Plan Integral de

Seguridad de la
Información
(PISI)
DOCUDIGITAL S.A.S. © 2018
Registro de actualizaciones del documento:

VERSION NATURALEZA DEL CAMBIO FECHA APROBÓ

0 Primera versión 01/04/2014
1 Actualización programada 01/10/2018

REVISÓ APROBÓ
Cargo
Firma
Fecha

Plan Integral de Seguridad de la Información

2
PLAN INTEGRAL DE SEGURIDAD
DE LA INFORMACION
1. Políticas y normativas

1.1 Introducción.

La seguridad de los procesos, sistemas y servicios de la empresa, así como de la

organización y las actividades que la soportan es básica para la continuidad del negocio.
El objetivo fundamental de la seguridad en la empresa es garantizar la disponibilidad,
continuidad, integridad, confidencialidad y auditabilidad de los sistemas y los datos,
entendiendo que tanto sistemas como datos, además de las infraestructuras técnicas y
las personas de la organización son activos críticos de la empresa, además de los
activos inmobiliarios y financieros. En el presente capítulo del proyecto se aborda el plan
de actividades a realizar en la empresa para prevenir riesgos e incidencias en esos
activos y protegerlos contra situaciones que pudieran destruirlos o modificarlos y, en
consecuencia, afectar al normal desarrollo de las actividades del negocio.

El área de seguridad informática es una actividad que tiene, cada vez, mayor
importancia dada la implicación e impacto que tienen los sistemas de información en los
procesos y actividades de las empresas, además de la evolución del ámbito operativo de
los mismos que ha evolucionado desde los procesos internos hacia la globalidad que
ofrece Internet. La mayor parte de las incidencias en los servicios tienen como origen la
falta de procedimientos y controles de seguridad que garanticen la operatividad y
continuidad de los sistemas de información. El desarrollo, Implementación, explotación y
mantenimiento de los sistemas tiene muy en consideración los aspectos de diseño y
requerimientos del negocio en relación a la usabilidad y presentación de resultados,
pero no tanto en los requisitos de seguridad que deben incorporar. El objetivo de este
capítulo es definir la importancia de los activos de información y la política a poner en
práctica, en toda la organización de la empresa, con normativas de seguridad que
deberán formar parte de los procesos y actividades y de los sistemas e infraestructuras
técnicas que los soportan.

Plan Integral de Seguridad de la Información

3
1.2 Acciones estratégicas.

La situación de la seguridad en DOCUDIGITAL requiere implantar en la cultura de la

empresa, un modelo de gestión de procesos y actividades donde la seguridad forme
parte de los sistemas e infraestructuras técnicas que utiliza la organización. El Gerente
general debe aprobar y desarrollar, para lograr mejorar la situación de la seguridad en
todo el ámbito de la empresa, el conjunto de acciones estratégicas que corresponden al
PISI :

1. Definir la política de seguridad de la empresa, que establecerá los activos críticos

para el normal funcionamiento de la empresa.
2. Elaborar la normativa de seguridad para prevenir riesgos y proteger esos activos
críticos con controles específicos para cada ámbito del negocio.
3. Establecer el plan de acción para desarrollar la política de seguridad y poner en
práctica la normativa y controles establecidos.

1.3 Política de seguridad.

La política de seguridad integral de la empresa tiene como misión prevenir riesgos y

proteger a empleados, clientes, infraestructuras, productos y servicios mediante la
vigilancia, el cumplimiento de la legislación vigente, la elaboración e Implementación de
normativas corporativas, la optimización continua de los sistemas y recursos internos
para evitar vulnerabilidades, la divulgación de la cultura de seguridad entre los
empleados y la colaboración con los órganos competentes de la administración. Acorde
a la misión de la seguridad en la empresa, se definirán los activos críticos para el
negocio que serán objeto de protección ante potenciales incidentes internos o externos.

1.3.1 Activos críticos.

La política de seguridad define como activos críticos los datos y los sistemas que los
tratan y manifiesta la determinación que ha de tener toda la organización para prevenir
los riesgos de robo, pérdida o deterioro que pudieran afectar a los procesos de negocio
y/o a los servicios al cliente. La seguridad de la información se logra con la

Plan Integral de Seguridad de la Información

4
Implementación y gestión de controles adecuados en las actividades de la organización,
en los procedimientos internos y en los servicios al cliente. La normativa de seguridad
describe los controles que deben implantarse de forma obligatoria, independientemente
del resultado de los análisis de riesgos. Si hubiese riesgos adicionales, deberán ser
informados de forma inmediata para implantar controles adicionales acorde a la
problemática que pudiera derivarse.

1.3.2 Organización y funciones.

A continuación se describe la estructura de gestión de la seguridad que se ha de

implantar en DOCUDIGITAL con el modelo de organización y funciones para poner en
práctica normativas de seguridad en los procesos, sistemas y servicios internos y de
negocio con el objetivo de eliminar o reducir las vulnerabilidades internas y/o externas.

La Gerencia General de la empresa pondrá en marcha el Comité de Seguridad, que será

el responsable de impulsar la seguridad buscando el compromiso y apoyo de los
directores y empleados.

El Comité de Seguridad tiene como misión la prevención de riesgos y la protección de

los activos críticos, garantizando la disponibilidad de procesos, sistemas y servicios
acorde a las necesidades del negocio.

Las responsabilidades del Comité de Seguridad serán:

1. Definir los objetivos estratégicos de seguridad de acuerdo a los activos críticos y

las necesidades y demandas relevantes del negocio.
2. Establecer sistemas de medida del desempeño de la función de la seguridad.
3. Supervisar el cumplimiento eficaz y eficiente de la normativa de seguridad.
4. Definir los archivos con datos críticos para el negocio y, con especial atención, los
correspondientes a los de carácter personal que han de declararse en AEPD.
Cada archivo tendrá un responsable directo que velará por la actualización,
calidad, privacidad y confidencialidad de los datos.
5. Aprobar la creación de comisiones de inspección y auditoría ante incidentes que
afecten al negocio.
6. Identificar, coordinar y apoyar iniciativas en materia de seguridad mediante una
efectiva gestión del conocimiento los empleados.

Plan Integral de Seguridad de la Información

5
 1.3.3 Normativa de seguridad.

La normativa de seguridad que a continuación se detalla define el conjunto de controles

que serán de aplicación obligatoria en toda la organización, tanto para las actividades
internas como para los servicios a los clientes.

Complementariamente a las normas, se establece la necesidad en cada área de gestión

interna y de atención al cliente, de aplicar los controles de seguridad que se identifiquen
en los procesos de análisis y gestión de riesgos en los servicios al cliente, con el objetivo
de eliminar o reducir posibles incidencias residuales que pudieran afectar a los procesos
de negocio. Todas las áreas de la organización estarán obligadas a poner los medios
necesarios para conocer, divulgar, implantar y cumplir la normativa de seguridad como
parte esencial del PISI.

1.3.3.1 Ámbitos de aplicación.

La normativa tiene carácter obligatorio para todos los procesos de negocio, tanto
internos como externos. También será de obligado cumplimento para los sistemas y
servicios subcontratados a terceros.

La normativa es de aplicación en todas las fases del ciclo de vida de la información:

generación, almacenamiento, procesamiento, distribución, consulta y destrucción, y de
los sistemas que la procesan: análisis, diseño, arquitectura, desarrollo, implementación,
producción, soporte técnico y mantenimiento, acorde a los estándares internacionales
sobre los que se ha diseñado la normativa de seguridad.

La normativa está organizada en cuatro apartados:

1. Los criterios que deben seguir las áreas de la organización en la aplicación de los
controles, con el objetivo de establecer un nivel adecuado y homogéneo de
seguridad y reducir el riesgo a un nivel aceptable para el negocio.
2. Los controles de seguridad relacionados con los recursos organizativos, técnicos,
operativos y legales de la empresa.
3. Los procedimientos y guías de seguridad que cada área debe desarrollar para
complementar los controles de seguridad.

Plan Integral de Seguridad de la Información

6
 4. La descripción de los estándares internacionales en los que se apoyan los
controles de seguridad: ISO/IEC 27002 y 27032 (Information technology –
Security techniques - Code of practice for information security management) y el
COBIT 5 (Control OBjectives for Information and related Technology).

A continuación se describen los controles que deberán ponerse en práctica en los

procesos, sistemas y servicios de la empresa.

1.3.3.2 Controles de la normativa.

Los controles de seguridad se corresponden con los principios, objetivos y requisitos

básicos definidos por la empresa para garantizar la prevención de los riesgos en los
servicios y operaciones de negocio, estableciéndose un nivel homogéneo de seguridad
en todas las áreas de la organización. El nivel de seguridad mínimo se establece acorde
a un subconjunto de controles. Cada área funcional podrá implantar un nivel más
restrictivo en la aplicación de estos controles si lo considera necesario para sus procesos
internos y/o de atención al cliente. Los controles deberán ser implantados,
administrados, monitoreados y revisados para mejorar la eficacia y eficiencia de los
mismos y asegurar que los objetivos de seguridad del negocio son alcanzados. En los
casos en que el coste de Implementación de un control sea mayor que el riesgo que se
reduce o el beneficio que se consigue, se podrá justificar la no Implementación del
mismo.
En el apartado 1.3.3.6 se describen los controles de seguridad a establecer en 15
ámbitos de gestión de la empresa. A continuación se describe cada ámbito y entre
paréntesis el número de controles anuales, para un total de ochenta (80) controles:

1. Organización (2).
2. Activos críticos (4).
3. Obligaciones del personal (6).
4. Activos de información (6).
5. Identificación de empleados (4).
6. Accesos a edificios, sistemas y servicios (3).
7. Auditoría e inspección (4).
8. Sistemas, redes y terminales (12).
9. Licencias de software (2).
10.Desarrollo y mantenimiento (6).

