MODELO EMPRESA FICTICIA EMPRESA XXXX, S.A.
La or ganizaci ción ón es una empresa de ca p piital p pr r ivado vado de de tamaño medio (podemos suponer unos 100 em p pllea eado do)) dedicada al desa esarr rr ollllo, o, comerci rcia alizaci ción ón y mantenimiento de a p plilicacion one es de t po ipo b ba ancar io b basa asad das en tecno cnollog ogíías web y cr pt iptog ogr r áf icas, como por e j je em p pllo: po port rta ales de b ba anca electr óni ónica para cliientes f inales, mar ket cl ket pl places con posi bili bilid dad de cerr ar contrataciones, te ter minales f inanci cie er os, etc. Los desa esarr rr ollllo os más ha b biituales se r ef ier en a a p plilicacion one es de negocio b ba ancar io que inter accion ona an con un host / mainf r ra me. La ar qui quitectur a de las a p plilicacion one es que se of r r ecen a los cl cliientes se basa en tecno cnollog ogíías web y siguen la estructura de a p plilicacion one es de tr es ca p pa as (htt p:// p://e en. n.w wik pe ipedia.o .or r g/w /wiiki/Multitier _ ar chi chitectur e#Thr ee-t ee-tiier _ ar chi chitectur e ).
La or ganizaci ción ón ha ha inici cia ado desde hace un año un proyecto inter no para no para la im p pllantaci ción ón de un Sistema de Gestión de la Segu gur r idad de la Inf or maci ción ón y tr anscurr ido este p pr r imer año se puede considerar inicialmente im p pllantado do y y op ope er ativo, y listo para ser aud udiitado.
Respecto a su estructura organiza zati tiva va
En la documentación del SGSI se encuentra un or ganigr ama actualizado de la em p pr r esa esa 6
La empresa se encuentra loc oca aliliz zada p pr r inci pa palmente en una ún úniica ub ubiicaci ción ón y si existen of ici cin nas o delegacion one es, todos los usuar ios t tiienen la consider aci ción ón de de usuar ios r emotos. Respecto a sus TIC
Se dis pon pone e de un diagr ama de alto nive vell con la ar qui quitectur a de los sistemas p pr r opi opio. Se ha rodeado los se ser r vi dor r es más destacados vido
Sistema de gestión de proyectos No existe. Es simulado en los entornos de prueba Entorno de desarrollo y pruebas Workstations de desarrollo
Servidor de bases de datos (incluye BBDD corporativas y las empleadas por el desarrollo y pruebas)
Respecto a los sistemas de inf ormaci ción ón más relevantes:
o
st ema de Ge st ión de P r El S i st pllea eado do para con contr tr olar r o ye ct o s es básico puesto que es em p todas las f ase proyect yectos os así así como para el ar chi ases de los pro chivo de los producto productoss r esultantes (cód códiigo f uente, documentación del proyecto como: diseños, p pllanes de p pr r ue b ba as, mater ial de puesto sto que es donde reside el documentación del producto, etc). Este sistema es cr íti ítico pue cam mente un r e positor io códiigo f uente consider ado el activo p cód pr r inci pa pal. Asimismo, no es ún úniica de f ich che er os sino que es un sistema para el con contr tr ol de los proyecto proyectoss que incl cluye uye además del r e positor io con contr tr olado de versiones de cód códiigo f uente y el resto de documentación asociada, el sistema para p pllanif icar el proyecto y poster ior mente r eali ealizar el con contr tr ol del progreso del mismo. La a p plilic caci ción ón em p pllea ead da tam b biién está basada en tecno cnollog ogíía web y estructura de tres capas. Los se ser r vi dor r es identif icados en el diagr ama actúan de servidor vido web y e j je ecu cuttan la lóg ógiica del sistema mientr as qu que e toda la inf or maci ción ón es al a lmacenada en los se ser r vi dor r es de bases de datos co cor r por po r ativos. vido
o
Para la pru prueba eba de las a p plilicaci cion one es se dispon one e de un entorno p pa ar a desa esarr rr ollllo o simulado en puestos stos de tr a b los pue ba a j jo o de los desa esarr rr olllla ado dor r es, y para dispon one e de un entorno similila ar al de los cl cliientes:
pruebas ebas de integr ación se las pru
Servido dorres web que e j je ecu cuttan la capa de p pr r esen esentación e inter actúan el resto de
elementos del b ba ack-end
datos para Servido dorres de bases de datos para el almacenamiento de datos de los dif er entes estados de la a p plilicaci ción ón y sus usuar ios. Estos mismos se ser r vi dor r es de bases de datos im p pllementan vido otras bases de datos co cor r por po r ativas como son por e j je em p pllo las del Sistema de Gestión de Pr oye oyectos.
