Caso Práctico

Otras Normativas en el
Ámbito de la Seguridad
de la Información
CEUPE Caso Práctico CEUPE Caso Práctico
Centro Europeo de Postgrado Otras Normativas en el Ámbito de la Seguridad Centro Europeo de Postgrado Otras Normativas en el Ámbito de la Seguridad
de la Información de la Información

Caso Práctico: Otras Normativas

Ejercicio 2

en el Ámbito de la Seguridad de la
Datos

Información
Dato importante
A la hora de subir las respuestas de los ejercicios al campus virtual se recuerda la nece-
sidad de incluir en las mismos los enunciados de los ejercicios.
El caso puede presentarse en Formato Word (o similar) o en PDF. Es importante razonar
de forma justificada las respuestas que se redacten. Asi como cuidar la estructura y
presentación y evitar las faltas de ortografía.
La entidad BILLETES PARA TODOS gestiona la venta de billetes de tren mediante pago
electrónico. Dicha empresa se encuentra actualmente certificada en PCI DSS. Tiempo
más tarde, debido a una serie de acuerdos y decisiones por parte de la alta dirección, se
decide externalizar dicha gestión de venta de billetes a un tercero: GESTIONA S.A.
La empresa GESTIONA, que se encargará de gestionar la venta de billetes mediante pago
electrónico utilizando para ello un aplicativo residente en las instalaciones de BILLETES
PARA TODOS, quiere adecuarse a PCI DSS, puesto que la entidad que les ha contratado
se lo exige. Por ello, y para poder delimitar cómo afecta esta norma a la empresa, se sumi-
nistran los siguientes datos:
Mapa de red actualizado a día de hoy:

Ejercicio 1
Datos

Una administración pública ha iniciado el proceso de adecuación al Real Decreto 3/2010

por el que se aprobó el Esquema Nacional de Seguridad. La intención de esta administra-
ción es cumplir con los plazos establecidos para el cumplimiento de las obligaciones y
medidas que le impone el ENS.

Para ello, el responsable de seguridad TI quiere conocer primero el estado en el que se

encuentra respecto a los requisitos del Real Decreto y, para ello, ha contratado a una con-
sultora especializada en la que usted es el consultor asignado al proyecto.

Lo único que de lo que dispone esta administración actualmente es de una normativa

sobre el uso correcto de los recursos informáticos puestos a disposición del personal y la
responsabilidad en que éste incurriría en caso de violación de dicha normativa.

Se pide

1. Explicar las actividades a realizar para proporcionar a la administración la informa-

ción sobre su estado actual respecto al Esquema Nacional de Seguridad.