Plan Integral de Seguridad de la Información

7
 11.Copias de respaldo (12).
12.Gestión de soportes externos (3).
13.Continuidad de negocio (6).
14.Seguridad física (4).
15.Legislación (6).

1.3.3.3 Análisis y gestión de riesgos.

Las áreas de la organización deben establecer procesos de análisis y gestión de riesgos

para identificar y aplicar los controles de seguridad adicionales a los que se definen en
esta normativa, con el objetivo de reducir el riesgo residual a un nivel aceptable por la
empresa. El Comité de Seguridad liderará y coordinará la definición y establecimiento de
los procesos de análisis y gestión de riesgos.

1.3.3.4 Obligatoriedad.

La normativa de seguridad establece la obligatoriedad de elaborar planes de seguridad

que deberán acompañarse de procesos formales de análisis y gestión de riesgos que
permitan implantar las soluciones idóneas o bien, asumir los riesgos asociados a las
desviaciones respecto de estas soluciones. Los procesos de análisis y gestión de riesgos
cuantifican de forma metodológica los riesgos que soporta la empresa en función de la
probabilidad de ocurrencia de unas amenazas y el impacto que suponen. Una vez
cuantificados los riesgos, la empresa los gestionará mediante las siguientes opciones:

1. Aplicar y priorizar los controles de seguridad adecuados que reduzcan estos

riesgos a un nivel aceptable, en función de un análisis coste-beneficio, es decir,
que el coste de los controles sea menor que el riesgo que ayudan a reducir. Esos
controles de seguridad o contramedidas pueden disminuir la probabilidad de
ocurrencia (preventivas) o el impacto en caso de ocurrencia (reactivas).
2. Aceptar los riesgos de acuerdo al criterio de riesgo aceptable definido en la
empresa.
3. Transferir el riesgo, en la medida de lo posible, mediante la contratación de
pólizas de seguros.
4. Evitar los riesgos y, por tanto, dejar de realizar aquellas acciones que son origen
de los mismos.

Plan Integral de Seguridad de la Información

8
 1.3.3.5 Metodología.

Cada dirección de la empresa debe definir su estrategia de análisis y gestión del riesgo
mediante la definición y estructuración de los siguientes puntos:

1. Alcance de los análisis de riesgos, que afectarán a:

• Los sistemas de información
• La información
• Las procesos
• Los servicios
• Las oficinas y dependencias
• Los accesos a los sistemas de información
• La entrada y salida de personas
2. Las relaciones existentes entre los análisis de riesgos que se realicen.
3. La planificación, periodicidad y prioridad de los mismos.
4. El criterio de aceptación y gestión del riesgo de acuerdo a los objetivos de negocio:
máximo riesgo residual aceptable por la empresa, análisis costo-beneficio, criterios de
transferencia de riesgo, etc.
5. Los responsables de realizar los análisis de riesgos y la gestión del mismo. Por
defecto, el propietario de un activo de información (sistema de información, información
financiera de la empresa, datos de empleados de la empresa, etc.) es el que realiza una
función concreta con ese activo y lo actualiza y/o presta un servicio con el mismo.
6. El responsable del activo tiene la obligación de realizar el análisis de riesgos. El
propietario será responsable del impacto desproporcionado que ocasione la
materialización de un incidente de seguridad como consecuencia de no haber realizado
esa tarea.

Las direcciones de la empresa deberán mantener un inventario de activos para poder

afrontar los procesos de análisis y gestión de riesgos de acuerdo a la estrategia elegida.
Los análisis de riesgos deberán realizarse periódicamente o cuando existan cambios
significativos en los activos definidos en el alcance, en las amenazas, vulnerabilidades,
impactos, etc. La realización de estos análisis debe realizarse de forma metodológica
para poder realizar comparaciones en el tiempo. Si se cambia el método de análisis será
complicado comparar resultados con otros anteriores. Para la elaboración metodológica
y homogénea de los análisis y gestión de riesgos dentro de la empresa, cada dirección
tendrá que elaborar los siguientes documentos:

Plan Integral de Seguridad de la Información

9
1. La cartilla "Guía de análisis y gestión de riesgos" en la que se indicará los aspectos de
riesgo que se deben tener en cuenta en todos los procesos procesos de negocio, como
son:

• La definición del alcance mediante una lista exhaustiva y bien definida de los
activos sobre los que se realiza el análisis.
• Los roles involucrados en el análisis de riesgos: propietario de los activos, jefe de
proyecto, encargado del tratamiento, analista de riesgos de seguridad,
verificador, etc.
• Las fases del proceso de análisis y gestión de riesgos: inicio, valoración de
riesgos y controles, Implementación de controles, verificación de controles,
acreditación, revisión y seguimiento.
• La documentación que se genera en el proceso de análisis y gestión de riesgos.

2. El "Documento de análisis y gestión de riesgos" en el que se indicará el formato del

documento asociado a cada proceso de análisis y gestión de riesgos que se realice
internamente. En este documento debe indicarse:

• Los datos de las personas que asumen los roles implicados a lo largo del proceso
de análisis y gestión de riesgos.
• El alcance y caracterización de los activos involucrados en el análisis y gestión de
riesgos.
• La lista de controles de seguridad aplicables a los activos definidos en el alcance.
• La lista de pruebas realizadas a los controles y activos. El propietario de los
activos aceptará el riesgo residual como consecuencia de la no Implementación
de los controles o su incorrecta Implementación.

3. El "Procedimiento de valoración de riesgos y controles" con los pasos necesarios para

identificar controles de seguridad aplicables. El procedimiento Plan Integral de
Seguridad de la Información se basará en metodologías formales ligeras dependiendo
del alcance del análisis:

Metodología formal:
• Valorar e identificar los activos y sus vulnerabilidades.
• Cuantificar los riesgos y calcular su probabilidad.

Plan Integral de Seguridad de la Información

10
 • Elegir controles adecuados en función del coste-beneficio para reducir el riesgo a
un nivel aceptable por la empresa.

Metodología ligera:
Definir un subconjunto de controles y categorizarlos por criticidad:
• Alta.
• Media.
• Baja.
1.3.3.6 Controles de seguridad.

Los controles que se describen a continuación consideran quince ámbitos de procesos,

sistemas y servicios de la empresa. Para cada ámbito se utiliza un código de dos letras y
tres dígitos. La codificación de los controles de seguridad, con numeración correlativa
para cada código, servirá para evaluar y objetivar el grado de Implementación del PISI
cuando se realicen las auditorías periódicas establecidas por el Comité de Seguridad.

1.3.3.6.1 OP100 Organización.

Cada dirección, junto con el área de RRHH (empleados) y el área de Compras

(subcontrataciones), deberá seguir criterios en los procesos de selección e incorporación
de personal a la empresa. Se verificarán los antecedentes de los candidatos y
proveedores de acuerdo a la legislación aplicable y a los criterios de responsabilidad
social de la empresa. La necesidad de esta verificación será determinada por los análisis
de riesgos, teniendo en cuenta la sensibilidad y naturaleza de los sistemas y servicios
internos a los tengan acceso y/o los que deban utilizar para la prestación de servicios a
los clientes.

1. Código OP101 Referencias.

• Verificar las referencias profesionales de trabajos previos así cómo lo expuesto
por el candidato en el “Curriculum Vitae”.

2. Código OP102 Contratos.

• Incluir en los contratos la potestad de la empresa de vigilar el cumplimiento de
las normas de seguridad acorde a los controles establecidos en la misma.
• Incorporar cláusulas de indemnización por incumplimiento legislativo y de la
normativa interna.

Plan Integral de Seguridad de la Información

11
 • Incluir responsabilidades ante incidentes provocados por los incumplimientos.

1.3.3.6.2 IR100 Activos críticos.

Cada dirección deberá definir, con el VºBº del Comité de Seguridad, los activos críticos
del área y el uso que se hace de los mismos.

1. Código IR101 Identificación de activos.

• Identificar los procesos, sistemas y servicios que son críticos para el desarrollo de
las actividades del negocio.

2. Código IR102 Responsables de los activos.

• Identificar los responsables de los activos en las direcciones y asignarle las
siguientes funciones:
-Decidir la finalidad, contenido y uso del activo de información.
-Evaluar los controles de seguridad aplicables al activo.
-Gestionar el uso del activo de información.
-Comprobar el cumplimiento de los controles de seguridad aplicables.
-Solicitar, si fuera preciso, auditorías en los sistemas acorde a los criterios
definidos por el área legal y el área de RRHH.

1.3.3.6.3 OB100 Obligaciones del personal.

El personal, empleados y subcontratados, está obligado a cumplir la normativa de

seguridad de acuerdo a los procedimientos, sistemas y herramientas puestas a su
disposición por la empresa. En líneas generales, los empleados deben cumplir los
siguientes controles de seguridad:

1. Código OB101 Identidad.

• Identificarse en los controles de acceso a edificios, dependencias, infraestructuras
de red, sistemas, aplicaciones y bases de datos.
• En los sistemas de información es obligado:
-Mantener la confidencialidad de las credenciales de acceso y no
compartirlas con nadie, así como comunicar cualquier anomalía o
incidente (robo, pérdida, etc.) que tenga con las mismas.
-Evitar la escritura, copia o reproducción de las mismas en papel.

