PROYECTO FIN DE CARRERA

Transcripción

1 UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA (ICAI) INGENIERO EN ORGANIZACIÓN INDUSTRIAL PROYECTO FIN DE CARRERA PLAN DE NEGOCIO DE MAKE SERVICES S. L. PARA COMERCIALIZAR UN PLAN DE SEGURIDAD INTEGRAL COMO PRODUCTO Y SERVICIO AUTOR: DAVID ALCÁNTARA LÓPEZ MADRID, SEPTIEMBRE DE 2009

2 A mi familia por su ilusión, a Leticia por los momentos compartidos, a mis compañeros y amigos por las experiencias vividas, a Mateo por su confianza y tiempo. Mención especial a mis padres, por su cariño, dedicación y entrega, cuyo apoyo me sirve para mejorar como persona, y sus consejos para superar los retos que me plantea la vida. A todos ellos, muchas gracias. David. I

3 RESUMEN DEL PROYECTO El Plan de Negocio de MAKE SERVICES S. L. para comercializar el Plan de Seguridad Integral (PSI) presentado como Proyecto Fin de Carrera de Ingeniería en Informatica, es la base para posicionar a la empresa en el sector de la seguridad informática desde su oferta actual como suministradora de servicios de consultoría, asesoría, desarrollo, administración, soporte técnico y formación en sistemas de información. El presente documento describirá el Plan de Negocio a poner en práctica para lograr el objetivo antes mencionado. En primer lugar, y para saber dónde y cómo posicionarse en el sector, se ha llevado a cabo una evaluación del mercado de la seguridad informática en España, con la oferta existente tanto de productos como de servicios y las cifras negocio de ejercicios anteriores más una proyección de futuro. Una vez identificado el sector, se ha hecho una descripción del PSI como producto y, lo más importante, su oferta como servicio recurrente, que es la palanca de MAKE SERVICES S. L. para posicionarse en el mercado de la seguridad informática que será, a medio y largo plazo, un sector de negocio con importante protagonismo en el mercado de las Tecnologías de la Información y de la Comunicación (TIC). El Plan de Negocio de MAKE SERVICES S. L. para posicionarse en el mercado de la seguridad informática, utilizando el PSI, se sustenta en tres pilares básicos: organización y soporte del servicio, análisis económico- II

4 financiero con las cifras de negocio y la estrategia de marketing y comercialización. Cada uno de esos tres pilares tienen un capítulo en los que se describe con detalle cada uno de los elementos básicos que, en su conjunto, conforman el Plan de Negocio propuesto. Se han seguido las pautas de cualquier otro plan de negocio pero ajustándolo al sector en crecimiento de la seguridad informática. Por último, se propone el plan de acción para poner en marcha todas las actividades, haciendo hincapíe en el diagrama de estados del proyecto y la planificación de hitos y fechas con los recursos económicos, tecnológicos y humanos que son necesarios para lograr el objetivo, posicionar a MAKE SERVICES S. L. en el sector de la seguridad informática. III

5 ABSTRACT The Business Plan that MAKE SERVICES S. L. has drawn up to commercialise the Comprehensive Security Plan (CSP) presented as the final degree project to obtain the degree in Computer Science Engineering, is the base to position the company in the computing security sector from its current offer as a supplier of consulting service, development, administration, technical support and training in information services. The following document will describe the Business Plan to put in practice to obtain the objective mentioned earlier. Firstly, and to know where and how the company must be positioned in the computing sector, an evaluation of the computing security market in Spain had been made, with the current offer of products and services and the business numbers of earlier years plus a future projection of the business. Once the sector is identified, a description of the CSP as a product has been done and, the most important, its offer as a recurrent service, which is the driving force of MAKE SERVICES S. L. to position the company in the computing security market, which will be in a medium and long term, a business sector with an important role in the Information and Communication Technologies (ICTs) market. MAKE SERVICES S. L. Business Plan is based in three basic aspects to position itself in the computing security market by using the Comprhensive Security Plan: organization and service support, IV

6 economical and financial analysis with the business numbers and the marketing and commercial strategy. Each of these three aspects has a chapter in which each basic element is described in detail. These, together, form the Business Plan proposed. The typical business plan steps have been followed, but have been adjusted adjusting to the growing sector of the computing security. Finally, an action plan is proposed to launch all the activities, focusing on the project s stage diagram and the planification dates using economical, technological and human resources which are necessary to achieve the company s goal: to position MAKE SERVICES S. L. in the computing security sector. V

7 ÍNDICE VI

8 Índice Parte I Memoria...1 Capítulo 1 Introducción Estado del arte Trabajos anteriores Motivación del proyecto Objetivo Metodología...9 Capítulo 2 Análisis del sector de la seguridad Introducción La oferta del mercado Evolución de las cifras de negocio Situación de los planes de seguridad en las empresas Factores claves de éxito...19 Capítulo 3 Descripción del producto y servicio Objetivo El PSI como producto La política de seguridad La normativa con controles de seguridad específicos La organización y el plan de acción El PSI como servicio Posicionamiento en el mercado Parte II Plan estratégico...36 Capítulo 4 Organización y operaciones Estrategia Clientes potenciales Modelo de soporte y de servicio Recursos técnicos y de servicio Consultoría, soporte y mantenimiento Infraestructuras técnicas Administración Comerciales...48 VII

9 4.3.6 Atención al cliente...49 Capítulo 5 Análisis económico-financiero Diseño de la oferta Recursos dedicados Costes iniciales y recurrentes Resumen de costes internos Precio del producto Volumen potencial de ingresos Cifras de negocio Capítulo 6 Comercialización y marketing Plan comercial Clientes target Política de ventas Oferta al mercado Documento presentación Eventos con clientes Publicaciones: prensa e Internet Reuniones con clientes y personalización del servicio Capítulo 7 Conclusiones Resumen Planificación y puesta en marcha Parte III Anexos...77 ANEXO I BIBLIOGRAFÍA...78 ANEXO II RECURSOS Y VALORACIÓN ECONÓMICA...79 ANEXO III DOCUMENTO DE PRESENTACIÓN DEL PSI...80 VIII

