH
FRQOOHYDWUDEDMDUIXHUDGHODVLQVWDODFLRQHVGHODRUJDQL]D
FLyQGHEHQDSOLFDUVHPHGLGDVGHVHJXULGDGDORVHTXLSRV
VLWXDGRVIXHUDGLFKDVLQVWDODFLRQHV

$

5HXWLOL]DFLyQRUHWLUDGDVHJXUDGHHTXLSRV

&RQWURO7RGRVORVVRSRUWHVGHDOPDFHQDPLHQWRGHEHQVHU
FRPSUREDGRVSDUDFRQILUPDUTXHWRGRGDWRVHQVLEOH\WRGDV
ODVOLFHQFLDVGHVRIWZDUHVHKDQHOLPLQDGRRELHQVHKDQ
UHFDUJDGRGHPDQHUDVHJXUDDQWHVGHVXUHWLUDGD

$

5HWLUDGDGHPDWHULDOHVSURSLHGDGGHOD
HPSUHVD

&RQWURO/RVHTXLSRVODLQIRUPDFLyQRHOVRIWZDUHQR
GHEHQVDFDUVHGHODVLQVWDODFLRQHVVLQXQDDXWRUL]DFLyQ
SUHYLD

$*HVWLyQGHFRPXQLFDFLRQHV\RSHUDFLRQHV
$5HVSRQVDELOLGDGHV\SURFHGLPLHQWRVGHRSHUDFLyQ
2EMHWLYR$VHJXUDUHOIXQFLRQDPLHQWRFRUUHFWR\VHJXURGHORVUHFXUVRVGHSURFHVDPLHQWRGHODLQIRUPDFLyQ
$

'RFXPHQWDFLyQGHORVSURFHGLPLHQWRVGH
RSHUDFLyQ

&RQWURO'HEHQGRFXPHQWDUVH\PDQWHQHUVHORVSURFHGL
PLHQWRVGHRSHUDFLyQ\SRQHUVHDGLVSRVLFLyQGHWRGRVORV
XVXDULRVTXHORVQHFHVLWHQ

$

*HVWLyQGHFDPELRV

&RQWURO'HEHQFRQWURODUVHORVFDPELRVHQORVUHFXUVRV\
ORVVLVWHPDVGHWUDWDPLHQWRGHODLQIRUPDFLyQ

$

6HJUHJDFLyQGHWDUHDV

&RQWURO/DVWDUHDV\iUHDVGHUHVSRQVDELOLGDGGHEHQ
VHJUHJDUVHSDUDUHGXFLUODSRVLELOLGDGGHTXHVHSURGX]FDQ
PRGLILFDFLRQHVQRDXWRUL]DGDVRQRLQWHQFLRQDGDVRXVRV
LQGHELGRVGHORVDFWLYRVGHODRUJDQL]DFLyQ

$

6HSDUDFLyQGHORVUHFXUVRVGHGHVDUUROOR
SUXHED\RSHUDFLyQ

&RQWURO'HEHQVHSDUDUVHORVUHFXUVRVGHGHVDUUROORGH
SUXHEDV\GHRSHUDFLyQSDUDUHGXFLUORVULHVJRVGHDFFHVR
QRDXWRUL]DGRRORVFDPELRVHQHOVLVWHPDRSHUDWLYR

$*HVWLyQGHODSURYLVLyQGHVHUYLFLRVSRUWHUFHURV
2EMHWLYR,PSODQWDU\PDQWHQHUHOQLYHODSURSLDGRGHVHJXULGDGGHODLQIRUPDFLyQHQODSURYLVLyQGHOVHUYLFLRHQFRQ
VRQDQFLDFRQORVDFXHUGRVGHSURYLVLyQGHVHUYLFLRVSRUWHUFHURV

$

3URYLVLyQGHVHUYLFLRV

&RQWURO6HGHEHFRPSUREDUTXHORVFRQWUROHVGHVHJXUL
GDGODVGHILQLFLRQHVGHORVVHUYLFLRV\ORVQLYHOHVGHSURYL
VLyQLQFOXLGRVHQHODFXHUGRGHSURYLVLyQGHVHUYLFLRVSRU
WHUFHURVKDQVLGRLPSODQWDGRVSXHVWRVHQRSHUDFLyQ\VRQ
PDQWHQLGRVSRUSDUWHGHXQWHUFHUR

$

$



,62,(&

6XSHUYLVLyQ\UHYLVLyQGHORVVHUYLFLRV
SUHVWDGRVSRUWHUFHURV

&RQWURO/RVVHUYLFLRVLQIRUPHV\UHJLVWURVSURSRUFLRQD
GRVSRUXQWHUFHURGHEHQVHUREMHWRGHVXSHUYLVLyQ\
UHYLVLyQSHULyGLFDV\WDPELpQGHEHQOOHYDUVHDFDER
DXGLWRULDVSHULyGLFDV

*HVWLyQGHFDPELRVHQORVVHUYLFLRV
SUHVWDGRVSRUWHUFHURV

&RQWURO6HGHEHQJHVWLRQDUORVFDPELRVHQODSURYLVLyQGH
ORVVHUYLFLRVLQFOX\HQGRHOPDQWHQLPLHQWR\ODPHMRUDGH
ODVSROtWLFDVORVSURFHGLPLHQWRV\ORVFRQWUROHVGHVHJXUL
GDGGHODLQIRUPDFLyQH[LVWHQWHVWHQLHQGRHQFXHQWDOD
FULWLFLGDGGHORVSURFHVRV\VLVWHPDVGHOQHJRFLRDIHFWDGRV
DVtFRPRODUHHYDOXDFLyQGHORVULHVJRV

$3ODQLILFDFLyQ\DFHSWDFLyQGHOVLVWHPD
2EMHWLYR0LQLPL]DUHOULHVJRGHIDOORVGHORVVLVWHPDV
$

$

*HVWLyQGHFDSDFLGDGHV

&RQWURO/DXWLOL]DFLyQGHORVUHFXUVRVVHGHEHVXSHUYLVDU\
DMXVWDUDVtFRPRUHDOL]DUSUR\HFFLRQHVGHORVUHTXLVLWRV
IXWXURVGHFDSDFLGDGSDUDJDUDQWL]DUHOFRPSRUWDPLHQWR
UHTXHULGRGHOVLVWHPD

$FHSWDFLyQGHOVLVWHPD

&RQWURO6HGHEHQHVWDEOHFHUORVFULWHULRVSDUDODDFHSWD
FLyQGHQXHYRVVLVWHPDVGHLQIRUPDFLyQGHODVDFWXDOL]D
FLRQHV\GHQXHYDVYHUVLRQHVGHORVPLVPRV\VHGHEHQ
OOHYDUDFDERSUXHEDVDGHFXDGDVGHORVVLVWHPDVGXUDQWHHO
GHVDUUROOR\SUHYLDPHQWHDODDFHSWDFLyQ

$3URWHFFLyQFRQWUDFyGLJRPDOLFLRVR\GHVFDUJDEOH
2EMHWLYR3URWHJHUODLQWHJULGDGGHOVRIWZDUH\GHODLQIRUPDFLyQ
&RQWURO6HGHEHQLPSODQWDUORVFRQWUROHVGHGHWHFFLyQ
SUHYHQFLyQ\UHFXSHUDFLyQTXHVLUYDQFRPRSURWHFFLyQ
FRQWUDFyGLJRPDOLFLRVR\VHGHEHQLPSODQWDUSURFHGL
PLHQWRVDGHFXDGRVGHFRQFLHQFLDFLyQGHOXVXDULR

$

&RQWUROHVFRQWUDHOFyGLJRPDOLFLRVR

$

&RQWURO&XDQGRVHDXWRULFHHOXVRGHFyGLJRGHVFDUJDGR
HQHOFOLHQWH -DYD6FULSW9%6FULSWDSSOHWVGH-DYD
&RQWUROHVFRQWUDHOFyGLJRGHVFDUJDGRHQHO DSSOHWVFRQWUROHV$FWLYH;HWF ODFRQILJXUDFLyQGHEH
FOLHQWH
JDUDQWL]DUTXHGLFKRFyGLJRDXWRUL]DGRIXQFLRQDGH
DFXHUGRFRQXQDSROtWLFDGHVHJXULGDGFODUDPHQWHGHILQLGD
\VHGHEHHYLWDUTXHVHHMHFXWHHOFyGLJRQRDXWRUL]DGR

$&RSLDVGHVHJXULGDG
2EMHWLYR0DQWHQHUODLQWHJULGDG\GLVSRQLELOLGDGGHODLQIRUPDFLyQ\GHORVUHFXUVRVGHWUDWDPLHQWRGHODLQIRUPDFLyQ
$

