Recolección General de Información

Objetivo: Obtención de todo tipo de información mediante entrevistas, revisión de documentación y métodos análogos referente a seguridad de la información, que deberá incluir información técnica, organizativa y de cumplimiento.


Como ya se comentó anteriormente, teniendo en cuenta que la información recolectada en esta fase será la que servirá como base para el desarrollo completo del proceso de análisis y elaboración del plan de acción, esta será una de las fases clave en el desarrollo de IS2ME, por lo que se deberá prestar especial interés en la consecución del objetivo marcado.


En esta fase inicial se recolectará la información necesaria de la compañía que supondrá el origen de las posteriores baterías de pruebas y análisis técnicos necesarios. Durante esta fase se tendrá una mayor interacción entre la organización y el equipo de trabajo que se verá materializada por la presencia local del mismo en la localización de la organización, redundando todo esto en un diálogo fluido y efectivo que facilitará la obtención de la información deseada. Deberá por tanto proporcionarse el espacio y tiempo disponible del interlocutor para su realización.


De forma previa a la presencia del equipo de trabajo en la organización, podrá facilitarse al interlocutor seleccionado un cuestionario que, en su caso, deberá ser remitido adecuadamente cubierto al equipo de trabajo para llevar a cabo la recolección de información de la forma más eficiente posteriormente. Este formulario podrá contener cuestiones técnicas y organizativas sobre la organización, departamento o área objeto del estudio que permitirán al equipo de trabajo focalizar el esfuerzo durante su estancia en sus instalaciones, de forma que se maximice el resultado y minimice el tiempo empleado, tanto por la organización como por el equipo de trabajo, en la labor de recolección de información.


Deberá obtenerse, al menos, la siguiente información:


  • Aspectos Técnicos:
    • Topología y arquitectura de red y servicios existente y descripción de la misma
    • Servicios ofrecidos al público e internamente y a través de qué medio (Internet, redes privadas virtuales, etc.)
    • Elementos/Dispositivos de seguridad existentes en la red y breve descripción funcional (firewalls, IDSs, IPSs, sistemas antivirus centralizados/distribuidos, proxies, etc.)
    • Existencia de posibles puntos de interconexión con otras redes, descripción de las posibles DMZs existentes, niveles de seguridad, etc.
    • Posibles puntos de fallo conocidos de la red, dispositivos, servidores, etc. Mecanismos de alta disponibilidad existentes. Procedimientos de emergencia asociados, responsables, etc.
    • Plan de direccionamiento de la red (público y privado) y procedimientos asociados al mismo (asignación de direcciones, solicitud, etc.)
    • Documentación existente relativa a la red, servicios, etc. Procedimientos asociados a la misma.
    • Existencia de gestión de red y servicios, descripción de la misma y procedimientos asociados.

  • Aspectos Organizativos y de Cumplimiento:
    • Definición de la organización, áreas o departamentos objeto del estudio (a qué se dedica, cuáles son sus funciones, de qué es responsable, etc.).
    • Estructura organizativa de la compañía aplicable al estudio, dentro de su alcance. Relaciones con otras áreas, departamentos u organizaciones. Roles existentes, flujos, responsables, etc.
    • Enumeración y descripción de las políticas, procedimientos, instrucciones de trabajo o normas existentes en la compañía que son susceptibles de cumplimiento (ISO9001, políticas de seguridad, políticas de comunicación, políticas de uso de recursos, etc.)
    • Enumeración y explicación de otras políticas de seguridad o documentos existentes que puedan ser de aplicación.
    • Enumeración y descripción del cumplimiento actual en legislación de las tecnologías de la información aplicable.