PLAN DE SEGURIDAD INTEGRAL DE MAKE SERVICES S. L.

UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA (ICAI) INGENIERO EN INFORMÁTICA PROYECTO FIN DE CARRERA PLAN DE SEGURIDAD INTEGRAL DE AUTOR: DAVID ALCÁNTARA LÓPEZ MADRID, JUNIO DE 2009

A mi familia por su ilusión, a Leticia por los momentos compartidos, a mis compañeros y amigos por las experiencias vividas, a Mateo por su confianza y tiempo. Mención especial a mis padres, por su cariño, dedicación y entrega, cuyo apoyo me sirve para mejorar como persona, y sus consejos para superar los retos que me plantea la vida. A todos ellos, muchas gracias. David. I

El sabio busca en sí lo que anhela; el necio lo busca en los demás. Confucio. II

RESUMEN DEL PROYECTO El Plan de Seguridad Integral (PSI) diseñado en el presente documento es el resultado de la realización de un exhaustivo análisis de una empresa del sector de las telecomunicaciones con un único objetivo claramente diferenciado: evaluar el nivel de seguridad de los datos, procesos e infraestructuras en los que se sustenta dicha empresa. En primer lugar, y para saber dónde y cómo posicionarse ante el desarrollo de un plan de seguridad de tanta envergadura, se ha llevado a cabo un estudio en profundidad sobre la actividad empresarial que desarrolla la compañía, su ubicación, su estructura y organización, sus procesos operativos y de negocio, así como los métodos y herramientas de seguridad, tanto física como lógica, que están implantados en la empresa para combatir las amenazas a las que está expuesta. Una vez identificada la metodología, inadeacuada, que se sigue para garantizar la seguridad de la empresa, se ha realizado un análisis de la situación actual de seguridad de la empresa y se han identificado los riesgos que corre la compañía con los métodos de seguridad vigentes, del mismo modo que se han identificado posibles amenazas que pudiesen afectar al desarrollo normal de su actividad. Llegados a este punto, se ha elaborado un plan de seguridad con el que se pretende mitigar aquellos riesgos y vulnerabilidades, a la vez que se garantiza la continuidad del negocio ante situaciones desfavorables, tales como incendios o cualquier otro tipo de catástrofe. El plan propuesto debe tener la obligación, tanto legal como moral, de garantizar los tres pilares básicos en los que se sustenta la seguridad de la información: confidencialidad, integridad y disponibilidad de la información. Es por ello que se han seguido una serie de pautas, de obligado cumplimiento por la ley, con el objetivo III

de preservar la identidad de todas aquellas personas que pueden verse afectadas por el mal uso y/o tratamiento de la información de que dispone la empresa. Por último, se ha analizado la viabilidad y puesta en marcha del plan propuesto, analizando los recursos económicos, tecnológicos y humanos que son necesarios para lograr la implantación del plan de seguridad en la compañía estudiada. IV

ABSTRACT The Comprehensive Security Plan (CSP) drawn up in the present document is the result of a complex analysis performed in a telecommunication company in order to evaluate the security level of the data, processes and infrastructure which supports the company. First of all, it is necessary to identify the company s activity as well as its location and business structure, in order to get an overview of its market share and try to evaluate the results of the security methods introduced in the company and how they are working to keep the company safe from any external or internal threats that the organization is exposed to. As soon as the wrong security methodology plan is identified, it is necessary to scrutinize all of the different business processes to know how vulnerable they are to the theats and risks the company may take, as well as the impact they may produce in case they occur. At this point, a revision of a security plan is required in order to eradicate, in the most efficient way possible, the risks and vulnerabilities already detected and try to maintain the continuity and stability of the company in case any disaster happens. The suggested security plan must have the moral and legal obligation of guaranteeing the Confidentiality, Integrity and Availability (CIA) of the company s information, just as any personal identity should not be revealed if there is a fraudulent usage of this confidential information. V