Plan Integral de Seguridad de la Información

12
 -Evitar almacenar las credenciales de acceso en archivos no protegidos.
-Realizar cambios de contraseñas con periodicidad.
-Evitar utilizar las mismas contraseñas en los servicios abiertos externos y
en los servicios de gestión interna.

2. Código OB102 Emergencias.

• Seguir las indicaciones de seguridad ante situaciones críticas o de emergencia.
• Realizar los simulacros de emergencia con objeto de garantizar una respuesta
adecuada ante este tipo de actuaciones.
• Poner en práctica los planes de contingencia de los servicios y continuidad de
negocio.

3. Código OB103 Utilización de recursos.

• Preservar los activos de la organización, incluyendo sistemas, equipos,
información, mobiliario y material de oficina. Estos activos deberán ser utilizados
para propósitos relacionados con el negocio de la empresa.
• No utilizar los recursos o instalaciones de la empresa con fines ilegales y/o
fraudulentos así como comerciales o profesionales distintos a los permitidos por
la empresa.
• Utilizar los sistemas de información y redes de comunicaciones autorizados
estrictamente para el cumplimiento de sus funciones dentro de la empresa. Los
empleados podrán utilizar el correo electrónico y los servicios de Internet con
libertad y responsabilidad, en el sentido más amplio posible, para el desempeño
de las actividades de su puesto de trabajo. No deben usar esos servicios de
forma que pongan en riesgo la seguridad y reputación de la empresa, evitando
navegar por sitios no confiables que puedan facilitar la propagación de “Malware”
(virus, spam, etc.) o realizar descargas de material protegido por copyright.
• Proteger y cuidar todos los sistemas y recursos que la empresa pone a su
disposición, especialmente fuera de las instalaciones de la misma.
• Finalizar las sesiones que tenga abiertas cuando no las necesite.
• Usar el protector de pantalla del sistema con un periodo de inactividad máximo
de 10 minutos y que necesite ser desbloqueado por contraseña.
• No desactivar ni cambiar la configuración de los mecanismos de protección
instalados (cortafuegos personales, antivirus, etc.).
• Utilizar software homologado y licenciado por la empresa.
• Apagar de forma ordenada el computador al finalizar la jornada laboral.

Plan Integral de Seguridad de la Información

13
 • Eliminar cualquier programa o archivo que impida o dificulte el normal
funcionamiento del sistema.
• Cumplir con las actualizaciones de seguridad de los sistemas y equipos de
acuerdo a los mecanismos establecidos en la empresa.
• Guardar por tiempo indefinido y máxima reserva los documentos, metodologías,
claves, análisis, programas y demás información, en soporte material o
electrónico, a la que tengan acceso durante su relación laboral.
• No divulgar la información de la empresa a personas o empresas ajenas a la
misma, salvo autorización previa. La obligación se mantendrá vigente tras la
extinción del contrato laboral.

4. Código OB104 Puesto de trabajo.

• No dejar documentación en las mesas de trabajo.
• Guardar bajo llave la información sensible impresa en papel o almacenada en
soportes externos.
• No desatender la documentación en impresoras comunes, fax, etc.
• Destruir la documentación sensible cuando se tire a la basura.
• Tener en cuenta la clasificación de la información, los requerimientos
contractuales y legales, así como los aspectos de mayor riesgo.

5. Código OB105 Uso de información.

• Acceder sólo a aquella información y recursos a los que se tiene acceso
autorizado acorde a la clasificación y tratamiento de la información elaborada por
la empresa.
• Notificar a la mayor brevedad los incidentes sospechosos que afecten o pudieran
afectar a la seguridad de la empresa mediante los procedimientos y canales
definidos en la empresa.
• No intercambiar documentación e información con empresas o personas externas
sin los controles definidos en la empresa.
• Cumplir con las restricciones de propiedad intelectual o industrial.
• Cumplir con la legislación de protección de datos aplicable, en lo que se refiere a
su actividad laboral en la entidad, velando que los datos son veraces, exactos y
completos.

6. Código OB106 Formación.

• Asistir a los cursos, capacitaciones y actividades facilitadas por la empresa en

Plan Integral de Seguridad de la Información

14
 materia de seguridad y protección.

7. Código OB107 Finalización actividad laboral.

• Devolver todos los activos de la empresa (computadores, teléfonos móviles,
tarjetas, cuentas de correo, claves de acceso, etc) una vez terminada la relación
laboral.
• En caso de proveedores y personal externo, la empresa subcontratada será la
responsable de exigir la devolución de los activos y recursos proporcionados.

1.3.3.6.4 AI100 Activos de información.

Cada dirección deberá evaluar la información que es crítica y vital para el negocio y
clasificarla acorde a su impacto en los procesos, sistemas y servicios. Será la propietaria
de la información y la responsable de su divulgación acorde a su nivel de clasificación.

1. Código AI101 Clasificación de la información.

• Clasificar los documentos acorde a cuatro niveles:

CONFIDENCIAL: Información crítica que debe ser protegida por su relevancia para la
empresa, como decisiones estratégicas, evaluaciones financieras y oportunidades de
negocio. Algunos ejemplos:

-Evaluaciones financieras.
-Código de software desarrollado por la empresa.
-Bases de datos de la empresa.
-Nuevas alianzas estratégicas.
-Investigación y desarrollo de productos y servicios.
-Estudios de entrada en nuevos mercados.
-Documentos en custodia durante proceso de digitalización y salvaguarda.

La responsabilidad de clasificar la información a nivel Confidencial corresponde al

director general y al Comité de Dirección.

RESTRINGIDA: Información interna a las áreas y/o proyectos que sólo debe utilizar un
grupo reducido de personas y debe ser protegida por su impacto en los intereses
internos, de los clientes o asociados y de los empleados. Algunos ejemplos:

Plan Integral de Seguridad de la Información

15
 -Evaluaciones de proveedores y colaboradores.
-Análisis y estudios de clientes.
-Ofertas de nuevos productos y servicios.

La responsabilidad de clasificar la información a nivel de Restringida corresponde a los

directores y gerentes/jefes.

USO INTERNO: Información que, sin ser confidencial ni restringida, debe mantenerse
en el ámbito interno de la empresa y no debe estar disponible externamente, excepto a
terceras partes involucradas previo compromiso de confidencialidad y conocimiento de
la empresa. Algunos ejemplos:

-Proyectos y servicios a clientes.

-Informes de mercado.
-Guías de uso de servicios y sistemas.

La responsabilidad de clasificar la información a nivel de uso interno corresponde a los

gerentes/jefes y los empleados.

PÚBLICA: Información para el mercado. Algunos ejemplos:

-Cuenta de resultados.
-Oferta de productos y servicios.
-Servicios a clientes, previa autorización de los mismos.

La desclasificación de una información será decidida por la persona que la hubiese

clasificado o por su superior jerárquico. La información no clasificada será tratada como
de uso interno y su divulgación solo será autorizada por la dirección propietaria de la
misma.

2. Código AI102 Inventario información clasificada.

• Todos los activos de información serán identificados e inventariados acorde a los
niveles de clasificación descritos en el código anterior.
• El inventario y registro de la información clasificada será centralizado en un
sistema de gestión documental.

Plan Integral de Seguridad de la Información

16
3. Código AI103 Tratamiento información clasificada.
• El acceso a la información estará restringido acorde al nivel de clasificación
establecido, con controles de identificación y autenticación que corresponda en
cada caso.

4. Código AI104 Reproducción información clasificada.

• La copia de información clasificada en formato electrónico o impreso sólo se
podrá realizar con autorización expresa de cada dirección propietaria,
exceptuando la información confidencial cuya copia debe autorizarla el director
general.
• El personal subcontratado no puede reproducir información de uso interno o
superior sin una justificación que atienda a la prestación del servicio que realiza
para la empresa y previo compromiso de confidencialidad y autorización de cada
dirección propietaria.
• Se pondrán los mecanismos necesarios, en el gestor documental donde resida la
información clasificada, para cumplir los controles de seguridad expuestos en los
apartados anteriores.

5. Código AI105 Distribución información clasificada.

• La distribución de información confidencial en formato papel o electrónico, previa
reproducción autorizada, sólo se realizará a las personas autorizadas por el
director general.
• La distribución de información restringida en formato papel o electrónico, previa
reproducción autorizada, sólo se realizará a las personas autorizadas por la
dirección propietaria.
• La distribución de información clasificada como confidencial o restringida se
realizará acorde a los siguientes criterios:
-En medios electrónicos será tratada con algoritmos de criptografía.
-En papel será enviada en sobre cerrado con garantías de integridad.

6. Código AI106 Destrucción información clasificada.

• La destrucción de información será autorizada acorde a su clasificación, si es
confidencial por el director general y si es restringida por la dirección propietaria.
• La destrucción en formato electrónico o impreso se realizará de forma que no
pueda recuperarse ni total ni parcialmente por ningún medio.

