Inicio › Procesos de Soporte › SITI › Gestión de la Seguridad de la Información ›

MAN-MNF-0862
MANUAL GENERAL

Manual de Seguridad de la Información para

Administradores de Sistemas

Edición: 1

Nota: La versión en vigor es la existente en Indraweb / Mapa de Procesos

Este documento ha sido:

Preparado por: Revisado por: Aprobado por: Autorizado por:

J. Escoredo García A. Matarranz Relaño M.G. Sánchez-Vizcaíno J. Rey de la Peña

Castro J.V. García Quintana

Seguridad D. Seguridad Información D. Sistemas de D. Recursos

Información Información D. Transformación,
Organización y
Procesos
 CONTENIDO
1. PROPÓSITO .......................................................................................................................... 3
2. ALCANCE .............................................................................................................................. 3
3. DEFINICIONES Y SIGLAS ................................................................................................... 3
3.1 DEFINICIONES ............................................................................................................................. 3
3.2 SIGLAS .......................................................................................................................................... 3
4. DIAGRAMA DE FLUJO Y PROCESO RELACIONADO .................................................... 3
5. DESCRIPCIÓN ...................................................................................................................... 4
5.1 RESPONSABILIDADES ............................................................................................................... 4
5.2 PROTECCIÓN FÍSICA.................................................................................................................. 4
5.3 IDENTIFICACIÓN Y AUTENTIFICACIÓN . ................................................................................. 4
5.4 CONTROL DE ACCESO A LA RED ............................................................................................ 6
5.5 ACTUALIZACIONES DE SEGURIDAD Y CONTROL DE CAMBIOS ....................................... 6
5.6 CONFIGURACIONES DE SEGURIDAD ..................................................................................... 7
5.7 PROTECCIÓN ANTI-MALWARE................................................................................................. 7
5.8 AUDITABILIDAD DEL SISTEMA ................................................................................................. 8
5.9 PROTECCIÓN DE LA INFORMACIÓN ....................................................................................... 8
6. DOCUMENTACIÓN DE REFERENCIA ............................................................................... 9
7. CONTROL DE CAMBIOS ..................................................................................................... 9
8. FORMATOS ........................................................................................................................... 9

MAN-MNF-0862 / Manual de Seguridad de la Información para Administradores de Sistemas / Edición: 1

2 de 9
1. PROPÓSITO
El propósito de este documento es establecer las directrices de seguridad que deben
implementar los administradores de sistemas de información de Indra.

2. ALCANCE
Este documento es de obligado cumplimiento para todo Indra.

En el caso de que en el Mapa de Procesos haya publicada una adaptación geográfica

de este documento, la misma será de obligado cumplimiento en dicha geografía.

Este documento es aplicable a todos los Mercados y Áreas de la Compañía, así como a
todas las empresas, sedes y filiales de Indra, y es de obligado conocimiento y
cumplimiento para cualquier persona que administre un sistema de información de
Indra.

Este documento anula y sustituye al PRG-MNF-862, Procedimiento de Seguridad de la

Información para Administradores de Sistemas, edición 1.

3. DEFINICIONES Y SIGLAS
3.1 DEFINICIONES

Sistema de Información o Sistema

MAN-MNF-0862 / Manual de Seguridad de la Información para Administradores de Sistemas / Edición: 1

A efectos del presente documento, se considera Sistema de Información al conjunto
formado por equipos, sistemas y aplicaciones destinado al almacén y tratamiento de
información, independientemente de si su finalidad es prestar servicio a otros sistemas
o a los usuarios. Por tanto, dentro de esta categoría entrarían tanto los Servidores
físicos y virtuales, como cualquier equipo o dispositivo con función equivalente.

Red Indra

Conjunto de recursos conectados entre sí con la función de prestar servicios

corporativos, servicios a proyectos o programas de Indra. Esta red está compuesta por
el conjunto de medios físicos y lógicos orientados a facilitar un flujo de información de
manera fluida y eficaz.

Administrador de Sistema

Persona que tiene la responsabilidad de implementar, configurar, mantener,

monitorizar, documentar y asegurar el correcto funcionamiento de un sistema
informático, o algún aspecto de éste.

3.2 SIGLAS

SITI Unidad de Sistemas de Información

4. DIAGRAMA DE FLUJO Y PROCESO RELACIONADO

(No aplicable)

3 de 9
5. DESCRIPCIÓN
La Política de Seguridad de Sistemas recoge las directrices de seguridad que deben
cumplir todos los dispositivos con acceso a información de Indra, de cualquiera de sus
filiales o de sus clientes.

Este documento recoge las directrices de seguridad que los Administradores de

sistemas deben configurar en todos los sistemas de información corporativos.

