EJEMPLO ESTRUCTURA INFORME SEIS 1 Indice 1 INDICE..................................................................................................... 2 2 CONCLUSIONES: RESUMEN EJECUTIVO.................................................... 3 3 INTRODUCCIÓN ....................................................................................... 4 4 DESCRIPCIÓN DEL ESTADO ACTUAL ........................................................ 4 4.1 4.2 4.2.1 4.2.2 4.2.3 WAN ........................................................................................................ 4 LAN ......................................................................................................... 4 WLAN....................................................................................................... 4 4.3.1 4.3.2 4.3.3 4.3.4 Servidores ................................................................................................ 4 Estaciones de Trabajo ................................................................................ 4 Electrónica de Red ..................................................................................... 4 Firewalls , UTMs, Dispositivos de Seguridad .................................................. 5 4.4.1 4.4.2 Públicos.................................................................................................... 5 Privados ................................................................................................... 5 4.3 4.4 5 ORGANIZACIÓN ........................................................................................ 4 TOPOLOGÍA ............................................................................................. 4 SISTEMAS ............................................................................................... 4 SERVICIOS .............................................................................................. 5 ANÁLISIS Y RECOMENDACIONES TÉCNICAS ............................................ 5 5.1 5.2 ORGANIZACIÓN ........................................................................................ 5 TOPOLOGÍA ............................................................................................. 5 5.2.1 5.2.2 5.2.3 WAN ........................................................................................................ 5 LAN ......................................................................................................... 5 WLAN....................................................................................................... 5 5.3.1 5.3.2 5.3.3 Servidores ................................................................................................ 5 Estaciones de trabajo ................................................................................. 6 Firewalls, UTMs, Dispositivos de Seguridad ................................................... 6 5.4.1 5.4.2 Públicos.................................................................................................... 6 Privados ................................................................................................... 6 5.3 5.4 SISTEMAS ............................................................................................... 5 SERVICIOS .............................................................................................. 6 6 MEDIDAS DE SEGURIDAD Y CONTROLES RECOMENDADOS ...................... 6 7 RESUMEN ACCIONES RECOMENDADAS..................................................... 8 7.1 7.2 7.3 7.4 8 ACCIONES INMEDIATAS ............................................................................... 8 ACCIONES A CORTO PLAZO .......................................................................... 8 ACCIONES A MEDIO PLAZO........................................................................... 8 ACCIONES A LARGO PLAZO........................................................................... 8 GLOSARIO................................................................................................ 9 2 Conclusiones: Resumen Ejecutivo Incluir un resumen ejecutivo del informe de unas pocas páginas (cuantas menos, mejor). 3 Introducción 4 Descripción del Estado Actual En el presente apartado se describirán los hallazgos encontrados durante la realización del estudio, así como el estado actual de las redes y sistemas de información de la organización. La información incluida en este apartado se basa en la información recopilada durante entrevistas con los interlocutores autorizados por la organización, así como en el resultado de diversas pruebas realizadas sobre el campo. 4.1 Organización 4.2 Topología 4.2.1 WAN 4.2.2 LAN 4.2.3 WLAN 4.3 Sistemas 4.3.1 Servidores 4.3.1.1 4.3.1.1.1 Análisis de Vulnerabilidades de sistemas de la organización Resumen de resultados 4.3.2 Estaciones de Trabajo 4.3.3 Electrónica de Red 4.3.4 Firewalls , UTMs, Dispositivos de Seguridad 4.4 Servicios 4.4.1 Públicos Análisis de vulnerabilidades de servicios públicos 4.4.2 Privados 5 Análisis y Recomendaciones Técnicas Tras describir el estado actual de la organización en lo que a sus sistemas de información y comunicaciones se refiere, en este apartado se pasará a revisar uno a uno los apartados abordados en el punto anterior exponiendo las distintas recomendaciones resultantes del análisis y estudio de la información recolectada. 