10 Parte I MEMORIA 1

11 Capítulo 1 Introducción 1.1 Estado del arte. Con la seguridad informática en pleno auge, muchas empresas están empezando a adoptar medidas preventivas para hacer frente a los riesgos y amenazas a los que están expuestos y así poder garantizar, en primer lugar, la continuidad del negocio en caso de producirse cualquier contratiempo y, en segundo lugar, la satisfacción de los usuarios y clientes ante las expectativas generadas en torno a unos sistemas e infraestructuras totalmente automatizados en los que se debe garantizar la confidencialidad, integridad y disponibilidad de la información que por ellos circula. El objetivo de la seguridad de la información no es conseguir sistemas 100% seguros, espejismo imposible de alcanzar, sino sistemas tan seguros como sea necesario para proteger los activos con un nivel que se corresponda con las expectativas creadas. En definitiva, la seguridad de la información trata de proteger activos, tanto tangibles, como por ejemplo un disco duro o una base de datos con información confidencial sobre los clientes, como intangibles, como por ejemplo la reputación, la privacidad o el nombre de la marca. La seguridad no es una disciplina de todo o nada. No existen sistemas 100% seguros. Partiendo de estas dos premisas y sabiendo que el riesgo no puede eliminarse completamente, pero puede reducirse drásticamente, se 2

12 puede empezar a abordar el tema de la seguridad informática como una utopía distópica necesariamente alcanzable para cualquier empresa. La seguridad de la información es una disciplina que se ocupa de gestionar el riesgo dentro de los sistemas informáticos. Dicho de otro modo, mediante la aplicación de sus principios, se implantarán en los sistemas informáticos las medidas capaces de contrarrestar las amenazas a que se encuentran expuestos los activos de la organización: la información y los elementos hardware y software que la soportan. No se trata de implantar sin ton ni son medidas de seguridad, sino de evaluar los riesgos reales a los que la información está expuesta y mitigarlo mediante la aplicación de las medidas necesarias y en el grado adecuado, con el fin de satisfacer las expectativas de seguridad generadas. Resulta ilusorio creer que los riesgos pueden eliminarse por completo, en su lugar deben reducirse a niveles aceptables. La determinación de este nivel dependerá en gran medida de los objetivos concretos que se plantee la organización, del valor de sus activos, de su dimensión y presupuesto de seguridad. Lo más sorprendente es, por raro que parezca, que esta reducción del riesgo se puede conseguir con muy poco esfuerzo y una modesta inversión. Es importante resaltar que, contrariamente a lo que se suele pensar, ni todas las amenazas de seguridad se deben a ataques maliciosos ni todos los ataques provienen del exterior, es por ello que no todas las medidas de seguridad ni las más importantes deben basarse en la tecnología y por tanto en la adquisición de software o hardware de seguridad, sino también en la organización de tareas y responsabilidades, en la gestión racional de procesos y en la formación y concienciación del personal. 3

13 Deben implantarse y llevarse a cabo una serie de directrices, obligaciones y responsabilidades en la alta dirección de la empresa que permitan el análisis, la planificación y la definición de unos objetivos de seguridad que colaboren para que las medidas adoptadas se implanten correctamente y no dificulten las expectativas de seguridad. Como resultado, se disminuye el riesgo cumpliéndose las expectativas de seguridad. Se trata de un proceso iterativo, hasta que las expectativas se vean siempre cumplidas, con el mínimo coste de tiempo y dinero, a la vez que se garantiza la operación normal del negocio; al fin y al cabo, el objetivo último y prioritario de la seguridad es que la organización pueda cumplir su misión. Para que las medidas de seguridad que una empresa debe llevar a cabo estén bien definidas y surjan efecto, previamente debe analizarse cada uno de los procesos de negocio de la organización, su cadena de valor, su estructura, su funcionamiento, etc., ya que deben analizarse cada uno de los eslabones que componen la organización y ver sus vulnerabilidades y amenazas para poder actuar sobre todos ellos, sin dejar ninguno de ellos al margen por muy pequeño o irrelevante que sea, teniendo presente que la cadena siempre se rompe por el eslabón más débil. Si se quiere alcanzar un nivel de seguridad aceptable, siempre según unas expectativas realistas, deben localizarse los eslabones más débiles y fortalecerlos. Si la cadena tiene mil eslabones, basta que uno sólo sea débil, para que se rompa por él. Que un intruso lo encuentre, será cuestión de tiempo o de suerte, pero debe asumirse que tarde o temprano será descubierto. No sirve de nada aumentar más aún la seguridad de los eslabones más fuertes. Mientras sigan existiendo eslabones débiles, la seguridad global del sistema será idéntica. 4

14 Una vez rota la cadena, las medidas reactivas para mitigar la situación de inseguridad a la que está expuesta una organización, suponen una fuerte inversión de tiempo, dinero y esfuerzo que muchas empresas no están preparadas para ello y ven ralentizada su actividad, pero que a su vez les hacen ver que la seguridad es un área en la que deben realizar un mayor hincapié, tanto económico como de formación y concienciación de los empleados y directivos. En cualquier caso, la máxima más vale prevenir que curar resulta esencial para preservar la integridad de cualquier organización, por muy pequeña que ésta sea. La seguridad de la información requiere un enfoque holístico, que implique la participación coordinada de la tecnología, personas y operaciones. Partiendo de las premisas expuestas, el mercado de la seguridad informática tiene un excelente futuro a medio y largo plazo. 1.2 Trabajos anteriores. La seguridad de la información es una materia que se ha tratado en diversos Proyectos Fin de Carrera, desde ahora PFCs, a lo largo de los últimos años y desde diferentes puntos de vista, pero con un único objetivo común: asegurar la confidencialidad, integridad y disponibilidad de la información. Bajo la dirección de Don Mateo Camps Llufríu se han llevado a cabo PFCs de distinta índole, pero siempre con la seguridad de la información como tema principal. 5

