USO INTERNO

Reglamento Global de
Seguridad en la
Infraestructura IT

Norma Corporativa
Aprobado por el Comité Global de Seguridad de Telefónica en
su reunión del 24 de Julio de 2017.

Telefónica, S.A.
Edición 1, Julio 2017
 Reglamento de Seguridad en la Infraestructura IT
Dirección Global de Seguridad, Telefónica S.A.

CONTROL DE CAMBIOS

VERSIÓN FECHA PARTES QUE CAMBIAN

1.0 Julio 2017 Documento original, alineado con el marco de
buenas prácticas 2016 en Seguridad de la
Información del ISF.

USO INTERNO Página 2 de 17

 Reglamento de Seguridad en la Infraestructura IT
Dirección Global de Seguridad, Telefónica S.A.

INDICE

1. INTRODUCCIÓN 4

1.1. Objeto del documento 4

1.2. Ámbito de aplicación 4
1.3. Contenido 4
1.4. Vigencia y derogaciones 4
1.5. Referencias 5
1.6. Definiciones 5

2. CONTROLES DE SEGURIDAD 6

2.1. Arquitectura de seguridad 6

2.1.1. Principios de seguridad 6
2.1.2. Desarrollo de la arquitectura de seguridad 7
2.1.3. Planificación de la capacidad y el rendimiento de los sistemas 7
2.1.4. Segregación de entornos 8

2.2. Instalación y configuración de sistemas 8

2.2.1. Roles y responsabilidades en la instalación y configuración de sistemas 8
2.2.2. Procedimientos documentados de instalación de sistemas 9
2.2.3. Línea base de configuración de sistemas 9
2.2.4. Bastionado 9
2.2.5. Configuración segura de servidores virtuales y servicios Cloud 10
2.2.6. Configuración segura del almacenamiento en red 11

2.3. Monitorización de sistemas 11

2.3.1. Análisis de vulnerabilidades de los sistemas 11
2.3.2. Monitorización de los sistemas 12

2.4. Operaciones de Seguridad 13

2.4.1. Parcheado de sistemas 13
2.4.2. Protección contra el malware 14
2.4.3. Mecanismos de copia de seguridad 15
2.4.4. Mantenimiento de sistemas 15

2.5. Infraestructura de Clave Pública 16

ANEXO: PROCEDIMIENTOS QUE COMPLETAN EL PRESENTE REGLAMENTO 17

USO INTERNO Página 3 de 17

 Reglamento de Seguridad en la Infraestructura IT
Dirección Global de Seguridad, Telefónica S.A.

1. INTRODUCCIÓN

1.1. Objeto del documento

En el presente documento se identifican los controles que se deben implementar, supervisar, revisar
y mejorar para asegurar que se alcanzan los objetivos de control del dominio de Seguridad en la
Infraestructura IT definidos en la Normativa Global de Seguridad, Ref. [2].
Por cada control se definen los criterios a tener en cuenta en el establecimiento del mismo en el
caso de las empresas del Grupo Telefónica.

1.2. Ámbito de aplicación

Este documento es de ámbito global y de aplicación obligatoria en todas las sociedades del Grupo
Telefónica. A tales efectos, se entenderá por Grupo Telefónica aquellas sociedades en cuyo capital
social Telefónica S.A. disponga de forma directa o indirecta de la mayoría de las acciones,
participaciones o derechos de voto o en cuyo órgano de administración haya designado o tenga la
facultad de designar a la mayoría de sus miembros, de tal manera que controle la sociedad de forma
efectiva.
Telefónica, S.A., en su condición de sociedad cabecera del Grupo, es la responsable de establecer las
bases, los instrumentos y diseñar los mecanismos necesarios para una adecuada, efectiva y
eficiente Gestión de la Seguridad en la Infraestructura IT que utilizan las empresas del Grupo para
el desarrollo de sus actividades, de forma directa o por entidades colaboradoras (personal externo,
proveedores, subcontratas o similares), incluyendo a las personas, los activos físicos, las redes, las
tecnologías, los emplazamientos, las aplicaciones y la información en sí misma; todo ello sin perjuicio
ni merma alguna de la capacidad de decisión autónoma que corresponde a cada una de dichas
sociedades, de conformidad con el interés social propio de cada una de ellas y de los deberes
fiduciarios que los miembros de sus órganos de administración mantienen hacia todos sus
accionistas.
Las empresas del Grupo Telefónica deberán difundir e impulsar el conocimiento y el cumplimiento
del presente Reglamento, así como dotar cuantos medios humanos, materiales, tecnológicos y
presupuestarios devengan necesarios para su cumplimiento.

1.3. Contenido
Tras este capítulo introductorio, en el capítulo 2 se indican los controles de seguridad que se deben de
aplicar en el dominio de Seguridad en la Infraestructura IT.
Así mismo, se incluye un ANEXO que enumera los documentos de procedimiento que desarrollan los
controles y responsabilidades descritos en el capítulo 2.
Para cada control se establece el principio de actuación y el objetivo del mismo.
Así mismo, se establece la categorización de cada control como FUNDAMENTAL o ESPECIALIZADO.
Los controles FUNDAMENTALES forman parte imprescindible del Sistema de Gestión de la Seguridad
(SGS).
Los controles ESPECIALIZADOS son aquellos que dependen de factores tecnológicos o normativos que
pueden no estar presentes en todas las Unidades de Negocio / OB.

1.4. Vigencia y derogaciones

El presente Reglamento entrará en vigor el día de su aprobación por el Comité Global de Seguridad,
derogando, por tanto, los procedimientos y guías relacionados con la Seguridad en la Plataforma
anteriormente creados.

