Anexo A - Objetivos de Control y Controles de Seguridad de la Informacin ISO/IEC 27001:2005

(Conjunto de medidas, acciones y documentos que permiten cubrir y auditar cierto riesgo)

Dominio - Control Poltica de seguridad de la informacin

Dirigir y dar soporte a la gestin de la seguridad de la informacin de acuerdo con los requisitos institucionales, leyes y reglamentos pertinentes.

#Ctrls 2

Cumplimiento

A5 A.5.1.1 A.5.1.2 A6 A.6.1.1 A.6.1.2 A.6.1.3 A.6.1.4 A.6.1.5 A.6.1.6 A.6.1.7 A.6.1.8 A.6.2.1 A.6.2.2 A.6.2.3 A7 A.7.1.1 A.7.1.2 A.7.1.3 A.7.2.1 A.7.2.2 A8 A.8.1.1 A.8.1.2 A.8.1.3 A.8.2.1 A.8.2.2 A.8.2.3 A.8.3.1 A.8.3.2 A.8.3.3 A9 A.9.1.1 A.9.1.2 A.9.1.3 A.9.1.4 A.9.1.5 A.9.1.6 A.9.2.1 A.9.2.2 A.9.2.3 A.9.2.4 A.9.2.5 A.9.2.6

Poltica de seguridad de la informacin

Se dispone de una poltica de SI aprobada por la direccin, publicada y comunicada a todos los empleados y partes externas pertinentes. La poltica de seguridad de informacin se revisa a intervalos planificados, y si ocurren cambios significativos se asegura su conveniencia, adecuacin y eficacia continua.

1 1 11

Organizacin de la seguridad de la informacin

Gestionar la organizacin de la seguridad de informacin.

La Alta Direccin apoya (dirige, se compromete, demuestra y reconoce responsabilidades) activamente la SI en la Institucin. En las actividades de SI participan representantes de todas las UU.OO. Tienen roles y funciones. Los roles y responsabilidades en SI estn bien definidos. Organizacin Est establecido el proceso de autorizacin para nuevos activos de informacin (AI). interna Estn definidos acuerdos de confidencialidad y se revisa con regularidad. Se mantiene los contactos apropiados con las autoridades pertinentes. Se mantiene los contactos apropiados con entidades especializadas en SI. El enfoque de la organizacin para gestionar la SI se revisa de manera independiente y peridica. Se gestiona (identifica e implementa) los riesgos de acceso a la informacin de entidades externas. Entidades externas Se trata todos los requerimientos de SI antes de dar acceso a los clientes. Se establece acuerdos con terceros, que involucran acceder, procesar, comunicar o gestionar la informacin de la entidad , que abarcan los requerimientos de SI relevantes.

1 1 1 1 1 1 1 1 1 1 1 5 1 1 1 1 1 9

Gestin de activos de informacin (AI)

Lograr y mantener la proteccin apropiada de los activos de informacin

Responsabilidad por los activos Clasificacin de la informacin

Se mantiene un inventario de AI. Todo AI tiene asignado un responsable (propietario). Se dispone de una normativa de uso de los AI La informacin est clasificada segn su valor, requisitos legales, sensibilidad y criticidad Se dispone del procedimiento de rotulado y manejo de la informacin.

Seguridad de los recursos humanos

Asegurar que todo el personal involucrado entienda sus responsabilidades, sean apropiados para sus roles y asi reducir el riesgo de robo, fraude o mal uso de los activos de informacin.

Se tiene documentado (de acuerdo a la poltica) los roles y responsabilidadesde de SI, de todo el personal. Antes del empleo Se verifica antecedentes de todo candidato a empleado o contratista. Se firman contratos donde se incluye las responsabilidades de SI. Se procura que todos los empleados apliquen la SI segn la poltica. Durante el empleo Se sensibiliza, capacita y educa en SI pertinente a su funcin de trabajo. Se tiene establecido un procesos disciplinario ante el incumplimiento de SI. Estn definidas las responsabilidades para el trmino o cambio de empleo. Terminacin o Se procura la entrega de activos al tmino de contrato. cambio del empleo Se retira los derechos de acceso al trmino del contrato.