&RSLDVGHVHJXULGDGGHODLQIRUPDFLyQ

&RQWURO6HGHEHQUHDOL]DUFRSLDVGHVHJXULGDGGHODLQIRU
PDFLyQ\GHOVRIWZDUH\VHGHEHQSUREDUSHULyGLFDPHQWH
FRQFRQIRUPHDODSROtWLFDGHFRSLDVGHVHJXULGDGDFRUGDGD

$*HVWLyQGHODVHJXULGDGGHODVUHGHV
2EMHWLYR$VHJXUDUODSURWHFFLyQGHODLQIRUPDFLyQHQODVUHGHV\ODSURWHFFLyQGHODLQIUDHVWUXFWXUDGHVRSRUWH

$

&RQWUROHVGHUHG

&RQWURO/DVUHGHVGHEHQHVWDUDGHFXDGDPHQWHJHVWLRQDGDV
\FRQWURODGDVSDUDTXHHVWpQSURWHJLGDVIUHQWHDSRVLEOHV
DPHQD]DV\SDUDPDQWHQHUODVHJXULGDGGHORVVLVWHPDV\
GHODVDSOLFDFLRQHVTXHXWLOL]DQHVWDVUHGHVLQFOX\HQGROD
LQIRUPDFLyQHQWUiQVLWR

,62,(&

$



6HJXULGDGGHORVVHUYLFLRVGHUHG

&RQWURO6HGHEHQLGHQWLILFDUODVFDUDFWHUtVWLFDVGHVHJXUL
GDGORVQLYHOHVGHVHUYLFLR\ORVUHTXLVLWRVGHJHVWLyQGH
WRGRVORVVHUYLFLRVGHUHG\VHGHEHQLQFOXLUHQWRGRDFXHU
GRGHVHUYLFLRVGHUHGWDQWRVLHVWRVVHUYLFLRVVHSUHVWDQ
GHQWURGHODRUJDQL]DFLyQFRPRVLVHVXEFRQWUDWDQ

$0DQLSXODFLyQGHORVVRSRUWHV
2EMHWLYR(YLWDUODUHYHODFLyQPRGLILFDFLyQUHWLUDGDRGHVWUXFFLyQQRDXWRUL]DGDGHORVDFWLYRV\ODLQWHUUXSFLyQGH
ODVDFWLYLGDGHVGHODRUJDQL]DFLyQ
$

*HVWLyQGHVRSRUWHVH[WUDtEOHV

&RQWURO6HGHEHQHVWDEOHFHUSURFHGLPLHQWRVSDUDOD
JHVWLyQGHORVVRSRUWHVH[WUDtEOHV

$

5HWLUDGDGHVRSRUWHV

&RQWURO/RVVRSRUWHVGHEHQVHUUHWLUDGRVGHIRUPDVHJXUD
FXDQGR\DQRYD\DQDVHUQHFHVDULRVPHGLDQWHORVSURFH
GLPLHQWRVIRUPDOHVHVWDEOHFLGRV

$

3URFHGLPLHQWRVGHPDQLSXODFLyQGHOD
LQIRUPDFLyQ

&RQWURO'HEHQHVWDEOHFHUVHSURFHGLPLHQWRVSDUDODPDQL
SXODFLyQ\HODOPDFHQDPLHQWRGHODLQIRUPDFLyQGHPRGR
TXHVHSURWHMDGLFKDLQIRUPDFLyQFRQWUDODUHYHODFLyQQR
DXWRUL]DGDRHOXVRLQGHELGR

$

6HJXULGDGGHODGRFXPHQWDFLyQGHOVLVWHPD

&RQWURO/DGRFXPHQWDFLyQGHOVLVWHPDGHEHHVWDU
SURWHJLGDFRQWUDDFFHVRVQRDXWRUL]DGRV

$,QWHUFDPELRGHLQIRUPDFLyQ
2EMHWLYR0DQWHQHUODVHJXULGDGGHODLQIRUPDFLyQ\GHOVRIWZDUHLQWHUFDPELDGRVGHQWURGHXQDRUJDQL]DFLyQ\FRQXQ
WHUFHUR
$

3ROtWLFDV\SURFHGLPLHQWRVGHLQWHUFDPELR
GHLQIRUPDFLyQ

&RQWURO'HEHQHVWDEOHFHUVHSROtWLFDVSURFHGLPLHQWRV\
FRQWUROHVIRUPDOHVTXHSURWHMDQHOLQWHUFDPELRGHLQIRU
PDFLyQPHGLDQWHHOXVRGHWRGRWLSRGHUHFXUVRVGH
FRPXQLFDFLyQ

$

$FXHUGRVGHLQWHUFDPELR

&RQWURO'HEHQHVWDEOHFHUVHDFXHUGRVSDUDHOLQWHUFDPELR
GHLQIRUPDFLyQ\GHOVRIWZDUHHQWUHODRUJDQL]DFLyQ\ORV
WHUFHURV

$

6RSRUWHVItVLFRVHQWUiQVLWR

&RQWURO'XUDQWHHOWUDQVSRUWHIXHUDGHORVOtPLWHVItVLFRV
GHODRUJDQL]DFLyQORVVRSRUWHVTXHFRQWHQJDQLQIRUPDFLyQ
GHEHQHVWDUSURWHJLGRVFRQWUDDFFHVRVQRDXWRUL]DGRVXVRV
LQGHELGRVRGHWHULRUR

$

0HQVDMHUtDHOHFWUyQLFD

&RQWURO/DLQIRUPDFLyQTXHVHDREMHWRGHPHQVDMHUtD
HOHFWUyQLFDGHEHHVWDUDGHFXDGDPHQWHSURWHJLGD

$

6LVWHPDVGHLQIRUPDFLyQHPSUHVDULDOHV

&RQWURO'HEHQIRUPXODUVHHLPSODQWDUVHSROtWLFDV\SUR
FHGLPLHQWRVSDUDSURWHJHUODLQIRUPDFLyQDVRFLDGDDOD
LQWHUFRQH[LyQGHORVVLVWHPDVGHLQIRUPDFLyQHPSUHVDULDOHV

$6HUYLFLRVGHFRPHUFLRHOHFWUyQLFR
2EMHWLYR*DUDQWL]DUODVHJXULGDGGHORVVHUYLFLRVGHFRPHUFLRHOHFWUyQLFR\HOXVRVHJXURGHORVPLVPRV

$

&RPHUFLRHOHFWUyQLFR

&RQWURO/DLQIRUPDFLyQLQFOXLGDHQHOFRPHUFLRHOHFWUy
QLFRTXHVHWUDQVPLWDDWUDYpVGHUHGHVS~EOLFDVGHEHSUR
WHJHUVHFRQWUDODVDFWLYLGDGHVIUDXGXOHQWDVODVGLVSXWDV
FRQWUDFWXDOHV\ODUHYHODFLyQRPRGLILFDFLyQQRDXWRUL]DGD
GHGLFKDLQIRUPDFLyQ



,62,(&

$

7UDQVDFFLRQHVHQOtQHD

&RQWURO/DLQIRUPDFLyQFRQWHQLGDHQODVWUDQVDFFLRQHVHQ
OtQHDGHEHHVWDUSURWHJLGDSDUDHYLWDUWUDQVPLVLRQHVLQFRP
SOHWDVHUURUHVGHGLUHFFLRQDPLHQWRDOWHUDFLRQHVQRDXWRUL
]DGDVGHORVPHQVDMHVODUHYHODFLyQODGXSOLFDFLyQROD
UHSURGXFFLyQQRDXWRUL]DGDVGHOPHQVDMH

$

,QIRUPDFLyQSXHVWDDGLVSRVLFLyQS~EOLFD

&RQWURO/DLQWHJULGDGGHODLQIRUPDFLyQSXHVWDDGLVSRVL
FLyQS~EOLFDVHGHEHSURWHJHUSDUDHYLWDUPRGLILFDFLRQHVQR
DXWRUL]DGDV

$6XSHUYLVLyQ
2EMHWLYR'HWHFWDUODVDFWLYLGDGHVGHSURFHVDPLHQWRGHODLQIRUPDFLyQQRDXWRUL]DGDV

5HJLVWURGHDXGLWRULDV

&RQWURO6HGHEHQUHDOL]DUUHJLVWURVGHDXGLWRULDGHODV
DFWLYLGDGHVGHORVXVXDULRVODVH[FHSFLRQHV\HYHQWRVGH
VHJXULGDGGHODLQIRUPDFLyQ\VHGHEHQPDQWHQHUHVWRV
UHJLVWURVGXUDQWHXQSHULRGRDFRUGDGRSDUDVHUYLUFRPR
SUXHEDHQLQYHVWLJDFLRQHVIXWXUDV\HQODVXSHUYLVLyQGHO
FRQWUROGHDFFHVR

