2002 Tecnologa de la informacin Cdigo de prctica para la administracin de la segridad de la in!ormacin In!ormation tec"nolog#$ Code o! practice !or in!ormation secrit# management$ Este es%ema est sometido a disc& sin p'(lica$ )as o(ser*aciones de& (en remitirse !ndadas # por escri& to+ al Institto I,AM+ -er' ..2 / ..0 & 1C1002AA34 3enos Aires antes del 2002&00&22 5OCUME67O E6 ES7U5IO
5E 6O,MA I,AM& 8888 de 2002 INSTITUTO ARGENTINO DE NORMALIZACIN
Es%ema 1 I ,AM& I SO I EC 17799 9 2002
!refacio El Institto Argentino de 6ormali:acin 1I,AM4 es na asociacin ci*il sin !ines de lcro c#as !inalidades espec;!icas+ en s carcter de Organismo Argentino de 6ormali:acin+ son esta(lecer normas t<cnicas+ sin limitaciones en los m(itos %e a(ar%en+ adems de propender al conocimiento # la aplicacin de la normali:acin como (ase de la calidad+ promo*iendo las acti*idades de certi!icacin de prodctos # de sistemas de la calidad en las empresas para (rindar segridad al consmidor$ I,AM es el representante de la Argentina en la International Organi:ation !or Standardi:ation 1ISO4+ en la Comisin -anamericana de 6ormas 7<cnicas 1CO-A674 # en la Asociacin ME,COSU, de 6ormali:acin 1AM64$ Esta norma I,AM es el !rto del consenso t<cnico entre los di*ersos sectores in*olcrados+ los %e a tra*<s de ss representantes "an inter*enido en los Organismos de Estdio de 6ormas correspondientes$ Esta norma es na adopcin id<ntica de la norma ISO 1779992000$ " Es%ema 1 I ,AM& 9 #ndice I67,O5UCCI=6$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 9 1 A)CA6CE$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 1> 2 7?,MI6OS @ 5EAI6ICIO6ES$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 1> > -O)B7ICA 5E SECU,I5A5$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 1> 3.1.1 DOCUMENTACIN DE LA POLTICA DE SEGURIDAD DE LA INFORMACIN ............14 3.1.2 REVISIN Y EVALUACIN .............................................................................................. 14 D O,CA6IEACI=6 5E )A SECU,I5A5 $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 1. 4.1.1 FORO GERENCIAL SOBRE SEGURIDAD DE LA INFORMACIN .................................15 4.1.2 COORDINACIN DE LA SEGURIDAD DE LA INFORMACIN .......................................15 4.1.3 ASIGNACIN DE RESPONSABILIDADES EN MATERIA DE SEGURIDAD DE LA INFORMACIN .......................................................................................................................... 16 4.1.4 PROCESO DE AUTORIZACIN PARA INSTALACIONES DE PROCESAMIENTO DE INFORMACIN .......................................................................................................................... 16 4.1.5 ASESORAMIENTO ESPECIALIZADO EN MATERIA DE SEGURIDAD DE LA INFORMACIN .......................................................................................................................... 17 4.1.6 COOPERACIN ENTRE ORGANIZACIONES ..................................................................17 4.1.7 REVISIN INDEPENDIENTE DE LA SEGURIDAD DE LA INFORMACIN ....................17 4.2.1 IDENTIFICACIN DE RIESGOS DEL ACCESO DE TERCERAS PARTES......................1 4.2.2 RE!UERIMIENTOS DE SEGURIDAD EN CONTRATOS CON TERCEROS ...................1" 4.3.1 RE!UERIMIENTOS DE SEGURIDAD EN CONTRATOS DE TERCERIZACIN..............2# . C)ASIAICACI=6 @ CO67,O) 5E AC7IFOS $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$21 5.1.1 INVENTARIO DE ACTIVOS .............................................................................................. 21 5.2.1 PAUTAS DE CLASIFICACIN .......................................................................................... 22 5.2.2 ROTULADO Y MANE$O DE LA INFORMACIN .............................................................22 0 SECU,I5A5 5E) -E,SO6A)$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 2> 6.1.1 INCLUSIN DE LA SEGURIDAD EN LAS RESPONSABILIDADES DE LOS PUESTOS DE TRABA$O.............................................................................................................................. 23 6.1.2 SELECCIN Y POLTICA DE PERSONAL........................................................................23 6.1.3 ACUERDOS DE CONFIDENCIALIDAD.............................................................................24 6.1.4 T%RMINOS Y CONDICIONES DE EMPLEO......................................................................24 6.2.1 FORMACIN Y CAPACITACIN EN MATERIA DE SEGURIDAD DE LA INFORMACIN ..................................................................................................................................................... 25 6.3.1 COMUNICACIN DE INCIDENTES RELATIVOS A LA SEGURIDAD..............................25 6.3.2 COMUNICACIN DE DEBILIDADES EN MATERIA DE SEGURIDAD ............................25 6.3.3 COMUNICACIN DE ANOMALAS DEL SOFT&ARE......................................................26 6.3.4 APRENDIENDO DE LOS INCIDENTES............................................................................26 6.3.5 PROCESO DISCIPLINARIO............................................................................................... 26 7 SECU,I5A5 ABSICA @ AM3IE67A)$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$20 $ -gina Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond 7.1.1 PERMETRO DE SEGURIDAD FSICA..............................................................................27 7.1.2 CONTROLES DE ACCESO FSICO ..................................................................................27 7.1.3 PROTECCIN DE OFICINAS' RECINTOS E INSTALACIONES.......................................2 7.1.4 DESARROLLO DE TAREAS EN (REAS PROTEGIDAS..................................................2 7.1.5 AISLAMIENTO DE LAS (REAS DE ENTREGA Y CARGA..............................................2" 7.2.1 UBICACIN Y PROTECCIN DEL E!UIPAMIENTO.......................................................2" 7.2.2 SUMINISTROS DE ENERGA............................................................................................ 3# 7.2.3 SEGURIDAD DEL CABLEADO......................................................................................... 31 7.2.4 MANTENIMIENTO DE E!UIPOS....................................................................................... 31 7.2.5 SEGURIDAD DEL E!UIPAMIENTO FUERA DEL (MBITO DE LA ORGANIZACIN.....31 7.2.6 BA$A SEGURA O REUTILIZACIN DE E!UIPAMIENTO................................................32 7.3.1 POLTICAS DE ESCRITORIOS Y PANTALLAS LIMPIAS................................................32 7.3.2 RETIRO DE BIENES.......................................................................................................... 33 2 CES7I=6 5E COMU6ICACIO6ES @ O-E,ACIO6ES$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$>> .1.1 DOCUMENTACIN DE LOS PROCEDIMIENTOS OPERATIVOS....................................33 .1.2 CONTROL DE CAMBIOS EN LAS OPERACIONES.........................................................34 .1.3 PROCEDIMIENTOS DE MANE$O DE INCIDENTES.........................................................34 .1.4 SEPARACIN DE FUNCIONES........................................................................................ 35 .1.5 SEPARACIN ENTRE INSTALACIONES DE DESARROLLO E INSTALACIONES OPERATIVAS.............................................................................................................................. 35 .1.6 ADMINISTRACIN DE INSTALACIONES E)TERNAS.....................................................36 .2.1 PLANIFICACIN DE LA CAPACIDAD.............................................................................37 .2.2 APROBACIN DEL SISTEMA........................................................................................... 