Seguridad fsica y medioambiental

Prevenir el acceso fsico no autorizado, dao e interferencia en las instalaciones y activos de informacin.

1 1 1 1 1 1 1 1 1 13

reas seguras

Seguridad del equipo

Se utiliza mecanismos de proteccin perimtrica (muros, vigilantes, etc.) a las reas que contienen informacin e instalaciones que procesan informacin. Se utiliza mecanismos de control de acceso en entradas crticas. Se utiliza mecanismos de seguridad en oficinas, habitaciones e instalaciones. Se utiliza mecanismos de proteccin ante amenzas externas y ambientales. Se aplica medidas de seguridad fsica y directrices para trabajar en reas seguras. Se aplica medidas de seguridad en reas de acceso pblico (entrega/descarga). Los equipos estn ubicados en salas con proteccin fsica ante un posible acceso no autorizado. Los equipos estn protegidos frente a fallas de servicios pblicos. El cableado elctrico y de comunicaciones est protegido frente a interceptacin o daos. Los equipos son mantenidos en forma peridica. Se aplica seguridad a los equipos fuera del local Antes de dar de baja un equipo se elimina la informacin

1 1 1 1 1 1 1 1 1 1 1 1

Seguridad del equipo N A.9.2.7 A10 A.10.1.1 A.10.1.2 A.10.1.3 A.10.1.4 A.10.2.1 A.10.2.2 A.10.2.3 A.10.3.1 A.10.3.2 A.10.4.1 A.10.4.2 A.10.5.1 A.10.6.1 A.10.6.2 A.10.7.1 A.10.7.2 A.10.7.3 A.10.7.4 A.10.8.1 A.10.8.2 A.10.8.3 A.10.8.4 A.10.8.5 A.10.9.1 A.10.9.2 A.10.9.3 A.10.10.1 A.10.10.2 A.10.10.3 A.10.10.4 A.10.10.5 A.10.10.6 A11 A.11.1.1 A.11.2.1 A.11.2.2 A.11.2.3 A.11.2.4 A.11.3.1 A.11.3.2 A.11.3.3 A.11.4.1 A.11.4.2 A.11.4.3 Gestin de acceso de usuarios

Dominio - Control
Todo equipo requiere autorizacin para ser retirado de la Institucin

Gestin de operaciones y comunicaciones

Asegurar la operacin correcta y segura de los activos de informacin.