$

6XSHUYLVLyQGHOXVRGHOVLVWHPD

&RQWURO6HGHEHQHVWDEOHFHUSURFHGLPLHQWRVSDUDVXSHUYL
VDUHOXVRGHORVUHFXUVRVGHSURFHVDPLHQWRGHOD
LQIRUPDFLyQ\VHGHEHQUHYLVDUSHULyGLFDPHQWHORV
UHVXOWDGRVGHODVDFWLYLGDGHVGHVXSHUYLVLyQ

$

3URWHFFLyQGHODLQIRUPDFLyQGHORV
UHJLVWURV

&RQWURO/RVGLVSRVLWLYRVGHUHJLVWUR\ODLQIRUPDFLyQGH
ORVUHJLVWURVGHEHQHVWDUSURWHJLGRVFRQWUDPDQLSXODFLRQHV
LQGHELGDV\DFFHVRVQRDXWRUL]DGRV

$

5HJLVWURVGHDGPLQLVWUDFLyQ\RSHUDFLyQ

&RQWURO6HGHEHQUHJLVWUDUODVDFWLYLGDGHVGHO
DGPLQLVWUDGRUGHOVLVWHPD\GHODRSHUDFLyQGHOVLVWHPD

$

$ 5HJLVWURGHIDOORV

&RQWURO/RVIDOORVGHEHQVHUUHJLVWUDGRV\DQDOL]DGRV\VH
GHEHQWRPDUODVFRUUHVSRQGLHQWHVDFFLRQHV

$

&RQWURO/RVUHORMHVGHWRGRVORVVLVWHPDVGH
SURFHVDPLHQWRGHODLQIRUPDFLyQGHQWURGHXQD
RUJDQL]DFLyQRGHXQGRPLQLRGHVHJXULGDGGHEHQHVWDU
VLQFURQL]DGRVFRQXQDSUHFLVLyQGHWLHPSRDFRUGDGD

6LQFURQL]DFLyQGHOUHORM

$&RQWUROGHDFFHVR
$5HTXLVLWRVGHQHJRFLRSDUDHOFRQWUROGHDFFHVR
2EMHWLYR&RQWURODUHODFFHVRDODLQIRUPDFLyQ
$

3ROtWLFDGHFRQWUROGHDFFHVR

&RQWURO6HGHEHHVWDEOHFHUGRFXPHQWDU\UHYLVDUXQD
SROtWLFDGHFRQWUROGHDFFHVREDVDGDHQORVUHTXLVLWRV
HPSUHVDULDOHV\GHVHJXULGDGSDUDHODFFHVR

$*HVWLyQGHDFFHVRGHXVXDULR
2EMHWLYR$VHJXUDUHODFFHVRGHXQXVXDULRDXWRUL]DGR\SUHYHQLUHODFFHVRQRDXWRUL]DGRDORVVLVWHPDVGHLQIRUPDFLyQ
$

5HJLVWURGHXVXDULR

&RQWURO'HEHHVWDEOHFHUVHXQSURFHGLPLHQWRIRUPDOGH
UHJLVWUR\GHDQXODFLyQGHXVXDULRVSDUDFRQFHGHU\UHYRFDU
HODFFHVRDWRGRVORVVLVWHPDV\VHUYLFLRVGHLQIRUPDFLyQ

$

*HVWLyQGHSULYLOHJLRV

&RQWURO/DDVLJQDFLyQ\HOXVRGHSULYLOHJLRVGHEHQHVWDU
UHVWULQJLGRV\FRQWURODGRV

$

*HVWLyQGHFRQWUDVHxDVGHXVXDULR

&RQWURO/DDVLJQDFLyQGHFRQWUDVHxDVGHEHVHUFRQWURODGD
DWUDYpVGHXQSURFHVRGHJHVWLyQIRUPDO

,62,(&

$



5HYLVLyQGHORVGHUHFKRVGHDFFHVRGH
XVXDULR

&RQWURO/D'LUHFFLyQGHEHUHYLVDUORVGHUHFKRVGHDFFHVR
GHXVXDULRDLQWHUYDORVUHJXODUHV\XWLOL]DQGRXQSURFHVR
IRUPDO

$5HVSRQVDELOLGDGHVGHXVXDULR
2EMHWLYR3UHYHQLUHODFFHVRGHXVXDULRVQRDXWRUL]DGRVDVtFRPRHYLWDUHOTXHVHFRPSURPHWDRVHSURGX]FDHOURER
GHODLQIRUPDFLyQRGHORVUHFXUVRVGHSURFHVDPLHQWRGHODLQIRUPDFLyQ
$

8VRGHFRQWUDVHxD

&RQWURO6HGHEHUHTXHULUDORVXVXDULRVHOVHJXLUODV
EXHQDVSUiFWLFDVGHVHJXULGDGHQODVHOHFFLyQ\HOXVRGH
ODVFRQWUDVHxDV

$

(TXLSRGHXVXDULRGHVDWHQGLGR

&RQWURO/RVXVXDULRVGHEHQDVHJXUDUVHGHTXHHOHTXLSR
GHVDWHQGLGRWLHQHODSURWHFFLyQDGHFXDGD

$

3ROtWLFDGHSXHVWRGHWUDEDMRGHVSHMDGR\
SDQWDOODOLPSLD

&RQWURO'HEHDGRSWDUVHXQDSROtWLFDGHSXHVWRGHWUDEDMR
GHVSHMDGRGHSDSHOHV\GHVRSRUWHVGHDOPDFHQDPLHQWR
H[WUDtEOHVMXQWRFRQXQDSROtWLFDGHSDQWDOODOLPSLDSDUDORV
UHFXUVRVGHSURFHVDPLHQWRGHODLQIRUPDFLyQ

$&RQWUROGHDFFHVRDODUHG
2EMHWLYR3UHYHQLUHODFFHVRQRDXWRUL]DGRDORVVHUYLFLRVHQUHG
$

3ROtWLFDGHXVRGHORVVHUYLFLRVHQUHG

&RQWURO6HGHEHSURSRUFLRQDUDORVXVXDULRV~QLFDPHQWHHO
DFFHVRDORVVHUYLFLRVSDUDTXHORVTXHKD\DQVLGR
HVSHFtILFDPHQWHDXWRUL]DGRV

$

$XWHQWLFDFLyQGHXVXDULRSDUDFRQH[LRQHV
H[WHUQDV

&RQWURO6HGHEHQXWLOL]DUORVPpWRGRVDSURSLDGRVGH
DXWHQWLFDFLyQSDUDFRQWURODUHODFFHVRGHORVXVXDULRV
UHPRWRV

$

,GHQWLILFDFLyQGHORVHTXLSRVHQODVUHGHV

&RQWURO/DLGHQWLILFDFLyQDXWRPiWLFDGHORVHTXLSRVVH
GHEHFRQVLGHUDUFRPRXQPHGLRGHDXWHQWLFDFLyQGHODV
FRQH[LRQHVSURYHQLHQWHVGHORFDOL]DFLRQHV\HTXLSRV
HVSHFtILFRV

$

'LDJQyVWLFRUHPRWR\SURWHFFLyQGHORV
SXHUWRVGHFRQILJXUDFLyQ

&RQWURO6HGHEHFRQWURODUHODFFHVRItVLFR\OyJLFRDORV
SXHUWRVGHGLDJQyVWLFR\GHFRQILJXUDFLyQ

$

6HJUHJDFLyQGHODVUHGHV

&RQWURO/RVJUXSRVGHVHUYLFLRVGHLQIRUPDFLyQXVXDULRV
\VLVWHPDVGHLQIRUPDFLyQGHEHQHVWDUVHJUHJDGRVHQUHGHV

$

&RQWUROGHODFRQH[LyQDODUHG

&RQWURO(QUHGHVFRPSDUWLGDVHVSHFLDOPHQWHHQDTXHOODV
TXHWUDVSDVHQODVIURQWHUDVGHODRUJDQL]DFLyQGHEHUHV
WULQJLUVHODFDSDFLGDGGHORVXVXDULRVSDUDFRQHFWDUVHDOD
UHGHVWRGHEHKDFHUVHGHDFXHUGRDODSROtWLFDGHFRQWUROGH
DFFHVR\DORVUHTXLVLWRVGHODVDSOLFDFLRQHVGHOQHJRFLR
YpDVH 

$

&RQWUROGHHQFDPLQDPLHQWR URXWLQJ GHUHG

&RQWURO6HGHEHQLPSODQWDUFRQWUROHVGHHQFDPLQDPLHQWR
URXWLQJ GHUHGHVSDUDDVHJXUDUTXHODVFRQH[LRQHVGHORV
RUGHQDGRUHV\ORVIOXMRVGHLQIRUPDFLyQQRYLRODQODSROtWL
FDGHFRQWUROGHDFFHVRGHODVDSOLFDFLRQHVHPSUHVDULDOHV

