1. DISEÑAR UN CPD, PARA UNA ENTIDAD DEL SECTOR PUBLICO O PRIVADO.

2. INDENTIFICAR LOS SIGUIENTES ROLES, PARA CADA UNA DE LAS AREAS

TECNICAS Y ADMINISTRATIVAS DEL CPD Y JUSTIFICAR PORQUE LO
CONSIDERA PERTINENTE.

-. Director General. (CEO). Se debe comprometer apoyar a la entidad para alcanzar los
objetivos, misión, visión y la planeación estratégica de la organización.

-. Director del CPD. (CIO). Es el líder de la gestión estratégica de las Tecnologías de

Información, donde se encarga de planificar, organizar, coordinar, gestionar y controlar la
estrategia de uso y apropiación de TI, y todo lo concerniente a esta tarea.

-. Director de Tecnología. (CTO). Se centra en cuestiones científicas y tecnológicas dentro

de una organización.

-. Director de Seguridad Informática. (CISO). Es el responsable de planificar, desarrollar,

controlar y gestionar las políticas, procedimientos y acciones con el fin de mejorar la
seguridad de la información dentro de los principios de: confidencialidad, integridad y
disponibilidad.

-. Responsable de Seguridad. (CSO). Es el encargado de la seguridad del personal, los

activos físicos y la información tanto en formato físico y digital.

-. Director Financiero. (CFO). Responsables de la gestión de los riesgos financieros de la

empresa.

-. Director de Riesgos. (CRO). Encargado de entregar a la Dirección General las

herramientas necesarias para una correcta toma de decisiones, frente al manejo del
riesgo al que se ve enfrentada la entidad.

-. Jefe de Servicio Jurídico. (CLC). Ofrece servicios de asesoría jurídica y garantiza una
gestión eficaz de los riesgos legales y contractuales.

-. Control Interno de Tecnología de la Información. (CITI). Lleva a cabo a diario el control

de todas las actividades de los sistemas de información, y asegura el adecuado
alineamiento de las TIC, el negocio, la eficacia y la eficiencia, con el fin de que se dé
cumpliendo a los procedimientos, estándares y normas fijados por la dirección de la
entidad, apoyándose de las siguientes áreas: Administración Seguridad Física y Lógica,
Control de Sistema, Garantía de la Calidad y Control de Calidad de Datos.
 3. BASADOS EN LA NORMA IS 27002, SE DEBE CLASIFICAR E INDICAR LOS
CONTROLES A IMPLANTAR PARA CADA UNA DE LAS AREAS TECNICAS DEL
CPD E IDENTIFICAR CUALES DE ESOS CONTROLES SE CONSIDERAN:
NORMATIVOS(N), ORGANIZATIVOS(O) Y TECNICOS(T).

 Control Interno de Tecnología de la Información. NORMATIVOS(N)

Gestión de activos: La norma requiere que exista un inventario de los activos que traten
o almacenen información corporativa. A su vez, también es necesario que se defina una
clasificación de la información y se establezcan medidas de seguridad para la gestión de
soportes.
Seguridad física y ambiental: Las medidas de seguridad existentes en el acceso físico a
las instalaciones y en especial a las zonas más críticas como el Centro de Proceso de
Datos (CPD) o el archivo. Es importante verificar que el CPD dispone de medidas que
garanticen la integridad física de los sistemas de información (climatización, detección y
extinción de incendios, suministro eléctrico de respaldo, etc.)
Cumplimiento: En este apartado debe focalizarse la revisión del cumplimiento legal en
aspectos como la LOPD, la gestión de los derechos de propiedad intelectual u otra
legislación aplicable. Adicionalmente debemos comprobar que se realizan revisiones de
seguridad, ya sean por terceros o con carácter interno.

 Director General. NORMATIVOS(N)

Políticas de seguridad de la información: En este punto debemos verificar que existen
unas políticas y normativas de seguridad de la información aprobadas por la dirección y
distribuidas adecuadamente entre nuestros empleados.
Cumplimiento: En este apartado debe focalizarse la revisión del cumplimiento legal en
aspectos como la LOPD, la gestión de los derechos de propiedad intelectual u otra
legislación aplicable. Adicionalmente debemos comprobar que se realizan revisiones de
seguridad, ya sean por terceros o con carácter interno.

 Director de Tecnología. NORMATIVOS(N)

Gestión de activos: La norma requiere que exista un inventario de los activos que traten
o almacenen información corporativa. A su vez, también es necesario que se defina una
clasificación de la información y se establezcan medidas de seguridad para la gestión de
soportes.
Adquisición, desarrollo y mantenimiento de sistemas: El estudio contempla verificar la
existencia de análisis de requerimientos de seguridad previos al desarrollo y adquisición
de nuevos sistemas de información. Sin olvidar la existencia de una metodología de
desarrollo que tenga en cuenta aspectos de seguridad

 Director de Seguridad Informática. ORGANIZATIVOS(O)

Organización de la seguridad de la información: Aspectos como la correcta asignación
de responsabilidades de seguridad o la definición de medidas de seguridad para
dispositivos móviles y teletrabajo serán los aspectos por revisar en este dominio.
Control de acceso: En este dominio debemos verificar que se han implantado sistemas
de autenticación adecuados, tanto al acceso a las aplicaciones como al sistema operativo.
Del mismo modo, es necesario revisar la existencia de un proceso adecuado de gestión
de permisos de acceso de acuerdo con las necesidades del negocio.

 Responsable de Seguridad. TECNICOS(T).

Seguridad física y ambiental: Las medidas de seguridad existentes en el acceso físico a
las instalaciones y en especial a las zonas más críticas como el Centro de Proceso de
Datos (CPD) o el archivo. Es importante verificar que el CPD dispone de medidas que
garanticen la integridad física de los sistemas de información (climatización, detección y
extinción de incendios, suministro eléctrico de respaldo, etc.)
Seguridad en relación con los recursos humanos: Debemos evaluar las medidas de
seguridad existentes antes, durante y después de la contratación, incluyendo la existencia
de acuerdos de confidencialidad, concienciación, etc.

 Director de Riesgos. TECNICOS(T).

Seguridad en operaciones: Aspectos como la definición de procedimientos operativos,
sistemas de antivirus, copias de respaldo, gestión de vulnerabilidades, son los puntos por
revisar en uno de los dominios más extensos de la norma.

Seguridad en comunicaciones: La norma dedica un dominio a la seguridad de las

comunicaciones y en especial a la red corporativa, siendo necesario verificar tanto la
existencia de mecanismos para garantizar su seguridad (sistemas firewall, sistemas IDS/
IPS o la segmentación de la red), como su correcta implantación y configuración.

REFERENCIAS
https://www.incibe.es/en/node/2622
http://www.iso27000.es