#Ctrls 1 32 1 1 1 1 1 1 1 1 1 1 1 1 1

Cumplimiento

Procedimientos de operacin documentados y disponible a los usuarios. Gestin del control de cambios en los recursos de procesamiento de informacin. Segregacin de responsabilidades para reducir el mal uso de los activos. Separaracin de los recursos de desarrollo, prueba y produccin. Procurar que los terceros implementen, operen y mantengan los controles de seguridad. Gestin de la Monitoreo y auditora regular de los servicios e informes de terceros. entrega de servicios Gestionar los cambios en servicios de terceros, considerando criticidad de sistema de negocio de terceros asi como procesos involucrados y la evaluacion de riesgos. Planeacin y Monitorear, afinar y realizar proyecciones de uso de recursos para asegurar buen desempeo. aceptacin del Establecer los criterios de aceptacin de sistemas y realizar las pruebas antes de la sistema aceptacin. Proteccin contra Implementar controles de prevencin, deteccin y recuperacin ante software malicioso, asi software malicioso como controles adecuados para la toma de conciencia. y cdigo mvil Asegurar que el cdigo mvil autorizado opere de acuerdo a las polticas de seguridad. Copias de respaldo Se realiza copias de respaldo de informacin y software, y se prueba regularmente. (back-up) Manejar y controlar adecuadamente las redes para proteger la informacin e infraestructura. Gestin de Las caractersticas de seguridad, los niveles del servicio, y los requisitos de gestin de todos seguridad de redes los servicios en red estan identificados e incluido en cualquier acuerdo de servicio de red, ya sea que estos servicios sean proporcionados en la empresa o subcontratos. Se dispone de procedimientos para la gestin de medios removibles. Gestin de medios Se dispone de procedimientos formales para la eliminacin de medios. (activos de Se dispone de procedimientos para el manejo de informacin de manera confidencial. almacenamiento) La documentacin de los sistemas es protegida del acceso no autorizado. Se dispone de normativa para proteger la informacin durante su intercambio en cualquier medio de comunicacin. Se firma acuerdos para el intercambio de informacin y software con entidades externas Intercambio de Se protege los medios en trnsito contra acceso no autorizado, mal uso o corrupcin durante el informacin transporte ms all de los lmites fsicos de la institucin. (transferencia) Se protege adecuadamente la informacin involucrada en los mensajes electrnicos. Se dispone de normativa para proteger la informacin asociada con la interconexin de los sistemas de informacin de la institucin. Se protege la informacin de comercio electrnico que se trasmite en redes pblicas, contra Servicios de actividades fraudulentas, litigios contractuales y divulgacin o modificacin. comercio Se protege la informacin de las transacciones en lnea: De transmisin incompleta, prdida de electrnico rutas, alteracin, divulgacin y duplicidad. Se protege la integridad de la informacin disponible pblicamente. Se registra pistas de auditoria, excepciones y eventos de seguridad. Se dispone de procedimientos de monitoreo del uso de recursos y se revisa regularmente. Se protege la informacin y los medios de registro frente a acceso manipulado o no autorizado. Monitoreo (de actividades no autorizadas) Se registra las actividades del administrador y operador del sistema. Se registran las fallas, se analizan y se toma la accin apropiada. Los relojes de los sistemas de procesamiento de informacin se mantienen sincronizados. Procedimientos y responsabilidades operacionales

1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 25

Control de acceso (lgico)

Controlar el acceso lgico a los activos de informacin

Requerimientos

Responsabilidades Se promueve que los usuarios deben asegurar la proteccin de los equipos desatendidos. de usuarios Se promueve la prctica de escritorio limpio para documentos y dispositivos de almacenamiento removibles, y una poltica de pantalla limpia. Los usuarios solo tienen acceso a los servicios que estn autorizados. Se utiliza mecanismos apropiados de autenticacin para acceso de usuarios externos. La identificacin del equipo forma parte de la autenticacin. Control de acceso a la red

Se dispone de una poltica de control de acceso con base en requerimientos del negocio y de seguridad para el acceso. Se dispone de procedimiento de registro y baja de concesin de acceso a los sistemas y servicios de informacin. Se dispone de procedimiento para la gestin (restriccin, control y asignacin) de privilegios. Se dispone de procedimiento para la gestin de contraseas. Se audita los derechos de acceso de manera regular. Se promueve las buenas prcticas de seguridad para la seleccin y uso de contraseas seguras.

1 1 1 1 1 1 1 1 1 1 1

N A.11.4.4 A.11.4.5 A.11.4.6 A.11.4.7 A.11.5.1 A.11.5.2 A.11.5.3 A.11.5.4 A.11.5.5 A.11.5.6 A.11.6.1 A.11.6.2 A.11.7.1 A.11.7.2 A12 A.12.1.1 A.12.2.1 A.12.2.2 A.12.2.3 A.12.2.4 A.12.3.1 A.12.3.2 A.12.4.1 A.12.4.2 A.12.4.3 A.12.5.1 A.12.5.2 A.12.5.3 A.12.5.4 A.12.5.5 A.12.6.1