$&RQWUROGHDFFHVRDOVLVWHPDRSHUDWLYR
2EMHWLYR3UHYHQLUHODFFHVRQRDXWRUL]DGRDORVVLVWHPDVRSHUDWLYRV
$

&RQWURO(ODFFHVRDORVVLVWHPDVRSHUDWLYRVVHGHEHFRQ
3URFHGLPLHQWRVVHJXURVGHLQLFLRGHVHVLyQ WURODUSRUPHGLRGHXQSURFHGLPLHQWRVHJXURGHLQLFLRGH
VHVLyQ



,62,(&

$

,GHQWLILFDFLyQ\DXWHQWLFDFLyQGHXVXDULR

&RQWURO7RGRVORVXVXDULRVGHEHQWHQHUXQLGHQWLILFDGRU
~QLFR ,'GHXVXDULR SDUDVXXVRSHUVRQDO\H[FOXVLYR\
VHGHEHHOHJLUXQDWpFQLFDDGHFXDGDGHDXWHQWLFDFLyQSDUD
FRQILUPDUODLGHQWLGDGVROLFLWDGDGHOXVXDULR

$

6LVWHPDGHJHVWLyQGHFRQWUDVHxDV

&RQWURO/RVVLVWHPDVSDUDODJHVWLyQGHFRQWUDVHxDVGHEHQ
VHULQWHUDFWLYRV\HVWDEOHFHUFRQWUDVHxDVVHJXUDV\UREXVWDV

$

8VRGHORVUHFXUVRVGHOVLVWHPD

&RQWURO6HGHEHUHVWULQJLU\FRQWURODUULJXURVDPHQWHHOXVR
GHSURJUDPDV\XWLOLGDGHVTXHSXHGDQVHUFDSDFHVGHLQYD
OLGDUORVFRQWUROHVGHOVLVWHPD\GHODDSOLFDFLyQ

$

'HVFRQH[LyQDXWRPiWLFDGHVHVLyQ

&RQWURO/DVVHVLRQHVLQDFWLYDVGHEHQFHUUDUVHGHVSXpVGH
XQSHULRGRGHLQDFWLYLGDGGHILQLGR

$

/LPLWDFLyQGHOWLHPSRGHFRQH[LyQ

&RQWURO3DUDSURSRUFLRQDUVHJXULGDGDGLFLRQDODODVDSOLFD
FLRQHVGHDOWRULHVJRVHGHEHQXWLOL]DUUHVWULFFLRQHVHQORV
WLHPSRVGHFRQH[LyQ

$&RQWUROGHDFFHVRDODVDSOLFDFLRQHV\DODLQIRUPDFLyQ
2EMHWLYR3UHYHQLUHODFFHVRQRDXWRUL]DGRDODLQIRUPDFLyQTXHFRQWLHQHQODVDSOLFDFLRQHV
$

5HVWULFFLyQGHODFFHVRDODLQIRUPDFLyQ

&RQWURO6HGHEHUHVWULQJLUHODFFHVRDODLQIRUPDFLyQ\D
ODVDSOLFDFLRQHVDORVXVXDULRV\DOSHUVRQDOGHVRSRUWHGH
DFXHUGRFRQODSROtWLFDGHFRQWUROGHDFFHVRGHILQLGD

$

$LVODPLHQWRGHVLVWHPDVVHQVLEOHV

&RQWURO/RVVLVWHPDVVHQVLEOHVGHEHQWHQHUXQHQWRUQRGH
RUGHQDGRUHVGHGLFDGRV DLVODGRV 

$2UGHQDGRUHVSRUWiWLOHV\WHOHWUDEDMR
2EMHWLYR*DUDQWL]DUODVHJXULGDGGHODLQIRUPDFLyQFXDQGRVHXWLOL]DQRUGHQDGRUHVSRUWiWLOHV\VHUYLFLRVGHWHOHWUDEDMR
$

2UGHQDGRUHVSRUWiWLOHV\FRPXQLFDFLRQHV
PyYLOHV

&RQWURO6HGHEHLPSODQWDUXQDSROtWLFDIRUPDO\VHGHEHQ
DGRSWDUODVPHGLGDVGHVHJXULGDGDGHFXDGDVGHSURWHFFLyQ
FRQWUDORVULHVJRVGHODXWLOL]DFLyQGHRUGHQDGRUHVSRUWiWL
OHV\FRPXQLFDFLRQHVPyYLOHV

$

7HOHWUDEDMR

&RQWURO6HGHEHUHGDFWDUHLPSODQWDUXQDSROtWLFDGHDFWL
YLGDGHVGHWHOHWUDEDMRDVtFRPRORVSODQHV\SURFHGLPLHQ
WRVGHRSHUDFLyQFRUUHVSRQGLHQWHV

$$GTXLVLFLyQGHVDUUROOR\PDQWHQLPLHQWRGHORVVLVWHPDVGHLQIRUPDFLyQ
$5HTXLVLWRVGHVHJXULGDGGHORVVLVWHPDVGHLQIRUPDFLyQ
2EMHWLYR*DUDQWL]DUTXHODVHJXULGDGHVWiLQWHJUDGDHQORVVLVWHPDVGHLQIRUPDFLyQ
$

$QiOLVLV\HVSHFLILFDFLyQGHORVUHTXLVLWRV
GHVHJXULGDG

&RQWURO(QODVGHFODUDFLRQHVGHORVUHTXLVLWRVGHQHJRFLR
SDUDORVQXHYRVVLVWHPDVGHLQIRUPDFLyQRSDUDPHMRUDVGH
ORVVLVWHPDVGHLQIRUPDFLyQ\DH[LVWHQWHVVHGHEHQHVSHFL
ILFDUORVUHTXLVLWRVGHORVFRQWUROHVGHVHJXULGDG

$7UDWDPLHQWRFRUUHFWRGHODVDSOLFDFLRQHV
2EMHWLYR(YLWDUHUURUHVSpUGLGDVPRGLILFDFLRQHVQRDXWRUL]DGDVRXVRVLQGHELGRVGHODLQIRUPDFLyQHQODVDSOLFDFLRQHV
$

9DOLGDFLyQGHORVGDWRVGHHQWUDGD

&RQWURO/DLQWURGXFFLyQGHGDWRVHQODVDSOLFDFLRQHVGHEH
YDOLGDUVHSDUDJDUDQWL]DUTXHGLFKRVGDWRVVRQFRUUHFWRV\
DGHFXDGRV

,62,(&



&RQWUROGHOSURFHVDPLHQWRLQWHUQR

&RQWURO3DUDGHWHFWDUFXDOTXLHUFRUUXSFLyQGHODLQIRU
PDFLyQGHELGDDHUURUHVGHSURFHVDPLHQWRRDFWRVLQWHQFLR
QDGRVVHGHEHQLQFRUSRUDUFRPSUREDFLRQHVGHYDOLGDFLyQ
HQODVDSOLFDFLRQHV

$

,QWHJULGDGGHORVPHQVDMHV

&RQWURO6HGHEHQLGHQWLILFDUORVUHTXLVLWRVSDUDJDUDQWL]DU
ODDXWHQWLFLGDG\SDUDSURWHJHUODLQWHJULGDGGHORVPHQVD
MHVHQODVDSOLFDFLRQHV\VHGHEHQLGHQWLILFDUHLPSODQWDU
ORVFRQWUROHVDGHFXDGRV

$

9DOLGDFLyQGHORVGDWRVGHVDOLGD

&RQWURO/RVGDWRVGHVDOLGDGHXQDDSOLFDFLyQVHGHEHQ
YDOLGDUSDUDJDUDQWL]DUTXHHOWUDWDPLHQWRGHODLQIRUPDFLyQ
DOPDFHQDGDHVFRUUHFWR\DGHFXDGRDODVFLUFXQVWDQFLDV

$

$&RQWUROHVFULSWRJUiILFRV
2EMHWLYR3URWHJHUODFRQILGHQFLDOLGDGODDXWHQWLFLGDGRODLQWHJULGDGGHODLQIRUPDFLyQSRUPHGLRVFULSWRJUiILFRV
$