5.1 RESPONSABILIDADES

Todos los sistemas de información deben tener asignado un responsable,

Responsable del Sistema, que será el encargado de que el sistema cumpla las
directrices de seguridad especificadas en este documento y en las guías y estándares
de securización disponibles a través de Indraweb.

En el caso de que dichas guías no estuvieran disponibles, se recomienda seguir las

guías de securización publicadas por los fabricantes o sitios especializados, tales como
CCN, NIST, NSA, DISA, CIS, etc. La posibilidad de realizar cambios sobre esta
configuración estará restringida, previa aprobación por parte del Responsable de
Sistema, a un reducido número de usuarios (personal técnico especializado).

5.2 PROTECCIÓN FÍSICA

Las directrices de protección de los sistemas de información se encuentran indicadas

en la Política de Seguridad en las Infraestructuras. En líneas generales se tendrán

MAN-MNF-0862 / Manual de Seguridad de la Información para Administradores de Sistemas / Edición: 1

en cuenta los siguientes requisitos:

• Ubicación física. La ubicación física de los sistemas de información, en

especial los servidores y dispositivos de comunicaciones (electrónica de red,
firewalls, etc.) prevendrá el acceso no autorizado y se realizará atendiendo a la
clasificación de la información contenida. En particular, el acceso estará
restringido de forma efectiva (por ejemplo, a través de puertas cerradas con
llave) a personal autorizado.

• Medidas de protección medioambiental. Las salas en las que se ubiquen los

sistemas de información que contenga información sensible tendrán sistemas
de detección y extinción de incendios.

La temperatura de la sala estará en los rangos de operación definidos por los

fabricantes (habitualmente a través de sistemas de aire acondicionado).

En caso de riesgo de daños por agua (tuberías, instalaciones aéreas de aire

acondicionado refrigeradas por agua, …) existirán sistemas que mitiguen o
prevengan los daños en los equipos y servidores.

• Garantía de suministro eléctrico. Existirán mecanismos que aseguren el

suministro eléctrico de los sistemas de información y de los diferentes
elementos necesarios para asegurar la conectividad de los usuarios a los
servicios críticos.

5.3 IDENTIFICACIÓN Y AUTENTIFICACIÓN.

• Todos los sistemas deben disponer de mecanismos de identificación y

autenticación que prevengan los accesos no autorizados basados en la existencia
4 de 9
 de un identificador unívoco de usuario y contraseña, o mediante la utilización de
certificado digital o algún otro mecanismo de protección suficientemente probado,
dado el estado de la tecnología en cada momento y la clasificación de la
información a proteger.

• Las cuentas de Administrador, Root, Invitado etc. creadas durante el proceso de

instalación deben ser deshabilitadas o eliminadas.

• Debe minimizarse el uso de usuarios locales.

• Cada Responsable del Sistema es el encargado establecer y mantener un

proceso formal para el control de acceso a los sistemas de información de su
responsabilidad, basado en las siguientes directrices:

o El acceso al sistema debe estar basado en perfiles y roles.

o Las cuentas y privilegios establecidos en el sistema deben ser los mínimos

necesarios para que los usuarios pueden desempeñar sus funciones.

o Las cuentas deben ser únicas e individuales para cada usuario.

o Las cuentas y privilegios deben ser revisadas periódicamente para

verificar su exactitud.

o No se permitirá, con carácter general, el acceso a los sistemas a través

de usuarios genéricos. En el caso de que sea imprescindible su uso,
deberá asignarse un responsable.

MAN-MNF-0862 / Manual de Seguridad de la Información para Administradores de Sistemas / Edición: 1

• Los sistemas dispondrán de mecanismos de bloqueo de cuentas. En particular,
considerarán al menos las siguientes casuísticas:

o Bloqueo automático por intentos reiterados de acceso fallidos (5 intentos).

o Bloqueo por inactividad. Tras un período de inactividad de 10 minutos se

activará un mecanismo de bloqueo que evite la suplantación del usuario
en momentos en los que su equipo no esté atendido.

o Se recomienda el bloqueo automático por no acceso en un determinado

período de tiempo (por ejemplo: tres meses) con objeto de regularizar las
cuentas activas.

o El desbloqueo de un determinado identificador se realizará, con carácter

general, de forma manual por parte del personal autorizado al efecto.

• En el caso de sistemas basados en identificación digital, solo se podrán utilizar

certificados digitales autorizados por la administración competente.

• Igualmente podrán ser utilizados sistemas biométricos como método de

identificación y autentificación.

• En el caso de sistemas de identificación basados en usuario y contraseña, se

seguirá las siguientes directrices de seguridad:

o No permitir contraseñas en blanco.

