ADMINISTRACIN INFORMTICA

Universidad Nacional de Ingeniera. Facultad de Ciencias y Sistemas. Departamento de Informtica

Docentes: MSc. Claudia Benavidez R.

Unidad II. Polticas, normativas, mecanismos, procedimientos y reglamentos informticos. Polticas para la asignacin, utilizacin, adquisicin o contratacin de recursos informticos y solicitud de servicios.

Polticas de seguridad.
Seguridad organizacional. Servicios o contrataciones externas a la infraestructura de seguridad. Integracin del RRHH con la tecnologa. Delimitacin de responsabilidades y actividades complementarias ante situaciones anmalas.

Unidad II. Polticas, normativas, mecanismos, procedimientos y reglamentos informticos. Seguridad fsica. Definicin de permetro de seguridad. Controles de manejo de equipos. Controles de transferencia de informacin. Controles de acceso fsico a las reas sustanciales de TI. Seguridad Lgica. Establecimiento e integracin de mecanismos y procedimientos para monitoreo de acceso a los activos informticos. Aadministracin de usuarios. Definicin de responsabilidades y perfiles de seguridad. Documentacin de cambios en la configuracin.

Unidad II. Polticas, normativas, mecanismos, procedimientos y reglamentos informticos. Supervisin de las polticas. Violacin a las polticas. Normativas para contratacin, evaluacin de desempeo y superacin del RRHH dentro de la Unidad Informtica. Mecanismos para uso y mantenimiento de servidores, equipos, acceso a cuarto de servidores, uso de herramientas tecnolgicas. Reglamento informtico de uso de la infraestructura tecnolgica.

Unidad II. Polticas, normativas, mecanismos, procedimientos y reglamentos informticos. Poltica de seguridad. Declaracin de alto nivel de objetivos, directrices y compromiso para acometer la gestin de seguridad de la informacin en los medios electrnicos, informticos y telemticos utilizados en la prestacin de los servicios. Normativa de seguridad. Medidas de seguridad de obligado cumplimiento. Es un compendio del conjunto de normas que soportan los objetivos recogidos en la poltica de seguridad de la informacin. En este nivel se describen los objetivos de seguridad y se anticipan las reglas generales de obligada adopcin.

Unidad II. Polticas, normativas, mecanismos, procedimientos y reglamentos informticos. Poltica de seguridad Proporciona directrices generales de gestin y apoyo a la seguridad de la informacin en concordancia con los requerimientos del servicio al cliente y el marco regulatorio vigente. Se establecen las directrices de la poltica en lnea con los objetivos del servicio y demostrar su apoyo y su compromiso con la seguridad de la informacin a travs de la publicacin y mantenimiento de una poltica de seguridad de la informacin.

Unidad II. Polticas, normativas, mecanismos, procedimientos y reglamentos informticos. Debe de cubrir todas las garantas : confidencialidad, integridad, disponibilidad, autenticidad, conservacin y trazabilidad.

El dpto. de Informtica tiene la responsabilidad de elaborar el Manual de Seguridad formado por polticas, normativas, estndares y procedimientos, con la finalidad de definir un marco de aplicacin de la seguridad en el mbito de las aplicaciones informticas que sirven de soporte a la tramitacin telemtica que aseguren el cumplimiento de las garantas de seguridad integridad, autenticidad, disponibilidad, confidencialidad, conservacin y trazabilidad.

La poltica de seguridad establece las directrices generales de seguridad que se deben especificar en los subsiguientes componentes del manual de seguridad. El dpto. de AI como responsable de la elaboracin del manual de seguridad, asume responsabilidad de la creacin, la revisin peridica, la adecuacin y el alineamiento de su contenido con los planes estratgicos de la empresa. El manual de seguridad debe actualizarse considerando los cambios producidos en el marco legal vigente, inclusin de resultados relevantes de auditoras o anlisis de riesgos, sugerencias de mejora, etc.

Aspectos organizativos de la seguridad de la informacin Proporciona dos objetivos de seguridad: 1. Gestiona la seguridad de la informacin dentro de la Administracin. 2. Mantiene la seguridad de los recursos y de los activos de informacin que son accesibles por externos. Para el primer objetivo es importante que la empresa apruebe la poltica de seguridad de la informacin, asigne los roles de seguridad, coordine y revise la implementacin de la seguridad en toda la empresa. Para el segundo objetivo es importante controlar cualquier acceso a la informacin y el procesamiento y comunicacin de la misma realizado por externos.

