Norma ISO 17799 Castellano

ESQUEMA 1
ISO IEC 17799

2002
Tecnologa de la informacin
Cdigo de prctica para la administracin de la
segridad de la in!ormacin
In!ormation tec"nolog#$
Code o! practice !or in!ormation secrit# management$
Este es%ema est sometido a disc&
sin p'(lica$ )as o(ser*aciones de&
(en remitirse !ndadas # por escri&
to+ al Institto I,AM+ -er' ..2 / ..0 &
1C1002AA34 3enos Aires antes del
2002&00&22
5OCUME67O E6 ES7U5IO

5E 6O,MA I,AM&
8888 de 2002
INSTITUTO ARGENTINO DE NORMALIZACIN

Es%ema 1 I ,AM& I SO I EC 17799 9 2002

!refacio
El Institto Argentino de 6ormali:acin 1I,AM4 es na asociacin
ci*il sin !ines de lcro c#as !inalidades espec;!icas+ en s carcter
de Organismo Argentino de 6ormali:acin+ son esta(lecer normas
t<cnicas+ sin limitaciones en los m(itos %e a(ar%en+ adems de
propender al conocimiento # la aplicacin de la normali:acin
como (ase de la calidad+ promo*iendo las acti*idades de
certi!icacin de prodctos # de sistemas de la calidad en las
empresas para (rindar segridad al consmidor$
I,AM es el representante de la Argentina en la International
Organi:ation !or Standardi:ation 1ISO4+ en la Comisin
-anamericana de 6ormas 7<cnicas 1CO-A674 # en la Asociacin
ME,COSU, de 6ormali:acin 1AM64$
Esta norma I,AM es el !rto del consenso t<cnico entre los
di*ersos sectores in*olcrados+ los %e a tra*<s de ss
representantes "an inter*enido en los Organismos de Estdio de
6ormas correspondientes$
Esta norma es na adopcin id<ntica de la norma ISO 1779992000$
"
Es%ema 1 I ,AM& 9
#ndice
I67,O5UCCI=6$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 9
1 A)CA6CE$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 1>
2 7?,MI6OS @ 5EAI6ICIO6ES$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 1>
> -O)B7ICA 5E SECU,I5A5$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 1>
3.1.1 DOCUMENTACIN DE LA POLTICA DE SEGURIDAD DE LA INFORMACIN ............14
3.1.2 REVISIN Y EVALUACIN .............................................................................................. 14
D O,CA6IEACI=6 5E )A SECU,I5A5 $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 1.
4.1.1 FORO GERENCIAL SOBRE SEGURIDAD DE LA INFORMACIN .................................15
4.1.2 COORDINACIN DE LA SEGURIDAD DE LA INFORMACIN .......................................15
4.1.3 ASIGNACIN DE RESPONSABILIDADES EN MATERIA DE SEGURIDAD DE LA
INFORMACIN .......................................................................................................................... 16
4.1.4 PROCESO DE AUTORIZACIN PARA INSTALACIONES DE PROCESAMIENTO DE
INFORMACIN .......................................................................................................................... 16
4.1.5 ASESORAMIENTO ESPECIALIZADO EN MATERIA DE SEGURIDAD DE LA
INFORMACIN .......................................................................................................................... 17
4.1.6 COOPERACIN ENTRE ORGANIZACIONES ..................................................................17
4.1.7 REVISIN INDEPENDIENTE DE LA SEGURIDAD DE LA INFORMACIN ....................17
4.2.1 IDENTIFICACIN DE RIESGOS DEL ACCESO DE TERCERAS PARTES......................1
4.2.2 RE!UERIMIENTOS DE SEGURIDAD EN CONTRATOS CON TERCEROS ...................1"
4.3.1 RE!UERIMIENTOS DE SEGURIDAD EN CONTRATOS DE TERCERIZACIN..............2#
. C)ASIAICACI=6 @ CO67,O) 5E AC7IFOS $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$21
5.1.1 INVENTARIO DE ACTIVOS .............................................................................................. 21
5.2.1 PAUTAS DE CLASIFICACIN .......................................................................................... 22
5.2.2 ROTULADO Y MANE$O DE LA INFORMACIN .............................................................22
0 SECU,I5A5 5E) -E,SO6A)$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 2>
6.1.1 INCLUSIN DE LA SEGURIDAD EN LAS RESPONSABILIDADES DE LOS PUESTOS
DE TRABA$O.............................................................................................................................. 23
6.1.2 SELECCIN Y POLTICA DE PERSONAL........................................................................23
6.1.3 ACUERDOS DE CONFIDENCIALIDAD.............................................................................24
6.1.4 T%RMINOS Y CONDICIONES DE EMPLEO......................................................................24
6.2.1 FORMACIN Y CAPACITACIN EN MATERIA DE SEGURIDAD DE LA INFORMACIN
..................................................................................................................................................... 25
6.3.1 COMUNICACIN DE INCIDENTES RELATIVOS A LA SEGURIDAD..............................25
6.3.2 COMUNICACIN DE DEBILIDADES EN MATERIA DE SEGURIDAD ............................25
6.3.3 COMUNICACIN DE ANOMALAS DEL SOFT&ARE......................................................26
6.3.4 APRENDIENDO DE LOS INCIDENTES............................................................................26
6.3.5 PROCESO DISCIPLINARIO............................................................................................... 26
7 SECU,I5A5 ABSICA @ AM3IE67A)$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$20
$
-gina
Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond
7.1.1 PERMETRO DE SEGURIDAD FSICA..............................................................................27
7.1.2 CONTROLES DE ACCESO FSICO ..................................................................................27
7.1.3 PROTECCIN DE OFICINAS' RECINTOS E INSTALACIONES.......................................2
7.1.4 DESARROLLO DE TAREAS EN (REAS PROTEGIDAS..................................................2
7.1.5 AISLAMIENTO DE LAS (REAS DE ENTREGA Y CARGA..............................................2"
7.2.1 UBICACIN Y PROTECCIN DEL E!UIPAMIENTO.......................................................2"
7.2.2 SUMINISTROS DE ENERGA............................................................................................ 3#
7.2.3 SEGURIDAD DEL CABLEADO......................................................................................... 31
7.2.4 MANTENIMIENTO DE E!UIPOS....................................................................................... 31
7.2.5 SEGURIDAD DEL E!UIPAMIENTO FUERA DEL (MBITO DE LA ORGANIZACIN.....31
7.2.6 BA$A SEGURA O REUTILIZACIN DE E!UIPAMIENTO................................................32
7.3.1 POLTICAS DE ESCRITORIOS Y PANTALLAS LIMPIAS................................................32
7.3.2 RETIRO DE BIENES.......................................................................................................... 33
2 CES7I=6 5E COMU6ICACIO6ES @ O-E,ACIO6ES$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$>>
.1.1 DOCUMENTACIN DE LOS PROCEDIMIENTOS OPERATIVOS....................................33
.1.2 CONTROL DE CAMBIOS EN LAS OPERACIONES.........................................................34
.1.3 PROCEDIMIENTOS DE MANE$O DE INCIDENTES.........................................................34
.1.4 SEPARACIN DE FUNCIONES........................................................................................ 35
.1.5 SEPARACIN ENTRE INSTALACIONES DE DESARROLLO E INSTALACIONES
OPERATIVAS.............................................................................................................................. 35
.1.6 ADMINISTRACIN DE INSTALACIONES E)TERNAS.....................................................36
.2.1 PLANIFICACIN DE LA CAPACIDAD.............................................................................37
.2.2 APROBACIN DEL SISTEMA........................................................................................... 37
.3.1 CONTROLES CONTRA SOFT&ARE MALICIOSO...........................................................3
.4.1 RESGUARDO DE LA INFORMACIN...............................................................................3"
.4.2 REGISTRO DE ACTIVIDADES DEL PERSONAL OPERATIVO........................................3"
.4.3 REGISTRO DE FALLAS.................................................................................................... 3"
.5.1 CONTROLES DE REDES.................................................................................................. 4#
.6.1 ADMINISTRACIN DE MEDIOS INFORM(TICOS REMOVIBLES...................................4#
.6.2 ELIMINACIN DE MEDIOS INFORM(TICOS...................................................................41
.6.3 PROCEDIMIENTOS DE MANE$O DE LA INFORMACIN...............................................41
.6.4 SEGURIDAD DE LA DOCUMENTACIN DEL SISTEMA.................................................42
.7.1 ACUERDOS DE INTERCAMBIO DE INFORMACIN Y SOFT&ARE...............................42
.7.2 SEGURIDAD DE LOS MEDIOS EN TR(NSITO................................................................43
.7.3 SEGURIDAD DEL COMERCIO ELECTRNICO...............................................................43
.7.4 SEGURIDAD DEL CORREO ELECTRNICO...................................................................44
.7.5 SEGURIDAD DE LOS SISTEMAS ELECTRNICOS DE OFICINA...................................45
.7.6 SISTEMAS DE ACCESO P*BLICO...................................................................................45
.7.7 OTRAS FORMAS DE INTERCAMBIO DE INFORMACIN...............................................46
9 CO67,O) 5E ACCESOS$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ D2
".1.1 POLTICA DE CONTROL DE ACCESOS..........................................................................4
".2.1 REGISTRACIN DE USUARIOS....................................................................................... 4"
".2.2 ADMINISTRACIN DE PRIVILEGIOS...............................................................................4"
".2.3 ADMINISTRACIN DE CONTRASE+AS DE USUARIO...................................................5#
".2.4 REVISIN DE DEREC,OS DE ACCESO DE USUARIO...................................................5#
".3.1 USO DE CONTRASE+AS.................................................................................................. 52
".3.2 E!UIPOS DESATENDIDOS EN (REAS DE USUARIOS..................................................52
".4.1 POLTICA DE UTILIZACIN DE LOS SERVICIOS DE RED.............................................53
".4.2 CAMINO FORZADO........................................................................................................... 53
".4.3 AUTENTICACIN DE USUARIOS PARA CONE)IONES E)TERNAS.............................54
".4.4 AUTENTICACIN DE NODOS........................................................................................... 54
%
Es%ema 1 I ,AM& 9
".4.5 PROTECCIN DE LOS PUERTOS -PORTS. DE DIAGNOSTICO REMOTO....................55
".4.6 SUBDIVISIN DE REDES.................................................................................................. 55
".4.7 CONTROL DE CONE)IN A LA RED...............................................................................55
".4. CONTROL DE RUTEO DE RED......................................................................................... 56
".4." SEGURIDAD DE LOS SERVICIOS DE RED......................................................................56
".5.1 IDENTIFICACIN AUTOM(TICA DE TERMINALES........................................................56
".5.2 PROCEDIMIENTOS DE CONE)IN DE TERMINALES....................................................56
".5.3 IDENTIFICACIN Y AUTENTICACIN DE LOS USUARIOS...........................................57
".5.4 SISTEMA DE ADMINISTRACIN DE CONTRASE+AS....................................................5
".5.5 USO DE UTILITARIOS DE SISTEMA................................................................................5
".5.6 ALARMAS SILENCIOSAS PARA LA PROTECCIN DE LOS USUARIOS......................5
".5.7 DESCONE)IN DE TERMINALES POR TIEMPO MUERTO............................................5"
".5. LIMITACIN DEL ,ORARIO DE CONE)IN....................................................................5"
".6.1 RESTRICCIN DEL ACCESO A LA INFORMACIN........................................................5"
".6.2 AISLAMIENTO DE SISTEMAS SENSIBLES.....................................................................6#
".7.1 REGISTRO DE EVENTOS.................................................................................................. 6#
".7.2 MONITOREO DEL USO DE LOS SISTEMAS....................................................................61
".7.3 SINCRONIZACIN DE RELO$ES..................................................................................... 62
"..1 COMPUTACIN MVIL..................................................................................................... 62
"..2 TRABA$O REMOTO.......................................................................................................... 63
10 5ESA,,O))O @ MA67E6IMIE67O 5E SIS7EMAS$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$0D
1#.1.1 AN(LISIS Y ESPECIFICACIONES DE LOS RE!UERIMIENTOS DE SEGURIDAD......64
1#.2.1 VALIDACIN DE DATOS DE ENTRADA........................................................................65
1#.2.2 CONTROLES DE PROCESAMIENTO INTERNO............................................................65
1#.2.3 AUTENTICACIN DE MENSA$ES..................................................................................66
1#.2.4 VALIDACIN DE LOS DATOS DE SALIDA....................................................................66
1#.3.1 POLTICA DE UTILIZACIN DE CONTROLES CRIPTOGR(FICOS..............................67
1#.3.2 CIFRADO.......................................................................................................................... 67
1#.3.3 FIRMA DIGITAL................................................................................................................ 6
1#.3.4 SERVICIOS DE NO REPUDIO......................................................................................... 6
1#.3.5 ADMINISTRACIN DE CLAVES..................................................................................... 6
1#.4.1 CONTROL DEL SOFT&ARE OPERATIVO.....................................................................7#
1#.4.2 PROTECCIN DE LOS DATOS DE PRUEBA DEL SISTEMA........................................7#
1#.4.3 CONTROL DE ACCESO A LAS BIBLIOTECAS DE PROGRAMA FUENTE..................71
1#.5.1 PROCEDIMIENTOS DE CONTROL DE CAMBIOS.........................................................71
1#.5.2 REVISIN T%CNICA DE LOS CAMBIOS EN EL SISTEMA OPERATIVO......................72
1#.5.3 RESTRICCIN DEL CAMBIO EN LOS PA!UETES DE SOFT&ARE............................72
1#.5.4 CANALES OCULTOS Y CDIGO TROYANO.................................................................73
1#.5.5 DESARROLLO E)TERNO DE SOFT&ARE....................................................................73
11 A5MI6IS7,ACI=6 5E )A CO67I6UI5A5 5E )OS 6ECOCIOS$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$7>
11.1.1 PROCESO DE ADMINISTRACIN DE LA CONTINUIDAD DE LOS NEGOCIOS..........74
11.1.2 CONTINUIDAD DEL NEGOCIO Y AN(LISIS DEL IMPACTO.........................................74
11.1.3 ELABORACIN E IMPLEMENTACIN DE PLANES DE CONTINUIDAD DE LOS
NEGOCIOS.................................................................................................................................. 74
11.1.4 MARCO PARA LA PLANIFICACIN DE LA CONTINUIDAD DE LOS NEGOCIOS.......75
11.1.5 PRUEBA' MANTENIMIENTO Y REEVALUACIN DE LOS PLANES DE CONTINUIDAD
DE LOS NEGOCIOS................................................................................................................... 75
12 CUM-)IMIE67O$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 77
12.1.1 IDENTIFICACIN DE LA LEGISLACIN APLICABLE...................................................77
12.1.2 DEREC,OS DE PROPIEDAD INTELECTUAL -DPI........................................................77
&
12.1.3 PROTECCIN DE LOS REGISTROS DE LA ORGANIZACIN......................................7
12.1.4 PROTECCIN DE DATOS Y PRIVACIDAD DE LA INFORMACIN PERSONAL..........7"
12.1.5 PREVENCIN DEL USO INADECUADO DE LOS RECURSOS DE PROCESAMIENTO
DE INFORMACIN..................................................................................................................... 7"
12.1.6 REGULACIN DE CONTROLES PARA EL USO DE CRIPTOGRAFA..........................7"
12.1.7 RECOLECCIN DE EVIDENCIA..................................................................................... #
12.2.1 CUMPLIMIENTO DE LA POLTICA DE SEGURIDAD.....................................................1
12.2.2 VERIFICACIN DE LA COMPATIBILIDAD T%CNICA....................................................1
12.3.1 CONTROLES DE AUDITORIA DE SISTEMAS................................................................2
12.3.2 PROTECCIN DE LAS ,ERRAMIENTAS DE AUDITORA DE SISTEMAS...................2
Ane8o A$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 2>
1In!ormati*o4$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 2>
3i(liogra!;a$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 2>
Ane8o 3$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 2D
1In!ormati*o4$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 2D
'
Es%ema 1 I ,AM& 9
(
Tecnologa de la informacin
Cdigo de prctica para la administracin de la segridad de la
in!ormacin
INTRODUCCIN
)*+ e, la ,eg*ridad de la informacin -
)a in!ormacin es n recrso %e+ como el resto de los importantes acti*os comerciales+ tiene *alor
para na organi:acin # por consigiente de(e ser de(idamente protegida$ )a segridad de la
in!ormacin protege <sta de na amplia gama de amena:as+ a !in de garanti:ar la continidad
comercial+ minimi:ar el daGo al mismo # ma8imi:ar el retorno so(re las in*ersiones # las
oportnidades$
)a in!ormacin pede e8istir en mc"as !ormas$ -ede estar impresa o escrita en papel+ almacenada
electrnicamente+ transmitida por correo o tili:ando medios electrnicos+ presentada en imgenes+ o
e8pesta en na con*ersacin$ Cal%iera sea la !orma %e ad%iere la in!ormacin+ o los medios
por los cales se distri(#e o almacena+ siempre de(e ser protegida en !orma adecada$
)a segridad de la in!ormacin se de!ine a%; como la preser*acin de las sigientes caracter;sticas9
a4 con!idencialidad9 se garanti:a %e la in!ormacin sea accesi(le slo a a%ellas personas
atori:adas a tener acceso a ella$
(4 integridad9 se sal*agarda la e8actitd # totalidad de la in!ormacin # los m<todos de
procesamiento$
c4 disponi(ilidad9 se garanti:a %e los sarios atori:ados tengan acceso a la in!ormacin # a
los recrsos relacionados con ella toda *e: %e se re%iera$
)a segridad de la in!ormacin se logra implementando n conHnto adecado de controles+ %e
a(arca pol;ticas+ prcticas+ procedimientos+ estrctras organi:acionales # !nciones del so!tIare$
Se de(en esta(lecer estos controles para garanti:ar %e se logren los o(Heti*os espec;!icos de
segridad de la organi:acin$
!or .*+ e, nece,aria la ,eg*ridad de la informacin
)a in!ormacin # los procesos+ sistemas # redes %e le (rindan apo#o constit#en importantes
recrsos de la empresa$ )a con!idencialidad+ integridad # disponi(ilidad de la in!ormacin peden ser
esenciales para mantener la *entaHa competiti*a+ el !lHo de !ondos+ la renta(ilidad+ el cmplimiento
de las le#es # la imagen comercial$
)as organi:aciones # ss redes # sistemas de in!ormacin+ se en!rentan en !orma creciente con
amena:as relati*as a la segridad+ de di*ersos or;genes+ incl#endo el !rade asistido por
comptadora+ espionaHe+ sa(otaHe+ *andalismo+ incendio o inndacin$ 5aGos tales como los ata%es
mediante *irs in!ormticos+ J"acKingJ # denegacin de ser*icio se "an *elto ms comnes+
am(iciosos # crecientemente so!isticados$
/
Es%ema 1 I ,AM& 9
)a dependencia de las organi:aciones respecto de los sistemas # ser*icios de in!ormacin denota
%e ellas son ms *lnera(les a las amena:as concernientes a segridad$ )a intercone8in de las
redes p'(licas # pri*adas # el so compartido de los recrsos de in!ormacin incrementa la di!icltad
de lograr el control de los accesos$ )a tendencia "acia el procesamiento distri(ido "a de(ilitado la
e!icacia del control t<cnico centrali:ado$
Mc"os sistemas de in!ormacin no "an sido diseGados para ser segros$ )a segridad %e pede
lograrse por medios t<cnicos es limitada # de(e ser respaldada por na gestin # procedimientos
adecados$ )a identi!icacin de los controles %e de(en implementarse re%iere na cidadosa
plani!icacin # atencin a todos los detalles$ )a administracin de la segridad de la in!ormacin+
e8ige+ como m;nimo+ la participacin de todos los empleados de la organi:acin$ 7am(i<n pede
re%erir la participacin de pro*eedores+ clientes # accionistas$ Asimismo+ pede re%erirse el
asesoramiento e8perto de organi:aciones e8ternas$ )os controles de segridad de la in!ormacin
resltan considera(lemente ms econmicos # e!icaces si se incorporan en la etapa de
especi!icacin de re%erimientos # diseGo$
Cmo e,0a1lecer lo, re.*erimien0o, de ,eg*ridad
Es esencial %e na organi:acin identi!i%e ss re%erimientos de segridad$ E8isten tres recrsos
principales para lograrlo$
El primer recrso consiste en e*alar los riesgos %e en!renta la organi:acin$ Mediante la
e*alacin de riesgos se identi!ican las amena:as a los acti*os+ se e*al'an las *lnera(ilidades #
pro(a(ilidades de ocrrencia+ # se estima el impacto potencial$
El segndo recrso est constitido por los re%isitos legales+ normati*os+ reglamentarios #
contractales %e de(en cmplir la organi:acin+ ss socios comerciales+ los contratistas # los
prestadores de ser*icios$
El tercer recrso es el conHnto espec;!ico de principios+ o(Heti*os # re%isitos para el procesamiento
de la in!ormacin+ %e "a desarrollado la organi:acin para respaldar ss operaciones$
E2al*acin de lo, rie,go, en ma0eria de ,eg*ridad
)os re%erimientos de segridad se identi!ican mediante na e*alacin metdica de los riesgos de
segridad$ )as erogaciones deri*adas de la satis!accin de las necesidades de control de(en ser
e%ili(radas con respecto al impacto potencial de las !allas de segridad en los negocios$ )as t<cnicas
de e*alacin de riesgos peden aplicarse a toda la organi:acin+ o slo a partes de la misma+ as; como
a los sistemas de in!ormacin indi*idales+ componentes de sistemas o ser*icios espec;!icos cando
esto reslte !acti(le+ *ia(le # pro*ec"oso$
)a e*alacin de riesgos es na consideracin sistemtica de los sigientes pntosL
a4 impacto potencial de na !alla de segridad en los negocios+ teniendo en centa las
potenciales consecencias por na p<rdida de la con!idencialidad+ integridad o disponi(ilidad
de la in!ormacin # otros recrsosL
(4 pro(a(ilidad de ocrrencia de dic"a !alla tomando en centa las amena:as # *lnera(ilidades
predominantes+ # los controles actalmente implementados$
)os resltados de esta e*alacin a#darn a orientar #a determinar las prioridades # acciones de
gestin adecadas para la administracin de los riesgos concernientes a segridad de la in!ormacin+ #
para la implementacin de los controles seleccionados a !in de (rindar proteccin contra dic"os riesgos$
34
-ede resltar necesario %e el proceso de e*alacin de riesgos # seleccin de controles de(a lle*arse
aca(o en *arias ocasiones+ a !in de c(rir di!erentes partes de la organi:acin o sistemas de in!ormacin
indi*idales$
Es importante lle*ar a ca(o re*isiones peridicas de los riesgos de segridad # de los controles
implementados a !in de9
a4 re!leHar los cam(ios en los re%erimientos # prioridades de la empresaL
(4 considerar ne*as amena:as # *lnera(ilidadesL
c4 corro(orar %e los controles sigen siendo e!icaces # apropiados$
)as re*isiones de(en lle*arse a ca(o con di!erentes ni*eles de pro!ndidad seg'n los resltados de
e*alaciones anteriores # los ni*eles *aria(les de riesgo %e la gerencia est dispesta a aceptar$
Arecentemente+ las e*alaciones de riesgos se reali:an primero en n ni*el alto+ a !in de priori:ar
recrsos en reas de alto riesgo+ # posteriormente en n ni*el ms detallado+ con el o(Heto de
a(ordar riesgos espec;!icos$
Seleccin de con0role,
Una *e: identi!icados los re%erimientos de segridad+ de(en seleccionarse e implementarse controles
para garanti:ar %e los riesgos sean redcidos a n ni*el acepta(le$ )os controles peden seleccionarse
so(re la (ase de este docmento+ de otros estndares+ o peden diseGarse ne*os controles para
satis!acer necesidades espec;!icas seg'n corresponda$ E8isten di*ersos modos de administrar riesgos #
este docmento (rinda eHemplos de estrategias generales$ 6o o(stante+ es necesario reconocer %e
algnos controles no son aplica(les a todos los sistemas o am(ientes de in!ormacin+ # podr;an no
resltar *ia(les en todas las organi:aciones$ Como eHemplo+ el pnto 2$1$D descri(e cmo peden
separarse las tareas para e*itar !rades # errores$ -odr;a no resltar posi(le para las organi:aciones
ms pe%eGas separar todas las tareas+ pdiendo resltar necesarias otras !ormas de lograr el mismo
o(Heti*o de control$
)os controles de(en seleccionarse teniendo en centa el costo de implementacin en relacin con
los riesgos a redcir # las p<rdidas %e podr;an prodcirse de tener lgar na *iolacin de la
segridad$ 7am(i<n de(en tenerse en centa los !actores no monetarios+ como el daGo en la
reptacin$
Algnos controles de este docmento peden considerarse como principios rectores para la
administracin de la segridad de la in!ormacin+ aplica(les a la ma#or;a de las organi:aciones$ Se
e8plican con ma#or detalle en el sigiente prra!o+ (aHo el t;tlo de J-nto de partida para la
segridad de la in!ormacinJ$
!*n0o de 5ar0ida 5ara la ,eg*ridad de la informacin
Algnos controles peden considerarse como principios rectores %e proporcionan n (en pnto de
partida para la implementacin de la segridad de la in!ormacin$ Estn (asados en re%isitos
legales !ndamentales+ o (ien se consideran como prctica recomendada de so !recente
concerniente a la segridad de la in!ormacin$
)os controles %e se consideran esenciales para na organi:acin+ desde el pnto de *ista legal
comprenden9
a4 proteccin de datos # con!idencialidad de la in!ormacin personal 1*er 12$1$D4L
(4 proteccin de registros # docmentos de la organi:acin 1*er 12$1$>4 L
33
Es%ema 1 I ,AM& 9
c4 derec"os de propiedad intelectal 1*er 12$1$24 L
)os controles considerados como prctica recomendada de so !recente en la implementacin de la
segridad de la in!ormacin comprenden9
a4 docmentacin de la pol;tica de segridad de la in!ormacin 1*er >$1$14L
(4 asignacin de responsa(ilidades en materia de segridad de la in!ormacin 1*er D$1 $>4L
c4 instrccin # entrenamiento en materia de segridad de la in!ormacin 1*er 0$2$14L
d4 comnicacin de incidentes relati*os a la segridad 1*er 0$>$14L
e4 administracin de la continidad de la empresa 1*er 11$1 4L
Estos controles son aplica(les a la ma#or;a de las organi:aciones # en la ma#or;a de los am(ientes$
Se de(e o(ser*ar %e an%e todos los controles mencionados en este docmento son importantes+
la rele*ancia de cada no de ellos de(e ser determinada teniendo en centa los riesgos espec;!icos
%e a!ronta la organi:acin$ -or ello+ si (ien el en!o%e delineado precedentemente se considera n
(en pnto de partida+ <ste no pretende reempla:ar la seleccin de controles %e se reali:a so(re la
(ase de na e*alacin de riesgos$
6ac0ore, cr0ico, del +7i0o
)a e8periencia "a demostrado %e los sigientes !actores+ a mendo resltan cr;ticos para la
implementacin e8itosa de la segridad de la in!ormacin+ dentro de na organi:acin9
a4 pol;tica de segridad+ o(Heti*os # acti*idades %e re!leHen los o(Heti*os de la empresaL
(4 na estrategia de implementacin de segridad %e sea consecente con la cltra
organi:acionalL
c4 apo#o # compromiso mani!iestos por parte de la gerenciaL
d4 n claro entendimiento de los re%erimientos de segridad+ la e*alacin de riesgos # la
administracin de los mismosL
e4 comnicacin e!ica: de los temas de segridad a todos los gerentes # empleadosL
!4 distri(cin de g;as so(re pol;ticas # estndares de segridad de la in!ormacin a todos los
empleados # contratistasL
g4 instrccin # entrenamiento adecadosL
"4 n sistema integral # e%ili(rado de medicin %e se tilice para e*alar el desempeGo de la
gestin de la segridad de la in!ormacin # para (rindar sgerencias tendientes a meHorarlo$
De,arrollo de lineamien0o, 5ro5io,
Este cdigo de prctica pede ser considerado como n pnto de partida para el desarrollo de
lineamientos espec;!icos+ aplica(les a cada organi:acin$ 6o todos los lineamientos # controles de
este cdigo de prctica resltarn aplica(les$ Ms a'n+ es pro(a(le %e de(an agregarse controles
%e no estn inclidos en este docmento$ Ante esta sitacin pede resltar 'til retener re!erencias
cr:adas %e !aciliten la reali:acin de pre(as de cmplimiento por parte de aditores # socios$
3
3 ALCANCE
Esta parte del estndar (rinda recomendaciones para la gestin de la segridad de la in!ormacin
%e "an de ser aplicadas por los responsa(les de iniciar+ implementar o mantener la segridad en
ss organi:aciones$ S propsito es pro*eer de na (ase com'n para el desarrollo de estndares de
segridad de la organi:acin # na prctica e!ecti*a de la administracin de la misma+ (rindando
asimismo+ con!ian:a en las relaciones lle*adas a ca(o entre las organi:aciones$
T8RMINOS 9 DE6INICIONES
A los e!ectos de este docmento se aplican las sigientes de!iniciones9
:3 Seg*ridad de la informacin
)a preser*acin de la con!idencialidad+ integridad # disponi(ilidad de la in!ormacin$
Con!idencialidad9 garant;a de %e acceden a la in!ormacin+ slo a%ellas personas
atori:adas a "acerlo$
Integridad9 mantenimiento de la e8actitd # totalidad de la in!ormacin # los m<todos de
procesamiento$
5isponi(ilidad9 garant;a de %e los sarios atori:ados tienen acceso a la in!ormacin # a los
recrsos relacionados con la misma+ toda *e: %e lo re%ieran$
: E2al*acin de rie,go,
)a e*alacin de las amena:as+ impactos # *lnera(ilidades relati*os a la in!ormacin # a las
instalaciones de procesamiento de la misma+ # a la pro(a(ilidad de %e ocrran
:" Admini,0racin de rie,go,
El proceso de identi!icacin+ control # minimi:acin o eliminacin+ a n costo acepta(le+ de los
riesgos de segridad %e podr;an a!ectar a los sistemas de in!ormacin$
" !OL#TICA DE SEGURIDAD
":3 !ol0ica de ,eg*ridad de la informacin
O(Heti*o9 -roporcionar direccin # apo#o gerencial para (rindar segridad de la in!ormacin$
El ni*el gerencial de(e esta(lecer na direccin pol;tica clara # demostrar apo#o # compromiso con
respecto a la segridad de la in!ormacin+ mediante la !ormlacin # mantenimiento de na pol;tica
de segridad de la in!ormacin a tra*<s de toda la organi:acin$
3"
Es%ema 1 I ,AM& 9
":3:3 Doc*men0acin de la 5ol0ica de ,eg*ridad de la informacin
)os responsa(les del ni*el gerencial de(en apro(ar # p(licar n docmento %e contenga la pol;tica de
segridad # comnicarlo a todos los empleados+ seg'n corresponda$ ?ste de(e poner de mani!iesto s
compromiso # esta(lecer el en!o%e de la organi:acin con respecto a la gestin de la segridad de la
in!ormacin$ Como m;nimo+ de(en inclirse las sigientes patas9
a4 de!inicin de la segridad de la in!ormacin+ ss o(Heti*os # alcance generales # la
importancia de la segridad como n mecanismo %e permite la distri(cin de la in!ormacin
1*er introdccin4L
(4 na declaracin del propsito de los responsa(les del ni*el gerencial+ apo#ando los o(Heti*os
# principios de la segridad de la in!ormacinL
c4 na (re*e e8plicacin de las pol;ticas+ principios+ normas # re%isitos de cmplimiento en
materia de segridad+ %e son especialmente importantes para la organi:acin+ por eHemplo9
14 cmplimiento de re%isitos legales # contractalesL
24 re%isitos de instrccin en materia de segridadL
>4 pre*encin # deteccin de *irs # dems so!tIare maliciosoL
D4 administracin de la continidad comercialL
.4 consecencias de las *iolaciones a la pol;tica de segridadL
d4 na de!inicin de las responsa(ilidades generales # espec;!icas en materia de gestin de la
segridad de la in!ormacin+ incl#endo la comnicacin de los incidentes relati*os a la
segridadL
e4 re!erencias a docmentos %e pedan respaldar la pol;tica+ por eH$ + pol;ticas # procedimientos
de segridad ms detallados para sistemas de in!ormacin espec;!icos o normas de
segridad %e de(en cmplir los sarios$
Esta pol;tica de(e ser comnicada a todos los sarios de la organi:acin de manera pertinente+
accesi(le # comprensi(le$
":3: Re2i,in ; e2al*acin
)a pol;tica de(e tener n propietario %e sea responsa(le del mantenimiento # re*isin de la misma
de acerdo con n proceso de!inido$ Ese proceso de(e garanti:ar %e se lle*e aca(o na re*isin en
respesta a cal%ier cam(io %e peda a!ectar la (ase original de e*alacin de riesgos+ por eH$+
incidentes de segridad signi!icati*os+ ne*as *lnera(ilidades o cam(ios en la in!raestrctra
t<cnica o de la organi:acin$ 7am(i<n de(en programarse re*isiones peridicas de lo sigiente9
a4 la e!icacia de la pol;tica+ demostrada por la natrale:a+ n'mero e impacto de los incidentes de
segridad registradosL
(4 el costo e impacto de los controles en la e!iciencia del negocioL
c4 los e!ectos de los cam(ios en la tecnolog;a$
3$
$ ORGANIZACIN DE LA SEGURIDAD
$:3 Infrae,0r*c0*ra de ,eg*ridad de la informacin
O(Heti*o9 Administrar la segridad de la in!ormacin dentro de la organi:acin$ 5e(e esta(lecerse n
marco gerencial para iniciar # controlar la implementacin de la segridad de la in!ormacin dentro de
la organi:acin$
5e(en esta(lecerse adecados !oros de gestin liderados por ni*eles gerenciales+ a !in de apro(ar la pol;tica
de segridad de la in!ormacin+ asignar !nciones de segridad # coordinar la implementacin de la segridad
en toda la organi:acin$ Si reslta necesario+ se de(e esta(lecer # "acer accesi(le dentro de la organi:acin+
na !ente de asesoramiento especiali:ado en materia de segridad de la in!ormacin$ 5e(en desarrollarse
contactos con especialistas e8ternos en materia de segridad para estar al corriente de las tendencias de la
indstria+ monitorear estndares # m<todos de e*alacin # pro*eer pntos de enlace adecados al a!rontar
incidentes de segridad$ Se de(e alentar la aplicacin de n en!o%e mltidisciplinario de la segridad de la
in!ormacin+ por eH$+ comprometiendo la cooperacin # cola(oracin de gerentes+ sarios+ administradores+
diseGadores de aplicaciones+ aditores # personal de segridad+ # e8pertos en reas como segros #
administracin de riesgos$
$:3:3 6oro gerencial ,o1re ,eg*ridad de la informacin
)a segridad de la in!ormacin es na responsa(ilidad de la empresa compartida por todos los
miem(ros del e%ipo gerencial$ -or consigiente+ de(e tenerse en centa la creacin de n !oro
gerencial para garanti:ar %e e8iste na clara direccin # n apo#o mani!iesto de la gerencia a las
iniciati*as de segridad$ Este !oro de(e promo*er la segridad dentro de la organi:acin mediante n
adecado compromiso # na apropiada reasignacin de recrsos$ El !oro podr;a ser parte de n cerpo
gerencial e8istente$ Ceneralmente+ n !oro de esta ;ndole comprende las sigientes acciones9
a4 re*isar # apro(ar la pol;tica # las responsa(ilidades generales en materia de segridad de la
in!ormacinL
(4 monitorear cam(ios signi!icati*os en la e8posicin de los recrsos de in!ormacin !rente a las
amena:as ms importantesL
c4 re*isar # monitorear los incidentes relati*os a la segridadL
d4 apro(ar las principales iniciati*as para incrementar la segridad de la in!ormacin$
Un gerente de(e ser responsa(le de todas las acti*idades relacionadas con la segridad$
$:3: Coordinacin de la ,eg*ridad de la informacin
En na gran organi:acin+ podr;a ser necesaria la creacin de n !oro ;nter !ncional %e comprenda
representantes gerenciales de sectores rele*antes de la organi:acin para coordinar la
implementacin de controles de segridad de la in!ormacin$
6ormalmente+ dic"o !oro9
a4 acerda !nciones # responsa(ilidades espec;!icas relati*as a segridad de la in!ormacin
para toda la organi:acinL
(4 acerda metodolog;as # procesos espec;!icos relati*os a segridad de la in!ormacin+ por eH$+
e*alacin de riesgos+ sistema de clasi!icacin de segridadL
3%
Es%ema 1 I ,AM& 9
c4 acerda # (rinda apo#o a las iniciati*as de segridad de la in!ormacin de toda la
organi:acin+ por eH$ programa de concienti:acin en materia de segridadL
d4 garanti:a %e la segridad sea parte del proceso de plani!icacin de la in!ormacinL
e4 e*al'a la pertinencia # coordina la implementacin de controles espec;!icos de segridad de
la in!ormacin para ne*os sistemas o ser*iciosL
!4 re*isa incidentes relati*os a la segridad de la in!ormacinL
g4 prome*e la di!sin del apo#o de la empresa a la segridad de la in!ormacin dentro de la
organi:acin$
$:3:" A,ignacin de re,5on,a1ilidade, en ma0eria de ,eg*ridad de la informacin
5e(en de!inirse claramente las responsa(ilidades para la proteccin de cada no de los recrsos #
por la implementacin de procesos espec;!icos de segridad$
)a pol;tica de segridad de la in!ormacin 1*er pnto >4 de(e sministrar na orientacin general
acerca de la asignacin de !nciones de segridad # responsa(ilidades dentro la organi:acin$ Esto
de(e complementarse+ cando corresponda+ con na g;a ms detallada para sitios+ sistemas o
ser*icios espec;!icos$ 5e(en de!inirse claramente las responsa(ilidades locales para cada no de los
procesos de segridad # recrsos !;sicos # de in!ormacin+ como la plani!icacin de la continidad de
los negocios$
En mc"as organi:aciones+ se asigna a n gerente de segridad de la in!ormacin la responsa(ilidad
general por el desarrollo e implementacin de la segridad # por el soporte a la identi!icacin de
controles$ 6o o(stante+ la responsa(ilidad por la reasignacin e implementacin de controles a
mendo es retenida por cada no de los gerentes$ Una prctica com'n es designar a n propietario
para cada recrso de in!ormacin %e adems se "aga responsa(le de s segridad de manera
permanente$
)os propietarios de los recrsos de in!ormacin peden delegar ss responsa(ilidades de segridad
a cada no de los gerentes o pro*eedores de ser*icios$ 6o o(stante+ el propietario es en 'ltimo
t<rmino responsa(le de la segridad del recrso # de(e estar en capacidad de determinar si las
responsa(ilidades delegadas !eron cmplimentadas correctamente$
Es esencial %e se esta(le:can claramente las reas so(re las cales es responsa(le cada gerenteL
en particlar se de(e cmplir lo sigiente$
a4 5e(en identi!icarse # de!inirse claramente los di*ersos recrsos # procesos de segridad
relacionados con cada no de los sistemas$
(4 Se de(e designar al gerente responsa(le de cada recrso o proceso de segridad # se de(en
docmentar los detalles de esta responsa(ilidad$
c4 )os ni*eles de atori:acin de(en ser claramente de!inidos # docmentados$
$:3:$ !roce,o de a*0ori<acin 5ara in,0alacione, de 5roce,amien0o de informacin
5e(e esta(lecerse n proceso de atori:acin gerencial para ne*as instalaciones de procesamiento
de in!ormacin$ 5e(e considerarse lo sigiente$
a4 )as ne*as instalaciones de(en ser adecadamente apro(adas por la gerencia saria+
atori:ando s propsito # so$ )a apro(acin tam(i<n de(e o(tenerse del gerente
responsa(le del mantenimiento del am(iente de segridad del sistema de in!ormacin local+ a
!in de garanti:ar %e se cmplen todas las pol;ticas # re%erimientos de segridad
pertinentes$
3&
(4 Cando corresponda+ de(e *eri!icarse el "ardIare # so!tIare para garanti:ar %e son
compati(les con los componentes de otros sistemas$
No0a= -ede ser necesaria la compro(acin de categor;as para ciertas cone8iones$
c4 5e(en ser atori:ados el so de las instalaciones personales de procesamiento de
in!ormacin+ para el procesamiento de in!ormacin de la empresa+ # los controles necesarios$
d4 El so de instalaciones personales de procesamiento de in!ormacin en el lgar de tra(aHo
pede ocasionar ne*as *lnera(ilidades # en consecencia de(e ser e*alado # atori:ado$
Estos controles son especialmente importantes en n am(iente de red$
$:3:% A,e,oramien0o e,5eciali<ado en ma0eria de ,eg*ridad de la informacin
Es pro(a(le %e mc"as organi:aciones re%ieran asesoramiento especiali:ado en materia de
segridad$ Idealmente+ <ste de(e ser pro*isto por n asesor interno e8perimentado en segridad de
la in!ormacin$ 6o todas las organi:aciones desean emplear an asesor especiali:ado$ En esos
casos+ se recomienda %e se identi!i%e a na persona determinada para coordinar los
conocimientos # e8periencias disponi(les en la organi:acin a !in de garanti:ar co"erencia+ # (rindar
a#da para la toma de decisiones en materia de segridad$ 7am(i<n de(e tener acceso a cali!icados
asesores e8ternos para (rindar asesoramiento especiali:ado ms all de s propia e8periencia$
)os asesores en segridad de la in!ormacin o pntos de contacto e%i*alentes sern los encargados
de (rindar asesoramiento acerca de todos los aspectos de la segridad de la in!ormacin+ tili:ando ss
propias recomendaciones o las e8ternas$ )a calidad de s e*alacin de las amena:as a la segridad #
de s asesoramiento en materia de controles determinar la e!icacia de la segridad de la in!ormacin
de la organi:acin$ -ara lograr la m8ima e!icacia e impacto se les de(e permitir acceso directo a los
ni*eles gerenciales de toda la organi:acin$
El asesor de segridad de la in!ormacin o cargo e%i*alente de(e ser consltado lo ms
tempranamente posi(le a partir de la deteccin de n spesto incidente o *iolacin de la segridad+
a !in de sministrar na !ente de conocimientos o recrsos de in*estigacin e8pertos$ Si (ien la
ma#or;a de las in*estigaciones de segridad internas se lle*an a ca(o (aHo el control de la gerencia+
el asesor de segridad de la in!ormacin pede ser posteriormente con*ocado para asesorar+ liderar
o dirigir la in*estigacin$
$:3:& Coo5eracin en0re organi<acione,
Se de(en mantener adecados contactos con atoridades policiales o de segridad+ organismos
regladores+ pro*eedores de ser*icios de in!ormacin # operadores de telecomnicaciones+ a !in de
garanti:ar %e+ en caso de prodcirse n incidente relati*o a la segridad+ pedan tomarse las medidas
adecadas # o(tenerse asesoramiento con prontitd$ 5el mismo modo+ se de(e tener en centa a los
miem(ros de grpos de segridad # !oros de la indstria$
Se de(en limitar los intercam(ios de in!ormacin de segridad+ para garanti:ar %e no se di*lge
in!ormacin con!idencial+ perteneciente a organi:acin+ entre personas no atori:adas$
$:3:' Re2i,in inde5endien0e de la ,eg*ridad de la informacin
El docmento %e !iHa la pol;tica de segridad de la in!ormacin 1*er >$1$14 esta(lece la pol;tica # las
responsa(ilidades por la segridad de la in!ormacin$ S implementacin de(e ser re*isada
independientemente para garanti:ar %e las prcticas de la organi:acin re!leHan adecadamente la
pol;tica+ # %e <sta es *ia(le # e!ica: 1*er 12$2$4
3'
Es%ema 1 I ,AM& 9
5ic"a re*isin pede ser lle*ada a ca(o por la !ncin de aditor;a interna+ por n gerente
independiente o na organi:acin e8terna especiali:ados en re*isiones de esta ;ndole+ seg'n estos
candidatos tengan la e8periencia # capacidad adecada$
$: Seg*ridad fren0e al acce,o 5or 5ar0e de 0ercero,
O(Heti*o9 Mantener la segridad de las instalaciones de procesamiento de in!ormacin # de los
recrsos de in!ormacin de la organi:acin a los %e acceden terceras partes$
El acceso a las instalaciones de procesamiento de in!ormacin de la organi:acin por parte de
terceros de(e ser controlado$
Cando e8iste na necesidad de la empresa para permitir dic"o acceso+ de(e lle*arse a ca(o na
e*alacin de riesgos para determinar las incidencias en la segridad # los re%erimientos de control$
)os controles de(en ser acordados # de!inidos en n contrato con la tercera parte$
El acceso de terceros tam(i<n pede in*olcrar otros participantes$ )os contratos %e con!ieren
acceso a terceros de(en inclir n permiso para la designacin de otros participantes capacitados #
las condiciones para s acceso$
Este estndar pede tili:arse como (ase para tales contratos # cando se considere la terceri:acin
del procesamiento de in!ormacin$
$::3 Iden0ificacin de rie,go, del acce,o de 0ercera, 5ar0e,
$::3:3 Ti5o, de acce,o
El tipo de acceso otorgado a terceras partes es de especial importancia$ -or eHemplo+ los riesgos de
acceso a tra*<s de na cone8in de red son di!erentes de los riesgos relati*os al acceso !;sico$ )os tipos
de acceso %e de(en tenerse en centa son9
a4 acceso !;sico+ por eH$+ a o!icinas+ salas de cmptos+ armarios L
(4 acceso lgico+ por eH$ a las (ases de datos # sistemas de in!ormacin de la organi:acin$
$::3: Ra<one, 5ara el acce,o
-ede otorgarse acceso a terceros por di*ersas ra:ones$ -or eHemplo+ e8isten terceros %e pro*een
ser*icios a na organi:acin # no estn (icados dentro de la misma pero se les pede otorgar
acceso !;sico # lgico+ tales como9
a4 personal de soporte de "ardIare # so!tIare+ %ienes necesitan acceso a ni*el de sistema o a
!nciones de las aplicacionesL
(4 socios comerciales o socios con riesgos compartidos 1JHoint *entresJ4+ %ienes peden
intercam(iar in!ormacin+ acceder a sistemas de in!ormacin o compartir (ases de datos$
)a in!ormacin pede ponerse en riesgo si el acceso de terceros se prodce en el marco de na
inadecada administracin de la segridad$ Cando e8iste na necesidad de negocios %e
in*olcran na cone8in con n sitio e8terno+ de(e lle*arse a ca(o na e*alacin de riesgos para
identi!icar los re%erimientos de controles espec;!icos$ ?sta de(e tener en centa el tipo de acceso
re%erido+ el *alor de la in!ormacin+ los controles empleados por la tercera parte # la incidencia de
este acceso en la segridad de la in!ormacin de la organi:acin$
3(
$::3:" Con0ra0i,0a, in ,i0*
)as terceras partes %e sean (icadas in sit por n per;odo de tiempo determinado seg'n contrato+
tam(i<n peden originar de(ilidades en materia de segridad$ Entre los eHemplos de terceras partes
in sit se enmeran los sigientes9
a4 personal de mantenimiento # soporte de "ardIare # so!tIareL
(4 limpie:a+ JcateringJ+ gardia de segridad # otros ser*icios de soporte terceri:adosL
c4 pasant;as de estdiantes # otras designaciones contingentes de corto pla:oL
d4 consltores$
Es esencial determinar %< controles son necesarios para administrar el acceso de terceras partes a las
instalaciones de procesamiento de in!ormacin$ En general+ todos los re%erimientos de segridad %e
resltan de los controles internos o del acceso de terceros+ de(en estar re!leHados en los contratos
cele(rados con los mismos 1*er tam(i<n D$2$24$ -or eHemplo+ si e8iste na necesidad espec;!ica de
con!idencialidad de la in!ormacin+ podr;an implementarse acerdos de no&di*lgacin 1*er 0$1$>4$
6o se de(e otorgar a terceros acceso a la in!ormacin ni a las instalaciones de procesamiento de la
misma "asta tanto se "a#an implementado los controles apropiados # se "a#a !irmado n contrato
%e de!ina las condiciones para la cone8in o el acceso$
$:: Re.*erimien0o, de ,eg*ridad en con0ra0o, con 0ercero,
)as disposiciones %e contemplan el acceso de terceros a las instalaciones de procesamiento de
in!ormacin de la organi:acin de(en estar (asadas en n contrato !ormal %e contenga todos los
re%erimientos de segridad+ o "aga re!erencia a los mismos+ a !in de asegrar el cmplimiento de
las pol;ticas # estndares 1normas4 de segridad de la organi:acin$ El contrato de(e garanti:ar %e
no srHan malentendidos entre la organi:acin # el pro*eedor$ )as organi:aciones de(en estar
satis!ec"as con las garant;as de s pro*eedor$ Se de(en considerar las sigientes clslas para s
inclsin en el contrato9
a4 la pol;tica general de segridad de la in!ormacinL
(4 la proteccin de acti*os+ con inclsin de9
14 procedimientos de proteccin de los acti*os de la organi:acin+ incl#endo
in!ormacin # so!tIareL
24 procedimientos para determinar si se "an comprometido los acti*os+ por eH$+ de(ido
a p<rdida o modi!icacin de datosL
>4 controles para garanti:ar la recperacin o destrccin de la in!ormacin # los
acti*os al !inali:ar el contrato+ o en n momento con*enido drante la *igencia del
mismoL
D4 integridad # disponi(ilidadL
.4 restricciones a la copia # di*lgacin de in!ormacinL
c4 na descripcin de cada ser*icio del %e podr disponerseL
d4 el ni*el de ser*icio al %e se aspira # los ni*eles de ser*icio %e se consideran inacepta(lesL
e4 disposicin %e contemple la trans!erencia de personal cando correspondaL
!4 las respecti*as o(ligaciones de las partes con relacin al acerdoL
g4 responsa(ilidades con respecto a asntos legales+ por eH$+ legislacin re!erida a proteccin de
datos+ especialmente teniendo en centa di!erentes sistemas legales nacionales si el contrato
contempla la cooperacin con organi:aciones de otros pa;ses 1*er tam(i<n 12$14L
3/
Es%ema 1 I ,AM& 9
"4 derec"os de propiedad intelectal # asignacin de derec"o de propiedad intelectal 1*er
12$1$24+ # proteccin de tra(aHos reali:ados en cola(oracin 1*er tam(i<n 0$1$>4 L
i4 acerdos de control de accesos %e contemplen9
14 los m<todos de acceso permitidos+ # el control # so de identi!icadores 'nicos como
I5s # contraseGas de sariosL
24 n proceso de atori:acin de acceso # pri*ilegios de sariosL
>4 n re%erimiento para mantener actali:ada na lista de indi*idos atori:ados a
tili:ar los ser*icios %e "an de implementarse # ss derec"os # pri*ilegios con
respecto a dic"o soL
H4 la de!inicin de criterios de desempeGo compro(a(les+ # el monitoreo # presentacin de
in!ormes respecto de los mismosL
K4 el derec"o a monitorear+ # re*ocar 1impedir4+ la acti*idad del sarioL
l4 el derec"o a aditar responsa(ilidades contractales o a contratar a n tercero para la
reali:acin de dic"as aditor;asL
m4 el esta(lecimiento de n proceso gradal para la resolcin de pro(lemasL tam(i<n de(en
considerarse+ si corresponde+ disposiciones con relacin a sitaciones de contingenciaL
n4 responsa(ilidades relati*as a la instalacin # el mantenimiento de "ardIare # so!tIareL
o4 na clara estrctra de dependencia # del proceso de ela(oracin # presentacin de in!ormes
%e contemple n acerdo con respecto a los !ormatos de los mismosL
p4 n proceso claro # detallado de administracin de cam(iosL
%4 los controles de proteccin !;sica re%eridos # los mecanismos %e asegren la
implementacin de los mismosL
r4 los m<todos # procedimientos de entrenamiento de sarios # administradores en materia de
segridadL
s4 los controles %e garanticen la proteccin contra so!tIare malicioso 1*er 2$>4L
t4 las disposiciones con respecto a ela(oracin # presentacin de in!ormes+ noti!icacin e
in*estigacin de incidentes # *iolaciones relati*os a la segridadL
4 la relacin entre pro*eedores # s(contratistas$
$:" Terceri<acin
O(Heti*o9 Mantener la segridad de la in!ormacin cando la responsa(ilidad por el procesamiento de
la misma !e delegada a otra organi:acin$
)os acerdos de terceri:acin de(en contemplar los riesgos+ los controles de segridad # los
procedimientos para sistemas de in!ormacin+ redes #/o am(ientes de -C 1desK top en*ironments4
en el contrato entre las partes$
$:":3 Re.*erimien0o, de ,eg*ridad en con0ra0o, de 0erceri<acin
)os re%erimientos de segridad de na organi:acin %e terceri:a la administracin # el control de
todos ss sistemas de in!ormacin+ redes #/o am(ientes de -C+ o de parte de los mismos+ de(en ser
contemplados en n contrato cele(rado entre las partes$
Entre otros ;tems+ el contrato de(e contemplar9
a4 cmo se cmplirn los re%isitos legales+ por eH$+ la legislacin so(re proteccin de datosL
(4 %< disposiciones se implementarn para garanti:ar %e todas las partes in*olcradas en la
terceri:acin+ incl#endo los s(contratistas+ estarn al corriente de ss responsa(ilidades en
materia de segridadL
c4 cmo se mantendr # compro(ar la integridad # con!idencialidad de los $acti*os de negocio
de la organi:acin L
4
d4 %< controles !;sicos # lgicos se tili:arn para restringir # delimitar el acceso de los sarios
atori:ados a la in!ormacin sensi(le de la organi:acinL
e4 cmo se mantendr la disponi(ilidad de los ser*icios ante la ocrrencia de desastresL
!4 %< ni*eles de segridad !;sica se asignarn al e%ipamiento terceri:adoL
g4 el derec"o a la aditor;a$
Asimismo+ se de(en tener en centa las clslas enmeradas en el pnto D$2$2 como parte de este
contrato$ El mismo de(e permitir la ampliacin de los re%erimientos # procedimientos de segridad
en n plan de administracin de la segridad a ser acordado entre las partes$
Si (ien los contratos de terceri:acin peden plantear algnas cestiones compleHas en materia de
segridad+ los controles inclidos en este cdigo de prctica peden ser*ir como pnto de partida
para acordar la estrctra # el contenido del plan de gestin de la segridad$
% CLASI6ICACIN 9 CONTROL DE ACTI>OS
%:3 Re,5on,a1ilidad 5or rendicin de c*en0a, de lo, ac0i2o,
O(Heti*o9 Mantener na adecada proteccin de los acti*os de la organi:acin$
Se de(e rendir centas por todos los recrsos de in!ormacin importantes # se de(e designar n
propietario para cada no de ellos$
)a rendicin de centas por los acti*os a#da a garanti:ar %e se mantenga na adecada
proteccin$ Se de(en identi!icar a los propietarios para todos los acti*os importantes # se de(e
asignarse la responsa(ilidad por el mantenimiento de los controles apropiados$ )a responsa(ilidad
por la implementacin de los controles pede ser delegada$ En 'ltimo t<rmino+ el propietario
designado del acti*o de(e rendir centas por el mismo$
%:3:3 In2en0ario de ac0i2o,
)os in*entarios de acti*os a#dan a garanti:ar la *igencia de na proteccin e!ica: de los recrsos+ #
tam(i<n peden ser necesarios para otros propsitos de la empresa+ como los relacionados con
sanidad # segridad+ segros o !inan:as 1administracin de recrsos4$ El proceso de compilacin de
n in*entario de acti*os es n aspecto importante de la administracin de riesgos$ Una organi:acin
de(e contar con la capacidad de identi!icar ss acti*os # el *alor relati*o e importancia de los
mismos$ So(re la (ase de esta in!ormacin+ la organi:acin pede entonces+M asignar ni*eles de
proteccin proporcionales al *alor e importancia de los acti*os$ + Se de(e ela(orar # mantener n
in*entario de los acti*os importantes asociados a cada sistema de in!ormacin$ Cada acti*o de(e ser
claramente identi!icado # s propietario # clasi!icacin en canto a segridad 1*er .$24 de(en ser
acordados # docmentados+ Hnto con la (icacin *igente del mismo 1importante cando se
emprende na recperacin posterior a na p<rdida o daGo4$ EHemplos de acti*os asociados a
sistemas de in!ormacin son los sigientes9