In the last phase of the plan, a feasibility study must be made in order to identify which economic, technological and human resources are necessary to introduce this plan in the company. VI

ÍNDICE VII

Índice Parte I Memoria...1 Capítulo 1 Introducción...2 1.1 Estado del arte...2 1.2 Trabajos anteriores....5 1.3 Motivación del proyecto...6 1.4 Objetivo...7 1.5 Metodología....9 Capítulo 2 Escenario del proyecto...11 2.1 Introducción....11 2.2 Ámbito....11 2.3 Localización...12 2.4 Organización y recursos....13 2.5 Sistemas de gestión....15 2.6 Arquitectura tecnológica....15 2.7 Cifras de negocio....17 2.7.1 Gastos....17 2.7.2 Ingresos...19 2.8 Inventario de infraestructuras técnicas....20 2.9 Servicios informáticos...23 2.10 Copias de respaldo...25 2.11 Vigilancia y protección de dependencias....27 Capítulo 3 Situación de la seguridad...28 3.1 Introducción....28 3.2 Análisis de riesgos...28 3.3 Estructura organizativa....30 3.4 Seguridad de las infraestructuras técnicas....31 3.5 Seguridad de la información...33 3.6 Planes de contingencia...33 VIII

Parte II Plan de seguridad...35 Capítulo 4 Políticas y normativas...36 4.1 Introducción....36 4.2 Acciones estratégicas....37 4.3 Política de seguridad...38 4.3.1 Activos críticos...38 4.3.2 Organización y funciones...39 4.3.3 Normativa de seguridad....40 4.3.3.1 Ámbitos de aplicación...41 4.3.3.2 Controles de la normativa....42 4.3.3.3 Análisis y gestión de riesgos...43 4.3.3.4 Obligatoriedad....44 4.3.3.5 Metodología...45 4.3.3.6 Controles de seguridad...49 4.3.3.6.1 OP100 Organización...49 4.3.3.6.2 IR100 Activos críticos....50 4.3.3.6.3 OB100 Obligaciones del personal....51 4.3.3.6.4 AI100 Activos de información....55 4.3.3.6.5 IE100 Identificación de empleados...58 4.3.3.6.6 AA100 Accesos a dependencias y sistemas....61 4.3.3.6.7 AC100 Auditoría e inspección....62 4.3.3.6.8 IT100 Sistemas, redes y terminales...64 4.3.3.6.9 LS100 Licencias de software...72 4.3.3.6.10 DM100 Desarrollo y mantenimiento...73 4.3.3.6.11 CR100 Copias de respaldo...75 4.3.3.6.12 GS100 Gestión de soportes externos....76 4.3.3.6.13 CN100 Continuidad de negocio....78 4.3.3.6.14 SF100 Seguridad física...81 4.3.3.6.15 CL100 Legislación....83 IX

4.3.3.7 Procedimientos y guías de seguridad...86 4.3.3.8 Estándares ISO/IEC 27002:2005 y COBIT 4.0...88 Capítulo 5 Plan de acción...90 5.1 Introducción....90 5.2 Descripción de actividades....91 5.2.1 Comité de Dirección...91 5.2.2 Comité de Seguridad....92 5.2.3 Direcciones funcionales....95 5.3 Implantación y puesta en marcha....101 5.3.1 Recursos internos...102 5.3.2 Recursos externos....103 5.3.3 Cronograma de actividades...104 5.3.4 Presupuesto....105 5.3.5 Entregables....106 5.4 Cuadro de mando de gestión...107 Capítulo 6 Conclusiones...109 Parte III Anexos...111 ANEXO I POLÍTICAS Y NORMATIVAS DE SEGURIDAD...112 ANEXO II PROCEDIMIENTOS Y GUÍAS DE SEGURIDAD...115 ANEXO III BIBLIOGRAFÍA....116 ANEXO IV RECURSOS Y VALORACIÓN ECONÓMICA...118 X