Plan Integral de Seguridad de la Información

17
 • El personal subcontratado destruirá toda la información de la empresa, clasificada
o no, una vez finalizada la prestación del servicio a la empresa.

1.3.3.6.5 IE100 Identificación de empleados.

Los empleados utilizarán medios biométricos/código de identificación personal/clave

privada, para el acceso a los sistemas y servicios de la empresa. El código servirá para
la identificación del empleado y la clave para su autenticación en el momento del
acceso. Ambos códigos, identificador y clave, definirán de forma inequívoca al empleado
que, en cada momento, use sistemas y servicios. Todos los empleados dispondrán de
esas credenciales que serán gestionadas acorde a los procedimientos y registros
determinados por la empresa. La robustez y fiabilidad del mecanismo de identificación y
autenticación estará en consonancia con la criticidad del recurso. Las credenciales de los
empleados serán:

1. Código IE101 Tarjeta identificación personal.

Los empleados dispondrán una tarjeta, personal e intransferible, con el logotipo y
diseño corporativo de la empresa y los siguientes datos:

-Nombre, apellidos y fotografía.

-Número de Identificación.

Los empleados subcontratados dispondrán una tarjeta, personal e intransferible, con el

logotipo y diseño corporativo de la empresa y los siguientes datos:

-Nombre, apellidos y fotografía.

-Número de Identificación
-Título “Contratista”.

• La tarjeta será de uso obligatorio a la entrada y salida de las dependencias y se

llevará en lugar visible durante la jornada laboral.

2. Código IE102 Códigos identificación personal.

El personal tendrá registrados sus huellas en el sistema de controles biométricos de la
empresa para su acceso a las instalaciones físicas, así como a la red de
DOCUDIGITAL.

Plan Integral de Seguridad de la Información

18
3. Código IE103 Claves privadas.
• La clave privada es personal e intransferible.
• El empleado es responsable de las acciones que se realicen con su clave de
acceso.

4. Código IE104 Información a los empleados.

• Las zonas de control de acceso a las dependencias y las áreas de trabajo
dispondrán en forma visible para todos los empleados información respecto uso
intransferible de tarjetas, claves y códigos personales.

1.3.3.6.6 AA100 Accesos a dependencias y sistemas.

El Comité de Seguridad definirá la política de acceso a las dependencias y sistemas de la

empresa acorde a los requerimientos del negocio y basada en el principio de que los
empleados sólo pueden y deben acceder a la información y recursos necesarios para
realizar sus funciones. Los perfiles de acceso estarán relacionados con los niveles
organizativos, funciones y la situación de los empleados, internos o subcontratados.

1. Código AA101 Niveles de acceso.

Las direcciones serán responsables de definir:
-Los requisitos de acceso a dependencias, sistemas y servicios.
-Los niveles de acceso temporales de los empleados, internos y
subcontratados, se gestionarán acorde a las funciones internas.
• Las direcciones informarán periódicamente a Recursos Humanos de las
autorizaciones y revocaciones de acceso.
• El Comité de Seguridad definirá las autorizaciones y revocaciones de acceso.

2. Código AA102 Gestión de accesos.

• La dirección de Recursos Humanos será la responsable de la gestión,
mantenimiento y actualización de las autorizaciones de acceso, coordinándose
con el resto de áreas de negocio.

3. Código AA103 Sistema de gestión de identidad y recursos.

• Las autorizaciones de acceso a dependencias, sistemas y servicios estarán
ubicadas en un sistema de gestión de identidad y recursos autorizados conectado

Plan Integral de Seguridad de la Información

19
 en red con el resto de sistemas y servicios de la empresa que lo utilizarán para
gestionar las autorizaciones de acceso.
• La dirección de Recursos Humanos es la responsable del sistema de gestión de
identidad y recursos.
• Las direcciones están obligadas a mantener actualizados los datos de los recursos
y las autorizaciones de acceso correspondientes.

1.3.3.6.7 AC100 Auditoría e inspección.

Los sistemas dispondrán de registros de auditoría con datos relativos a los códigos de
identificación que los han utilizado, fecha y hora, recurso al que se accede, tipo de
acceso, autorización o denegación y computadores o terminales utilizados.
1. Código AC101 Registros de auditoría.
• Con carácter general será necesario generar y almacenar registros de auditoría
con:
-Los eventos requeridos por la legislación vigente.
-Los intentos de autenticación fallidos.
-Los eventos de configuración.
-Los eventos de administración.
-La operación de los sistemas.
-Los errores de funcionamiento.

2. Código AC102 Integridad, confidencialidad y disponibilidad.

• Se garantizará la integridad de los registros de auditoría y los mecanismos que
los generan.
• El borrado o desactivación sólo será autorizado por el Comité de Seguridad.
• El acceso a los registros de auditoría y el control de los mecanismos que los
generan sólo se permitirá a las personas autorizadas por el Comité de Seguridad
acorde a las directrices de las direcciones.
• Los registros de auditoría serán almacenados por un periodo de tiempo aceptable
que permita tenerlos disponibles para potenciales investigaciones.
• El periodo de almacenamiento de registros de auditoría se realizará acorde a la
legislación vigente y aplicable.

3. Código AC103 Sincronización y monitorización de actividad.

• Los relojes de todos los sistemas y servicios que generen registros de auditoría

Plan Integral de Seguridad de la Información

20
 deberán sincronizarse con la misma fuente de tiempo.
• Los registros podrán ser monitoreados para la elaboración de informes
periódicos.

1.3.3.6.8 IT100 Sistemas, redes y terminales.

Los sistemas, redes de comunicaciones y terminales dispondrán de procedimientos

operativos de seguridad para su configuración, administración, operación y gestión de
cambios.
1. Código IT101 Operación y mantenimiento de sistemas.
• Se elaborarán procedimientos operativos de seguridad para la configuración,
instalación y mantenimiento de:
-Los sistemas operativos utilizados en la gestión interna de la empresa.
-Los sistemas operativos de desarrollo y pruebas de proyecto para los
clientes.
-Las bases de datos.
-Los servidores de aplicaciones.
-Los servidores de archivos.
• La configuración e instalación de servidores, sistemas operativos y bases de
datos se realizará acorde a estructura de máxima tolerancia a fallos en software,
hardware, alimentación eléctrica y climatización.
• El mantenimiento físico de los equipos informáticos se realizará durante la
segunda semana de cada mes. El mantenimiento lógico de los equipos se
realizará durante la segunda semana de cada bimestre.

2. Código IT102 Operación y mantenimiento de redes.

• Se elaborarán procedimientos operativos de seguridad para la configuración,
instalación, mantenimiento de:
• La interconexión de redes:
-Área local (LAN).
-Área extendida (WAN).
• Los protocolos de enrutamiento.
• Las reglas de los cortafuegos (Firewall).
• Los routers, switches y servidores de traducción de direcciones IP (DNS).

Plan Integral de Seguridad de la Información

21
3. Código IT103 Segregación de comunicaciones.
• La red interna de la empresa se segregará en varios segmentos lógicos de
acuerdo a niveles de riesgo. Los segmentos de red se aislarán mediante
dispositivos de enrutamiento que controlarán el acceso y el tráfico entre los
segmentos acorde a criterios de criticidad relativos a:
-Los sistemas conectados al segmento.
-La información que tratan.
-La información que se transmite.
-Los servicios existentes.
-La exposición a amenazas externas desde Internet.
-Los empleados que se conectan.
-Los mecanismos de seguridad implantados.
-La condición de la red: cableada o inalámbrica.
-Las prioridades o necesidades de acceso.

4. Código IT104 Configuración de red.

• Los enrutamientos se realizarán de forma que se garantice la correcta
implementación de los criterios y políticas que regulan el tráfico permitido entre
los segmentos lógicos de la red.
• Los cortafuegos deberán establecer mecanismos que eviten accesos no
autorizados.
• Se protegerá la integridad del servicio de traducción de direcciones IP (DNS).
• Se protegerá la asignación dinámica de direcciones IP (DHCP).
• Se implantarán mecanismos que comprueben que la seguridad del computador
personal que se conecta de forma remota (Internet, ADSL, etc.) es suficiente y
no pone en peligro la seguridad de la red interna.
• Se dispondrá de mecanismos de análisis de configuración de los computadores
que se conectan para comprobar que tienen instalados y operativos los sistemas
operativos y de seguridad establecidos.
• Se establecerán controles para prevenir, registrar y monitorear las amenazas y
proteger de las mismas a los sistemas y terminales que hacen uso de la red y los
registros de datos en tránsito.

5. Código IT105 Conexiones inalámbricas.

Las redes inalámbricas establecerán mecanismos de seguridad que garanticen la
integridad y confidencialidad de las comunicaciones:

Plan Integral de Seguridad de la Información

22
 -Autenticación y control de acceso a la red.
-Filtrado de direcciones IP.
-Cifrado de comunicaciones.
-Detección de incidencias:
+Intrusos, puntos de acceso no autorizados, robos de sesión,
falsificación de parámetros de red, robo de credenciales de
autenticación, intentos de rotura de claves de sesión, etc.
+Barrido de frecuencias, denegación de servicio, alteración o
retransmisión de paquetes, reducciones de cobertura, etc.