37 .3.1 CONTROLES CONTRA SOFT&ARE MALICIOSO...........................................................3 .4.1 RESGUARDO DE LA INFORMACIN...............................................................................3" .4.2 REGISTRO DE ACTIVIDADES DEL PERSONAL OPERATIVO........................................3" .4.3 REGISTRO DE FALLAS.................................................................................................... 3" .5.1 CONTROLES DE REDES.................................................................................................. 4# .6.1 ADMINISTRACIN DE MEDIOS INFORM(TICOS REMOVIBLES...................................4# .6.2 ELIMINACIN DE MEDIOS INFORM(TICOS...................................................................41 .6.3 PROCEDIMIENTOS DE MANE$O DE LA INFORMACIN...............................................41 .6.4 SEGURIDAD DE LA DOCUMENTACIN DEL SISTEMA.................................................42 .7.1 ACUERDOS DE INTERCAMBIO DE INFORMACIN Y SOFT&ARE...............................42 .7.2 SEGURIDAD DE LOS MEDIOS EN TR(NSITO................................................................43 .7.3 SEGURIDAD DEL COMERCIO ELECTRNICO...............................................................43 .7.4 SEGURIDAD DEL CORREO ELECTRNICO...................................................................44 .7.5 SEGURIDAD DE LOS SISTEMAS ELECTRNICOS DE OFICINA...................................45 .7.6 SISTEMAS DE ACCESO P*BLICO...................................................................................45 .7.7 OTRAS FORMAS DE INTERCAMBIO DE INFORMACIN...............................................46 9 CO67,O) 5E ACCESOS$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ D2 ".1.1 POLTICA DE CONTROL DE ACCESOS..........................................................................4 ".2.1 REGISTRACIN DE USUARIOS....................................................................................... 4" ".2.2 ADMINISTRACIN DE PRIVILEGIOS...............................................................................4" ".2.3 ADMINISTRACIN DE CONTRASE+AS DE USUARIO...................................................5# ".2.4 REVISIN DE DEREC,OS DE ACCESO DE USUARIO...................................................5# ".3.1 USO DE CONTRASE+AS.................................................................................................. 52 ".3.2 E!UIPOS DESATENDIDOS EN (REAS DE USUARIOS..................................................52 ".4.1 POLTICA DE UTILIZACIN DE LOS SERVICIOS DE RED.............................................53 ".4.2 CAMINO FORZADO........................................................................................................... 53 ".4.3 AUTENTICACIN DE USUARIOS PARA CONE)IONES E)TERNAS.............................54 ".4.4 AUTENTICACIN DE NODOS........................................................................................... 54 % Es%ema 1 I ,AM& 9 ".4.5 PROTECCIN DE LOS PUERTOS -PORTS. DE DIAGNOSTICO REMOTO....................55 ".4.6 SUBDIVISIN DE REDES.................................................................................................. 55 ".4.7 CONTROL DE CONE)IN A LA RED...............................................................................55 ".4. CONTROL DE RUTEO DE RED......................................................................................... 56 ".4." SEGURIDAD DE LOS SERVICIOS DE RED......................................................................56 ".5.1 IDENTIFICACIN AUTOM(TICA DE TERMINALES........................................................56 ".5.2 PROCEDIMIENTOS DE CONE)IN DE TERMINALES....................................................56 ".5.3 IDENTIFICACIN Y AUTENTICACIN DE LOS USUARIOS...........................................57 ".5.4 SISTEMA DE ADMINISTRACIN DE CONTRASE+AS....................................................5 ".5.5 USO DE UTILITARIOS DE SISTEMA................................................................................5 ".5.6 ALARMAS SILENCIOSAS PARA LA PROTECCIN DE LOS USUARIOS......................5 ".5.7 DESCONE)IN DE TERMINALES POR TIEMPO MUERTO............................................5" ".5. LIMITACIN DEL ,ORARIO DE CONE)IN....................................................................5" ".6.1 RESTRICCIN DEL ACCESO A LA INFORMACIN........................................................5" ".6.2 AISLAMIENTO DE SISTEMAS SENSIBLES.....................................................................6# ".7.1 REGISTRO DE EVENTOS.................................................................................................. 6# ".7.2 MONITOREO DEL USO DE LOS SISTEMAS....................................................................61 ".7.3 SINCRONIZACIN DE RELO$ES..................................................................................... 62 "..1 COMPUTACIN MVIL..................................................................................................... 62 "..2 TRABA$O REMOTO.......................................................................................................... 63 10 5ESA,,O))O @ MA67E6IMIE67O 5E SIS7EMAS$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$0D 1#.1.1 AN(LISIS Y ESPECIFICACIONES DE LOS RE!UERIMIENTOS DE SEGURIDAD......64 1#.2.1 VALIDACIN DE DATOS DE ENTRADA........................................................................65 1#.2.2 CONTROLES DE PROCESAMIENTO INTERNO............................................................65 1#.2.3 AUTENTICACIN DE MENSA$ES..................................................................................66 1#.2.4 VALIDACIN DE LOS DATOS DE SALIDA....................................................................66 1#.3.1 POLTICA DE UTILIZACIN DE CONTROLES CRIPTOGR(FICOS..............................67 1#.3.2 CIFRADO.......................................................................................................................... 67 1#.3.3 FIRMA DIGITAL................................................................................................................ 6 1#.3.4 SERVICIOS DE NO REPUDIO......................................................................................... 6 1#.3.5 ADMINISTRACIN DE CLAVES..................................................................................... 6 1#.4.1 CONTROL DEL SOFT&ARE OPERATIVO.....................................................................7# 1#.4.2 PROTECCIN DE LOS DATOS DE PRUEBA DEL SISTEMA........................................7# 1#.4.3 CONTROL DE ACCESO A LAS BIBLIOTECAS DE PROGRAMA FUENTE..................71 1#.5.1 PROCEDIMIENTOS DE CONTROL DE CAMBIOS.........................................................71 1#.5.2 REVISIN T%CNICA DE LOS CAMBIOS EN EL SISTEMA OPERATIVO......................72 1#.5.3 RESTRICCIN DEL CAMBIO EN LOS PA!UETES DE SOFT&ARE............................72 1#.5.4 CANALES OCULTOS Y CDIGO TROYANO.................................................................73 1#.5.5 DESARROLLO E)TERNO DE SOFT&ARE....................................................................73 11 A5MI6IS7,ACI=6 5E )A CO67I6UI5A5 5E )OS 6ECOCIOS$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$7> 11.1.1 PROCESO DE ADMINISTRACIN DE LA CONTINUIDAD DE LOS NEGOCIOS..........74 11.1.2 CONTINUIDAD DEL NEGOCIO Y AN(LISIS DEL IMPACTO.........................................74 11.1.3 ELABORACIN E IMPLEMENTACIN DE PLANES DE CONTINUIDAD DE LOS NEGOCIOS.................................................................................................................................. 