Parte I MEMORIA 1

Capítulo 1 Introducción 1.1 Estado del arte. La seguridad no es una disciplina de todo o nada. No existen sistemas 100% seguros. Partiendo de estas dos premisas y sabiendo que el riesgo no puede eliminarse completamente, pero puede reducirse drásticamente, se puede empezar a abordar el tema de la seguridad informática como una utopía distópica necesariamente alcanzable para cualquier empresa. La seguridad de la información es una disciplina que se ocupa de gestionar el riesgo dentro de los sistemas informáticos. Dicho de otro modo, mediante la aplicación de sus principios, se implantarán en los sistemas informáticos las medidas capaces de contrarrestar las amenazas a que se encuentran expuestos los activos de la organización: la información y los elementos hardware y software que la soportan. No se trata de implantar sin ton ni son medidas de seguridad, sino de evaluar los riesgos reales a los que la información está expuesta y mitigarlo mediante la aplicación de las medidas necesarias y en el grado adecuado, con el fin de satisfacer las expectativas de seguridad generadas. Resulta ilusorio creer que los riesgos pueden eliminarse por completo, en su lugar deben reducirse a niveles aceptables. La determinación de este nivel dependerá en gran medida de los objetivos concretos que se plantee la organización, del valor de sus activos, de su dimensión y presupuesto de seguridad. Lo más sorprendente es, por raro que parezca, que esta reducción del riesgo se puede conseguir con muy poco esfuerzo y una modesta inversión. Es importante resaltar que, contrariamente a lo 2

que se suele pensar, ni todas las amenazas de seguridad se deben a ataques maliciosos ni todos los ataques provienen del exterior, es por ello que no todas las medidas de seguridad ni las más importantes deben basarse en la tecnología y por tanto en la adquisición de software o hardware de seguridad, sino también en la organización de tareas y responsabilidades, en la gestión racional de procesos y en la formación y concienciación del personal. La seguridad de la información requiere un enfoque holístico, que implique la participación coordinada de la tecnología, personas y operaciones. Con la seguridad informática en pleno auge, muchas empresas están empezando a adoptar medidas preventivas para hacer frente a los riesgos y amenazas a los que están expuestos y así poder garantizar, en primer lugar, la continuidad del negocio en caso de producirse cualquier contratiempo y, en segundo lugar, la satisfacción de los usuarios y clientes ante las expectativas generadas en torno a unos sistemas e infraestructuras totalmente automatizados en los que se debe garantizar la confidencialidad, integridad y disponibilidad de la información que por ellos circula. El objetivo de la seguridad de la información no es conseguir sistemas 100% seguros, espejismo imposible de alcanzar, sino sistemas tan seguros como sea necesario para proteger los activos con un nivel que se corresponda con las expectativas creadas. En definitiva, la seguridad de la información trata de proteger activos, tanto tangibles, como por ejemplo un disco duro o una base de datos con información confidencial sobre los clientes, como intangibles, como por ejemplo la reputación, la privacidad o el nombre de la marca. Deben implantarse y llevarse a cabo una serie de directrices, obligaciones y responsabilidades en la alta dirección de la empresa que permitan el análisis, la 3