a4 recrsos de in!ormacin9 (ases de datos # arc"i*os+ docmentacin de sistemas+ manales de
sario+ material de capacitacin+ procedimientos operati*os o de soporte+ planes de
continidad+ disposiciones relati*as a sistemas de emergencia para la reposicin de
in!ormacin perdida 1J!all(acKJ4+ in!ormacin arc"i*adaL
3
Es%ema 1 I ,AM& 9
(4 recrsos de so!tIare9 so!tIare de aplicaciones+ so!tIare de sistemas+ "erramientas de
desarrollo # tilitariosL
c4 acti*os !;sicos9 e%ipamiento in!ormtico 1procesadores+ monitores+ comptadoras porttiles+
mdems4+ e%ipos de comnicaciones 1roters+ -A3Ns+ m%inas de !a8+ contestadores
atomticos4+ medios magn<ticos 1cintas # discos4+ otros e%ipos t<cnicos 1sministro de
electricidad+ nidades de aire acondicionado4+ mo(iliario+ lgares de empla:amiento L
d4 ser*icios9 ser*icios in!ormticos # de comnicaciones+ tilitarios generales+ por eH$+ cale!accin+
ilminacin+ energ;a el<ctrica+ aire acondicionado$
%: Cla,ificacin de la informacin
O(Heti*o9 Caranti:ar %e los recrsos de in!ormacin reci(an n apropiado ni*el de proteccin$
)a in!ormacin de(e ser clasi!icada para seGalar la necesidad+ la prioridades # el grado de
proteccin$
)a in!ormacin tiene di*ersos grados de sensi(ilidad # criticidad$ Algnos ;tems peden re%erir n
ni*el de proteccin adicional o n tratamiento especial$ Se de(e tili:ar n sistema de clasi!icacin de
la in!ormacin para de!inir n conHnto apropiado de ni*eles de proteccin # comnicar la necesidad
de medidas de tratamiento especial$
%::3 !a*0a, de cla,ificacin
)as clasi!icaciones # controles de proteccin asociados de la in!ormacin+ de(en tomar centa de las
necesidades de la empresa con respecto a la distri(cin 1so compartido4 o restriccin de la
in!ormacin+ # de la incidencia de dic"as necesidades en las acti*idades de la organi:acin+ por eH$
acceso no atori:ado o daGo ala in!ormacin$ En general+ la clasi!icacin asignada a la in!ormacin es
na !orma sencilla de seGalar cmo "a de ser tratada # protegida$ )a in!ormacin # las salidas de los
sistemas %e administran datos clasi!icados de(en ser rotladas seg'n s *alor # grado de sensi(ilidad
para la organi:acin$ Asimismo+ podr;a resltar con*eniente rotlar la in!ormacin seg'n s grado de
criticidad+ por eH$ en t<rminos de integridad # disponi(ilidad$
Arecentemente+ la in!ormacin deHa de ser sensi(le o cr;tica desp<s de n cierto per;odo de tiempo+
*er(igracia+ cando la in!ormacin se "a "ec"o p'(lica$ Estos aspectos de(en tenerse en centa+
pesto %e la clasi!icacin por e8ceso 1Jo*er& classi!icationJ4 pede tradcirse en gastos adicionales
innecesarios para la organi:acin$ )as patas de clasi!icacin de(en pre*er # contemplar el "ec"o de
%e la clasi!icacin de n ;tem de in!ormacin determinado no necesariamente+ de(e mantenerse
in*aria(le por siempre+ # %e <sta pede cam(iar de acerdo con na pol;tica predeterminada 1*er 9$14$
Se de(e considerar el n'mero de categor;as de clasi!icacin # los (ene!icios %e se o(tendrn con s
so$ )os es%emas demasiado compleHos peden tornarse engorrosos # antieconmicos o resltar poco
prcticos$ 5e(en interpretarse cidadosamente los rtlos de clasi!icacin de los docmentos de otras
organi:aciones %e podr;an tener distintas de!iniciones para rtlos igales o similares$
)a responsa(ilidad por la de!inicin de la clasi!icacin de n ;tem de in!ormacin+ por eH$+ n
docmento+ registro de datos+ arc"i*o de datos o dis%ete+ # por la re*isin peridica de dic"a
clasi!icacin+ de(e ser asignada al creador o propietario designado de la in!ormacin$
%:: Ro0*lado ; mane?o de la informacin
Es importante %e se de!ina n conHnto de procedimientos adecados para el rotlado # maneHo de
la in!ormacin+ seg'n el es%ema de clasi!icacin adoptado por la organi:acin$ Estos
procedimientos de(en inclir los recrsos de in!ormacin en !ormatos !;sicos # electrnicos$ -ara