USO INTERNO Página 4 de 17

 Reglamento de Seguridad en la Infraestructura IT
Dirección Global de Seguridad, Telefónica S.A.

Corresponde al Director Global de Seguridad de la Información ejercitar las facultades de

interpretación que fueran menester.
Este documento deberá revisarse en función de cambios organizativos, legales o de negocio que se
produzcan en cada momento, con el fin de mantener su pertinencia, suficiencia y eficacia y, en su
defecto, con la periodicidad establecida en la “Normativa Corporativa para la Elaboración y
Organización del Marco Normativo del Grupo Telefónica”. En tal caso, una vez aprobadas por el
Comité Global de Seguridad, las revisiones se comunicarán y publicarán en el Portal de Normas
Corporativas del Grupo Telefónica, disponible a través de la Intranet Global del Grupo
Telefónica. Ref. [3].

1.5. Referencias
[1] Política Global de Seguridad. Aprobada por el Consejo de Administración de Telefónica S.A.
[2] Normativa Global de Seguridad. Aprobada por el Consejo de Administración de Telefónica S.A.
[3] Portal Web de Normas Corporativas del Grupo Telefónica. Disponible en la Intranet Global.
[4] Manual de referencia del Marco Normativo con los Estándares y Regulaciones aplicables.
Telefónica S.A.
[5] ISO/IEC 27035:2011. Information security incident management. International Standard
Organization.

1.6. Definiciones
A efectos del presente documento:
 Propietario del Activo: es el empleado o cargo que decide sobre la finalidad, contenido y uso del
activo, siendo por tanto responsable de la seguridad del mismo (Apdo. 2.5, Ref [2]).
 Principio de privilegios mínimos: es un principio básico de la seguridad, que consiste en que “Todo
está prohibido, salvo que esté explícitamente permitido”. Siguiendo este principio de actuación, un
usuario sólo tendrá acceso de lectura a los Activos para los que haya recibido autorización, salvo
que dicha autorización incluyese permisos de escritura o modificación.
 Malware: El malware (del inglés “malicious software”), también llamado badware, código maligno,
software malicioso, software dañino o software malintencionado, es un tipo de software que tiene
como objetivo infiltrarse o dañar un sistema de información sin el consentimiento de su propietario.
 SIEM: Gestión de Eventos y Seguridad de la Información (del inglés “Security Information and Event
Management”) es la forma de denominar a la plataformas, herramientas o software que permiten
aplicar inteligencia y reglas definidas a la gestión de eventos de seguridad, permitiendo identificar
tendencias y detectar ciberataques.
 VLAN: Acrónimo de virtual LAN (Red de área local virtual), es un método para crear redes lógicas
independientes dentro de una misma red física.
 SLA: Acrónimo de Service Level Agreement (Acuerdo de Nivel de Servicio), es la forma de denominar
al acuerdo que establece las características de disponibilidad, tiempos de atención, etc. de un
servicio.
 Equipo de Respuesta a Incidentes: Equipo de miembros debidamente capacitados y de confianza
de la organización que maneja los incidentes de seguridad durante su ciclo de vida (Apdo. 3.2, Ref.
[5]). También se conoce como CERT o CSIRT.

USO INTERNO Página 5 de 17

 Reglamento de Seguridad en la Infraestructura IT
Dirección Global de Seguridad, Telefónica S.A.

2. CONTROLES DE SEGURIDAD
El enfoque del Grupo Telefónica sobre Seguridad en la Infraestructura IT se basa en el adecuado
conocimiento de sus activos, sus características, su funcionamiento y operativa, e importancia para el
negocio, de forma que toda plataforma esté documentada, adecuadamente planificada, administrada
y mantenida, garantizando el cumplimiento de los requisitos de seguridad aplicables, para minimizar el
riesgo de indisponibilidad, acceso no autorizado o destrucción de la plataforma o las aplicaciones e
información que éstas sustenta.
La Normativa Global de Seguridad, Ref. [2] establece los objetivos de control (OC) necesarios para
alcanzar un nivel de seguridad homogéneo y adecuado a las necesidades del negocio. A continuación,
se describen los objetivos desarrollados en el presente Reglamento:
OC.18 Asegurar el funcionamiento correcto y seguro de las instalaciones de tratamiento de la
información.
OC.19 Evitar la pérdida de datos.
OC.20 Registrar eventos y generar evidencias.
OC.21 Asegurar la integridad del software en explotación.
OC.22 Reducir los riesgos resultantes de la explotación de las vulnerabilidades técnicas.
Para asegurar el cumplimiento de dicho objetivo, se establecen los siguientes controles de seguridad,
cuya correspondencia con los Estándares y Regulaciones aplicables se puede consultar en el Manual
de referencia del Marco Normativo con los Estándares y Regulaciones aplicables, Ref. [4].

2.1. Arquitectura de seguridad

Las empresas del Grupo Telefónica deben establecer una arquitectura de
seguridad que permita administrar la complejidad de las diferentes
Principio
infraestructuras de la organización y proporcionar unos niveles de seguridad
homogéneos en toda la organización.
Permitir que los administradores de sistemas y operadores de seguridad tomen
Objetivo decisiones más efectivas, ayudando a implementar una seguridad consistente y
fácil de usar en las diferentes aplicaciones y sistemas de la organización.
Tipo de control Especializado

2.1.1. Principios de seguridad

Las empresas del Grupo Telefónica basan su arquitectura de seguridad en los siguientes principios:
 Seguridad desde el diseño.
Las plataformas, sistemas y aplicaciones se diseñarán considerando los requisitos de seguridad
como parte de sus requisitos generales, para protegerse a sí mismas y la información que
procesan, y para resistir los ataques mediante la resiliencia operativa.
 Securización por capas.
Las plataformas, sistemas y aplicaciones utilizarán diferentes capas o tipos de protección para
evitar la dependencia de un tipo o método de seguridad.
 Prohibición por defecto.
Las plataformas, sistemas y aplicaciones se basarán en el principio de privilegios mínimos, de
forma que se adoptarán medidas para evitar el acceso no autorizado y se establecerá un sistema
de roles y permisos que permita restringir los accesos de los usuarios según se establezca.

