Empresa Modelo Ficticia Sgsi

MODELO EMPRESA FICTICIA EMPRESA XXXX, S.A.

La or ganizaci ción ón es una empresa de ca p  piital p  pr  r ivado vado de  de tamaño medio (podemos suponer unos 100 em p  pllea eado do)) dedicada al desa esarr  rr ollllo, o, comerci rcia alizaci ción ón y mantenimiento de a p  plilicacion one es de t po  ipo  b  ba ancar io  b  basa asad das en tecno cnollog ogíías  web y cr  pt  iptog ogr  r áf icas,  como por e j je em p  pllo:  po  port rta ales de  b  ba anca electr óni ónica para cliientes f inales, mar ket cl ket pl  places  con  posi bili  bilid dad de cerr ar  contrataciones, te ter minales f inanci cie er os,  etc. Los desa esarr  rr ollllo os más ha b  biituales se r ef ier en a a p  plilicacion one es de negocio  b  ba ancar io  que inter accion ona an con un host / mainf r  ra   me. La ar qui quitectur a de las a p  plilicacion one es que se of r  r ecen a los cl  cliientes se basa en tecno cnollog ogíías  web y siguen la estructura de a p  plilicacion one es  de tr es ca p  pa as (htt p://  p://e en. n.w wik  pe  ipedia.o .or  r g/w /wiiki/Multitier   _ ar chi chitectur e#Thr ee-t ee-tiier   _ ar chi chitectur e ).

La or ganizaci ción ón ha  ha inici cia ado desde hace un año un  proyecto inter no para no para la im p  pllantaci ción ón de un Sistema de Gestión de la Segu gur  r idad de la Inf or maci ción ón y tr anscurr ido este  p  pr  r imer año se puede considerar inicialmente im p  pllantado do y  y op ope er ativo, y listo para ser aud udiitado.

Respecto a su estructura organiza zati tiva va

En la documentación del SGSI se encuentra un or ganigr ama actualizado de la em p  pr  r esa esa 6

La empresa se encuentra loc oca aliliz zada  p  pr  r inci pa  palmente  en una ún úniica ub ubiicaci ción ón   y si existen of ici cin nas o delegacion one es, todos los usuar ios t  tiienen la consider aci ción ón de  de usuar ios r emotos. Respecto a sus TIC

Se dis pon  pone e  de un diagr ama de alto nive vell con la ar qui quitectur a de los sistemas p  pr  r opi opio. Se ha rodeado los se ser  r vi dor  r es más destacados vido

Sistema de gestión de  proyectos  No existe. Es simulado en los entornos de prueba Entorno de desarrollo y pruebas Workstations de desarrollo

Servidor de bases de datos (incluye BBDD corporativas y las empleadas por  el desarrollo y pruebas)

Respecto a los sistemas de inf ormaci ción ón más relevantes:

o

 st ema de Ge st ión de  P r  El S i st   pllea eado do   para con contr  tr olar r o ye ct o s es básico puesto que es em p todas las f ase  proyect yectos os así así como  para el ar chi ases de los  pro chivo de los  producto  productoss r esultantes (cód códiigo f uente, documentación del proyecto como: diseños, p  pllanes de  p  pr  r ue b  ba as, mater ial de  puesto sto que es donde reside el documentación del  producto, etc). Este sistema es cr íti ítico  pue cam mente un r e positor io códiigo f uente consider ado el activo  p cód  pr  r inci pa  pal. Asimismo, no es ún úniica de f ich che er os sino que es un sistema para el con contr  tr ol de los proyecto  proyectoss que incl cluye uye además del r e positor io con contr  tr olado de versiones de cód códiigo f uente y el resto de documentación asociada, el sistema  para  p  pllanif icar el  proyecto y  poster ior mente r eali ealizar el con contr  tr ol del  progreso del mismo. La a p  plilic caci ción ón em p  pllea ead da tam b  biién está basada en tecno cnollog ogíía  web y estructura de tres capas. Los se ser  r vi dor  r es identif icados en el diagr ama actúan de servidor vido web y e j je ecu cuttan la lóg ógiica del sistema mientr as qu que e toda la inf or maci ción ón es al a lmacenada en los se ser  r vi dor  r es de  bases de datos co cor  r   por   po r ativos. vido

o

Para la  pru  prueba eba de las a p  plilicaci cion one es se dispon one e  de un entorno  p  pa ar a desa esarr  rr ollllo o simulado en  puestos stos de tr a b los  pue  ba a j jo o de los desa esarr  rr olllla ado dor  r es, y para dispon one e  de un entorno similila ar al de los cl  cliientes:



 pruebas ebas de integr ación se las  pru

Servido dorres web  que e j je ecu cuttan la capa de  p  pr  r esen esentación e inter actúan el resto de

elementos del b  ba ack-end 

datos para Servido dorres de bases de datos  para el almacenamiento de datos de los dif er entes estados de la a p  plilicaci ción ón y sus usuar ios. Estos mismos se ser  r vi dor  r es de  bases de datos im p  pllementan vido otras bases de datos co cor  r   por   po r ativas  como son por e j je em p  pllo las del Sistema de Gestión de Pr oye oyectos.