5 de 9
 o La asignación de contraseña inicial será aleatoria y deberá cambiarse en
el primer inicio de sesión.

o Las contraseñas se almacenarán en las aplicaciones y sistemas, de

forma cifrada.

o Las contraseñas no se mostrarán en la pantalla cuando se están

introduciendo.

o Las contraseñas de los usuarios generales (es decir, sin privilegios

especiales asociados a tareas de administración) deberán satisfacer, al
menos, los siguientes criterios:

 Calidad. La contraseña tendrá, al menos, una longitud mínima de

8 caracteres alfanuméricos.

 Cambio periódico. Los usuarios deberán cambiar

periódicamente sus contraseñas cada 90 días.

 No reutilización. Existirá un histórico de contraseñas que

prevenga la re-utilización de las 4 contraseñas anteriores.

o Los usuarios con privilegios de administración considerarán mecanismos

adicionales de seguridad y protección, como por ejemplo contraseñas de
longitud mínima de 10 caracteres alfanuméricos y cambio periódico cada
30 días.

MAN-MNF-0862 / Manual de Seguridad de la Información para Administradores de Sistemas / Edición: 1

5.4 CONTROL DE ACCESO A LA RED

Como norma general los sistemas de información se deberán configurar en base a los
siguientes principios de seguridad:

• Minimizar los protocolos utilizados.

• Minimizar las direcciones de red a las que escucha el sistema.

• Minimizar los puertos en los que escucha el sistema.

• Cifrar todos los datos que se transmiten a través de la red, son particularmente
importante los datos relativos a nombres de usuario y contraseñas.

• Minimizar la cantidad de programas y servicios instalados y en ejecución para

minimizar el riesgo potencial ante vulnerabilidades.

• Minimizar la instalación de varios servicios en un mismo sistema, para reducir el

riesgo de que un servicio comprometido afecte a otros servicios.

• Deshabilitar las opciones que permiten apagar/encender el sistema sin iniciar

sesión.

5.5 ACTUALIZACIONES DE SEGURIDAD Y CONTROL DE CAMBIOS

• Todo el software instalado o contenido en el sistema de información debe estar

licenciado, dentro del ciclo de vida del producto y en un estado acorde a la
licencia de uso.

6 de 9
 • Todo el software y sistema operativo instalado en el sistema deberá permanecer
actualizado con la última versión disponible de parches de seguridad. Siempre
que sea posible, la instalación de dichos parches deberá ser automatizada. La
Dirección de Seguridad de la Información pone a disposición de los Responsables
de Sistema un servicio que puede ser solicitado a través de Indraweb.

• Los sistemas deben ser auditados (automática y/o manualmente) de forma

periódica, en busca de vulnerabilidades conocidas, y proceder a la resolución de
las vulnerabilidades descubiertas.

• El Responsable del Sistema debe gestionar un registro de cambios que incluye la

instalación de parches u otro tipo de soluciones facilitadas por el proveedor, así
como cualquier modificación de seguridad realizada sobre el sistema.

5.6 CONFIGURACIONES DE SEGURIDAD

• Deshabilitar los servicios innecesarios. Durante la instalación de sistemas

operativos muchos servicios se configuran para que se inicien automáticamente
durante el inicio. Se debe verificar y habilitar únicamente aquellos que sean
necesarios.

• Deshabilitar la caché de contraseñas y usuarios. No se debe mostrar nunca el

nombre del último usuario que inició sesión.

• Desactivar la ejecución automática. Deshabilitarse los mecanismos de inicio

automático asociados a los dispositivos removibles de almacenamiento (si aplica).

MAN-MNF-0862 / Manual de Seguridad de la Información para Administradores de Sistemas / Edición: 1

• Control de sesiones. Si es posible, el bloqueo de pantalla debe estar activado
cuando el sistema de información quede desatendido. El desbloqueo deberá
conllevar el uso de contraseñas, patrones de desbloqueo o mecanismos
equivalentes, que garanticen que el sistema de información no podrá ser utilizado
por un usuario no autorizado.

• Configuración reloj. El reloj del sistema deberá estar sincronizado con los
servidores internos de hora, o bien con servicios de internet oficiales de hora (Ej:
el reloj atómico nacional ROA - Real Instituto y Observatorio de la Armada).

• Monitorizar el uso del sistema. El uso de los recursos del sistema de

información (CPU, disco duro, etc.) debería ser monitorizado, de cara a gestionar
la capacidad del mismo y así garantizar el funcionamiento en las condiciones
requeridas.

