402 - Organizacion - y - Gestion - STIC
402 - Organizacion - y - Gestion - STIC
402 - Organizacion - y - Gestion - STIC
DICIEMBRE 2006
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-402 v1.0 Organización y Gestión STIC
Edita:
LIMITACIÓN DE RESPONSABILIDAD
El presente documento se proporciona de acuerdo con los términos en él recogidos, rechazando expresamente
cualquier tipo de garantía implícita que se pueda encontrar relacionada. En ningún caso, el Centro Criptológico
Nacional puede ser considerado responsable del daño directo, indirecto, fortuito o extraordinario derivado de la
utilización de la información y software que se indican incluso cuando se advierta de tal posibilidad.
AVISO LEGAL
Quedan rigurosamente prohibidas, sin la autorización escrita del Centro Criptológico Nacional, bajo las sanciones
establecidas en las leyes, la reproducción parcial o total de este documento por cualquier medio o procedimiento,
comprendidos la reprografía y el tratamiento informático, y la distribución de ejemplares del mismo mediante alquiler
o préstamo públicos.
PRÓLOGO
Entre los elementos más característicos del actual escenario nacional e internacional figura el
desarrollo alcanzado por las Tecnologías de la Información y las Comunicaciones (TIC), así como
los riesgos emergentes asociados a su utilización. La Administración no es ajena a este escenario,
y el desarrollo, adquisición, conservación y utilización segura de las TIC por parte de la
Administración es necesario para garantizar su funcionamiento eficaz al servicio del ciudadano y
de los intereses nacionales.
Una de las funciones más destacables que, asigna al mismo, el Real Decreto 421/2004, de 12 de
marzo, por el que se regula el Centro Criptológico Nacional es la de elaborar y difundir normas,
instrucciones, guías y recomendaciones para garantizar la seguridad de los sistemas de las
tecnologías de la información y las comunicaciones de la Administración.
Diciembre de 2006
ÍNDICE
1. INTRODUCCIÓN ........................................................................................................1
2. OBJETO ........................................................................................................................1
3. ALCANCE ....................................................................................................................1
4. ESTRUCTURA TIC DEL SISTEMA ..........................................................................1
4.1.COMITÉ TIC ..............................................................................................................2
5. ORGANIZACIÓN DE SEGURIDAD..........................................................................3
6. ESTRUCTURA DE OPERACIÓN STIC.....................................................................3
6.1.ADMINISTRADORES STIC.....................................................................................3
6.2.OPERADORES STIC.................................................................................................4
6.3.USUARIOS.................................................................................................................5
7. ESTRUCTURA DE SUPERVISIÓN STIC..................................................................5
7.1.ALTA DIRECCIÓN ...................................................................................................7
7.2.COMITÉ DE SEGURIDAD CORPORATIVA..........................................................7
7.3.RESPONSABLE DE SEGURIDAD CORPORATIVA .............................................8
7.4.COMITÉ STIC............................................................................................................8
7.5.RESPONSABLE STIC ...............................................................................................9
7.6.RESPONSABLES STIC DELEGADOS ..................................................................10
8. SEGURIDAD DE LA INFORMACIÓN ....................................................................10
9. DOCUMENTACIÓN DE SEGURIDAD ...................................................................11
10. PROYECTOS..............................................................................................................12
ANEXOS
1. INTRODUCCIÓN
1. El mantenimiento y gestión de la seguridad de los Sistemas de las Tecnologías de la
Información y las Comunicaciones (TIC), en adelante Sistemas, van íntimamente ligado
al establecimiento de una Organización de Seguridad.
2. Dicha Organización queda establecida mediante la identificación y definición de las
diferentes actividades y responsabilidades en materia de gestión de la seguridad de los
Sistemas y la implantación de una estructura que las soporte.
2. OBJETO
3. El objeto de esta guía es crear un marco de referencia que establezca las
responsabilidades generales en la gestión de la seguridad de los Sistemas, así como
proponer unas figuras o roles de seguridad que las implementen, todo ello de acuerdo con
su Política de Seguridad de la Información.
4. Es responsabilidad de cada Organismo establecer su propia Organización de Seguridad
acorde con sus necesidades y limitaciones.