74 11.1.4 MARCO PARA LA PLANIFICACIN DE LA CONTINUIDAD DE LOS NEGOCIOS.......75 11.1.5 PRUEBA' MANTENIMIENTO Y REEVALUACIN DE LOS PLANES DE CONTINUIDAD DE LOS NEGOCIOS................................................................................................................... 75 12 CUM-)IMIE67O$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 77 12.1.1 IDENTIFICACIN DE LA LEGISLACIN APLICABLE...................................................77 12.1.2 DEREC,OS DE PROPIEDAD INTELECTUAL -DPI........................................................77 & Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond 12.1.3 PROTECCIN DE LOS REGISTROS DE LA ORGANIZACIN......................................7 12.1.4 PROTECCIN DE DATOS Y PRIVACIDAD DE LA INFORMACIN PERSONAL..........7" 12.1.5 PREVENCIN DEL USO INADECUADO DE LOS RECURSOS DE PROCESAMIENTO DE INFORMACIN..................................................................................................................... 7" 12.1.6 REGULACIN DE CONTROLES PARA EL USO DE CRIPTOGRAFA..........................7" 12.1.7 RECOLECCIN DE EVIDENCIA..................................................................................... # 12.2.1 CUMPLIMIENTO DE LA POLTICA DE SEGURIDAD.....................................................1 12.2.2 VERIFICACIN DE LA COMPATIBILIDAD T%CNICA....................................................1 12.3.1 CONTROLES DE AUDITORIA DE SISTEMAS................................................................2 12.3.2 PROTECCIN DE LAS ,ERRAMIENTAS DE AUDITORA DE SISTEMAS...................2 Ane8o A$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 2> 1In!ormati*o4$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 2> 3i(liogra!;a$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 2> Ane8o 3$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 2D 1In!ormati*o4$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 2D ' Es%ema 1 I ,AM& 9 ( Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond Tecnologa de la informacin Cdigo de prctica para la administracin de la segridad de la in!ormacin INTRODUCCIN )*+ e, la ,eg*ridad de la informacin - )a in!ormacin es n recrso %e+ como el resto de los importantes acti*os comerciales+ tiene *alor para na organi:acin # por consigiente de(e ser de(idamente protegida$ )a segridad de la in!ormacin protege <sta de na amplia gama de amena:as+ a !in de garanti:ar la continidad comercial+ minimi:ar el daGo al mismo # ma8imi:ar el retorno so(re las in*ersiones # las oportnidades$ )a in!ormacin pede e8istir en mc"as !ormas$ -ede estar impresa o escrita en papel+ almacenada electrnicamente+ transmitida por correo o tili:ando medios electrnicos+ presentada en imgenes+ o e8pesta en na con*ersacin$ Cal%iera sea la !orma %e ad%iere la in!ormacin+ o los medios por los cales se distri(#e o almacena+ siempre de(e ser protegida en !orma adecada$ )a segridad de la in!ormacin se de!ine a%; como la preser*acin de las sigientes caracter;sticas9 a4 con!idencialidad9 se garanti:a %e la in!ormacin sea accesi(le slo a a%ellas personas atori:adas a tener acceso a ella$ (4 integridad9 se sal*agarda la e8actitd # totalidad de la in!ormacin # los m<todos de procesamiento$ c4 disponi(ilidad9 se garanti:a %e los sarios atori:ados tengan acceso a la in!ormacin # a los recrsos relacionados con ella toda *e: %e se re%iera$ )a segridad de la in!ormacin se logra implementando n conHnto adecado de controles+ %e a(arca pol;ticas+ prcticas+ procedimientos+ estrctras organi:acionales # !nciones del so!tIare$ Se de(en esta(lecer estos controles para garanti:ar %e se logren los o(Heti*os espec;!icos de segridad de la organi:acin$ !or .*+ e, nece,aria la ,eg*ridad de la informacin )a in!ormacin # los procesos+ sistemas # redes %e le (rindan apo#o constit#en importantes recrsos de la empresa$ )a con!idencialidad+ integridad # disponi(ilidad de la in!ormacin peden ser esenciales para mantener la *entaHa competiti*a+ el !lHo de !ondos+ la renta(ilidad+ el cmplimiento de las le#es # la imagen comercial$ )as organi:aciones # ss redes # sistemas de in!ormacin+ se en!rentan en !orma creciente con amena:as relati*as a la segridad+ de di*ersos or;genes+ incl#endo el !rade asistido por comptadora+ espionaHe+ sa(otaHe+ *andalismo+ incendio o inndacin$ 5aGos tales como los ata%es mediante *irs in!ormticos+ J"acKingJ # denegacin de ser*icio se "an *elto ms comnes+ am(iciosos # crecientemente so!isticados$ / Es%ema 1 I ,AM& 9 )a dependencia de las organi:aciones respecto de los sistemas # ser*icios de in!ormacin denota %e ellas son ms *lnera(les a las amena:as concernientes a segridad$ )a intercone8in de las redes p'(licas # pri*adas # el so compartido de los recrsos de in!ormacin incrementa la di!icltad de lograr el control de los accesos$ )a tendencia "acia el procesamiento distri(ido "a de(ilitado la e!icacia del control t<cnico centrali:ado$ Mc"os sistemas de in!ormacin no "an sido diseGados para ser segros$ )a segridad %e pede lograrse por medios t<cnicos es limitada # de(e ser respaldada por na gestin # procedimientos adecados$ )a identi!icacin de los controles %e de(en implementarse re%iere na cidadosa plani!icacin # atencin a todos los detalles$ )a administracin de la segridad de la in!ormacin+ e8ige+ como m;nimo+ la participacin de todos los empleados de la organi:acin$ 7am(i<n pede re%erir la participacin de pro*eedores+ clientes # accionistas$ Asimismo+ pede re%erirse el asesoramiento e8perto de organi:aciones e8ternas$ )os controles de segridad de la in!ormacin resltan considera(lemente ms econmicos # e!icaces si se incorporan en la etapa de especi!icacin de re%erimientos # diseGo$ Cmo e,0a1lecer lo, re.*erimien0o, de ,eg*ridad Es esencial %e na organi:acin identi!i%e ss re%erimientos de segridad$ E8isten tres recrsos principales para lograrlo$ El primer recrso consiste en e*alar los riesgos %e en!renta la organi:acin$ Mediante la e*alacin de riesgos se identi!ican las amena:as a los acti*os+ se e*al'an las *lnera(ilidades # pro(a(ilidades de ocrrencia+ # se estima el impacto potencial$ El segndo recrso est constitido por los re%isitos legales+ normati*os+ reglamentarios # contractales %e de(en cmplir la organi:acin+ ss socios comerciales+ los contratistas # los prestadores de ser*icios$ El tercer recrso es el conHnto espec;!ico de principios+ o(Heti*os # re%isitos para el procesamiento de la in!ormacin+ %e "a desarrollado la organi:acin para respaldar ss operaciones$ E2al*acin de lo, rie,go, en ma0eria de ,eg*ridad )os re%erimientos de segridad se identi!ican mediante na e*alacin metdica de los riesgos de segridad$ )as erogaciones deri*adas de la satis!accin de las necesidades de control de(en ser e%ili(radas con respecto al impacto potencial de las !allas de segridad en los negocios$ )as t<cnicas de e*alacin de riesgos peden aplicarse a toda la organi:acin+ o slo a partes de la misma+ as; como a los sistemas de in!ormacin indi*idales+ componentes de sistemas o ser*icios espec;!icos cando esto reslte !acti(le+ *ia(le # pro*ec"oso$ )a e*alacin de riesgos es na consideracin sistemtica de los sigientes pntosL a4 impacto potencial de na !alla de segridad en los negocios+ teniendo en centa las potenciales consecencias por na p<rdida de la con!idencialidad+ integridad o disponi(ilidad de la in!ormacin # otros recrsosL (4 pro(a(ilidad de ocrrencia de dic"a !alla tomando en centa las amena:as # *lnera(ilidades predominantes+ # los controles actalmente implementados$ )os resltados de esta e*alacin a#darn a orientar #a determinar las prioridades # acciones de gestin adecadas para la administracin de los riesgos concernientes