6. Código IT106 Configuración de terminales.

• Se definirán e implantarán controles orientados a proteger la información en los
terminales: computadores de mesa y portátiles, agendas electrónicas, teléfonos
móviles, etc.
• Los terminales dispondrán de dispositivos, hardware y/o software para:
-Control de acceso lógico.
-Contraseña de arranque.
-Cifrado de registros de archivos en disco.
-Cifrado de comunicaciones.
-Protección frente a virus.
-Protección perimetral: cortafuegos personal.
-Salvaguarda de la información:
+Backup remoto.
+Copias de seguridad cifradas en dispositivo externo.
-Conexión a la red interna de la empresa.
-Actualización periódica de sistema operativo y software instalado.
-Los terminales más críticos dispondrán de seguro y procedimiento ante
pérdidas o robos del equipo.
-Cuando los datos de carácter personal se almacenen en dispositivos
portátiles y se traten fuera de los locales de la empresa será preciso que
exista una autorización previa del propietario de la información, y en todo
caso deberá garantizarse su seguridad.
-En los computadores externos de acceso remoto:
+No se dejará información de la sesión al terminar la conexión.
+Se instalaran cortafuegos internos para evitar que el computador
haga de pasarela entre la red interna y otras redes externas.

Plan Integral de Seguridad de la Información

23
7. Código IT107 Configuración de sistemas.
• Se dispondrá de una herramienta para mantener el inventario de los equipos y
software instalado: versiones, configuraciones, ubicación, responsable y
documentación asociada.
• Los servidores de aplicaciones y datos, así como los equipos de la red de
comunicaciones que soporten aplicaciones básicas del negocio, serán
configurados con elementos duplicados que garanticen la disponibilidad y
continuidad del servicio si uno o varios de los componentes básicos, hardware y/
o software, tiene alguna incidencia en su funcionamiento normal.
• Los sistemas más críticos para el negocio dispondrán de recursos informáticos
dedicados y aislados del resto, en función de la criticidad de la información o del
servicio que ofrezcan.
• El nivel de criticidad de los sistemas será definido por el Comité de Seguridad
acorde al nivel de riesgo.

8. Código IT108 Control de la capacidad.

• Se monitoreará el uso de los recursos en los sistemas y en los dispositivos de la
red con el objetivo de ajustar y planificar la capacidad de los mismos de acuerdo
al rendimiento esperado.
• En la planificación de cada sistema deberán tenerse en cuenta:
-Los requisitos de los nuevos sistemas, así como la tendencia actual y
proyectada del uso de los recursos.
-Los plazos de provisión de los sistemas y dispositivos.

9. Código IT109 Gestión de cambios.

• Se realizará seguimiento y control de los cambios en los equipos, sistemas
operativos, software de base y elementos de la red de comunicaciones.
• Se revisarán los sistemas y aplicaciones afectadas con el fin de asegurar que el
cambio no tendrá efecto negativo en las actividades de negocio.
• Se dispondrá de varios procedimientos de gestión de cambios que deben incluir
los siguientes aspectos:
- Identificar los cambios de actualización de versiones de software e
instalación de modificaciones (“parches”).
-Planificar y probar previamente los cambios.
-Análisis de riesgos cuando los cambios sean significativos.

Plan Integral de Seguridad de la Información

24
 -Autorización previa del cambio por la dirección responsable del servicio.
-Comunicación de los detalles del cambio a todas las personas que usen
el sistema o servicio objeto del cambio.
-Procedimiento de vuelta a atrás para recuperar el estado inicial en
caso de que el cambio sea fallido.
-Registro de los cambios realizados.
• Se dispondrá de una herramienta para mantener el inventario de software
instalado: versiones instaladas, configuraciones, ubicación, responsable y
documentación asociada.

10. Código IT110 Gestión de vulnerabilidades.

• Se gestionarán las vulnerabilidades que afecten a los sistemas operativos y
software de base de forma efectiva y sistemática, minimizando el tiempo de
exposición de los sistemas y el riesgo de que puedan ser explotadas. Se deberá
tener en cuenta los siguientes criterios:
-Utilizar la herramienta de inventario de software instalado.
-Gestionar una o varias fuentes de información de vulnerabilidades y
“parches” aplicables. Las fuentes serán de los propios fabricantes o
fuentes de contrastado prestigio y credibilidad que abarquen todas las
plataformas instaladas en la empresa.
-Definir los procedimientos de actuación para:
+La identificación de vulnerabilidad, análisis y aplicación del
“parche”.
+Las soluciones alternativas caso de no existir el “parche” o no
poder aplicarlo.
+La verificación final.
- Definir y monitorear los tiempos máximos de exposición de los sistemas
ante vulnerabilidades graves.

11. Código IT111 Gestión de incidencias.

• Se cuantificarán los tipos, volumen, frecuencia, daños y costes producidos por los
incidentes de seguridad con el objetivo de identificar las mejoras a establecer y
controles necesarios a poner en práctica. A tal efecto:
-Se establecerán procedimientos y responsabilidades en la gestión y
respuesta a las incidencias de seguridad en los servicios.
-Se definirá un procedimiento de registro de todas las incidencias

Plan Integral de Seguridad de la Información

25
 gestionadas. Cuando las incidencias notificadas correspondan con un
evento que ha causado una pérdida en la empresa se activará la gestión y
respuesta al incidente. El procedimiento deberá incluir los siguientes
aspectos:
+Los servicios afectados y comunicación realizada.
+ El área o dirección responsable de la resolución.
+Las acciones a realizar en función de la naturaleza y gravedad del
incidente:
-Fallos de sistemas y/o pérdida/denegación de servicio.
-Código malicioso.
-Pérdida confidencialidad y/o integridad de información.
-Fuga o abuso de información.
+Las fases por las que pasa la gestión del incidente:
-Recopilación de datos y evidencias.
-Comunicación a las direcciones y/o clientes afectados.
-Investigación y evaluación de riesgo.
-Resolución: Acciones de prevención y protección.
-Seguimiento del servicio.
+El estado de situación del incidente, con fecha y hora, clasificado
por:
-ABIERTO : Incidente notificado.
-RESOLUCIÓN : En fase de análisis y solución.
-SEGUIMIENTO : Resuelto y servicio restablecido.
-CERRADO : Funcionamiento normal del servicio.

1.3.3.6.9 LS100 Licencias de software.

Los productos comprados o licenciados para uso interno y/o en los clientes, deberán
regirse por la normativa del suministrador o distribuidor y será compatible con las
versiones del software en servicio y la plataforma vigente de sistemas, redes y
terminales.

1. Código LS101 Productos y licencias de uso.

• Los sistemas operativos y programas producto deberán estar en consonancia con
la arquitectura y estándares de sistemas, redes y terminales.

Plan Integral de Seguridad de la Información

26
 • La oferta de los distintos proveedores ha de cumplir los criterios y estándares de
seguridad de la empresa. Las propuestas serán vinculantes mediante la inclusión
de cláusulas específicas en los contratos de adquisición.
• El software comercial que se utilice en la empresa estará debidamente licenciado
y su uso se limitará a lo establecido en el contrato. Estará debidamente
soportado por el proveedor, el cuál garantizará por escrito la resolución de las
incidencias.
• El uso de software libre será tenido en cuenta como opción en todo proceso.

2. Código LS102 Actualizaciones software.

• La actualización, nuevas versiones o “parches” de las licencias compradas y/o
licenciadas se realizará acorde a los requerimientos oficiales de los proveedores.
Todos los cambios se realizarán según los procedimientos de gestión de cambios
incluidos en la normativa de seguridad.
• El mantenimiento periódico se realizará acorde a los requisitos de los
proveedores y a las necesidades de la empresa.
• Los mantenimientos remotos automáticos, salvo emergencias y control del área
de seguridad, no están permitidos.

1.3.3.6.10 DM100 Desarrollo y mantenimiento.

Los sistemas desarrollados deben ser compatibles con las infraestructuras de técnicas
de sistemas, redes y terminales de la empresa, garantizando el cumplimiento de los
procedimientos y servicios internos.

1. Código DM101 Desarrollo de proyectos.

• Los desarrollos de sistemas y/o aplicaciones, internos o de clientes y las
infraestructuras tecnológicas seguirán un proceso formal de documentación,
especificación, pruebas, control de calidad e Implementación de acuerdo a los
controles de seguridad de esta normativa.
• Antes de la entrada en explotación de nuevos sistemas e infraestructuras
tecnológicas, se verificará que están implantados los controles de seguridad
definidos en esta normativa.
• Los sistemas desarrollados han de utilizar las soluciones y servicios técnicos
comunes de la empresa con los controles de seguridad establecidos en esta
normativa.

Plan Integral de Seguridad de la Información

27
2. Código DM102 Mantenimiento de sistemas.
• Los mantenimientos de sistemas y/o aplicaciones, internos o de clientes y las
infraestructuras tecnológicas consecuencia de los mismos, seguirán un proceso
formal de documentación, especificación, pruebas, control de calidad e
Implementación de acuerdo a la gestión de cambios y los controles de seguridad
definidos en esta normativa.

3. Código DM103 Separación de entornos.

• Los entornos de desarrollo, pruebas o certificación y producción contarán con
sistemas y recursos separados para reducir los riesgos de acceso o cambios en el
software y en los servicios.
• Se establecerán reglas para transferir, previa autorización, el software de los
sistemas y aplicaciones entre los entornos de desarrollo, pruebas y producción.