planificación y la definición de unos objetivos de seguridad que colaboren para que las medidas adoptadas se implanten correctamente y no dificulten las expectativas de seguridad. Como resultado, se disminuye el riesgo cumpliéndose las expectativas de seguridad. Se trata de un proceso iterativo, hasta que las expectativas se vean siempre cumplidas, con el mínimo coste de tiempo y dinero, a la vez que se garantiza la operación normal del negocio; al fin y al cabo, el objetivo último y prioritario de la seguridad es que la organización pueda cumplir su misión. Para que las medidas de seguridad que una empresa debe llevar a cabo estén bien definidas y surjan efecto, previamente debe analizarse cada uno de los procesos de negocio de la organización, su cadena de valor, su estructura, su funcionamiento, etc., ya que deben analizarse cada uno de los eslabones que componen la organización y ver sus vulnerabilidades y amenazas para poder actuar sobre todos ellos, sin dejar ninguno de ellos al margen por muy pequeño o irrelevante que sea, teniendo presente que la cadena siempre se rompe por el eslabón más débil. Si se quiere alcanzar un nivel de seguridad aceptable, siempre según unas expectativas realistas, deben localizarse los eslabones más débiles y fortalecerlos. Si la cadena tiene mil eslabones, basta que uno sólo sea débil, para que se rompa por él. Que un intruso lo encuentre, será cuestión de tiempo o de suerte, pero debe asumirse que tarde o temprano será descubierto. No sirve de nada aumentar más aún la seguridad de los eslabones más fuertes. Mientras sigan existiendo eslabones débiles, la seguridad global del sistema será idéntica. Una vez rota la cadena, las medidas reactivas para mitigar la situación de inseguridad a la que está expuesta una organización, suponen una fuerte inversión de tiempo, dinero y esfuerzo que muchas empresas no están preparadas para ello y ven ralentizada su actividad, pero que a su vez les hacen ver que la seguridad es un área en la que deben realizar un mayor hincapié, tanto económico como de 4

formación y concienciación de los empleados y directivos. En cualquier caso, la máxima más vale prevenir que curar resulta esencial para preservar la integridad de cualquier organización, por muy pequeña que ésta sea. Partiendo de las premisas expuestas, a continuación se describe la situación en la que se encuentra la seguridad de las infraestructuras de sistemas y red de la empresa de servicios informáticos y, como consecuencia, la seguridad de la información que almacenan y procesan. Adicionalmente, y para completar el trabajo, también se hace mención a la situación de la seguridad física de las oficinas y dependencias para incorporar las medidas oportunas en este ámbito al Plan de Seguridad Integral que se propone en este trabajo. 1.2 Trabajos anteriores. La seguridad de la información es una materia que se ha tratado en diversos Proyectos Fin de Carrera, desde ahora PFCs, a lo largo de los últimos años y desde diferentes puntos de vista, pero con un único objetivo común: asegurar la confidencialidad, integridad y disponibilidad de la información. Bajo la dirección de Don Mateo Camps Llufríu se han llevado a cabo PFCs de distinta índole, pero siempre con la seguridad de la información como tema principal. En junio de 2006 se presentó un plan de contingencia ante una catástrofe que aseguraba la continuidad del negocio de una empresa que ofrecía los servicios de un Centro de Proceso de Datos (CPD) a sus clientes, en el que se detallaban los pasos y 5

políticas a seguir por una empresa cuyo objetivo es garantizar el servicio a sus clientes ante una situación desfavorable, como puede ser la pérdida de cierta información ante una catástrofe natural. Al año siguiente se volvió a presentar otro PFC en el que se elaboró otro plan de contingencia, pero esta vez concretando para una empresa del sector de seguros. Ya en otro PFC presentado en septiembre del año pasado se abordó el tema de la seguridad en Internet y las medidas de seguridad existentes en aquellos negocios dedicados al comercio electrónico. Los otros PFCs relacionados con la seguridad de la información tienen como escenario pequeñas empresas en las que las medidas de seguridad, o bien brillan por su ausencia, o bien son, en muchos casos, insuficientes. Ante esta situación se elaboró un plan de seguridad específico para cada una de ellas, centrándose en gran parte en las medidas a adoptar tras una situación adversa que no permita el buen funcionamiento del negocio. 1.3 Motivación del proyecto. Ante la situación descrita anteriormente se decidió, en el mes de enero, llevar a cabo un plan de seguridad de una empresa del sector de las telecomunicaciones en el que se describiesen tanto las políticas y medidas preventivas que debe llevar a cabo cualquier empresa, sin importar la magnitud de la misma, como las políticas y medidas reactivas ante una situación contraria al buen desarrollo del negocio. Las principales motivaciones que llevaron a desarrollar este PFC son: En primer lugar, la obtención del título de Ingeniero en Informática de la Universidad Pontificia Comillas de Madrid ICAI - ICADE. 6