cada clasi!icacin+ se de(en de!inir procedimientos de maneHo %e incl#an los sigientes tipos de
acti*idades de procesamiento de la in!ormacin9
a4 copiaL
(4 almacenamientoL
c4 transmisin por correo+ !a8 # correo electrnicoL
d4 transmisin oral+ incl#endo tele!on;a m*il+ correo de *o:+ contestadores atomticosL
& SEGURIDAD DEL !ERSONAL
&:3 Seg*ridad en la definicin de 5*e,0o, de 0ra1a?o ; la a,ignacin de rec*r,o,
O(Heti*o 9 ,edcir los riesgos de error "mano+ ro(o+ !rade o so inadecado de instalaciones$
)as responsa(ilidades en materia de segridad de(en ser e8plicitadas en la etapa de recltamiento+
inclidas en los contratos # monitoreadas drante el desempeGo del indi*ido como empleado$
)os candidatos a ocpar los pestos de tra(aHo de(en ser adecadamente seleccionados 1*er 0$1$24+
especialmente si se trata de tareas cr;ticas$ 7odos los empleados # sarios e8ternos de las
instalaciones de procesamiento de in!ormacin de(en !irmar n acerdo de con!idencialidad 1no
re*elacin4$
&:3:3 Incl*,in de la ,eg*ridad en la, re,5on,a1ilidade, de lo, 5*e,0o, de 0ra1a?o
)as !nciones # responsa(ilidades en materia de segridad+ seg'n consta en la pol;tica de segridad
de la in!ormacin de la organi:acin 1*er >$14+ de(en ser docmentadas seg'n corresponda$ ?stas
de(en inclir las responsa(ilidades generales por la implementacin o el mantenimiento de la pol;tica
de segridad+ as; como las responsa(ilidades espec;!icas por la proteccin de cada no de los
acti*os+ o por la eHeccin de procesos o acti*idades de segridad espec;!icos$
&:3: Seleccin ; 5ol0ica de 5er,onal
Se de(en lle*ar a ca(o controles de *eri!icacin del personal permanente en el momento en %e se
solicita el pesto$ ?stos de(en inclir los sigientes9
a4 disponi(ilidad de certi!icados de (ena condcta satis!actorios+ por eH$ no la(oral # no
personal
(4 na compro(acin 1de integridad # *eracidad4 del crriclm *itae del aspirante
c4 constatacin de las aptitdes acad<micas # pro!esionales alegadas
d4 *eri!icacin de la identidad 1pasaporte o docmento similar4$
Cando n pesto+ por asignacin inicial o por promocin+ in*olcra a na persona %e tiene acceso
a las instalaciones de procesamiento de in!ormacin+ # en particlar si <stas maneHan in!ormacin
sensi(le+ por eH$ in!ormacin !inanciera o altamente con!idencial+ la organi:acin tam(i<n de(e lle*ar
a ca(o na *eri!icacin de cr<dito$ En el caso del personal con posiciones de Herar%;a considera(le+
esta *eri!icacin de(e repetirse peridicamente$
Un proceso de seleccin similar de(e lle*arse a ca(o con contratistas # personal temporario$
Cando <ste es pro*isto a tra*<s de na agencia+ el contrato cele(rado con la misma de(e
especi!icar claramente las responsa(ilidades de la agencia por la seleccin # los procedimientos de
noti!icacin %e <sta de(e segir si la seleccin no "a sido e!ectada o si los resltados originan
ddas o in%ietdes$
"
Es%ema 1 I ,AM& 9
)a gerencia de(e e*alar la sper*isin re%erida para personal ne*o e ine8perto con atori:acin
para acceder a sistemas sensi(les$ El tra(aHo de todo el personal de(e estar sHeto a re*isin
peridica # a procedimientos de apro(acin por parte de n miem(ro del personal con ma#or
Herar%;a$
)os gerentes de(en estar al corriente de %e las circnstancias personales de ss empleados
peden a!ectar s tra(aHo$ )os pro(lemas personales o !inancieros+ los cam(ios en s condcta o
estilo de *ida+ las asencias recrrentes # la e*idencia de stress o depresin peden condcir a
!rades+ ro(os+ errores otras implicaciones %e a!ecten la segridad$ Esta in!ormacin de(e
maneHarse de acerdo con la legislacin pertinente %e riHa en la Hrisdiccin del caso$
&:3:" Ac*erdo, de confidencialidad
)os acerdos de con!idencialidad o no di*lgacin se tili:an para reseGar %e la in!ormacin es
con!idencial o secreta$ )os empleados de(en !irmar "a(italmente n acerdo de esta ;ndole como
parte de ss t<rminos # condiciones iniciales de empleo$
El personal ocasional # los sarios e8ternos a'n no contemplados en n contrato !ormali:ado 1%e
contenga el acerdo de con!idencialidad4 de(ern !irmar el acerdo mencionado antes de %e se les
otorge acceso a las instalaciones de procesamiento de in!ormacin$
)os acerdos de con!idencialidad de(en ser re*isados cando se prodcen cam(ios en los t<rminos
# condiciones de empleo o del contrato+ en particlar cando el empleado est pr8imo a
des*inclarse de la organi:acin o el pla:o del contrato est por !inali:ar$
&:3:$ T+rmino, ; condicione, de em5leo
)os t<rminos # condiciones de empleo de(en esta(lecer la responsa(ilidad del empleado por la
segridad de la in!ormacin$ Cando corresponda+ estas responsa(ilidades de(en continar por n
per;odo de!inido na *e: !inali:ada la relacin la(oral$ Se de(en especi!icar las acciones %e se
emprendern si el empleado "ace caso omiso de los re%erimientos de segridad$
)as responsa(ilidades # derec"os legales del empleado+ por eH$ en relacin con las le#es de derec"o
de propiedad intelectal o la legislacin de proteccin de datos+ de(en ser clari!icados e inclidos en
los t<rminos # condiciones de empleo$
7am(i<n se de(e inclir la responsa(ilidad por la clasi!icacin # administracin de los datos del
empleador$ Cando corresponda+ los t<rminos # condiciones de empleo de(en esta(lecer %e estas
responsa(ilidades se e8tienden ms all de los l;mites de la sede de la organi:acin # del "orario
normal de tra(aHo+ por eH$ cando el empleado desempeGa tareas en s domicilio 1*er tam(i<n 7$2$. #
9$2$14$
&: Ca5aci0acin del *,*ario
O(Heti*o 9 Caranti:ar %e los sarios estn al corriente de las amena:as e incm(encias en materia de
segridad de la in!ormacin+ # estn capacitados para respaldar la pol;tica de segridad de la
organi:acin en el transcrso de ss tareas normales$
)os sarios de(en ser capacitados en relacin con los procedimientos de segridad # el correcto
so de las instalaciones de procesamiento de in!ormacin+ a !in de minimi:ar e*entales riesgos de
segridad$
$
&::3 6ormacin ; ca5aci0acin en ma0eria de ,eg*ridad de la informacin
7odos los empleados de la organi:acin #+ cando sea pertinente+ los sarios e8ternos+ de(en
reci(ir na adecada capacitacin # actali:aciones peridicas en materia de pol;ticas #
procedimientos de la organi:acin$ Esto comprende los re%erimientos de segridad+ las
responsa(ilidades legales # controles del negocio+ as; como la capacitacin re!erida al so correcto
de las instalaciones de procesamiento de in!ormacin+ por eH$ el procedimiento de entrada al sistema
1Jlog&onJ4 # el so de pa%etes de so!tIare+ antes de %e se les otorge acceso a la in!ormacin o a
los ser*icios$
&:" Re,5*e,0a a inciden0e, ; anomala, en ma0eria de ,eg*ridad
O(Heti*o 9 Minimi:ar el daGo prodcido por incidentes # anomal;as en materia de segridad+ #
monitorear dic"os incidentes # aprender de los mismos$
)os incidentes %e a!ectan la segridad de(en ser comnicados mediante canales gerenciales
adecados tan pronto como sea posi(le$
Se de(e concienti:ar a todos los empleados # contratistas acerca de los procedimientos de
comnicacin de los di!erentes tipos de incidentes 1*iolaciones+ amena:as+ de(ilidades o anomal;as en
materia de segridad4 %e podr;an prodcir n impacto en la segridad de los acti*os de la
organi:acin$ Se de(e re%erir %e los mismos comni%en cal%ier incidente ad*ertido o spesto al
pnto de contacto designado tan pronto como sea posi(le$ )a organi:acin de(e esta(lecer n proceso
disciplinario !ormal para ocparse de los empleados %e perpetren *iolaciones de la segridad$ -ara
lograr a(ordar de(idamente los incidentes podr;a ser necesario recolectar e*idencia tan pronto como
sea posi(le na *e: ocrrido el "ec"o 1*er 12$1$74$
&:":3 Com*nicacin de inciden0e, rela0i2o, a la ,eg*ridad
)os incidentes relati*os a la segridad de(en comnicarse a tra*<s de canales gerenciales
apropiados tan pronto como sea posi(le$
Se de(e esta(lecer n procedimiento !ormal de comnicacin+ Hnto con n procedimiento de
respesta a incidentes+ %e esta(le:ca la accin %e "a de emprenderse al reci(ir n in!orme so(re
incidentes$ 7odos los empleados # contratistas de(en estar al corriente del procedimiento de
comnicacin de incidentes de segridad+ # de(en in!ormar de los mismos tan pronto como sea
posi(le$
5e(ern implementarse adecados procesos de J!eed(acKJ para garanti:ar %e las personas %e
comnican los incidentes sean noti!icadas de los resltados na *e: tratados # reseltos los mismos$
Estos incidentes peden ser tili:ados drante la capacitacin a !in de crear conciencia de segridad
en el sario 1*er 0$24 como eHemplos de lo %e pede ocrrir+ de cmo responder a dic"os
incidentes # de cmo e*itarlos en el !tro 1*er tam(i<n 12$1$74$
&:": Com*nicacin de de1ilidade, en ma0eria de ,eg*ridad
)os sarios de ser*icios de in!ormacin de(en ad*ertir+ registrar # comnicar las de(ilidades o
amena:as spestas o(ser*adas en materia de segridad+ con relacin a los sistemas o ser*icios$
5e(ern comnicar estos asntos a s gerencia+ o directamente a s pro*eedor de ser*icios+ tan pronto
como sea posi(le$ Se de(e in!ormar a los sarios %e ellos no de(en+ (aHo ningna circnstancia+
intentar pro(ar na spesta de(ilidad$ Esto se lle*a a ca(o para s propia proteccin+ de(ido a %e el
intentar pro(ar de(ilidades pede ser interpretado como n potencial mal maneHo del sistema$
%
Es%ema 1 I ,AM& 9
&:":" Com*nicacin de anomala, del ,of0@are
Se de(en esta(lecer procedimientos para la comnicacin de anomal;as del so!tIare$ Se de(en
considerar las sigientes acciones9
a4 5e(en ad*ertirse # registrarse los s;ntomas del pro(lema # los mensaHes %e aparecen en
pantalla$
(4 )a comptadora de(e ser aislada+ si es posi(le+ # de(e detenerse el so de la misma$ Se
de(e alertar de inmediato a la persona pertinente 1contacto4$ Si se "a de e8aminar el e%ipo+
<ste de(e ser desconectado de las redes de la organi:acin antes de ser acti*ado
ne*amente$ )os dis%etes no de(en trans!erirse a otras comptadoras$
c4 El asnto de(e ser comnicado inmediatamente al gerente de segridad de la in!ormacin$
)os sarios no de(en %itar el so!tIare %e spestamente tiene na anomal;a+ a menos %e est<n
atori:ados a "acerlo$ )a recperacin de(e ser reali:ada por personal adecadamente capacitado
# e8perimentado$
&:":$ A5rendiendo de lo, inciden0e,
5e(e "a(erse implementado mecanismos %e permitan canti!icar # monitorear los tipos+ *ol'menes
# costos de los incidentes # anomal;as$ Esta in!ormacin de(e tili:arse para identi!icar incidentes o
anomal;as recrrentes o de alto impacto$ Esto pede seGalar la necesidad de meHorar o agregar
controles para limitar la !recencia+ daGo # costo de casos !tros+ o de tomarlos en centa en el
proceso de re*isin de la pol;tica de segridad 1*er >$1$24$
&:":% !roce,o di,ci5linario
5e(e e8istir n proceso disciplinario !ormal para los empleados %e *iolen las pol;ticas #
procedimientos de segridad de la organi:acin 1*er 0$1$D # para el tpico retencin de e*idencia+
*er 12$1$74$ 5ic"o proceso pede ser*ir de !actor disasi*o de los empleados %e+ de no mediar el
mismo+ podr;an ser procli*es a pasar por alto los procedimientos de segridad$
Asimismo+ este proceso de(e garanti:ar n trato imparcial # correcto "acia los empleados
sospec"osos de "a(er cometido *iolaciones gra*es o persistentes a la segridad$
' SEGURIDAD 6#SICA 9 AMAIENTAL
':3 Brea, ,eg*ra,
O(Heti*o9 Impedir accesos no atori:ados+ daGos e inter!erencia a las sedes e in!ormacin de la
empresa$
)as instalaciones de procesamiento de in!ormacin cr;tica o sensi(le de la empresa de(en estar
(icadas en reas protegidas # resgardadas por n per;metro de segridad de!inido+ con *allas de
segridad # controles de acceso apropiados$ 5e(en estar !;sicamente protegidas contra accesos no
atori:ados+ daGos e intrsiones$
)a proteccin pro*ista de(e ser proporcional a los riesgos identi!icados$ Se recomienda la
implementacin pol;ticas de escritorios # pantallas limpios para redcir el riesgo de acceso no
atori:ado o de daGo a papeles+ medios de almacenamiento e instalaciones de procesamiento de
in!ormacin$
&
':3:3 !erme0ro de ,eg*ridad f,ica
)a proteccin !;sica pede lle*arse a ca(o mediante la creacin de di*ersas (arreras !;sicas
alrededor de las sedes de la organi:acin # de las instalaciones de procesamiento de in!ormacin$
Cada (arrera esta(lece n per;metro de segridad+ cada no de los cales incrementa la proteccin
total pro*ista$
)as organi:aciones de(en tili:ar per;metros de segridad para proteger las reas %e contienen
instalaciones de procesamiento de in!ormacin 1*er 7$1$>4$ Un per;metro de segridad es algo
delimitado por na (arrera+ por eH$ na pared+ na perta de acceso controlado por tarHeta o n
escritorio o!icina de recepcin atendidos por personas$ El empla:amiento # la !ortale:a de cada
(arrera dependern de los resltados de na e*alacin de riesgos$
Se de(en considerar e implementar los sigientes lineamientos # controles+ seg'n corresponda$
a4 El per;metro de segridad de(e estar claramente de!inido$
(4 El per;metro de n edi!icio o rea %e contenga instalaciones de procesamiento de
in!ormacin de(e ser !;sicamente slido 1por eH$ no de(en e8istir claros Oo a(ertrasP en el
per;metro o reas donde peda prodcirse !cilmente na irrpcin4$ )as paredes e8ternas
del rea de(en ser de constrccin slida # todas las pertas %e comnican con el e8terior
de(en ser adecadamente protegidas contra accesos no atori:ados+ por eH$+ mediante
mecanismos de control+ *allas+ alarmas+ cerradras+ etc$
c4 5e(e e8istir n rea de recepcin atendida por personal otros medios de control de acceso
!;sico al rea o edi!icio$ El acceso a las distintas reas # edi!icios de(e estar restringido
e8clsi*amente al personal atori:ado$
d4 )as (arreras !;sicas de(en+ si es necesario+ e8tenderse desde el piso 1real4 "asta el tec"o
1real4+ a !in de impedir el ingreso no atori:ado # la contaminacin am(iental+ por eHemplo+ la
ocasionada por incendio e inndacin$
e4 7odas las pertas de incendio de n per;metro de segridad de(en tener alarma # cerrarse
atomticamente$
':3: Con0role, de acce,o f,ico
)as reas protegidas de(en ser resgardadas por adecados controles de acceso %e permitan
garanti:ar %e slo se permite el acceso de personal atori:ado$ 5e(en tenerse en centa los
sigientes controles9
a4 )os *isitantes de reas protegidas de(en ser sper*isados o inspeccionados # la !ec"a #
"orario de s ingreso # egreso de(en ser registrados$ Slo se de(e permitir el acceso a los
mismos con propsitos espec;!icos # atori:ados+ instr#<ndose en dic"o momento al
*isitante so(re los re%erimientos de segridad del rea # los procedimientos de emergencia$
(4 El acceso a la in!ormacin sensi(le+ # a las instalaciones de procesamiento de in!ormacin+
de(e ser controlado # limitado e8clsi*amente a las personas atori:adas$ Se de(en tili:ar
controles de atenticacin+ por eH$ tarHeta # n'mero de identi!icacin personal 1-I64+ para
atori:ar # *alidar todos los accesos$ 5e(e mantenerse na pista protegida %e permita
aditar todos los accesos$
c4 Se de(e re%erir %e todo el personal e8"i(a algna !orma de identi!icacin *isi(le # se lo
de(e alentar a cestionar la presencia de desconocidos no escoltados # a cal%ier persona
%e no e8"i(a na identi!icacin *isi(le$
d4 Se de(en re*isar # actali:ar peridicamente los derec"os de acceso a las reas protegidas$
'
Es%ema 1 I ,AM& 9
':3:" !ro0eccin de oficina,C recin0o, e in,0alacione,
Un rea protegida pede ser na o!icina cerrada con lla*e+ o di*ersos recintos dentro de n per;metro
de segridad !;sica+ el cal pede estar (lo%eado # contener caHas !ertes o ga(inetes con
cerradras$ -ara la seleccin # el diseGo de n rea protegida de(e tenerse en centa la posi(ilidad
de daGo prodcido por incendio+ inndacin+ e8plosin+ agitacin ci*il+ # otras !ormas de desastres
natrales o pro*ocados por el "om(re$ 7am(i<n de(en tomarse en centa las disposiciones #
normas 1estndares4 en materia de sanidad # segridad$ Asimismo+ se de(ern considerar las
amena:as a la segridad %e representan los edi!icios # :onas aledaGas+ por eH$ !iltracin de aga
desde otras reas$
Se de(en considerar los sigientes controles
a4 )as instalaciones cla*e de(en (icarse en lgares a los cales no peda acceder el p'(lico$
(4 )os edi!icios de(en ser discretos # o!recer n seGalamiento m;nimo de s propsito+ sin
signos o(*ios+ e8teriores o interiores+ %e identi!i%en la presencia de acti*idades de
procesamiento de in!ormacin$
c4 )as !nciones # el e%ipamiento de soporte+ por eH$ !otocopiadoras+ m%inas de !a8+ de(en
estar (icados adecadamente dentro del rea protegida para e*itar solicitdes de acceso+ el
cal podr;a comprometer la in!ormacin$
d4 )as pertas # *entanas de(en estar (lo%eadas cando no "a# *igilancia ; de(e
considerarse la posi(ilidad de agregar proteccin e8terna a las *entanas+ en particlar las %e
se encentran al ni*el del selo$
e4 Se de(en implementar adecados sistemas de deteccin de intrsos$ )os mismos de(en ser
instalados seg'n estndares pro!esionales # pro(ados peridicamente$ Estos sistemas
comprendern todas las pertas e8teriores # *entanas accesi(les$ )as reas *ac;as de(en
tener alarmas acti*adas en todo momento$ 7am(i<n de(en protegerse otras reas+ como la
sala de cmptos o las salas de comnicaciones$
!4 )as instalaciones de procesamiento de in!ormacin administradas por la organi:acin de(en
estar !;sicamente separadas de a%ellas administradas por terceros$
g4 )os g;as tele!nicas # listados de tel<!onos internos %e identi!ican las (icaciones de las
instalaciones de procesamiento de in!ormacin sensi(le no de(en ser !cilmente accesi(les al
p'(lico$
"4 )os materiales peligrosos o com(sti(les de(en ser almacenados en lgares segros a na
distancia prdencial del rea protegida$ )os sministros a granel+ como los 'tiles de
escritorio+ no de(en ser almacenados en el rea protegida "asta %e sean re%eridos$
i4 El e%ipamiento de sistemas de soporte U-C 1Usage -arameter Control4 de reposicin de
in!ormacin perdida 1J!all(acKJ4 # los medios in!ormticos de resgardo de(en estar sitados
a na distancia prdencial para e*itar daGos ocasionados por e*entales desastres en el sitio
principal$
':3:$ De,arrollo de 0area, en Drea, 5ro0egida,
-ara incrementar la segridad de n rea protegida peden re%erirse controles # lineamientos
adicionales$ Esto incl#e controles para el personal o terceras partes %e tra(aHan en el rea
protegida+ as; como para las acti*idades de terceros %e tengan lgar all;$ Se de(ern tener en
centa los sigientes pntos9
a4 El personal slo de(e tener conocimiento de la e8istencia de n rea protegida+ o de las
acti*idades %e se lle*an a ca(o dentro de la misma+ seg'n el criterio de necesidad de
conocer$
(4 Se de(e e*itar el tra(aHo no controlado en las reas protegidas tanto por ra:ones de
segridad como para e*itar la posi(ilidad de %e se lle*en a ca(o acti*idades maliciosas$
(
c4 )as reas protegidas desocpadas de(en ser !;sicamente (lo%eadas # peridicamente
inspeccionadas$
d4 El personal del ser*icio de soporte e8terno de(e tener acceso limitado a las reas protegidas
o a las instalaciones de procesamiento de in!ormacin sensi(le$ Este acceso de(e ser
otorgado solamente cando sea necesario # de(e ser atori:ado # monitoreado$ -eden
re%erirse (arreras # per;metros adicionales para controlar el acceso !;sico entre reas con
di!erentes re%erimientos de segridad+ # %e estn (icadas dentro del mismo per;metro de
segridad$
e4 A menos %e se atorice e8presamente+ no de(e permitirse el ingreso de e%ipos
!otogr!icos+ de *;deo+ adio otro tipo de e%ipamiento %e registre in!ormacin$
':3:% Ai,lamien0o de la, Drea, de en0rega ; carga
)as reas de entrega # carga de(en ser controladas #+ si es posi(le+ estar aisladas de las
instalaciones de procesamiento de in!ormacin+ a !in de impedir accesos no atori:ados$ )os
re%erimientos de segridad de dic"as reas de(en ser determinados mediante na e*alacin de
riesgos$ Se de(en tener en centa los sigientes lineamientos9
a4 El acceso a las reas de depsito+ desde el e8terior de la sede de la organi:acin+ de(e estar
limitado a personal %e sea pre*iamente identi!icado # atori:ado$
(4 El rea de depsito de(e ser diseGada de manera tal %e los sministros pedan ser
descargados sin %e el personal %e reali:a la entrega acceda a otros sectores del edi!icio$
c4 7odas las pertas e8teriores de n rea de depsito de(en ser asegradas cando se a(re la
perta interna$
d4 El material entrante de(e ser inspeccionado para descartar peligros potenciales 1*er 7$2$l d4
antes de ser trasladado desde el rea de depsito "asta el lgar de so$
e4 El material entrante de(e ser registrado+ si corresponde 1*er .$14+ al ingresar al sitio
pertinente$
': Seg*ridad del e.*i5amien0o
O(Heti*o9 Impedir p<rdidas+ daGos o e8posiciones al riesgo de los acti*os e interrpcin de las
acti*idades de la empresa$
El e%ipamiento de(e estar !;sicamente protegido de las amena:as a la segridad # los peligros del
entorno
Es necesaria la proteccin del e%ipamiento 1incl#endo el %e se tili:a en !orma e8terna4 para
redcir el riesgo de acceso no atori:ado a los datos # para pre*enir p<rdidas o daGos$ Esto tam(i<n
de(e tener en centa la (icacin # disposicin e%ipamiento$ -eden re%erirse controles
especiales para pre*enir peligros o accesos no atori:ados+ # para proteger instalaciones de soporte+
como la in!raestrctra de ca(leado # sministro de energ;a el<ctrica$
'::3 U1icacin ; 5ro0eccin del e.*i5amien0o
El e%ipamiento de(e ser (icado o protegido de tal manera %e se red:can los riesgos
ocasionados por amena:as # peligros am(ientales+ # oportnidades de acceso no atori:ado$ Se
de(en tener en centa los sigientes pntos9
a4 El e%ipamiento de(e ser (icado en n sitio %e permita minimi:ar el acceso innecesario a
las reas de tra(aHo$
(4 )as instalaciones de procesamiento # almacenamiento de in!ormacin+ %e maneHan datos
sensi(les+ de(en (icarse en n sitio %e permita redcir el riesgo de !alta de sper*isin de
las mismas drante s so$
/
Es%ema 1 I ,AM& 9
c4 )os ;tems %e re%ieren proteccin especial de(en ser aislados para redcir el ni*el general
de proteccin re%erida$
d4 Se de(en adoptar controles para minimi:ar el riesgo de amena:as potenciales+ por eH$
14 ro(o
24 incendio
>4 e8plosi*os
D4 "moL
.4 aga 1o !alta de sministro4
04 pol*o
74 *i(raciones
24 e!ectos %;micos
94 inter!erencia en el sministro de energ;a el<ctrica$
104 radiacin electromagn<tica$
e4 )a organi:acin de(e anali:ar s pol;tica respecto de comer+ (e(er # !mar cerca de las
instalaciones de procesamiento de in!ormacin$
!4 Se de(en monitorear las condiciones am(ientales para *eri!icar %e las mismas no a!ecten de
manera ad*ersa el !ncionamiento de las instalaciones de procesamiento de la in!ormacin$
g4 Se de(e tener en centa el so de m<todos de proteccin especial+ como las mem(ranas de
teclado+ para los e%ipos (icados en am(ientes indstriales$
"4 Se de(e considerar el impacto de n e*ental desastre %e tenga lgar en :onas pr8imas a
la sede de la organi:acin+ por eH$ n incendio en n edi!icio cercano+ la !iltracin de aga
desde el cielo raso o en pisos por de(aHo del ni*el del selo o na e8plosin en la calle$
':: S*mini,0ro, de energa
El e%ipamiento de(e estar protegido con respecto a las posi(les !allas en el sministro de energ;a
otras anomal;as el<ctricas$ Se de(e contar con n adecado sministro de energ;a %e est< de
acerdo con las especi!icaciones del !a(ricante o pro*eedor de los e%ipos$ Entre las alternati*as
para asegrar la continidad del sministro de energ;a podemos enmerar las sigientes9
a4 m'ltiples (ocas de sministro para e*itar n 'nico pnto de !alla en el sministro de energ;a
(4 sministro de energ;a ininterrmpi(le 1U-S4
c4 generador de respaldo$
Se recomienda na U-S para asegrar el apagado reglado # sistemtico o la eHeccin contina del
e%ipamiento %e sstenta las operaciones cr;ticas de la organi:acin$ )os planes de contingencia
de(en contemplar las acciones %e "an de emprenderse ante na !alla de la U-S$ )os e%ipos de
U-S de(en inspeccionarse peridicamente para asegrar %e tienen la capacidad re%erida # se
de(en pro(ar de con!ormidad con las recomendaciones del !a(ricante o pro*eedor$
Se de(e tener en centa el empleo de n generador de respaldo si el procesamiento "a de continar en
caso de na !alla prolongada en el sministro de energ;a$ 5e instalarse+ los generadores de(en ser
pro(ados peridicamente de acerdo con las instrcciones del !a(ricante o pro*eedor$ Se de(e disponer
de n adecado sministro de com(sti(le para garanti:ar %e el generador peda !ncionar por n
per;odo prolongado$
Asimismo+ los interrptores de emergencia de(en (icarse cerca de las salidas de emergencia de las
salas donde se encentra el e%ipamiento+ a !in de !acilitar n corte rpido de la energ;a en caso de
prodcirse na sitacin cr;tica$ Se de(e pro*eer de ilminacin de emergencia en caso de
prodcirse na !alla en el sministro principal de energ;a$ Se de(e implementar proteccin contra
ra#os en todos los edi!icios # se de(en adaptar !iltros de proteccin contra ra#os en todas las l;neas
de comnicaciones e8ternas$
"4
'::" Seg*ridad del ca1leado
El ca(leado de energ;a el<ctrica # de comnicaciones %e transporta datos o (rinda apo#o a los
ser*icios de in!ormacin de(e ser protegido contra interceptacin o daGo$ Se de(en tener en centa
los sigientes controles9
a4 )as l;neas de energ;a el<ctrica # telecomnicaciones %e se conectan con las instalaciones
de procesamiento de in!ormacin de(en ser s(terrneas+ siempre %e sea posi(le+ o sHetas
a na adecada proteccin alternati*a$
(4 El ca(leado de red de(e estar protegido contra interceptacin no atori:ada o daGo+ por
eHemplo mediante el so de condctos o e*itando tra#ectos %e atra*iesen reas p'(licas$
c4 )os ca(les de energ;a de(en estar separados de los ca(les de comnicaciones para e*itar
inter!erencias$
d4 Entre los controles adicionales a considerar para los sistemas sensi(les o cr;ticos se
encentran los sigientes
14 instalacin de condctos (lindados # recintos o caHas con cerradra en los pntos
terminales # de inspeccin$
24 so de rtas o medios de transmisin alternati*os
>4 so de ca(leado de !i(ra ptica
D4 iniciar (arridos para eliminar dispositi*os no atori:ados conectados a los ca(les$
'::$ Man0enimien0o de e.*i5o,
El e%ipamiento de(e mantenerse en !orma adecada para asegrar %e s disponi(ilidad e
integridad sean permanentes$ Se de(en considerar los sigientes lineamientos9
a4 El e%ipamiento de(e mantenerse de acerdo con los inter*alos ser*icio # especi!icaciones
recomendados por el pro*eedor$
(4 Slo el personal de mantenimiento atori:ado pede (rindar mantenimiento # lle*ar a ca(o
reparaciones en el e%ipamiento$
c4 Se de(en mantener registros de todas las !allas spestas o reales # de todo el
mantenimiento pre*enti*o # correcti*o$
e4 5e(en implementarse controles cando se retiran e%ipos de la sede de la organi:acin para
s mantenimiento 1*er tam(i<n 7$2$0 con respecto a (orrado+ (orrado permanente # so(re
escritra de datos4$ Se de(e cmplir con todos los re%isitos impestos por las pli:as de
segro$
'::% Seg*ridad del e.*i5amien0o f*era del Dm1i0o de la organi<acin
El so de e%ipamiento destinado al procesamiento de in!ormacin+ !era del m(ito de la
organi:acin+ de(e ser atori:ado por el ni*el gerencial+ sin importar %ien es el propietario del
mismo$ )a segridad pro*ista de(e ser e%i*alente a la sministrada dentro del m(ito de la
organi:acin+ para n propsito similar+ teniendo en centa los riesgos de tra(aHar !era de la misma$
El e%ipamiento de procesamiento de la in!ormacin incl#e todo tipo de comptadoras personales+
organi:adores+ tel<!onos m*iles+ papel otros !ormlarios+ necesarios para el tra(aHo en el
domiciliario o %e es transportado !era del lgar "a(ital de tra(aHo$
Se de(en considerar los sigientes lineamientos9
a4 El e%ipamiento # dispositi*os retirados del m(ito de la organi:acin no de(en permanecer
desatendidos en lgares p'(licos$ )as comptadoras personales de(en ser transportadas
como e%ipaHe de mano # de ser posi(le enmascaradas+ drante el *iaHe$
"3
Es%ema 1 I ,AM& 9
(4 Se de(en respetar permanentemente las instrcciones del !a(ricante+ por eH$ proteccin por
e8posicin a campos electromagn<ticos !ertes$
c4 )os controles de tra(aHo en domicilio de(en ser determinados a partir de n anlisis de riesgo
# se aplicarn controles adecados seg'n corresponda+ por eH$ ga(inetes de arc"i*o con
cerradra+ pol;tica de escritorios limpios # control de acceso a comptadoras$
d4 Una adecada co(ertra de segro de(e estar en orden para proteger el e%ipamiento !era
del m(ito de la organi:acin$
)os riesgos de segridad+ por eH$ el daGo+ ro(o o escc"a s(repticia+ peden *ariar
considera(lemente seg'n las (icaciones # de(en ser tenidas en centa al determinar los controles
ms apropiados$ Se pede encontrar ms in!ormacin so(re otros aspectos de proteccin del
e%ipamiento m*il+ en 9$2$1
'::& Aa?a ,eg*ra o re*0ili<acin de e.*i5amien0o:
)a in!ormacin pede *erse comprometida por na desa!ectacin descidada o na retili:acin del
e%ipamiento 1*<ase tam(i<n 2$0$D4$ )os medios de almacenamiento conteniendo material sensiti*o+
de(en ser !;sicamente destridos o so(rescritos en !orma segra en *e: de tili:ar las !nciones de
(orrado estndar$
7odos los elementos del e%ipamiento %e contengan dispositi*os de almacenamiento+ por eH$ discos
r;gidos no remo*i(les+ de(en ser controlados para asegrar %e todos los datos sensiti*os # el
so!tIare (aHo licencia+ "an sido eliminados o so(rescritos antes de s (aHa$ -ede ser necesario
reali:ar n anlisis de riesgo a !in de determinar si medios de almacenamiento daGados+ conteniendo
datos sensiti*os+ de(en ser destridos+ reparados o desec"ados$
':" Con0role, generale,
O(Heti*o 9 Impedir la e8posicin al riesgo o ro(o de la in!ormacin o de las instalaciones de
procesamiento de la misma$
)as instalaciones de procesamiento de la in!ormacin # la in!ormacin de(en ser protegidas contra la
di*lgacin+ modi!icacin o ro(o por parte de personas no atori:adas+ de(i<ndose implementar
controles para minimi:ar p<rdidas o daGos$ )os procedimientos de administracin # almacenamiento
son considerados en el pnto 2$0$>$
':":3 !ol0ica, de e,cri0orio, ; 5an0alla, lim5ia,:
)as organi:aciones de(en considerar la adopcin de na pol;tica de escritorios limpios para proteger
docmentos en papel # dispositi*os de almacenamiento remo*i(les # na pol;tica de pantallas
limpias en las instalaciones de procesamiento de in!ormacin+ a !in de redcir los riesgos de acceso
no atori:ado+ perdida # daGo de la in!ormacin drante el "orario normal de tra(aHo # !era del