3ROtWLFDGHXVRGHORVFRQWUROHV
FULSWRJUiILFRV

&RQWURO6HGHEHIRUPXODUHLPSODQWDUXQDSROtWLFDSDUDHO
XVRGHORVFRQWUROHVFULSWRJUiILFRVSDUDSURWHJHUOD
LQIRUPDFLyQ

$

*HVWLyQGHFODYHV

&RQWURO'HEHLPSODQWDUVHXQVLVWHPDGHJHVWLyQGHFODYHV
SDUDGDUVRSRUWHDOXVRGHWpFQLFDVFULSWRJUiILFDVSRUSDUWH
GHODRUJDQL]DFLyQ

$6HJXULGDGGHORVDUFKLYRVGHVLVWHPD
2EMHWLYR*DUDQWL]DUODVHJXULGDGGHORVDUFKLYRVGHVLVWHPD
$

&RQWUROGHOVRIWZDUHHQH[SORWDFLyQ

&RQWURO'HEHQHVWDULPSODQWDGRVSURFHGLPLHQWRVSDUD
FRQWURODUODLQVWDODFLyQGHVRIWZDUHHQORVVLVWHPDV
RSHUDWLYRV

$

3URWHFFLyQGHORVGDWRVGHSUXHEDGHO
VLVWHPD

&RQWURO/RVGDWRVGHSUXHEDVHGHEHQVHOHFFLRQDUFRQ
FXLGDGR\GHEHQHVWDUSURWHJLGRV\FRQWURODGRV

$

&RQWUROGHDFFHVRDOFyGLJRIXHQWHGHORV
SURJUDPDV

&RQWURO6HGHEHUHVWULQJLUHODFFHVRDOFyGLJRIXHQWHGHORV
SURJUDPDV

$6HJXULGDGHQORVSURFHVRVGHGHVDUUROOR\VRSRUWH
2EMHWLYR0DQWHQHUODVHJXULGDGGHOVRIWZDUH\GHODLQIRUPDFLyQGHODVDSOLFDFLRQHV
$

3URFHGLPLHQWRVGHFRQWUROGHFDPELRV

&RQWURO/DLPSODQWDFLyQGHFDPELRVGHEHFRQWURODUVH
PHGLDQWHHOXVRGHSURFHGLPLHQWRVIRUPDOHVGHFRQWUROGH
FDPELRV

$

5HYLVLyQWpFQLFDGHODVDSOLFDFLRQHVWUDV
HIHFWXDUFDPELRVHQHOVLVWHPDRSHUDWLYR

&RQWURO&XDQGRVHPRGLILTXHQORVVLVWHPDVRSHUDWLYRVODV
DSOLFDFLRQHVHPSUHVDULDOHVFUtWLFDVGHEHQVHUUHYLVDGDV\
SUREDGDVSDUDJDUDQWL]DUTXHQRH[LVWHQHIHFWRVDGYHUVRV
HQODVRSHUDFLRQHVRHQODVHJXULGDGGHODRUJDQL]DFLyQ

$

&RQWURO6HGHEHQGHVDFRQVHMDUODVPRGLILFDFLRQHVHQORV
5HVWULFFLRQHVDORVFDPELRVHQORVSDTXHWHV SDTXHWHVGHVRIWZDUHOLPLWiQGRVHDORVFDPELRV
GHVRIWZDUH
QHFHVDULRV\WRGRVORVFDPELRVGHEHQVHUREMHWRGHXQ
FRQWUROULJXURVR

$

)XJDVGHLQIRUPDFLyQ

&RQWURO'HEHQHYLWDUVHODVVLWXDFLRQHVTXHSHUPLWDQTXH
VHSURGX]FDQIXJDVGHLQIRUPDFLyQ

$

([WHUQDOL]DFLyQGHOGHVDUUROORGHVRIWZDUH

&RQWURO/DH[WHUQDOL]DFLyQGHOGHVDUUROORGHVRIWZDUHGHEH
VHUVXSHUYLVDGD\FRQWURODGDSRUODRUJDQL]DFLyQ



,62,(&

$*HVWLyQGHODYXOQHUDELOLGDGWpFQLFD
2EMHWLYR5HGXFLUORVULHVJRVUHVXOWDQWHVGHODH[SORWDFLyQGHODVYXOQHUDELOLGDGHVWpFQLFDVSXEOLFDGDV

$

&RQWUROGHODVYXOQHUDELOLGDGHVWpFQLFDV

&RQWURO6HGHEHREWHQHULQIRUPDFLyQRSRUWXQDDFHUFDGH
ODVYXOQHUDELOLGDGHVWpFQLFDVGHORVVLVWHPDVGHLQIRUPD
FLyQTXHHVWiQVLHQGRXWLOL]DGRVHYDOXDUODH[SRVLFLyQGH
ODRUJDQL]DFLyQDGLFKDVYXOQHUDELOLGDGHV\DGRSWDUODV
PHGLGDVDGHFXDGDVSDUDDIURQWDUHOULHVJRDVRFLDGR

$*HVWLyQGHLQFLGHQWHVGHVHJXULGDGGHODLQIRUPDFLyQ
$1RWLILFDFLyQGHHYHQWRV\SXQWRVGpELOHVGHODVHJXULGDGGHODLQIRUPDFLyQ
2EMHWLYR$VHJXUDUVHGHTXHORVHYHQWRV\ODVYXOQHUDELOLGDGHVGHODVHJXULGDGGHODLQIRUPDFLyQDVRFLDGRVFRQORV
VLVWHPDVGHLQIRUPDFLyQVHFRPXQLFDQGHPDQHUDTXHVHDSRVLEOHHPSUHQGHUODVDFFLRQHVFRUUHFWLYDVRSRUWXQDV
$

$

&RQWURO/RVHYHQWRVGHVHJXULGDGGHODLQIRUPDFLyQVH
1RWLILFDFLyQGHORVHYHQWRVGHVHJXULGDGGH
GHEHQQRWLILFDUDWUDYpVGHORVFDQDOHVDGHFXDGRVGH
ODLQIRUPDFLyQ
JHVWLyQORDQWHVSRVLEOH
1RWLILFDFLyQGHORVSXQWRVGpELOHVGHOD
VHJXULGDG

&RQWURO7RGRVORVHPSOHDGRVFRQWUDWLVWDV\WHUFHURVTXH
VHDQXVXDULRVGHORVVLVWHPDV\VHUYLFLRVGHLQIRUPDFLyQ
GHEHQHVWDUREOLJDGRVDDQRWDU\QRWLILFDUFXDOTXLHUSXQWR
GpELOTXHREVHUYHQRTXHVRVSHFKHQH[LVWDHQGLFKRV
VLVWHPDVRVHUYLFLRV

$*HVWLyQGHLQFLGHQWHVGHVHJXULGDGGHODLQIRUPDFLyQ\PHMRUDV
2EMHWLYR*DUDQWL]DUTXHVHDSOLFDXQHQIRTXHFRKHUHQWH\HIHFWLYRDODJHVWLyQGHORVLQFLGHQWHVGHVHJXULGDGGHOD
LQIRUPDFLyQ
&RQWURO6HGHEHQHVWDEOHFHUODVUHVSRQVDELOLGDGHV\
SURFHGLPLHQWRVGHJHVWLyQSDUDJDUDQWL]DUXQDUHVSXHVWD
UiSLGDHIHFWLYD\RUGHQDGDDORVLQFLGHQWHVGHVHJXULGDGGH
ODLQIRUPDFLyQ

$

5HVSRQVDELOLGDGHV\SURFHGLPLHQWRV

$

&RQWURO'HEHQH[LVWLUPHFDQLVPRVTXHSHUPLWDQFXDQWL
$SUHQGL]DMHGHORVLQFLGHQWHVGHVHJXULGDG
ILFDU\VXSHUYLVDUORVWLSRVYRO~PHQHV\FRVWHVGHORV
GHODLQIRUPDFLyQ
LQFLGHQWHVGHVHJXULGDGGHODLQIRUPDFLyQ

$

5HFRSLODFLyQGHHYLGHQFLDV

&RQWURO&XDQGRVHHPSUHQGDXQDDFFLyQFRQWUDXQDSHU
VRQDXRUJDQL]DFLyQGHVSXpVGHXQLQFLGHQWHGHVHJXULGDG
GHODLQIRUPDFLyQTXHLPSOLTXHDFFLRQHVOHJDOHV WDQWR
FLYLOHVFRPRSHQDOHV GHEHQUHFRSLODUVHODVHYLGHQFLDV
FRQVHUYDUVH\SUHVHQWDUVHFRQIRUPHDODVQRUPDV
HVWDEOHFLGDVHQODMXULVGLFFLyQFRUUHVSRQGLHQWH

$*HVWLyQGHODFRQWLQXLGDGGHOQHJRFLR
$$VSHFWRVGHVHJXULGDGGHODLQIRUPDFLyQHQODJHVWLyQGHODFRQWLQXLGDGGHOQHJRFLR
2EMHWLYR&RQWUDUUHVWDUODVLQWHUUXSFLRQHVGHODVDFWLYLGDGHVHPSUHVDULDOHV\SURWHJHUORVSURFHVRVFUtWLFRVGHQHJRFLR
GHORVHIHFWRVGHULYDGRVGHIDOORVLPSRUWDQWHVRFDWDVWUyILFRVGHORVVLVWHPDVGHLQIRUPDFLyQDVtFRPRJDUDQWL]DUVX
RSRUWXQDUHDQXGDFLyQ
$

&RQWURO'HEHGHVDUUROODUVH\PDQWHQHUVHXQSURFHVRSDUD
,QFOXVLyQGHODVHJXULGDGGHODLQIRUPDFLyQ
ODFRQWLQXLGDGGHOQHJRFLRHQWRGDODRUJDQL]DFLyQTXH
HQHOSURFHVRGHJHVWLyQGHODFRQWLQXLGDG
JHVWLRQHORVUHTXLVLWRVGHVHJXULGDGGHODLQIRUPDFLyQ
GHOQHJRFLR
QHFHVDULRVSDUDODFRQWLQXLGDGGHOQHJRFLR