3. ALCANCE
5. La estructura propuesta sirve como guía, pudiendo ser la implantación final diferente en
cada Organización. No obstante, las funciones y misiones definidas en esta guía deben ser
cubiertas sea cual fuere la implantación final adoptada.
6. La Alta Dirección es responsable de la aprobación de cualquier estructura de seguridad
que sustenta al Sistema y que permite el cumplimiento de los requisitos de seguridad
necesarios para manejar la información que soporta.
1
En el ámbito privado es frecuente hablar de “Áreas de Negocio”, mientras en la administración pública se suelen
denominar “Servicios”. La terminología puede ser aún mucho más variada en la práctica.
Alta Dirección
Departamento
Usuarios
Servicios
TIC
Propios
11. El Comité TIC delega en una red de administradores y operadores TIC las tareas
decididas:
− Los administradores se encargan de la instalación y configuración de aplicaciones,
equipos y comunicaciones
− Los operadores se encargan de la operación continua de los servicios TIC.
Alta Dirección
Comité Departamento
TIC Usuarios
Servicios
Administradores TIC
Operadores Propios
Administradores
Operadores Servicios TIC Horizontales
5. ORGANIZACIÓN DE SEGURIDAD
12. La Organización de la Seguridad de las Tecnologías de la Información y Comunicaciones
(STIC) está constituida por las Autoridades responsables del establecimiento y aplicación
de los procedimientos y normas STIC en el Sistema.
13. Dentro de cada Organización STIC se establecen dos tipos fundamentales de estructuras:
− Estructura de Supervisión: responsable de establecer y aprobar los requisitos de
seguridad para el Sistema además de verificar y supervisar la correcta implementación
y mantenimiento de los mismos.
− Estructura de Operación: responsable de la implementación y mantenimiento de los
requisitos de seguridad aprobados para el Sistema por la Alta Dirección.
19. Ejecutarán los procedimientos que les competan en cuanto a actividad rutinaria.
20. Ejecutarán los procedimientos que les sean asignados en la resolución de incidentes
recibidos de los operadores y usuarios.
21. Los administradores deben reportar cualquier inseguridad o debilidad, real o supuesta,
que perciban durante la realización de sus tareas. Se informará al Responsable de
Seguridad inmediato superior.
6.3. USUARIOS
29. Los usuarios se relacionan con los servicios TIC para cumplir sus obligaciones laborales.
Son el personal autorizado para acceder al Sistema utilizando las posibilidades que les
ofrece el mismo.
30. Los usuarios juegan un papel fundamental en el mantenimiento de la seguridad del
Sistema, por lo tanto, es fundamental su concienciación en la seguridad de las TIC ya que
en la mayoría de los casos constituyen voluntariamente o involuntariamente la principal
amenaza para el propio Sistema.
31. Los usuarios deben estar debidamente informados de sus obligaciones y
responsabilidades, así como haber sido instruidos para la labor que desempeñan. En
particular deben estar formados en relación a la gestión de mecanismos de identificación
y al procedimiento de gestión de incidentes.
32. Los usuarios del Sistema son responsables entre otras cosas de:
− Conocer los procedimientos que les competen.
− Informar de cualquier incidente de seguridad o acontecimiento inusual que sea
observado durante la operación de su Sistema.
38. Los responsables STIC pueden contar con responsables delegados o intermedios
centrados en un Departamento, un aspecto tecnológico o un proyecto concreto,
apareciendo:
− Responsables STIC departamentales.
− Responsables de la seguridad de determinadas aplicaciones informáticas (bases de
datos, sistemas operativos, etc…).
− Responsables de la seguridad de determinado equipamiento (equipos móviles o sedes
remotas).
− Responsables de la seguridad de las redes de comunicaciones.
− Responsables de seguridad de un proyecto de adquisición o desarrollo que termina
con el proyecto y que luego pasa a los responsables de explotación.
− Responsables de seguridad en las relaciones con otras Organizaciones.
39. En teoría los diferentes roles STIC se limitan a una jerarquía simple: el Comité STIC da
instrucciones al Responsable STIC que se encarga de cumplimentar, supervisando que
administradores y operadores implementan las medidas de seguridad según lo establecido
en la política de seguridad aprobada para la Organización.