Control de acceso a Se controla el acceso para el diagnstico y configuracin de puertos. la red Se segrega en la red, los usuarios y sistemas de informacin. Se restringe la capacidad de conexin de usuarios a redes compartidas. La red se configura de modo que no se infrinja los controles de acceso. Se controla el acceso al SO en las estaciones o terminales (procedimiento de conexin segura). Todo usuario dispone de una cuenta de acceso nica. Control de acceso El sistema de gestin de claves asegura su calidad. al sistema operativo Se restringe el uso de utilidades (software) no autorizadas, que podran eludir las medidas de control del sistema. Las sesiones inactivas se cierran luego de un tiempo de inactividad. Se restringe el horario de acceso a las aplicaciones de alto riesgo. Control de acceso a Se restringe el acceso a los usuarios y al personal de TI. las aplicaciones e Los sistemas sensibles estn en un ambiente aislado. informacin Computacin mvil Se dispone de poltica de proteccin de equipos mviles. y teletrabajo Se dispone de poltica y procedimiento para teletrabajo.

Dominio - Control

#Ctrls 1 1 1 1 1 1 1 1 1 1 1 1 1 1 16

Cumplimiento

Adquisicin, desarrollo y mantenimiento de sistemas de informacin

Procurar que la seguridad sea una parte integral de los sitemas de informacin.

Requerimientos de Se especifican los requerimientos para nuevos sistemas o mejoras, incluyendo los controles de seguridad de los seguridad. sistemas Se validan los datos de entrada a las aplicaciones para asegurar que esta sea correcta y apropiada. Procesamiento Se incorpora mecanismos de validacin en las aplicaciones para detectar corrupcin de la correcto en las informacin. aplicaciones Se identifican los requisitos para asegurar la autenticidad e integridad de los mensajes en las aplicaciones. Se valida la data de salida de las aplicaciones. Controles Se dispone de una poltica de uso de controles criptografcos para proteger la informacin. criptografcos Se realiza gestin de claves para dar soporte al uso de las tcnicas criptogrficas. Seguridad de los Se dispone de procedimientos para la instalacin del software de los sistemas. archivos del Se selecciona, protege y controla los datos de prueba del sistema. sistema Se controla el acceso al cdigo fuente del sistema. Los cambios se controlan mediante el uso de procedimientos de control de cambios. Las aplicaciones se revisan despus de haber hecho cambios en el sistema operativo, para Seguridad en los observar el impacto generado. procesos de Se limita a los cambios necesarios (no se fomenta las modificaciones a los paquetes). desarrollo y soporte Se procura evitar las fugas o filtraciones de informacin. Se supervisa y monitorea el desarrollo tercerizado de software. Se procura minimizar la explotacin de vulnerabilidades de los sistemas. Gestin de vulnerabilidades tcnicas

1 1 1 1 1 1 1 1 1 1 1 1 1 1 1

Gestin de incidentes de seguridad de informacin

A13 A.13.1.1 A.13.1.2 A.13.2.1 A.13.2.2 A.13.2.3 A14 A.14.1.1 A.14.1.2 A.14.1.3 A.14.1.4 A.14.1.5 A15
Asegurar que los eventos y debilidades de seguridad de informacin sean comunicados de manera tal que, permita una accin correctiva oportuna.

1 5

Reporte de incidentes y debilidades Gestin de incidentes y mejoras

Los incidentes de SI se reportan por los canales apropiados tan rpido como sea posible. Se promueve que todo el personal reporte las debilidades de SI, que observe o sospeche. Se dispone de procedimiento para respuesta rpida, eficaz y ordenada ante incidentes de SI. Se dispone de mecanismos para aprender a resolver incidentes, que permitan cuantificar y realizar el seguimiento de los tipos, volmenes y costos de los incidentes de SI. Se recolecta y mantiene evidencias (para fines de auditora).

1 1 1 1 1 5

Gestin de continuidad de operaciones

Contrarrestar las interrupciones de las actividades del negocio y proteger los procesos crticos, de los efectos de fallas significativas o desastres, y asegurar su reanudacin oportuna.

Gestin de la continuidad operativa

Se dispone de un proceso de gestin de continuidad de operaciones. Se realiza gestin de riesgos. Se dispone de un Plan de Continuidad de Operaciones (PCO). Se maneja un nico marco referencial de PCO. El PCO se prueba y actualiza en forma regular.