15 En junio de 2006 se presentó un plan de contingencia ante una catástrofe que aseguraba la continuidad del negocio de una empresa que ofrecía los servicios de un Centro de Proceso de Datos (CPD) a sus clientes, en el que se detallaban los pasos y políticas a seguir por una empresa cuyo objetivo es garantizar el servicio a sus clientes ante una situación desfavorable, como puede ser la pérdida de cierta información ante una catástrofe natural. Al año siguiente se volvió a presentar otro PFC en el que se elaboró otro plan de contingencia, pero esta vez concretando para una empresa del sector de seguros. Ya en otro PFC presentado en septiembre del año pasado se abordó el tema de la seguridad en Internet y las medidas de seguridad existentes en aquellos negocios dedicados al comercio electrónico. Los otros PFCs relacionados con la seguridad de la información tienen como escenario pequeñas empresas en las que las medidas de seguridad, o bien brillan por su ausencia, o bien son, en muchos casos, insuficientes. Ante esa situación, se elaboró y presentó un Plan de Seguridad Integral para una empresa, MAKE SERVICES S. L., como PFC de Ingeniería en Informática pero dándole un enfoque de ámbito práctico con la codificación de controles específicos de seguridad en los sistemas de información en todos los ámbitos de gestión y operaciones de la empresa, centrándose en gran parte en las medidas a adoptar tras una situación adversa que no permita el buen funcionamiento del negocio. No se ha realizado, hasta el momento y de forma específica, ningún trabajo donde se detalle un plan de negocio de posicionamiento de una 6

16 empresa en el sector de la seguridad informática, objetivo que se pretende alcanzar con el presente PFC de Ingeniería de Organización Industrial. 1.3 Motivación del proyecto. Ante la situación descrita anteriormente, se decidió, una vez elaborado y presentado el PFC de Ingeniería en Informática, llevar a cabo un plan de negocio para posicionar a una empresa en el sector de la seguridad informática en el que se describiese tanto la situación del sector como lo que aportaría un Plan de Seguridad Integral al mercado como producto y servicio recurrente que debe formar parte de las políticas y medidas preventivas que debe llevar a cabo cualquier compañía, sin importar la magnitud de la misma, así como las medidas reactivas ante una situación contraria al buen desarrollo del negocio. Las principales motivaciones que llevaron a desarrollar este PFC son: En primer lugar, la obtención del título de Ingeniero en Organización Industrial de la Universidad Pontificia Comillas de Madrid ICAI - ICADE. En segundo lugar, tratar de entender lo mejor posible, ante la inminente entrada en el mundo laboral, la estructura y funcionamiento de una empresa: organización, recursos, balance económico, servicios, seguridad, etc. En definitiva, recorrer una empresa por todas sus áreas funcionales y tratar de relacionar y entender los conceptos estudiados a lo largo de la carrera en una empresa del mundo real. 7

17 Por último, se trata de ver la importancia de un plan de negocio para lograr el posicionamiento de una empresa en un sector emergente, como la seguridad informática tomando como palanca la experiencia del PFC con el Plan de Seguridad Integral presentado en Ingeniería en Informática. 1.4 Objetivo. A partir del trabajo realizado en el PFC presentado en Ingeniería en Informática, y la situación lograda con MAKE SERVICES S. L., se detalla el escenario del sector de la seguridad informática y se propone un Plan de Negocio para el posicionamiento de la empresa en ese mercado. Los datos de la empresa sirven de base para construir el Plan de Negocio para comercializar el Plan de Seguridad Integral como producto y servicio. La empresa, MAKE SERVICES S. L., se dedica a la prestación de servicios de consultoría, soporte técnico, administración y formación en sistemas informáticos empresariales a nivel estatal. Las oficinas centrales de la empresa están situadas en Madrid y, además, tiene cuatro delegaciones que atienden al mercado local de las zonas Norte, Sur, Este y Oeste del Estado. La empresa, con un total de 175 empleados, 80 clientes y una facturación anual de 20 millones de Euros, ha solicitado un Plan de Seguridad Integral de las oficinas y las infraestructuras técnicas y de comunicaciones que usan los empleados y atienden el servicio a los clientes. 8

18 El Plan de Seguridad Integral que ha desarrollado y pretende comercializar, propone las políticas, normativas, procedimientos y operaciones que se han de poner en práctica en las empresas para proteger a las personas y los activos, prevenir los riesgos operacionales y dar continuidad al servicio prestado a los clientes en caso de contingencia. Para elaborar el Plan de Negocio se utilizarán los datos de recursos de la empresa: organizativos, técnicos, económicos y operacionales. El núcleo básico del trabajo está relacionado con el sector de la seguridad informática y la estructura, los procesos, los sistemas y las infraestructuras técnicas que soportan esa actividad en las empresas. 1.5 Metodología. La metodología seguida para desarrollar dicho el Plan de Negocio ha sido la siguiente: 1. Realizar la descripción del sector de la seguridad informática en España con la oferta de productos y servicios. 2. Evaluar las cifras de negocio actuales y potenciales. 3. Definir la situación actual de las políticas de seguridad en las empresas. 4. Describir lo que ofrece el Plan de Seguridad Integral como producto y servicio a las empresas con la organización, normativas y 9