En segundo lugar, tratar de entender lo mejor posible, ante la inminente entrada en el mundo laboral, la estructura y funcionamiento de una empresa: organización, recursos, balance económico, servicios, seguridad, etc. En definitiva, recorrer una empresa por todas sus áreas funcionales y tratar de relacionar y entender los conceptos estudiados a lo largo de la carrera en una empresa del mundo real. Por último, se trata de ver la importancia de los procedimientos y normativas de seguridad para garantizar la continuidad de los procesos y sistemas de la empresa y la continuidad del negocio. Como curiosidad, decir que otro de los hechos que han llevado a desarrollar este PFC, es lograr el objetivo de establecer una Red de Área Local (RAL) segura ante posibles ataques a través de Internet y tratar de proteger a un usuario convencional, no experto en la materia, ante posibles fraudes y virus transmitidos por la red Internet. 1.4 Objetivo. A partir de los datos suministrados por una empresa, que por motivos de confidencialidad no se detallan los relativos a su localización y a sus clientes, se expone la situación de la seguridad en sus procesos, sistemas y servicios de negocio, y se propone un Plan de Seguridad Integral para proteger sus activos y prevenir riesgos en los servicios y el negocio. Los datos de la empresa sirven de base para construir un nuevo escenario de gestión de los procesos y sistemas basado en la puesta en práctica de medidas de seguridad que mejoren la situación de la seguridad. La empresa, que a partir de ahora se denominará, se dedica a la prestación de servicios de 7

consultoría, soporte técnico, administración y formación en sistemas informáticos empresariales a nivel estatal. Las oficinas centrales de la empresa están situadas en Madrid y, además, tiene cuatro delegaciones que atienden al mercado local de las zonas Norte, Sur, Este y Oeste del Estado. La empresa, con un total de 175 empleados, 80 clientes y una facturación anual de 20 millones de Euros, ha solicitado un Plan de Seguridad Integral de las oficinas y las infraestructuras técnicas y de comunicaciones que usan los empleados y atienden el servicio a los clientes. El Plan de Seguridad Integral, en adelante PSI, ha de proponer las políticas, normativas, procedimientos y operaciones que se han de poner en práctica para proteger a las personas y los activos, prevenir los riesgos operacionales y dar continuidad al servicio prestado a los clientes en caso de contingencia. Para elaborar el PSI la empresa ha proporcionado datos de la organización y de las infraestructuras informáticas y de comunicaciones utilizadas por los empleados y los clientes. La situación de la empresa se describe en el Capítulo 2. El núcleo básico del trabajo está relacionado con la seguridad informática de la empresa, con la organizazión, los procesos, los sistemas y las infraestructuras técnicas que los soportan y con la información que procesan. Se ha complementado con la seguridad física de oficinas y dependencias. 8

1.5 Metodología. En este apartado se describirán la metodología y los pasos seguidos para elaborar el PSI propuesto a la empresa de servicios informáticos para su implantación y puesta en práctica. La metodología seguida para desarrollar dicho plan ha sido la siguiente: 1. Realizar la descripción de la empresa a estudiar de la forma más completa y detallada posible: ámbito de actividades, estructura organizativa y de sistemas, políticas y medidas implantadas, volumen de negocio, etc. Figura 1. Estructura de procesos del Proyecto Fin de Carrera. 9