Aspectos organizativos de la seguridad de la informacin Cualquier participacin en el ciclo de vida de los proyectos que se lleven a cabo en las aplicaciones informticas que sirven de soporte a la tramitacin telemtica, requerir la creacin de equipos multidisciplinares, teniendo en cuenta la seguridad de la informacin en todas las fases de dicho ciclo de vida. Se realizarn revisiones independientes de las vulnerabilidades existentes, riesgos asociados y controles establecidos. Adicionalmente los contratos de prestacin de servicios, para externos, deben incluir requerimientos especficos de seguridad relativos a tecnologa y actividades de aquellos que llevan a cabo su instalacin, configuracin, mantenimiento o eliminacin. Los contratos de externalizacin de servicios deben incluir requerimientos especficos de seguridad, relativos a la tecnologa y las actividades de aquellos que llevan a cabo dichos servicios.

Aspectos organizativos de la seguridad de la informacin Es responsabilidad del personal de la empresa entender los riesgos derivados del proceso de externalizacin y asegurar que existe una gestin eficaz de los mismos.

Gestin de activos Proporciona una proteccin adecuada de los activos (incluyendo mantenimiento, inventario y clasificacin), identificando a los propietarios de estos activos, cuya responsabilidad es el mantenimiento de los controles adecuados sobre los mismos.
Tomar en cuenta todos los medios o soportes que transmiten, almacenan y procesan informacin. Ejemplo: porttiles, comunicaciones mviles, etc.

Gestin de activos Clasificacin de estos medios para asegurar que la informacin recibe un nivel de proteccin apropiado. La informacin debiera ser clasificada para indicar la necesidad, prioridades y grado de proteccin esperado cuando se maneja la informacin. Incidencia sobre la garanta de confidencialidad. Mantener inventario de los activos de informacin de las aplicaciones informticas que sirven de soporte a la tramitacin telemtica, velando exista un responsable y custodio para cada uno de los mismos. Este inventario debe ser actualizado de forma regular. Los activos de informacin deben ser clasificados de acuerdo a su sensibilidad y criticidad. Se deben elaborar las guas de clasificacin de la informacin y las medidas de proteccin asociadas.

Seguridad ligada al RRHH. Asegurar que cualquiera con acceso a los activos inventariados dentro del mbito de aplicacin descrito (los empleados internos, de empresas subcontratadas, encargados del tratamiento y subcontratados de estos ltimos) sepan y acepten sus responsabilidades en materia de seguridad de los sistemas de informacin y recursos con los cuales trabajan durante todo el ciclo de vida del empleado (antes de la contratacin, durante la contratacin y una vez finalizado la relacin laboral.) Cubrir la confidencialidad mediante el uso de clusulas referentes a obligaciones y responsabilidades del empleado. Reducir el riesgo de robo, fraude y mal uso de las instalaciones y medios.

Seguridad ligada al RRHH. Formar apropiadamente a los usuarios en lo que respecta al manual de seguridad, incluyendo requerimientos de seguridad y responsabilidades legales.

Ellos deben de ser conscientes de la importancia de la seguridad en los sistemas de informacin de la empresa. La seguridad eficaz depende, en parte, de que los usuarios sepan lo que se espera de ellos y cules son sus responsabilidades, comprometindose con las mismas.
Ellos deben conocer los motivos de las medidas de seguridad fsica y lgica establecidas y tambin las consecuencias de violar la seguridad.

Seguridad ligada al RRHH. La empresa establecer un plan de comunicacin con sesiones de formacin de seguridad para los empleados, que pueden realizarse como sesiones especficas o incluidas en reuniones que cubran otros aspectos relacionados. Estas sesiones podrn ser sustituidas por herramientas de formacin distribuidas en soporte magntico o a travs de la Intranet.

Seguridad fsica y ambiental Asegurar los activos fsicos tangibles a travs del control de acceso y la proteccin contra contingencias medioambientales. Las garantas que cubre son la disponibilidad, la integridad y la confidencialidad de la informacin. La infraestructura que sustenta las aplicaciones informticas, los soportes de almacenamiento que usan, que residan en sus edificios y en los proveedores de servicio o terceros, deben estar protegidos contra dao fsico o hurto utilizando mecanismos de control de acceso fsico que aseguren que nicamente el personal autorizado tiene acceso a los mismos.