19 estándares internacionales que permitan mejorar su situación actual. 5. Elaborar el plan estratégico del Plan de Negocio con las fortalezas, debilidades, oportunidades y amenazas que la empresa encontrará en el mercado. 6. Detallar el Plan de Negocio en todos sus apartados: organización y operaciones que se precisan, mercado potencial, cifras de negocio, comercialización y plan de acción a poner en marcha. Figura 1. Metodología de trabajo. 10

20 Capítulo 2 Análisis del sector de la seguridad 2.1 Introducción. El mercado mundial de la seguridad ha experimentado fuertes crecimientos en los últimos años, tanto en los ámbitos de seguridad física o tradicional como en la seguridad informática, sumando crecimientos ininterrumpidos. El mercado español de la seguridad informática ha seguido esa misma tendencia alcanzando en los últimos años con una industria de seguridad informática muy relevante; no obstante, existen dos dificultades para el desarrollo de políticas que incidan en el desarrollo del sector: la ausencia de datos consolidados sobre el mismo y los vertiginosos cambios en la naturaleza de las amenazas a las que debe dar respuesta. Presenta algunos factores que retardan el desarrollo, encontrándose los más importantes en el lado de la demanda: su modificación se perfila como el elemento clave para la consolidación de un mercado de la seguridad maduro. Las empresas no conocen adecuadamente sus necesidades de seguridad informática, no son conscientes de la evolución de las amenazas y, eventualmente, desconocen sus obligaciones legales. La legislación en materia de seguridad se puede clasificar en cuatro categorías: 11

21 1. Normas que protegen derechos relacionados con la seguridad y sancionan conductas contrarias: Código Penal, Ley de Propiedad Intelectual. 2. Normas que proporcionan seguridad jurídica en el desarrollo de servicios relacionados con la seguridad TIC: Ley de Firma Electrónica, Sistema Español de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información. 3. Normas que establecen obligaciones en materia de seguridad TIC: Ley de Protección de Datos, Ley de Medidas de Impulso de la Sociedad de la Información. 4. Normas que establecen obligaciones de seguridad para las administraciones públicas: Ley de Acceso Electrónico de los Ciudadanos a las Administraciones Públicas, Esquema Nacional de Seguridad. En este escenario parece clara la necesidad de aumentar las iniciativas formativas y divulgativas para crear una cultura de la seguridad. En la actualidad aún está por materializarse el cambio de más alcance en la concepción de la seguridad: el que conlleva pasar de una mentalidad reactiva a una proactiva. Sólo las grandes organizaciones, fundamentalmente las de ciertos sectores privados, como la banca, o públicos, como la defensa, tienen una cultura proactiva de la seguridad. En general, predomina una concepción en la que pesan las medidas de protección que no requieren intervención del usuario, soluciones de 12

22 instalar y olvidarse frente a una concepción de la seguridad basada en el fomento de los comportamientos personales y organizativos que la mejoran. La actitud reactiva frente a los problemas de seguridad tiene como consecuencia un tipo de demanda de urgencia en la que el cliente busca solucionar rápidamente su problema y recurre a soluciones parciales, en lugar de implantar soluciones globales basadas en un buen análisis de riesgos que evite, en la medida de lo posible, los incidentes. En lo que a la gestión de la seguridad se refiere, es particularmente relevante difundir estándares que permitan alinear los esfuerzos de toda la organización empresarial con las buenas prácticas internacionalmente reconocidas. Los estándares son un elemento básico para coordinar los esfuerzos de empresas y suministradores de productos y servicios de seguridad. El concepto clave en la demanda de seguridad informática en las grandes empresas es el de continuidad del negocio. Está aumentando el número de empresas que cuenta con directivos específicos en el área de seguridad, lo que parece confirmar que la concienciación sobre la seguridad crece de forma notable entre las grandes empresas y es objeto creciente de un trato diferencial respecto al resto de sistemas de información. El proceso que más destaca por su evolución (un 54% más entre 2006 y 2007) es el diseño de una estrategia global de seguridad, lo que se denomina Plan de Seguridad Integral. 13

23 2.2 La oferta del mercado. La inversión en seguridad seguirá incrementándose y el mercado continuará mostrando tasas de crecimiento muy importantes. El mercado de la seguridad se transformará, con toda seguridad, en un mercado de servicios. Las empresas de tecnologías de la información y las comunicaciones que no pertenecen al segmento específico de la seguridad y los operadores de telecomunicación están entrando en el mercado de la seguridad informática, de igual modo que las empresas de software, que están comenzando a ofrecer servicios gestionados de seguridad a gran escala, para competir con la reducción de márgenes en la venta de software. El sector de servicios de seguridad acelerará su crecimiento a medio y largo plazo, a medida que la tecnología madure y la oferta se vaya posicionando en servicios gestionados, restando mercado al segmento del hardware y software de seguridad. Se prevé un mayor crecimiento en las medidas de seguridad proactivas, dada la alta penetración de los elementos de seguridad calificados como pasivos: programas antivirus, cortafuegos, antispam, antispyware, programas de bloqueo de ventanas emergentes y actualizaciones de seguridad del sistema operativo; no obstante, los usuarios seguirán empleando mecanismos de seguridad que no requieran una atención constante y que no limiten la sensación de libertad en la utilización de Internet. 14