,62,(&



&RQWURO'HEHQLGHQWLILFDUVHORVHYHQWRVTXHSXHGDQFDXVDU
LQWHUUXSFLRQHVHQORVSURFHVRVGHQHJRFLRDVtFRPRODSUR
EDELOLGDGGHTXHVHSURGX]FDQWDOHVLQWHUUXSFLRQHVVXVHIHF
WRV\VXVFRQVHFXHQFLDVSDUDODVHJXULGDGGHODLQIRUPDFLyQ

$

&RQWLQXLGDGGHOQHJRFLR\HYDOXDFLyQGH
ULHVJRV

$

&RQWURO'HEHQGHVDUUROODUVHHLPSODQWDUVHSODQHVSDUD
'HVDUUROORHLPSODQWDFLyQGHSODQHVGH
PDQWHQHURUHVWDXUDUODVRSHUDFLRQHV\JDUDQWL]DUOD
FRQWLQXLGDGTXHLQFOX\DQODVHJXULGDGGHOD GLVSRQLELOLGDGGHODLQIRUPDFLyQHQHOQLYHO\HQHOWLHPSR
UHTXHULGRVGHVSXpVGHXQDLQWHUUXSFLyQRXQIDOORGHORV
LQIRUPDFLyQ
SURFHVRVGHQHJRFLRFUtWLFRV

$

&RQWURO'HEHPDQWHQHUVHXQ~QLFRPDUFRGHUHIHUHQFLD
SDUDORVSODQHVGHFRQWLQXLGDGGHOQHJRFLRSDUDDVHJXUDU
0DUFRGHUHIHUHQFLDSDUDODSODQLILFDFLyQGH TXHWRGRVORVSODQHVVHDQFRKHUHQWHVSDUDFXPSOLUORV
ODFRQWLQXLGDGGHOQHJRFLR
UHTXLVLWRVGHVHJXULGDGGHODLQIRUPDFLyQGHPDQHUD
FRQVLVWHQWH\SDUDLGHQWLILFDUODVSULRULGDGHVGHUHDOL]DFLyQ
GHSUXHEDV\GHPDQWHQLPLHQWR

$

3UXHEDVPDQWHQLPLHQWR\UHHYDOXDFLyQGH
ORVSODQHVGHFRQWLQXLGDGGHOQHJRFLR

&RQWURO/RVSODQHVGHFRQWLQXLGDGGHOQHJRFLRGHEHQ
SUREDUVH\DFWXDOL]DUVHSHULyGLFDPHQWHSDUDDVHJXUDUTXH
HVWiQDOGtD\TXHVRQHIHFWLYRV

$&XPSOLPLHQWR
$&XPSOLPLHQWRGHORVUHTXLVLWRVOHJDOHV
2EMHWLYR(YLWDULQFXPSOLPLHQWRVGHODVOH\HVRGHODVREOLJDFLRQHVOHJDOHVUHJODPHQWDULDVRFRQWUDFWXDOHV\GHORV
UHTXLVLWRVGHVHJXULGDG

$

,GHQWLILFDFLyQGHODOHJLVODFLyQDSOLFDEOH

&RQWURO7RGRVORVUHTXLVLWRVSHUWLQHQWHVWDQWROHJDOHVFRPR
UHJODPHQWDULRVRFRQWUDFWXDOHV\HOHQIRTXHGHODRUJDQL]D
FLyQSDUDFXPSOLUGLFKRVUHTXLVLWRVGHEHQHVWDUGHILQLGRV
GRFXPHQWDGRV\PDQWHQHUVHDFWXDOL]DGRVGHIRUPDH[SOtFLWR
SDUDFDGDVLVWHPDGHLQIRUPDFLyQGHODRUJDQL]DFLyQ

$

'HUHFKRVGHSURSLHGDGLQWHOHFWXDO '3, 
>,QWHOOHFWXDO3URSHUW\5LJKWV ,35 @

&RQWURO'HEHQLPSODQWDUVHSURFHGLPLHQWRVDGHFXDGRVSDUD
JDUDQWL]DUHOFXPSOLPLHQWRGHORVUHTXLVLWRVOHJDOHVUHJOD
PHQWDULRV\FRQWUDFWXDOHVVREUHHOXVRGHPDWHULDOFRQUHV
SHFWRDOFXDOSXHGDQH[LVWLUGHUHFKRVGHSURSLHGDGLQWHOHF
WXDO\VREUHHOXVRGHSURGXFWRVGHVRIWZDUHSURSLHWDULR

$

3URWHFFLyQGHORVGRFXPHQWRV GHOD
RUJDQL]DFLyQ

&RQWURO/RVGRFXPHQWRVLPSRUWDQWHVGHEHQHVWDUSURWHJL
GRVFRQWUDODSpUGLGDGHVWUXFFLyQ\IDOVLILFDFLyQGHDFXHU
GRFRQORVUHTXLVLWRVOHJDOHVUHJXODWRULRVFRQWUDFWXDOHV\
HPSUHVDULDOHV

$

3URWHFFLyQGHGDWRV\SULYDFLGDGGHOD
LQIRUPDFLyQSHUVRQDO

&RQWURO'HEHJDUDQWL]DUVHODSURWHFFLyQ\ODSULYDFLGDGGH
ORVGDWRVVHJ~QVHUHTXLHUDHQODOHJLVODFLyQ\ODVUHJXODFLR
QHV\HQVXFDVRHQODVFOiXVXODVFRQWUDFWXDOHVSHUWLQHQWHV

$

&RQWURO6HGHEHLPSHGLUTXHORVXVXDULRVXWLOLFHQORV
3UHYHQFLyQGHOXVRLQGHELGRGHORVUHFXUVRV
UHFXUVRVGHWUDWDPLHQWRGHODLQIRUPDFLyQSDUDILQHVQR
GHWUDWDPLHQWRGHODLQIRUPDFLyQ
DXWRUL]DGRV

 

 127$1$&,21$/ 6HJ~Q UHFRJH OD 1RUPD 81(,62  HO LQJOpV SRVHH WUHV WpUPLQRV GLVWLQWRV GRFXPHQWV UHFRUGV \ DUFKLYHV  SDUD
GHVLJQDUORTXHHQFDVWHOODQRFRPRHQHOUHVWRGHOHQJXDVODWLQDVFXHQWDFRQXQD~QLFDYR] GRFXPHQWRV $VtGRFXPHQWHV
HOHTXLYDOHQWHGHGRFXPHQWRHQVXVLJQLILFDGRJHQpULFRFRPRPHUDLQIRUPDFLyQUHJLVWUDGD3RUHOFRQWUDULRORVWpUPLQRV
UHFRUGV \ DUFKLYHV GHVLJQDQ GH PDQHUD HVSHFtILFD D DTXHOORV GRFXPHQWRV SURGXFLGRV FRPR SUXHED \ UHIOHMR GH ODV
DFWLYLGDGHV GH OD RUJDQL]DFLyQ TXH ORV KD FUHDGR UHVHUYiQGRVH HO HPSOHR GH HVWH ~OWLPR D ORV GRFXPHQWRV GH FDUiFWHU
KLVWyULFR

$



5HJXODFLyQGHORVFRQWUROHVFULSWRJUiILFRV

,62,(&

&RQWURO/RVFRQWUROHVFULSWRJUiILFRVVHGHEHQXWLOL]DUGH
DFXHUGRFRQWRGRVORVFRQWUDWRVOH\HV\UHJXODFLRQHV
SHUWLQHQWHV

$&XPSOLPLHQWRGHODVSROtWLFDV\QRUPDVGHVHJXULGDG\FXPSOLPLHQWRWpFQLFR
2EMHWLYR$VHJXUDUTXHORVVLVWHPDVFXPSOHQODVSROtWLFDV\QRUPDVGHVHJXULGDGGHODRUJDQL]DFLyQ
$

&RQWURO/RVGLUHFWRUHVGHEHQDVHJXUDUVHGHTXHWRGRVORV
&XPSOLPLHQWRGHODVSROtWLFDV\QRUPDVGH SURFHGLPLHQWRVGHVHJXULGDGGHQWURGHVXiUHDGHUHVSRQVD
VHJXULGDG
ELOLGDGVHUHDOL]DQFRUUHFWDPHQWHFRQHOILQGHFXPSOLUODV
SROtWLFDV\QRUPDVGHVHJXULGDG