mismo$
)a pol;tica de(e contemplar las clasi!icaciones de segridad de la in!ormacin 1*er .$24+ los riesgos
correspondientes # los aspectos cltrales de la organi:acin$
)a in!ormacin %e se deHa so(re los escritorios tam(i<n est e8pesta a s!rir daGos o destro:os en
caso de prodcirse n desastre como incendio+ inndacin o e8plosin$
"
Se de(en aplicar los sigientes lineamientos$
a4 Cando corresponda+ los docmentos en papel # los medios in!ormticos de(en ser
almacenados (aHo lla*e en ga(inetes #/ otro tipo de mo(iliario segro cando no estn
siendo tili:ados+ especialmente !era del "orario de tra(aHo$
(4 )a in!ormacin sensi(le o cr;tica de la empresa de(e gardarse (aHo lla*e 1pre!erentemente
en na caHa !erte o ga(inete a pre(a de incendios4 cando no est en so+ especialmente
cando no "a# personal en la o!icina
c4 )as comptadoras personales+ terminales e impresoras no de(en deHarse conectadas cando
estn desatendidas # las mismas de(en ser protegidas mediante cerradras de segridad+
contraseGas otros controles cando no estn en so$
d4 Se de(en proteger los pntos de recepcin # en*;o de correo # las m%inas de !a8 # tele8 no
atendidas
e4 )as !otocopiadoras de(en estar (lo%eadas 1o protegidas de algna manera+ del so no
atori:ado4 !era del "orario normal de tra(aHo+
!4 )a in!ormacin sensi(le o con!idencial+ na *e: impresa+ de(e ser retirada de la impresora
inmediatamente$
':": Re0iro de 1iene,
El e%ipamiento+ la in!ormacin o el so!tIare no de(en ser retirados de la sede de la organi:acin sin
atori:acin$ Cando sea necesario # procedente+ los e%ipos de(ern ser desconectados 1Jlogged
otJ4 # ne*amente conectados 1Jlogged inJ4 cando se reingresen$ Se de(en lle*ar a ca(o
compro(aciones pntales para detectar el retiro no atori:ado de acti*os de la organi:acin$ El
personal de(e conocer la posi(ilidad de reali:acin de dic"as compro(aciones$
( GESTIN DE COMUNICACIONES 9 O!ERACIONES
(:3 !rocedimien0o, ; re,5on,a1ilidade, o5era0i2a,
O(Heti*o9 Caranti:ar el !ncionamiento correcto # segro de las instalaciones de procesamiento de la
in!ormacin$
Se de(en esta(lecer las responsa(ilidades # procedimientos para la gestin # operacin de todas las
instalaciones de procesamiento de in!ormacin$ Esto incl#e el desarrollo de instrcciones
operati*as # procedimientos apropiados de respesta a incidentes$
Se de(e implementar la separacin de !nciones 1*er 2$1$D4+ cando corresponda+ a !in de redcir el
riesgo del so negligente o mal so deli(erado del sistema$
(:3:3 Doc*men0acin de lo, 5rocedimien0o, o5era0i2o,
Se de(en docmentar # mantener los procedimientos operati*os identi!icados por s pol;tica de
segridad$ )os procedimientos operati*os de(en ser tratados como docmentos !ormales # los cam(ios
de(en ser atori:ados por el ni*el gerencial$
)os procedimientos de(en especi!icar las instrcciones para la eHeccin detallada de cada tarea+
con inclsin de9
a4 procesamiento # maneHo de la in!ormacin
(4 re%erimientos de programacin 1Jsc"edllingJ4+ incl#endo interdependencias con otros
sistemas+ tiempos de inicio de primeras tareas # tiempos de terminacin de 'ltimas tareasL
""
Es%ema 1 I ,AM& 9
c4 instrcciones para el maneHo de errores otras condiciones e8cepcionales %e podr;an srgir
drante la eHeccin de tareas+ incl#endo restricciones en el so de tilitarios del sistema
1*er 9$.$.4
d4 personas de soporte a contactar en caso de di!icltades operati*as o t<cnicas impre*istas
e4 instrcciones especiales para el maneHo de salidas 1JotptsJ4+ como el so de papeler;a
especial o la administracin de salidas con!idenciales+ incl#endo procedimientos para la
eliminacin segra de salidas de tareas !allidas
!4 reinicio del sistema # procedimientos de recperacin en caso de prodcirse !allas en el
sistema$
7am(i<n de(e prepararse docmentacin so(re procedimientos re!eridos a acti*idades de
mantenimiento del sistema+ relacionadas con las instalaciones de procesamiento de in!ormacin #
comnicaciones+ tales como los procedimientos de inicio # cierre+ resgardo+ mantenimiento de
e%ipos+ salas de cmptos # administracin # segridad del maneHo de correo$
(:3: Con0rol de cam1io, en la, o5eracione,
Se de(en controlar los cam(ios en los sistemas e instalaciones de procesamiento de in!ormacin$ El
control inadecado de estos cam(ios es na casa com'n de las !allas de segridad # de sistemas$
Se de(en implementar responsa(ilidades # procedimientos gerenciales !ormales para garanti:ar n
control satis!actorio de todos los cam(ios en el e%ipamiento+ el so!tIare o los procedimientos$ )os
programas operati*os de(en estar sHetos a n control estricto de los cam(ios$ Cando se cam(ian
los programas+ se de(e retener n registro de aditor;a %e contenga toda la in!ormacin rele*ante$
)os cam(ios en el am(iente operati*o peden tener impacto en las aplicaciones$ Siempre %e sea
!acti(le+ los procedimientos de control de cam(ios en las operaciones # aplicaciones de(en estar
integrados 1*er tam(i<n 10$.$14$ En particlar+ se de(en considerar los sigientes ;tems9
a4 identi!icacin # registro de cam(ios signi!icati*os
(4 e*alacin del posi(le impacto de dic"os cam(ios
c4 procedimiento de apro(acin !ormal de los cam(ios propestos
d4 comnicacin de detalles de cam(ios a todas las personas pertinentes
e4 procedimientos %e identi!ican las responsa(ilidades por la cancelacin de los cam(ios
!allidos # la recperacin respecto de los mismos$
(:3:" !rocedimien0o, de mane?o de inciden0e,
Se de(en esta(lecer responsa(ilidades # procedimientos de maneHo de incidentes para garanti:ar
na respesta rpida+ e!ica: # sistemtica a los incidentes relati*os a segridad 1*er tam(i<n 0$>$ l4$
Se de(en considerar los sigientes controles$
a4 Se de(en esta(lecer procedimientos %e contemplen todos los tipos pro(a(les de incidentes
relati*os a segridad+ incl#endo
14 !allas en los sistemas de in!ormacin # p<rdida del ser*icioL
24 negacin del ser*icioL
>4 errores ocasionados por datos comerciales incompletos o ine8actosL
D4 *iolaciones de la con!idencialidadL
(4 Adems de los planes de contingencia normales 1diseGados para recperar sistemas #
ser*icios tan pronto como sea posi(le4+ los procedimientos tam(i<n de(en contemplar 1*er
tam(i<n 0$>$D49
14 anlisis e identi!icacin de la casa del incidenteL
"$
24 plani!icacin e implementacin de solciones para e*itar la repeticin del mismo+ si
reslta necesarioL
>4 recoleccin de pistas de aditor;a # e*idencia similarL
D4 comnicacin con las personas a!ectadas o in*olcradas con la recperacin+ del
incidenteL
.4 noti!icacin de la accin a la atoridad pertinenteL
c4 Se de(en recolectar 1*er 12$1$74 # proteger pistas de aditor;a # e*idencia similar+ seg'n
corresponda+ para9
14 anlisis de pro(lemas internos9
24 so como e*idencia en relacin con na pro(a(le *iolacin de contrato+ de re%isito
normati*o+ o en el caso de n proceso Hdicial ci*il o criminal+ por eH$ por aplicacin de
legislacin so(re proteccin de datos o !rade in!ormticoL
>4 negociacin de compensaciones por parte de los pro*eedores de so!tIare # de
ser*iciosL
d4 Se de(en implementar controles detallados # !ormali:ados de las acciones de recperacin
respecto de las *iolaciones de la segridad # de correccin de !allas del sistema$ )os
procedimientos de(en garanti:ar %e 9
14 slo se otorga acceso a los sistemas # datos e8istentes al personal claramente
identi!icado # atori:ado 1*er tam(i<n D$2$2 en relacin con el acceso de terceros4L
24 todas las acciones de emergencia emprendidas son docmentadas en !orma detallada
>4 la acciones de emergencia se comnican a la gerencia # se re*isan sistemticamenteL
D4 la integridad de los controles # sistemas de la empresa se constata en n pla:o
m;nimo$
(:3:$ Se5aracin de f*ncione,
)a separacin de !nciones es n m<todo para redcir el riesgo de mal so+ accidental o deli(erado
del sistema$ Se de(e considerar la separacin de la gestin o eHeccin de ciertas tareas o reas de
responsa(ilidad+ a !in de redcir las oportnidades de modi!icacin no atori:ada o mal so de la
in!ormacin o los ser*icios$
)as pe%eGas organi:aciones peden encontrar este m<todo de control di!;cil de cmplir+ pero el
principio de(e aplicarse en la medida de lo posi(le$ Siempre %e sea di!;cil lle*ar a ca(o la
separacin+ se de(en tener en centa otros controles como el monitoreo de las acti*idades+ las pistas
de aditor;a # la sper*isin gerencial$ Es importante %e la aditor;a de segridad permane:ca
independiente$ Se de(en tomar recados para %e ningna persona peda perpetrar n !rade en
reas de responsa(ilidad 'nica sin ser detectada$ El inicio de n e*ento de(e estar separado de s
atori:acin$ Se de(en considerar los sigientes pntos$
a4 Es importante separar acti*idades %e re%ieren conni*encia para de!radar+ por eH$ e!ectar
na orden de compra # *eri!icar %e la mercader;a !e reci(ida$
(4 Si e8iste peligro de conni*encia+ los controles de(en ser diseGados de manera tal %e dos o
ms personas de(an estar in*olcradas+ redciendo de ese modo la posi(ilidad de
conspiracin$
(:3:% Se5aracin en0re in,0alacione, de de,arrollo e in,0alacione, o5era0i2a,
)a separacin entre las instalaciones de desarrollo+ pre(a # operaciones es importante para lograr
la separacin de los roles in*olcradas$ Se de(en de!inir # docmentar las reglas para la
trans!erencia de so!tIare desde el estado de desarrollo "acia el estado operati*o$
)as acti*idades de desarrollo # pre(a peden ocasionar pro(lemas gra*es+ como la modi!icacin no
deseada de arc"i*os o sistemas+ o la recti!icacin no deseada de !allas de sistemas$ Se de(e
"%
Es%ema 1 I ,AM& 9
considerar el ni*el de separacin %e reslta necesario entre los am(ientes operati*os+ de pre(a #
de desarrollo+ a !in de pre*enir pro(lemas operati*os$ 7am(i<n se de(e implementar na separacin
similar entre las !nciones de desarrollo # pre(a$ En este caso+ e8iste la necesidad de mantener n
am(iente conocido # esta(le en el cal pedan lle*arse a ca(o pre(as signi!icati*as e impedirse
accesos inadecados por parte del personal de desarrollo$
Si el personal de desarrollo # pre(a tiene acceso al sistema %e esta operati*o # a s in!ormacin+
<ste pede ser capa: de introdcir l;neas de cdigos no atori:ados o no pro(ados+ o alterar los
datos de las operaciones$ En algnos sistemas esta capacidad pede ser tili:ada inadecadamente
para perpetrar !rade+ o para introdcir programas no pro(ados o maliciosos$ Estos programas
peden ocasionar gra*es pro(lemas operati*os$ El personal de desarrollo # pre(as tam(i<n plantea
na amena:a a la con!idencialidad de la in!ormacin operati*o$
)as acti*idades de desarrollo # pre(as peden prodcir cam(ios no plani!icados en el so!tIare # la
in!ormacin si los sistemas comparten el mismo am(iente in!ormtico$ )a separacin entre las
instalaciones de desarrollo+ pre(as # operaciones es por tanto desea(le+ a !in de redcir el riesgo de
cam(ios accidentales o accesos no atori:ados al so!tIare operati*o # a los datos del negocio$ Se
de(en tener en centa los sigientes controles$
a4 El so!tIare en desarrollo # en operaciones de(e+ en la medida de lo posi(le+ eHectarse en
di!erentes procesadores o en di!erentes dominios o directorios$
(4 En la medida de lo posi(le+ las acti*idades de desarrollo # pre(a de(en estar separadas$
c4 Cando no es re%erido+ los compiladores+ editores # otros tilitarios del sistema no de(en ser
accesi(les desde los sistemas %e estn operati*os$
d4 Se de(en tili:ar di!erentes procedimientos de cone8in 1Jlog&onJ4 para sistemas en
operaciones # de pre(a+ a !in de redcir el riesgo de error$ Se de(e alentar a los sarios a
tili:ar di!erentes contraseGas para estos sistemas+ # los men's de(en desplegar adecados
mensaHes de identi!icacin$
e4 El personal de desarrollo slo de(e tener acceso a las contraseGas operati*as+ por%e all;
estn adecadamente (icados los controles de emisin de contraseGas para el apo#o de los
sistemas %e se encentran operati*os$ Estos controles de(en garanti:ar %e dic"as
contraseGas se modi!i%en na *e: tili:adas$
(:3:& Admini,0racin de in,0alacione, e70erna,
El empleo de n contratista e8terno para la administracin de las instalaciones de procesamiento de
in!ormacin pede introdcir potenciales e8posiciones al riesgo en materia de segridad+ como la
posi(ilidad de compromiso+ daGo o p<rdida de datos en la sede del contratista$ Estos riesgos de(en
ser identi!icados con anticipacin+ # de(en acordarse controles adecados con el contratista e
inclirse en el contrato 1*er tam(i<n D$2$2 # D$> para orientacin con respecto a contratos con
terceros %e contemplan el acceso a instalaciones de la organi:acin # contratos de terceri:acin4
Se de(en a(ordar+ entre otras+ las sigientes cestiones espec;!icas9
a4 identi!icar las aplicaciones sensi(les o cr;ticas %e con*ienen retener en la organi:acinL
(4 o(tener la apro(acin de los propietarios de aplicaciones comercialesL
c4 implicancias para la continidad de los planes comercialesL
d4 estndares de segridad a especi!icar+ # el proceso de medicin del cmplimientoL
e4 asignacin de responsa(ilidades espec;!icas # procedimientos para monitorear con e!icacia
todas las acti*idades de segridad pertinentes
!4 responsa(ilidades # procedimientos de comnicacin # maneHo de incidentes relati*os a la
segridad 1*er 2$1$>4$
"&
(: !lanificacin ; a5ro1acin de ,i,0ema,
O(Heti*o 9 Minimi:ar el riesgo de !allas en los sistemas$
Se re%iere na plani!icacin # preparacin anticipada para garanti:ar la disponi(ilidad de capacidad
# recrsos adecados$
5e(en reali:arse pro#ecciones para !tros re%erimientos de capacidad+ a !in de redcir el riesgo de
so(recarga del sistema$ Se de(en esta(lecer+ docmentar # pro(ar los re%erimientos operati*os de
ne*os sistemas antes de s apro(acin # so$
(::3 !lanificacin de la ca5acidad
Se de(en monitorear las demandas de capacidad # reali:ar pro#ecciones de los !tros
re%erimientos de capacidad+ a !in de garanti:ar la disponi(ilidad del poder de procesamiento #
almacenamiento adecados$ Estas pro#ecciones de(en tomar en centa los ne*os re%erimientos
de negocios # sistemas # las tendencias actales # pro#ectadas en el procesamiento de la
in!ormacin de la organi:acin$
)as comptadoras Jmain!rameJ re%ieren especial atencin+ de(ido al ma#or costo # pla:o de espera
para la o(tencin de ne*a capacidad$ )os administradores de ser*icios main!rame de(en
monitorear la tili:acin de los recrsos cla*e del sistema+ incl#endo procesadores+ almacenamiento
principal+ almacenamiento de arc"i*os+ impresoras # otros medios de salida 1JotptJ4+ # sistemas de
comnicaciones$ ?stos de(en identi!icar las tendencias de so+ particlarmente en relacin con las
aplicaciones comerciales o las "erramientas de sistemas de in!ormacin de gestin$
)os gerentes de(en tili:ar esta in!ormacin para identi!icar # e*itar potenciales cellos de (otella
%e podr;an plantear na amena:a a la segridad del sistema o a los ser*icios del sario+ #
plani!icar na adecada accin correcti*a$$
(:: A5ro1acin del ,i,0ema
Se de(en esta(lecer criterios de apro(acin para ne*os sistemas de in!ormacin+ actali:aciones
1JpgradesJ4 # ne*as *ersiones+ # se de(en lle*ar a ca(o adecadas pre(as de los sistemas antes
de s apro(acin$ )os gerentes de(en garanti:ar %e los re%erimientos # criterios de apro(acin de
ne*os sistemas sean claramente de!inidos+ acordados+ docmentados # pro(ados$ Se de(en
considerar los sigientes pntos9
a4 desempeGo # re%erimientos de capacidad de las comptadorasL
(4 recperacin ante errores # procedimientos de reinicio+ # planes de contingenciaL
c4 preparacin # pre(a de procedimientos operati*os de rtina seg'n estndares de!inidos
d4 conHnto acordado de controles de segridad implementados
e4 procedimientos manales e!icacesL
!4 disposiciones relati*as a la continidad de los negocios+ seg'n lo re%erido en el pnto 11$1
g4 e*idencia %e la instalacin del ne*o sistema no a!ectar negati*amente los sistemas
e8istentes+ especialmente en los per;odos pico de procesamiento+ como drante los 'ltimos
d;as del mes
"4 e*idencia de %e se "a tomado en centa el e!ecto %e tiene el ne*o sistema en la
segridad glo(al de la organi:acin
i4 entrenamiento en la operacin o so de ne*os sistemas$
-ara los principales ne*os desarrollos+ las !nciones # sarios de operaciones de(en ser
consltados en todas las etapas del proceso de desarrollo para garanti:ar la e!iciencia operati*a del
diseGo propesto del sistema$ 5e(en lle*arse a ca(o pre(as apropiadas para constatar el
cmplimiento ca(al de todos los criterios de apro(acin$
"'
Es%ema 1 I ,AM& 9
(:" !ro0eccin con0ra ,of0@are malicio,o
O(Heti*o 9 -roteger la integridad del so!tIare # la in!ormacin$
Es necesario tomar precaciones para pre*enir # detectar la introdccin de so!tIare malicioso$
El so!tIare # las instalaciones de procesamiento de in!ormacin son *lnera(les a la introdccin de
so!tIare malicioso como+ por eH$+ *irs in!ormticos+ JIormsJ de red+ Jtro#anosJ 1*er tam(i<n 10$.$D4 #
(om(as lgicas$ Se de(e concienti:ar a los sarios acerca de los peligros del so!tIare no
atori:ado o malicioso+ # los administradores de(en+ cando corresponda+ introdcir controles
especiales para detectar o pre*enir la introdccin de los mismos$ En particlar+ es esencial %e se
tomen precaciones para detectar # pre*enir *irs in!ormticos en comptadoras personales$
(:":3 Con0role, con0ra ,of0@are malicio,o
Se de(en implementar controles de deteccin # pre*encin para la proteccin contra so!tIare
malicioso+ # procedimientos adecados de concienti:acin de sarios$ )a proteccin contra
so!tIare malicioso de(e (asarse en la concienti:acin en materia de segridad # en controles
adecados de acceso al sistema # administracin de cam(ios$
Se de(en tener en centa los sigientes controles9
a4 na pol;tica !ormal %e re%iera el so de so!tIare con licencia # pro";(a el so de so!tIare
no atori:ado 1*er 12$1$2$24L
(4 na pol;tica !ormal con el !in de proteger contra los riesgos relacionados con la o(tencin de
arc"i*os # so!tIare desde o a tra*<s de redes e8ternas+ o por cal%ier otro medio+ seGalando
%< medidas de proteccin de(er;an tomarse 1*er tam(i<n 10$.+ especialmente 10$.$D # 1
0$.$.4L
c4 instalacin # actali:acin peridica de so!tIare de deteccin # reparacin anti&*irs+ para
e8aminar comptadoras # medios in!ormticos+ #a sea como medida precatoria o rtinaria+
d4 reali:acin de re*isiones peridicas del contenido de so!tIare # datos de los sistemas %e
sstentan procesos cr;ticos de al empresa$ )a presencia de arc"i*os no apro(ados o
modi!icaciones no atori:adas de(e ser in*estigada !ormalmenteL
e4 *eri!icacin de la presencia de *irs en arc"i*os de medios electrnicos de origen incierto o
no atori:ado+ o en arc"i*os reci(idos a tra*<s de redes no con!ia(les+ antes de s soL
!4 *eri!icacin de la presencia de so!tIare malicioso en arc"i*os adHntos a mensaHes de correo
electrnico # arc"i*os descargados por Internet 1JdoInloadsJ4 antes de s so$ Esta
*eri!icacin pede lle*arse a ca(o en di!erentes lgares+ por eH$ en ser*idores de correo
electrnico+ comptadoras de escritorio o al ingresar en la red de la organi:acinL
g4 procedimientos # responsa(ilidades gerenciales para administrar la proteccin contra *irs en
los sistemas+ el entrenamiento con respecto a s so+ la comnicacin # la recperacin
!rente a ata%es 1*er 0$> # 2$1$>4
"4 adecados planes de continidad de los negocios para la recperacin respecto de ata%es
de *irs+ incl#endo todos los datos necesarios+ el resgardo del so!tIare # las disposiciones
para la recperacin 1*er el pnto 114
i4 procedimientos para *eri!icar toda la in!ormacin relati*a a so!tIare malicioso+ # garanti:ar
%e los (oletines de alerta sean e8actos e in!ormati*os$ )os gerentes de(en garanti:ar %e
se tili:an !entes cali!icadas+ por eH$ p(licaciones acreditadas+ sitios de Internet o
pro*eedores de so!tIare anti&*irs con!ia(les+ para di!erenciar entre *irs !alaces # reales$ Se
de(e concienti:ar al personal acerca del pro(lema de los *irs !alsos 1"oa84 # de %< "acer al
reci(irlos$
Estos controles son especialmente importantes para ser*idores de arc"i*os de red %e (rindan
soporte a n gran n'mero de estaciones de tra(aHo$
"(
(:$ Man0enimien0o
O(Heti*o9 Mantener la integridad # disponi(ilidad de los ser*icios de procesamiento # comnicacin
de in!ormacin$
Se de(en esta(lecer procedimientos de rtina para lle*ar a ca(o la estrategia de resgardo acordada
1*er 11$14 reali:ando copias de resgardo de los datos # ensa#ando s resta(lecimiento oportno+
registrando e*entos # !allas #+ cando corresponda+ monitoreando el entorno del e%ipamiento$
(:$:3 Re,g*ardo de la informacin
Se de(en reali:ar peridicamente copias de resgardo de la in!ormacin # el so!tIare esenciales
para la empresa$ Se de(e contar con adecadas instalaciones de resgardo para garanti:ar %e toda
la in!ormacin # el so!tIare esencial de la empresa pede recperarse na *e: ocrrido n desastre
o !alla de los dispositi*os$ )as disposiciones para el resgardo de cada no de los sistemas de(en
ser pro(adas peridicamente para garanti:ar %e cmplen con los re%erimientos de los planes de
continidad de los negocios 1*er pnto 114$ Se de(en tener en centa los sigientes controles$
a4 Se de(e almacenar en na (icacin remota n ni*el m;nimo de in!ormacin de resgardo+
Hnto con registros e8actos # completos de las copias de resgardo # los procedimientos
docmentados de restaracin+ a na distancia s!iciente como para e*itar daGos
pro*enientes de n desastre en el sitio principal$ Se de(en retener al menos tres
generaciones o ciclos de in!ormacin de resgardo para aplicaciones importantes de la
empresa$
(4 Se de(e asignar a la in!ormacin de resgardo n ni*el adecado de proteccin !;sica #
am(iental 1*er pnto 74 consecente con los estndares aplicados en el sitio principal$ )os
controles aplicados a los dispositi*os en el sitio principal de(en e8tenderse para c(rir el sitio
de resgardo$
c4 )os medios de resgardo de(en pro(arse peridicamente+ cando sea !acti(le+ a !in de
garanti:ar la con!ia(ilidad de los mismos con relacin a s e*ental so en casos de
emergencia$
d4 )os procedimientos de restaracin de(en *eri!icarse # pro(arse peridicamente para
garanti:ar s e!icacia # cmplimiento dentro del tiempo asignado a la recperacin en los
procedimientos operati*os$
Se de(e determinar el per;odo de garda de la in!ormacin esencial para la empresa+ # tam(i<n los
re%erimientos de copias de arc"i*os %e "an de gardarse en !orma permanente 1*er 12$1$>4$
(:$: Regi,0ro de ac0i2idade, del 5er,onal o5era0i2o
El personal operati*o de(e mantener n registro de ss acti*idades$ )os registros de(en inclir+
seg'n corresponda9
a4 tiempos de inicio # cierre del sistema
(4 errores del sistema # medidas correcti*as tomadas
c4 con!irmacin del maneHo correcto de arc"i*os de datos # salidas
d4 el nom(re de la persona %e lle*a a ca(o la actali:acin del registro
)os registros de acti*idades del personal operati*o de(en estar sHetos a *eri!icaciones peridicas e
independientes con relacin a los procedimientos operati*os$
(:$:" Regi,0ro de falla,
"/
Es%ema 1 I ,AM& 9
Se de(en comnicar las !allas # tomar medidas correcti*as$ Se de(e registrar las !allas comnicadas
por los sarios+ con respecto a pro(lemas con el procesamiento de la in!ormacin o los sistemas de
comnicaciones$ 5e(en e8istir reglas claras para el maneHo de las !allas comnicadas+ con inclsin
de9
a4 re*isin de registros de !allas para garanti:ar %e las mismas !eron reseltas
satis!actoriamente
(4 re*isin de medidas correcti*as para garanti:ar %e los controles no !eron comprometidos+ #
%e las medidas tomadas !eron de(idamente atori:adas$
(:% Admini,0racin de la red
O(Heti*o9 Caranti:ar la segridad de la in!ormacin en las redes # la proteccin de la in!raestrctra
de apo#o$ Es de sma importancia la administracin de segridad de las redes %e peden atra*esar
el per;metro de la organi:acin$
7am(i<n peden re%erirse controles adicionales para los datos sensi(les %e circlen por redes
p'(licas$
(:%:3 Con0role, de rede,
Se re%iere n conHnto de controles para lograr # mantener la segridad de las redes in!ormticas$
)os administradores de redes de(en implementar controles para garanti:ar la segridad de los datos
en la misma+ # la proteccin de los ser*icios conectados contra el acceso no atori:ado+ En
particlar+ se de(en considerar los sigientes ;tems$
a4 Cando corresponda+ la responsa(ilidad operati*a de las redes de(e estar separada de las de
operaciones del comptador 1*er 2$1$D4$
(4 Se de(en esta(lecer los procedimientos # responsa(ilidades para la administracin del
e%ipamiento remoto+ incl#endo los e%ipos en las reas sarias
c4 Si reslta necesario+ de(en esta(lecerse controles especiales para sal*agardar la
con!idencialidad e integridad del procesamiento de los datos %e pasan a tra*<s de redes
p'(licas+ # para proteger los sistemas conectados 1*er 9$D # 10$>4$ 7am(i<n peden
re%erirse controles especiales para mantener la disponi(ilidad de los ser*icios de red #
comptadoras conectadas$
d4 )as acti*idades gerenciales de(en estar estrec"amente coordinadas tanto para optimi:ar el
ser*icio a la acti*idad de la empresa canto para garanti:ar %e los controles se aplican
ni!ormemente en toda la in!raestrctra de procesamiento de in!ormacin$
(:& Admini,0racin ; ,eg*ridad de lo, medio, de almacenamien0o
O(Heti*o 9 Impedir el daGo a los acti*os # las interrpciones en las acti*idades de la empresa$
)os medios de almacenamiento de(en ser controlados # protegidos !;sicamente$ Se de(en
esta(lecer procedimientos operati*os apropiados para proteger docmentos+ medios de
almacenamiento 1cintas+ discos+ casetes4+ datos de entrada/salida # docmentacin del sistema
contra daGo+ ro(o # acceso no atori:ado$
(:&:3 Admini,0racin de medio, informD0ico, remo2i1le,
5e(en e8istir procedimientos para la administracin de medios in!ormticos remo*i(les+ como cintas+
discos+ casetes e in!ormes impresos$ Se de(en considerar los sigientes lineamientos9
$4
a4 si #a no son re%eridos+ de(en (orrarse los contenidos pre*ios de cal%ier medio retili:a(le
%e "a de ser retirado de la organi:acin$
(4 Se de(e re%erir atori:acin para retirar cal%ier medio de la organi:acin # se de(e
reali:ar n registro de todos los retiros a !in de mantener na pista de aditor;a 1*er 2$7$24$
c4 7odos los medios de(en almacenarse en n am(iente segro # protegido+ de acerdo con las
especi!icaciones de los !a(ricantes o pro*eedores$
7odos los procedimientos # ni*eles de atori:acin de(en ser claramente docmentados$
(:&: Eliminacin de medio, informD0ico,
Cando #a no son re%eridos+ los medios in!ormticos de(en eliminarse de manera segra$ Si los
mismos no se eliminan cidadosamente+ la in!ormacin sensi(le pede !iltrarse a personas aHenas a
la organi:acin$ Se de(en esta(lecer procedimientos !ormales para la eliminacin segra de los
medios in!ormticos+ a !in de minimi:ar este riesgo$ 5e(en considerarse los sigientes controles$
a4 )os medios %e contienen in!ormacin sensi(le de(en ser almacenados # eliminados de
manera segra+ por eH$ incinerndolos o "aci<ndolos tri:as+ o eliminando los datos # tili:ando
los medios en otra aplicacin dentro de la organi:acin$
(4 El sigiente listado identi!ica ;tems %e podr;an re%erir na eliminacin segra9
14 docmentos en papel+
24 *oces otras gra(acionesL
>4 papel car(nicoL
D4 in!ormes de salida+
.4 cintas de impresora de n solo soL
04 cintas magn<ticasL
74 discos o casetes remo*i(lesL
24 medios de almacenamiento ptico 1todos los !ormatos incl#endo todos los medios
de distri(cin de so!tIare del !a(ricante o pro*eedor4L
94 listados de programasL
104 datos de pre(aL
114 docmentacin del sistema+
c4 -ede resltar ms !cil disponer %e todos los medios sean recolectados # eliminados de
manera segra+ antes %e intentar separar los ;tems sensi(les$
d4 Mc"as organi:aciones o!recen ser*icios de recoleccin # eliminacin de papeles+ e%ipos #
medios$ Se de(e seleccionar cidadosamente a n contratista apto con adecados controles
# e8periencia$
e4 Cando sea posi(le+ se de(e registrar la eliminacin de los ;tems sensi(les+ a !in de mantener
na pista de aditor;a$
Al acmlar medios para s eliminacin+ se de(e considerar el e!ecto de acmlacin+ %e pede
ocasionar %e na gran cantidad de in!ormacin no clasi!icada se torne ms sensi(le %e na
pe%eGa cantidad de in!ormacin clasi!icada$
(:&:" !rocedimien0o, de mane?o de la informacin
Se de(en esta(lecer procedimientos para el maneHo # almacenamiento de la in!ormacin para
protegerla contra s so inadecado o di*lgacin no atori:ada$ )os procedimientos de maneHo de
in!ormacin de(en ela(orarse seg'n la clasi!icacin de la misma 1*er .$24 en docmentos+ sistemas
in!ormticos+ redes+ comptacin m*il+ comnicaciones m*iles+ correo+ correo de *o:+
comnicaciones de *o: en general+ mltimedia+ ser*icios e instalaciones postales+ so de m%inas
de !a8 # cal%ier otro ;tem sensi(le+ por eH$ !actras # c"e%es en (lanco$ Se de(en tener en centa
los sigientes controles 1*er tam(i<n .$2 # 2$7$249
$3
Es%ema 1 I ,AM& 9
a4 maneHo # rotlado de todos los medios 1*er tam(i<n 2$7$2 a4L
(4 restriccin de acceso para identi!icar al personal no atori:adoL
c4 mantenimiento de n registro !ormal de los receptores atori:ados de datosL
d4 garanti:ar %e los datos de entrada son completos+ %e el procesamiento se lle*a a ca(o
correctamente # %e se aplica la *alidacin de salidasL
e4 proteccin de datos en espera 1Jspooled dataJ4 en n ni*el consecente con el grado de
sensi(ilidad de los mismos
!4 almacenamiento de medios en n am(iente %e concerda con las especi!icaciones de los
!a(ricantes o pro*eedores
g4 mantener la distri(cin de datos en n ni*el m;nimo
"4 marcacin clara de todas las copias de datos a !in de ser ad*ertidas por el receptor atori:ado
i4 re*isin de listados de distri(cin # listados de receptores atori:ados a inter*alos reglares$
(:&:$ Seg*ridad de la doc*men0acin del ,i,0ema
)a docmentacin del sistema pede contener cierta cantidad de in!ormacin sensi(le+ por eH$
descripcin de procesos de aplicaciones+ procedimientos+ estrctras de datos+ procesos de
atori:acin 1*er tam(i<n 9$14$ Se de(en considerar los sigientes controles para proteger la
docmentacin del sistema de accesos no atori:ados$
a4 )a docmentacin del sistema de(e ser almacenada en !orma segraL
(4 El listado de acceso a la docmentacin del sistema de(e restringirse al m;nimo # de(e ser
atori:ado por el propietario de la aplicacinL
c4 )a docmentacin del sistema almacenada en na red p'(lica+ o sministrada a tra*<s de
na red p'(lica+ de(e ser protegida de manera adecadaL