a segridad de la in!ormacin+ # para la implementacin de los controles seleccionados a !in de (rindar proteccin contra dic"os riesgos$ 34 Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond -ede resltar necesario %e el proceso de e*alacin de riesgos # seleccin de controles de(a lle*arse aca(o en *arias ocasiones+ a !in de c(rir di!erentes partes de la organi:acin o sistemas de in!ormacin indi*idales$ Es importante lle*ar a ca(o re*isiones peridicas de los riesgos de segridad # de los controles implementados a !in de9 a4 re!leHar los cam(ios en los re%erimientos # prioridades de la empresaL (4 considerar ne*as amena:as # *lnera(ilidadesL c4 corro(orar %e los controles sigen siendo e!icaces # apropiados$ )as re*isiones de(en lle*arse a ca(o con di!erentes ni*eles de pro!ndidad seg'n los resltados de e*alaciones anteriores # los ni*eles *aria(les de riesgo %e la gerencia est dispesta a aceptar$ Arecentemente+ las e*alaciones de riesgos se reali:an primero en n ni*el alto+ a !in de priori:ar recrsos en reas de alto riesgo+ # posteriormente en n ni*el ms detallado+ con el o(Heto de a(ordar riesgos espec;!icos$ Seleccin de con0role, Una *e: identi!icados los re%erimientos de segridad+ de(en seleccionarse e implementarse controles para garanti:ar %e los riesgos sean redcidos a n ni*el acepta(le$ )os controles peden seleccionarse so(re la (ase de este docmento+ de otros estndares+ o peden diseGarse ne*os controles para satis!acer necesidades espec;!icas seg'n corresponda$ E8isten di*ersos modos de administrar riesgos # este docmento (rinda eHemplos de estrategias generales$ 6o o(stante+ es necesario reconocer %e algnos controles no son aplica(les a todos los sistemas o am(ientes de in!ormacin+ # podr;an no resltar *ia(les en todas las organi:aciones$ Como eHemplo+ el pnto 2$1$D descri(e cmo peden separarse las tareas para e*itar !rades # errores$ -odr;a no resltar posi(le para las organi:aciones ms pe%eGas separar todas las tareas+ pdiendo resltar necesarias otras !ormas de lograr el mismo o(Heti*o de control$ )os controles de(en seleccionarse teniendo en centa el costo de implementacin en relacin con los riesgos a redcir # las p<rdidas %e podr;an prodcirse de tener lgar na *iolacin de la segridad$ 7am(i<n de(en tenerse en centa los !actores no monetarios+ como el daGo en la reptacin$ Algnos controles de este docmento peden considerarse como principios rectores para la administracin de la segridad de la in!ormacin+ aplica(les a la ma#or;a de las organi:aciones$ Se e8plican con ma#or detalle en el sigiente prra!o+ (aHo el t;tlo de J-nto de partida para la segridad de la in!ormacinJ$ !*n0o de 5ar0ida 5ara la ,eg*ridad de la informacin Algnos controles peden considerarse como principios rectores %e proporcionan n (en pnto de partida para la implementacin de la segridad de la in!ormacin$ Estn (asados en re%isitos legales !ndamentales+ o (ien se consideran como prctica recomendada de so !recente concerniente a la segridad de la in!ormacin$ )os controles %e se consideran esenciales para na organi:acin+ desde el pnto de *ista legal comprenden9 a4 proteccin de datos # con!idencialidad de la in!ormacin personal 1*er 12$1$D4L (4 proteccin de registros # docmentos de la organi:acin 1*er 12$1$>4 L 33 Es%ema 1 I ,AM& 9 c4 derec"os de propiedad intelectal 1*er 12$1$24 L )os controles considerados como prctica recomendada de so !recente en la implementacin de la segridad de la in!ormacin comprenden9 a4 docmentacin de la pol;tica de segridad de la in!ormacin 1*er >$1$14L (4 asignacin de responsa(ilidades en materia de segridad de la in!ormacin 1*er D$1 $>4L c4 instrccin # entrenamiento en materia de segridad de la in!ormacin 1*er 0$2$14L d4 comnicacin de incidentes relati*os a la segridad 1*er 0$>$14L e4 administracin de la continidad de la empresa 1*er 11$1 4L Estos controles son aplica(les a la ma#or;a de las organi:aciones # en la ma#or;a de los am(ientes$ Se de(e o(ser*ar %e an%e todos los controles mencionados en este docmento son importantes+ la rele*ancia de cada no de ellos de(e ser determinada teniendo en centa los riesgos espec;!icos %e a!ronta la organi:acin$ -or ello+ si (ien el en!o%e delineado precedentemente se considera n (en pnto de partida+ <ste no pretende reempla:ar la seleccin de controles %e se reali:a so(re la (ase de na e*alacin de riesgos$ 6ac0ore, cr0ico, del +7i0o )a e8periencia "a demostrado %e los sigientes !actores+ a mendo resltan cr;ticos para la implementacin e8itosa de la segridad de la in!ormacin+ dentro de na organi:acin9 a4 pol;tica de segridad+ o(Heti*os # acti*idades %e re!leHen los o(Heti*os de la empresaL (4 na estrategia de implementacin de segridad %e sea consecente con la cltra organi:acionalL c4 apo#o # compromiso mani!iestos por parte de la gerenciaL d4 n claro entendimiento de los re%erimientos de segridad+ la e*alacin de riesgos # la administracin de los mismosL e4 comnicacin e!ica: de los temas de segridad a todos los gerentes # empleadosL !4 distri(cin de g;as so(re pol;ticas # estndares de segridad de la in!ormacin a todos los empleados # contratistasL g4 instrccin # entrenamiento adecadosL "4 n sistema integral # e%ili(rado de medicin %e se tilice para e*alar el desempeGo de la gestin de la segridad de la in!ormacin # para (rindar sgerencias tendientes a meHorarlo$ De,arrollo de lineamien0o, 5ro5io, Este cdigo de prctica pede ser considerado como n pnto de partida para el desarrollo de lineamientos espec;!icos+ aplica(les a cada organi:acin$ 6o todos los lineamientos # controles de este cdigo de prctica resltarn aplica(les$ Ms a'n+ es pro(a(le %e de(an agregarse controles %e no estn inclidos en este docmento$ Ante esta sitacin pede resltar 'til retener re!erencias cr:adas %e !aciliten la reali:acin de pre(as de cmplimiento por parte de aditores # socios$ 3 Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond 3 ALCANCE Esta parte del estndar (rinda recomendaciones para la gestin de la segridad de la in!ormacin %e "an de ser aplicadas por los responsa(les de iniciar+ implementar o mantener la segridad en ss organi:aciones$ S propsito es pro*eer de na (ase com'n para el desarrollo de estndares de segridad de la organi:acin # na prctica e!ecti*a de la administracin de la misma+ (rindando asimismo+ con!ian:a en las relaciones lle*adas a ca(o entre las organi:aciones$ T8RMINOS 9 DE6INICIONES A los e!ectos de este docmento se aplican las sigientes de!iniciones9 :3 Seg*ridad de la informacin )a preser*acin de la con!idencialidad+ integridad # disponi(ilidad de la in!ormacin$ Con!idencialidad9 garant;a de %e acceden a la in!ormacin+ slo a%ellas personas atori:adas a "acerlo$ Integridad9 mantenimiento de la e8actitd # totalidad de la in!ormacin # los m<todos de procesamiento$ 5isponi(ilidad9 garant;a de %e los sarios atori:ados tienen acceso a la in!ormacin # a los recrsos relacionados con la misma+ toda *e: %e lo re%ieran$ : E2al*acin de rie,go, )a e*alacin de las amena:as+ impactos # *lnera(ilidades relati*os a la in!ormacin # a las instalaciones de procesamiento de la misma+ # a la pro(a(ilidad de %e ocrran :" Admini,0racin de rie,go, El proceso de identi!icacin+ control # minimi:acin o eliminacin+ a n costo acepta(le+ de los riesgos de segridad %e podr;an a!ectar a los sistemas de in!ormacin$ " !OL#TICA DE SEGURIDAD ":3 !ol0ica de ,eg*ridad de la informacin O(Heti*o9 -roporcionar direccin # apo#o gerencial para (rindar segridad de la in!ormacin$ El ni*el gerencial de(e esta(lecer na direccin pol;tica clara # demostrar apo#o # compromiso con respecto a la segridad de la in!ormacin+ mediante la !ormlacin # mantenimiento de na pol;tica de segridad de la in!ormacin a tra*<s de