5.7 PROTECCIÓN ANTI-MALWARE

• Todos los sistemas deben contar con un sistema de protección anti-malware. La

Dirección de Seguridad de la Información pone a disposición de los Responsables
del Sistema un servicio específico que puede ser solicitado a través de Indraweb.

• El sistema de protección deberá permanecer instalado, activo y actualizado a su

última versión disponible, tanto del motor como del fichero de firmas.

• Siempre que sea posible se implementaran medidas adicionales para reforzar la

seguridad del sistema, como por ejemplo:

o Herramientas de integridad de ficheros y elementos del Sistema Operativo.

7 de 9
 o Firewall local

o HIDS / HIPS. Herramientas de detección y prevención de intrusos de Host.

5.8 AUDITABILIDAD DEL SISTEMA

• El Responsable del Sistema definirá pistas de auditoría y seguimiento de

actividad en los sistemas operativos y gestores de bases de datos. El
seguimiento estará, especialmente, orientado a las tareas de administración del
sistema.

• Los sistemas mantendrán un registro de accesos que incluya, al menos, la

identificación del usuario, la fecha y hora en la que se realizó el acceso, el tipo
de acceso y si ha sido autorizado o denegado.

• La configuración del sistema prevendrá la eliminación y/o desactivación de

estos logs.

• El Responsable del Sistema realizará revisiones periódicas de usuarios

autorizados para identificar usuarios con acceso indebido potencial a los
sistemas, al menos anualmente.

• Existirá un registro de usuarios con privilegios de administración (asociados a

tareas habituales de mantenimiento y explotación de sistemas o como
consecuencia de accesos de emergencia de usuarios de desarrollo a
producción). Este registro incluirá el identificador autorizado, el período de

MAN-MNF-0862 / Manual de Seguridad de la Información para Administradores de Sistemas / Edición: 1

validez, el responsable de la autorización y las tareas a realizar por el mismo.
Este registro podrá servir como fuente de contraste con el log de los sistemas.

5.9 PROTECCIÓN DE LA INFORMACIÓN

• Protección de la información. En función de la información que vaya a alojar

el sistema de información deberá tenerse en cuenta los requisitos de seguridad
recogidos en la Política de Clasificación y tratamiento de la Información.

• Permisos de Carpetas y Ficheros. Debe seguirse la política del mínimo

privilegio en los permisos del sistema de archivos.

• Copias de seguridad. Se deben implantar procesos de copias de seguridad de

información y software en base a los procedimientos formalizados y de acuerdo a
un calendario previsto, que aseguren, en caso de ser necesario, la recuperación
de la información anterior a producirse la incidencia. El calendario determinará el
período de retención y los controles asociados a la rotación de los soportes.

Deberá conservarse una copia de respaldo y de los procedimientos de

recuperación de los datos en un lugar diferente de aquel en el que se encuentren
los equipos y servidores (con medidas de restricción de acceso suficientes). El
traslado se realizará preservando la confidencialidad de la información.

8 de 9
6. DOCUMENTACIÓN DE REFERENCIA
Los documentos siguientes, en su última edición/revisión, servirán como referencia en
la aplicación de este manual:

UNE-ISO/IEC 27001 Sistemas de Gestión de seguridad de la información (SGSI).

UNE-ISO/IEC 27002 Código de buenas prácticas para la gestión de la seguridad de
la información.
MAN-MNF-851 Política de Seguridad de la Información de Indra.
MAN-MNF-852 Política de Seguridad de la Información relativa a los Recursos
Humanos.
MAN-MNF-853 Política de Clasificación y Tratamiento de la Información
MAN-MNF-854 Política de Seguridad de la Información en las Aplicaciones.
MAN-MNF-855 Política de Seguridad de la Información en los sistemas.
MAN-MNF-856 Política de Seguridad de la Información en las redes.
MAN-MNF-857 Política de Seguridad de la Información en las infraestructuras.
MAN-MNF-858 Política de Seguridad de la Información para proveedores.
MAN-MNF-859 Política de Seguridad de la Información para la gestión de
proyectos.
MAN -MNF-0860 Manual de seguridad de la información para usuarios.

MAN-MNF-0862 / Manual de Seguridad de la Información para Administradores de Sistemas / Edición: 1

MAN -MNF-0861 Manual de seguridad de la información para desarrolladores.
MAN -MNF-0863 Manual de seguridad de la información para Responsables de
proyecto.

7. CONTROL DE CAMBIOS
Edic./Rev. Razón del cambio

Nº 1 Edición inicial.

Este documento es propiedad de Indra no pudiendo ser usado con fines distintos de aquellos para los que
ha sido entregado, ni reproducido, total o parcialmente, ni transmitido o comunicado a ninguna persona
sin autorización del propietario.

8. FORMATOS
(No aplicable).

9 de 9