5.1 Organización 5.2 Topología 5.2.1 WAN 5.2.2 LAN 5.2.3 WLAN 5.3 Sistemas En este apartado se recogen las principales modificaciones que la Organización debería realizar en sus sistemas, ya sean informáticos o de comunicaciones para disponer de una red más eficiente y sobre todo, segura. 5.3.1 Servidores 5.3.2 Estaciones de trabajo 5.3.3 Firewalls, UTMs, Dispositivos de Seguridad 5.4 Servicios Incluiremos en este apartado algunas de las recomendaciones y comentarios relativas a los servicios ofrecidos por la organización, esbozando algunas posibles soluciones que podrían llevarse a cabo. 5.4.1 Públicos 5.4.2 Privados 6 Medidas de Seguridad y Controles Recomendados En esta parte del documento se detallarán una a una las medidas de seguridad y controles recomendados siguiendo la estructura de la norma ISO/IEC 27001 u otra norma de referencia y su grado de aplicabilidad a la Organización, incluyendo recomendaciones en cuanto a mejoras, cambios o desarrollo de procedimientos, acciones o prácticas para conseguir los objetivos perseguidos por dichos controles, además de comentarios orientativos sobre las posibles formas de abordar o implementar cada control o medida de seguridad y el grado de implantación de los mismos existentes en la actualidad. Por ejemplo: 6.1 6.1.1 6.2 6.2.1 6.2.2 6.2.3 6.3 6.3.1 6.3.2 6.4 6.4.1 6.4.2 6.4.3 6.5 6.5.1 6.5.2 6.5.3 6.6 6.6.1 6.6.2 6.6.3 6.6.4 POLÍTICA DE SEGURIDAD Política de Seguridad de la Información ORGANIZACIÓN DE LA SEGURIDAD Infraestructura de Seguridad de la Información Seguridad frente al acceso por parte de terceros Externalización (Outsourcing) CLASIFICACIÓN Y CONTROL DE ACTIVOS Contabilidad de activos Clasificación de la información SEGURIDAD DEL PERSONAL Seguridad en la definición de puestos de trabajo y la asignación de recursos Formación de usuarios Respuesta a incidentes y anomalías en materia de seguridad SEGURIDAD FÍSICA Y DEL ENTORNO Áreas seguras Seguridad del equipamiento Controles generales GESTIÓN DE COMUNICACIONES Y OPERACIONES Procedimientos y responsabilidades operacionales Planificación y aprobación de sistemas Protección contra software malicioso Mantenimiento 6.6.5 Administración de redes 6.6.6 Manejo y seguridad de medios de almacenamiento 6.6.7 Intercambios de información y software 6.7 CONTROL DE ACCESO 6.7.1 Requisitos del negocio acerca del control de acceso 6.7.2 Gestión de accesos de usuarios 6.7.3 Responsabilidades de los usuarios 6.7.4 Control de acceso a redes 6.7.5 Control de acceso a sistemas operativos 6.7.6 Control de acceso a las aplicaciones 6.7.7 Monitorización del acceso y utilización de los sistemas 6.7.8 Computación móvil y trabajo remoto 6.8 MANTENIMIENTO Y DESARROLLO DE SISTEMAS 6.8.1 Requisitos de seguridad de los sistemas. 6.8.2 Seguridad en los sistemas de aplicación 6.8.3 Controles criptográficos 6.8.4 Seguridad de los archivos del sistema 6.8.5 Seguridad de los procesos de desarrollo y soporte 6.9 GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO 6.9.1 Aspectos de la gestión de la continuidad del negocio 6.10 CUMPLIMIENTO 6.10.1 Cumplimiento de requisitos legales 6.10.2 Revisiones de la política de seguridad y cumplimiento técnico 6.10.3 Consideraciones de auditoría de sistemas 7 Resumen Acciones Recomendadas Realizado el estudio y análisis de toda la información proporcionada por la organización, puede concluirse que el estado general de la red y los sistemas de información de la misma, en lo que a seguridad y funcionalidad se refiere, es xxxxxxx, [ya que existen importantes deficiencias en los controles de seguridad (tanto técnicos como organizativos)] que hacen que la organización esté asumiendo un nivel de riesgo XXXXXXX en sus procesos críticos de negocio. Existen por tanto, diversos puntos mejorables que permitirían elevar el nivel de seguridad existente en la organización. A continuación se detallarán las acciones recomendadas para elevar dicho nivel. Estas acciones han sido clasificadas, según su nivel de criticidad, de la siguiente forma. Acciones Inmediatas: Acciones que debido a la importancia del riesgo que están orientadas a corregir deben ser llevadas a cabo a la mayor brevedad posible. Acciones a Corto Plazo: Acciones orientadas a corregir problemas levemente menos importantes que los señalados en la categoría anterior, pero que no deberían ser descuidados y por tanto sus acciones correctivas deberían ser comenzadas a corto plazo. Acciones a Medio Plazo: Acciones correctivas orientadas a solucionar problemas que si bien no son de extrema urgencia, deberían ser abordados en un plazo razonable de tiempo. Acciones a Largo Plazo: Acciones correctivas orientadas a solucionar problemas que si bien no causan un riesgo inminente, sí pueden ser problemáticos a largo plazo. 7.1 Acciones Inmediatas 7.2 Acciones a Corto Plazo 7.3 Acciones a Medio Plazo 7.4 Acciones a Largo Plazo 8 Glosario