40. En la práctica, la situación es menos simple y existe también un flujo inverso en el que
administradores, operadores y usuarios transmiten incidencias, debilidades (reales o
supuestas) e informes de explotación para que se tomen las medidas preventivas o
correctivas que el Comité STIC o el Responsable STIC por delegación, consideren
oportunas.
41. El Comité STIC también escuchará las inquietudes de la Alta Dirección y del Comité TIC
e informará a todos ellos del estado de seguridad de las TIC.
42. En grandes Organizaciones aparecerán nuevas figuras entre la Alta Dirección y el Comité
TIC. Se trata del Comité de Seguridad Corporativa con su propio Secretario, el
responsable de seguridad corporativa. El Responsable STIC queda como miembro del
Comité de Seguridad Corporativa junto con otros responsables de otras áreas, tales como:
− Responsables de la seguridad de instalaciones y áreas (seguridad física).
− Responsables de la seguridad de la información.
− Responsables de seguridad industrial.
− Responsables de seguridad operacional.
− etc.
Alta Dirección
comité de
Comité de seguridad
Seguridadcorporativa
Corporativa Comité STIC Comité TIC
Responsable STIC
responsables STIC
Responsables STICde
deáreas
Áreas
Usuarios
55. Recaba de los Responsables de Seguridad informes regulares del estado de seguridad de
la Organización y de los posibles incidentes. Estos informes, se consolidan y resumen
para la Alta Dirección.
56. Coordina y da respuesta a las inquietudes transmitidas a través de los Responsables de
Seguridad.
57. Debe definir, dentro de la Política de Seguridad Corporativa, la asignación de roles y los
criterios para alcanzar las garantías que estime pertinentes en lo relativo a segregación de
tareas.
69. El Comité STIC se asesorará de los temas sobre los que tenga que decidir o emitir una
opinión. Este asesoramiento se determinará en cada caso, pudiendo materializarse de
diferentes formas y maneras:
− Grupos de trabajo especializados internos, externos o mixtos.
− Asesoría externa.
− Asistencia a cursos u otro tipo de entornos formativos o de intercambio de
experiencias.
79. Elaborará para su aprobación por el Comité STIC los requisitos de formación y
calificación de administradores, operadores y usuarios desde el punto de vista de
seguridad de las TIC.
80. Es responsable de la identificación de tareas de administración y operación que
garanticen la satisfacción de los criterios y requisitos de segregación de tareas impuestos
por el Comité de Seguridad Corporativa.
81. Es el interlocutor oficial en comunicaciones con otras Organizaciones, tarea que puede
asumir personalmente o delegar según las circunstancias, pero nunca debe haber más de
un interlocutor.
82. Es el responsable de coordinar la respuesta ante incidentes que desborden los casos
previstos y procedimentados. Es el responsable de coordinar la investigación forense
relacionada con incidentes que se consideren relevantes.
8. SEGURIDAD DE LA INFORMACIÓN
88. Aunque la seguridad de la información no es lo mismo que la seguridad de las TIC, la
relación entre ambas es fuerte y crítica.
89. La clasificación de la información (como SECRETO, RESERVADO, CONFIDENCIAL
o de DIFUSIÓN LIMITADA) no se decide por criterios TIC o STIC. Pero una vez
determinada su clasificación, esta implica una serie de requisitos sobre su manipulación
mediante servicios TIC. Ver Anexo A.
90. La clasificación de la información de carácter personal (nivel alto, medio o bajo) no se
decide por criterios TIC o STIC. Pero una vez determinado su nivel, este implica una
serie de requisitos sobre su manipulación en entornos TIC.
91. Otros tipos de clasificación propios de la Organización y derivados de la política propia o
de obligaciones regulatorias o sectoriales no se decide por criterios TIC o STIC. Pero una
vez determinada su clasificación, esta implica una serie de requisitos dentro del entorno
de las TIC.
Normas Normas
Procedimientos Procedimientos
9. DOCUMENTACIÓN DE SEGURIDAD
96. La Política de Seguridad Corporativa será elaborada por el Responsable de Seguridad
Corporativa y aprobada por el Comité de Seguridad Corporativa y por la Alta Dirección.
97. La Política de Seguridad de las TIC será elaborada por el Responsable STIC y aprobada
por el Comité STIC y el Comité de Seguridad Corporativa.