$

&RPSUREDFLyQGHOFXPSOLPLHQWRWpFQLFR

&RQWURO'HEHFRPSUREDUVHSHULyGLFDPHQWHTXHORVVLVWH
PDVGHLQIRUPDFLyQFXPSOHQODVQRUPDVGHDSOLFDFLyQGH
ODVHJXULGDG

$&RQVLGHUDFLRQHVVREUHODDXGLWRULDGHORVVLVWHPDVGHLQIRUPDFLyQ
2EMHWLYR/RJUDUTXHHOSURFHVRGHDXGLWRULDGHORVVLVWHPDVGHLQIRUPDFLyQDOFDQFHODPi[LPDHILFDFLDFRQODVPtQL
PDVLQWHUIHUHQFLDV

&RQWURO/RVUHTXLVLWRV\ODVDFWLYLGDGHVGHDXGLWRULDTXH
LPSOLTXHQFRPSUREDFLRQHVHQORVVLVWHPDVRSHUDWLYRVGH
EHQVHUFXLGDGRVDPHQWHSODQLILFDGRV\DFRUGDGRVSDUD
PLQLPL]DUHOULHVJRGHLQWHUUXSFLRQHVHQORVSURFHVRVGH
HPSUHVDULDOHV

$

&RQWUROHVGHDXGLWRULDGHORVVLVWHPDVGH
LQIRUPDFLyQ

$

&RQWURO(ODFFHVRDODVKHUUDPLHQWDVGHDXGLWRULDGHORV
3URWHFFLyQGHODVKHUUDPLHQWDVGHDXGLWRULD
VLVWHPDVGHLQIRUPDFLyQGHEHHVWDUSURWHJLGRSDUDHYLWDU
GHORVVLVWHPDVGHLQIRUPDFLyQ
FXDOTXLHUSRVLEOHSHOLJURRXVRLQGHELGR

,62,(&



$1(;2% ,QIRUPDWLYR 

/2635,1&,3,26'(/$2&'(<(67$1250$,17(51$&,21$/




/RV SULQFLSLRV UHFRJLGRV HQ ODV 'LUHFWULFHV GH OD 2&'( SDUD OD VHJXULGDG GH ORV VLVWHPDV \ UHGHV GH LQIRUPDFLyQ VH
DSOLFDQ D WRGDV ODV SROtWLFDV \ D WRGRV ORV QLYHOHV GH RSHUDFLyQ TXH ULJHQ OD VHJXULGDG GH ORV VLVWHPDV \ UHGHV GH
LQIRUPDFLyQ(VWDQRUPDLQWHUQDFLRQDOFRQVWLWX\HHOPDUFRGHOVLVWHPDGHJHVWLyQGHODVHJXULGDGGHODLQIRUPDFLyQSDUD
LPSOHPHQWDUDOJXQRVGHORVSULQFLSLRVGHOD2&'(XWLOL]DQGRHOPRGHOR3'&$\ORVSURFHVRVGHVFULWRVHQORVFDStWX
ORV\VHJ~QVHLQGLFDHQODWDEOD%


7DEOD%/RVSULQFLSLRVGHOD2&'(\HOPRGHOR3'&$

3ULQFLSLRGHOD2&'(
&RQFLHQFLDFLyQ
/RVSDUWLFLSDQWHVGHEHQFRQFLHQFLDUVHGHODQHFHVLGDGGHJD
UDQWL]DUODVHJXULGDGGHORVVLVWHPDV\UHGHVGHLQIRUPDFLyQ\
VDEHUTXpSXHGHQKDFHUHOORVSDUDPHMRUDUODVHJXULGDG
5HVSRQVDELOLGDG
7RGRVORVSDUWLFLSDQWHVVRQUHVSRQVDEOHVGHODVHJXULGDGGH
ORVVLVWHPDV\UHGHVGHLQIRUPDFLyQ
5HVSXHVWD
/RVSDUWLFLSDQWHVGHEHQDFWXDUGHIRUPDRSRUWXQD\
FRRUGLQDGDSDUDSUHYHQLUGHWHFWDU\UHVSRQGHUDORV
LQFLGHQWHVGHVHJXULGDG
(YDOXDFLyQGHULHVJRV
/RVSDUWLFLSDQWHVGHEHQOOHYDUDFDERHYDOXDFLRQHVGH
ULHVJRV
'LVHxRHLPSODQWDFLyQGHODVHJXULGDG
/RVSDUWLFLSDQWHVGHEHQLQFRUSRUDUODVHJXULGDGFRPRXQ
HOHPHQWRHVHQFLDOGHORVVLVWHPDV\UHGHVGHLQIRUPDFLyQ
*HVWLyQGHODVHJXULGDG
/RVSDUWLFLSDQWHVGHEHQDGRSWDUFULWHULRVGHWDOODGRVGH
PDQWHQLPLHQWRUHYLVLyQ\DXGLWRUtD
5HHYDOXDFLyQ
/RVSDUWLFLSDQWHVGHEHQUHYLVDU\UHHYDOXDUODVHJXULGDGGH
ORVVLVWHPDV\UHGHVGHLQIRUPDFLyQ\HIHFWXDUODV
PRGLILFDFLRQHVDSURSLDGDVGHODVSROtWLFDVSUiFWLFDV
PHGLGDV\SURFHGLPLHQWRVGHVHJXULGDG

3URFHVRGHO6*6,\IDVHGHO3'&$FRUUHVSRQGLHQWHV
(VWDDFWLYLGDGHVSDUWHGHODIDVH+DFHU 'R 
YpDQVH\ 

(VWDDFWLYLGDGHVSDUWHGHODIDVH+DFHU 'R 
YpDQVH\ 
(VWRHVHQSDUWHXQDDFWLYLGDGGHVXSHUYLVLyQGHODIDVH
9HULILFDU &KHFN  YpDVH\D \XQDDFWL
YLGDGGHUHVSXHVWDGHODIDVH$FWXDU $FW  YpDVH
\D 7DPELpQSXHGHWHQHUTXHYHUFRQDOJXQRV
DVSHFWRVGHODVIDVHV3ODQLILFDU 3ODQ \9HULILFDU
&KHFN 
(VWDDFWLYLGDGHVSDUWHGHODIDVH3ODQLILFDU 3ODQ 
YpDVH \ODUHHYDOXDFLyQGHOULHVJRHVSDUWHGHOD
IDVH9HULILFDU &KHFN  YpDVH\D 
8QDYH]TXHILQDOL]DGDODHYDOXDFLyQGHULHVJRVVHVH
OHFFLRQDQORVFRQWUROHVSDUDHOWUDWDPLHQWRGHORVULHVJRV
FRPRSDUWHGHODIDVH3ODQLILFDU 3ODQ  YpDVH /D
IDVH+DFHU 'R  YpDVH\ FRPSUHQGHOD
LPSODQWDFLyQ\HOXVRRSHUDWLYRGHHVWRVFRQWUROHV
/DJHVWLyQGHOULHVJRHVXQSURFHVRTXHLQFOX\HOD
SUHYHQFLyQGHWHFFLyQ\UHVSXHVWDDORVLQFLGHQWHV\OD
JHVWLyQFRQWLQXDGDGHODVHJXULGDG7RGRVHVWRVDVSHFWRV
HVWiQFRPSUHQGLGRVHQODVIDVHV3ODQLILFDU 3ODQ 
+DFHU 'R 9HULILFDU &KHFN \$FWXDU $FW 
/DUHHYDOXDFLyQGHODVHJXULGDGGHODLQIRUPDFLyQHV
SDUWHGHODIDVH9HULILFDU &KHFN  YpDVH\D
 HQODFXDOGHEHQOOHYDUVHDFDERUHYLVLRQHVSHULy
GLFDVSDUDFRPSUREDUODHILFDFLDGHOVLVWHPDGHJHVWLyQ
GHVHJXULGDGGHODLQIRUPDFLyQ\ODPHMRUDGHODVHJX
ULGDGHVSDUWHGHODIDVH$FWXDU $FW  YpDVH\
D 