2. Detallar qué medidas de carácter organizativo del anexo II del ENS deberían ser im-
plementadas.

02 03
CEUPE Caso Práctico
Centro Europeo de Postgrado Otras Normativas en el Ámbito de la Seguridad
de la Información
Información documental y de utilidad:
• Las compras se realizan de la siguiente forma: el cliente llama a un número de
teléfono y es atendido por un operador. El operador, siguiendo las indicaciones
del cliente, selecciona el billete que más se adecue a las necesidades del mismo.
Seguidamente, el cliente procede a suministrar los datos de su tarjeta de crédito
al operador, quien los introduce en la aplicación. Los datos introducidos serán el
nombre el titular y el PAN. El PAN aparecerá codificado en pantalla en el momento
de su introducción, tal y como viene reflejado en la política de seguridad.
• Los operadores se conectan a la aplicación de BILLETES PARA TODOS utilizando
un navegador web (URL por HTTPS), previa validación en el directorio activo de
GESTIONA (usuario: GESTXX donde XX es un número secuencial. La contraseña
es de 8 caracteres, debiendo contener cifras y letras). Los datos de las tarjetas de
crédito se almacenan siempre en el servidor de BILLETES PARA TODOS y en
ningún caso en los equipos de GESTIONA S.A. La aplicación remota solicita un
usuario único para cada persona (BILLXX, donde XX es un número secuencial)
y una contraseña (8 cifras con caracteres y letras. Obligación de cambiarla cada
90 días, y que sea diferente de las 4 anteriores. Bloqueo de 30 minutos tras 4 in-
tentos fallidos, y logoff tras 15 minutos de inactividad). Este sistema de validación
está gestionado por BILLETES PARA TODOS, y su correcto funcionamiento se
comprueba con frecuencia (aplicación y directorio activo). Todos estos puntos se
encuentran documentado en la política de seguridad.
• Con cierta periodicidad, se realizan auditorías de seguridad, generando un informe
de resultados. Las fechas de las auditorías se guardan en un registro de auditorías
con el objetivo de llevar un control estricto sobre la realización de las mismas, así
como sobre la solución de las deficiencias detectadas. Como parte complementaria
a este análisis, se realizan análisis de vulnerabilidades cada 4 meses aproximada-
mente.
• En la política, se explica que el almacenamiento de datos de las tarjetas se realiza
únicamente en las instalaciones de BILLETES PARA TODOS.
• Existe una política de seguridad que tiene mapeados los controles de PCI con cada
apartado correspondiente. Esta política tiene detalladas las reglas de firewall cor-
porativo implementadas para limitar y asegurar el entorno de las tarjetas. Además,
en la política se indica que estas reglas son revisadas cada 6 meses como mínimo.
Las restricciones implementadas incluyen restricción de información sobre direc-
cionamiento interno y sobre enrutamiento.
• En la política, se describe el procedimiento para extraer la configuración de los
routers, y el guardado de la misma. También se describe cómo sincronizar la confi-
guración de estos dispositivos.
04
CEUPE Caso Práctico
Centro Europeo de Postgrado Otras Normativas en el Ámbito de la Seguridad
de la Información
• En la política, se detalla que no existen servicios publicados de cara al exterior.
En el entorno de tarjetas sólo se tiene acceso a la aplicación de BILLETES PARA
TODOS a través de la VPN. En el entorno de tarjetas no existe conexión a Internet.
• En la política, se han definido con detalle los parámetros de seguridad comunes
que se aplican a los componentes del sistema, así como las funcionalidades utili-
zadas en cada caso.
• En la política, viene especificado que todos los accesos administrativos que no son
por consola utilizan una encriptación fuerte (SSH, VPN, SSL/TLS).
• La propia aplicación de BILLETES PARA TODOS dispone de un módulo de ticke-
ting específico que cubre las incidencias que puedan ocurrir en el sistema. Todo
esto se encuentra documentado en la política.
• En la política se ha definido un punto de retención de datos con los aspectos que se
describen a continuación. Los datos de las tarjetas de crédito sí quedan almacena-
das en las conversaciones telefónicas que los clientes mantienen con los operado-
res, las cuales son grabadas. Se confirma que se almacenan datos de voz, por lo que
no existe ningún mecanismo automatizado que permita recuperar dichos datos, o
buscarlos. También se ha definido una cláusula de prohibición de acceso a esta
información por parte de trabajadores. Los datos de los soportes que almacenan la
voz son destruidos de forma segura utilizando un formateo a bajo nivel.
• Los equipos del entorno de tarjetas están protegidos con la solución McAfee EPO
(módulos de antivirus, antispyware y HIPS). Tanto la versión utilizada como los
procedimientos relacionados (actualización, mantenimiento, despliegue, logs, aná-
lisis, etc.) se encuentran documentados en la política.
• En la política se ha definido una gestión de vulnerabilidades robusta, con el ob-
jetivo de que los sistemas siempre tengan los últimos parches y actualizaciones
instalados. Por otro lado, también se ha definido un proceso para identificar nuevas
vulnerabilidades de seguridad, siendo categorizadas por riesgo.
• Existe un sistema maduro y eficiente de gestión documental implantado en la em-
presa, realizándose control de cambios, versiones de documentos y aprobación de
los mismos.
• En la política, se encuentran definidos en detalle los roles de la aplicación de BI-
LLETES PARA TODOS, y la asignación de los mismos a cada usuario (asignación
realizada en función de cargo desempeñado), previa autorización documentada
por parte de los responsables.
05
CEUPE Caso Práctico CEUPE Caso Práctico
Centro Europeo de Postgrado Otras Normativas en el Ámbito de la Seguridad Centro Europeo de Postgrado Otras Normativas en el Ámbito de la Seguridad
de la Información de la Información