98. Las normas STIC serán elaboradas por el Responsable STIC y aprobadas por el Comité
STIC. La elaboración podrá delegarse en los Responsables STIC de Áreas, en particular
cuando las normas no sean de carácter general.
99. Los procedimientos STIC serán elaborados por el Responsable STIC y aprobados por el
Comité STIC. La elaboración podrá delegarse en los Responsables STIC de Áreas, en
particular cuando los procedimientos no sean de carácter general.
10. PROYECTOS
101. La realización de proyectos supone la existencia temporal de dominios de seguridad
específicos en los que la seguridad debe ser gestionada de forma acorde a las políticas de
seguridad y, además, el resultado de los proyectos debe facilitar una explotación acorde a
dichas políticas de seguridad.
102. Para cada proyecto se designará un Responsable de Seguridad del Proyecto. Este
responsable reportará a los Responsables de Seguridad STIC y SI, según corresponda.
103. El Responsable de Seguridad del Proyecto se hará cargo de los procedimientos de trabajo
durante el desarrollo, en particular del tratamiento de la información empleada:
especificaciones, diseños, datos de prueba y manuales de explotación.
104. El Responsable de Seguridad del Proyecto realizará un análisis de riesgos del entorno de
desarrollo y del resultado del proyecto, análisis que serán reportados a los Comités STIC
y SI para su conocimiento, aprobación y toma de decisiones relativas a las salvaguardas y
controles que se empotrarán en el sistema para su adecuada explotación. El Responsable
de Seguridad del Proyecto será responsable de la adecuada ejecución de dichas
decisiones.
105. El Responsable de Seguridad del Proyecto informará de los incidentes y del progreso en
general del proyecto a los Comités STIC y SI.
11. ANEXOS
106. La información manejada por un sistema TIC es uno de los bienes críticos a proteger.
Como tal, debe estar muy bien definido quién debe hacer qué con qué información. Como
no toda la información requiere el mismo tratamiento, y el tratamiento puede ser
laborioso y costoso, es muy conveniente establecer niveles de información en función de
sus exigencias de seguridad. A esto se le denomina “clasificar la información” (o sea,
establecer clases de información) y a la información cuya clase se conoce se la denomina
“información clasificada”.
107. La información clasificada requiere algunos procedimientos de control:
a. procedimiento para clasificar la información; que establece quién determina a qué
clase pertenece y en base a qué criterios
b. procedimiento para cambiar la clasificación (incluida su desclasificación); que
establece quién puede alterar la etiqueta de una información, en base a qué
criterios y dejando qué registro
c. procedimientos para tratar la información en base a su nivel:
i. ¿quién puede acceder a la información?, ¿en qué condiciones?,
¿dejando qué registros?
ii. cifrado de los ficheros y gestión de claves,
iii. realización de copias y gestión de copias,
iv. etiquetado de soportes de información,
v. impresión y gestión de información impresa,
vi. transmisión (fax, redes, e-mail, ...),
vii. acceso por terceras partes: autorización, obligaciones contraídas, etc.
viii. copias de seguridad y gestión de copias,
ix. destrucción de copias y soportes
108. La clasificación de la información tiene en cuenta las consecuencias que se derivarían de
su conocimiento por personas que no deben tener acceso a ella
Nivel Características
confidencial Su revelación supondría un grave daño:
• supondría una ventaja comercial desproporcionada para la
competencia
• supondría un grave quebranto económico
• podría quebrar la capacidad de operar de la Organización
• supondría un serio daño a la imagen de la Organización
Centro Criptológico Nacional 13
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-402 v1.0 Organización y Gestión STIC
109. Cuando la información afecta a temas de Estado, suelen aparecer dos categorías
superiores:
secreto • daños graves a la seguridad nacional
• incidentes graves internacionales
reservado • afectaría a la seguridad nacional
• afectaría al orden público
• causaría incidentes internacionales
2
La segregación debe contemplar también que no es la misma persona quien autoriza y ejecuta; pero esta
segregación aparece contemplada en la propia organización STIC propuesta como base. En todo caso, este
principio debería ser tenido en cuenta en aquellas organizaciones que sigan modelos diferentes.
ANEXO E. ABREVIATURAS
ANEXO F. REFERENCIAS