(:' In0ercam1io, de informacin ; ,of0@are
O(Heti*o9 Impedir la p<rdida+ modi!icacin o so inadecado de la in!ormacin %e intercam(ian las
organi:aciones$
)os intercam(ios de in!ormacin # so!tIare entre organi:aciones de(en ser controlados+ # de(en ser
consecentes con la legislacin aplica(le 1*er pnto 124$ )os intercam(ios de(en lle*arse a ca(o de
con!ormidad con los acerdos e8istentes$ Se de(en esta(lecer procedimientos # estndares para
proteger la in!ormacin # los medios en trnsito$ Se de(en considerar las implicancias comerciales #
de segridad relacionadas con el intercam(io electrnico de datos+ el comercio electrnico # el correo
electrnico+ adems de los re%erimientos de controles$
(:':3 Ac*erdo, de in0ercam1io de informacin ; ,of0@are
Se de(en esta(lecer acerdos+ algnos de los cales peden ser !ormales+ incl#endo los acerdos
de cstodia de so!tIare cando corresponda+ para el intercam(io de in!ormacin # so!tIare 1tanto
electrnico como manal4 entre organi:aciones$ )as especi!icaciones de segridad de los acerdos
de esta ;ndole de(en re!leHar el grado de sensi(ilidad de la in!ormacin de negocio in*olcrada$ )os
acerdos so(re re%isitos de segridad de(en tener en centa
a4 responsa(ilidades gerenciales por el control # la noti!icacin de transmisiones+ en*;os #
recepciones L
(4 procedimientos de noti!icacin de emisor+ transmisin+ en*;o # recepcinL
c4 estndares t<cnicos m;nimos para armado de pa%etes # transmisinL
d4 estndares de identi!icacin de mensaHeros 1QcorierR4L
e4 responsa(ilidades # o(ligaciones en caso de p<rdida de datos
$
!4 so de n sistema con*enido para el rotlado de in!ormacin cr;tica o sensi(le+ garanti:ando
%e el signi!icado de los rtlos sea inmediatamente comprendido # %e la in!ormacin sea
adecadamente protegidaL
g4 in!ormacin so(re la propiedad de la in!ormacin # el so!tIare+ # responsa(ilidades por la
proteccin de los datos+ el cmplimiento del Jderec"o de propiedad intelectalJ del so!tIare #
consideraciones similares 1*er 12$1$2 # 12$1$D4 L
1
"4 estndares t<cnicos para la gra(acin # lectra de la in!ormacin # so!tIare L
i4 controles especiales %e peden re%erirse para proteger ;tems sensi(les+ como las cla*es
criptogr!icas 1*er 10$>$.4$
(:': Seg*ridad de lo, medio, en 0rDn,i0o
)a in!ormacin pede ser *lnera(le a accesos no atori:ados+ mal so o alteracin drante el
transporte !;sico+ por eHemplo cando se en*;an medios a tra*<s de ser*icios postales o de
mensaHer;a$
)os sigientes controles de(en ser aplicados para sal*agardar los medios in!ormticos %e se
transportan entre distintos pntos$
a4 Se de(en tili:ar medios de transporte o ser*icios de mensaHer;a con!ia(les$ Se de(e acordar
con la gerencia na lista de ser*icios de mensaHer;a atori:ados e implementar n
procedimiento para *eri!icar la identi!icacin de los mismos$
(4 El em(alaHe de(e ser s!iciente como para proteger el contenido contra e*entales daGos
!;sicos drante el trnsito # de(e segir las especi!icaciones de los !a(ricantes o pro*eedores$
c4 Se de(en adoptar controles especiales+ cando reslte necesario+ a !in de proteger la
in!ormacin sensi(le contra di*lgacin o modi!icacin no atori:adas$ Entre los eHemplos se
incl#en
14 so de recipientes cerradosL
24 entrega en manoL
>4 em(alaHe a pre(a de apertra no atori:ada 1%e re*ele cal%ier intento de acceso4L
D4 en casos e8cepcionales+ di*isin de la mercader;a a en*iar en ms de na entrega #
en*;o por di!erentes rtas$
(:':" Seg*ridad del comercio elec0rnico
El comercio electrnico pede comprender el so de intercam(io electrnico de datos 1E5I4+ correo
electrnico # transacciones en l;nea a tra*<s de redes p'(licas como Internet$ El comercio electrnico
es *lnera(le a di*ersas amena:as relati*as a redes+ %e peden tener como resltado acti*idades
!radlentas+ disptas contractales # di*lgacin o modi!icacin de in!ormacin$ Se de(en aplicar
controles para proteger al comercio electrnico de dic"as amena:as$ )as consideraciones en materia
de segridad con respecto al comercio electrnico de(en inclir las sigientes9
a4 Atenticacin$ Q< ni*el de con!ian:a rec;proca de(en re%erir el cliente # comerciante con
respecto a la identidad alegada por cada no de ellosS
(4 Atori:acin$ Qi<n est atori:ado a !iHar precios+ emitir o !irmar los docmentos comerciales
cla*eS Cmo conoce este pnto el otro participante de la transaccin$
c4 -rocesos de o!erta # contratacin$ Cles son los re%erimientos de con!idencialidad+
integridad # pre(a de en*;o # recepcin de docmentos cla*e # de no repdio de contratosS
d4 In!ormacin so(re !iHacin de precios$ Q< ni*el de con!ian:a pede depositarse en la
integridad del listado de precios p(licado # en la con!idencialidad de los acerdos relati*as a
descentosS
$"
Es%ema 1 I ,AM& 9
e4 7ransacciones de compra$ Cmo es la con!idencialidad e integridad de los datos
sministrados con respecto a rdenes+ pagos # direcciones de entrega+ # con!irmacin de
recepcinS
!4 Feri!icacin$ Q< grado de *eri!icacin es apropiado para constatar la in!ormacin de pago
sministrada por el clienteS
g4 Cierre de la transaccin$ Cl es !orma de pago ms adecada para e*itar !radesS
"4 Ordenes$ Q< proteccin se re%iere para mantener la con!idencialidad e integridad de la
in!ormacin so(re rdenes de compra # para e*itar la p<rdida o dplicacin de transacciones$
i4 ,esponsa(ilidad$ Qi<n asme el riesgo de e*entales transacciones !radlenta
Cran parte de las consideraciones mencionadas peden resol*erse mediante la aplicacin de las
t<cnicas criptogr!icas enmeradas en el pnto 10$>+ tomando en centa el cmplimiento de los
re%isitos legales 1*er 12$1+ en particlar los pntos 12$1$0 para legislacin so(re criptogra!;a4$
)os acerdos de comercio electrnico entre partes+ de(en ser respaldados por n acerdo
docmentado %e comprometa a las mismas a respetar los t<rminos # condiciones acordados+
incl#endo los detalles de atori:acin O*er el pnto (4+ ms arri(aP$ -eden re%erirse otros
acerdos con pro*eedores de ser*icios de in!ormacin # de redes %e aporten (ene!icios
adicionales$
)os sistemas p'(licos de transacciones de(en dar a conocer a ss clientes ss t<rminos #
condiciones comerciales$
Se de(e tomar en centa la resistencia a ata%es con %e centa el J"ostJ tili:ado para el comercio
electrnico+ # las implicancias de segridad de las intercone8iones de red %e se re%ieren para s
implementacin 1*er 9$D$74$
(:':$ Seg*ridad del correo elec0rnico
(:':$:3 Rie,go, de ,eg*ridad
El correo electrnico se est tili:ando para las comnicaciones comerciales+ en reempla:o de las
!ormas tradicionales de comnicacin como el tele8 # el correo postal$ El correo electrnico di!iere
de las !ormas tradicionales de comnicaciones comerciales por s *elocidad+ estrctra de
mensaHes+ grado de in!ormalidad # *lnera(ilidad a las acciones no atori:adas$ Se de(e tener en
centa la necesidad de controles para redcir los riesgos de segridad creados por el correo
electrnico$ )os riesgos relati*os a la segridad comprenden 9
a4 *lnera(ilidad de los mensaHes al acceso o modi!icacin no atori:ados o a la negacin de
ser*icio
(4 *lnera(ilidad a errores+ por eH$+ consignacin incorrecta de la direccin o direccin errnea+ #
la con!ia(ilidad # disponi(ilidad general del ser*icio L
c4 impacto de n cam(io en el medio de comnicacin en los procesos de negocio+ por eH$+ el
e!ecto del incremento en la *elocidad de en*;o o el e!ecto de en*iar mensaHes !ormales de
persona a persona en lgar de mensaHes entre organi:aciones
d4 consideraciones legales+ como la necesidad potencial de contar con pre(a de origen+ en*;o+
entrega # aceptacin
e4 implicancias de la p(licacin e8terna de listados de personal+ accesi(les al p'(lico L
!4 control del acceso de sarios remotos a las centas de correo electrnico$
(:':$: !ol0ica de correo elec0rnico
$$
)as organi:aciones de(en ela(orar na pol;tica clara con respecto al so del correo electrnico+ %e
incl#a los sigientes tpicos9
a4 ata%es al correo electrnico+ por eH$ *irs+ interceptacin
(4 proteccin de arc"i*os adHntos de correo electrnicoL
c4 lineamientos so(re cando no tili:ar correo electrnicoL
d4 responsa(ilidad del empleado de no comprometer a la organi:acin+ por eH$ en*iando correos
electrnicos di!amatorios+ lle*ando a ca(o prcticas de "ostigamiento+ o reali:ando compras
no atori:adasL
e4 so de t<cnicas criptogr!icas para proteger la con!idencialidad e integridad de los mensaHes
electrnicos 1*er 10$>4
!4 retencin de mensaHes %e+ si se almacenaran+ podr;an ser "allados en caso de litigioL
g4 controles adicionales para e8aminar mensaHes electrnicos %e no peden ser atenticados$
(:':% Seg*ridad de lo, ,i,0ema, elec0rnico, de oficina
Se de(en preparar e implementar pol;ticas # lineamientos para controlar las acti*idades de la
empresa # riesgos de segridad relacionados con los sistemas electrnicos de o!icina$ ?stos
propician la di!sin # distri(cin ms rpidas de la in!ormacin de la empresa mediante na
com(inacin de docmentos+ comptadoras+ comptacin m*il+ comnicaciones m*iles+ correo+
correo de *o:+ comnicaciones de *o: en general+ mltimedia+ ser*icios o instalaciones postales #
m%inas de !a8$
)as consideraciones respecto de las implicancias de segridad # comerciales al interconectar tales
ser*icios+ de(en inclir9
a4 *lnera(ilidades de la in!ormacin en los sistemas de o!icina+ por eH$ la gra(acin de llamadas
tele!nicas o tele con!erencias+ la con!idencialidad de las llamadas+ el almacenamiento de
!a8es+ la apertra o distri(cin del correoL
(4 pol;tica # controles apropiados para administrar la distri(cin de in!ormacin+ por eH$ el so
de (oletines electrnicos corporati*os 1*er 9$14
c4 e8clsin de categor;as de in!ormacin sensi(le de la empresa+ si el sistema no (rinda n
adecado ni*el de proteccin 1*er .$24
d4 limitacin del acceso a la in!ormacin de agenda de personas determinadas+ por eH$ el
personal %e tra(aHa en pro#ectos sensi(les L
e4 la aptitd del sistema para dar soporte a las aplicaciones de la empresa+ como la
comnicacin de rdenes o atori:aciones
!4 categor;as de personal+ contratistas o socios a los %e se permite el so del sistema # las
(icaciones desde las cales se pede acceder al mismo 1*er D$24L
g4 restriccin de determinadas instalaciones a espec;!icas categor;as de sariosL
"4 identi!icacin de la posicin o categor;a de los sarios+ por eH$ empleados de la organi:acin
o contratistas en directorios a (ene!icio de otros sarios L
i4 retencin # resgardo de la in!ormacin almacenada en el sistema 1*er 12$1$> # 2$D$14
H4 re%erimientos # disposiciones relati*os a sistemas de soporte U-C de reposicin de
in!ormacin perdida 1*er 1 1$14$
(:':& Si,0ema, de acce,o 5E1lico
Se de(en tomar recados para la proteccin de la integridad de la in!ormacin p(licada
electrnicamente+ a !in de pre*enir la modi!icacin no atori:ada %e podr;a daGar la reptacin de la
organi:acin %e emite la p(licacin$ Es posi(le %e la in!ormacin de n sistema de acceso
p'(lico+ por eH$ la in!ormacin en n ser*idor Te( accesi(le por Internet+ de(a cmplir con le#es+
normas # estattos de la Hrisdiccin en la cal se locali:a el sistema o en la cal tiene lgar la
$%
Es%ema 1 I ,AM& 9
transaccin$ 5e(e e8istir n proceso de atori:acin !ormal antes de %e la in!ormacin se ponga a
disposicin del p'(lico$
El so!tIare+ los datos # dems in!ormacin %e re%iera n alto ni*el de integridad+ # %e est<
disponi(le en n sistema de acceso p'(lico+ de(en ser protegidos+ mediante mecanismos
adecados+ por eH$ !irmas digitales 1*er 10$>$>4$ )os sistemas de p(licacin electrnica+ en particlar
a%ellos %e permiten J!eed(acKJ e ingreso directo de in!ormacin+ de(en ser cidadosamente
controlados de manera %e9
a4 la in!ormacin se o(tenga de acerdo con la legislacin de proteccin de datos 1*er 12$1$D4L
(4 la in!ormacin %e se ingresa al sistema de p(licacin+ o a%ella %e procesa el mismo+ sea
procesada en !orma completa+ e8acta # oportnaL
c4 la in!ormacin sensi(le sea protegida drante el proceso de recoleccin # drante s
almacenamientoL
d4 el acceso al sistema de p(licacin no permita el acceso accidental a las redes a las cales
se conecta el mismo$
(:':' O0ra, forma, de in0ercam1io de informacin
Se de(en implementar procedimientos # controles para proteger el intercam(io de in!ormacin a
tra*<s de medios de comnicaciones de *o:+ !a8 # *;deo$ )a in!ormacin pede *erse
comprometida de(ido a la !alta de concienti:acin+ pol;ticas o procedimientos acerca del so de
dic"os medios+ por eH$ al escc"arse na con*ersacin por tel<!ono m*il en n lgar p'(lico+ al
escc"arse los mensaHes gra(ados en n contestador atomtico+ mediante el acceso no atori:ado
a sistemas de correo de *o: por discado+ o al en*iar accidentalmente !a8es a la persona e%i*ocada$
Si los ser*icios de comnicaciones !allan+ se so(recargan o se interrmpen+ las operaciones de la
empresa podr;an *erse interrmpidas # la in!ormacin comprometerse 1*er pntos 7$2 # 1 l4$ )a
in!ormacin tam(i<n podr;a comprometerse si sarios no atori:ados acceden a estos ser*icios 1*er
pnto 94$
Se de(e esta(lecer na pol;tica clara con respecto a los procedimientos %e de(er segir el
personal al esta(lecer comnicaciones de *o:+ !a8 # *;deo$ Esta de(e inclir lo sigiente9
a4 recordar al personal %e de(e tomar las de(idas precaciones+ por eH$ no re*elar in!ormacin
sensi(le como para e*itar ser escc"ado o interceptado+ al "acer na llamada tele!nica+ por9
14 personas cercanas+ en especial al tili:ar tel<!onos m*ilesL
24 inter*encin de la l;nea tele!nica+ # otras !ormas de escc"a s(repticias+ a tra*<s del
acceso !;sico al aparato o a la l;nea tele!nica+ o mediante e%ipos de (arrido de
!recencias 1QscannersR4 al tili:ar tel<!onos m*iles anlogosL
>4 personas en el lado receptorL
(4 recordar al personal %e no de(e sostener con*ersaciones con!idenciales en lgares p'(licos
o!icinas a(iertas # lgares de renin con paredes delgadasL
c4 no deHar mensaHes en contestadores atomticos pesto %e <stos peden ser escc"ados
por personas no atori:adas+ almacenados en sistemas p'(licos o almacenados
incorrectamente como resltado de n error de discado
d4 recordar al personal los pro(lemas ocasionados por el so de m%inas de !a8+ en particlar9
14 el acceso no atori:ado a sistemas incorporados de almacenamiento de mensaHes
con el o(Heto de recperarlosL
24 la programacin deli(erada o accidental de e%ipos para en*iar mensaHes a
determinados n'meros L
>4 el en*;o de docmentos # mensaHes a n n'mero e%i*ocado por errores de discado o
por tili:ar el n'mero almacenado e%i*ocado$
$&
$'
Es%ema 1 I ,AM& 9
/ CONTROL DE ACCESOS
/:3 Re.*erimien0o, de negocio 5ara el con0rol de acce,o,
O(Heti*o9 Controlar el acceso de in!ormacin$
El acceso a la in!ormacin # los procesos de negocio de(en ser controlados so(re la (ase de
los re%erimientos la segridad # de los negocios$
-ara esta se de(en tener en centa las pol;ticas de di!sin # atori:acin de la in!ormacin9
/:3:3 !ol0ica de con0rol de acce,o,
/:3:3:3 Re.*erimien0o, 5ol0ico, ; de negocio,:
Se de(en de!inir # docmentar los re%erimientos de negocio para el control de accesos$ )as reglas
# derec"os del control de accesos+ para cada sario o grpo de sarios+ de(en ser claramente
esta(lecidos en na declaracin de pol;tica de accesos$ Se de(e otorgar a los sarios #
pro*eedores de ser*icio na clara ennciacin de los re%erimientos comerciales %e de(ern
satis!acer los controles de acceso$
)a pol;tica de(e contemplar lo sigiente9
a4 re%erimientos de segridad de cada na de las aplicaciones comercialesL
(4 identi!icacin de toda in!ormacin relacionada con las aplicaciones comercialesL
c4 las pol;ticas de di*lgacin # atori:acin de in!ormacin+ por eH$+ el principio de necesidad de
conocer+ # los ni*eles de segridad # la clasi!icacin de la in!ormacinL
d4 co"erencia entre las pol;ticas de control de acceso # de clasi!icacin de in!ormacin de los
di!erentes sistemas # redes L
e4 legislacin aplica(le # o(ligaciones contractales con respecto a la proteccin del acceso a
datos # ser*icios 1*er pnto 124 L
!4 per!iles de acceso de sarios estndar+ comnes a cada categor;a de pestos de tra(aHo L
g4 administracin de derec"os de acceso en n am(iente distri(ido # de red %e recono:can
todos los tipos de cone8iones disponi(les$
/:3:3: Regla, de con0rol de acce,o,
Al especi!icar las reglas de control de acceso+ se de(e considerar cidadosamente lo sigiente9
a4 di!erenciar entre reglas %e siempre de(en imponerse # reglas optati*as o condicionalesL
(4 esta(lecer reglas so(re la (ase de la premisa QQ< de(e estar generalmente pro"i(ido a
menos %e se permita e8presamenteSR+ antes %e la regla mas d<(il Q7odo esta
generalmente permitido a menos %e se pro";(a e8presamenteR L
c4 los cam(ios en los rtlos de in!ormacin 1*er .$24 %e son iniciados atomticamente por
las instalaciones de procesamiento de in!ormacin # a%ellos el sario inicia seg'n s
criterioL
d4 los cam(ios en los permisos de sario %e son iniciados atomticamente por el sistema de
in!ormacin # a%ellos %e inicia el administradorL
e4 las reglas %e re%ieren la apro(acin del administrador o de otros antes de entrar en
*igencia # a%ellas %e no$
$(
/: Admini,0racin de acce,o, de *,*ario,
O(Heto9 Impedir el acceso no atori:ado en los sistemas de in!ormacin$
Se de(en implementar procedimientos !ormales para controlar la asignacin de derec"os de
acceso a los sistemas # ser*icios de in!ormacin$
)os procedimientos de(en comprender todas las etapas del ciclo de *ida de los accesos de
sario+ desde el registro inicial de ne*os sarios "asta la pri*acin !inal de derec"os de los
sarios %e #a no re%ieren acceso a los sistemas # ser*icios de in!ormacin$ Se de(e
conceder especial atencin+ cando corresponda+ a la necesidad de controlar la asignacin de
derec"os de acceso de pri*ilegio+ %e permiten a los sarios pasar por alto los controles de
sistema$
/::3 Regi,0racin de *,*ario,
5e(e e8istir n procedimiento !ormal de registracin # desregistracin de sarios para otorgar
acceso a todos los sistemas # ser*icios de in!ormacin mlti&sario$ El acceso a ser*icios de
in!ormacin mlti&sario de(e ser controlado a tra*<s de n proceso !ormal de registracin de
sarios+ el cal de(e inclir los sigientes pntos9
a4 tili:ar I5s de sario 'nicos de manera %e se peda *inclar # "acer responsa(les a los
sarios por ss acciones$ El so de I5s grpales solo de(e ser permitido cando son
con*enientes para el tra(aHo a desarrollar L
(4 *eri!icar %e el sario tiene atori:acin del propietario del sistema para el so del sistema o
ser*icio de in!ormacin$ 7am(i<n pede resltar apropiada na apro(acin adicional de
derec"os de acceso por parte de la gerenciaL
c4 *eri!icar %e el ni*el de acceso otorgado es adecado para el propsito del negocios 1*er 9$14
# es co"erente con la pol;tica de segridad de la organi:acin+ por eH$ %e no compromete la
separacin de tareas 1*er 2$1$D4 L
d4 entregar a los sarios n detalle escrito de ss derec"os de accesoL
e4 re%erir %e los sarios !irmen declaraciones seGalando %e comprenden las condiciones
para el acceso L
!4 garanti:ar %e los pro*eedores de ser*icios no otorgan acceso "asta %e se "a#an
completado los procedimientos de atori:acin L
g4 mantener n registro !ormal de todas las personas registradas para tili:ar el ser*icio L
"4 cancelar inmediatamente los derec"os de acceso de los sarios %e cam(iaron ss tareas o
se des*inclaron de la organi:acin L
i4 *eri!icar peridicamente+ # cancelar I5s # centas de sarios redndantesL
H4 garanti:ar %e los I5s de sario redndantes no se asignen a otros sariosL
Se de(e considerar la inclsin de clslas en los contratos de personal # de ser*icios %e
especi!i%en sanciones si el personal o los agentes %e prestan n ser*icio intentan accesos no
atori:ados 1*er tam(i<n 0$1$D$ # 0$>$.$4
/:: Admini,0racin de 5ri2ilegio,
Se de(e limitar # controlar la asignacin # so de pri*ilegios 1cal%ier caracter;stica o ser*icio de n
sistema de in!ormacin mlti&sario %e permita %e el sario pase por alto los controles de
sistemas o aplicaciones4$ El so inadecado de los pri*ilegios del sistema reslta !recentemente en
el ms importante !actor %e contri(#e a la !alla de los sistemas a los %e se "a accedido
ilegalmente$
$/
Es%ema 1 I ,AM& 9
)os sistemas mlti&sario %e re%ieren proteccin contra accesos no atori:ados+ de(en pre*er
na asignacin de pri*ilegios controlada mediante n proceso de atori:acin !ormal$ Se de(en tener
en centa los sigientes pasos9
a4 5e(en identi!icarse los pri*ilegios asociados a cada prodcto del sistema por eH$ sistema
operati*o+ sistema de administracin de (ases de datos # aplicaciones+ # las categor;as de
personal a las cales de(en asignarse los prodctos$
(4 )os pri*ilegios de(en asignarse a indi*idos so(re las (ases de la necesidad de so # e*ento
por e*ento+ por eH$ el re%erimiento m;nimo para s rol !ncional solo cando sea necesario$
c4 Se de(e mantener n proceso de atori:acin # n registro de todos los pri*ilegios asignados$
)os pri*ilegios no de(en ser otorgados "asta %e se "a#a completado el proceso de
atori:acin$
d4 Se de(e promo*er el desarrollo # so de rtinas del sistema para e*itar la necesidad de
otorgar pri*ilegios a los sarios$
e4 )os pri*ilegios de(en asignarse a na identidad de sario di!erente de a%ellas tili:adas en
los acti*idades comerciales normales$
/::" Admini,0racin de con0ra,eFa, de *,*ario
)as contraseGas constit#en n medio com'n de *alidacin de la identidad de n sario para
acceder a n sistema o ser*icio de in!ormacin$ )a asignacin de contraseGas de(e controlarse a
tra*<s de n proceso de administracin !ormal+ mediante el cal de(e lle*arse a ca(o lo sigiente9
a4 re%erir %e los sarios !irmen na declaracin por la cal se comprometen a mantener ss
contraseGas personales en secreto # las contraseGas de los grpos de tra(aHo e8clsi*amente
entre los miem(ros del grpo 1esto podr;a inclirse en los t<rminos # condiciones de empleo+
*er 0$1$D4L
(4 garanti:ar+ cando se re%iera %e los sarios mantengan a ss propias contraseGas+ %e
se pro*ea inicialmente a los mismos de na contraseGa pro*isoria segra+ %e de(ern
cam(iar de inmediato$ )as contraseGas pro*isorias+ %e se asignan cando los sarios
ol*idan s contraseGa+ solo de(e sministrarse na *e: identi!icado el sarioL
c4 re%erir contraseGas pro*isorias para otorgar a los sarios de manera segra$ Se de(e e*itar
la participacin de terceros o el so de mensaHes de correo electrnico sin proteccin 1te8to
claro4$ )os sarios de(en acsar reci(o de la recepcin de la cla*e 1passIord4L
)as contraseGas nnca de(en ser almacenadas en sistemas in!ormati*os sin proteccin 1*er 9$.$D4$
Se reslta pertinente+ se de(e considerar el so de otras tecnolog;as de identi!icacin # atenticacin
de sarios+ como la (iom<trica+ por EH$$$ *eri!icacin de "ellas dactilares+ *eri!icacin de !irma # so
de QtoKensR de "ardIare+ como las tarHetas de circito integrado 1Qc"ip&cardsR4$
/::$ Re2i,in de derecGo, de acce,o de *,*ario
A !in de mantener n control e!ica: del acceso a los datos # ser*icios de in!ormacin+ la gerencia
de(e lle*ar a ca(o n proceso !ormal a inter*alos reglares+ a !in de re*isar los derec"os de acceso
de los sarios+ de manera tal %e9
a4 los derec"os de acceso de los sarios se re*isen a inter*alos reglares 1se recomienda n
periodo de seis meses4 # desp<s de cal%ier cam(io 1*er 9$2$14L
(4 las atori:aciones de pri*ilegios especiales de derec"os de acceso 1*er 9$2$24 se re*isen a
inter*alos mas !recentes 1se recomienda n periodo de tres meses4 L
c4 las asignaciones de pri*ilegios se *eri!i%en a inter*alos reglares+ a !in de garanti:ar %e no
se o(tengan pri*ilegios no atori:ados$
%4
%3
Es%ema 1 I ,AM& 9
/:" Re,5on,a1ilidade, del *,*ario
O(Heto9 Impedir el acceso sarios no atori:ados
)a cooperacin de los sarios atori:ados en esencial para la e!icacia de la segridad$
Se de(e concienciar a los sarios acerca de ss responsa(ilidades por el mantenimiento de
controles de acceso e!icaces+ en particlar a%ellos relacionados con el so de contraseGas # la
segridad del e%ipamiento$
/:":3 U,o de con0ra,eFa,
)os sarios de(en segir (enas prcticas de segridad en la seleccin # so de contraseGas$
)as contraseGas constit#en n medio de *alidacin de la identidad de n sario # consecente&
mente n medio para esta(lecer derec"os de acceso a las instalaciones o ser*icios de
procesamiento de in!ormacin$ Se de(e noti!icar a los sarios %e de(en cmplir con los sigientes
pntos9
a4 mantener las contraseGas en secretoL
(4 e*itar mantener n registro en papel de las contraseGas+ a menos %e este peda ser
almacenado en !orma segraL
c4 cam(iar las contraseGas siempre %e e8ista n posi(le indicio de compromiso del sistema o
de las contraseGasL
d4 seleccionar contraseGas de calidad+ con na longitd m;nima de seis caracteres %e9
14 sean !cil de recordarL
24 no est<n (asadas en alg'n dato %e otra persona peda adi*inar o(tener !cilmente
mediante in!ormacin relacionada con la persona+ por eH$ nom(res+ n'meros de tel<&
!ono+ !ec"a de nacimiento+ etc$ L
>4 no tengan caracteres id<nticos consecti*os o grpos totalmente nm<ricos o total&
mente al!a(<ticos$
e4 cam(iar las contraseGas a inter*alos reglares o seg'n el n'mero de acceso 1las contraseGas
de centas con pri*ilegios de(en ser modi!icadas con ma#or !recencia %e las contraseGas
comnes4+ # e*itar retili:ar o reciclar *ieHas contraseGas L
!4 cam(iar las contraseGas pro*isorias en el primer inicio de sesin 1Qlog onR4 L
g4 no inclir contraseGas en los procesos atomati:ados de inicio de sesin+ por eH$ a%ellas
almacenadas en na tecla de !ncin o macro L
"4 no compartir las contraseGas indi*idales de sario$
Si los sarios necesitan acceder a m'ltiples ser*icios o plata!ormas # se re%iere %e mantengan
m'ltiples contraseGas+ se de(e noti!icar a los mismos %e peden tili:ar na contraseGa de calidad
'nica 1*er 9$>$14 para todos los ser*icios %e (rinden n ni*el ra:ona(le de proteccin de las
contraseGas almacenadas$
/:": E.*i5o, de,a0endido, en Drea, de *,*ario,
)os sarios de(en garanti:ar %e los e%ipos desatendidos sean protegidos adecadamente$ )os
e%ipos instalados en reas de sarios+ por eH$ estaciones de tra(aHo o ser*idores de arc"i*os+
peden re%erir na proteccin espec;!ica contra accesos no atori:ados+ cando se encentran
desatendidos drante n periodo e8tenso$ Se de(e concienti:ar a todos los sarios # contratistas+
acerca de los re%erimientos # procedimientos de segridad+ para la proteccin de e%ipos
desatendidos+ as; como de ss responsa(ilidades por la implementacin de dic"a proteccin$
%
Se de(e noti!icar a los sarios %e de(en cmplir con los sigientes pntos9
a4 conclir las sesiones acti*as al !inali:ar las tareas+ a menos %e pedan protegerse mediante
n mecanismo de (lo%eo adecado+ por eH$ n preser*ador de pantallas protegido por
contraseGa L
(4 lle*ar a ca(o el procedimiento de salida de los procesadores centrales cando !inali:a la
sesin 1no solo apagar la -C o terminal4 L
c4 proteger las -Cs o terminales contra sos no atori:ados mediante n (lo%eo de segridad
o control e%i*alente+ por eH$ contraseGa de acceso+ cando no se tili:an$
/:$ Con0rol de acce,o a la red
O(Heti*o9 )a proteccin de los ser*icios de red$
Se de(e controlar el acceso a los ser*icios de red tanto internos como e8ternos$ Esto es
necesario para garanti:ar %e los sarios %e tengan acceso a las redes # a los ser*icios de
red no comprometan la segridad de estos ser*icios+ garanti:ando9
a4 inter!aces inadecadas entre la red de la organi:acin # las redes de otras
organi:aciones+ o redes p(licas L
(4 mecanismos de atenticacin apropiados para sarios # e%ipamiento L
c4 control de acceso de sarios a los ser*icios de in!ormacin$
/:$:3 !ol0ica de *0ili<acin de lo, ,er2icio, de red
)as cone8iones no segras a los ser*icios de red peden a!ectar a toda la organi:acin$ )os sarios
solo de(en contar con acceso directo a los ser*icios para los cales "an sido e8presamente
atori:ados$ Este control es particlarmente importante para las cone8iones de red a aplicaciones
comerciales sensi(les o cr;ticas o a sarios en sitios de alto riesgo+ por eH$ reas p'(licas o e8ternas
%e estn !era de la administracin # el control de segridad de la organi:acin$
Se de(e !ormlar na pol;tica concerniente al so de redes # ser*icios de red$ Esta de(e
comprender9
a4 las redes # ser*icios de red a los cales se permite el acceso L
(4 procedimientos de atori:acin para determinar las personas # las redes # ser*icios de red a
los cales tienen permitido el acceso L
c4 controles # procedimientos de gestin para proteger el acceso a las cone8iones # ser*icios de
red$
Esta pol;tica de(e ser co"erente con la pol;tica de control de accesos de la organi:acin 1*er 9$14$
/:$: Camino for<ado
-ede resltar necesario controlar el camino desde la terminal de sario "asta el ser*icio
in!ormtico$ )as redes estn diseGadas para permitir el m8imo alcance de distri(cin de recrsos #
!le8i(ilidad de rteo$ Estas caracter;sticas tam(i<n peden o!recer oportnidades para el acceso no
atori:ado a las aplicaciones de negocios+ o para el so no atori:ado de ser*icios de in!ormacin$
Estos riesgos peden redcirse mediante la incorporacin de controles+ %e limiten la rta entre na
terminal de sario # los ser*icios del comptador+ a los cales ss sarios estn atori:ados a
acceder+ por eH$ creando n camino !or:ado$
El o(Heti*o de n camino !or:ado es e*itar %e los sarios seleccionen rtas !era de la tra:ada
entre la terminal de sario # los ser*icios a los cales el mismo esta atori:ado a acceder$
%"
Es%ema 1 I ,AM& 9
Esto normalmente re%iere la implementacin de *arios controles en di!erentes pntos de la rta$ El
principio es limitar las opciones de rteo en cada pnto de la red+ a tra*<s de elecciones prede!inidas$
A continacin se enmeran los eHemplos pertinentes9
a4 asignacin de n'meros tele!nicos o l;neas dedicadas L
(4 cone8in atomtica de pertos a gateIa#s de segridad o a sistemas de aplicacin
espec;!icosL
c4 limitar las opciones de men' # s(men' de cada no de los sarios L
d4 e*itar la na*egacin ilimitada por la red L
e4 imponer el so de sistemas de aplicacin #/o gateIa#s de segridad espec;!icos para
sarios e8ternos de la red L
!4 controlar acti*amente las comnicaciones con origen # destino atori:ados a tra*<s de n
gateIa#+ por eH+ !ireIallsL
g4 restringir el acceso a redes+ esta(leciendo dominios lgicos separados+ por eH$+ redes
pri*adas *irtales para grpos de sarios dentro de la organi:acin 1*er tam(i<n 9$D$04L
)os re%erimientos relati*os a enrtamientos !or:ados de(en (asarse en la pol;tica de control de