toda la organi:acin$ 3" Es%ema 1 I ,AM& 9 ":3:3 Doc*men0acin de la 5ol0ica de ,eg*ridad de la informacin )os responsa(les del ni*el gerencial de(en apro(ar # p(licar n docmento %e contenga la pol;tica de segridad # comnicarlo a todos los empleados+ seg'n corresponda$ ?ste de(e poner de mani!iesto s compromiso # esta(lecer el en!o%e de la organi:acin con respecto a la gestin de la segridad de la in!ormacin$ Como m;nimo+ de(en inclirse las sigientes patas9 a4 de!inicin de la segridad de la in!ormacin+ ss o(Heti*os # alcance generales # la importancia de la segridad como n mecanismo %e permite la distri(cin de la in!ormacin 1*er introdccin4L (4 na declaracin del propsito de los responsa(les del ni*el gerencial+ apo#ando los o(Heti*os # principios de la segridad de la in!ormacinL c4 na (re*e e8plicacin de las pol;ticas+ principios+ normas # re%isitos de cmplimiento en materia de segridad+ %e son especialmente importantes para la organi:acin+ por eHemplo9 14 cmplimiento de re%isitos legales # contractalesL 24 re%isitos de instrccin en materia de segridadL >4 pre*encin # deteccin de *irs # dems so!tIare maliciosoL D4 administracin de la continidad comercialL .4 consecencias de las *iolaciones a la pol;tica de segridadL d4 na de!inicin de las responsa(ilidades generales # espec;!icas en materia de gestin de la segridad de la in!ormacin+ incl#endo la comnicacin de los incidentes relati*os a la segridadL e4 re!erencias a docmentos %e pedan respaldar la pol;tica+ por eH$ + pol;ticas # procedimientos de segridad ms detallados para sistemas de in!ormacin espec;!icos o normas de segridad %e de(en cmplir los sarios$ Esta pol;tica de(e ser comnicada a todos los sarios de la organi:acin de manera pertinente+ accesi(le # comprensi(le$ ":3: Re2i,in ; e2al*acin )a pol;tica de(e tener n propietario %e sea responsa(le del mantenimiento # re*isin de la misma de acerdo con n proceso de!inido$ Ese proceso de(e garanti:ar %e se lle*e aca(o na re*isin en respesta a cal%ier cam(io %e peda a!ectar la (ase original de e*alacin de riesgos+ por eH$+ incidentes de segridad signi!icati*os+ ne*as *lnera(ilidades o cam(ios en la in!raestrctra t<cnica o de la organi:acin$ 7am(i<n de(en programarse re*isiones peridicas de lo sigiente9 a4 la e!icacia de la pol;tica+ demostrada por la natrale:a+ n'mero e impacto de los incidentes de segridad registradosL (4 el costo e impacto de los controles en la e!iciencia del negocioL c4 los e!ectos de los cam(ios en la tecnolog;a$ 3$ Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond $ ORGANIZACIN DE LA SEGURIDAD $:3 Infrae,0r*c0*ra de ,eg*ridad de la informacin O(Heti*o9 Administrar la segridad de la in!ormacin dentro de la organi:acin$ 5e(e esta(lecerse n marco gerencial para iniciar # controlar la implementacin de la segridad de la in!ormacin dentro de la organi:acin$ 5e(en esta(lecerse adecados !oros de gestin liderados por ni*eles gerenciales+ a !in de apro(ar la pol;tica de segridad de la in!ormacin+ asignar !nciones de segridad # coordinar la implementacin de la segridad en toda la organi:acin$ Si reslta necesario+ se de(e esta(lecer # "acer accesi(le dentro de la organi:acin+ na !ente de asesoramiento especiali:ado en materia de segridad de la in!ormacin$ 5e(en desarrollarse contactos con especialistas e8ternos en materia de segridad para estar al corriente de las tendencias de la indstria+ monitorear estndares # m<todos de e*alacin # pro*eer pntos de enlace adecados al a!rontar incidentes de segridad$ Se de(e alentar la aplicacin de n en!o%e mltidisciplinario de la segridad de la in!ormacin+ por eH$+ comprometiendo la cooperacin # cola(oracin de gerentes+ sarios+ administradores+ diseGadores de aplicaciones+ aditores # personal de segridad+ # e8pertos en reas como segros # administracin de riesgos$ $:3:3 6oro gerencial ,o1re ,eg*ridad de la informacin )a segridad de la in!ormacin es na responsa(ilidad de la empresa compartida por todos los miem(ros del e%ipo gerencial$ -or consigiente+ de(e tenerse en centa la creacin de n !oro gerencial para garanti:ar %e e8iste na clara direccin # n apo#o mani!iesto de la gerencia a las iniciati*as de segridad$ Este !oro de(e promo*er la segridad dentro de la organi:acin mediante n adecado compromiso # na apropiada reasignacin de recrsos$ El !oro podr;a ser parte de n cerpo gerencial e8istente$ Ceneralmente+ n !oro de esta ;ndole comprende las sigientes acciones9 a4 re*isar # apro(ar la pol;tica # las responsa(ilidades generales en materia de segridad de la in!ormacinL (4 monitorear cam(ios signi!icati*os en la e8posicin de los recrsos de in!ormacin !rente a las amena:as ms importantesL c4 re*isar # monitorear los incidentes relati*os a la segridadL d4 apro(ar las principales iniciati*as para incrementar la segridad de la in!ormacin$ Un gerente de(e ser responsa(le de todas las acti*idades relacionadas con la segridad$ $:3: Coordinacin de la ,eg*ridad de la informacin En na gran organi:acin+ podr;a ser necesaria la creacin de n !oro ;nter !ncional %e comprenda representantes gerenciales de sectores rele*antes de la organi:acin para coordinar la implementacin de controles de segridad de la in!ormacin$ 6ormalmente+ dic"o !oro9 a4 acerda !nciones # responsa(ilidades espec;!icas relati*as a segridad de la in!ormacin para toda la organi:acinL (4 acerda metodolog;as # procesos espec;!icos relati*os a segridad de la in!ormacin+ por eH$+ e*alacin de riesgos+ sistema de clasi!icacin de segridadL 3% Es%ema 1 I ,AM& 9 c4 acerda # (rinda apo#o a las iniciati*as de segridad de la in!ormacin de toda la organi:acin+ por eH$ programa de concienti:acin en materia de segridadL d4 garanti:a %e la segridad sea parte del proceso de plani!icacin de la in!ormacinL e4 e*al'a la pertinencia # coordina la implementacin de controles espec;!icos de segridad de la in!ormacin para ne*os sistemas o ser*iciosL !4 re*isa incidentes relati*os a la segridad de la in!ormacinL g4 prome*e la di!sin del apo#o de la empresa a la segridad de la in!ormacin dentro de la organi:acin$ $:3:" A,ignacin de re,5on,a1ilidade, en ma0eria de ,eg*ridad de la informacin 5e(en de!inirse claramente las responsa(ilidades para la proteccin de cada no de los recrsos # por la implementacin de procesos espec;!icos de segridad$ )a pol;tica de segridad de la in!ormacin 1*er pnto >4 de(e sministrar na orientacin general acerca de la asignacin de !nciones de segridad # responsa(ilidades dentro la organi:acin$ Esto de(e complementarse+ cando corresponda+ con na g;a ms detallada para sitios+ sistemas o ser*icios espec;!icos$ 5e(en de!inirse claramente las responsa(ilidades locales para cada no de los procesos de segridad # recrsos !;sicos # de in!ormacin+ como la plani!icacin de la continidad de los negocios$ En mc"as organi:aciones+ se asigna a n gerente de segridad de la in!ormacin la responsa(ilidad general por el desarrollo e implementacin de la segridad # por el soporte a la identi!icacin de controles$ 6o o(stante+ la responsa(ilidad por la reasignacin e implementacin de controles a mendo es retenida por cada no de los gerentes$ Una prctica com'n es designar a n propietario para cada recrso de in!ormacin %e adems se "aga responsa(le de s segridad de manera permanente$ )os propietarios de los recrsos de in!ormacin peden delegar ss responsa(ilidades de segridad a cada no de los gerentes o pro*eedores de ser*icios$ 6o o(stante+ el propietario es en 'ltimo t<rmino responsa(le de la segridad del recrso # de(e estar en capacidad de determinar si las responsa(ilidades delegadas !eron cmplimentadas correctamente$ Es esencial %e se esta(le:can claramente las reas so(re las cales es responsa(le cada gerenteL en particlar se de(e