24 Figura 2. Oferta de mercado de seguridad informática. SEGURIDAD INFORMÁTICA Servicios Software Hardware Consultoría Implantación de soluciones Gestión de la seguridad Formación Gestión de identidad y control accesos (IAM) Gestión de vulnerabilidades (SVM) Securización de contenidos (SCM) Gestión de amenazas Autenticación Dispositivos físicos Provisión de usuarios Directorios / LDAP Infraestructuras de clave pública (PKI) Autenticación avanzada Autenticación legal Single Sing On (SSO) Gestión y correlación de eventos Gestión de incidencias Cumplimientos de normas Antivirus Filtrados Criptografía Antiespías AntiSPAM Software de Firewall IDS&IPS Dispositivos biométricos Tarjetas "Token" Firewall UTM IDS&IPS SCM La oferta de productos y servicios de seguridad gestionada es cada vez mayor, en detrimento de la oferta simple de productos hardware y software. 2.3 Evolución de las cifras de negocio. En el gráfico siguiente se muestra la evolución del mercado de la seguridad informática en España en los últimos años, donde la tendencia es un aumento de la oferta de los servicos de seguridad gestionada. El análisis de las tendencias en la demanda de productos y soluciones de 15

25 seguridad informática permite afirmar que el mercado en España muestra tasas importantes de crecimiento. Figura 3. Evolución de las cifras de negocio de seguridad informática en España. Millones Años Fuente: Elaboración propia a partir de datos de prensa del sector (*), información en Internet sobre el II Encuentro Nacional de la Industria de la Seguridad en España (Enise) e informe INTECO (*) Revista SIC, Revista Red-Seguridad, Revista a+)) Auditoria y Seguridad La distribución de las cifras de negocio, en terminos generales, se corresponde con: 50 % en servicios de seguridad gestionada. 10% en productos software. 40% restante el equipamiento hardware. La tendencia hacia los servicios será una realidad a medio y largo plazo, de ahí la decisión de MAKE SERVICES S. L. de posicionarse en ese mercado, que está muy fragmentado. Las empresas que mayor posicionamiento tienen, con amplia experiencia, están en el orden del 2,5% - 3% de cuota de mercado con toda la oferta de productos y servicios: hardware, software, consultoría y soporte técnico. 16

26 Conseguir una cuota de mercado en el entorno del 0,4% - 0,5% en los próximos años sería un éxito teniendo en cuenta la evolución técnica, operativa y el crecimiento del sector, que se cifra en un 10% anual, previsión mínima. 2.4 Situación de los planes de seguridad en las empresas. Las grandes empresas muestran un nivel alto de preocupación y concienciación por la seguridad informática. En los últimos años han invertido en tecnología y han implantado procesos y organizaciones para mejorar sus niveles de seguridad. El presupuesto dedicado a la seguridad ronda el 15% del total dedicado a los sistemas de información. En los últimos años han aparecido estándares, recomendaciones, normas y herramientas que ofrecen ayuda de cara a establecer cómo debería implantarse el gobierno de la seguridad de los sistemas de información, en el contexto de la gestión de las tecnologías de la información y la comunicación. Las recomendaciones tienen buena acogida en la industria, puesto que proporcionan un modelo a seguir estandarizado al que pueden ajustarse las organizaciones y ha permitido que las empresas pongan en marcha iniciativas de seguridad que tienen continuidad en el tiempo, que se establecen de forma organizada y que alinean la estrategia de seguridad con la estrategia de sistemas de información y con los objetivos de negocio, lo que supone un impulso para la seguridad informática. 17

27 La concienciación de las grandes empresas sobre la importancia de la seguridad informática se traduce en cuatro tipos de medidas: contratación de personal especializado, implantación de nuevos procesos de seguridad, implantación de nuevas soluciones tecnológicas y gestión de la continuidad del negocio. El escenario descrito es la consecuencia de los riesgos a los que están expuestas las operaciones de las empresas, sustentadas por los sistemas de información. El mayor riesgo, con serlo, no es un huracán, una inundación o una interrupción del suministro de energía eléctrica. La planificación de la continuidad del servicio en un entorno e-business debe tener en cuenta la vulnerabilidad a los ataques a la red, las intrusiones de los piratas informáticos, los virus y spam, así como los fallos en las líneas de telecomunicaciones y de los ISP (proveedores de servicios de Internet). A la hora de medir la concienciación de las empresas sobre la seguridad informática, un indicador relevante es el esfuerzo realizado para asegurar la continuidad del negocio. Una amplia mayoría de empresas identifica los procesos críticos y evalúa los riesgos de sus sistemas de información; sin embargo, no se realizan actualizaciones y pruebas rigurosas sobre las medidas incorporadas en el plan de continuidad de negocio y menos de la mitad no cuenta con una estrategia de comunicación de dicho plan. El proceso que más destaca por su demanda, junto al despliegue de tecnología especializada, es el diseño de una estrategia y política de seguridad global, donde se incluye el plan de continuidad de negocio, segmento de mercado donde se posiciona MAKE SERVICES S. L. con la oferta del Plan de Seguridad Integral. 18

28 2.5 Factores claves de éxito. Los procesos internos empresariales utilizan sistemas informáticos que han evolucionado hacia un modelo transaccional basado en la tecnología Web Server. La conexión y acceso a los servicios y aplicaciones, se ubican en centros de datos con servidores conectados en red y con servicios en los portales corporativos a los que es preciso identificarse mediante código de usuario y clave. En los portales corporativos, además de salida a Internet, hay conexiones a todos los servicios comunes: correo electrónico, gestión documental e impresión y aplicaciones de gestión que utilizan cada una de las áreas de la organización. También disponen de equipamiento externo, terminales y redes locales, con conectividad y accesibilidad, en red privada virtual (VPN), a los sistemas ubicados en la sede central. La gestión de la seguridad informática ha de integrarse en la gestión global de riesgos y las amenazas que pueden sufrir los sistemas y servicios informáticos. La dirección de la empresa, en líneas generales, comienza a reconocer que la seguridad de la información debe formar parte de la gestión de riesgos, ya que el valor de la información manejada por las empresas es uno de sus principales activos. En los próximos años se prevé que el motor de la seguridad informática en las empresas, sobre todo en las grandes corporaciones, será el cumplimiento de la normativa y legislación vigente en materia de seguridad. En los últimos años el cumplimiento de la normativa ha sido el factor de impulso que más ha impactado en el desarrollo de la seguridad informática. La importancia de este factor se mantendrá invariable a medio plazo. 19