2. Evaluar las lagunas de seguridad detectadas en la empresa. 3. Definir una política de seguridad con una misión concreta y unos recursos determinados, una organización bien definida, unas funciones y normativas basadas en unos estándares internacionales que permitan, y logren, mejorar la situación actual. 4. Elaborar la normativa de seguridad a seguir, con sus respectivos controles, para ponerla en marcha. 5. Detallar los controles de seguridad que se llevarán a cabo para cada ámbito de proceso, servicio y sistema que, posteriormente, ayudarán a auditar y evaluar la situación de seguridad. 6. Proponer un Plan de Implantación y Puesta en Marcha que garantice, en la medida de lo posible, la seguridad de la empresa y cumpla con las expectativas creadas. 10

Capítulo 2 Escenario del proyecto 2.1 Introducción. El objeto de este capítulo es presentar la actividad empresarial de la compañía MAKE SERVICES S. L. en sus aspectos organizativos, técnicos, económicos y de servicio. La empresa comenzó sus actividades de prestación de servicios de consultoría, soporte técnico y administración de sistemas informáticos empresariales en el año 1996, cuando los servicios de Outsourcing en todos los sectores de la industria en España, y en particular en el de tecnologías de la información y la comunicación, comenzaban su despegue, después de su implantación en EEUU y resto de países de Europa Occidental. El concepto de servicio informático comenzó a ser una realidad como evolución al tradicional de soporte técnico de sistemas, habitual en las grandes empresas, y desarrollo de aplicaciones. En la actualidad los servicios en sistemas de información abarcan todo el espectro de actividades: consultoría, desarrollo, mantenimiento, soporte técnico, administración y operaciones en todo el ámbito de las infraestructuras de los centros de datos: servidores, sistemas, redes de comunicaciones y terminales. 2.2 Ámbito. La empresa ofrece servicios informáticos a empresas medias y corporaciones en los ámbitos de desarrollo, explotación y soporte técnico de sistemas: 11

Proyectos de consultoría y desarrollo de sistemas y servicios. Consultoría en gestión de contratos y servicios. Asesoramiento en arquitectura e ingeniería de sistemas. Asesoría en procesos, sistemas, aplicaciones y servicios. Configuración e instalación de sistemas. Soporte técnico y mantenimiento de sistemas y aplicaciones. Administración de bases de datos. Asignación de técnicos y operadores en los clientes. Formación especializada en ámbitos técnicos y operativos. 2.3 Localización. Las oficinas y dependencias, en régimen de alquiler, están localizadas en uno de los principales parques industriales de la Comunidad de Madrid. Ocupan un total de 1.360 m2 en un edificio de 5 plantas (sótano, planta baja y tres pisos) distribuidos en despachos, salas de reuniones, oficinas, aulas de formación, zonas comunes de reprografía, salas de descanso con máquinas de vending y almacenes de material de oficina y técnico. Dispone de un aparcamiento en la planta sótano. Las infraestructuras técnicas informáticas están localizadas en la planta baja del edificio. La empresa dispone de cuatro oficinas en las zonas Norte, Sur, Este y Oeste del Estado con 60 m2 cada una donde una pequeña delegación, de dos personas, atiende el mercado local. La sede central dispone de una red de área local para los servicios informáticos internos. Las sedes locales tienen conectividad y accesibilidad remota a través de los servicios de red de banda ancha contratados a una operadora de telecomunicaciones de implantación nacional. 12

2.4 Organización y recursos. La compañía dispone de un capital humano con alta cualificación técnica y operativa. Está gestionada por un Director General con un equipo de cinco Directores que componen el Comité de Dirección con carácter ejecutivo. Figura 2. Estructura organizativa de la empresa. La mayor parte de la plantilla de las áreas comercial, tecnología y operaciones dedicada al servicio a clientes son licenciados y titulados de grado medio de Ingeniería, básicamente Informática, Organización Industrial y Telecomunicaciones. La plantilla también tiene titulados en Económicas y Administración y Dirección de 13