USO INTERNO Página 6 de 17

 Reglamento de Seguridad en la Infraestructura IT
Dirección Global de Seguridad, Telefónica S.A.

 Fallo seguro.
Las plataformas, sistemas y aplicaciones se diseñarán, configurarán y mantendrán
adecuadamente para garantizar su disponibilidad y evitar el fallo de las mismas.
Así mismo, el diseño y configuración de las mismas garantizará la confidencialidad e integridad de
la información que soporten, de forma que en caso de fallo, la información no sea accesible a
personas no autorizadas y no puede manipularse ni modificarse.
 Seguridad en el desarrollo.
Los sistemas y aplicaciones se desarrollarán tomando la seguridad como un principio de diseño,
garantizando que no se crean debilidades en el sistema y que se aplican todos los controles de
seguridad establecidos. Ver apartado Diseño de sistemas seguros en el Reglamento de
Seguridad en el Ciclo de Vida de Desarrollo.
 Seguridad usable.
Los controles de seguridad aplicados no deben obstaculizar a los usuarios en el desempeño de su
trabajo, deben documentarse adecuadamente y no deben ser difíciles de entender y manejar.

2.1.2. Desarrollo de la arquitectura de seguridad

Las empresas del Grupo Telefónica operan con una gran diversidad de plataformas, sistemas y
aplicaciones, que, a su vez, pueden gestionarse internamente o a través de terceras partes.
La función global de Seguridad de la Información, apoyada por las áreas locales de IT y las funciones
locales de Seguridad, definirán las diferentes arquitecturas de seguridad aplicables a las empresas del
Grupo Telefónica.
El desarrollo e implementación de una arquitectura de seguridad, compromete al Propietario del Activo
y al Contacto Técnico, para conseguir y aplicar adecuadamente los recursos disponibles con el fin de
lograr los siguientes objetivos:
 Alinear los objetivos de la organización y los objetivos tecnológicos.
 Garantizar la Confidencialidad, Integridad y Disponibilidad de la Información soportada por la
Infraestructura IT.
 Aplicar los principios de seguridad definidos en el apartado Principios de seguridad.
 Establecer, aplicar y mantener una estrategia consistente de productos y configuraciones.
 Procurar la estandarización del hardware y el software de la organización, facilitando las labores
de inventariado, bastionado y mantenimiento, y permitiendo, a su vez, un mayor
aprovechamiento de las lecciones aprendidas.
 Establecer, aplicar y mantener un proceso consistente de provisión, mantenimiento y revisión de
usuarios y sus privilegios de acceso.

2.1.3. Planificación de la capacidad y el rendimiento de los sistemas

Para garantizar la disponibilidad de las plataformas, sistemas y aplicaciones del Grupo Telefónica, se
debe planificar la capacidad y el rendimiento de las mismas, de forma que el rendimiento de los
sistemas sea acorde a la demanda que soporta su funcionamiento normal, y exista un margen de
capacidad que permita atender los picos de demanda, cumpliéndose los requisitos de negocio y los SLA
acordados.
La planificación de la capacidad y el rendimiento de los sistemas debe realizarse a nivel local y por cada
sistema, dentro de la especificación de requisitos del sistema. Ver apartado Especificación de
requisitos en el Reglamento de Seguridad en el Ciclo de Vida de Desarrollo.

USO INTERNO Página 7 de 17

 Reglamento de Seguridad en la Infraestructura IT
Dirección Global de Seguridad, Telefónica S.A.

Para realizar la planificación de la capacidad y el rendimiento de los sistemas se tomarán como

referencia, entre otros, los siguientes aspectos:
 Resultados de las pruebas del sistema, ver apartado Pruebas del Sistema en el Reglamento de
Seguridad en el Ciclo de Vida del Desarrollo.
 Volumen de usuarios y tráfico a soportar.
 SLA del sistema y de las aplicaciones que soporta.
 Requisitos contractuales adicionales que deban considerarse.
El Propietario del Activo, en colaboración con el Responsable de Continuidad de Negocio de la Unidad
de Negocio / OB, determinarán el nivel de redundancia necesario para que las plataformas, sistemas y
aplicaciones satisfagan los requisitos contractuales y legislativos aplicables.
El Contacto Técnico del Activo implantará las medidas necesarias para garantizar la capacidad y
rendimiento planificados.

2.1.4. Segregación de entornos

Para garantizar la seguridad de las plataformas, sistemas y aplicaciones, las empresas del Grupo
Telefónica deben establecer entornos separados de desarrollo, pruebas y producción, requisito
normalmente referido como segregación de entornos.
Para la adecuada gestión de los entornos separados, las empresas del Grupo Telefónica cumplirán con
los siguientes requisitos:
 Disponer de recursos informáticos dedicados para cada entorno y aislados del resto (por ejemplo,
desplegados en redes distintas o debidamente segmentadas mediante cortafuegos y VLANs).
 Definir procedimientos de operación adecuados para implementar los diferentes entornos, junto
con los controles de seguridad aplicables a cada uno.
 Garantizar la adecuada implantación de controles de seguridad en entornos virtualizados, ver
apartado Configuración segura de servidores virtuales y servicios Cloud
 Gestionar de forma separada los accesos a los diferentes entornos, según el principio de privilegios
mínimos, y garantizando que el usuario siempre pueda identificar el entorno en que se encuentra
trabajando.