Seguridad fsica y ambiental Dicha infraestructura debe estar ubicada en reas de acceso restringido, con diferentes niveles de seguridad, a las cuales nicamente pueda acceder personal debidamente autorizado. Los accesos a cada uno de los niveles deben ser registrados por mecanismos de control de acceso, quedando disponibles para posteriores auditoras. Los sistemas y la informacin que soportan deben estar adecuadamente protegidos frente a amenazas fsicas o ambientales, sean stas intencionadas o accidentales.

Gestin de comunicaciones y operaciones Asegurar que la explotacin de la infraestructura se realiza de forma segura y controlada, se supervisa su estado y se reportan incidencias.

Para ello, define varios objetivos de control como procedimientos y responsabilidades operacionales, gestin de servicios de terceros, planificacin y aceptacin de sistemas, proteccin contra cdigo malicioso, copias de seguridad, gestin de la seguridad de red, gestin de dispositivos de almacenamiento, control sobre el intercambio de informacin entre sociedades, control de los servicios de comercio electrnico y monitorizacin de sistemas.

Gestin de comunicaciones y operaciones Detalla ms controles tcnicos que organizativos respecto a dominios anteriores. Las garantas que cubre son disponibilidad, confidencialidad, integridad y conservacin de la informacin.

Se establecern responsabilidades y procedimientos para la gestin y operacin de todos los medios de tratamiento de informacin. Esto incluye elaborar de instrucciones apropiadas de operacin y de procedimientos de respuesta ante incidencias.
Se implantar la segregacin de tareas, cuando sea adecuado, para reducir el riesgo de un mal uso de la infraestructura deliberado o por negligencia.

Gestin de comunicaciones y operaciones Se requieren ciertas precauciones para prevenir y detectar la introduccin de software daino. El software y los recursos de tratamiento de informacin son vulnerables a la introduccin de software daino como virus informticos, gusanos de la red, caballos de Troya y bombas lgicas. Los usuarios deben conocer los peligros que tiene el software daino o no autorizado; y se debern implantar controles y medidas especiales para detectar o evitar su introduccin en puestos de trabajo, servidores y conexiones a redes pblicas o privadas necesarias para evitar la infeccin de los sistemas de informacin por virus o cualquier otro tipo de software daino.

Gestin de comunicaciones y operaciones Tomar precauciones para detectar o evitar los virus informticos en los ordenadores personales. Es de obligado cumplimiento la actualizacin peridica y regular de los mecanismos antivirus.

Establecer procedimientos rutinarios para conseguir la estrategia aceptada de respaldo haciendo copias de respaldo, ensayando su oportuna restauracin, registrando eventos o fallos y monitoreando el entorno de los equipos cuando sea necesario.
La gestin de la seguridad de las redes que cruzan las fronteras de la administracin requiere una atencin que se concreta en controles y medidas adicionales para proteger los datos sensibles que circulan por las redes pblicas.

Gestin de comunicaciones y operaciones Establecer los controles necesarios que impidan la suplantacin del emisor, modificacin o prdida de la informacin transmitida, tanto en las comunicaciones con sistemas situados en las redes internas, como con aquellos sistemas externos, independientemente de la plataforma, protocolos o aplicaciones que las soporten. Establecer los procedimientos adecuados para proteger los documentos, soportes informticos (discos, cintas, etc.), datos de entrada o salida y documentacin del sistema frente a dao, robo y acceso no autorizado. El almacenamiento, manipulacin, transporte, la destruccin o desecho de cualquier activo de informacin sensible deber garantizar la imposibilidad de acceso o recuperacin de su contenido por parte de personal no autorizado.

Gestin de comunicaciones y operaciones Se controlarn los intercambios de informacin y software entre organizaciones, que deben cumplir con toda la legislacin vigente. Se realizarn los intercambios sobre la base de acuerdos formales. Se establecern procedimientos y normas para proteger los soportes en trnsito. Se considerarn las implicaciones de la seguridad asociadas al comercio, correo e intercambio de datos electrnicos (EDI, servicios de interoperabilidad), as como los requerimientos para las medidas y controles de seguridad.