Empresas, para las áreas financiera, presupuestos, control de gestión, facturación, cobros y contabilidad. El área de Recursos Humanos se nutre de titulados en Derecho con formación en Relaciones Laborales. El personal administrativo es seleccionado por sus conocimientos y experiencia en herramientas ofimáticas, gestión documental y gestión de proyectos. Figura 3. Recursos internos por direcciones funcionales. 14

2.5 Sistemas de gestión. Los procesos internos utilizan sistemas informáticos que han evolucionado hacia un modelo transaccional basado en la tecnología Web Server. La conexión y acceso a los servicios y aplicaciones, ubicadas en un pequeño centro de datos de la sede central con servidores conectados en Red de Área Local, se hace mediante un portal corporativo en el que es preciso identificarse mediante código de usuario y clave. En el portal corporativo hay conexiones a todos los servicios comunes: correo electrónico, directorios, gestión documental e impresión y a las aplicaciones de gestión que utilizan cada una de las áreas de la organización. Se dispone de un equipamiento externo a los servidores de aplicaciones y datos para la realización de copias de seguridad en discos y soportes magnéticos. Las oficinas zonales disponen de un equipamiento local con conectividad y accesibilidad, en red privada virtual (VPN), a los sistemas ubicados en la sede central. La red de área local central tiene salida a Internet. La gestión administrativa está basada en herramientas ofimáticas instaladas en los terminales (ordenadores de sobremesa y portátiles) que tienen conectividad a servidores de datos comunes accesibles por los empleados acorde a criterios de autorización de cada área. 2.6 Arquitectura tecnológica. Los servicios se ofrecen en dos modalidades: la presencia física permanente de los recursos en las instalaciones del cliente acorde a la demanda establecida en cada proyecto y el desarrollo de servicios o asesoría que se realiza desde las instalaciones 15

Plan de Seguridad Integral centrales. Los directores, gerentes, jefes y personal técnico y operativo utilizan ordenadores portátiles que conectan a la red de área local en las oficinas. Las personas de soporte administrativo utilizan ordenadores de sobremesa. El soporte técnico y operativo de los sistemas internos con los servicios comunes de correo, documentación y aplicaciones de gestión se realiza en la sede central. Todo el equipamiento informático de gestión de la empresa reside en las instalaciones centrales. En el gráfico siguiente se expone, de manera sucinta, el esquema de red de servidores y terminales que utiliza la organización: Figura 4. Infraestructuras tecnológicas de sistemas de información. CONEXIÓN EN RED LOCAL E INALÁMBRICA CONEXIÓN EN RED LOCAL E INALÁMBRICA Oficinas Zona Norte PC PC s WAN WAN Oficinas Zona Este PC PC s CONEXIÓN EN RED LOCAL E INALÁMBRICA CONEXIÓN EN RED LOCAL E INALÁMBRICA Oficinas Zona Sur PC PC s PC PC s Oficinas Zona Oeste Internet ROUTER PORTAL DIRECTORIOS CORREO FIREWALL RAL ROUTER SERVIDORES FIREWALL APLICACIONES DE NEGOCIO FILE & PRINT./.../.. GESTOR DOCUMENTAL ALMACENAMIENTO / BACKUP BACKUP s CONEXIÓ CONEXIÓN EN RED LOCAL E INALAMBRICA SEDE CENTRAL 16

2.7 Cifras de negocio. El cuadro siguiente detalla, de forma sucinta, la relación de costes internos anuales clasificados por cuatro grandes áreas: salarios, gastos generales, alquileres y mantenimiento de infraestructuras técnicas de sistemas informáticos y red de telecomunicaciones. 2.7.1 Gastos. Figura 5. Resumen de los costes internos de la empresa. 17