2.2. Instalación y configuración de sistemas

Las empresas del Grupo Telefónica deben instalar y configurar sus plataformas,
sistemas y aplicaciones para hacer frente a los requisitos actuales y previstos de
Principio
almacenamiento y procesamiento de la información, y protegerlos incorporando
una serie de controles de seguridad.
Evitar la interrupción del negocio como resultado de la sobrecarga del sistema, el
Objetivo
acceso no autorizado o la divulgación de información.
Tipo de control Fundamental

2.2.1. Roles y responsabilidades en la instalación y configuración de

sistemas
La adecuada instalación y configuración de los sistemas del Grupo Telefónica es una prioridad para la
organización, ya que éstos soportan la operativa del negocio.
El Propietario del Activo debe dotar de los recursos necesarios al Contacto Técnico para asegurar que
los sistemas se instalan en ubicaciones adecuadas, asegurando su refrigeración y suministro eléctrico

USO INTERNO Página 8 de 17

 Reglamento de Seguridad en la Infraestructura IT
Dirección Global de Seguridad, Telefónica S.A.

constante, y que la configuración de los mismos incluye los controles de seguridad requeridos, de
forma que se garantice la Confidencialidad, Integridad y Disponibilidad de los sistemas y de la
información que soportan.

2.2.2. Procedimientos documentados de instalación de sistemas

Cada Unidad de Negocio / OB, dependiendo de su disponibilidad de Centros de Proceso de Datos, de
requisitos contractuales de negocio, de los requisitos particulares exigibles por la legislación aplicable
y de la organización interna de sus áreas locales de Tecnologías de la Información y Comunicaciones,
definirán un Procedimiento Interno de Instalación de Sistemas.
Este procedimiento establecerá requisitos, entre otros, sobre los siguientes aspectos:
 Suministro de los sistemas. Ver Reglamento de Gestión de Activos para más información.
 Planificación de las instalaciones. Ver Reglamento de Gestión de Cambios para más
información.
 Medidas y equipos de protección de los empleados que participen en la instalación. Ver
Reglamento de Seguridad de las Personas para más información.
 Redundancia de alimentación eléctrica. Ver Reglamento de Continuidad de Negocio para más
información.
El Procedimiento Interno de Instalación de Sistemas podrá establecer requisitos generales para todos
los entornos operativos (ver 2.1.4 Segregación de entornos) y agregar requisitos para los entornos
expuestos a Internet; o establecer requisitos para cada entorno. Del mismo modo, pueden establecerse
requisitos adicionales para sistemas instalados en emplazamientos de trabajo y/o en Centros de
Proceso de Datos.

2.2.3. Línea base de configuración de sistemas

Los sistemas empleados por el Grupo Telefónica se configuran de forma que satisfagan no sólo los
requisitos de negocio y den soporte a las aplicaciones y la información requeridas, sino que en su
configuración se tienen en cuenta los controles de seguridad destinados a cumplir los objetivos de
control definidos por la Normativa Global de Seguridad, Ref. [2] y se aplican las mejores prácticas
desarrolladas por fabricantes y organismos internacionales de seguridad.
Desde la Dirección Global de Seguridad, a través de la función de Seguridad Digital, se coordinará y
supervisará el establecimiento de una base de datos global de conocimiento de configuraciones
seguras, que permita disponer de una línea base de configuración aplicable a cada plataforma, sistema
o aplicación.
La línea base de configuración establece el nivel mínimo de seguridad de los elementos de la
plataforma, sistema o aplicación, y normalmente se compondrá de una imagen instalable
(normalmente conocida como plataformado) y un documento que incluya las consideraciones a tener
en cuenta en su instalación y configuración posterior para asegurar que se cumplen todos los controles
de seguridad necesarios.

2.2.4. Bastionado
El bastionado, o hardening en inglés, consiste en la aplicación de configuraciones específicas y
controles de seguridad en las plataformas, sistemas y aplicaciones, para conseguir que éstas sean más
robustas, garantizándose su operación sin fallos y protegiéndolas frente a ciberamenazas.

USO INTERNO Página 9 de 17

 Reglamento de Seguridad en la Infraestructura IT
Dirección Global de Seguridad, Telefónica S.A.

Para garantizar la seguridad de las plataformas, sistemas y aplicaciones, las empresas del Grupo
Telefónica deben definir y aplicar configuraciones seguras a sus plataformas, sistemas y aplicaciones,
que cubran los siguientes niveles de actuación:
 Nivel BIOS (por ejemplo, limitar el acceso y la modificación de los parámetros de configuración de
las plataformas tecnológicas, así como impedir la modificación no autorizada de su Firmware,
etc.).
 Nivel sistema (por ejemplo, limitar el acceso y la modificación de parámetros en el Panel de
Control y los directorios / librerías / ficheros que soportan el funcionamiento del sistema, etc.).
 Nivel servicios (por ejemplo, deshabilitar los servicios no esenciales y/o aquellos que no resulten
necesarios para la operativa planificada, etc.).
 Nivel usuario / cuenta (por ejemplo, establecer roles y permisos basados en el principio de
privilegios mínimos, asegurar la actualización de las contraseñas de los usuarios con una vigencia
máxima de 120 días, eliminar los usuarios predefinidos, etc.).
 Nivel actualizaciones / parches (por ejemplo, asegurar que los sistemas y aplicaciones se
encuentran actualizados mediante un calendario de aplicación de parches y actualizaciones y,
establecer un procedimiento de aplicación prioritaria de aquellos parches o actualizaciones de
seguridad, etc.).
 Nivel antivirus (por ejemplo, asegurar la ejecución de herramientas antivirus o de protección
contra el malware en los sistemas, etc.).
 Nivel redes (por ejemplo, asegurar la protección de las plataformas mediante la adecuada
configuración de los cortafuegos o firewalls, etc.).
 Nivel monitorización (por ejemplo, asegurar la adecuada configuración de las herramientas
necesarias para la monitorización de la actividad de red, de usuarios, de procesos, etc., en las
plataformas, sistemas y aplicaciones).
Las áreas locales de Seguridad coordinarán y supervisarán de bastionado de las plataformas, sistemas
y aplicaciones bajo su responsabilidad, apoyándose en las áreas locales de Tecnologías de la
Información, quienes aplicarán las configuraciones seguras establecidas globalmente a todos los
activos bajo su responsabilidad.