cmplir lo sigiente$ a4 5e(en identi!icarse # de!inirse claramente los di*ersos recrsos # procesos de segridad relacionados con cada no de los sistemas$ (4 Se de(e designar al gerente responsa(le de cada recrso o proceso de segridad # se de(en docmentar los detalles de esta responsa(ilidad$ c4 )os ni*eles de atori:acin de(en ser claramente de!inidos # docmentados$ $:3:$ !roce,o de a*0ori<acin 5ara in,0alacione, de 5roce,amien0o de informacin 5e(e esta(lecerse n proceso de atori:acin gerencial para ne*as instalaciones de procesamiento de in!ormacin$ 5e(e considerarse lo sigiente$ a4 )as ne*as instalaciones de(en ser adecadamente apro(adas por la gerencia saria+ atori:ando s propsito # so$ )a apro(acin tam(i<n de(e o(tenerse del gerente responsa(le del mantenimiento del am(iente de segridad del sistema de in!ormacin local+ a !in de garanti:ar %e se cmplen todas las pol;ticas # re%erimientos de segridad pertinentes$ 3& Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond (4 Cando corresponda+ de(e *eri!icarse el "ardIare # so!tIare para garanti:ar %e son compati(les con los componentes de otros sistemas$ No0a= -ede ser necesaria la compro(acin de categor;as para ciertas cone8iones$ c4 5e(en ser atori:ados el so de las instalaciones personales de procesamiento de in!ormacin+ para el procesamiento de in!ormacin de la empresa+ # los controles necesarios$ d4 El so de instalaciones personales de procesamiento de in!ormacin en el lgar de tra(aHo pede ocasionar ne*as *lnera(ilidades # en consecencia de(e ser e*alado # atori:ado$ Estos controles son especialmente importantes en n am(iente de red$ $:3:% A,e,oramien0o e,5eciali<ado en ma0eria de ,eg*ridad de la informacin Es pro(a(le %e mc"as organi:aciones re%ieran asesoramiento especiali:ado en materia de segridad$ Idealmente+ <ste de(e ser pro*isto por n asesor interno e8perimentado en segridad de la in!ormacin$ 6o todas las organi:aciones desean emplear an asesor especiali:ado$ En esos casos+ se recomienda %e se identi!i%e a na persona determinada para coordinar los conocimientos # e8periencias disponi(les en la organi:acin a !in de garanti:ar co"erencia+ # (rindar a#da para la toma de decisiones en materia de segridad$ 7am(i<n de(e tener acceso a cali!icados asesores e8ternos para (rindar asesoramiento especiali:ado ms all de s propia e8periencia$ )os asesores en segridad de la in!ormacin o pntos de contacto e%i*alentes sern los encargados de (rindar asesoramiento acerca de todos los aspectos de la segridad de la in!ormacin+ tili:ando ss propias recomendaciones o las e8ternas$ )a calidad de s e*alacin de las amena:as a la segridad # de s asesoramiento en materia de controles determinar la e!icacia de la segridad de la in!ormacin de la organi:acin$ -ara lograr la m8ima e!icacia e impacto se les de(e permitir acceso directo a los ni*eles gerenciales de toda la organi:acin$ El asesor de segridad de la in!ormacin o cargo e%i*alente de(e ser consltado lo ms tempranamente posi(le a partir de la deteccin de n spesto incidente o *iolacin de la segridad+ a !in de sministrar na !ente de conocimientos o recrsos de in*estigacin e8pertos$ Si (ien la ma#or;a de las in*estigaciones de segridad internas se lle*an a ca(o (aHo el control de la gerencia+ el asesor de segridad de la in!ormacin pede ser posteriormente con*ocado para asesorar+ liderar o dirigir la in*estigacin$ $:3:& Coo5eracin en0re organi<acione, Se de(en mantener adecados contactos con atoridades policiales o de segridad+ organismos regladores+ pro*eedores de ser*icios de in!ormacin # operadores de telecomnicaciones+ a !in de garanti:ar %e+ en caso de prodcirse n incidente relati*o a la segridad+ pedan tomarse las medidas adecadas # o(tenerse asesoramiento con prontitd$ 5el mismo modo+ se de(e tener en centa a los miem(ros de grpos de segridad # !oros de la indstria$ Se de(en limitar los intercam(ios de in!ormacin de segridad+ para garanti:ar %e no se di*lge in!ormacin con!idencial+ perteneciente a organi:acin+ entre personas no atori:adas$ $:3:' Re2i,in inde5endien0e de la ,eg*ridad de la informacin El docmento %e !iHa la pol;tica de segridad de la in!ormacin 1*er >$1$14 esta(lece la pol;tica # las responsa(ilidades por la segridad de la in!ormacin$ S implementacin de(e ser re*isada independientemente para garanti:ar %e las prcticas de la organi:acin re!leHan adecadamente la pol;tica+ # %e <sta es *ia(le # e!ica: 1*er 12$2$4 3' Es%ema 1 I ,AM& 9 5ic"a re*isin pede ser lle*ada a ca(o por la !ncin de aditor;a interna+ por n gerente independiente o na organi:acin e8terna especiali:ados en re*isiones de esta ;ndole+ seg'n estos candidatos tengan la e8periencia # capacidad adecada$ $: Seg*ridad fren0e al acce,o 5or 5ar0e de 0ercero, O(Heti*o9 Mantener la segridad de las instalaciones de procesamiento de in!ormacin # de los recrsos de in!ormacin de la organi:acin a los %e acceden terceras partes$ El acceso a las instalaciones de procesamiento de in!ormacin de la organi:acin por parte de terceros de(e ser controlado$ Cando e8iste na necesidad de la empresa para permitir dic"o acceso+ de(e lle*arse a ca(o na e*alacin de riesgos para determinar las incidencias en la segridad # los re%erimientos de control$ )os controles de(en ser acordados # de!inidos en n contrato con la tercera parte$ El acceso de terceros tam(i<n pede in*olcrar otros participantes$ )os contratos %e con!ieren acceso a terceros de(en inclir n permiso para la designacin de otros participantes capacitados # las condiciones para s acceso$ Este estndar pede tili:arse como (ase para tales contratos # cando se considere la terceri:acin del procesamiento de in!ormacin$ $::3 Iden0ificacin de rie,go, del acce,o de 0ercera, 5ar0e, $::3:3 Ti5o, de acce,o El tipo de acceso otorgado a terceras partes es de especial importancia$ -or eHemplo+ los riesgos de acceso a tra*<s de na cone8in de red son di!erentes de los riesgos relati*os al acceso !;sico$ )os tipos de acceso %e de(en tenerse en centa son9 a4 acceso !;sico+ por eH$+ a o!icinas+ salas de cmptos+ armarios L (4 acceso lgico+ por eH$ a las (ases de datos # sistemas de in!ormacin de la organi:acin$ $::3: Ra<one, 5ara el acce,o -ede otorgarse acceso a terceros por di*ersas ra:ones$ -or eHemplo+ e8isten terceros %e pro*een ser*icios a na organi:acin # no estn (icados dentro de la misma pero se les pede otorgar acceso !;sico # lgico+ tales como9 a4 personal de soporte de "ardIare # so!tIare+ %ienes necesitan acceso a ni*el de sistema o a !nciones de las aplicacionesL (4 socios comerciales o socios con riesgos compartidos 1JHoint *entresJ4+ %ienes peden intercam(iar in!ormacin+ acceder a sistemas de in!ormacin o compartir (ases de datos$ )a in!ormacin pede ponerse en riesgo si el acceso de terceros se prodce en el marco de na inadecada administracin de la segridad$ Cando e8iste na necesidad de negocios %e in*olcran na cone8in con n sitio e8terno+ de(e lle*arse a ca(o na e*alacin de riesgos para identi!icar los re%erimientos de controles espec;!icos$ ?sta de(e tener en centa el tipo de acceso re%erido+ el *alor de la in!ormacin+ los controles empleados por la tercera parte # la incidencia de este acceso en la segridad de la in!ormacin de la organi:acin$ 3( Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond $::3:" Con0ra0i,0a, in ,i0* )as terceras partes %e sean (icadas in sit por n per;odo de tiempo determinado seg'n contrato+ tam(i<n peden originar de(ilidades en materia de segridad$ Entre los eHemplos de terceras partes in sit se enmeran los sigientes9 a4 personal de mantenimiento # soporte de "ardIare # so!tIareL (4 limpie:a+ JcateringJ+ gardia de segridad # otros ser*icios de soporte terceri:adosL c4 pasant;as de estdiantes # otras designaciones contingentes de corto pla:oL d4 consltores$ Es esencial determinar %< controles son necesarios para administrar el acceso de terceras partes a las instalaciones de procesamiento de in!ormacin$ En general+ todos los re%erimientos de segridad %e resltan de los controles internos o del acceso de terceros+ de(en estar re!leHados en los contratos cele(rados con los mismos 1*er tam(i<n D$2$24$ -or eHemplo+ si e8iste na necesidad espec;!ica de con!idencialidad de la in!ormacin+ podr;an implementarse acerdos de no&di*lgacin 1*er 0$1$>4$ 6o se de(e otorgar a terceros acceso a la in!ormacin ni a las instalaciones de procesamiento de la misma "asta tanto se "a#an implementado los controles apropiados # se "a#a !irmado n contrato %e de!ina las condiciones para la cone8in o el acceso$ $:: Re.