• Las medidas de seguridad especificadas en la política son transmitidas a los tra-
bajadores para que las conozcan y las respeten. Este conocimiento por parte del
trabajador está plasmado en la política.
• Los equipos del entorno de las tarjetas se encuentran en una sala específica prote-
gida mediante acceso por tarjeta. Cada operador tendrá una tarjeta de acceso que
le permitirá acceder a esta sala. Estas tarjetas de acceso serán específicas para el
entorno de las tarjetas. Además, existen cámaras que graban a todos los que entran
o salen de la sala. Estas grabaciones se almacenan durante 4 meses. Las visitas se
autorizarán previamente con una hoja de autorización (esta hoja se almacenará
durante 3 meses a modo de bitácora de visitas). Para identificar a un visitante, se le
dará una tarjeta de visita que le identifique y que tendrá que devolver al finalizar la
visita (caducará el acceso otorgado por la misma).
• El acceso físico a los puntos de conexión se encuentra controlado y está restringi-
do.
Se pide:
1. ¿Realmente es necesario que la empresa GESTIONA S.A se adecue a PCI DSS? Ra-
zone su respuesta.
2. De ser así, indique el tipo de cuestionario SAQ que utilizaría, y por qué.
3. 3Rellene el cuestionario SAQ conforme a la información de la que se dispone (si no
existe dato sobre algún punto, se entenderá que no se encuentra implementado o
que falta información por parte del cliente, por lo que se contestará indicando que
no se encuentra información en la política). Utilizar la plantilla adjunta. En el caso
de incumplimiento de un control, especificar el motivo de forma breve en la columna
“especial” y la solución, en la columna “solución”. Se recuerda que si un control no
aplica al supuesto, esto se indicará en la columna “especial”.
DESARROLLAR Y MANTENER UNA RED SEGURA

• Se ha implementado un sistema de correlación y colección de logs SIEM, que per- Requisito 1: Instalar y mantener una configuración de firewall para proteger los datos
mite recopilar los logs de todos los dispositivos y elementos del sistema. El sis-
tema guarda los logs con fecha y hora de accesos, registro de auditoría, acciones Respuesta a la pregunta de PCI DSS: Sí No Especial* Solución
realizadas por el root, de carácter informativo, de creación y borrado de objetos del
sistema, de eventos (incluido su origen) y de errores. Los logs y alarmas generados 1.1 ¿Incluyen las normas de configuración
del firewall y router establecidas lo si-
se revisan de forma diaria. Se guardan los registros de auditoría de los últimos 12 guiente?
meses.
1.1.1 ¿Existe un proceso formal para aprobar y
• El acceso a los registros de auditoría se encuentra limitado a los administradores probar todos los cambios y las conexio-
nes externas de red en la configuración
de los sistemas. Estos ficheros se encuentran protegidos contra modificaciones no de los firewalls y los routers?
autorizadas.

• Se encuentra implementado un mecanismo IDS/IPS de red capaz de detectar y

bloquear dispositivos inalámbricos que intenten establecer una red ad hoc contra
la red de tarjetas.

• Se ha implementado un sistema de control de dispositivos que impide que los ope-

radores pinchen dispositivos USB no autorizados en sus equipos.

• En la política, se ha definido un procedimiento de destrucción de materiales que

puedan contener algún tipo de dato de tarjetas de crédito.

• Se encuentra implantado el sistema de inventario OCS inventory, con el que se

obtiene información a bajo nivel sobre los programas instalados.