4. Código DM104 Código fuente.

• El acceso al código fuente de los programas, así como a los documentos de
diseño, especificaciones, arquitectura tecnológica, planes de pruebas, etc. estará
restringido al personal autorizado. Se considera activo Crítico de la empresa y es
información confidencial.

5. Código DM105 Servicios subcontratados.

• Se definirá claramente la propiedad del software desarrollado y los derechos de
propiedad intelectual.
• El desarrollo y mantenimiento de sistemas y aplicaciones encargadas a personas
naturales o jurídicas subcontratadas será monitorizado y controlado para
garantizar la calidad y seguridad del software.
• Las personas subcontratadas firmarán acuerdos o cláusulas de confidencialidad y
no divulgación.

1.3.3.6.11 CR100 Copias de respaldo.

El Comité de Seguridad definirá los criterios de copia y respaldo de la información de los

sistemas, aplicaciones y servicios acorde a las necesidades del negocio.

Plan Integral de Seguridad de la Información

28
1. Código CR101 Procedimientos de copia.
• Se dispondrá de procedimientos, dispositivos y soportes para la realización de las
copias de respaldo y posterior recuperación en caso de desastre o fallo de los
sistemas y/o servicios soportes de acuerdo a los criterios de respaldo y
recuperación establecidos.
• Las copias de respaldo se realizarán y se verificará su usabilidad de forma
periódica acorde a criterios establecidos.
• La copia de datos de carácter personal y su vigencia se realizará acorde a la
legalidad vigente.

2. Código CR102 Recuperación de información.

• La recuperación de información a partir de las copias de respaldo deberá
realizarse cuando el proceso, sistema o servicio lo demande y deberá ser
autorizada por el propietario de la misma.

1.3.3.6.12 GS100 Gestión de soportes externos.

Los soportes externos con documentación y datos de la empresa y/o de proyectos y

servicios serán inventariados y etiquetados con la información suficiente para su
identificación, conservación, distribución y uso.

1. Código GS101 Identificación.

Se mantendrá un registro o inventario con los datos identificativos de cada soporte, por
ejemplo:
-Código identificación.
-Tipo soporte: CD/DVD, memoria flash, disco externo, etc.
-Localización: interno/externo.
-Situación: usable o destruido y fecha asociada.
-Tiempo de vigencia de la información almacenada.
-Información almacenada: documentos, presentaciones, diseños y desarrollos de
proyecto, códigos fuente, ofertas a clientes, copia de bases datos y/o archivos,
etc.

2. Código GS102 Conservación.

• Los soportes externos serán almacenados en lugares cuyas condiciones

Plan Integral de Seguridad de la Información

29
 ambientales de humedad y temperatura cumplan los requisitos de conservación
especificados por los fabricantes de los mismos.
• Si la información almacenada en un soporte externo debe conservarse durante
un plazo mayor que el tiempo de vida del soporte deberá copiarse la información
a un soporte nuevo.
• Los soportes no necesarios, por información obsoleta o caducidad del mismo,
deberán ser destruidos de forma que sea imposible recuperar la información que
contienen.

3. Código GS103 Distribución y uso.

• El acceso al contenido de los soportes externos estará restringido acorde a los
niveles de clasificación de la información almacenada.
• Se implantarán procedimientos de entrada/salida de los soportes externos. Se
mantendrá registro en el que se refleje la siguiente información:
-Código identificación del soporte.
-Tipo: CD/DVD, memoria flash, Disco externo, etc.
-Fecha y hora de entrada/salida.
-Emisor/destinatario.
-Motivo entrada/salida.
• Se establecerán mecanismos de protección que garanticen la confidencialidad e
integridad de la información y controles que permitan detectar si se ha producido
algún acceso no autorizado.

1.3.3.6.13 CN100 Continuidad de negocio.

Se definirán planes de contingencia de los procesos, sistemas y servicios para reducir las
consecuencias derivadas de incidencias que afecten, total o parcialmente, a la capacidad
operativa de la empresa y garantizar la recuperación inmediata de la actividad de
negocio. La elaboración del plan de contingencia de un proceso, sistema o servicio la
realizará el responsable o propietario del mismo.

1. Código CN101 Recursos críticos y responsabilidades.

• Se definirán los procesos, sistemas o servicios que sean considerados críticos
para el negocio.
• Los procesos, sistemas y servicios críticos deberán incluirse dentro del alcance del
plan de contingencia.

Plan Integral de Seguridad de la Información

30
 • Se determinará el propietario de cada proceso, sistema y servicio crítico.

2. Código CN102 Análisis de impacto.

• Se realizará un análisis de impacto de los procesos, sistemas y servicios críticos
con las consecuencias para el negocio ante cualquier incidencia.
• Los análisis de impacto tendrán en cuenta los siguientes puntos:
-Clasificar los eventos, internos o externos, que pueden causar una
pérdida, deterioro o paralización de los recursos críticos, tanto directa
como indirectamente: fallos en las infraestructuras técnicas de sistemas,
redes y terminales, errores humanos, fuego, desastres naturales,
accidentes, actos terroristas, etc.
-Evaluar el máximo tiempo que el negocio puede aguantar antes de
contraer pérdidas.

3. Código CN103 Alternativas de respaldo.

• Establecer las alternativas de respaldo para cada evento en función los tiempos
máximos sin servicio.
• Evaluar las alternativas de respaldo acorde al balance entre la perdida ocasionada
por la indisponibilidad de los recursos y el coste necesario para recuperarlos.

4. Código CN104 Selección de estrategias de respaldo.

• Definir la estrategia global de respaldo como la integración y priorización de las
diferentes alternativas de respaldo analizadas en el punto anterior. La estrategia
de respaldo tratará de recuperar los recursos afectados de la manera más rápida
y efectiva posible.
• En la selección de las estrategias de respaldo se tendrá en cuenta las
capacidades de los proveedores externos, tanto de plataformas técnicas como de
servicios, y las necesidades de los clientes.
• Evaluar la búsqueda de acuerdos con otras empresas para llegar a posibles
asociaciones y sinergias en las estrategias de respaldo.

5. Código CN105 Desarrollo e Implementación.

• Acorde a las estrategias de respaldo se establecerán los equipos de emergencia,
los procedimientos y los planes de actuación necesarios para garantizar la
recuperación de los procesos, sistemas y servicios dentro de los parámetros de
tiempo y calidad establecidos.

Plan Integral de Seguridad de la Información

31
 • En todo el proceso de desarrollo e Implementación se garantizará la seguridad de
los sistemas y los datos.
• Se tendrán en cuenta los siguientes puntos:
-La identificación de los recursos incluidos en el alcance del plan de
contingencia: personas, infraestructuras físicas y técnicas, capacidades de
proceso, sistemas, servicios, bases de datos, datos, documentos, etc.
-Las relaciones y dependencias con otros planes de contingencia
existentes en la empresa.
-Los datos de contacto de todas las personas involucradas en el desarrollo
del plan de contingencia: responsable, coordinadores, equipos de
emergencia, proveedores involucrados, etc.
-La definición de los criterios y condiciones de activación.
-La contratación de los recursos, infraestructuras externas y prestación de
servicios para la puesta en marcha de la estrategia de respaldo.
-La revisión de todas las prestaciones de servicios ya existentes que
entren a formar parte de la estrategia de respaldo.
-Los recursos y organización de los equipos de emergencia con el
detalle de responsabilidades, funciones y dependencias orgánicas.
• Los planes de contingencia se probarán, actualizarán y revisarán regularmente
para comprobar su eficacia y actualización.
• Los planes de contingencia se revisarán y actualizarán en los procesos de cambio
de la empresa que afecten a:
-La organización.
-Las infraestructuras técnicas.
-Las estrategias de negocio y de servicio.
• El Comité de Seguridad determinará los plazos de revisión periódicos.

6. Código CN106 Estructura.

• Los planes de contingencia se estructurarán de forma consistente y relacionada,
de modo que un plan de contingencia englobará e incluirá los planes de
contingencia de rango o alcance inferior y al mismo tiempo, se englobará y
supeditará a los planes de contingencias de rango o alcance superior.
• El rango o alcance de los planes de contingencia serán:
-El negocio: plan de contingencia de la empresa.
-Todos o parte de los procesos, sistemas y servicios: plan de contingencia
parcial, ejemplo plan de contingencia de la facturación de los servicios.

Plan Integral de Seguridad de la Información

32
 -Todos o parte de las infraestructuras que soportan los procesos, sistemas
y servicios de negocio: ejemplo plan de contingencia de servidores
informáticos, plan de contingencia de las oficinas, etc.

1.3.3.6.14 SF100 Seguridad física.

Se diseñarán e implantarán medidas de protección física orientadas a prevenir riesgos

en las oficinas y recursos de la empresa. Las medidas de vigilancia y protección estarán
adaptadas a la legislación vigente.

1. Código SF101 Perímetros de acceso.

• Se establecerán barreras físicas a la entrada y salida de las oficinas.
• Se establecerán puestos de vigilancia y control de acceso de personas y
correspondencia.
• Se instalarán dispositivos de video vigilancia en los perímetros de acceso con
sistemas que faciliten el registro y grabación.

2. Código SF102 Controles de acceso.

• Se establecerán controles de acceso de personas y correspondencia
• Las visitas a las oficinas y dependencias se regirán por los controles de acceso
establecidos, identificándose con una tarjeta temporal que le será suministrada
en el puesto de vigilancia.
• Los empleados están obligados a portar su tarjeta de identificación personal o
temporal en lugar visible durante su estancia en las oficinas y dependencias.