*erimien0o, de ,eg*ridad en con0ra0o, con 0ercero, )as disposiciones %e contemplan el acceso de terceros a las instalaciones de procesamiento de in!ormacin de la organi:acin de(en estar (asadas en n contrato !ormal %e contenga todos los re%erimientos de segridad+ o "aga re!erencia a los mismos+ a !in de asegrar el cmplimiento de las pol;ticas # estndares 1normas4 de segridad de la organi:acin$ El contrato de(e garanti:ar %e no srHan malentendidos entre la organi:acin # el pro*eedor$ )as organi:aciones de(en estar satis!ec"as con las garant;as de s pro*eedor$ Se de(en considerar las sigientes clslas para s inclsin en el contrato9 a4 la pol;tica general de segridad de la in!ormacinL (4 la proteccin de acti*os+ con inclsin de9 14 procedimientos de proteccin de los acti*os de la organi:acin+ incl#endo in!ormacin # so!tIareL 24 procedimientos para determinar si se "an comprometido los acti*os+ por eH$+ de(ido a p<rdida o modi!icacin de datosL >4 controles para garanti:ar la recperacin o destrccin de la in!ormacin # los acti*os al !inali:ar el contrato+ o en n momento con*enido drante la *igencia del mismoL D4 integridad # disponi(ilidadL .4 restricciones a la copia # di*lgacin de in!ormacinL c4 na descripcin de cada ser*icio del %e podr disponerseL d4 el ni*el de ser*icio al %e se aspira # los ni*eles de ser*icio %e se consideran inacepta(lesL e4 disposicin %e contemple la trans!erencia de personal cando correspondaL !4 las respecti*as o(ligaciones de las partes con relacin al acerdoL g4 responsa(ilidades con respecto a asntos legales+ por eH$+ legislacin re!erida a proteccin de datos+ especialmente teniendo en centa di!erentes sistemas legales nacionales si el contrato contempla la cooperacin con organi:aciones de otros pa;ses 1*er tam(i<n 12$14L 3/ Es%ema 1 I ,AM& 9 "4 derec"os de propiedad intelectal # asignacin de derec"o de propiedad intelectal 1*er 12$1$24+ # proteccin de tra(aHos reali:ados en cola(oracin 1*er tam(i<n 0$1$>4 L i4 acerdos de control de accesos %e contemplen9 14 los m<todos de acceso permitidos+ # el control # so de identi!icadores 'nicos como I5s # contraseGas de sariosL 24 n proceso de atori:acin de acceso # pri*ilegios de sariosL >4 n re%erimiento para mantener actali:ada na lista de indi*idos atori:ados a tili:ar los ser*icios %e "an de implementarse # ss derec"os # pri*ilegios con respecto a dic"o soL H4 la de!inicin de criterios de desempeGo compro(a(les+ # el monitoreo # presentacin de in!ormes respecto de los mismosL K4 el derec"o a monitorear+ # re*ocar 1impedir4+ la acti*idad del sarioL l4 el derec"o a aditar responsa(ilidades contractales o a contratar a n tercero para la reali:acin de dic"as aditor;asL m4 el esta(lecimiento de n proceso gradal para la resolcin de pro(lemasL tam(i<n de(en considerarse+ si corresponde+ disposiciones con relacin a sitaciones de contingenciaL n4 responsa(ilidades relati*as a la instalacin # el mantenimiento de "ardIare # so!tIareL o4 na clara estrctra de dependencia # del proceso de ela(oracin # presentacin de in!ormes %e contemple n acerdo con respecto a los !ormatos de los mismosL p4 n proceso claro # detallado de administracin de cam(iosL %4 los controles de proteccin !;sica re%eridos # los mecanismos %e asegren la implementacin de los mismosL r4 los m<todos # procedimientos de entrenamiento de sarios # administradores en materia de segridadL s4 los controles %e garanticen la proteccin contra so!tIare malicioso 1*er 2$>4L t4 las disposiciones con respecto a ela(oracin # presentacin de in!ormes+ noti!icacin e in*estigacin de incidentes # *iolaciones relati*os a la segridadL 4 la relacin entre pro*eedores # s(contratistas$ $:" Terceri<acin O(Heti*o9 Mantener la segridad de la in!ormacin cando la responsa(ilidad por el procesamiento de la misma !e delegada a otra organi:acin$ )os acerdos de terceri:acin de(en contemplar los riesgos+ los controles de segridad # los procedimientos para sistemas de in!ormacin+ redes #/o am(ientes de -C 1desK top en*ironments4 en el contrato entre las partes$ $:":3 Re.*erimien0o, de ,eg*ridad en con0ra0o, de 0erceri<acin )os re%erimientos de segridad de na organi:acin %e terceri:a la administracin # el control de todos ss sistemas de in!ormacin+ redes #/o am(ientes de -C+ o de parte de los mismos+ de(en ser contemplados en n contrato cele(rado entre las partes$ Entre otros ;tems+ el contrato de(e contemplar9 a4 cmo se cmplirn los re%isitos legales+ por eH$+ la legislacin so(re proteccin de datosL (4 %< disposiciones se implementarn para garanti:ar %e todas las partes in*olcradas en la terceri:acin+ incl#endo los s(contratistas+ estarn al corriente de ss responsa(ilidades en materia de segridadL c4 cmo se mantendr # compro(ar la integridad # con!idencialidad de los $acti*os de negocio de la organi:acin L 4 Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond d4 %< controles !;sicos # lgicos se tili:arn para restringir # delimitar el acceso de los sarios atori:ados a la in!ormacin sensi(le de la organi:acinL e4 cmo se mantendr la disponi(ilidad de los ser*icios ante la ocrrencia de desastresL !4 %< ni*eles de segridad !;sica se asignarn al e%ipamiento terceri:adoL g4 el derec"o a la aditor;a$ Asimismo+ se de(en tener en centa las clslas enmeradas en el pnto D$2$2 como parte de este contrato$ El mismo de(e permitir la ampliacin de los re%erimientos # procedimientos de segridad en n plan de administracin de la segridad a ser acordado entre las partes$ Si (ien los contratos de terceri:acin peden plantear algnas cestiones compleHas en materia de segridad+ los controles inclidos en este cdigo de prctica peden ser*ir como pnto de partida para acordar la estrctra # el contenido del plan de gestin de la segridad$ % CLASI6ICACIN 9 CONTROL DE ACTI>OS %:3 Re,5on,a1ilidad 5or rendicin de c*en0a, de lo, ac0i2o, O(Heti*o9 Mantener na adecada proteccin de los acti*os de la organi:acin$ Se de(e rendir centas por todos los recrsos de in!ormacin importantes # se de(e designar n propietario para cada no de ellos$ )a rendicin de centas por los acti*os a#da a garanti:ar %e se mantenga na adecada proteccin$ Se de(en identi!icar a los propietarios para todos los acti*os importantes # se de(e asignarse la responsa(ilidad por el mantenimiento de los controles apropiados$ )a responsa(ilidad por la implementacin de los controles pede ser delegada$ En 'ltimo t<rmino+ el propietario designado del acti*o de(e rendir centas por el mismo$ %:3:3 In2en0ario de ac0i2o, )os in*entarios de acti*os a#dan a garanti:ar la *igencia de na proteccin e!ica: de los recrsos+ # tam(i<n peden ser necesarios para otros propsitos de la empresa+ como los relacionados con sanidad # segridad+ segros o !inan:as 1administracin de recrsos4$ El proceso de compilacin de n in*entario de acti*os es n aspecto importante de la administracin de riesgos$ Una organi:acin de(e contar con la capacidad de identi!icar ss acti*os # el *alor relati*o e importancia de los mismos$ So(re la (ase de esta in!ormacin+ la organi:acin pede entonces+M asignar ni*eles de proteccin proporcionales al *alor e importancia de los acti*os$ + Se de(e ela(orar # mantener n in*entario de los acti*os importantes asociados a cada sistema de in!ormacin$ Cada acti*o de(e ser claramente identi!icado # s propietario # clasi!icacin en canto a segridad 1*er .$24 de(en ser acordados # docmentados+ Hnto con la (icacin *igente del mismo 1importante cando se emprende na recperacin posterior a na p<rdida o daGo4$ EHemplos de acti*os asociados a sistemas de in!ormacin son los sigientes9