Gestin de comunicaciones y operaciones Con la finalidad de asegurar la exactitud, relevancia y veracidad de los contenidos pblicos, as como el cumplimiento de la legislacin vigente relativa a la publicacin de informacin en medios de difusin masiva, los procesos de publicacin de contenidos deben utilizar una solucin que provea una infraestructura de aprobacin de los contenidos publicados. Se debe crear la estructura organizativa multidisciplinar necesaria para acometer la resolucin de incidentes de seguridad.

Control de acceso Cubre la seguridad, la problemtica del control de acceso a los sistemas de informacin. Para ello plantea requisitos del negocio para el control de acceso, gestin de los accesos de los usuarios, responsabilidades del usuario, control de acceso de red, control de acceso del sistema operativo, control de acceso a las aplicaciones y a la informacin y teletrabajo y movilidad en el mbito de intranet e Internet. Debe poseer autenticidad y confidencialidad, asegurar una buena trazabilidad.

Control de acceso Los permisos de acceso a las redes, sistemas y a la informacin que esos soportan se otorgarn de modo que los usuarios tengan acceso nicamente a los recursos e informacin necesarios para el desempeo de sus funciones. Establecer procedimientos formales para controlar la asignacin de los derechos de acceso a los sistemas y servicios. Estos procedimientos cubrirn todas las etapas del ciclo de vida del acceso a usuarios, desde el registro inicial de los nuevos hasta la baja del registro de los usuarios que ya no requieran dicho acceso a los sistemas y servicios. Se prestar especial atencin al necesario control de la asignacin de derechos de acceso privilegiados que permitan a ciertos usuarios evitar los controles del sistema.

Control de acceso Todos los accesos realizados a las aplicaciones informticas que sirven de soporte a la tramitacin telemtica por los usuarios registrados llevarn asociado un proceso de identificacin, autenticacin y autorizacin. Se establecern mecanismos de registro, monitoreo de acceso y uso de los sistemas. Las credenciales de acceso de cada usuario sern personales e intransferibles. Toda persona registrada que disponga de credenciales de acceso ser responsable de mantener su confidencialidad y asegurar su correcto uso. Se establecern los mecanismos necesarios en los sistemas para impedir la visualizacin de las credenciales por parte de terceras personas.

Control de acceso Debido a que una proteccin efectiva necesita la cooperacin de los usuarios autorizados, los usuarios deben ser conscientes de sus responsabilidades en el mantenimiento de la efectividad de las medidas de control de acceso, en particular respecto al uso de contraseas y a la seguridad del material puesto a su disposicin. El acceso a los servicios desde redes externas e internas debe ser controlado de forma tal que se asegure que el acceso de los usuarios a las redes y sus servicios no comprometan la seguridad de dichos servicios, por medio de:

Control de acceso Interfaces adecuadas entre la red de la gerencia y sus departamentos y las redes pblicas o las privadas de otras empresas u organizaciones. Mecanismos adecuados de autenticacin para los usuarios y los equipos. Control de los accesos de los usuarios a los servicios de informacin.

El acceso remoto a las aplicaciones informticas que sirven de soporte a la tramitacin desde redes pblicas debe garantizar la confidencialidad de la informacin que se transmite, as como la identidad de los usuarios autorizados a hacer uso del servicio de acceso remoto mediante mecanismos de autenticacin fuerte.

Control de acceso Restringir el acceso a los ordenadores para permitir slo usuarios autorizados. Los ordenadores que atienden a mltiples usuarios debern:

Identificar y verificar la identidad de cada usuarios autorizado (y si procede, el terminal o la ubicacin fsica del mismo.) Suministrar mecanismos de gestin de contraseas que garanticen la calidad de las mismas. Cuando proceda, restringir la conexin de usuarios o ventanas horarias.

Control de acceso Para detectar y reaccionar ante comportamientos sospechosos o inesperados, establecer o activar sistemas de registro de actividades que almacenen los datos generados por las actividades de sistemas, aplicaciones y usuarios en los activos de informacin de la gerencia y sus departamentos. Establecer normativas, procedimientos y medidas tcnicas especficas para la proteccin de sistemas porttiles y accesos remotos de teletrabajo.

Adquisicin, desarrollo y mantenimiento de los sistemas de informacin.