2.2.5. Configuración segura de servidores virtuales y servicios Cloud

Debido al incremento en las prestaciones y a la disminución del coste de los servidores, tanto en su
adquisición como Activos físicos, como en la contratación de servicios Cloud, las empresas del Grupo
Telefónica emplean servidores virtuales y servicios Cloud como plataformas.
Debido a que un mismo servicio Cloud o una máquina física (o servidor), dará soporte a más de una
máquina o servidor virtual, se deben aplicar controles de seguridad adicionales a los establecidos en
2.2.3 Línea base de configuración de sistemas para garantizar que:
 Se mantienen los niveles de tolerancia a fallos y redundancia establecidos, garantizando la
independencia física de las diversas máquinas virtuales que soportan cada servicio; de forma que
el fallo de una máquina física o servicio Cloud no suponga el fallo de la totalidad de las máquinas
virtuales que deberían balancear la carga entre ellas.
 Se garantiza la segregación de entornos (ver 2.1.4 Segregación de entornos).
 Se garantiza la separación lógica de los espacios de almacenamiento de la información, para evitar
revelaciones no autorizadas.
 Se garantiza la aplicación de los requisitos de control de acceso establecidos, tanto a los sistemas
desplegados en servidores virtual izados, como a los hipervisores o sistemas de gestión de los
servidores virtuales.

USO INTERNO Página 10 de 17

 Reglamento de Seguridad en la Infraestructura IT
Dirección Global de Seguridad, Telefónica S.A.

 Se aplican las medidas de cifrado de la información y de las comunicaciones determinado por la

clasificación de la información manejada (ver Reglamento de Clasificación y Tratamiento de la
Información).
En el caso de servidores virtuales contratados mediante proveedores externos como servicios Cloud,
se debe asegurar contractualmente el cumplimiento de los requisitos de seguridad establecidos. (Ver
Reglamento de Seguridad en la Cadena de Suministro para más información).

2.2.6. Configuración segura del almacenamiento en red

Las empresas del Grupo Telefónica emplean unidades de almacenamiento en red para el desempeño
de su actividad, ya sea para el uso compartido de información entre los empleados, o para el
almacenamiento de bases de datos, registros de información o copias de seguridad de los sistemas y
aplicaciones.
Al emplear sistemas de almacenamiento en red, se deben aplicar controles de seguridad adicionales
para garantizar que:
 Se mantienen los niveles de tolerancia a fallos y redundancia establecidos, garantizando que el
fallo de un servidor de almacenamiento en red no suponga el fallo de varias unidades de
almacenamiento que deberían balancear la carga entre ellas, o que actúan como respaldo la una
de la otra.
 Se garantiza la separación lógica de los espacios de almacenamiento de la información, para evitar
revelaciones no autorizadas.
 Se garantiza la aplicación de los requisitos de control de acceso establecidos, tanto a las unidades
de almacenamiento, como a los sistemas de gestión de los servidores de almacenamiento en red.
 Se aplica el cifrado en las comunicaciones y se aplican medidas para separar el tráfico de red (por
ejemplo, VLAN).
Como se ha definido en el apartado 2.2.4. Bastionado, se desarrollarán guías de bastionado para los
dispositivos de almacenamiento en red homologados, que permitan establecer una configuración
segura de los mismos.

2.3. Monitorización de sistemas

Las empresas del Grupo Telefónica deben monitorizar las plataformas,
aplicaciones y sistemas que soportan el negocio, incluyendo la realización de
Principio
análisis de vulnerabilidades y test de penetración, revisando los informes desde la
perspectiva de negocio.
Reducir la probabilidad de que un rendimiento degradado del sistema, una
Objetivo indisponibilidad temporal o una brecha de seguridad, tengan un impacto negativo
en el negocio.
Tipo de control Fundamental

2.3.1. Análisis de vulnerabilidades de los sistemas

Las empresas del Grupo Telefónica deben establecer un proceso continuo de análisis de
vulnerabilidades en sus plataformas, sistemas y aplicaciones, cuyo objetivo es la detección de las
vulnerabilidades antes de que sean explotadas por una ciberamenaza y pongan en riesgo la seguridad
de la organización.
El proceso de análisis continuo de vulnerabilidades incluye, entre otras, las siguientes pruebas:
 Análisis de vulnerabilidades.

USO INTERNO Página 11 de 17

 Reglamento de Seguridad en la Infraestructura IT
Dirección Global de Seguridad, Telefónica S.A.

 Pentesting o ejecución de tests de penetración.

 Pruebas de autenticación y control de acceso.