accesos de la organi:acin$ 19$14$
/:$:" A*0en0icacin de *,*ario, 5ara cone7ione, e70erna,
)as cone8iones e8ternas son de gran potencial para accesos no atori:ados a la in!ormacin de la
empresa+ por eH$+ accesos mediante discado$ -or consigiente+ el acceso de sarios remotos de(e
estar sHeto a la atenticacin$ E8isten di!erentes m<todos de atenticacin+ algnos de los cales
(rindan n ma#or ni*el de proteccin %e otros+ por eH$ los m<todos (asados en el so de t<cnicas
criptogr!icas peden pro*eer de na !erte atenticacin$ Es importante determinar mediante na
e*alacin de riesgos el ni*el de proteccin re%erido$ Esto es necesario para la adecada seleccin del
m<todo$
)a atenticacin de sarios remotos pede lle*arse a ca(o tili:ando+ por eHemplo+ na t<cnica
(asada en criptogra!;a+ QtoKensR de "ardIare+ o n protocolo de pregnta/respesta$ 7am(i<n
peden tili:arse l;neas dedicadas pri*adas o na "erramienta de *eri!icacin de la direccin del
sario de red+ a !in de constatar el origen de la cone8in$
)os procedimientos # controles de rellamada o dail&(acK+ por eH$ tili:ando mdems de dial&(acK+
peden (rindar proteccin contra cone8iones no atori:adas # no deseadas a las instalaciones de
procesamiento de in!ormacin de la organi:acin$ Este tipo de control atentica a los sarios %e
intentan esta(lecer na cone8in con na red de la organi:acin desde locaciones remotas$ Al
aplicar este control+ la organi:acin no de(e tili:ar ser*icios de red %e incl#an des*;o de llamadas
o+ si lo "acen+ de(en in"a(ilitar el so de dic"as "erramientas para e*itar las de(ilidades asociadas
con la misma$ Asimismo+ es importante %e el proceso de rellamada garantice %e se prod:ca na
descone8in real del lado de la organi:acin$ 5e otro modo+ el sario remoto podr;a mantener la
l;nea a(ierta !ingiendo %e se "a lle*ado a ca(o la *eri!icacin de rellamada$ )os procedimientos #
controles de rellamada de(en ser pro(ados e8"asti*amente respecto de esta posi(ilidad$
/:$:$ A*0en0icacin de nodo,
Una "erramienta de cone8in atomtica a na comptadora remota podr;a (rindar n medio para
o(tener acceso no atori:ado a na aplicacin de la empresa$ -or consigiente+ las cone8iones a
sistemas in!ormati*os remotos de(en ser atenticadas$ Esto es particlarmente importante si la
cone8in tili:a na red %e esta !era de control de la gestin de segridad de la organi:acin$ En el
pnto 9$D$> se enmeran algnos eHemplos de atenticacin # de cmo pde lograrse$ )a
%$
atenticacin de nodos pede ser*ir como n medio alternati*o de atenticacin de grpos de
sarios remotos+ cando <stos estn conectados a n ser*icio in!ormtico segro # compartido 1*er
9$D$>4$
/:$:% !ro0eccin de lo, 5*er0o, H5or0,I de diagno,0ico remo0o
El acceso a los pertos de diagnostico de(e ser controlado de manera segra$ Mc"as comptadoras #
sistemas de comnicacin son instalados con na "erramienta de diagnostico remoto por discado+ para
so de los ingenieros de mantenimiento$ Si no estn protegidos+ estos pertos de diagnostico
proporcionan n medio de acceso no atori:ado$ -or consigiente+ de(en ser protegidos por n
mecanismo de segridad apropiado+ por eH$ na cerradra de segridad # n procedimiento %e
garantice %e solo son accesi(les mediante n acerdo entre el gerente de ser*icios in!ormati*os # el
personal de soporte de "ardIare # so!tIare %e re%iere acceso$
/:$:& S*1di2i,in de rede,
)as redes se estn e8tendiendo en !orma creciente mas all de los limites tradicionales de la
organi:acin+ a medida %e se constit#en sociedades con re%erimientos de intercone8in+ o so
compartido de instalaciones de procesamiento de in!ormacin # redes$ 5ic"as e8tensiones peden
incrementar el riesgo de acceso no atori:ado a sistemas de in!ormacin #a e8istentes %e tili:an la
red+ algnos de los cales podr;an re%erir de proteccin contra otros sarios de red+ de(ido a s
sensi(ilidad o criticidad$ En tales circnstancias+ se de(e considerar la introdccin de controles dentro
de la red+ a !in de segregar grpos de ser*icios de in!ormacin+ sarios # sistemas de in!ormacin$
Un m<todo para controlar la segridad de redes e8tensas es di*idirlas en dominios lgicos separados+
por eH$ dominios de red internos # e8ternos de na organi:acin+ cada no protegido por n per;metro de
segridad de!inido$ 5ic"o per;metro pede ser implementado mediante la instalacin de na comperta
1QgateIa#R4 segra entre las dos redes %e "an de ser interconectadas+ para controlar el acceso # !lHo
de in!ormacin entre los dos dominios$ Este QgateIa#R de(e ser con!igrado para !iltrar el tr!ico entre
los dominios 1*er 9$D$7 # 9$D$24 # para (lo%ear el acceso no atori:ado de acerdo con la pol;tica de
control de accesos de la organi:acin 1*er 9$14$ Un eHemplo de este tipo de QgateIa#R es lo %e
com'nmente se conoce como Q!ireIallR$
)os criterios para la s(di*isin de redes en dominios de(en (asarse en la pol;tica de control de
accesos # los re%erimientos de acceso 1*er 9$14+ # tam(i<n tomar en centa el costo relati*o # el
impacto del desempeGo %e ocasiona la incorporacin de n enrtador de red o na tecnolog;a de
QgateIa#sR adecados 1*er 9$D$7 # 9$D$24$
/:$:' Con0rol de cone7in a la red
)os re%erimientos de la pol;tica de control de accesos para redes compartidas+ especialmente a%ellas
%e se e8tiendan mas all de los limites de la organi:acin+ peden re%erir la incorporacin de
controles para limitar la capacidad de cone8in de los sarios$ 5ic"os controles peden implementarse
mediante QgateIa#sR de red %e !iltren el tr!ico por medio de reglas o ta(las pre*iamente de!inidas$ )as
restricciones aplicadas de(en (asarse en la pol;tica # los re%erimientos de acceso de las aplicaciones
de la empresa 1*er 9$14+ # de(en mantenerse # actali:arse de con!ormidad$
A continacin se enmeran eHemplos de aplicaciones a las cales de(en aplicarse restricciones9
a4 correo electrnico L
(4 trans!erencia nidireccional de arc"i*os L
c4 trans!erencia de arc"i*os en am(as direcciones L
d4 acceso interacti*o L
%%
Es%ema 1 I ,AM& 9
e4 acceso de red *inclado a "ora o !ec"a$
/:$:( Con0rol de r*0eo de red
)as redes compartidas+ especialmente a%ellas %e se e8tienden mas all de los limites
organi:acionales+ peden re%erir la incorporacin de controles de rteo para garanti:ar %e las
cone8iones in!ormticas # los !lHos de in!ormacin no *iolen la pol;tica de control de acceso de las
aplicaciones comerciales 1*er 9$14$ Este control es a mendo esencial para las redes compartidas con
sarios e8ternos 1no organi:adores4$
)os controles de rteo de(en (asarse en la *eri!icacin positi*a de direcciones de origen # destino$
)a tradccin de direcciones de red tam(i<n constit#e n mecanismo m# 'til para aislar redes # e*itar
%e las rtas se propagen desde la red de na organi:acin a la red de otra$ -eden implementarse en
so!tIare o "ardIare$ Qienes lle*en a ca(o la implementacin de(en estar al corriente de la !ortale:a
de los mecanismos tili:ados$
/:$:/ Seg*ridad de lo, ,er2icio, de red
E8iste na amplia gama de ser*icios de red pri*ados o p'(licos+ algnos de los cales o!recen ser*icios
con *alor agregado$ )os ser*icios de red peden tener caracter;sticas de segridad 'nicas o compleHas$
)as organi:aciones %e tili:an ser*icios de red de(en garanti:ar %e se pro*ea de na clara
descripcin de los atri(tos de segridad de todos los ser*icios tili:ados$
/:% Con0rol de acce,o al ,i,0ema o5era0i2o
O(Heti*o9 Impedir el acceso no atori:ado al comptador
)os mecanismos de segridad a ni*el del sistema operati*o de(en ser tili:ados para restringir el
acceso a los recrsos del comptador$ Estas !acilidades de(en tener la capacidad de lle*ar a ca(o
lo sigiente9
a4 identi!icar # *eri!icar la identidad #+ si !era necesario+ la terminal o (icacin de
cada sario atori:ado L
(4 registrar los accesos e8itosos # !allidos al sistema L
c4 sministrar medios de atenticacin apropiadosL si se tili:a n sistema de
administracin de contraseGas+ <ste de(e asegrar la calidad de las mismas
1*er 9$>$1 d4 L
d4 restringir los tiempos de cone8in de los sarios+ seg'n corresponda
Se de(e disponer de otros m<todos de control de acceso+ como Qc"allenge&responseR+ si estn
Hsti!icados por el riesgo comercial$$
/:%:3 Iden0ificacin a*0omD0ica de 0erminale,
Se de(e tener en centa la identi!icacin atomtica de terminales para atenticar cone8iones a
(icaciones espec;!icas # a e%ipamiento porta(le$ )a identi!icacin atomtica de terminales es na
t<cnica %e pede tili:arse si reslta importante %e la sesin solo peda iniciarse desde na
terminal in!ormtica o na (icacin determinadas$ -ede tili:arse n identi!icador en la terminal+ o
adHnto a la misma+ para indicar si esta terminal especi!ica esta atori:ada a iniciar o reci(ir ciertas
transacciones$ -ede resltar necesario aplicar proteccin !;sica a la terminal+ a !in de mantener la
segridad del identi!icador de la misma$ 7am(i<n peden tili:arse otras t<cnicas para atenticar
sarios 1*er 9$D$>4$
/:%: !rocedimien0o, de cone7in de 0erminale,
%&
El acceso a los ser*icios de in!ormacin de(e ser posi(le a tra*<s de n proceso de cone8in segro$ El
procedimiento de cone8in en n sistema in!ormtico de(e ser diseGado para minimi:ar la oportnidad
de acceso no atori:ado$ Este procedimiento+ por lo tanto de(e di*lgar la m;nima in!ormacin posi(le
acerca del sistema+ a !in de e*itar pro*eer de asistencia innecesaria a n sario no atori:ado$ Un
(en procedimiento de identi!icacin de(er;a9
a4 no desplegar identi!icadores de sistemas o aplicaciones "asta tanto se "alla lle*ado a ca(o
e8itosamente el proceso de cone8inL
(4 desplegar n a*iso general ad*irtiendo %e solo los sarios atori:ados peden acceder a la
comptadora L
c4 no dar mensaHes de a#da %e pdieran asistir a n sario no atori:ado drante el
procedimiento de cone8in L
d4 *alidar la in!ormacin de la cone8in slo al completarse la totalidad de los datos de entrada$ Si
srge na condicin de error+ el sistema no de(e indicar %e parte de los datos es correcta o
incorrecta L
e4 limitar el n'mero de intentos de cone8in no e8itosos permitidos 1se recomiendan tres4 #
considerar9
14 registrar los intentos no e8itosos L
24 implementar na demora o(ligatoria antes de permitir otros intentos de
identi!icacin+ o rec"a:ar otros intentos sin atori:acin especi!ica L
>4 desconectar cone8iones de data linK L
!4 limitar el tiempo m8imo # m;nimo permitido para el procedimiento de cone8in$ Si este es
e8cedido+ el sistema de(e !inali:ar la cone8in L
g4 desplegar la sigiente in!ormacin al completarse na cone8in e8itosa9
14 !lec"as # "ora de la cone8in e8itosa anteriorL
24 detalles de los intentos de cone8in no e8itosos desde la 'ltima cone8in
e8itosa$
/:%:" Iden0ificacin ; a*0en0icacin de lo, *,*ario,
7odos los sarios 1inclido el personal de soporte t<cnico+ como los operadores+ administradores de
red+ programadores de sistemas # administradores de (ases de datos4 de(en tener n identi!icador
'nico 1I5 de sario4 solamente para s so personal e8clsi*o+ de manera %e las acti*idades pedan
rastrearse con posterioridad "asta llegar al indi*ido responsa(le$ )os I5s de sario no de(en dar
ning'n inicio del ni*el de pri*ilegio del sario 1*er 9$2$24+ por eH$ gerente+ sper*isor+ etc$
En circnstancias e8cepcionales+ cando e8iste n claro (ene!icio para la empresa+ peda tili:arse n
I5 compartido para n grpo de sarios o na tarea especi!ica$ -ara casos de esta ;ndole+ se de(e
docmentar la apro(acin de la gerencia$ -odr;an re%erirse controles adicionales para mantener la
responsa(ilidad$
E8isten di*ersos procedimientos de atenticacin+ los cales peden ser tili:ados para sstentar la
identidad alegada del sario$ )as contraseGas 1*er tam(i<n 9$>$1 # ms a(aHo4 constit#en n medio
m# com'n para pro*eer la identi!icacin # atenticacin 1I # A4 so(re la (ase de n secreto %e solo
conoce el sario$ 7am(i<n se pede lle*ar a ca(o lo mismo con medios criptogr!icos # protocolos de
atenticacin$
)os o(Hetos como QtoKensR con memoria o tarHetas inteligentes %e poseen los sarios tam(i<n peden
tili:arse para I # A$ )as tecnolog;as de atenticacin (iom<trica %e tili:an las caracter;sticas o
atri(tos 'nicos de n indi*ido tam(i<n peden tili:arse para atenticar la identidad de na persona$
Una com(inacin de tecnolog;as # mecanismos *inclados de manera segra tendr como resltado
na atenticacin ms !erte$
%'
Es%ema 1 I ,AM& 9
/:%:$ Si,0ema de admini,0racin de con0ra,eFa,
)as contraseGas constit#en no de los principales medios de *alidacin de la atoridad de n sario
para acceder a n ser*icio in!ormtico$ )os sistemas de administracin de contraseGas de(en constitir
na "erramienta e!ica: e interacti*a %e garantice contraseGas de calidad 1*er 9$>$1 como orientacin
acerca del so de contraseGas4$
Algnas aplicaciones re%ieren %e las contraseGas de sario sean asignadas por na atoridad
independiente$ En la ma#or;a de los casos las contraseGas son seleccionadas # mantenidas por los
sarios$
Un (en sistema de administracin de contraseGas de(e9
a4 imponer el so de contraseGas indi*idales para determinar responsa(ilidadesL
(4 cando corresponda+ permitir %e los sarios seleccionen # cam(ien ss propias contraseGas e
inclir n procedimiento de con!irmacin para contemplar los errores de ingresoL
c4 imponer na seleccin de contraseGas de calidad seg'n lo seGalado en el pnto 9$>$1 L
d4 cando los sarios mantienen ss propias contraseGas+ imponer cam(ios en las mismas seg'n
lo seGalado en el pnto 9$>$1 L
e4 cando los sarios seleccionan contraseGas+ o(ligarlos a cam(iar las contraseGas temporarias
en s primer procedimiento de identi!icacin 1*er 9$2$>4 L
!4 mantener n registro de las contraseGas pre*ias del sario+ por eH$ de los 12 meses anteriores+
# e*itar la retili:acin de las mismas L
g4 no mostrar las contraseGas en pantalla+ cando son ingresadas L
"4 almacenar en !orma separada los arc"i*os de contraseGas # los datos de sistemas de aplicacinL
i4 almacenar las contraseGas en !orma ci!rada tili:ando n algoritmo de ci!rado nidireccional L
H4 modi!icar las contraseGas predeterminadas por el *endedor+ na *e: instalado el so!tIare$
/:%:% U,o de *0ili0ario, de ,i,0ema
)a ma#or;a de las instalaciones in!ormticas tienen no o ms programas tilitarios %e podr;an tener la
capacidad de pasar por alto los controles de sistemas # aplicaciones$ Es esencial %e s so sea
limitado # minciosamente controlado$ Se de(en considerar los sigientes controles9
a4 so de procedimientos de atenticacin para tilitarios del sistema L
(4 separacin entre tilitarios del sistema # so!tIare de aplicaciones L
c4 limitacin de so de tilitarios del sistema a la cantidad m;nima *ia(le de sarios !ia(les #
atori:ados L
d4 atori:acin para so ad "oc de tilitarios de sistema L
e4 limitacin de la disponi(ilidad de tilitarios de sistema+ por eH$ a la dracin de n cam(io
atori:ado L
!4 registro de todo so de tilitarios del sistema L
g4 de!inicin # docmentacin de los ni*eles de atori:acin para tilitarios del sistema L
"4 remocin de todo el so!tIare (asado en tilitarios # so!tIare de sistema innecesarios$
/:%:& Alarma, ,ilencio,a, 5ara la 5ro0eccin de lo, *,*ario,
5e(e considerarse la pro*isin de alarmas silenciosas para los sarios %e podr;an ser o(Hetos de
coercin$ )a decisin de sministrarse na alarma de esta ;ndole de(e (asarse en na e*alacin de
riesgos$ Se de(en de!inir responsa(ilidades # procedimientos para responder a la acti*acin de na
alarma silenciosa$
%(
/:%:' De,cone7in de 0erminale, 5or 0iem5o m*er0o
)as terminales inacti*as en (icaciones de alto riego+ por eH$ reas p'(licas o e8ternas !era del alcance
de la gestin de segridad de la organi:acin+ o %e sir*en a sistemas de alto riego+ de(en apagarse
desp<s de n periodo de!inido de inacti*idad+ para e*itar el acceso de personas no atori:adas$ Esta
"erramienta de descone8in por tiempo merto de(e limpiar la pantalla de la terminal # de(e cerrar
tanto la sesin de la aplicacin como la de red+ desp<s de n periodo de!inido de inacti*idad$ El lapso
por tiempo merto de(e responder a los riesgos de segridad del rea # de los sarios de la terminal$
-ara algnas -Cs+ pede sministrarse na "erramienta limitada de descone8in de terminal por tiempo
merto+ %e limpie la pantalla # e*ite el acceso no atori:ado+ pero %e no cierra las sesiones de
aplicacin o de red$
/:%:( Limi0acin del Gorario de cone7in
)as restricciones al "orario de cone8in de(en sministrar segridad adicional a las aplicaciones de alto
riesgo$ )a limitacin del periodo drante el cal se permiten las cone8iones de terminal a los ser*icios
in!ormati*os redce el espectro de oportnidades para el acceso no atori:ado$ Se de(e considerar n
control de esta ;ndole para aplicaciones in!ormticas sensi(les+ especialmente a%ellas terminales
instaladas en (icaciones de alto riesgo+ por eH$ reas p(licas o e8ternas %e est<n !era del alcance
de la gestin de segridad de la organi:acin$ Entre los eHemplos de dic"as restricciones se peden
enmerar los sigientes9
a4 tili:acin de lapsos predeterminados+ por eH$ para transmisiones de arc"i*os e lote+ o sesiones
interacti*as peridicas de corta dracin L
(4 limitacin de los tiempos de cone8in al "orario normal de o!icina+ de no e8istir n re%erimiento
operati*o de "oras e8tras o e8tensin "oraria$$
/:& Con0rol de acce,o a la, a5licacione,
O(Heti*o9 Impedir el acceso no atori:ado a la in!ormacin contenida en los sistemas de
in!ormacin$
)as "erramientas de segridad de(en ser tili:adas para limitar el acceso no dentro de los
sistemas de aplicacin$
El acceso lgico al so!tIare # a la in!ormacin de(e estar limitado a los sarios atori:ados$ )os
sistemas de aplicacin de(en9
a4 controlar el acceso de sarios a la in!ormacin # a las !nciones de los sistemas de
aplicacin+ de acerdo con la pol;tica de control de accesos de!inida por la organi:acin L
(4 (rindar proteccin contra el acceso no atori:ado de tilitarios # so!tIare del sistema
operati*o %e tengan la capacidad de pasar por alto los controles de sistemas o
aplicaciones L
c4 no comprometer la segridad de otros sistemas con los %e se comparten recrsos de
in!ormacin L
d4 tener la capacidad de otorgar acceso a la in!ormacin 'nicamente al propietario+ a otros
indi*idos atori:ados mediante designacin !ormal+ o a grpos de de!inidos de
sarios$
/:&:3 Re,0riccin del acce,o a la informacin
)os sarios de sistemas de aplicacin+ con inclsin del personal de soporte+ de(en tener acceso a la
in!ormacin # a las !nciones de los sistemas de aplicacin de con!ormidad con na pol;tica de control
de acceso de!inida+ so(re la (ase de los re%erimientos de cada aplicacin comercial+ # con!orme a la
%/
Es%ema 1 I ,AM& 9
pol;tica de la organi:acin para el acceso a la in!ormacin+ 1*er 9$14$ se de(e considerar la aplicacin de
los sigientes controles+ para (rindar apo#o a los re%erimientos de limitacin de accesos9
a4 pro*isin de men's para controlar el acceso a las !nciones de los sistemas de aplicacin L
(4 restriccin del conocimiento de los sarios acerca de la in!ormacin o de las !nciones de los
sistemas de aplicacin a las cales no sean atori:adas a acceder+ con la adecada edicin de
docmentacin de sario L
c4 control de los derec"os de acceso de los sarios+ por eH$ lectra+ escritra+ spresin #
eHeccin L
d4 garanti:ar %e las salidas 1otpts4 de los sistemas de aplicacin %e administran in!ormacin
sensi(le+ contengan solo la in!ormacin %e reslte pertinente para el so de la salida+ # %e la
misma se en*;e solamente a las terminales # (icaciones atori:adas+ # re*isar peridicamente
dic"as salidas a !in de garanti:ar la remocin de la in!ormacin redndante$
/:&: Ai,lamien0o de ,i,0ema, ,en,i1le,
)os sistemas sensi(les podr;an re%erir de n am(iente in!ormtico dedicado 1aislado4$ Algnos
sistemas de aplicacin son s!icientemente sensi(les a perdidas potenciales # re%ieren n tratamiento
especial$ )a sensi(ilidad pede seGalar %e el sistema de aplicacin de(e eHectarse en na
comptadora dedicada+ %e slo de(e compartir recrsos con los sistemas de aplicacin con!ia(les+ o
no tener limitaciones$ Son aplica(les las sigientes consideraciones9
a4 )a sensi(ilidad de n sistema de aplicacin de(e ser claramente identi!icada # docmentada por
el propietario de la aplicacin 1*er D$1$>4
(4 Cando na aplicacin sensi(le "a de eHectarse en n am(iente compartido+ los sistemas de
aplicacin con los cales esta compartir los recrsos de(en ser identi!icados # acordados con el
propietario de la aplicacin sensi(le$
/:' Moni0oreo del acce,o ; *,o de lo, ,i,0ema,
O(Heti*o9 detectar acti*idades no atori:adas
)os sistemas de(en ser monitoreados para detectar des*iaciones respecto de la pol;tica de control
de accesos # registrar e*entos para sministrar e*idencia en caso de prodcirse incidentes
relati*os a la segridad$
El monitoreo de los sistemas permite compro(ar la e!icacia de los controles adoptados # *eri!icar la
con!ormidad con el modelo de pol;tica de acceso 1*er 9$14
/:':3 Regi,0ro de e2en0o,
5e(en generarse registros de aditoria %e contengan e8cepciones # otros e*entos relati*os a
segridad+ # de(en mantenerse drante n periodo de!inido para acceder en !tras in*estigaciones #
en el monitoreo de control de accesos$ )os registros de aditorias tam(i<n de(en inclir9
a4 I5 de sarioL
(4 Aec"a # "ora de inicio # terminacin L
c4 Identidad o (icacin de la terminal+ si es posi(le L
d4 ,egistros de intentos e8itosos !allidos de acceso al sistema L
e4 ,egistros de intentos e8itosos # !allidos de acceso a datos # otros recrsos$
-odr;a re%erirse %e ciertos registros de aditoria sean arc"i*ados como parte de la pol;tica de
retencin de registros o de(ido a los re%erimientos de recoleccin de e*idencia 1*er tam(i<n el pnto
124$
&4
/:': Moni0oreo del *,o de lo, ,i,0ema,
/:'::3 !rocedimien0o, ; Drea, de rie,go
Se de(iera esta(lecer procedimientos para monitorear el so de las instalaciones de procesamiento de
la in!ormacin$ 5ic"os procedimientos son necesarios para garanti:ar %e los sarios solo est<n
desempeGando acti*idades %e "a#an sido atori:adas e8pl;citamente$ El ni*el de monitoreo re%erido
para cada na las instalaciones de(e determinarse mediante na e*alacin de riesgos$
Entre las reas %e de(en tenerse en centa se enmeran las sigientes9
a4 acceso no atori:ado+ incl#endo detalles como9
14 I5 de sarioL
24 Aec"a # "ora de e*entos cla*eL
>4 7ipos de e*entosL
D4 Arc"i*os a los %e se accedeL
.4 Utilitarios # programas tili:ados
(4 todas las operaciones con pri*ilegio+ como9
14 Utili:acin de centa de sper*isorL
24 Inicio # cierre 1start&p and stop4 del sistemaL
>4 Cone8in # descone8in de dispositi*os I/OL
c4 intentos de acceso no atori:ado+ como9
14 Intentos !allidosL
24 Fiolaciones de la pol;tica de accesos # noti!icaciones para QgateIa#sR de red #
Q!ireIallsRL
>4 Alertas de sistemas patentados para detencin de intrsiones L
d4 alertas o !allas de sistema como9
14 alertas o mensaHes de consola L
24 e8cepciones del sistema de registroL
>4 alarmas del sistema de administracin de redes$
/:':: 6ac0ore, de rie,go
Se de(e re*isar peridicamente el resltado de las acti*idades de monitoreo$ )a !recencia de la
re*isin de(e depender de los riesgos in*olcrados$ Entre los !actores de riesgo %e se de(en
considerar se encentran9
a4 la criticidad de los procesos de aplicaciones L
(4 el *alor+ la sensi(ilidad o criticidad de la in!ormacin in*olcrada L
c4 la e8periencia acmlada en materia de in!iltracin # so inadecado del sistema L
d4 el alcance de la intercone8in del sistema 1en particlar las redes p(licas4
/:'::" Regi,0ro ; re2i,in de e2en0o,
Una re*isin de los registros implica la comprensin de las amena:as %e a!ronta el sistema # las
maneras %e srgen$ En el pnto 9$7$1 se enmeran eHemplos de e*entos %e podr;an re%erir
in*estigacin adicional en caso de prodcirse incidentes relati*os a la segridad$
Arecentemente+ los registros del sistema contienen n gran *olmen de in!ormacin+ gran parte de la
cal es aHena al monitoreo de segridad$ -ara asistir en la identi!icacin de e*entos signi!icati*os+ a !in
de desempeGar el monitoreo de segridad+ se de(e considerar la posi(ilidad de copiar atomticamente
los tipos de mensaHes adecados a n segndo registro+ #/o tili:ar "erramientas de aditoria o tilitarios
adecados para lle*ar a ca(o el e8amen de arc"i*o$
&3
Es%ema 1 I ,AM& 9
Al asignar la responsa(ilidad por la re*isin de registros+ se de(e considerar na separacin de
!nciones entre %ien/es emprende/n la re*isin # a%ellos c#as acti*idades estn siendo
monitoreadas$
Se de(e prestar especial atencin a la segridad de la "erramienta de registro+ de(ido a %e si se
accede a la misma en !orma no atori:ada+ esto pede propiciar na !alsa percepcin de la segridad$
)os controles de(en apntar a proteger contra cam(ios no atori:ados # pro(lemas operati*os$ Estos
incl#en9
a4 la desacti*acin de la "erramienta de registro L
(4 alteraciones a los tipos de mensaHes registrados L
c4 arc"i*os de registro editados o sprimidos L
d4 medio de soporte arc"i*os de registro satrado+ # !alla en el registro de e*entos o so(re
escritra de los mismos$
/:':" Sincroni<acin de relo?e,
)a correcta con!igracin de los reloHes de las comptadoras es importante para garanti:ar la e8actitd
de los registros de aditoria+ %e peden re%erirse para in*estigaciones o como e*idencia en casos
legales o disciplinarios$ )os registros de aditorias ine8actos podr;an entorpecer tales in*estigaciones #
daGar la credi(ilidad de la e*idencia$
Cando na comptadora o dispositi*o de comnicaciones tiene la capacidad de operar n reloH en
tiempo real+ este se de(e con!igrar seg'n n estndar acordado+ por eH$ 7iempo Coordinado Uni*ersal
1UC74 o tiempo estndar local$ Como se sa(e %e algnos reloHes se desaHstan con el tiempo+ de(e
e8istir n procedimiento %e *eri!i%e # corriHa cal%ier *ariacin signi!icati*a$
/:( Com5*0acin m2il ; 0ra1a?o remo0o
O(Heti*o9 Caranti:ar la segridad de la in!ormacin cando se tili:a comptacin m*il e instalaciones
de tra(aHo remotas$
)a proteccin re%erida de(e ser proporcional a los riesgos %e originan estas !ormas especi!icas de
tra(aHo$ Cando se tili:a comptacin m*il de(en tenerse en centa los riesgos %e implica tra(aHar
en n am(iente sin proteccin # se de(e implementar la proteccin adecada$ En el caso del tra(aHo
remoto la organi:acin de(e implementar la proteccin en el sitio de tra(aHo remoto 1QteleIorKing siteR4 #
garanti:ar %e se tomen las medidas adecadas para este tipo de tra(aHo$
/:(:3 Com5*0acin m2il
Cando se tili:an dispositi*os in!ormticas m*iles+ por eH$ note(ooKs+ palmtops+ laptops # tel<!onos
m*iles+ se de(e tener especial cidado en garanti:ar %e no se comprometa la in!ormacin de la
empresa$ Se de(e adoptar na pol;tica !ormal %e tome en centa los riesgos %e implica tra(aHar con
"erramientas in!ormticas m*iles+ en particlar en am(ientes no protegidos$ -or eHemplo+ dic"a pol;tica
de(e inclir los re%erimientos de proteccin !;sica+ controles de acceso+ t<cnicas criptogr!icas+
resgardos # proteccin contra *irs$ Esta pol;tica tam(i<n de(e inclir reglas # asesoramiento en
materia de cone8in de dispositi*os m*iles a redes # orientacin so(re so de estos dispositi*os en
lgares p'(licos$
Se de(en tomar recados al tili:ar dispositi*os in!ormticos m*iles en lgares p'(licos+ salas de
reniones # otras reas no protegidas !era de la sede de la organi:acin$ Se de(e implementar
proteccin para e*itar el acceso no atori:ado a la in!ormacin almacenada # procesada por estas
"erramientas+ o la di*lgacin de la misma+ por eH$ mediante t<cnicas criptogr!icas 1*er 10$>4$
&
Es importante %e cando dic"os dispositi*os+ son tili:adas en lgares p'(licos se tomen recados
para e*itar el riesgo de %e la in!ormacin %e aparece en pantalla+ sea *ista por personas no
atori:adas$ Se de(en implementar procedimientos contra so!tIare malicioso # estos de(en
mantenerse actali:ados 1*er 2$>4$ El e%ipamiento de(e estar disponi(le para permitir n procedimiento
de resgardo de la in!ormacin rpido # !cil$$ Estos procedimientos de(en estar adecadamente
protegidos contra+ por eH$+ ro(o o p<rdida de la in!ormacin$
Se de(e (rindar proteccin adecada para el so de dispositi*os m*iles conectadas a redes$ El acceso
remoto a la in!ormacin de la empresa a tra*<s de redes p(licas+ tili:ando "erramientas in!ormticas
m*iles+ solo de(e tener lgar desp<s de na identi!icacin # atenticacin e8itosas+ # con
mecanismos adecados de control de acceso implementados 1*er 9$D4$
)os dispositi*os in!ormticas m*iles tam(i<n de(en estar !;sicamente protegidas contra ro(o+
especialmente cando se deHan+ por eH$ en atom*iles # otros medios de transporte+ "a(itaciones de
"otel+ centros de con!erencias # m(itos de renin$ El e%ipamiento %e transporta in!ormacin
importante de la empresa+ sensi(le #/o critica no de(e deHarse desatendido #+ cando reslta posi(le+
de(e estar !;sicamente resgardado (aHo lla*e+ o de(en tili:arse cerradras especiales para asegrar
el e%ipamiento$ En el pnto 7$2$. se pede encontrar in!ormacin adicional so(re la proteccin !;sica
del e%ipamiento m*il$
Se de(e (rindar entrenamiento al personal %e tili:a comptacin m*il para incrementar s
cocimiento de los riesgos adicionales ocasionados por esta !orma de tra(aHo # de los controles %e se
de(en implementar$
/:(: Tra1a?o remo0o
El tra(aHo remoto tili:a tecnolog;a de comnicaciones para permitir %e el personal tra(aHe en !orma
remota desde n lgar !iHo !era de la organi:acin$ Se de(e implementar la proteccin adecada del
sitio de tra(aHo remoto contra+ por eH$ el ro(o de e%ipamiento e in!ormacin+ la di*lgacin no atori:ada
de in!ormacin+ el acceso remoto no atori:ada a los sistemas internos de la organi:acin o el so
inadecado de los dispositi*os e instalaciones$ Es importante %e el tra(aHo remoto sea atori:ado #
controlado por la gerencia+ # %e se implementen disposiciones # acerdos para esta !orma de tra(aHo$
)as organi:aciones de(en considerar el desarrollo de na pol;tica+ de procedimientos # de estndares
para controlar las acti*idades de tra(aHo remoto$
)as organi:aciones slo de(en atori:ar acti*idades de tra(aHo remoto si "an compro(ado
satis!actoriamente %e se "an implementado disposiciones # controles adecados en materia de
segridad # %e estos cmplen con la pol;tica de segridad de la organi:acin$ Se de(en considerar los
sigientes ;tems9
a4 la segridad !;sica e8istente en el sitio de tra(aHo remoto+ tomando en centa la segridad !;sica
del edi!icio # del am(iente localL
(4 el am(iente de tra(aHo remoto propestoL
c4 los re%erimientos de segridad de comnicaciones+ tomando en centa la necesidad de acceso