,62,(&

$1(;2& ,QIRUPDWLYR 

&255(6321'(1&,$(175(/$61250$6,62,62
<(67$1250$,17(51$&,21$/




/DWDEOD&PXHVWUDODFRUUHVSRQGHQFLDHQWUHODVQRUPDV,62H,62\HVWDQRUPDLQWHUQDFLRQDO


7DEOD&&RUUHVSRQGHQFLDHQWUHODVQRUPDV,62H,62\HVWDQRUPDLQWHUQDFLRQDO

(VWDQRUPDLQWHUQDFLRQDO

,62

,62

,QWURGXFFLyQ

,QWURGXFFLyQ

,QWURGXFFLyQ

*HQHUDOLGDGHV

*HQHUDOLGDGHV

(QIRTXHGHOSURFHVR

(QIRTXHGHOSURFHVR

5HODFLyQFRQOD1RUPD,62

&RPSDWLELOLGDGFRQRWURV
VLVWHPDVGHJHVWLyQ

&RPSDWLELOLGDGFRQRWURVVLVWHPDV
GHJHVWLyQ

2EMHWR\FDPSRGHDSOLFDFLyQ

2EMHWR\FDPSRGHDSOLFDFLyQ

2EMHWR\FDPSRGHDSOLFDFLyQ

*HQHUDOLGDGHV

*HQHUDOLGDGHV

$SOLFDFLyQ

$SOLFDFLyQ

1RUPDVSDUDFRQVXOWD

1RUPDVSDUDFRQVXOWD

1RUPDVSDUDFRQVXOWD

7pUPLQRV\GHILQLFLRQHV

7pUPLQRV\GHILQLFLRQHV

7pUPLQRV\GHILQLFLRQHV

6HJXULGDGGHODLQIRUPDFLyQ

6LVWHPDGHJHVWLyQGHODFDOLGDG

6LVWHPDGHJHVWLyQGHORVUHTXL
VLWRVGHO6*$

5HTXLVLWRVJHQHUDOHV

5HTXLVLWRVJHQHUDOHV

5HTXLVLWRVJHQHUDOHV

&UHDFLyQ\JHVWLyQGHO6*6,

&UHDFLyQGHO6*6,

,PSODQWDFLyQ\RSHUDFLyQGHO
6*6,

,PSODQWDFLyQ\RSHUDFLyQ

6XSHUYLVLyQ\UHYLVLyQGHO
6*6,

6XSHUYLVLyQ\PHGLFLyQGHORV
SURFHVRV

6XSHUYLVLyQ\PHGLFLyQ

6XSHUYLVLyQ\PHGLFLyQGHO
SURGXFWR

0DQWHQLPLHQWR\PHMRUDGHO
6*6,

5HTXLVLWRVGHODGRFXPHQWDFLyQ 5HTXLVLWRVGHGRFXPHQWDFLyQ

*HQHUDOLGDGHV

*HQHUDOLGDGHV

0DQXDOGHFDOLGDG

&RQWUROGHGRFXPHQWRV

&RQWUROGHGRFXPHQWRV

&RQWUROGHGRFXPHQWDFLyQ

&RQWUROGHUHJLVWURV

&RQWUROGHUHJLVWURV

&RQWUROGHUHJLVWURV

,62,(&



(VWDQRUPDLQWHUQDFLRQDO

,62

,62

5HVSRQVDELOLGDGGHOD'LUHFFLyQ 5HVSRQVDELOLGDGGHOD'LUHFFLyQ

&RPSURPLVRGHOD'LUHFFLyQ

&RPSURPLVRGHOD'LUHFFLyQ

2ULHQWDFLyQDOFOLHQWH

3ROtWLFDGHFDOLGDG

3ROtWLFDDPELHQWDO

3ODQLILFDFLyQ

3ODQLILFDFLyQ

5HVSRQVDELOLGDGDXWRULGDG\
FRPXQLFDFLyQ

*HVWLyQGHORVUHFXUVRV

*HVWLyQGHORVUHFXUVRV

3URYLVLyQGHORVUHFXUVRV

3URYLVLyQGHORVUHFXUVRV

5HFXUVRVKXPDQRV

&RQFLHQFLDFLyQIRUPDFLyQ\
FRPSHWHQFLD

&RPSHWHQFLDFRQFLHQFLDFLyQ\
IRUPDFLyQ

&RPSHWHQFLDIRUPDFLyQ\
FRQFLHQFLDFLyQ

,QIUDHVWUXFWXUD

(QWRUQRGHWUDEDMR

$XGLWRUtDVLQWHUQDVGHO6*6,

$XGLWRUtDLQWHUQD

$XGLWRUtDLQWHUQD

5HYLVLyQGHO6*6,SRUOD
'LUHFFLyQ

5HYLVLyQSRUOD'LUHFFLyQ

5HYLVLyQSRUOD'LUHFFLyQ

*HQHUDOLGDGHV

*HQHUDOLGDGHV

'DWRVLQLFLDOHVGHODUHYLVLyQ

'DWRVLQLFLDOHVGHODUHYLVLyQ

5HVXOWDGRVGHODUHYLVLyQ

5HVXOWDGRVGHODUHYLVLyQ

0HMRUDGHO6*6,

0HMRUD

0HMRUDFRQWLQXD

0HMRUDFRQWLQXD

$FFLyQFRUUHFWLYD

$FFLRQHVFRUUHFWLYDV

'LVFRQIRUPLGDGDFFLyQ
FRUUHFWLYD\DFFLyQSUHYHQWLYD

$FFLyQSUHYHQWLYD

$FFLRQHVSUHYHQWLYDV

$QH[R$2EMHWLYRVGHFRQWURO\
FRQWUROHV

$QH[R$*XtDGHXVRGHHVWD
QRUPDLQWHUQDFLRQDO

$QH[R%/RVSULQFLSLRVGHOD

2&'(\HVWDQRUPDLQWHUQDFLRQDO

$QH[R&&RUUHVSRQGHQFLDHQWUH
ODV1RUPDV,62H
,62\HVWDQRUPD
LQWHUQDFLRQDO

$QH[R%&RUUHVSRQGHQFLDHQWUH
ODV1RUPDV,62H
,62

$QH[R$&RUUHVSRQGHQFLDHQWUHODV
1RUPDV,62H
,62



,62,(&

%,%/,2*5$)$



3XEOLFDFLRQHVGHQRUPDV

>@ ,626LVWHPDVGHJHVWLyQGHODFDOLGDG5HTXLVLWRV

>@ ,62,(&7HFQRORJtDVGHODLQIRUPDFLyQ7pFQLFDVGHVHJXULGDG*HVWLyQGHODVHJXULGDGGHODV
WHFQRORJtDVGHODLQIRUPDFLyQ\ODVFRPXQLFDFLRQHV3DUWH&RQFHSWRV\PRGHORVSDUDODJHVWLyQGHODVHJXUL
GDGGHODVWHFQRORJtDVGHODLQIRUPDFLyQ\ODVFRPXQLFDFLRQHV

>@ ,62,(&757HFQRORJtDVGHODLQIRUPDFLyQ'LUHFWULFHVSDUDODJHVWLyQGHODVHJXULGDGGHODV7,
3DUWH7pFQLFDVSDUDODJHVWLyQGHODVHJXULGDGGHODV7,

>@ ,62,(&757HFQRORJtDVGHODLQIRUPDFLyQ'LUHFWULFHVSDUDODJHVWLyQGHODVHJXULGDGGHODV7,
3DUWH6HOHFFLyQGHVDOYDJXDUGLDV

>@ ,626LVWHPDVGHJHVWLyQDPELHQWDO5HTXLVLWRV\RULHQWDFLRQHVGHXVR

>@ ,62,(& 75  7HFQRORJtDV GH OD LQIRUPDFLyQ 7pFQLFDV GH VHJXULGDG *HVWLyQ GH LQFLGHQWHV GH
VHJXULGDGGHODLQIRUPDFLyQ

>@ ,62'LUHFWULFHVSDUDDXGLWRUtDVGHFDOLGDGRGHVLVWHPDVGHJHVWLyQDPELHQWDO

>@ ,62,(& *XtD  5HTXLVLWRV JHQHUDOHV SDUD HQWLGDGHV HQFDUJDGDV GH OD HYDOXDFLyQ \ FHUWLILFDFLyQ R
UHJLVWURGHVLVWHPDVGHFDOLGDG

>@ ,62,(&*XtD*HVWLyQGHULHVJRV9RFDEXODULR'LUHFWULFHVGHXVRHQQRUPDV


2WUDVSXEOLFDFLRQHV

>@ 2&'( 'LUHFWULFHV SDUD OD VHJXULGDG GH ORV VLVWHPDV \ UHGHV GH LQIRUPDFLyQ +DFLD XQD FXOWXUD GH OD
VHJXULGDG3DUtV2&'(MXOLRGHZZZRHFGRUJ

>@ 1,6763*XtDGHJHVWLyQGHULHVJRVSDUDVLVWHPDVGHWHFQRORJtDVGHODLQIRUPDFLyQ

>@ 'HPLQJ:(2XWRIWKH&ULVLV&DPEULGJH0DVV0,7&HQWHUIRU$GYDQFHG(QJLQHHULQJ6WXG\



Sobre los autores

Luis Gmez Fernndez es licenciado en Econmicas por la Facultad de Econmicas


de la Universidad de Oviedo. Ha desempeado diversos cargos directivos, tanto en
la Administracin Pblica como la empresa privada, hasta la creacin de su propia
empresa que, actualmente, es un referente en seguridad de la informacin y servicios
de TI.
Ana Andrs lvarez es ingeniera de software por la University of Salford, Certified
Information Systems Auditor (CISA) y Certified Information Security Management
(CISM). Tiene una dilatada carrera profesional desempeada en el rea de sistemas
de gestin y mejora de procesos, y especialmente, en proyectos de seguridad de la
informacin, servicios de TI y auditoras de sistemas de gestin.