06 07
CEUPE Caso Práctico CEUPE Caso Práctico
Centro Europeo de Postgrado Otras Normativas en el Ámbito de la Seguridad Centro Europeo de Postgrado Otras Normativas en el Ámbito de la Seguridad
de la Información de la Información

Ejercicio 3 Ejercicio 4
Datos Datos

Una organización ha implantado ISO 20000 para la prestación de sus servicios de hosting Una empresa de ingeniería y fabricación de piezas para aviones tiene 250 empleados y el
y housing y quiere someter su Sistema de Gestión de Servicios de TI (SGSTI) a la corres- siguiente organigrama:
pondiente auditoría de tercera parte para obtener la certificación.
• (1) Director general.
Para ello, el responsable del SGSTI se pone en contacto con varias entidades de certi-
ficación de las existentes en el mercado y presenta las ofertas de cada una de ellas a la • (2) Director financiero.
Dirección de la empresa para que seleccione una.
• (3) Jefe de contabilidad.
Examinadas las propuestas económicas, la organización se decanta por una entidad de
certificación de la que usted forma parte como auditor. • (3) Jefe de informática.

EL SGSTI de la organización se encuentra en un grado de implantación notable, si bien • (2) Director comercial.
no se ha previsto un procedimiento de control de la documentación por no considerarlo • (2) Director marketing.
necesario.
• (2) Director recursos humanos.
Se pide
• (2) Director industrial.
1. Detallar al menos cinco requisitos generales del SGSTI que habría que auditar.
El Director general ha pedido la realización de una auditoría de sistemas de información
2. Decidir sobre la conveniencia de incluir una no conformidad en el informe de audito- con el siguiente objetivo y alcance:
ría respecto a la ausencia de un procedimiento de control de la documentación.
• Objetivo:
3. Justificar, en su caso, la no conformidad anterior con la referencia o referencias con-
cretas de la norma que no han sido observadas por la organización. • Emitir una opinión sobre el entorno de control en el desarrollo e implantación
de sistemas que asegure la correcta funcionalidad de estos y la disponibilidad de
los mismos, y la fiabilidad y exactitud de la información.

• Alcance:

• Todos los sistemas que dan servicio a la compañía y usuarios externos.

La empresa tiene un departamento de proceso de datos compuesto por 6 personas:

• 2 Analistas programadores.

• 2 Programadores.

• 1 Responsable de seguridad.

• 1 Técnico de sistemas.

08 09
CEUPE Caso Práctico CEUPE Caso Práctico
Centro Europeo de Postgrado Otras Normativas en el Ámbito de la Seguridad Centro Europeo de Postgrado Otras Normativas en el Ámbito de la Seguridad
de la Información de la Información

Existen cuatro servidores de aplicaciones: Equipo cortafuegos de la Red.

• Servidor (General 01): 200 Equipos PC individuales con acceso a las aplicaciones.

• Sistema operativo Windows 2008. La información recogida en la etapa preliminar de esta auditoría, mediante la revisión de
documentación y entrevistas, ha sido:
• Base de datos SQL-SERVER.
• Existe un procedimiento formal:
• Aplicaciones desarrolladas internamente:
• Copias de seguridad diarias.
• Contabilidad; financiero; comercial; marketing.
• Documentación del sistema operativo y parches actualizados.
• Acceso mediante modelo Cliente/Servidor.
• Documento de solicitudes de cambio que rellena el analista.
• Aplicaciones desarrolladas en .NET.
• El administrador de seguridad:
• Servidor (General 02):
• Realiza el alta de usuarios en los distintos sistemas.
• Sistema operativo Windows 2008.
• Actualiza las aplicaciones que los analistas entregan para puesta en producción.
• Base de datos SQL-SERVER.
• Actualiza los sistemas operativos y los parches.
• Aplicaciones desarrolladas internamente:
• Conexiones ODBC para Cliente/Servidor.
• Industrial: acceso mediante Terminal Server, aplicaciones desarrolladas en
.NET, alojadas en el Servidor. • No realizan:

• Servidor (General 03): • Auditorias de sistemas de información.

• Sistema operativo Windows 2008. • Archivado de las solicitudes de cambios.

• Aplicación de correo electrónico Exchange 2007. • Análisis coste/beneficio de las solicitudes.

• Servidor (General 04): • No cuentan con:

• Sistema operativo Windows 2008. • Políticas organizativas para sistemas de información.

• Servidor WEB (IIS). • Plan para cambios de emergencia.

• Servidor de base de datos SQL-SERVER. • Entorno separado para desarrollo.