remoto a los sistemas internos de la organi:acin+ la sensi(ilidad de la in!ormacin a la %e se
acceder # %e pasar a tra*<s del *inclo de comnicacin # la sensi(ilidad del sistema internoL
d4 la amena:a de acceso no atori:ado a in!ormacin o recrsos por parte de otras personas %e
tili:an el lgar+ por eH$ !amilia # amigos$
)os controles # disposiciones comprenden9
a4 la pro*isin de mo(iliario para almacenamiento # e%ipamiento+ adecado para las acti*idades
de tra(aHo remotoL
&"
Es%ema 1 I ,AM& 9
(4 na de!inicin del tra(aHo permitido+ el "orario de tra(aHo+ la clasi!icacin de la in!ormacin %e se
pede almacenar # los sistemas internos # ser*icio a los cales el tra(aHador remoto esta
atori:ado a accederL
c4 la pro*isin de n adecado e%ipamiento de comnicacin+ con inclsin de m<todos para
asegrar el acceso remotoL
d4 segridad !;sicaL
e4 reglas # orientacin para cando !amiliares # *isitantes accedan al e%ipamiento e in!ormacinL
!4 la pro*isin de "ardIare # el soporte # mantenimiento del so!tIareL
g4 los procedimientos de (acK&p # para la continidad de las operacionesL
"4 aditor;a # monitoreo de la segridadL
i4 anlacin de la atoridad+ derec"os de acceso # de*olcin del e%ipo cando !inalicen las
acti*idades remotas$
34 DESARROLLO 9 MANTENIMIENTO DE SISTEMAS:
34:3 Re.*erimien0o, de ,eg*ridad de lo, ,i,0ema,:
O(Heti*o9 Asegrar %e la segridad es incorporada a los sistemas de in!ormacin$
Esto inclir in!raestrctra+ aplicaciones comerciales # aplicaciones desarrolladas por el sario$ El
diseGo e implementacin de los procesos comerciales %e apo#en la aplicacin o ser*icio peden ser
crciales para la segridad$ )os re%erimientos de segridad de(en ser identi!icados # apro(ados antes
del desarrollo de los sistemas de in!ormacin$
7odos los re%erimientos de segridad+ incl#endo la necesidad de planes de reandacin+ de(en ser
identi!icados en la !ase de re%erimientos de n pro#ecto # Hsti!icados+ apro(ados # docmentados
como na parte de la totalidad del caso de negocios de n sistema de in!ormacin$
34:3:3 AnDli,i, ; e,5ecificacione, de lo, re.*erimien0o, de ,eg*ridad:
)as comnicaciones de re%erimientos comerciales para ne*os sistemas o meHoras a los sistemas
e8istentes de(en especi!icar las necesidades de controles$ 7ales especi!icaciones de(en considerar los
controles atomticos a incorporar al sistema # la necesidad de controles manales de apo#o$ Se de(en
aplicar consideraciones similares al e*alar pa%etes de so!tIare para aplicaciones comerciales$ Si se
considera adecado+ la administracin pede %erer tili:ar prodctos certi!icados # e*alados en !orma
independiente$
)os re%erimientos de segridad # los controles de(en re!leHar el *alor comercial de los recrsos de
in!ormacin in*olcrados # el potencial daGo al negocio %e pdiere resltar por na !alla o !alta de
segridad$ El marco para anali:ar los re%erimientos de segridad e identi!icar los controles %e los
satis!agan son la e*alacin # la administracin de riesgo$
)os controles introdcidos en la etapa de diseGo son signi!icati*amente ms (aratos de implementar #
mantener %e a%ellos inclidos drante o desp<s de la implementacin$
&$
34: Seg*ridad en lo, ,i,0ema, de a5licacin
O(Heti*o9 -re*enir la p<rdida+ modi!icaciones o so inadecado de los datos del sario en los sistemas
de aplicacin$
Se de(en diseGar en los sistemas de aplicacin+ incl#endo las aplicaciones reali:adas por el sario+
controles apropiados # pistas de aditoria o registros de acti*idad$ Esto de(e inclir la *alidacin de
datos de entrada+ procesamiento interno # salida de datos$
-eden ser necesarios controles adicionales para sistemas %e procesan o tienen impacto en recrsos
sensiti*os+ *aliosos o cr;ticos de la organi:acin$ 7ales controles de(en ser determinados so(re la (ase
de re%erimientos de segridad # e*alacin de riesgo$
34::3 >alidacin de da0o, de en0rada
)os datos de entrada en sistemas de aplicacin de(en ser *alidados para asegrar %e son correctos #
apropiados$ )os controles de(en ser aplicados a las entradas de las transacciones de negocios+ datos
permanentes 1nom(res # direcciones+ l;mites de cr<dito+ n'meros de re!erencia al cliente4 # ta(las de
parmetros 1precios de *enta+ tasa de impestos+ ;ndice de con*ersin de dinero4$ Se de(en considerar
los sigientes controles9
a4 entrada dal otros controles de entrada para detectar los sigientes errores9
14 *alores !era de rangoL
24 caracteres in*lidos en campos de datosL
>4 datos !altantes o incompletosL
D4 *ol'menes de datos %e e8ceden los limites in!erior # speriorL
.4 controles de datos no atori:ados o inconsistentesL
(4 re*isin peridica de los contenidos de campos cla*e o arc"i*os de datos para con!irmar s
*alide: e integridadL
c4 inspeccin de los docmentos de entrada para detectar cam(ios no atori:ados en los datos de
entrada 1todos los cam(ios a los docmentos de entrada de(en ser atori:ados4L
d4 procedimientos para responder a errores de *alidacinL
e4 procedimientos para determinar la *erosimilitd de los datosL
!4 determinacin de las responsa(ilidades de todo el personal in*olcrado en el proceso de entrada
de datos$
34:: Con0role, de 5roce,amien0o in0erno:
34:::3 Brea, de rie,go:
)os datos %e "an sido correctamente ingresados peden *iciarse al procesar errores o a tra*<s de
actos deli(erados$ )os controles de *alidacin de(en ser incorporados a los sistemas para detectar tal
corrpcin$ El diseGo de aplicaciones de(e asegrar %e las restricciones se implementen para
minimi:ar los riesgos de !allas de procesamiento+ condcentes a na p<rdida de la integridad$ )as reas
espec;!icas a considerar incl#en9
a4 el so # locali:acin dentro de los programas+ de !nciones de sma # (orrado para reali:ar
cam(ios en los datosL
(4 los procedimientos para pre*enir la eHeccin de programas !era de secencia o cando !all el
procesamiento pre*io$
c4 el so de programas correctos para recperacin ante !allas+ a !in de garanti:ar el procesamiento
correcto de los datos$
&%
Es%ema 1 I ,AM& 9
34::: Con0role, ; 2erificacione,
)os controles re%eridos dependern de la natrale:a de la aplicacin # del impacto de e*entales
alteraciones de datos en el negocio$ Entre los eHemplos de *eri!icaciones %e peden ser incorporadas
se encentran los sigientes9
a4 controles de sesin o de lote+ para conciliar (alances 1saldos4 de arc"i*os de datos desp<s de
actali:aciones de transaccionesL
(4 controles de (alance+ para comparar (alances de apertra con (alances de cierre anteriores+ por
eHemplo9
1$ controles eHeccin a eHeccinL
2$ totales de actali:acin de arc"i*osL
>$ controles programa a programaL
c4 *alidacin de datos generados por el sistema 1*er 10$2$14L
d4 *eri!icaciones de la integridad de los datos o so!tIare (aHados+ o cargados+ entre comptadoras
centrales # remotas 1*er 10$>$>4L
e4 totales de control de registros # arc"i*osL
!4 *eri!icaciones para garanti:ar %e los programas de aplicacin se eHectan en el momento
correctoL
g4 compro(aciones para garanti:ar %e los programas se eHectan en el orden correcto # terminan
en caso de prodcirse na !alla+ # %e se detiene todo procesamiento posterior "asta %e se
resel*a el pro(lema$
34::" A*0en0icacin de men,a?e,
)a atenticacin de mensaHes es na t<cnica tili:ada para detectar cam(ios no atori:ados en el
contenido de n mensaHe transmitido electrnicamente+ o para detectar alteraciones en el mismo$
-ede implementarse en "ardIare o so!tIare %e soporte n dispositi*o !;sico de atenticacin de
mensaHes o n algoritmo de so!tIare$
Se de(e tener en centa la atenticacin de mensaHes para aplicaciones en las cales e8ista n
re%erimiento de segridad para proteger la integridad del contenido del mensaHe+ por eH$ trans!erencias
electrnicas de !ondos otros intercam(ios electrnicos de datos similares$ Se de(e lle*ar a ca(o na
e*alacin de riesgos de segridad para determinar si se re%iere na atenticacin de mensaHes #
para identi!icar el m<todo de implementacin ms adecado$
)a atenticacin de mensaHes no esta diseGada para proteger el contenido de n mensaHe contra s
di*lgacin no atori:ada$ -eden tili:arse t<cnicas criptogr!icas 1*er 10$>$2 # 10$>$>4 como n medio
adecado de implementacin de la atenticacin de mensaHes$
34::$ 2alidacin de lo, da0o, de ,alida
)a salida de datos de n sistema de aplicacin de(e ser *alidada para garanti:ar %e el procesamiento
de la in!ormacin almacenada sea correcto # adecado a las circnstancias$ 6ormalmente+ los sistemas
se constr#en sponiendo %e si se "a lle*ado a ca(o na *alidacin+ *eri!icacin # pre(a apropiada+
la salida siempre ser correcta$ Esto no siempre se cmple$ )a *alidacin de salidas pede inclir9
a4 compro(aciones de la ra:ona(ilidad para pro(ar si los datos de salida son plasi(lesL
(4 control de conciliacin de centas para asegrar el procesamiento de todos los datosL
c4 pro*isin de in!ormacin s!iciente+ para %e el lector o sistema de procesamiento s(sigiente+
determine la e8actitd+ totalidad+ precisin # clasi!icacin de la in!ormacinL
d4 procedimientos para responder a las pre(as de *alidacin de salidasL
&&
e4 de!inicin de las responsa(ilidades de todo el personal in*olcrado en el proceso de salida de
datos$
34:" Con0role, cri50ogrDfico,
O(Heti*o9 -roteger la con!idencialidad+ atenticidad o integridad de la in!ormacin$
5e(en tili:arse sistemas # t<cnicas criptogr!icas para la proteccin de la in!ormacin %e se
considera en estado de riesgo # para la cal otros controles no sministran na adecada proteccin$
34:":3 !ol0ica de *0ili<acin de con0role, cri50ogrDfico,:
5ecidir si na solcin criptogr!ica es apropiada+ de(er ser *isto como parte de n proceso ms amplio
de e*alacin de riesgos+ para determinar el ni*el de proteccin %e de(e darse a la in!ormacin$ Esta
e*alacin pede tili:arse posteriormente para determinar si n control criptogr!ico es adecado+ %e
tipo de control de(e aplicarse # con%e propsito+ # los procesos de la empresa$
Una organi:acin de(e desarrollar na pol;tica so(re el so de controles criptogr!icos para la
proteccin de s in!ormacin$ 5ic"a pol;tica es necesaria para ma8imi:ar (ene!icios # minimi:ar los
riesgos %e ocasiona el so de t<cnicas criptogr!icas+ # para e*itar n so inadecado o incorrecto$ Al
desarrollar na pol;tica se de(e considerar lo sigiente9
a4 el en!o%e gerencial respecto del so de controles criptogr!icos en toda la organi:acin+ con
inclsin de los principios generales seg'n los cales de(e protegerse la in!ormacin de la
empresaL
(4 el en!o%e respecto de la administracin de cla*es+ con inclsin de los m<todos para
administrar la recperacin de la in!ormacin ci!rada en caso de perdida+ compromiso o daGo de
las cla*esL
c4 !nciones # responsa(ilidades+ por eH$ %ien es responsa(le de9
14 la implementacin de la pol;ticaL
24 la administracin de las cla*esL
d4 como se determinara el ni*el apropiado de proteccin criptogr!icaL
e4 los estndares %e "an de adoptarse para la e!ica: implementacin en toda la organi:acin 1%e
solcin se aplica para cada no de los procesos de negocio4$
34:": Cifrado
El ci!rado es na t<cnica criptogr!ica %e pede tili:arse para proteger la con!idencialidad de la
in!ormacin$ Se de(e tener en centa para la proteccin de in!ormacin sensi(le o critica$
Mediante na e*alacin de riesgos se de(e identi!icar el ni*el re%erido de proteccin tomando en
centa el tipo # la calidad del algoritmo de ci!rado tili:ado # la longitd de las cla*es criptogr!icas a
tili:ar$
Al implementar la pol;tica de la organi:acin en materia criptogr!ica+ se de(en considerar las normas #
restricciones nacionales %e podr;an aplicarse al so de t<cnicas criptogr!icas+ en di!erentes partes del
mndo+ # las cestiones relati*as al !lHo de in!ormacin ci!rada a tra*<s de las !ronteras$ Asimismo+ se
de(en considerar los controles aplica(les a la e8portacin e importacin de tecnolog;a criptogr!ica 1*er
tam(i<n 12$1$04$
Se de(e procrar asesoramiento especiali:ado para identi!icar el ni*el apropiado de proteccin+ a !in de
seleccionar prodctos adecados %e sministren la proteccin re%erida+ # la implementacin de n
sistema segro de administracin de cla*es 1*er tam(i<n 10$>$.4$ Asimismo+ podr;a resltar necesario
&'
Es%ema 1 I ,AM& 9
o(tener asesoramiento Hr;dico con respecto a las le#es # normas %e podr;an aplicarse al so del
ci!rado %e intenta reali:ar la organi:acin$
34:":" 6irma digi0al
)as !irmas digitales proporcionan n medio de proteccin de la atenticidad e integridad de los
docmentos electrnicos$ -or eHemplo+ pede tili:arse en comercio electrnico donde e8iste la
necesidad de *eri!icar %ien !irma n docmento electrnico # compro(ar si el contenido del docmento
!irmado "a sido modi!icado$
)as !irmas digitales peden aplicarse a cal%ier tipo de docmento %e se procese electrnicamente+
por eH$+ peden tili:arse para !irmar pagos+ trans!erencias de !ondos+ contratos # con*enios
electrnicos$ -eden implementarse tili:ando na t<cnica criptogr!ica so(re la (ase de n par de
cla*es relacionadas de manera 'nica+ donde na cla*e se tili:a para crear na !irma 1la cla*e pri*ada4
# la otra+ para *eri!icarla 1la cla*e p(lica4$
Se den tomar recados para proteger la con!idencialidad de la cla*e pri*ada$
Esta cla*e de(e mantenerse en secreto dado %e na persona %e tenga acceso a esta cla*e pede
!irmar docmentos+ por eH$9 pagos # contratos+ !alsi!icando as; la !irma del propietario de la cla*e$
Asimismo+ es importante proteger la integridad de la cla*e p(lica$ Esta proteccin se pro*ee mediante
el so de n certi!icado de cla*e p(lica 1*er 10$>$.4$
Es necesario considerar el tipo # la calidad del algoritmo de !irma tili:ado # la longitd de las cla*es a
tili:ar$ )as cla*es criptogr!icas aplicadas a !irmas digitales de(en ser distintas de las %e se tili:an
para el ci!rado 1*er 10$>$24$
Al tili:ar !irmas digitales+ se de(e considerar la legislacin pertinente %e descri(a las condiciones (aHo
las cales na !irma digital es legalmente *inclante$ -or eHemplo+ en el caso del comercio electrnico es
importante conocer la sitacin Hr;dica de las !irmas digitales$ -odr;a ser necesario esta(lecer contratos
de cmplimiento o(ligatorio otros acerdos para respaldar el so de las mismas+ cando el marco
legal es inadecado$ Se de(e o(tener asesoramiento legal con respecto a las le#es # normas %e
podr;an aplicarse al so de !irmas digitales %e pretende reali:ar la organi:acin$
34:":$ Ser2icio, de No Re5*dio
)os ser*icios de no repdio de(en tili:arse cando es necesario resol*er disptas acerca de la
ocrrencia o no ocrrencia de n e*ento o accin+ por eH$ na dispta %e in*olcre el so de na !irma
digital en n contrato o pago electrnico$ -eden a#dar a sentar e*idencia para pro(ar %e n e*ento o
accin determinados "an tenido lgar+ por eH$ cando se o(Heta "a(er en*iado na instrccin !irmada
digitalmente a tra*<s del correo electrnico$ Estos ser*icios estn (asados en el so de t<cnicas de
encriptacin # !irma digital 1*er tam(i<n 10+>+2 # 10$>$>4$
34:":% Admini,0racin de cla2e,
34:":%:3 !ro0eccin de cla2e, cri50ogrDfica,
)a administracin de cla*es criptogr!icas es esencial para el so e!ica: de las t<cnicas criptogr!icas$
Cal%ier compromiso o p<rdida de cla*es criptogr!icas pede condcir a n compromiso de la
con!idencialidad+ atenticidad #/o integridad de la in!ormacin$ Se de(e implementar n sistema de
administracin para respaldar el so por parte de la organi:acin+ de los dos tipos de t<cnicas
criptogr!icas+ los cales son9
&(
a4 t<cnicas de cla*e secreta+ cando dos o ms actores comparten la misma cla*e # esta se tili:a
tanto para ci!rar in!ormacin como para desci!rarla$ Esta cla*e tiene %e mantenerse en secreto
dado %e na persona %e tenga acceso a la misma podr desci!rar toda la in!ormacin ci!rada
con dic"a cla*e+ o introdcir in!ormacin no atori:adaL
(4 t<cnicas de cla*e p(lica+ cando cada sario tiene n par de cla*es9 na cla*e p(lica 1%e
pede ser re*elada a cal%ier persona4 # na cla*e pri*ada 1%e de(e mantenerse en secreto4$
)as t<cnicas de cla*e p(lica peden tili:arse para el ci!rado 1*er 10$>$24 # para generar !irmas
digitales 1*er 10$>$>4$
7odas las cla*es de(en ser protegidas contra modi!icacin # destrccin+ # las cla*es secretas #
pri*adas necesitan proteccin contra di*lgacin no atori:ada$
)as t<cnicas criptogr!icas tam(i<n peden aplicarse con este propsito$ Se de(e pro*eer de proteccin
!;sica al e%ipamiento tili:ado para generar+ almacenar # arc"i*ar cla*es$
34:":%: Norma,C 5rocedimien0o, ; m+0odo,
Un sistema de administracin de cla*es de(e estar (asado en n conHnto acordado de normas+
procedimientos # m<todos segros para9
a4 generar cla*es para di!erentes sistemas criptogr!icos # di!erentes aplicacionesL
(4 generar # o(tener certi!icados de cla*e p(licaL
c4 distri(ir cla*es a los sarios %e corresponda+ incl#endo como de(en acti*arse las cla*es
cando se reci(enL
d4 almacenar cla*es+ incl#endo como o(tienen acceso a las cla*es los sarios atori:adosL
e4 cam(iar o actali:ar cla*es incl#endo reglas so(re cando # como de(en cam(iarse las cla*esL
!4 ocparse de las cla*es comprometidasL
g4 re*ocar cla*es incl#endo como de(en retirarse o desacti*arse las mismas+ por eH$ cando las
cla*es estn comprometidas o cando n sario se des*incla de la organi:acin 1en c#o
caso las cla*es tam(i<n de(en arc"i*arse4L
"4 recperar cla*es perdidas o alteradas como parte de la administracin de la continidad del
negocio+ por eH$ la recperacin de la in!ormacin ci!radaL
i4 arc"i*ar cla*es+ por eH$ + para la in!ormacin arc"i*ada o resgardadaL
H4 destrir cla*esL
K4 registrar 1logging4 # aditar las acti*idades relati*as a la administracin de cla*es$
A !in de redcir la pro(a(ilidad de compromiso+ las cla*es de(en tener !ec"as de entrada en *igencia #
de !in de *igencia+ de!inidas de manera %e solo pedan ser tili:adas por n periodo limitado de
tiempo$ Este periodo de(e de!inirse seg'n el riesgo perci(ido # las circnstancias (aHo las cales se
aplica el control criptogr!ico$
-odr;a resltar necesario considerar procedimientos para administrar re%erimientos legales de acceso
a cla*es criptogr!icas+ por eH$ pede resltar necesario poner a disposicin la in!ormacin ci!rada en na
!orma clara+ como e*idencia en n caso Hdicial$
Adems de la administracin segra de las cla*es secretas # pri*adas+ tam(i<n de(e tenerse en centa
la proteccin de las cla*es p(licas$ E8iste la amena:a de %e na persona !alsi!i%e na !irma digital
reempla:ando la cla*e p(lica de n sario con s propia cla*e$ Este pro(lema es a(ordado mediante
el so de n certi!icado de cla*e p(lica$ Estos certi!icados de(en generarse en na !orma %e *incle
de manera 'nica la in!ormacin relati*a al propietario del par de cla*es p(lica/pri*ada con la cla*e
p(lica$ En consecencia es importante %e el proceso de administracin %e genera estos certi!icados
sea con!ia(le$ 6ormalmente+ este proceso es lle*ado a ca(o por na atoridad de certi!icacin+ la cal
&/
Es%ema 1 I ,AM& 9
de(e residir en na organi:acin reconocida+ con adecados controles # procedimientos
implementados+ para o!recer el ni*el de con!ia(ilidad re%erido$
El contenido de los acerdos de ni*el de ser*icios o contratos con pro*eedores e8ternos de ser*icios
criptogr!icos+ por eH$ con na atoridad de certi!icacin+ de(en comprender los tpicos de
responsa(ilidad legal+ con!ia(ilidad del ser*icio # tiempos de respesta para la prestacin de los mismos
1*er D$2$24$
34:$ Seg*ridad de lo, arcGi2o, del ,i,0ema
O(Heti*o9 Caranti:ar %e los pro#ectos # acti*idades de soporte de 7I se lle*en a ca(o de manera
segra$
Se de(e controlar el acceso a los arc"i*os del sistema$
El mantenimiento de la integridad del sistema de(e ser responsa(ilidad de la !ncin saria o grpo de
desarrollo a %ien pertenece el so!tIare o sistema de aplicacin$
34:$:3 Con0rol del ,of0@are o5era0i2o
Se de(e pro*eer de control para la implementacin de so!tIare en los sistemas en operaciones$ A !in de
minimi:ar el riesgo de alteracin de los sistemas operacionales se de(en tener en centa los sigientes
controles9
a4 )a actali:acin de las (i(liotecas de programas operati*os solo de(e ser reali:ada por el
(i(liotecario designado na *e: atori:ada adecadamente por la gerencia 1*er 10$D$>4$
(4 Si es posi(le+ los sistemas en operaciones slo de(en gardar el cdigo eHecta(le$
c4 El cdigo eHecta(le no de(e ser implementado en n sistema operacional "asta tanto no se
o(tenga e*idencia del <8ito de las pre(as # de la aceptacin del sario+ # se "a#an
actali:ado las correspondientes (i(liotecas de programas !ente$
d4 Se de(e mantener n registro de aditoria de todas las actali:aciones a las (i(liotecas de
programas operati*os$
e4 )as *ersiones pre*ias de so!tIare de(en ser retenidas como medida de contingencia$
El mantenimiento del so!tIare sministrado por el pro*eedor # tili:ado en los sistemas operacionales
de(e contar con el soporte del mismo$ Cal%ier decisin re!erida a na actali:acin a na ne*a
*ersin de(e tomar en centa la segridad+ por eH$ la introdccin de na ne*a !ncionalidad de
segridad o el n'mero # la gra*edad de los pro(lemas de segridad %e a!ecten esa *ersin$ )os
parc"es de so!tIare de(en aplicarse cando peden a#dar a eliminar o redcir las de(ilidades en
materia de segridad$
Solo de(e otorgarse acceso lgico o !;sico a los pro*eedores con !ines de soporte # si reslta necesario+
# pre*ia apro(acin de la gerencia$ )as acti*idades del pro*eedor de(en ser monitoreadas$
34:$: !ro0eccin de lo, da0o, de 5r*e1a del ,i,0ema
)os datos de pre(a de(en ser protegidos # controlados$ )as pre(as de aceptacin del sistema
normalmente re%ieren *ol'menes considera(les de datos de pre(a+ %e sean tan cercanos como sea
posi(le a los datos operati*os$ Se de(e e*itar el so de (ases de datos operati*as %e contengan
in!ormacin personal$ Si se tili:a in!ormacin de esta ;ndole+ esta de(e ser despersonali:ada antes del
so$ Se de(en aplicar los sigientes controles para proteger los datos operati*os+ cando los mismos se
tili:an con propsitos de pre(a$
a4 )os procedimientos de control de accesos+ %e se aplican a los sistemas de aplicacin en
operacin+ tam(i<n de(en aplicarse a los sistemas de aplicacin de pre(a$
'4
(4 Se de(e lle*ar a ca(o na atori:acin por separado cada *e: %e se copia in!ormacin
operati*a a n sistema de aplicacin de pre(as$
c4 Se de(e (orrar la in!ormacin operati*a de n sistema de aplicacin de pre(a inmediatamente
desp<s de completada la misma$
d4 )a copia # el so de in!ormacin operacional de(en ser registrado a !in de sministrar na pista
de aditoria$
34:$:" Con0rol de acce,o a la, 1i1lio0eca, de 5rograma f*en0e
A !in de redcir la pro(a(ilidad de alteracin de programas de comptadora+ se de(e mantener n
control estricto del acceso a las (i(liotecas de programa !ente+ seg'n los sigientes pntos 1*er
tam(i<n el pnto 2$>4$
a4 5entro de lo posi(le+ las (i(liotecas de programas !ente no de(en ser almacenadas en los
sistemas %e est operati*o$
(4 Se de(e designar a n (i(liotecario de programas para cada aplicacin$
c4 El personal de soporte de 7I no de(e tener acceso irrestricto a las (i(liotecas de programas
!ente$
d4 )os programas en desarrollo o mantenimiento no de(en ser almacenados en las (i(liotecas de
programas !ente operacional$
e4 )a actali:acin de (i(liotecas de programas !ente # la distri(cin de programas !ente a los
programadores+ solo de(e ser lle*ada a ca(o por el (i(liotecario designado+ con la atori:acin
del gerente de soporte de 7I para la aplicacin pertinente$
!4 )os listados de programas de(en ser almacenados en n am(iente segro 1*er 2$0$D4$
g4 Se de(e mantener n registro de aditoria de todos los accesos a las (i(liotecas de programa
!ente$
"4 )as *ieHas *ersiones de los programas !ente de(en ser arc"i*adas con na clara indicacin de
las !ec"as # "oras precisas en las cales esta(an en operaciones+ Hnto con todo el so!tIare de
soporte+ el control de tareas+ las de!iniciones de datos # los procedimientos$
i4 El mantenimiento # la copia de las (i(liotecas de programas !ente de(en estar sHeta a
procedimientos estrictos de control de cam(ios 1*er 10$D$14$
34:% Seg*ridad de lo, 5roce,o, de de,arrollo ; ,o5or0e
O(Heti*o9 Mantener la segridad del so!tIare # la in!ormacin del sistema de aplicacin$
Se de(en controlar estrictamente los entornos de los pro#ectos # el soporte a los mismos$
)os gerentes responsa(les de los sistemas de aplicacin tam(i<n de(en ser responsa(les de la
segridad del am(iente del pro#ecto # del soporte$ )os gerentes de(en garanti:ar %e todos los
cam(ios propestos para el sistema sean re*isados+ a !in de compro(ar %e los mismos no
comprometen la segridad del sistema o del am(iente operati*o$
34:%:3 !rocedimien0o, de con0rol de cam1io,
A !in de minimi:ar la alteracin de los sistemas de in!ormacin+ de(e e8istir n control estricto de la
implementacin de los cam(ios$ Se de(e imponer el cmplimiento de los procedimientos !ormales de
control de cam(ios$ Estos de(en garanti:ar %e no se comprometan los procedimientos de segridad #
control+ %e los programadores de soporte solo tengan acceso a a%ellas partes del sistema necesarias
para el desempeGo de ss tareas+ # %e se o(tenga n acerdo # apro(acin !ormal para cal%ier
cam(io$ )os cam(ios en el so!tIare de aplicaciones peden tener repercsiones en el am(iente
operati*o$ Siempre %e reslte !acti(le+ los procedimientos de control de cam(ios operati*os # de
aplicaciones de(en estar integrados 1*er tam(i<n 2$1$24$ Este proceso de(e inclir9
a4 mantener n registro de los ni*eles de atori:acin acordadosL
'3
Es%ema 1 I ,AM& 9
(4 garanti:ar %e los cam(ios son propestos por sarios atori:adosL
c4 re*isar los controles # los procedimientos de integridad para garanti:ar %e no sern
comprometidos por los cam(iosL
d4 identi!icar todo el so!tIare+ la in!ormacin+ las entidades de (ases de datos # el "ardIare %e
re%ieran correccionesL
e4 o(tener apro(acin !ormal para las propestas detalladas antes de %e comiencen las tareasL
!4 garanti:ar %e el sario atori:ado acepte los cam(ios antes de cal%ier implementacinL
g4 garanti:ar %e la implementacin se lle*e a ca(o minimi:ando la discontinidad de las
acti*idades de la empresaL
"4 garanti:ar %e la docmentacin del sistema ser actali:ada cada *e: %e se completa n
cam(io # se arc"i*a o elimina la docmentacin *ieHaL
i4 mantener n control de *ersiones para todas las actali:aciones de so!tIareL
H4 mantener na pista de aditoria de todas las solicitdes de cam(iosL
K4 garanti:ar %e la docmentacin operati*a 1*er 2$1$14 # los procedimientos de sarios se
modi!i%en seg'n las necesidades de adecacinL
l4 garanti:ar %e la implementacin de cam(ios tenga lgar en el momento adecado # no altere
los procesos comerciales in*olcrados$
Mc"as organi:aciones mantienen n am(iente en el cal los sarios pre(an ne*o so!tIare # %e
esta separado de los am(ientes de desarrollo # prodccin$ Esto proporciona n medio para controlar el
ne*o so!tIare # permitir la proteccin adicional de la in!ormacin operacional %e se tili:a con
propsitos de pre(a$
34:%: Re2i,in 0+cnica de lo, cam1io, en el ,i,0ema o5era0i2o
-eridicamente es necesario cam(iar el sistema operati*o+ por eH$ instalar na *ersin ne*a de
so!tIare o parc"es$ Cando se reali:an los cam(io+ los sistemas de aplicacin de(en ser re*isados #
pro(ados para garanti:ar %e no se prod:ca n impacto ad*erso en las operaciones o en la segridad$
Este proceso de(e c(rir9
a4 re*isin de procedimientos de integridad # control de aplicaciones para garanti:ar %e estos no
"a#an sido comprometidos por los cam(ios del sistema operati*oL
(4 garanti:ar %e el plan # prespesto de soporte anal contemple las re*isiones # las pre(as del
sistema %e de(an reali:arse como consecencia del cam(io en el sistema operati*oL
c4 garanti:ar %e se noti!i%en los cam(ios del sistema operati*o de manera oportna antes de la
implementacinL
d4 garanti:ar %e se realicen cam(ios apropiados en los planes de continidad de la empresa 1*er
pnto 114$
34:%:" Re,0riccin del cam1io en lo, 5a.*e0e, de ,of0@are
Se de(e desalentar la reali:acin de modi!icaciones a los pa%etes de so!tIare$ En la medida de lo
posi(le+ # de lo *ia(le+ los pa%etes de so!tIare sministrados por pro*eedores de(en ser tili:ados sin
modi!icacin$ Cando se considere esencial modi!icar n pa%ete de so!tIare+ se de(en tener en
centa los sigientes pntos9
a4 el riesgo de compromiso de los procesos de integridad # controles incorporadosL
(4 si se de(e o(tener el consentimiento del pro*eedorL
c4 la posi(ilidad de o(tener del pro*eedor los cam(ios re%eridos como actali:aciones estndar
de programasL
d4 el impacto %e se prodcir;a si la organi:acin se "ace responsa(le del mantenimiento !tro del
so!tIare como resltado de los cam(ios$
'
Si los cam(ios se consideran esenciales+ se de(e retener el so!tIare original # aplicar los cam(ios a na
copia claramente identi!icada$ 7odos los cam(ios de(en ser pro(ados # docmentados
e8"asti*amente+ de manera %e peden aplicarse ne*amente+ de ser necesario+ a !tras
actali:aciones de so!tIare$
34:%:$ Canale, oc*l0o, ; cdigo 0ro;ano
Un canal oclto pede e8poner in!ormacin tili:ando algnos medios indirectos # desconocidos$
-ede acti*arse modi!icando n parmetro accesi(le mediante elementos tanto segros como no
segros de n sistema in!ormtico+ o incorporando in!ormacin a n !lHo de datos$ El cdigo tro#ano
esta diseGado para a!ectar n sistema en na !orma no atori:ada+ no !cilmente ad*ertida # no
re%erida por el destinatario o sario del programa$ )os canales ocltos # el cdigo tro#ano raramente
srgen por accidente$ Si se a(orda este tpico+ se de(en considerar los sigientes pntos9
a4 solo comprar programas de pro*eedores acreditadosL
(4 comprar programas en cdigo !ente de manera %e el mismo peda ser *eri!icadoL
c4 tili:ar prodctos e*aladosL
d4 e8aminar todo el cdigo !ente antes de tili:ar operati*amente el programaL
e4 controlar el acceso # las modi!icaciones al cdigo na *e: instalado el mismoL
!4 emplear personal de pro(ada con!ia(ilidad para tra(aHar en los sistemas cr;ticos$
34:%:% De,arrollo e70erno de ,of0@are
Cando se terceri:a el desarrollo de so!tIare+ se de(en considerar los sigientes pntos9
a4 acerdos de licencias+ propiedad de cdigos # derec"os de propiedad intelectal 1*er 12$1$24L
(4 certi!icacin de la calidad # precisin del tra(aHo lle*ado a ca(oL
c4 acerdos de cstodia en caso de %ie(ra de la tercera parteL
d4 derec"os de acceso a na aditoria de la calidad # precisin del tra(aHo reali:adoL
e4 re%erimientos contractales con respecto a la calidad del cdigoL