3. Código SF103 Protección dependencias.

• Se diseñarán e implantarán medidas de protección física orientadas a proteger
los despachos, las oficinas y salas de infraestructuras técnicas:
-Los despachos, armarios, archivadores u otros elementos en los que se
almacenen documentos de la empresa deberán ubicarse en áreas o salas
en las que el acceso esté restringido única y exclusivamente al personal
autorizado.
-El acceso a dichas áreas estará protegido con puertas y sistemas de
apertura/cierre mediante llave u otro dispositivo equivalente.
-Las áreas protegidas deberán permanecer cerradas cuando no sea
preciso su acceso.

Plan Integral de Seguridad de la Información

33
 -Sediseñarán e implantarán medidas de protección frente a incendios,
perdidas de agua u otro desastre casual o provocado.

4. Código SF104 Protección de infraestructuras técnicas.

• El equipamiento técnico deberá ubicarse y protegerse para reducir el riesgo de
amenazas del entorno (agua, fuego, etc.) así como las oportunidades de accesos
no autorizados.
• Los equipos se protegerán frente a fallos eléctricos y otras anomalías en el
suministro necesario: agua, ventilación, aire acondicionado, etc.
• El cableado de energía y telecomunicaciones que porten datos o soporten
servicios de información se protegerán contra interceptación o daños.
• Los sitios donde se encuentren ubicados los equipos tendrán controles de
temperatura y humedad, de manera que los equipos mantengan su operatividad
y disponibilidad.
• Los equipos no saldrán de las oficinas de la empresa sin previa autorización del
departamento de Seguridad de la Información.

1.3.3.6.15 CL100 Legislación.

Los controles de seguridad establecidos en esta normativa han de estar adaptados al

cumplimiento de la legalidad vigente.

1. Código CL101 Legislación aplicable.

• Se identificarán los requisitos de las leyes aplicables en todos los controles.
• Se definirán los responsables internos de velar por su cumplimiento.
• Se identificarán las implicaciones legales en otros países a los que esté obligada
la empresa por los servicios prestados a los clientes.

2. Código CL102 Propiedad intelectual.

• El uso de software, productos y material licenciado cumplirá con las restricciones
definidas en la legislación aplicable.
• El software o material producido por la empresa susceptible de protección
intelectual será registrado a nombre de la empresa.

3. Código CL103 Registros de auditoría.

• La generación, almacenamiento y acceso a los registros de auditoría de los

Plan Integral de Seguridad de la Información

34
 sistemas de información y redes de comunicaciones cumplirá con los requisitos
legales establecidos en la ley.

4. Código CL104 Protección de datos de carácter personal.

• El tratamiento de información con datos de carácter personal cumplirá con los
requisitos legales establecidos en la ley 1581 de 2012 y demás disposiciones
legales que apliquen.
• Se definirá una política de protección y privacidad de datos de carácter personal
de la empresa y será comunicada a todos los empleados.

5. Código CL105 Monitorización de sistemas y servicios.

• Los empleados internos y externos serán informados de sus obligaciones y
limitaciones en el uso de los sistemas de información y redes de comunicaciones
de la empresa.
• La empresa se reserva la potestad de vigilar el cumplimiento de estas
obligaciones y limitaciones a través de la monitorización del uso de los mismos.

6. Código CL106 Auditoría.

• El cumplimiento de la normativa de seguridad será revisado de forma periódica
por una entidad, interna o externa, independiente del área auditada.
• Las revisiones serán definidas y autorizadas por el Comité de Seguridad.
• El informe de situación será remito al Comité de Seguridad.

1.3.3.7 Procedimientos y guías de seguridad.

Los procedimientos operativos y guías de usuario que deberán realizar las direcciones
de la empresa establecerán los pasos necesarios a seguir para realizar una determinada
tarea y cumplir con uno o varios de los controles de esta normativa. Los procedimientos
podrán referenciar a otros existentes y podrán ser auditados. Las guías de usuario
deberán complementar los procedimientos operativos y estarán orientadas a los jefes de
proyecto y empleados. Detallarán todos los aspectos técnicos y operativos para cumplir
con los controles de seguridad. A continuación se detallan los procedimientos y guías
complementarias a poner en práctica para cumplir con la normativa de seguridad y los
controles establecidos:
1. Selección e incorporación de personal.
2. Registro y control de identidades.

Plan Integral de Seguridad de la Información

35
 3. Obligaciones del personal.
4. Definición y clasificación de activos críticos.
5. Análisis y valoración de riesgos.
6. Clasificación y tratamiento de información.
7. Derechos y autorizaciones de acceso.
8. Gestión de accesos a sistemas y servicios.
9. Controles de acceso a oficinas y áreas internas.
10.Gestión y monitoreo de los registros de auditoría.
11.Gestión de configuración en las infraestructuras técnicas de sistemas, redes y
terminales.
12.Segmentación del tráfico en las redes.
13.Gestión de cambios en las infraestructuras de sistemas, redes y terminales.
14.Desarrollo y mantenimiento de sistemas y servicios.
15.Pruebas y certificación para la explotación de sistemas de gestión interna.
16.Pruebas y certificación para la entrega y explotación de sistemas de servicio a
clientes.
17.Gestión y respuesta a incidentes.
18.Copias de respaldo y recuperación.
19.Distribución y uso de soportes externos.
20.Planes de contingencia.
21.Vigilancia y protección de dependencias.
22.Protección de sitios con infraestructuras técnicas.

1.3.3.8 Estándares ISO/IEC 27002:2013, ISO/IEC

27032:2012 y COBIT 5.0.

El PISI propuesto está desarrollado conforme a las directrices de:

1. El estándar ISO/IEC 27002:2005 (anteriormente ISO/IEC 17799) para la seguridad de

la información publicado por “International Organization for Standardization” y
por la “Comisión Electrotécnica Internacional” en el año 2000 con el título de
“Information technology - Security techniques - Code of practice for
information security management”. Se publicó en el año 2005 un nuevo
documento actualizado denominado ISO/IEC 17799:2005. El estándar ISO/IEC 17799
tiene su origen en la norma británica “British Standard BS 7799-1” que fue publicada
por primera vez en 1995. El estándar proporciona recomendaciones de las mejores

Plan Integral de Seguridad de la Información

36
prácticas en la gestión de la seguridad de la información en las empresas. El estándar
define la seguridad de la información como la preservación de la confidencialidad para
que sólo accedan a la información las personas o sistemas autorizados, la integridad
para la información sea exacta y completa acorde a sus métodos de proceso y
disponibilidad, asegurando que los usuarios autorizados tienen acceso a la información y
a sus activos asociados cuando lo requieran. Incluye las acciones, controles y prácticas a
realizar en cada uno de los ámbitos de gestión de sistemas de información de la
empresa.

2. El estándar COBIT 5.0 (Control OBjectives for Information and related Technology ) es
el modelo para la gestión de las tecnologías de la información (TI) desarrollado por la
“Information Systems Audit and Control Association (ISACA)” y el “IT Governance
Institute (ITGI)”. COBIT 5.0 proporciona a la dirección, gerentes, jefes de proyecto,
técnicos y usuarios de las tecnologías de la información un conjunto de medidas,
indicadores, procesos y mejores prácticas de gerencia y usabilidad de las TI para
maximizar sus ventajas en la empresa con modelos de organización y gestión
experimentados. Describe un marco de gestión de las TI con elementos de control,
escenarios técnicos y evaluación de riesgos de negocio. COBIT facilita el desarrollo
políticas y prácticas para el control de TI en todos los ámbitos de la empresa con una
serie de guías a todos los niveles: visión general, ejecutiva, estructura, objetivos de
control, directivas de gestión y modelos a seguir basados en las mejores prácticas para
la definición de planes estratégicos en TI, arquitecturas de sistemas, consideraciones
para las adquisición de hardware y software, continuidad del servicio y supervisión del
funcionamiento. Independientemente de la realidad tecnológica de cada empresa,
COBIT determina, con el respaldo de las principales normas técnicas internacionales, un
conjunto de mejores prácticas para la seguridad, la calidad, la eficacia y la eficiencia que
son necesarias para alinear las TI con el negocio, identificar riesgos, entregar valor al
negocio, gestionar recursos y medir el desempeño, el cumplimiento de objetivos y el
nivel de madurez de los procesos de la organización.

Para Gerenciar el proceso de Seguridad de la Información, DOCUDIGITAL se apoyará

en las directrices y lineamientos planteados por la norma ISO/IEC 27032:2012

Plan Integral de Seguridad de la Información

37
Plan de acción

2.1 Introducción.

En el capítulo anterior se han definido el conjunto de actividades que conforman el PISI

a poner en práctica por la dirección de la empresa basado en tres acciones estratégicas.
Las dos primeras se han desarrollado anteriormente:

• Definir la política de seguridad de la empresa con los activos críticos para el

normal funcionamiento de la empresa.
• Elaborar la normativa de seguridad con controles específicos para los críticos del
negocio.

En este capítulo se desarrolla el plan de acción para poner en práctica la política de

seguridad con la normativa que la sustenta. En primer lugar se detallarán las actividades
previas que deberá realizar el Gerente y, en segundo lugar, las actividades que deberán
realizar todas las áreas implicadas y el plan de Implementación. Finalmente, se propone
un cuadro de mando de gestión para evaluar, periódicamente, el nivel de seguridad de
la empresa y unas consideraciones finales de evolución de futuro.