29 La relación con terceros, tanto clientes como suministradores, requerirá que en el futuro se aplique un mayor rigor al seguimiento de las prácticas de seguridad de las empresas que se relacionan entre sí, exigiendo requisitos de certificación sobre estándares de seguridad y aplicando normas más estrictas y enfoques más formales a la gestión del riesgo de los suministradores. A medida que avanza el proceso de globalización de los negocios, las cuestiones relacionadas con la privacidad adquieren mayor relevancia. La mayor presión sobre los requisitos de privacidad impulsará la formalización de procedimientos y protocolos para gestionar la protección de datos personales y la privacidad. La efectividad de la seguridad informática depende, en gran medida, de la comprensión, por parte de los empleados, de las políticas y procedimientos de seguridad establecidos por la empresa y de la responsabilidad en su aplicación. Por ello, se prevé un crecimiento importante en la implantación de procesos de gestión de la seguridad de la información y de las labores de difusión entre las plantillas de las compañías de estos procesos. El análisis de las tendencias en la demanda de soluciones de seguridad permite afirmar que el mercado mostrará tasas de crecimiento importantes. La evolución de la demanda de soluciones de seguridad, unida al crecimiento del mercado y la comoditización de las soluciones de seguridad producirá una transformación del mercado de seguridad en un mercado de servicios con importantes oportunidades de negocio. La consecuencia de lo expuesto es que empresas de tecnologías de la información y la comunicación que no pertenecen al segmento de mercado de la seguridad, así como los operadores de telecomunicaciones, están 20

30 entrando en este mercado a través de los servicios. Del mismo modo, empresas de software están empezando a ofrecer servicios gestionados de seguridad a gran escala, para compensar la reducción de márgenes en la venta de software. En resumen, el segmento de servicios de seguridad acelerará su crecimiento a medio y largo plazo, a medida que la tecnología madure y la oferta se vaya posicionando en servicios gestionados, restando mercado al segmento del software de seguridad. El segmento de servicios gestionados es el que presenta mayores perspectivas de crecimiento, si bien los servicios de consultoría e integración de la seguridad mantendrán ritmos de crecimiento intensos, como respuesta a la necesidad de las empresas de simplificar y analizar sus arquitecturas y modelos de gestión de la seguridad, de ahí el posicionamiento de MAKE SERVICES S. L. con el Plan de Seguridad Integral. En el escenario tecnológico y de servicio descritos es donde se enmarca la demanda de seguridad informática, donde pueden indentificarse cuatro prioridades o factores de éxito para la implantación de la seguridad en los procesos, sistemas y actividades de las empresas: 1. Integrar la gestión de la seguridad informática en la estrategia global de gestión de riesgos de la compañía. 2. Adecuar la implantación a los estándares y requisitos legales y regulatorios. 21

31 3. Gestionar los riesgos en las relaciones con terceros (suministradores y clientes). 4. Priorizar la protección de datos personales y la privacidad. 22

32 Capítulo 3 Descripción del producto y servicio 3.1 Objetivo. En este capítulo se describe el Plan de Seguridad Integral (PSI) como producto y servicio al mercado. La seguridad de los procesos, sistemas y servicios de una empresa, así como la organización y las actividades de seguridad que los soportan, son básicas para la continuidad del negocio. El objetivo fundamental del PSI en la empresa es garantizar la disponibilidad, continuidad, integridad, confidencialidad y auditabilidad de los procesos, sistemas y datos, entendiendo que tanto sistemas como datos, además de las infraestructuras técnicas y las personas de la organización, son activos críticos de la empresa, además de los activos inmobiliarios y financieros. La no existencia de una política de seguridad en las empresas, por la falta de valoración de los activos ni su grado de importancia para el negocio, conlleva a un escenario de no consideración de las amenazas o riesgos asociados a los mismos, que son de todo tipo: 1. Naturales, como terremotos o inundaciones. 2. Estructurales, como cortes de agua, electricidad o comunicaciones. 3. Fortuitos o provocados, como incendios, rotura de tuberías de agua. 4. Accesos no autorizados a dependencias y sistemas informáticos. 23

33 5. Destrucción y corrupción de archivos y bases de datos. 6. Malware en los sistemas informáticos centrales y los terminales. 7. Averías en las infraestructuras técnicas. 8. Hurtos y/o robos de material, equipamiento técnico, documentación e información. El PSI aborda las actividades a realizar en las empresas para prevenir riesgos e incidencias en los activos y protegerlos contra situaciones que pudieran destruirlos o modificarlos y, en consecuencia, afectar al normal desarrollo de las actividades del negocio. La mayor parte de las incidencias en los servicios tienen como origen la falta de procedimientos y controles de seguridad que garanticen la operatividad y continuidad de los sistemas y servicios. El área de seguridad es una actividad que tiene, cada vez, mayor importancia dada la implicación e impacto que tienen los sistemas de información en los procesos de negocio, además de la evolución del ámbito operativo de los mismos, que han migrado desde los procesos internos hacia la globalidad que ofrece Internet El PSI como producto. La definición de los activos críticos, las amenazas asociadas a los mismos y la política empresarial para su protección y prevención de los riesgos, son elementos básicos en el PSI que se ofrece al mercado. La seguridad en las empresas puede mejorarse poniendo en práctica una política integral con el objetivo de implantar una cultura de gestión de procesos y actividades donde la seguridad forme parte de los sistemas e infraestructuras técnicas 24