El proceso de análisis continuo de vulnerabilidades se debe apoyar en herramientas automáticas y

también debe incluir pruebas manuales, ejecutadas por personal con conocimientos técnicos
especializados. Ver Reglamento de Ciberseguridad para más información.

Los análisis de vulnerabilidades se ejecutarán con una periodicidad definida según la siguiente tabla:
Periodicidad
Activo Análisis vulnerabilidades Test penetración
Activos críticos o activos expuestos a Internet Mensual Semestral
Activos no críticos y no expuestos a Internet Semestral Anual

Las vulnerabilidades encontradas serán reportadas al CSIRT, que procederá a su resolución según lo
dispuesto en el apartado 2.2.5. Corrección de vulnerabilidades técnicas del Reglamento de
Ciberseguridad.

2.3.2. Monitorización de los sistemas

Las plataformas, sistemas y aplicaciones de las empresas del Grupo Telefónica deben someterse a una
monitorización, que genere alertas ante los diferentes tipos de eventos de seguridad definidos desde
el área de Control y Respuesta a Ciberamenazas.
Cada Unidad de Negocio / OB, deberá desarrollar un Procedimiento Interno de Monitorización de los
sistemas, o bien una serie de Procedimientos Internos de Monitorización de los Sistemas que
desarrollen este apartado, según las particularizaciones necesarias para los entornos de desarrollo,
pruebas y producción.
La monitorización proactiva permite identificar tendencias y patrones en el comportamiento de las
plataformas, sistemas y aplicaciones de las empresas del Grupo Telefónica, permitiendo la
identificación de ciberataques y facilitando la realización de análisis forenses.
La monitorización proactiva de aquellos activos expuestos en Internet o que han sido clasificados como
críticos por su importancia para el negocio (ver Reglamento de Gestión de Activos para más
información sobre la clasificación de activos) deben registrar, como mínimo los siguientes eventos:
 Accesos de usuarios autorizados.
 Intentos de autenticación fallidos.
 Intentos de acceso de usuarios no autorizados o no dados de alta en el activo.
 Comandos y acciones realizadas por las cuentas de administración.
 Gestión de usuarios en el activo: altas, modificaciones y bajas.
 Las conexiones de red hacia los activos, tanto el tráfico aceptado como el rechazado a través de
los cortafuegos y los IPS\IDS.
 El acceso (exitoso y fallido) de los dispositivos/usuarios a la Intranet, tanto por cable físico como
por WiFi.
 El acceso remoto (exitoso y fallido) de los dispositivos/usuarios a la Intranet (por VPN).
 La navegación a Internet de los dispositivos/usuarios a través de los proxies.
 El destinatario, emisor y asunto de los correos electrónicos que se envían o reciben.
 Los intentos de conexión a IPs públicas con origen una IP privada de la Intranet que no pasen a
través del proxy de navegación de usuarios.
 Eventos de operación y administración del activo:
o Cambios en los perfiles o privilegios de acceso a los recursos.

USO INTERNO Página 12 de 17

 Reglamento de Seguridad en la Infraestructura IT
Dirección Global de Seguridad, Telefónica S.A.

o Cambios en los parámetros de configuración que afecten a la funcionalidad o

funcionamiento del activo.
o Instalación/activación y desinstalación/desactivación de programas o funcionalidades.
o Parada y arranque del activo.
o Activación y desactivación de los mecanismos de registro de eventos.
o Borrado de registros de eventos de auditoría.

Esta monitorización es aplicable tanto a los activos controlados por la empresa como a los servicios en
la nube o externalizados.
Todos los activos deberán configurarse de forma que el sistema operativo almacene la información de
los registros (logs) de los eventos, como mínimo deberá incluir:
 Activo en el que se ha producido el evento
 Código identificador del usuario, programa o elementos que origina el evento (ID usuario, ID
proceso, IP, etc.)
 Fecha y hora en que se produce el evento
 Descripción o motivo del evento que se registra (tipo de acceso, recurso accedido, caída de un
sistema, error que se ha producido, etc.)

Sobre aquellos activos que han sido clasificados como NO críticos por su importancia para el negocio
(ver Reglamento de Gestión de Activos para más información sobre la clasificación de activos) se
realizará una monitorización reactiva, que generará alertas en caso de pérdida de disponibilidad de los
mismas o ante la ocurrencia de otros fenómenos como el bloqueo de una IP o un usuario debido a la
superación del umbral de conexiones infructuosas.
Las alertas generadas por la monitorización reactiva serán tratadas por el personal de las áreas locales
de Tecnologías de la Información y las Comunicaciones, según su proceso de gestión de incidencias,
pero deberá asegurase la custodia de los LOGs (o registros) de los sistemas, caso de requerirse
investigaciones forenses.

2.4. Operaciones de Seguridad

Las empresas del Grupo Telefónica deben realizar la operación de sus plataformas,
sistemas y aplicaciones de modo que se garantice la seguridad de las mismas, al
Principio
tiempo que se mantiene la Confidencialidad, Integridad y Disponibilidad de la
Información a la que dan soporte.
Proteger a la organización contra los ataques de malware, evitar el acceso no
autorizado y la desactualización de sus plataformas, sistemas y aplicaciones, y
Objetivo
garantizar que, en caso de ser necesario, se pueda restaurar la información y el
software que soportan el negocio en plazos adecuados.
Tipo de control Fundamental

2.4.1. Parcheado de sistemas

Las empresas del Grupo Telefónica deben asegurar que sus plataformas, sistemas y aplicaciones se
encuentran actualizados, para reducir el riesgo de ciberamenazas.
Cada Unidad de Negocio / OB debe elaborar un Procedimiento Interno de Gestión de Parches que
desarrolle los requisitos establecidos en el presente Reglamento, a fin de garantizar el cumplimiento
de los Objetivos de Control definidos en la Normativa Global de Seguridad, Ref. [2].
Para la adecuada gestión de los parches, las empresas del Grupo Telefónica cumplirán con los
siguientes requisitos:
 Identificación y registro de los parches disponibles.