!4 reali:acin de pre(as pre*ias a la instalacin para detectar cdigos tro#anos$
33 ADMINISTRACIN DE LA CONTINUIDAD DE LOS NEGOCIOS
33:3 A,5ec0o, de la admini,0racin de la con0in*idad de lo, negocio,
O(Heti*o9 Contrarrestar las interrpciones de las acti*idades comerciales # proteger los procesos
cr;ticos de los negocios de los e!ectos de !allas signi!icati*as o desastres$
Se de(e implementar n proceso de administracin de la continidad de los negocios para redcir la
discontinidad ocasionada por desastres # !allas de segridad 1%e peden ser el resltado de+ por
eH$+ desastres natrales+ accidentes+ !allas en el e%ipamiento+ # acciones deli(eradas4 a n ni*el
acepta(les mediante na com(inacin de controles pre*enti*os # de recperacin$
Se de(en anali:ar las consecencias de desastres+ !allas de segridad e interrpciones del ser*icio$
Se de(en desarrollar e implementar planes de contingencia para garanti:ar %e los procesos de
negocios pedan resta(lecerse dentro de los pla:os re%eridos$ 5ic"os planes de(en mantenerse en
*igencia # trans!ormarse en na parte integral del resto de los procesos de administracin # gestin$
)a administracin de la continidad de los negocios de(e inclir controles destinados a identi!icar #
redcir riesgos+ atenar las consecencias de los incidentes perHdiciales # asegrar la reandacin
oportna de las operaciones indispensa(les$
'"
Es%ema 1 I ,AM& 9
33:3:3 !roce,o de admini,0racin de la con0in*idad de lo, negocio,
Se de(e implementar n proceso controlado para el desarrollo # mantenimiento de la continidad de
los negocios en toda la organi:acin$ Este de(e contemplar los sigientes aspectos cla*e de la
administracin de la continidad9
a4 Comprensin de los riesgos %e en!renta la organi:acin en t<rminos de pro(a(ilidad de
ocrrencia e impacto+ incl#endo la identi!icacin # priori:acin de los procesos cr;ticos de los
negociosL
(4 comprensin del impacto %e na interrpcin pede tener en los negocios 1es importante
%e se encentren solciones para los incidentes menos signi!icati*os+ as; como para los
incidentes gra*es %e podr;an amena:ar la *ia(ilidad de la organi:acin 4 # de!inicin de los
o(Heti*os comerciales de las "erramientas de procesamiento de in!ormacinL
c4 considerar la contratacin de segros %e podr;an !ormar parte del proceso de continidad del
negocioL
d4 ela(oracin # docmentacin de na estrategia de continidad de los negocios consecente
con los o(Heti*os # prioridades de los negocios acordadosL
e4 ela(oracin # docmentacin de planes de continidad del negocio de con!ormidad con la
estrategia de continidad acordadaL
!4 pre(as # actali:acin peridicas de los planes # procesos implementadosL
g4 garanti:ar %e la administracin de la continidad de los negocios est< incorporada a los
procesos # estrctra de la organi:acin$ )a responsa(ilidad por la coordinacin del proceso
de administracin de la continidad de(e ser asignada a n ni*el Herr%ico adecado dentro
de la organi:acin+ por eH$ al !oro de segridad de la in!ormacin 1*er D$1$14$
33:3: Con0in*idad del negocio ; anDli,i, del im5ac0o
)a continidad de los negocios de(e comen:ar por la identi!icacin de e*entos %e pedan ocasionar
interrpciones en los procesos de los negocios+ por eH$ !allas en el e%ipamiento+ inndacin e
incendio$ )ego de(e lle*arse a ca(o na e*alacin de riesgos para determinar el impacto de
dic"as interrpciones 1tanto en t<rminos de magnitd de daGo como del per;odo de recperacin4$
Estas dos acti*idades de(en lle*arse a ca(o con la acti*a participacin de los propietarios de los
procesos # recrsos de negocio$ Esta e*alacin considera todos los procesos de negocio # no se
limita a las instalaciones de procesamiento de la in!ormacin$
Seg'n los resltados de la e*alacin+ de(e desarrollarse n plan estrat<gico para determinar el
en!o%e glo(al con el %e se a(ordar la continidad de los negocios$ Una *e: %e se "a creado
este plan+ el mismo de(e ser apro(ado por la gerencia$
33:3:" Ela1oracin e im5lemen0acin de 5lane, de con0in*idad de lo, negocio,
)os planes de(en ser desarrollados para mantener o resta(lecer las operaciones de los negocios en
los pla:os re%eridos na *e: ocrrida na interrpcin o !alla en los procesos cr;ticos de los
negocios$ El proceso de plani!icacin de la continidad de los negocios de(e considerar los
sigientes pntos9
a4 identi!icacin # acerdo con respecto a todas la responsa(ilidades # procedimientos de
emergenciaL
(4 implementacin de procedimientos de emergencia para permitir la recperacin #
resta(lecimiento en los pla:os re%eridos$ Se de(e dedicar especial atencin a la e*alacin
de la dependencias de negocios e8ternos # a los contratos *igentesL
c4 docmentacin de los procedimientos # procesos acordadosL
'$
d4 instrccin adecada del personal en materia de procedimientos # procesos de emergencia
acordados+ incl#endo el maneHo de crisisL
e4 pre(a # actali:acin de los planes$
El proceso de plani!icacin de(e concentrarse en los o(Heti*os de negocio re%eridos+ por eH$
resta(lecimiento de los ser*icios a clientes en n pla:o acepta(le$ 5e(en considerarse los ser*icios #
recrsos %e permitirn %e esto ocrra+ incl#endo dotacin de personal+ recrsos %e no procesan
in!ormacin+ as; como acerdos para reandacin de emergencia 1Q!all(acKR4 en sitios alternati*os de
procesamiento de la in!ormacin$
33:3:$ Marco 5ara la 5lanificacin de la con0in*idad de lo, negocio,
Se de(e mantener n solo marco para los planes de continidad de los negocios+ a !in de garanti:ar
%e los mismos sean ni!ormes e identi!icar prioridades de pre(a # mantenimiento$ Cada plan de
continidad de(e especi!icar claramente las condiciones para s pesta en marc"a+ as; como las
personas responsa(les de eHectar cada componente del mismo$ Cando se identi!ican ne*os
re%erimientos+ de(en modi!icarse de con!ormidad los procedimientos de emergencia esta(lecidos+
por eH$ los planes de e*acacin o los recrsos de emergencia 1Q!all(acKR4 e8istentes$
El marco para la plani!icacin de la continidad de los negocios de(e tener en centa los sigientes
pntos9
a4 las condiciones de implementacin de los planes %e descri(an el proceso a segir 1cmo
e*alar la sitacin+ %< personas estarn in*olcradas+ etc$4 antes de poner en marc"a los
mismosL
(4 procedimientos de emergencia %e descri(an las acciones a emprender na *e: ocrrido n
incidente %e ponga en peligro las operaciones de la empresa #/o la *ida "mana$ Esto de(e
inclir disposiciones con respecto a la gestin de las relaciones p'(licas # a *;nclos e!icaces
a esta(lecer con las atoridades p'(licas pertinentes+ por eH$ polic;a+ (om(eros # atoridades
localesL
c4 procedimientos de emergencia 1Q!all(acKR4 %e descri(an las acciones a emprender para el
traslado de acti*idades esenciales de la empresa o de ser*icios de soporte a (icaciones
transitorias alternati*as+ # para el resta(lecimiento de los procesos de negocio en los pla:os
re%eridosL
d4 procedimientos de recperacin %e descri(an las acciones a emprender para resta(lecer las
operaciones normales de la empresaL
e4 n cronograma de mantenimiento %e especi!i%e cmo # cndo ser pro(ado el plan+ # el
proceso para el mantenimiento del mismo9
!4 acti*idades de concienti:acin e instrccin %e est<n diseGadas para propiciar la
comprensin de los procesos de continidad del negocio # garanti:ar %e los procesos sigan
siendo e!icacesL
g4 las responsa(ilidades de las personas+ descri(iendo los responsa(les de la eHeccin de cada
no de los componentes del plan$ Se de(en mencionar alternati*as cando corresponda$
Cada plan de(e tener n propietario espec;!ico$ )os procedimientos de emergencia+ los planes de
reandacin 1Q!all(acKR4 # los planes de recperacin de(en contarse entre las responsa(ilidades de
los propietarios de los recrsos o procesos de negocio pertinentes$ )as disposiciones de emergencia
para ser*icios t<cnicos alternati*os+ como instalaciones de comnicaciones o de procesamiento de
in!ormacin+ normalmente se centan entre las responsa(ilidades de los pro*eedores de ser*icios$
33:3:% !r*e1aC man0enimien0o ; ree2al*acin de lo, 5lane, de con0in*idad de lo, negocio,
)os planes de continidad de los negocios peden !allar en el crso de las pre(as+ !recentemente
de(ido a sposiciones incorrectas+ negligencias o cam(ios en el e%ipamiento o el personal$ -or
'%
Es%ema 1 I ,AM& 9
consigiente de(en ser pro(ados peridicamente para garanti:ar %e estn actali:ados # son
e!icaces$ )as pre(as tam(i<n de(en garanti:ar %e todos los miem(ros del e%ipo de recperacin
# dems personal rele*ante est<n al corriente de los planes$
El cronograma de pre(as para los planes de continidad del negocio de(e indicar cmo # cndo
de(e pro(arse cada elemento del plan$ Se recomienda pro(ar con !recencia cada no de los
componentes del plan$ Se de(en tili:ar di*ersas t<cnicas para garanti:ar %e los planes
!ncionarn en la *ida real$ Estas de(en inclir9U
a4 pre(as de discsin de di*ersos escenarios 1disctiendo medidas para la recperacin del
negocio tili:ando eHemplo de interrpciones4L
(4 simlaciones 1especialmente para entrenar al personal en el desempeGo de ss roles de
gestin posterior a incidentes o crisis4L
c4 pre(as de recperacin t<cnica 1garanti:ando %e los sistemas de in!ormacin pedan ser
resta(lecidos con e!icacia4L
d4 pre(as de recperacin en n sitio alternati*o 1eHectando procesos de negocio en paralelo+
con operaciones de recperacin !era del sitio principal4L
e4 pre(as de instalaciones # ser*icios de pro*eedores 1garanti:ando %e los prodctos #
ser*icios de pro*eedores e8ternos cmplan con el compromiso contra;do4L
!4 ensa#os completos 1pro(ando %e la organi:acin+ el personal+ el e%ipamiento+ las
instalaciones # los procesos peden a!rontar las interrpciones4L
Estas t<cnicas peden ser tili:adas por cal%ier organi:acin # de(en re!leHar la natrale:a del
plan de recperacin pertinente$
33:3:%:3 Man0enimien0o ; ree2al*acin del 5lan
)os planes de continidad de los negocios de(en mantenerse mediante re*isiones # actali:aciones
peridicas para garanti:ar s e!icacia permanente$ Se de(en inclir procedimientos en el programa
de administracin de cam(ios de la organi:acin para garanti:ar %e se a(orden adecadamente los
tpicos de continidad del negocio$
Se de(e asignar la responsa(ilidad por las re*isiones peridicas de cada no de los planes de
continidad del negocioL la identi!icacin de cam(ios en las disposiciones relati*as al negocio a'n no
re!leHadas en los planes de continidad de(e segirse de na adecada actali:acin del plan$ Este
proceso !ormal de control de cam(ios de(e garanti:ar %e se distri(#an los planes actali:ados #
%e se imponga el cmplimiento de los mismos mediante re*isiones peridicas de todos los planes$
Entre los eHemplos de sitaciones %e podr;an demandar la actali:acin de los planes se encentra
la ad%isicin de ne*o e%ipamiento+ o la actali:acin 1QpgradingR4 de los sistemas operacionales
# los cam(ios de9
a4 personal
(4 direcciones o n'meros tele!nicosL
c4 estrategia de los negociosL
d4 (icacin+ instalaciones # recrsosL
e4 legislacinL
!4 contratistas+ pro*eedores # clientes cla*eL
g4 procesos+ o procesos ne*os/eliminadosL
"4 riesgos 1operacionales # !inancieros4$
'&
3 CUM!LIMIENTO
3:3 C*m5limien0o de re.*i,i0o, legale,
O(Heti*o9 Impedir in!racciones # *iolaciones de las le#es del derec"o ci*il # penalL de las o(ligaciones
esta(lecidas por le#es+ estattos+ normas+ reglamentos o contratosL # de los re%isitos de segridad$
El diseGo+ operacin+ so # administracin de los sistemas de in!ormacin peden estar sHetos a
re%isitos de segridad legal+ normati*a # contractal$
Se de(e procrar asesoramiento so(re re%isitos legales espec;!icos por parte de los asesores
Hr;dicos de la organi:acin+ o de a(ogados con*enientemente cali!icados$ )os re%isitos legales
*ar;an seg'n el pa;s # en relacin con la in!ormacin %e se genera en n pa;s # se transmite a otro
1por eH$ !lHo de datos a tra*<s de !ronteras4$
3:3:3 Iden0ificacin de la legi,lacin a5lica1le
Se de(en de!inir # docmentar claramente todos los re%isitos legales+ normati*os # contractales
pertinentes para cada sistema de in!ormacin$ 5el mismo modo de(en de!inirse # docmentarse los
controles espec;!icos # las responsa(ilidades indi*idales para cmplir con dic"os re%isitos$
3:3: DerecGo, de 5ro5iedad in0elec0*al HD!II
3:3::3 DerecGo de 5ro5iedad in0elec0*al
Se de(en implementar procedimientos adecados para garanti:ar el cmplimiento de las
restricciones legales al so del material respecto del cal pedan e8istir derec"os de propiedad
intelectal+ como derec"o de propiedad intelectal+ derec"os de diseGo o marcas registradas$ )a
in!raccin de derec"os de ator 1derec"o de propiedad intelectal4 pede tener como resltado
acciones legales %e podr;an deri*ar en demandas penales$
)os re%isitos legales+ normati*os # contractales peden poner restricciones a la copia de material
%e constit#a propiedad de na empresa$ En particlar+ peden re%erir %e slo peda tili:arse
material desarrollado por la organi:acin+ o material atori:ado o sministra&do a la misma por la
empresa %e lo "a desarrollado$
3:3:: DerecGo de 5ro5iedad in0elec0*al del ,of0@are
)os prodctos de so!tIare %e constit#an propiedad de na empresa se sministran normalmente
(aHo n acerdo de licencia %e limita el so de los prodctos a m%inas espec;!icas # pede limitar
la copia a la creacin de copias de resgardo solamente$ Se de(en considerar los sigientes
controles9
a4 p(licacin de na pol;tica de cmplimiento del derec"o de propiedad intelectal de so!tIare
%e de!ina el so legal de prodctos de in!ormacin # de so!tIareL
(4 emisin de estndares para los procedimientos de ad%isicin de prodctos de so!tIareL
c4 mantenimiento de la concienti:acin respecto de las pol;ticas de ad%isicin # derec"o de
propiedad intelectal de so!tIare+ # noti!icacin de la determinacin de tomar acciones
disciplinarias contra el personal %e incrra en el cmplimiento de las mismasL
d4 mantenimiento adecados de registros de acti*osL
e4 mantenimiento de pre(as # e*idencias de propiedad de licencias+ discos maestros+
manales+ etc$
!4 implementacin de controles para garanti:ar %e no se e8ceda el n'mero m8imo permitido
de sariosL
''
Es%ema 1 I ,AM& 9
g4 compro(aciones para *eri!icar %e slo se instalan prodctos con licencia # so!tIare
atori:adoL
"4 emisin de na pol;tica para el mantenimiento de condiciones adecadas con respecto a las
licenciasL
i4 emisin de na pol;tica con respecto a la eliminacin o trans!erencia de so!tIare a tercerosL
H4 tili:acin de "erramientas de aditor;a adecadasL
K4 cmplimiento de t<rminos # condiciones con respecto a la o(tencin de so!tIare e
in!ormacin en redes p'(licas 1*er tam(i<n el pnto 2$7$04$
3:3:" !ro0eccin de lo, regi,0ro, de la organi<acin
)os registros importantes de la organi:acin de(en protegerse contra p<rdida+ destrccin #
!alsi!icacin$ Algnos registros peden re%erir na retencin segra para cmplir re%isitos legales o
normati*os+ as; como para respaldar acti*idades esenciales del negocio$ Un eHemplo de esto son los
registros %e peden re%erirse como e*idencia de %e na organi:acin opera dentro de n
determinado marco legal o normati*o+ o para garanti:ar na adecada de!ensa contra e*entales
acciones ci*iles o penales+ o para *alidar el estado !inanciero de na organi:acin ante accionistas+
socios # aditores$ El pla:o # el contenido de los datos para la retencin de in!ormacin peden ser
esta(lecidos por le#es o normas nacionales$
)os registros de(en ser clasi!icados en di!erentes tipos+ por eH$ registros conta(les+ registros de (ase
de datos+ QlogsR de transacciones+ QlogsR de aditor;a # procedimientos operati*os+ cada no de ellos
detallando los per;odos de retencin # el tipo de medios de almacenamiento+ por eH$ papel+
micro!ic"as+ medios magn<ticos pticos$ )as cla*es criptogr!icas asociadas con arc"i*os ci!rados
o !irmas digitales 1*er 10$>$2 # 10$>$>4 de(en mantenerse en !orma segra # estar disponi(les para s
so por parte de personas atori:adas cando reslte necesario$
Se de(e considerar la posi(ilidad de degradacin de los medios tili:ados para el almacenamiento
de los registros$ )os procedimientos de almacenamiento # maniplacin de(en implementarse de
acerdo con las recomendaciones del !a(ricante$
Si se seleccionan medios de almacenamiento electrnicos+ de(en inclirse procedimientos para
garanti:ar la capacidad de acceso a los datos 1tanto legi(ilidad de !ormato como medios4 drante
todo el per;odo de retencin+ a !in de sal*agardar los mismos contra e*entales p<rdidas
ocasionadas pro !tros cam(ios tecnolgicos$
)os sistemas de almacenamiento de datos de(en seleccionarse de modo tal %e los datos
re%eridos pedan recperarse de na manera %e reslte acepta(le para n tri(nal de Hsticia+ por
eH$ %e todos los registros re%eridos pedan recperarse en n pla:o # n !ormato acepta(le$
El sistema de almacenamiento # maniplacin de(e garanti:ar na clara identi!icacin de los
registros # de s per;odo de retencin legal o normati*a$ 5e(e permitir na adecada destrccin de
los registros na *e: transcrrido dic"o per;odo+ si #a no resltan necesarios para la organi:acin$
A !in de cmplir con estas o(ligaciones+ se de(en tomar las sigientes medidas dentro de la
organi:acin$
a4 Se de(e emitir lineamientos para la retencin+ almacenamiento+ maniplacin # eliminacin de
registros e in!ormacinL
(4 Se de(e preparar n cronograma de retencin identi!icando los tipos esenciales de registros #
el per;odo drante el cal de(en ser retenidos$
c4 Se de(e mantener n in*entario de !entes de in!ormacin cla*e$
'(
d4 Se de(e implementar adecados controles para proteger los registros # la in!ormacin
esenciales contra p<rdida+ destrccin # !alsi!icacin$
3:3:$ !ro0eccin de da0o, ; 5ri2acidad de la informacin 5er,onal
5i*ersos pa;ses "an introdcido le#es %e esta(lecen controles so(re el procesamiento # transmisin
de datos personales 1generalmente in!ormacin so(re personas *i*as %e peden ser identi!icadas a
partir de esta in!ormacin4$ 5ic"os controles peden imponer responsa(ilidades a a%ellas personas
%e recopilan+ procesan # di*lgan in!ormacin personal+ # peden limitar la capacidad de trans!erir
dic"os datos a otros pa;ses$
El cmplimiento de la legislacin so(re proteccin de datos re%iere na estrctra # n control de
gestin adecados$ Arecentemente+ esto se logra de la meHor manera mediante la designacin de
n responsa(le a cargo de la proteccin de datos %e oriente a los gerentes+ sarios # prestadores
de ser*icios acerca de ss responsa(ilidades indi*idales # de los procedimientos espec;!icos %e
de(en segirse$ 5e(e ser responsa(ilidad del propietario de los datos+ in!ormar al responsa(le de la
proteccin de los mismos+ acerca de las propestas para mantener la in!ormacin personal+ en n
arc"i*o estrctrado+ # para garanti:ar el conocimiento de los principios de proteccin de datos+
de!inidos en la legislacin pertinente$
3:3:% !re2encin del *,o inadec*ado de lo, rec*r,o, de 5roce,amien0o de informacin
)os recrsos de procesamiento de in!ormacin de na organi:acin se sministran con propsitos de
negocio$ )a gerencia de(e atori:ar el so %e se da a los mismos$ )a tili:acin de estos recrsos
con propsitos no atori:ados o aHenos a los negocios+ sin la apro(acin de la gerencia+ de(e ser
considerada como so inde(ido$ Si dic"a acti*idad es identi!icada mediante monitoreo otros
medios+ se de(e noti!icar al gerente interesado para %e se tomen las acciones disciplinarias %e
correspondan$
)a legalidad del monitoreo del so de los recrsos mencionados *ar;a seg'n el pa;s # pede re%erir
%e los empleados sean ad*ertidos de dic"as acti*idades o %e se o(tenga el consentimiento de los
mismos$ Se de(e o(tener asesoramiento Hr;dico antes de implementar los procedimientos de
monitoreo$
Mc"os pa;ses tienen+ o estn en proceso de introdcir+ legislacin re!erida a la proteccin contra el
so inadecado de los recrsos in!ormticos$ El so de los mismos con propsitos no atori:ados
pede constitir n delito criminal$ -or consigiente+ es esencial %e todos los sarios est<n al
corriente del alcance preciso del acceso permitido$ Esto pede lograrse+ por eHemplo+ otorgando a
los sarios na atori:acin escrita+ na copia de la cal de(e ser !irmada por los mismos # retenida
en !orma segra por la organi:acin$ )os empleados # los sarios e8ternos de(er ser ad*ertidos de
la pro"i(icin de todo acceso %e no est< e8presamente atori:ado$
En el momento del inicio de sesin de(e aparecer n mensaHe de ad*ertencia en pantalla indicando
%e el sistema al %e se est ingresando es pri*ado # %e no se permite el acceso no atori:ado$ El
sario de(e acsar recepcin # responder en !orma adecada al mensaHe para continar con el
proceso de inicio de sesin$
3:3:& Reg*lacin de con0role, 5ara el *,o de cri50ografa
Algnos pa;ses "an implementado acerdos+ le#es+ normas # dems instrmentos para controlar el
acceso a los controles criptogr!icos o el so de los mismos$ 5ic"o control pede inclir9
a4 importacin #/o e8portacin de "ardIare # so!tIare para desempeGar !nciones
criptogr!icasL
'/
Es%ema 1 I ,AM& 9
(4 importacin #/o e8portacin de "ardIare # so!tIare diseGado para aceptar !nciones
criptogr!icasL
c4 m<todos o(ligatorios o discrecionales de acceso de los pa;ses a la in!ormacin ci!rada por
"ardIare # so!tIare para pro*eer de con!idencialidad al contenido$
Se de(e procrar asesoramiento Hr;dico para garanti:ar el cmplimiento de las le#es nacionales$
7am(i<n de(e o(tenerse asesoramiento antes de trans!erir a otro pa;s la in!ormacin ci!rada o los
controles criptogr!icos$
3:3:' Recoleccin de e2idencia
3:3:':3 Regla, 5ara la recoleccin de e2idencia
Es necesario contar con adecada e*idencia para respaldar na accin contra na persona
organi:acin$ Siempre %e esta accin responda a na medida disciplinaria interna+ la e*idencia
necesaria estar descrita en los procedimientos internos$
Cando la accin implica la aplicacin de na le#+ tanto ci*il como penal+ la e*idencia presentada
de(e cmplir con las normas de e*idencia esta(lecidas en la le# pertinente o en las normas
espec;!icas del tri(nal en el cal se desarrollar el caso$ En general+ estas normas comprenden9
a4 *alide: de la e*idencia9 si pede o no tili:arse la misma en el tri(nalL
(4 peso de la e*idencia9 la calidad # totalidad de la mismaL
c4 adecada e*idencia de %e los controles "an !ncionado en !orma correcta # consistente 1por
eH$ e*idencia de control de procesos4 drante todo el per;odo en %e la e*idencia a recperar
!e almacenada # procesada por el sistema$
3:3:': >alide< de la e2idencia
-ara lograr la *alide: de la e*idencia+ las organi:aciones de(en garanti:ar %e ss sistemas de
in!ormacin cmplan con los estndares o cdigos de prctica relati*os a la prodccin de e*idencia
*lida$
3:3:':" Calidad ; 0o0alidad de la e2idencia
-ara lograr la calidad # totalidad de la e*idencia es necesaria na slida pista de la misma$ En
general+ esta pista pede esta(lecerse si se cmplen las sigientes condiciones9
a4 -ara docmentos en papel9 el original se almacena en !orma segra # se mantienen registros
acerca de %i<n lo "all+ dnde se "all+ cndo se "all # %i<n presenci el "alla:go$
Cal%ier in*estigacin de(e garanti:ar %e los originales no sean alterados$
(4 -ara in!ormacin en medios in!ormticos9 se de(en "acer copias de los medios remo*i(les #
de la in!ormacin en discos r;gidos o en memoria para garanti:ar s disponi(ilidad$ Se de(e
mantener n registro de todas las acciones reali:adas drante el proceso de copia # <ste
de(e ser presenciado$ Se de(e almacenar en !orma segra na copia de los medios # del
registro$
Cando se detecta n incidente pede no resltar o(*io si <ste deri*ar en na demanda legal$ -or
consigiente+ e8iste el riesgo de %e la e*idencia necesaria sea destrida accidentalmente antes de
%e se ad*ierta la gra*edad del incidente$ Es aconseHa(le in*olcrar a n a(ogado o a la polic;a en
la primera etapa de cal%ier accin legal contemplada # procrar asesoramiento acerca de la
e*idencia re%erida$
(4
3: Re2i,ione, de la 5ol0ica de ,eg*ridad ; la com5a0i1ilidad 0+cnica
O(Heti*o9 Caranti:ar la compati(ilidad de los sistemas con las pol;ticas # estndares 1normas4 de
segridad de la organi:acin$
)a segridad de los sistemas de in!ormacin de(e re*isarse peridicamente$ 5ic"as re*isiones
de(en lle*arse a ca(o con re!erencia a las pol;ticas de segridad pertinentes # las plata!ormas
t<cnicas # sistemas de in!ormacin de(en ser aditados para *eri!icar s compati(ilidad con los
estndares 1normas4 de implementacin de segridad$
3::3 C*m5limien0o de la 5ol0ica de ,eg*ridad
)a gerencia de(e garanti:ar %e se lle*en a ca(o correctamente todos los procedimientos de
segridad dentro de s rea de responsa(ilidad$ Asimismo+ se de(e considerar la implementacin
de na re*isin peridica de todas las reas de la organi:acin para garanti:ar el cmplimiento de
las pol;ticas # estndares de segridad$ Entre las reas a re*isar de(en inclirse las sigientes9
a4 sistemas de in!ormacinL
(4 pro*eedores de sistemasL
c4 propietarios de in!ormacin # de recrsos de in!ormacinL
d4 sariosL
e4 gerentes$
)os propietarios de los sistemas de in!ormacin 1*er .$14 de(en apo#ar la re*isin peridica de la
con!ormidad de ss sistemas con las pol;ticas+ estndares # otros re%isitos de segridad aplica(les$
El tpico re!erido al monitoreo operacional del so del sistema es tratado en el pnto 9$7$
3:: >erificacin de la com5a0i1ilidad 0+cnica
Se de(e *eri!icar peridicamente la compati(ilidad de los sistemas de in!ormacin con los estndares
de implementacin de la segridad$ )a *eri!icacin de la compati(ilidad t<cnica comprende la
re*isin de los sistemas operacionales a !in de garanti:ar %e los controles de "ardIare # so!tIare
"a#an sido correctamente implementados$ Este tipo de *eri!icacin de cmplimiento re%iere
asistencia t<cnica especiali:ada$ 5e(e ser reali:ada manalmente 1si es necesario+ con el apo#o de
adecadas "erramientas de so!tIare4 por n ingeniero en sistemas e8perimentado+ o por n pa%ete
de so!tIare atomati:ado %e genere n in!orme t<cnico para s lterior interpretacin por parte de
n especialista$
)a *eri!icacin de compati(ilidad tam(i<n pede comprender pre(as de penetracin+ las cales
podr;an ser reali:adas por e8pertos independientes contratados espec;!icamente con este propsito$
Esto pede resltar 'til para la deteccin de *lnera(ilidades en el sistema # para *eri!icar la e!icacia
de los controles con relacin a la pre*encin de accesos no atori:ados posi(ilitados por las
mismas$ Se de(en tomar recados en caso de %e na pre(a de penetracin e8itosa peda
comprometer la segridad del sistema e inad*ertidamente permita e8plotar otras *lnera(ilidades+
)as *eri!icaciones de compati(ilidad t<cnica slo de(en ser reali:adas por personas competentes #
atori:adas o (aHo la sper*isin de las mismas$
(3
Es%ema 1 I ,AM& 9
3:" Con,ideracione, de a*di0oria de ,i,0ema,
O(Heti*o9 Optimi:ar la e!icacia del proceso de aditoria de sistemas # minimi:ar los pro(lemas %e
pdiera ocasionar el mismo+ o los o(stclos %e pdieran a!ectarlo$
5e(en e8istir controles %e proteHan los sistemas de operaciones # las "erramientas de aditoria en
el transcrso de las aditorias de sistemas$
Asimismo+ se re%iere na proteccin adecada para sal*agardar la integridad # e*itar el so
inadecado de las "erramientas de aditoria$
3:":3 Con0role, de a*di0oria de ,i,0ema,
)os re%erimientos # acti*idades de aditoria %e in*olcran *eri!icaciones de los sistemas
operacionales de(en ser cidadosamente plani!icados # acordados a !in de minimi:ar el riesgo de
discontinidad de los procesos de negocio$ Se de(en contemplar los sigientes pntos9
a4 )os re%erimientos de aditoria de(en ser acordados con la gerencia %e correspondaL
(4 se de(e acordar # controlar el alcance de las *eri!icacionesL
c4 <stas de(en estar limitadas a n acceso de slo lectra del so!tIare de datosL
d4 el acceso %e no sea de slo lectra solamente de(e permitirse para copias aisladas de
arc"i*os del sistema+ las cales de(en ser eliminadas na *e: !inali:ada la aditor;a$
e4 se de(en identi!icar claramente # poner a disposicin los recrsos de 7I para lle*ar a ca(o las
*eri!icacionesL
!4 se de(en identi!icar # acordar los re%erimientos de procesamiento especial o adicionalL
g4 todos los accesos de(en ser monitoreados # registrados a !in de generar na pista de
re!erenciaL
"4 se de(en docmentar todos los procedimientos+ re%erimientos # responsa(ilidades$
3:": !ro0eccin de la, Gerramien0a, de a*di0ora de ,i,0ema,
Se de(e proteger el acceso a las "erramientas de aditor;a de sistemas+ por eH$ arc"i*os de datos o
so!tIare+ a !in de e*itar el mal so o el compromiso de las mismas$ 5ic"as "erramientas de(en estar
separadas de los sistemas operacionales # de desarrollo # no de(en almacenarse en (i(liotecas de
cintas o en reas de sarios+ a menos %e se les otorge n ni*el adecado de proteccin
adicional$
(
Ane7o A
1In!ormati*o4
Ai1liografa
ISO J INTERNATIONAL ORGANIZATION 6OR STANDARDIZATION
IEC J INTERNATIONAL ELECTROTECKNICAL COMMISSION
ISO/IEC 1779992000 & In!ormation tec"nolog#$ Code o! practice !or in!ormation secrit#
management$
Ane7o A
1In!ormati*o4
El estdio de este es%ema "a estado a cargo del S(comit< de Segridad de la in!ormacin+
integrado de la !orma sigiente9
In0egran0e Re5re,en0a a=
)ic$ Adal(erto AI,A)A U6IF$ 7EC6$ 6AC$ & AAC$ ,EC$ 3S$ AS$
5r$ 5aniel A)7MA,V CO)ECIO 5E A3OCA5OS
)ic$ Wan de 5ios 3E) ISACA & I6AO,MA7IO6 S@S7EMS AU5I7$
A65 CO67,O) ASSOCIA7IO6
Sr$ Os*aldo -?,EE IEEE A,CE67I6A
Sr$ ,odrigo SECUE) SEC,E7$ 5E MO5E,6IEACI=6 5E) ES7A5O
5r$ -a(lo 7ISCO,6IA MI6IS7E,IO 5E WUS7ICIA @ 5E,ECXOS
XUMA6OS
)ic$ Wan Carlos MASOE,O I,AM
)ic$ Worge 6U6ES I,AM
)ic$ Espedito -ASSA,E))O I,AM
TRBMITE
El estdio de esta norma !e considerado por el S(comit< en ss reniones del 2002&02&22
1Acta 1&20024 # 2002&0>&21 1Acta 2&20024 en la %e se apro( como Es%ema 1 para s en*;o a
5iscsin -'(lica por D. d$
YYYYYYYYYYYYYYYYYYYYYYYYYYYYY
A-,O3A5O SU E6FIO A 5ISCUSI=6 -Z3)ICA -O, E) SU3COMI7? 5E SECU,I5A5 5E )A
I6AO,MACI=6+ E6 SU SESI=6 5E) 21 5E MA,EO 5E 2002 1Acta 2&20024$
AI,MA5O
)ic$ Worge 6nes
)ic$ Wan C$ Masoero
Coordinador del S(comit<
AI,MA5O
)ic$ Wan 3el
Secretario del S(comit<
AI,MA5O
)ic$ Marta ,$ de 3ar(ieri
F[ 3[ E%ipo A
($

Norma ISO 17799 Castellano

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Norma ISO 17799 Castellano

Enviado por

Direitos autorais:

Formatos disponíveis

ESQUEMA 1

ISO IEC 17799

Es%ema 1 I ,AM& I SO I EC 17799 9 2002

Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond

Você também pode gostar