2.2 Descripción de actividades.

Las actividades a poner en práctica involucran a Gerencia General, al Comité de

Seguridad y a cada una de las direcciones de la organización. A continuación se
describen las responsabilidades y objetivos.

2.2.1 Gerencia General.

En primer lugar, el Gerente General ha de poner en marcha un plan previo con la

implicación de todas las direcciones. El plan de trabajo consiste en:
• Elaborar el documento “Políticas y normativas de seguridad de DOCUDIGITAL”
para convertirla en la herramienta de uso generalizado en toda la organización.
El objetivo de la política y normativa de seguridad es:
-Unificar criterios de seguridad en toda la organización.
-Disponer de una norma común y herramienta de gestión de la seguridad

Plan Integral de Seguridad de la Información

38
 adaptada a los estándares internacionales.
• Aprobar el documento “Políticas y normativas de Seguridad de DOCUDIGITAL” en
el Comité de Dirección de la empresa. El objetivo, una vez aprobado, es disponer
de:
-La organización de seguridad en la empresa cuyo máximo ámbito de
decisión será el Comité de Seguridad.
-La herramienta para la gestión de la seguridad, cuyo máximo exponente
es la normativa de seguridad con un conjunto de sesenta y seis controles
que abarcan quince ámbitos de procesos, sistemas y servicios de la
empresa.
• Preparar un Plan de Divulgación para todos los empleados en el que se explique
el nuevo modelo de gestión de la seguridad en la empresa.
• El Plan de Divulgación ha de utilizar todos los medios:
-Reuniones de los directores con sus equipos.
-Información en el portal del empleado.
-Carteles visibles en las oficinas.
El contenido de las reuniones de las direcciones, la información en el portal y la
correspondiente a los carteles se diseñará acorde a las directrices del Comité de
Dirección con el apoyo de una empresa especializada en seguridad de la información.

2.2.2 Comité de Seguridad.

El Comité de Seguridad comenzará su plan de actividades un vez que el Gerente

General ha concluido el plan previo con la elaboración, aprobación y divulgación del
documento de “Políticas y normativas de seguridad de DOCUDIGITAL”.

El plan de actividades, liderado por el Comité de Seguridad y en el que se implicarán

todas las direcciones consistirá, en primer lugar, en:

• Definir y clasificar los activos críticos.

• Analizar y valorar los riesgos.

Una vez definidos lo activos críticos y hecha la valoración de riesgos, el siguiente paso
será elaborar los procedimientos de seguridad y guías que ayuden a las áreas a aplicar
los controles de seguridad establecidos. El objetivo es establecer métodos de trabajo en

Plan Integral de Seguridad de la Información

39
los procesos y en las infraestructuras técnicas adaptados a la normativa de seguridad.

Los procedimientos y guías han de abarcar todos los ámbitos de la gestión operativa
y técnica:
• Procedimientos de gestión operativa:
-Selección e incorporación de personal.
-Registro y control de identidades.
-Obligaciones del personal.
-Clasificación y tratamiento de la información.
-Derechos y autorizaciones de acceso.
-Distribución y uso de soportes externos.
-Controles de acceso a oficinas y áreas internas.
-Planes de contingencia.
-Vigilancia y protección de dependencias.
• Procedimientos de gestión técnica:
-Gestión de accesos a sistemas y servicios.
-Gestión y monitorización de los registros de auditoría.
-Gestión de configuración en las infraestructuras técnicas de sistemas,
redes y terminales.
-Segmentación del tráfico en las redes.
-Gestión de cambios en las infraestructuras de sistemas, redes y
terminales.
-Desarrollo y mantenimiento de sistemas y servicios.
-Pruebas y certificación para la explotación de sistemas de gestión interna.
-Pruebas y certificación para la entrega y explotación de sistemas de
servicio a clientes.
-Gestión y respuesta a incidentes.
-Copias de respaldo y recuperación.
-Protección de locales con infraestructuras técnicas.

El Comité de Seguridad encargará la elaboración de los procedimientos de seguridad y

guías de seguridad a las áreas funcionales, siendo los directores los máximos
responsables de conseguir los objetivos propuestos e informarán al Comité de Seguridad
de los avances hasta alcanzarlos. La elaboración de los procedimientos y guías se
realizará con la ayuda de los proveedores externos. Para los procedimientos de gestión
operativa las direcciones se ayudarán de una subcontratación especializada en sistemas

Plan Integral de Seguridad de la Información

40
y servicios de seguridad. Para los procedimientos de gestión técnica se utilizarán las
capacidades de los proveedores de las infraestructuras técnicas contratados para su
mantenimiento más la implicación de los equipos de tecnología y soporte técnico de la
dirección de Tecnología y Operaciones. El Comité de Seguridad elaborará un cuadro de
mando de gestión con el detalle de datos relativos a cada uno de los procedimientos y
guías: área funcional responsable, fechas previstas de comienzo y final, avances e
incidencias en la elaboración. El Comité de Seguridad realizará un seguimiento semanal
del grado de avance de los procedimientos y guías que presentarán cada una de las
direcciones implicadas en su elaboración.

2.2.3 Direcciones funcionales.

La elaboración detallada de los procedimientos y guías descritos anteriormente implica a

todas las direcciones de la empresa. Todas las direcciones están implicadas en la
elaboración de los procedimientos comunes:
• Selección e incorporación de personal.
• Registro y control de identidades.
• Obligaciones del personal.
• Clasificación y tratamiento de información.
• Derechos y autorizaciones de acceso.
• Distribución y uso de soportes externos.
• Controles de acceso a oficinas y áreas internas.
• Planes de contingencias.
• Vigilancia y protección de dependencias.
• Gestión de accesos a sistemas y servicios.
• Gestión y monitorización de los registros de auditoría.
• Gestión de cambios en las infraestructuras de sistemas, redes y terminales.
• Desarrollo y mantenimiento de sistemas y servicios.
• Pruebas y certificación para la explotación de sistemas de gestión interna.
• Gestión y respuesta a incidentes.
• Copias de respaldo y recuperación.
• Protección de locales con infraestructuras técnicas.

2.3 Implementación y puesta en marcha.

En el apartado anterior se han descrito las actividades de las que son responsables el

Plan Integral de Seguridad de la Información

41
director general y las direcciones funcionales de la empresa, coordinadas por el Comité
de Seguridad, y cuyo objetivo es elaborar los procedimientos y guías en cada uno de los
ámbitos de procesos, sistemas y servicios contemplados en la normativa de seguridad,
que son elementos básicos del PISI de la empresa. La situación de elaboración de cada
uno de los procedimientos y guías se presentarán semanalmente al Comité de
Seguridad. Una vez elaborados los procedimientos y guías de seguridad se establecerá
el plan de Implementación progresivo de los procedimientos y las guías en cada una de
las direcciones funcionales. Se tendrá que dar a conocer:

• La política de la empresa en materia de seguridad y los objetivos.

• La normativa de seguridad y los controles establecidos.
• Las funciones y composición del Comité de Seguridad.
• Los procedimientos y guías de seguridad en cada ámbito de proceso, sistema y
servicio.

2.3.1 Cronograma de actividades.

2.3.2 Entregables.

1. El desarrollo de PISI tiene como resultado un conjunto de entregables que, en

definitiva, son las herramientas que DOCUDIGITAL SAS debe utilizar para
ejecutar el PISI propuesto. La documentación entregable será:
2. La “Política y normativa de seguridad de DOCUDIGITAL SAS”
3. La organización y funciones del Comité de Seguridad.
4. El Plan de Divulgación a los empleados de los nuevos métodos de trabajo en la
empresa para la puesta en práctica de controles de seguridad en los procesos,
sistemas y servicios.
5. Los Procedimientos operativos y técnicos que faciliten a las áreas funcionales la
Implementación de los códigos de seguridad en sus ámbitos de actividad. En
resumen, y agrupando por ámbitos operativos y técnicos:
• La definición de los activos críticos de la empresa y la evaluación de riesgos.
• La clasificación y uso de la información crítica para el negocio.
• El diseño, configuración e instalación de infraestructuras técnicas.
• La gestión de los cambios y control de las incidencias.
• La gestión y control de accesos a dependencias y sistemas.
• La calidad en la Implementación y puesta en marcha de los servicios internos y

Plan Integral de Seguridad de la Información

42
 externos.
• La monitorización de acceso y uso de los recursos.
• Los planes de contingencia para la continuidad del servicio y del negocio.

2.4 Cuadro de mando de gestión.

Una vez concluido el desarrollo de los procedimientos y guías que faciliten a la

organización la aplicación operativa de los controles y códigos de seguridad, se hace
preciso evaluar el grado de cumplimiento de la seguridad en los procesos, sistemas y
servicios. Se trata de medir, de la manera mas sencilla posible, el nivel real de puesta
en práctica del PISI. Las direcciones responsables de cada procedimiento serán las
encargadas de valorar el grado de Implementación de los controles en su área funcional
y en el resto de direcciones. El Comité de Seguridad evaluará, periódicamente, la
situación de cada uno de los controles en las áreas funcionales. El objetivo es poner una
fecha límite para la puesta en práctica de todos los controles de seguridad de la
normativa.

Plan Integral de Seguridad de la Información

43