USO INTERNO Página 13 de 17

 Reglamento de Seguridad en la Infraestructura IT
Dirección Global de Seguridad, Telefónica S.A.

 Planificación y plan de prueba de los parches disponibles.

 Evaluación de impactos potenciales de los parches, incluyendo impactos de seguridad.
 Verificación de los requisitos de seguridad de los parches.
 Procedimiento de marcha atrás por cada parche, incluyendo roles implicados.
 Procedimiento formal de aprobación de parches.
 Actualización de la documentación tras la aplicación de un parche, incluyendo manuales de
usuario, si fuera necesario.
 Mantenimiento del control de versiones.
 Mantenimiento de un diario o registro de actividades por cada parche, que incluya el origen del
parche, cuándo estuvo disponible, quién autorizó su aplicación, quién la llevó a cabo y cuándo.

La aplicación de los parches (también denominados actualizaciones del sistema o Service Packs, si
incluyen varias actualizaciones) será realizada por el contacto técnico del Activo (normalmente, las
áreas locales de Operación de Tecnologías de la Información y las Comunicaciones o equivalente,
dependiendo de la organización interna de cada Unidad de Negocio / OB), atendiendo a la criticidad de
los mismos.
Activos críticos Activos no críticos
Urgencia Definición Plazo máximo aplicación Plazo máximo aplicación
Parche que corrige una vulnerabilidad
Crítico 72 h 7 días
crítica.
Parche que corrige vulnerabilidad de 3 meses, o basado en
Importante importancia alta o afecta a un activo 7 días calendario de parches; lo
clasificado como alto por el negocio. que ocurra primero
Parche que corrige una vulnerabilidad Basado en calendario de Basado en calendario de
Moderado
de importancia baja. parches parches
Parche que añade funcionalidad a la Basado en calendario de Basado en calendario de
Bajo
plataforma / sistema / aplicación. parches parches

La calificación de las vulnerabilidades se realizará según lo descrito en el apartado Monitorización de

vulnerabilidades técnicas del Reglamento de Ciberseguridad, siendo los equipos locales de
ciberseguridad quienes trasladen dicha calificación al Contacto Técnico, a fin de establecer la urgencia
de aplicación de un parche.

2.4.2. Protección contra el malware

Las empresas del Grupo Telefónica deben asegurar que sus plataformas, sistemas y aplicaciones, así
como los equipos de trabajo del personal, se encuentran protegidas contra el malware, para reducir el
riesgo de ciberamenazas.
Cada Unidad de Negocio / OB debe elaborar un Procedimiento Interno de Gestión de Antivirus que
desarrolle, según las herramientas de protección contra el malware desplegadas, los requisitos
establecidos en el presente Reglamento, a fin de garantizar el cumplimiento de los Objetivos de Control
definidos en la Normativa Global de Seguridad, Ref. [2].
Para la adecuada protección contra el malware, las empresas del Grupo Telefónica cumplirán con los
siguientes requisitos:
 Disponer de herramientas de protección contra el malware, aplicables a las diferentes equipos,
plataformas y sistemas empleados por la Unidad de Negocio / OB.

USO INTERNO Página 14 de 17

 Reglamento de Seguridad en la Infraestructura IT
Dirección Global de Seguridad, Telefónica S.A.

 La configuración de las herramientas de protección contra el malware se gestionará de forma

centralizada y no será accesible al usuario, garantizándose que:
o Se actualiza la base de datos de firmas y el motor de la herramienta de forma automática.
o Se analizan los ficheros de todas las unidades de almacenamiento del equipo.
o Se analiza cualquier fichero existente en los dispositivos de almacenamiento externo que se
conecten al sistema (discos duros externos, memorias flash, CDs, DVDs, etc.).
o Se analiza cualquier fichero adjunto en correos electrónicos.
 En aquellos sistemas en los que sea viable se establecerán mecanismos de control de integridad
de los ficheros binarios y de configuración de los sistemas.
 Se realizarán programas de formación y concienciación sobre el malware, que incluirán los
siguientes aspectos:
o No abrir ficheros adjuntos en correos de remitentes desconocidos.
o No permitir la ejecución de macros en documentos de Office de remitentes desconocidos.
o No descargar, ni instalar software desde fuentes no autorizadas.