34 desde su diseño conceptual, pasando por su desarrollo e implantación y terminando en las operaciones de la empresa. El PSI se compone de tres elementos básicos: 1. La política de seguridad que establecerá los activos críticos para el normal funcionamiento de la empresa. 2. La normativa con los controles de seguridad específicos para cada ámbito del negocio. 3. La organización y el plan de acción para su desarrollo e implantación La política de seguridad. La política de seguridad integral de la empresa tiene como misión prevenir riesgos y proteger a empleados, clientes, infraestructuras, productos y servicios mediante la vigilancia, el cumplimiento de la legislación vigente, la elaboración e implantación de normativas corporativas, la optimización continua de los sistemas y recursos internos para evitar vulnerabilidades, la divulgación de la cultura de seguridad entre los empleados y la colaboración con los órganos competentes de la administración. Acorde a la misión de la seguridad en la empresa, se definirán los activos críticos para el negocio que serán objeto de protección ante potenciales incidentes internos o externos. La política de seguridad define como activos críticos los datos y los sistemas que los tratan, y manifiesta la determinación que ha de tener toda la organización para prevenir los riesgos de robo, pérdida o deterioro que 25

35 pudieran afectar a los procesos de negocio y/o a los servicios al cliente. Entre lo activos críticos está la información cuya seguridad se logra con la implantación y gestión de controles adecuados en las actividades de la organización, en los procedimientos internos y en los servicios al cliente La normativa con controles de seguridad específicos. La normativa de seguridad describe los controles que deben implantarse de forma obligatoria, independientemente del resultado de los análisis de riesgos. Si hubiese riesgos adicionales, deberán ser informados de forma inmediata para implantar controles adicionales acorde a la problemática que pudiera derivarse. La normativa de seguridad define el conjunto de controles que serán de aplicación obligatoria en toda la organización, tanto para las actividades internas como para los servicios a los clientes. Complementariamente a las normas, se establecen en cada área de gestión interna y de atención al cliente los controles de seguridad aplicables en los procesos acorde a los análisis y gestión de riesgos, con el objetivo de eliminar o reducir posibles incidencias residuales que pudieran afectar al negocio. Todas las áreas de la organización estan obligadas a poner los medios necesarios para conocer, divulgar, implantar y cumplir la normativa de seguridad como parte esencial del PSI. La normativa tiene carácter obligatorio para todos los procesos de negocio, tanto internos como externos. También será de obligado cumplimento para los sistemas y servicios subcontratados a terceros. La normativa es de 26

36 aplicación en todas las fases del ciclo de vida de la información: generación, almacenamiento, procesamiento, distribución, consulta y destrucción de los sistemas que la procesan: análisis, diseño, arquitectura, desarrollo, implantación, producción, soporte técnico y mantenimiento, acorde a los estándares internacionales sobre los que se ha diseñado la normativa de seguridad. La normativa, desarrollada acorde a los estándares internacionales ISO/IEC (Information technology - Security techniques - Code of practice for information security management) y COBIT 4.0 (Control OBjectives for Information and related Technology) tiene tres apartados: 1. Los criterios que deben seguir las áreas de la organización en la aplicación de los controles, con el objetivo de establecer un nivel adecuado y homogéneo de seguridad y reducir el riesgo a un nivel aceptable para el negocio. 2. Los controles de seguridad relacionados con los recursos organizativos, técnicos, operativos y legales de la empresa. Los controles se corresponden con los principios, objetivos y requisitos básicos definidos por la empresa para garantizar la prevención de los riesgos en los servicios y operaciones de negocio, estableciéndose un nivel homogéneo de seguridad en todas las áreas de la organización. El nivel de seguridad mínimo se establece acorde a un subconjunto de controles. Cada área funcional podrá implantar un nivel más 27

37 restrictivo en la aplicación de estos controles si lo considera necesario para sus procesos internos y/o de atención al cliente. Los controles deberán ser implantados, administrados, monitorizados y revisados para mejorar la eficacia y eficiencia de los mismos y asegurar que los objetivos de seguridad del negocio son alcanzados en los siguientes ámbitos: 1. Organización. 2. Activos críticos. 3. Obligaciones del personal. 4. Activos de información. 5. Identificación de empleados. 6. Accesos a edificios, sistemas y servicios. 7. Auditoría e inspección. 8. Sistemas, redes y terminales. 9. Licencias de software. 10. Desarrollo y mantenimiento. 11. Copias de respaldo. 12. Gestión de soportes externos. 13. Continuidad de negocio. 14. Seguridad física. 15. Legislación. 28

38 Figura 4. Detalle de los controles de seguridad de la normativa incluida en el PSI. En los casos en que el coste de implantación de un control sea mayor que el riesgo que se reduce o el beneficio que se consigue, se podrá justificar la no implantación del mismo. 3. Los procedimientos y guías de seguridad que cada área debe desarrollar para complementar los controles de seguridad. Los procedimientos operativos y guías de usuario que deberán realizar las direcciones de la empresa establecerán los pasos necesarios a seguir para realizar una determinada tarea y cumplir 29

39 con uno o varios de los controles de esta normativa. Los procedimientos podrán referenciar a otros existentes y podrán ser auditados. Las guías de usuario deberán complementar los procedimientos operativos y estarán orientadas a los jefes de proyecto y empleados. Detallarán todos los aspectos técnicos y operativos para cumplir con los controles de seguridad. A continuación se detallan los procedimientos y guías complementarias a poner en práctica para cumplir con la normativa de seguridad y los controles establecidos: 1. Selección e incorporación de personal. 2. Registro y control de identidades. 3. Obligaciones del personal. 4. Definición y clasificación de activos críticos. 5. Análisis y valoración de riesgos. 6. Clasificación y tratamiento de información. 7. Derechos y autorizaciones de acceso. 8. Gestión de accesos a sistemas y servicios. 9. Controles de acceso a oficinas y areas internas. 10. Gestión y monitorización de los registros de auditoría. 11. Gestión de configuración en las infraestructuras técnicas de sistemas, redes y terminales. 12. Segmentación del tráfico en las redes. 13. Gestión de cambios en las infraestructuras de sistemas, redes y terminales. 14. Desarrollo y mantenimiento de sistemas y servicios. 30