• Con acceso al Servidor (General 02). • Proceso formal de implantación de parches.

• Servicio de acceso de clientes a la extranet. • Estudio de impacto en las solicitudes.

10 11
CEUPE Caso Práctico CEUPE Caso Práctico
Centro Europeo de Postgrado Otras Normativas en el Ámbito de la Seguridad Centro Europeo de Postgrado Otras Normativas en el Ámbito de la Seguridad
de la Información de la Información

En el plan de prioridades para realizar solicitudes: Ejercicio 5

• Se han dado de alta: Datos

• Aplicaciones desarrolladas en ACCESS, por el departamento de marketing con La serie de fallos en los negocios que empezaron con Enron a finales de 2001 pusieron
acceso en lectura y escritura vía ODBC, accediendo, modificando y dando de de manifiesto serias debilidades en el sistema de contabilidad y auditoría que intentaban
baja a registros de clientes de comercial. proteger los intereses de los accionistas, beneficiarios de planes de pensiones y emplea-
dos de compañías públicas —y proteger la confianza del público general—.
• Se revisa periódicamente:
Por ello, el 30 de julio de 2002, fue promulgada una ley para proteger a los inversores me-
• Actualizaciones de los sistemas operativos y del software de desarrollo. jorando la exactitud y la confianza de los informes y comunicaciones corporativas realiza-
das cumpliendo con las leyes financieras y otros propósitos, denominada SOX (Sarbanes
• Cualquier proyecto nuevo:
Oxley).
• Es encargado al analista y este lo documenta y desarrolla según el orden de
El ámbito de aplicación de la ley son todas aquellas empresas cuyos valores, acciones y
solicitud.
obligaciones coticen en Wall Street.
Se pide
Interpretada y reglamentada por la SEC (Securities and Exchange Commission) y el
1. Un informe de riesgos potenciales detectados, indicando el impacto de estos riesgos PCAOB (Public Company Accounting Oversight Board), dispone de varias secciones en-
en la entidad, según sus objetivos de negocio. tre las que destacan:

2. Un programa de auditoría, indicando los procesos según COBIT 5 a auditar. • Sección 302. Corporate responsibility for financial reports: requiere que el conse-
jero delegado y el director financiero certifiquen trimestral y anualmente que el
3. Diseñar las pruebas a realizar (objetivo y alcance). control interno de la entidad es efectivo.

• Sección 404. Management assessment of internal controls: requiere que anualmen-

te la Dirección prepare, para que lo revise y evalúe su auditor, un informe de con-
trol interno que:

• Determine su responsabilidad en establecer y mantener una adecuada estructu-

ra de control interno y unos adecuados procedimientos para la elaboración en
tiempo, forma y contenido de la información financiera de la sociedad.

• Contenga una evaluación de la efectividad de la estructura de control interno y

los procedimientos.

Una empresa que cotiza en la Bolsa de Nueva York se ha planteado implantar un sistema
IT GRC que permita unificar esfuerzos a la hora de garantizar los objetivos de negocio,
dar cumplimiento a la totalidad de regulaciones a las que están sometidos, y en definitiva
mejorar las prácticas de gobierno y de gestión de riesgo.

12 13
CEUPE Caso Práctico
Centro Europeo de Postgrado Otras Normativas en el Ámbito de la Seguridad
de la Información

Después de un breve análisis, la mayor preocupación de la Dirección son los siguientes

elementos:

• Entorno de control de IT.

• Controles generales de IT.

• Controles automáticos.

• Procesos externalizados.

• Hojas de cálculo y bases de datos de usuarios.

Se pide

1. Indicar al menos 5 motivos por los que las tecnologías de la información son impor-
tantes a la hora de implantar un sistema IT GRC.

2. Definir los controles internos que diseñaría para aplicar al entorno de control IT y los
controles generales de IT que aplicaría.

3. Diseñar al menos 10 controles internos necesarios para el resto de elementos de

preocupación de las partes interesadas de la organización.

CEUPE
Centro Europeo de Postgrado

Web
www.ceupe.com

E-mail
info@ceupe.com

14