La seguridad estar integrada en los sistemas de informacin. Estar presente en los requisitos de seguridad que afectan los sistemas de informacin (sean adquiridos o desarrollados), en el correcto procesamiento de las aplicaciones, controles criptogrficos, en la seguridad en los sistemas de ficheros, seguridad en los procesos de desarrollo y soporte y gestin de vulnerabilidades tcnicas. Cubre garantas de disponibilidad, confidencialidad e integridad. Los proyectos de desarrollo que se inicien y afecten directamente a las aplicaciones informticas que sirven de soporte a la tramitacin telemtica deben llevarse a cabo considerando requisitos especficos de seguridad durante todo su ciclo de vida.

Adquisicin, desarrollo y mantenimiento de los sistemas de informacin.

El desarrollo y mantenimiento de las aplicaciones dentro del mbito especificado debe incluir controles y registros apropiados que garanticen la correcta implementacin de las especificaciones de seguridad y se llevar a cabo teniendo en cuenta las mejores prcticas de seguridad en la programacin. Se usarn sistemas y tcnicas criptogrficas cifrado, firma digita para proteger la informacin sometida a riesgo, cuando otras medidas y controles no proporcionen la proteccin adecuada. La informacin residente en las aplicaciones informticas que sirven de soporte a la tramitacin telemtica debe estar protegida contra modificaciones no autorizadas empleando mecanismos que aseguren la integridad de la misma.

Adquisicin, desarrollo y mantenimiento de los sistemas de informacin.

Proveer guas, estndares, recomendaciones y procedimientos necesarios para facilitar la inclusin de la seguridad durante las etapas del ciclo de vida de desarrollo, tales como controles criptogrficos, gestin de claves, programacin segura, etc. Los entornos del ciclo de vida de desarrollo informtico deben estar convenientemente separados o segmentados en cada uno de los sistemas. Con la finalidad de evitar el acceso o divulgacin de datos que residan en los entornos, se debe controlar el intercambio de datos reales entre el entorno de produccin y el resto de entornos. En pruebas o desarrollo, para aplicaciones, o infraestructura deben existir juegos de datos de prueba, sin las relaciones entre datos y personas.

Gestin de incidentes de seguridad de la informacin

Garantiza que los eventos y debilidades en la seguridad sean comunicados para realizar acciones correctivas oportunas y adecuadas. Garantiza disponibilidad, confidencialidad e integridad. Informa rpidamente (ante cualquier debilidad observada o sospecha) a travs de procedimientos y cauces adecuados (canales de gestin conocidos y seguridad ligada a recursos humanos), Aplicar una metodologa slida para la gestin de incidentes de seguridad (establecer responsabilidades y procedimientos), y emplear procesos de mejora continua y mtodos para la recogida de evidencias.

Monitorear las incidencias de seguridad, cuantificacin y costes asociados, recopilacin de evidencias.

Gestin de incidentes de seguridad de la informacin

Aplicar procedimientos para informar y priorizar eventos de seguridad. El personal afectado conocer los procedimientos para informar de los diferentes tipos de eventos y debilidades que pudieran impactar en la seguridad informticas. Establecer responsabilidades y procedimientos formales para manejar eventos de seguridad y debilidades con eficacia, una vez que stas hayan sido comunicadas. Adems, se establecer un proceso formal de mejora continua sobre toda la gestin de incidentes de seguridad. Recopilar evidencias necesarias por cada incidente con el fin de cumplir con la legalidad vigente.

Gestin de la continuidad del servicio

Establece un plan de accin para minimizar los efectos de una catstrofe. Las garantas que este dominio cubre son la integridad, la disponibilidad y la conservacin de la informacin. Establece un proceso de gestin de continuidad de actividad para garantizar la recuperacin de los procesos crticos en caso de desastre, reduciendo el tiempo de indisponibilidad a niveles aceptables, desde el punto de vista de la actividad de la empresa, mediante la adecuada combinacin de controles de carcter organizativo, tecnolgico y procedimental, tanto preventivos como de recuperacin.

Gestin de la continuidad del servicio

Desarrolla un plan de continuidad del servicio que debe ser probado de forma peridica y regular y que se debe mantener actualizado en todo momento. Para ello, se debe evaluar el riesgo y el impacto asociado ocasionado por la ausencia de continuidad de los sistemas de informacin que den soporte o estn implicados en la actividad de la empresa.

