MODELO EMPRESA FICTICIA

EMPRESA XXXX, S.A.

La organizacin es una empresa de capital privado de tamao medio (podemos suponer
unos 100 empleado) dedicada al desarrollo, comercializacin y mantenimiento de
aplicaciones de tipo bancario basadas en tecnologas web y criptogrficas, como por
ejemplo: portales de banca electrnica para
clientes finales, marketplaces con
posibilidad de cerrar
contrataciones, terminales financieros, etc. Los desarrollos ms habituales se refieren a
aplicaciones de negocio bancario que interaccionan con un host / mainframe. La
arquitectura de las aplicaciones que se ofrecen a los clientes
se basa en tecnologas web y siguen la estructura de aplicaciones de tres capas
(http://en.wikipedia.org/wiki/Multitier_architecture#Three-tier_architecture).
La organizacin ha iniciado desde hace un ao un proyecto interno para la implantacin
de un Sistema de Gestin de la Seguridad de la Informacin y transcurrido este primer
ao se puede considerar inicialmente implantado y operativo, y listo para ser auditado.
Respecto a su estructura organizativa
En la documentacin del SGSI se encuentra un organigrama actualizado de la empresa
6

La empresa se encuentra localizada principalmente en una nica ubicacin y si existen

oficinas o delegaciones, todos los usuarios tienen la consideracin de usuarios remotos.
Respecto a sus TIC
Se dispone de un diagrama de alto nivel con la arquitectura de los sistemas propio.
Se ha rodeado los servidores ms destacados

Sistema de gestin de
proyectos
No existe. Es simulado en los
entornos de prueba
Workstations de
desarrollo

Entorno de desarrollo y pruebas

Servidor de bases de datos (incluye
BBDD corporativas y las empleadas por
el desarrollo y pruebas)

Respecto a los sistemas de informacin ms relevantes:

o

El Sistema de Gestin de Proyectos es bsico puesto que es empleado para controlar

todas las fases de los proyectos as como para el archivo de los productos resultantes
(cdigo fuente, documentacin del proyecto como: diseos, planes de pruebas, material de
documentacin del producto, etc). Este sistema es crtico puesto que es donde reside el
cdigo fuente considerado el activo principal. Asimismo, no es nicamente un repositorio
de ficheros sino que es un sistema para el control de los proyectos que incluye adems del
repositorio controlado de versiones de cdigo fuente y el resto de documentacin
asociada, el sistema para planificar el proyecto y posteriormente realizar el control del
progreso del mismo. La aplicacin empleada tambin est basada en tecnologa web y
estructura de tres capas. Los servidores identificados en el diagrama actan de servidor
web y ejecutan la lgica del sistema mientras que toda la informacin es almacenada en
los servidores de bases de datos corporativos.

Para la prueba de las aplicaciones se dispone de un entorno para desarrollo simulado en

los puestos de trabajo de los desarrolladores, y para las pruebas de integracin se
dispone de un entorno similar al de los clientes:

Servidores web que ejecutan la capa de presentacin e interactan el resto de

elementos del back-end

Servidores de bases de datos para el almacenamiento de datos de los diferentes estados

de la aplicacin y sus usuarios. Estos mismos servidores de bases de datos implementan
otras bases de datos corporativas como son por ejemplo las del Sistema de Gestin de
Proyectos.

Servidores de aplicacin que sirven de middleware entre la capa de presentacin y el

host. Estos elementos adems sirven para simular todo el back-end que interacciona con
la aplicacin desarrollada, de modo que la organizacin no dispone de un host real.
La gestin diaria de la infraestructura estn realizados por un equipo de 3 personas
Aspectos fsicos de las TIC de la organizacin

Todos los sistemas corporativos mencionados anteriormente, as como el resto

infraestructura TIC de la empresa (otros servidores

de

de ficheros para tareas de soporte administrativo, contable, direccin, recursos humanos,

etc, servidor de correo) se encuentran implementados en plataformas Hardware que
emplea virtualizacin y fsicamente se ubica en el CPD de la organizacin
o
El CPD de la organizacin dispone de controles de acceso por tarjeta de
proximidad y cdigo PIN, equipos para el control de la
temperatura y humedad, sistemas de extincin de incendios,
dispositivos de suministro elctrico ininterrumpido con capacidad

para 15 minutos que a su vez se encuentra conectado a una lnea de fuerza de

emergencia facilitada por el proveedor del edificio que est alimentada por generadores
elctricos diesel.
Otras consideraciones sobre el entorno TIC
o
Los puestos de trabajo de los desarrolladores (unos 60 puestos fijos) estn
conectados a una red de rea local 802.1X que exige autenticacin para acceder al
nivel 2. El sistema operativo de las estaciones de trabajo de los desarrolladores e
integradores es Microsoft Windows 7Professional, con licencia en regla y configurados
para descargar las actualizaciones a travs de un servidor de
Windows Update de la organizacin de manera diaria. A la misma red
pero en otro segmento se conectan el resto de personal de la empresa con puestos
mviles y fijos.
o
La autenticacin se encuentra centralizada en los diversos servidores de
directorio accedidos a travs de LDAP. Esto afecta tanto al acceso al sistema operativo de
estaciones de trabajo como de servidores, as como los entornos de desarrollo y las
aplicaciones desarrolladas para los clientes cuando se encuentran en fase de pruebas.
o
Los desarrolladores nicamente estn autorizados a acceder a los entornos de
desarrollo desde la red interna, aunque s tienen acceso externo para acceder a su
correo electrnico y otras aplicaciones corporativas (reporte de horas, plataforma de elearning, base de datos de conocimiento, etc.).
o
Existen diversos mecanismos de deteccin de intrusos y para la investigacin de
incidentes, los registros de actividad de los sistemas se centralizan en un sistema para
preservar los registros y poder investigarlos.
Respecto al entorno fsico de trabajo de los desarrolladores y resto de empleados,
el acceso a las instalaciones de la empresa se encuentran controlados por una
recepcin presente las 24 horas del da y fuera de los horarios de oficina es necesaria
una autorizacin por parte de un responsable de departamento. Siempre que se
permanezca en las
instalaciones, es necesario llevar una tarjeta de identificacin. En un principio,
hay un estricto control sobre los equipos informticos que entran y salen de las
instalaciones.
Respecto a la normativa de seguridad y el SGSI
A continuacin se muestra un extracto de la normativa de seguridad descrita en el
SGSI.

Alcance
La gestin de sistemas de seguridad de informacin en todas las actividades
relacionadas con el diseo, anlisis y pruebas de aplicaciones de comunicaciones
basadas en documentacin clasificada como secreta localizados en el centro de
desarrollo de XXXXXXXXX,S.A , de acuerdo con

la declaracin de aplicabilidad versin 1.0.

Organigrama
A fecha de la ltima actualizacin, la empresa se encuentra organizada del modo
descrito en el siguiente diagrama