Servido dorres de aplica cac ción que sirven de midd ddllewar e  entre la ca p  pa a de  presentación y el host. Estos elementos además sirven  p  pa ar a simular todo el  back-end que inter accion ona a con la a p  plilicaci ción ón desa desarr  rr olllla ada,  de modo que la or ganización ón no  no dispon one e  de un host r eal eal. son na s La gestión diar ia de la inf r  rae a   estr uct uctur a están r eali ealizados por un equ qui po de  ipo de 3 perso Aspectos f í  s  icos de las TIC de la organiza ísi zaci ción ón

o

Todos los sistemas co cor  r   por   po r ativos mencionados anter ior mente, así como el resto

de

inf r  rae a   estr uctur a TIC de la empresa (otros se ser  r vi dor  r es vido

de f ich che er os para tareas de soporte administr ativo, con contta b  blle, dir ección, recursos humanos, etc, servidor de correo) se encu ncue entr an im p  pllementados en  p  pllataf or mas Hardware que sica cam mente se ub em p  pllea virt rtu ualizaci ción ón y  y f ísi ubiica en el  CPD de la or ganización o

El  CPD de la or ganización dispon one e de con contr  tr oles de acceso  por tar  j je eta de

 pr oximidad y cód  pr  códiigo PI N,  N, equ qui po  ipos para el con contr  tr ol de la temperatura y humedad, sistemas de ext xtiinc nciión ón de  de incend ndiios, dispositivos de suministr o eléctr ico ininterr um p  piido do con  con ca p  pa acidad

za de  para 15 minu nuttos que a su vez se encuentra conectado a una línea de f uer za emergencia f aci cililittada  por el  proveedor del edif icio que está alimentada  por generadores eléctr icos diese esell.

Otras consider acion one es sobre el entorno TIC ijos) están Los puestos de traba jo de los desarr rro ollado dorres (unos 60 puestos f ij o conectados a una red de área local  802.1X que exige autentica cac ción ón   para acceder al nivel 2. El sistema op ope er ativo de las estaciones de tr a b  ba a j jo o de los desa esarr  rr olllla ado dor  r es e integr ado dor  r es es Micr osof t Windo ndow ws 7Pr of ession ona al,  con licenci cia a en r egla y conf igu gur  r ados  para descargar las actualiliz zaci cion one es a través de un servidor de Windo ndow ws Update de la or ganizaci ción ón de  de manera diar ia. A la misma r ed  puestos tos  pero en otro segmento se conectan el resto de  p  pe er so  pr  r esa esa con  pues sonal de la em p móviles y f ijo ijos.

sos se o La autenticación se encuentra centr alizada en los diver so ser  r vi dor  r es de vido dir ector io accedidos a través de LDAP. Esto af ecta tanto al acceso al sistema op ope er ativo de estaciones de tr a b  ba a j jo o  como de se ser  r vi dor  r es, así como los entornos de desa esarr  rr ollllo o y las vido a p  plilicaci cion one es desa esarr  rr olllla adas  p  pa ar a los cl  cliientes cuando se encuentran en f ase de ase de  p  pr  r ue b  ba as.

Los desa cam mente están autor izados a acceder a los entornos de o esarr  rr olllla ado dor  r es ún úniica desa esarr  rr ollllo o desde la  red inter na, aunque sí tienen acceso externo  para acceder a su correo electr óni ónico y otras a p  plilicacion one es co cor  r   por   po r ativas (reporte de horas,  p  pllataf or ma de elea ear  r ning, base de datos de cono conoci cimiento, etc. c.)).

Existen dive o ver  r so ción ón de  de sos mecanismos de detección de intr usos y para la investigaci inci cid dentes, los r egistr os de actividad de los sistemas se centr alizan  en un sistema  para  preservar los r egistr os y  y pod  pode er investigar los. sico Respecto al entorno f í  í si co   de traba jo de los desarr rro ollado dorres y resto de em p  pllea eado dos, el acceso a las instalacion one es de la empresa se encu ncue entr an contr  contr olados  por una recepción presente las 24 horas del  día y f uer a de los ho hor  r ar ios de of ici cin na es necesa sar  r ia una autor izaci ción ón por parte de un r espon onsa sa b  blle de departamento. Siem p  pr  r e  que se  permanez  perm anezca ca en las

instalaci cion one es, es necesa sar  r io lllle eva varr una tar  j je eta de identif icaci ción. ón. En un pr inc nci pi  ipio, hay un estr icto con contr  tr ol sobre los equ qui po  ipos inf or máticos qu que e entran y sa sallen de las instalacion one es.

Respecto a la no norrmativa va de  de segu gurridad y el SGSI A con conttinu nua ación se muestra un extracto de la no nor  r mativa de se segu gur  r idad descr ita en el SGSI.

Alcance

La gestión de sistemas de se segu gur  r idad de inf or maci ción ón en todas las actividades  pruebas ebas de a p r elacion ona adas  con el dise seño, ño, análisis y  pru  plilic caci cion one es de comun uniicaci cion one es  basadas en documentación clasif icada  como secr eta loc oca aliliz zados en el centro de desa esarr  rr ollllo o de XXXXXXXXX,S.A , de acuerdo con

la declar aci ción ón de  de a p  plilica b  bili ilid dad versión 1.0.

Organigrama

A f ech cha a de la última actualización, la empresa se encuentra or ganizada del modo descr ito en el sigu guiiente diagr ama