La relación de empresas cliente, así cómo la facturación de servicios es orientativa y sólo obedece al objetivo del trabajo, que es situar, como referencia, el escenario de negocio de la empresa y acometer el PSI, objetivo del proyecto. Para los clientes se ha tomado como referencia las empresas que, a 24 de abril de 2009, cotizaban en Bolsa Española tanto en el IBEX 35 como en el mercado continuo. Figura 6. Distribución de la facturación por áreas de actividad. En la página siguiente se detallan los ingresos, por cada uno de los 80 clientes, ordenados por orden alfabético y la facturación en los seis ámbitos de negocio de la empresa: consultoría de sistemas, asesoría de procesos y sistema, desarrollo de servicios en ámbitos de servidores medios, soporte técnico bajo demanda, recursos temporales en los clientes y formación. 18

2.7.2 Ingresos. Figura 7. Detalle de la facturación anual por clientes y áreas de actividad. 19

2.8 Inventario de infraestructuras técnicas. En los gráficos siguientes se detalla, de forma resumida, el inventario de equipamiento hardware y software dedicado a la gestión interna y al desarrollo de sistemas a los clientes. El equipamiento, el último se compró en el ejercicio 2.003, está amortizado. Figura 8. Resumen del inventario de las infraestructuras técnicas centrales (Hardware). 20

Una parte importante del equipamiento está fuera del periodo de mantenimiento establecido por los suministradores, lo que implica que las incidencias se resuelven a nivel interno y/o con la ayuda de terceros. Figura 9. Resumen del inventario de ordenadores personales. Los ordenadores de sobremesa y portátiles tienen instaladas herramientas ofimáticas: Microsoft Office 2003 y Microsoft Project, Lotus Notes (correo electrónico), Adobe Acrobat, Antivirus McAfee y software de acceso, en red privada virtual, a los sistemas de gestión centrales. Figura 10. Esquema de las infraestructuras de red. 21

Figura 11. Resumen del inventario de infraestructuras técnicas centrales (Software). La empresa cuenta con servicios de telecomunicaciones de voz y datos contratados a una operadora con implantación estatal. Las oficinas disponen de equipos multifunción de impresión, fax y escáner conectados en red para uso compartido y ubicados en las zona comunes. Los ordenadores personales, de sobremesa y portátiles, no tienen sistemas de seguridad que impidan la copia, no autorizada, de archivos y documentos críticos de la empresa a soportes externos. Tampoco disponen de herramientas que faciliten el cifrado de registros en los discos internos o externos. 22

2.9 Servicios informáticos. Los servicios informáticos están basados en herramientas ofimáticas de mercado y en aplicaciones de gestión desarrolladas internamente. La gestión administrativa está soportada por Microsoft Office 2003 (PowerPoint, Word, Access, Excel). El aplicativo Adobe Acrobat es utilizado por el área Comercial para la presentación de documentación de los proyectos y ofertas a clientes y por todas las áreas para los informes internos que circulan dentro de la empresa. El equipo de Tecnología y Operaciones utiliza el producto Microsoft Project para la elaboración y seguimiento de los planes de proyectos y servicios en todos los ámbitos. Es norma de la empresa que todo proyecto y/o servicio contratado y en desarrollo tenga el documento de plan de proyecto accesible por todas las áreas implicadas en el mismo. El correo electrónico interno está basado en la aplicación Lotus Notes que facilita, además, un servicio de mensajería instantánea. El acceso remoto al correo se realiza a través de red privada virtual utilizando las capacidades de Banda Ancha ADSL contratadas a la operadora de telecomunicaciones. La gestión documental está basada en un producto que data de los comienzos de la actividad de la empresa. Toda la documentación de la empresa en todos los ámbitos de la gestión, está digitalizada y almacenada en un servidor dedicado. El acceso a los documentos se realiza acorde a las demandas de cada área. No existe un procedimiento de clasificación de la información y autorizaciones de uso, distribución y destrucción. Cada área funcional actúa acorde a sus criterios. Las aplicaciones para la gestión interna (Recursos Humanos, Comercial, Facturación, Cobros, Tesorería, etc.) fueron desarrolladas internamente acorde a los requerimientos de cada área. Han evolucionado desde un escenario inicial, basado en 23