Cumplimiento regulatorio
Evitar el incumplimiento de cualquier ley, estatuto, obligacin, reglamentao o contractuales, y de cualquier requisito de seguridad.

1 1 1 1 1 10

N A.15.1.1 A.15.1.2 A.15.1.3 A.15.1.4 A.15.1.5 A.15.1.6 A.15.2.1 A.15.2.2 A.15.3.1 A.15.3.2 Con los requerimientos legales

Dominio - Control
Se ha definido, documentado y mantiene actualizado todos los requisitos legales, reglamentarios, contractuales pertinentes. Se dispone de procedimientos para respetar la propiedad intelectual. Se protege los registros importantes de la organizacin. Se protege la privacidad de la informacin personal, segn la regulaciones. Se sensibiliza al personal para evitar usos no autorizados. Se hace uso de cifrado, segn las regulaciones. Se procura el cumplimiento de los procedimientos de SI. Se procura el cumplimiento de la normativa de SI en los sistemas de informacin. Se planifica las auditoras internas de sistemas de informacin. Se protege el acceso a las herramientas de auditora de sistemas de informacin.

#Ctrls 1 1 1 1 1 1 1 1 1 1

Cumplimiento

Con las polticas y estndares de S.I. Auditora de los sistemas de informacin

133

Tabla de Escala para ISO27001 e ISO27002

N/A 0 20 Calificacin No Aplica Inexistente Inicial Descripcin No aplica. Total falta de cualquier proceso reconocible. La Organizacin ni siquiera ha reconocido que hay un problema a tratar. No se aplican controles. Hay una evidencia de que la Organizacin ha reconocido que existe un problema y que hay que tratarlo. No hay procesos estandarizados. La implementacin de un control depende de cada individuo y es principalmente reactiva. Los procesos y los controles siguen un patrn regular. Los procesos se han desarrollado hasta el punto en que diferentes procedimientos son seguidos por diferentes personas. No hay formacin ni comunicacin formal sobre los procedimientos y estndares. Hay un alto grado de confianza en los conocimientos de cada persona, por eso hay probabilidad de errores. Los procesos y los controles se documentan y se comunican. Es poco probable la deteccin de desviaciones. Los controles se monitorean y se miden. Es posible monitorear y medir el cumplimiento de los procedimientos y tomar medidas de accin donde los procesos no estn funcionando eficientemente. Las buenas prcticas se siguen y automatizan. Los procesos han sido redefinidos hasta el nivel de mejores prcticas, basndose en los resultados de una mejora continua.

40

Repetible

60 80 100

Definido Gestionado Optimizado

Tabla de Escala para ISO27001 e ISO27002

Escala No Aplica Inexistente Inicial % N/A 0 20 Descripcin No aplica. Total falta de cualquier proceso reconocible. La Organizacin ni siquiera ha reconocido que hay un problema a tratar. No se aplican controles. Hay una evidencia de que la Organizacin ha reconocido que existe un problema y que hay que tratarlo. No hay procesos estandarizados. La implementacin de un control depende de cada individuo y es principalmente reactiva. Los procesos y los controles siguen un patrn regular. Los procesos se han desarrollado hasta el punto en que diferentes procedimientos son seguidos por diferentes personas. No hay formacin ni comunicacin formal sobre los procedimientos y estndares. Hay un alto grado de confianza en los conocimientos de cada persona, por eso hay probabilidad de errores. Los procesos y los controles se documentan y se comunican. Es poco probable la deteccin de desviaciones. Los controles se monitorean y se miden. Es posible monitorear y medir el cumplimiento de los procedimientos y tomar medidas de accin donde los procesos no estn funcionando eficientemente. Las buenas prcticas se siguen y automatizan. Los procesos han sido redefinidos hasta el nivel de mejores prcticas, basndose en los resultados de una mejora continua.

Repetible

40

Definido Gestionado

60 80

Optimizado

100