Servido dorres de aplica cac ción que sirven de midd ddllewar e entre la ca p pa a de presentación y el host. Estos elementos además sirven p pa ar a simular todo el back-end que inter accion ona a con la a p plilicaci ción ón desa desarr rr olllla ada, de modo que la or ganización ón no no dispon one e de un host r eal eal. son na s La gestión diar ia de la inf r rae a estr uct uctur a están r eali ealizados por un equ qui po de ipo de 3 perso Aspectos f í s icos de las TIC de la organiza ísi zaci ción ón
o
Todos los sistemas co cor r por po r ativos mencionados anter ior mente, así como el resto
de
inf r rae a estr uctur a TIC de la empresa (otros se ser r vi dor r es vido
de f ich che er os para tareas de soporte administr ativo, con contta b blle, dir ección, recursos humanos, etc, servidor de correo) se encu ncue entr an im p pllementados en p pllataf or mas Hardware que sica cam mente se ub em p pllea virt rtu ualizaci ción ón y y f ísi ubiica en el CPD de la or ganización o
El CPD de la or ganización dispon one e de con contr tr oles de acceso por tar j je eta de
pr oximidad y cód pr códiigo PI N, N, equ qui po ipos para el con contr tr ol de la temperatura y humedad, sistemas de ext xtiinc nciión ón de de incend ndiios, dispositivos de suministr o eléctr ico ininterr um p piido do con con ca p pa acidad
za de para 15 minu nuttos que a su vez se encuentra conectado a una línea de f uer za emergencia f aci cililittada por el proveedor del edif icio que está alimentada por generadores eléctr icos diese esell.
Otras consider acion one es sobre el entorno TIC ijos) están Los puestos de traba jo de los desarr rro ollado dorres (unos 60 puestos f ij o conectados a una red de área local 802.1X que exige autentica cac ción ón para acceder al nivel 2. El sistema op ope er ativo de las estaciones de tr a b ba a j jo o de los desa esarr rr olllla ado dor r es e integr ado dor r es es Micr osof t Windo ndow ws 7Pr of ession ona al, con licenci cia a en r egla y conf igu gur r ados para descargar las actualiliz zaci cion one es a través de un servidor de Windo ndow ws Update de la or ganizaci ción ón de de manera diar ia. A la misma r ed puestos tos pero en otro segmento se conectan el resto de p pe er so pr r esa esa con pues sonal de la em p móviles y f ijo ijos.
sos se o La autenticación se encuentra centr alizada en los diver so ser r vi dor r es de vido dir ector io accedidos a través de LDAP. Esto af ecta tanto al acceso al sistema op ope er ativo de estaciones de tr a b ba a j jo o como de se ser r vi dor r es, así como los entornos de desa esarr rr ollllo o y las vido a p plilicaci cion one es desa esarr rr olllla adas p pa ar a los cl cliientes cuando se encuentran en f ase de ase de p pr r ue b ba as.
Los desa cam mente están autor izados a acceder a los entornos de o esarr rr olllla ado dor r es ún úniica desa esarr rr ollllo o desde la red inter na, aunque sí tienen acceso externo para acceder a su correo electr óni ónico y otras a p plilicacion one es co cor r por po r ativas (reporte de horas, p pllataf or ma de elea ear r ning, base de datos de cono conoci cimiento, etc. c.)).
Existen dive o ver r so ción ón de de sos mecanismos de detección de intr usos y para la investigaci inci cid dentes, los r egistr os de actividad de los sistemas se centr alizan en un sistema para preservar los r egistr os y y pod pode er investigar los. sico Respecto al entorno f í í si co de traba jo de los desarr rro ollado dorres y resto de em p pllea eado dos, el acceso a las instalacion one es de la empresa se encu ncue entr an contr contr olados por una recepción presente las 24 horas del día y f uer a de los ho hor r ar ios de of ici cin na es necesa sar r ia una autor izaci ción ón por parte de un r espon onsa sa b blle de departamento. Siem p pr r e que se permanez perm anezca ca en las
instalaci cion one es, es necesa sar r io lllle eva varr una tar j je eta de identif icaci ción. ón. En un pr inc nci pi ipio, hay un estr icto con contr tr ol sobre los equ qui po ipos inf or máticos qu que e entran y sa sallen de las instalacion one es.
Respecto a la no norrmativa va de de segu gurridad y el SGSI A con conttinu nua ación se muestra un extracto de la no nor r mativa de se segu gur r idad descr ita en el SGSI.
Alcance
La gestión de sistemas de se segu gur r idad de inf or maci ción ón en todas las actividades pruebas ebas de a p r elacion ona adas con el dise seño, ño, análisis y pru plilic caci cion one es de comun uniicaci cion one es basadas en documentación clasif icada como secr eta loc oca aliliz zados en el centro de desa esarr rr ollllo o de XXXXXXXXX,S.A , de acuerdo con
la declar aci ción ón de de a p plilica b bili ilid dad versión 1.0.
Organigrama
A f ech cha a de la última actualización, la empresa se encuentra or ganizada del modo descr ito en el sigu guiiente diagr ama