Cumplimiento
Cumple en los sistemas de informacin, las polticas y estndares de seguridad desarrollados a travs del presente manual de seguridad. Maximiza la efectividad del proceso de auditora de la infraestructura y las aplicaciones; y cubre las garantas definidas en la introduccin: confidencialidad, integridad, disponibilidad, autenticidad y conservacin de la informacin.

La empresa adquiere con sus usuarios, la responsabilidad de cumplir con la legislacin vigente relativa a la seguridad de la informacin. Se debe identificar los estatutos relevantes, regulaciones, leyes y requisitos contractuales relativos a seguridad de la informacin que afecten la seguridad de los activos de informacin de las aplicaciones.

Cumplimiento
Todas las reas implicadas deben conocer y cumplir la legislacin vigente en sus mbitos de actuacin. Debe contemplar los mecanismos y procedimientos indicados por la ley de proteccin de datos personales y el reglamento de medidas de seguridad asociado. La empresa ser responsable de no divulgar informacin que adquirida en la realizacin de su trabajo. Las aplicaciones informticas deben someterse peridicamente a una auditora, encargada de verificar el cumplimiento de la normativa de seguridad y de los procedimientos e instrucciones vigentes en materia de seguridad de la informacin.

Cumplimiento
El proceso de auditora debe verificar el cumplimiento de las iniciativas de seguridad planificadas a corto plazo, realizar peridicamente revisiones del grado de instauracin de los controles y de su efectividad desde el punto de vista de la seguridad y ser independiente de las comprobaciones realizadas internamente por la empresa. Establecer medidas necesarias para evitar la desactivacin, accidental o malintencionada, de los mecanismos de seguimiento y auditora. Realizarn revisiones regulares en cuanto a la seguridad de la infraestructura y de las aplicaciones en la empresa.

Gestin de la seguridad
Establecer un Sistema de Gestin de la Seguridad de la Informacin (en adelante, SGSI) basado en el estndar UNEISO/IEC 27001:2007 (ISO/IEC 27001:2005) para establecer un proceso de mejora continua de la seguridad. Para ello se realizarn revisiones peridicas, al menos una vez al ao, en la que se llevar a cabo la revisin del alcance del SGSI entre otras acciones.

Estas revisiones tambin se realizarn en respuesta a ualquier evento que pusiese afectar al alcance del SGSI, como:

Gestin de la seguridad
Cambios de legislacin. Cambios en la organizacin. Cambios del entorno tcnico. Incidencias que puedan afectar a la gestin del SGSI.

El objetivo de estas revisiones ser: Conocer en que nivel afecta el evento al alcance del SGSI. Modificar el alcance, si procede. Definir e implementar un nuevo SGSI, si procede. Las reuniones podrn tener carcter fsico o virtual, disponindose de un repositorio centralizado donde se recogern las actas, propuestas y decisiones que afecten al SGSI.

Desarrollo normativo de medidas de seguridad.

Se realiza mediante fichas para alcanzar la seguridad debida y proporcionada a la categora del sistema de informacin a proteger, el tipo de activos que constituyen el sistema a proteger y las dimensiones de seguridad relevantes en dicho sistema. Cada ficha dispone de los siguientes campos: Medida: Nombre de la medida. Cdigo: Referencia unvoca. Objetivo: Relaciona la medida con un apartado de la poltica de seguridad.

 Desarrollo normativo de medidas de seguridad.

Alcance: Indica la obligatoriedad de adopcin de la medida:

Las fichas clasificadas como bajo, color verde, indican que la medida de seguridad debe ser aplicable a todos los sistemas de informacin.
Las fichas clasificadas como medio, color amarillo, indican que la medida de seguridad debe de ser aplicable a sistemas de informacin que dispongan de una clasificacin media. Las fichas clasificadas como alto, color rojo, indican que la medida de seguridad debe de ser aplicable a sistemas de informacin que dispongan de una clasificacin alta.

 Desarrollo normativo de medidas de seguridad.

Garantas: indica las garantas de seguridad que cubre la medida de seguridad. Destinatarios: roles funcionales que deberan de tener en cuenta la medida de seguridad. Desarrollo: El texto de la medida se subdivide a su vez en: Un propsito que define el objetivo de la medida de seguridad. Una exposicin que desarrolla la medida de seguridad en s. Una actividad de seguridad en el caso de que la medida lo requiera. El conjunto de actividades formarn parte de los procedimientos de seguridad.