2.4.3. Mecanismos de copia de seguridad

Las empresas del Grupo Telefónica deben asegurar que la información que soportan sus plataformas,
sistemas y aplicaciones se encuentra adecuadamente respaldada por una copia de seguridad.
Cada Unidad de Negocio / OB debe elaborar un Procedimiento Interno de Gestión de Copias de
Seguridad que desarrolle, según las herramientas de copia de seguridad desplegadas, los requisitos
establecidos en el presente Reglamento, a fin de garantizar el cumplimiento de los Objetivos de Control
definidos en la Normativa Global de Seguridad, Ref. [2].
Para el adecuado respaldo de la información, el Procedimiento Interno de Gestión de Copias de
Seguridad desarrollará, entre otros, los siguientes requisitos:
 Definir los esquemas de copia de seguridad aplicables para cada Activo / Grupo de Activos, a saber:
copia completa, copia diferencial o copia incremental.
 Disponer de una red separada para la ejecución de los procesos de copia de seguridad. Emplear
una VLAN en el caso de no ser posible el despliegue de una red separada físicamente.
 Disponer de los recursos de almacenamiento necesarios para mantener las copias de seguridad
durante el plazo de retención establecido. Ver apartado Retención de la información en el
Reglamento de Clasificación y Tratamiento de la Información.
 Garantizar que las copias de seguridad se almacenan en un emplazamiento diferente a la
ubicación del Activo al que dan respaldo. Así mismo se observarán los requisitos legales respecto
a la distancia de separación entre los emplazamientos.
 Validar la exactitud de cada copia, mediante mecanismos de control de integridad de los ficheros
 Establecer un plan de prueba de los mecanismos de copia de seguridad, que permita determinar
la efectividad de los mismos.
 Identificar el tiempo requerido para completar la restauración de una copia de seguridad para
garantizar la recuperación del servicio dentro plazos requeridos por el Plan de Continuidad de
Negocio, ver Reglamento de Continuidad de Negocio para más información.

2.4.4. Mantenimiento de sistemas

Las empresas del Grupo Telefónica deben asegurar que sus plataformas, sistemas y aplicaciones se
encuentran adecuadamente mantenidas, para reducir el riesgo de ciberamenazas.

USO INTERNO Página 15 de 17

 Reglamento de Seguridad en la Infraestructura IT
Dirección Global de Seguridad, Telefónica S.A.

Cada Unidad de Negocio / OB debe elaborar un Procedimiento Interno de Mantenimiento de Sistemas

que desarrolle, según las herramientas desplegadas, los requisitos establecidos en el presente
Reglamento, a fin de garantizar el cumplimiento de los Objetivos de Control definidos en la Normativa
Global de Seguridad, Ref. [2].
Para el adecuado mantenimiento de sus plataformas y sistemas, el Procedimiento Interno de
Mantenimiento de Sistemas desarrollará, entre otros, los siguientes requisitos:
 El acceso a las plataformas y sistemas para su mantenimiento, únicamente será realizado por el
personal autorizado y empleando identificadores unívocos. El contacto técnico deberá mantener
y actualizar el listado de personal con privilegios de acceso para cada Activo.
 Todas las plataformas y sistemas de las empresas del Grupo Telefónica deberán registrar las
acciones realizadas con motivo del mantenimiento de las mismas, y garantizar que dicho registro
no puede alterarse y se incluye dentro de la copia de respaldo del sistema.
 El inventario de activos deberá reflejar aquellas plataformas o sistemas que permitan el
mantenimiento remoto.
 En el caso de permitirse el mantenimiento remoto de una plataforma o sistema, éste se realizará
mediante una conexión cifrada y empleando una red separada de la que soporta la operativa de la
plataforma o sistema. Emplear una VLAN si no es posible desplegar una red separada físicamente.
 Las operaciones de mantenimiento de plataformas o sistemas deben realizarse de forma que no
impacten en la operativa de las mismas. Por tanto, se acordarán las ventanas de mantenimiento
con el Contacto Técnico de cada Activo.

2.5. Infraestructura de Clave Pública

Las empresas del Grupo Telefónica que utilicen infraestructura de clave pública
Principio (PKI), deben establecer y proteger una o más Autoridades de Certificación (AC) y
Autoridades de Registro (AR).
Asegurar que la PKI funciona como se espera, está disponible cuando se necesita,
Objetivo proporciona una protección adecuada de las claves criptográficas relacionadas y
se puede recuperar en el caso de una emergencia.
Tipo de control Especializado

Aquellas Unidades de Negocio / OBs que por requisitos legales, normativos o contractuales operen
infraestructuras de clave pública, o PKI por sus siglas en inglés, de forma interna, deberán elaborar un
Procedimiento Interno de Gestión de infraestructuras de clave pública que desarrolle, entre otros, los
siguientes requisitos:
 Establecimiento del Propietario y el Contacto Técnico de la infraestructura de clave pública.
 Establecimiento de la Autoridad de Certificación (CA) raíz y una o más CA (sub-CA) subsidiarias.
 Controles de seguridad aplicables a las Autoridades de Certificación (CA raíz y sub-CAs).
 Definición del modelo de integración de la infraestructura de clave pública con las plataformas,
sistemas y aplicaciones de la organización, y los requisitos de la infraestructura técnica necesaria.
 Establecimiento de una o más Autoridades de Registro (RA).
 Procedimientos para el manejo de certificados digitales de clave pública: Generar un certificado,
revocar un certificado, etc.
 Establecimiento de un listado de certificados revocados (CRL).
 Procedimientos para el manejo de excepciones en el funcionamiento de la infraestructura de clave
pública.

USO INTERNO Página 16 de 17

 Reglamento de Seguridad en la Infraestructura IT
Dirección Global de Seguridad, Telefónica S.A.

ANEXO: PROCEDIMIENTOS QUE COMPLETAN EL PRESENTE REGLAMENTO

Control Tipo de control Tipo de documento Ámbito Título

2.2.2 Fundamental Procedimiento Local Instalación de Sistemas
2.2.4 Fundamental Guías Global Bastionado de Sistemas
2.3 Fundamental Procedimiento Local Monitorización de los Sistemas
2.4.1 Fundamental Procedimiento Local Gestión de Parches
2.4.2 Fundamental Procedimiento Local Gestión de Antivirus
2.4.3 Fundamental Procedimiento Local Gestión de Copias de Seguridad
2.4.4 Fundamental Procedimiento Local Mantenimiento de Sistemas
2.5 Especializado Procedimiento Local Gestión de infraestructuras de clave pública

USO INTERNO Página 17 de 17