40 15. Pruebas y certificación para la explotación de sistemas de gestión interna. 16. Pruebas y certificación para la entrega y explotación de sistemas de servicio a clientes. 17. Gestión y respuesta a incidentes. 18. Copias de respaldo y recuperación. 19. Distribución y uso de soportes externos. 20. Planes de contingencia. 21. Vigilancia y protección de dependencias. 22. Protección de locales con infraestructuras técnicas La organización y el plan de acción. En los apartados anteriores se han descrito el conjunto de elementos que conforman el producto PSI que ha de ponerse en práctica en las empresas con la participación decisiva del Comité de Dirección que, finalmente, deberá definir el plan implicación de toda la organización. El plan de trabajo que desarrollará MAKE SERVICES S. L. cuando sea contratada para la realización del PSI en una empresa, consistirá en: Elaborar el documento Políticas y normativas de seguridad de la empresa para convertirlo en la herramienta de uso generalizado en toda la organización. El objetivo es unificar criterios de seguridad en toda la organización y disponer de una norma común y herramienta de gestión de la seguridad adaptada a los estándares internaciones. 31

41 Definir la organización de seguridad de la empresa, cuyo máximo ámbito de decisión será el Comité de Seguridad. Preparar un plan de divulgación para todos los empleados en el que se explique el nuevo modelo de gestión de la seguridad. El plan de divulgación deberá utilizar todos los medios a su alcance, reuniones de los directores con sus equipos, información en el portal del empleado y carteles visibles en las oficinas. El plan de actividades del Comité de Seguridad, organización básica en la empresa para poner en práctica el PSI, consistirá, primero, en definir y clasificar los activos críticos y, segundo, en analizar y valorar los riesgos. Una vez definidos los activos críticos y hecha la valoración de riesgos, el siguiente paso será elaborar los procedimientos de seguridad y guías que ayuden a las áreas a aplicar los controles de seguridad establecidos. El objetivo es establecer métodos de trabajo en los procesos y en las infraestructuras técnicas adaptados a la normativa de seguridad. Los procedimientos y guías abarcarán todos los ámbitos de la gestión operativa y técnica: 1. Procedimientos de gestión operativa: Selección e incorporación de personal. Registro y control de identidades. 32

42 Obligaciones del personal. Clasificación y tratamiento de la información. Derechos y autorizaciones de acceso. Distribución y uso de soportes externos. Controles de acceso a oficinas y áreas internas. Planes de contingencia. Vigilancia y protección de dependencias. 2. Procedimientos de gestión técnica: Gestión de accesos a sistemas y servicios. Gestión y monitorización de los registros de auditoría. Gestión de configuración en las infraestructuras técnicas de sistemas, redes y terminales. Segmentación del tráfico en las redes. Gestión de cambios en las infraestructuras de sistemas, redes y terminales. Desarrollo y mantenimiento de sistemas y servicios. Pruebas y certificación para la explotación de sistemas de gestión interna. Pruebas y certificación para la entrega y explotación de sistemas de servicio a clientes. Gestión y respuesta a incidentes. Copias de respaldo y recuperación. Protección de locales con infraestructuras técnicas. 33

43 El Comité de Seguridad implicará en la elaboración de los procedimientos de seguridad y guías de seguridad a las áreas funcionales, siendo los directores los máximos responsables de conseguir los objetivos propuestos e informarán al Comité de Seguridad de los avances hasta alcanzarlos. La elaboración de los procedimientos y guías se realizará con la implicación de MAKE SERVICES S.L. que elaborará un cuadro de mando de gestión con el detalle de datos relativos a cada uno de los procedimientos y guías: área funcional responsable, fechas previstas de comienzo y final, avances e incidencias en la elaboración. El cuadro de mando le servirá al Comité de Seguridad para hacer el seguimiento del grado de implantación de los procedimientos y guías El PSI como servicio. La implantación del PSI en las empresas no es una tarea fácil; sin embargo, todavía lo es más tener actualizado el conjunto de procedimientos y guías de seguridad asociados a los controles establecidos en las Políticas y normativas de seguridad de la empresa. La razón es sencilla de explicar y se corresponde con la constante evolución de los sistemas y las tecnologías y, también y más importante, por los constantes cambios en las organizaciones y procesos de la empresa. Ese escenario, generalmente común en la mayoría de las empresas, es la base para ofertar la actualización periódica del PSI como un servicio adicional y necesario ante los continuos cambios en los recursos y en la actividad del negocio. El plan de comercialización contempla dicho 34

44 servicio para cada cliente con un precio adicional al que corresponde por la elaboración e implantación del PSI. 3.2 Posicionamiento en el mercado. El PSI es la base de posicionamiento del MAKE SERVICES S. L. en el mercado de la seguridad como producto para, en una segunda fase, ofrecer el servicio de evolución y actualización de los procedimientos y guías de seguridad. Sobre esa base, y la demanda actual de seguridad informática en todos los sectores: banca, seguros, telecomunicaciones, distribución, automoción, transporte, construcción, energía, hostelería, sanidad, etc. se puede construir la oferta del producto Plan de Seguridad Integral para que abarque, en segunda fase, todo el escenario de servicios gestionados de seguridad informática después de su implantación, ante la necesidad de evolucionar procedimientos y guías de seguridad por los cambios organizativos, tecnológicos y operacionales que todas las empresas realizan para su adaptación al mercado. 35