a4 recrsos de in!ormacin9 (ases de datos # arc"i*os+ docmentacin de sistemas+ manales de sario+ material de capacitacin+ procedimientos operati*os o de soporte+ planes de continidad+ disposiciones relati*as a sistemas de emergencia para la reposicin de in!ormacin perdida 1J!all(acKJ4+ in!ormacin arc"i*adaL 3 Es%ema 1 I ,AM& 9 (4 recrsos de so!tIare9 so!tIare de aplicaciones+ so!tIare de sistemas+ "erramientas de desarrollo # tilitariosL c4 acti*os !;sicos9 e%ipamiento in!ormtico 1procesadores+ monitores+ comptadoras porttiles+ mdems4+ e%ipos de comnicaciones 1roters+ -A3Ns+ m%inas de !a8+ contestadores atomticos4+ medios magn<ticos 1cintas # discos4+ otros e%ipos t<cnicos 1sministro de electricidad+ nidades de aire acondicionado4+ mo(iliario+ lgares de empla:amiento L d4 ser*icios9 ser*icios in!ormticos # de comnicaciones+ tilitarios generales+ por eH$+ cale!accin+ ilminacin+ energ;a el<ctrica+ aire acondicionado$ %: Cla,ificacin de la informacin O(Heti*o9 Caranti:ar %e los recrsos de in!ormacin reci(an n apropiado ni*el de proteccin$ )a in!ormacin de(e ser clasi!icada para seGalar la necesidad+ la prioridades # el grado de proteccin$ )a in!ormacin tiene di*ersos grados de sensi(ilidad # criticidad$ Algnos ;tems peden re%erir n ni*el de proteccin adicional o n tratamiento especial$ Se de(e tili:ar n sistema de clasi!icacin de la in!ormacin para de!inir n conHnto apropiado de ni*eles de proteccin # comnicar la necesidad de medidas de tratamiento especial$ %::3 !a*0a, de cla,ificacin )as clasi!icaciones # controles de proteccin asociados de la in!ormacin+ de(en tomar centa de las necesidades de la empresa con respecto a la distri(cin 1so compartido4 o restriccin de la in!ormacin+ # de la incidencia de dic"as necesidades en las acti*idades de la organi:acin+ por eH$ acceso no atori:ado o daGo ala in!ormacin$ En general+ la clasi!icacin asignada a la in!ormacin es na !orma sencilla de seGalar cmo "a de ser tratada # protegida$ )a in!ormacin # las salidas de los sistemas %e administran datos clasi!icados de(en ser rotladas seg'n s *alor # grado de sensi(ilidad para la organi:acin$ Asimismo+ podr;a resltar con*eniente rotlar la in!ormacin seg'n s grado de criticidad+ por eH$ en t<rminos de integridad # disponi(ilidad$ Arecentemente+ la in!ormacin deHa de ser sensi(le o cr;tica desp<s de n cierto per;odo de tiempo+ *er(igracia+ cando la in!ormacin se "a "ec"o p'(lica$ Estos aspectos de(en tenerse en centa+ pesto %e la clasi!icacin por e8ceso 1Jo*er& classi!icationJ4 pede tradcirse en gastos adicionales innecesarios para la organi:acin$ )as patas de clasi!icacin de(en pre*er # contemplar el "ec"o de %e la clasi!icacin de n ;tem de in!ormacin determinado no necesariamente+ de(e mantenerse in*aria(le por siempre+ # %e <sta pede cam(iar de acerdo con na pol;tica predeterminada 1*er 9$14$ Se de(e considerar el n'mero de categor;as de clasi!icacin # los (ene!icios %e se o(tendrn con s so$ )os es%emas demasiado compleHos peden tornarse engorrosos # antieconmicos o resltar poco prcticos$ 5e(en interpretarse cidadosamente los rtlos de clasi!icacin de los docmentos de otras organi:aciones %e podr;an tener distintas de!iniciones para rtlos igales o similares$ )a responsa(ilidad por la de!inicin de la clasi!icacin de n ;tem de in!ormacin+ por eH$+ n docmento+ registro de datos+ arc"i*o de datos o dis%ete+ # por la re*isin peridica de dic"a clasi!icacin+ de(e ser asignada al creador o propietario designado de la in!ormacin$ %:: Ro0*lado ; mane?o de la informacin Es importante %e se de!ina n conHnto de procedimientos adecados para el rotlado # maneHo de la in!ormacin+ seg'n el es%ema de clasi!icacin adoptado por la organi:acin$ Estos procedimientos de(en inclir los recrsos de in!ormacin en !ormatos !;sicos # electrnicos$ -ara
Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond
cada clasi!icacin+ se de(en de!inir procedimientos de maneHo %e incl#an los sigientes tipos de acti*idades de procesamiento de la in!ormacin9 a4 copiaL (4 almacenamientoL c4 transmisin por correo+ !a8 # correo electrnicoL d4 transmisin oral+ incl#endo tele!on;a m*il+ correo de *o:+ contestadores atomticosL & SEGURIDAD DEL !ERSONAL &:3 Seg*ridad en la definicin de 5*e,0o, de 0ra1a?o ; la a,ignacin de rec*r,o, O(Heti*o 9 ,edcir los riesgos de error "mano+ ro(o+ !rade o so inadecado de instalaciones$ )as responsa(ilidades en materia de segridad de(en ser e8plicitadas en la etapa de recltamiento+ inclidas en los contratos # monitoreadas drante el desempeGo del indi*ido como empleado$ )os candidatos a ocpar los pestos de tra(aHo de(en ser adecadamente seleccionados 1*er 0$1$24+ especialmente si se trata de tareas cr;ticas$ 7odos los empleados # sarios e8ternos de las instalaciones de procesamiento de in!ormacin de(en !irmar n acerdo de con!idencialidad 1no re*elacin4$ &:3:3 Incl*,in de la ,eg*ridad en la, re,5on,a1ilidade, de lo, 5*e,0o, de 0ra1a?o )as !nciones # responsa(ilidades en materia de segridad+ seg'n consta en la pol;tica de segridad de la in!ormacin de la organi:acin 1*er >$14+ de(en ser docmentadas seg'n corresponda$ ?stas de(en inclir las responsa(ilidades generales por la implementacin o el mantenimiento de la pol;tica de segridad+ as; como las responsa(ilidades espec;!icas por la proteccin de cada no de los acti*os+ o por la eHeccin de procesos o acti*idades de segridad espec;!icos$ &:3: Seleccin ; 5ol0ica de 5er,onal Se de(en lle*ar a ca(o controles de *eri!icacin del personal permanente en el momento en %e se solicita el pesto$ ?stos de(en inclir los sigientes9 a4 disponi(ilidad de certi!icados de (ena condcta satis!actorios+ por eH$ no la(oral # no personal (4 na compro(acin 1de integridad # *eracidad4 del crriclm *itae del aspirante c4 constatacin de las aptitdes acad<micas # pro!esionales alegadas d4 *eri!icacin de la identidad 1pasaporte o docmento similar4$ Cando n pesto+ por asignacin inicial o por promocin+ in*olcra a na persona %e tiene acceso a las instalaciones de procesamiento de in!ormacin+ # en particlar si <stas maneHan in!ormacin sensi(le+ por eH$ in!ormacin !inanciera o altamente con!idencial+ la organi:acin tam(i<n de(e lle*ar a ca(o na *eri!icacin de cr<dito$ En el caso del personal con posiciones de Herar%;a considera(le+ esta *eri!icacin de(e repetirse peridicamente$ Un proceso de seleccin similar de(e lle*arse a ca(o con contratistas # personal temporario$ Cando <ste es pro*isto a tra*<s de na agencia+ el contrato cele(rado con la misma de(e especi!icar claramente las responsa(ilidades de la agencia por la seleccin # los procedimientos de noti!icacin %e <sta de(e segir si la seleccin no "a sido e!ectada o si los resltados originan ddas o in%ietdes$ " Es%ema 1 I ,AM& 9 )a gerencia de(e e*alar la sper*isin re%erida para personal ne*o e ine8perto con atori:acin para acceder a sistemas sensi(les$ El tra(aHo de todo el personal de(e estar sHeto a re*isin peridica # a procedimientos de apro(acin por parte de n miem(ro del personal con ma#or Herar%;a$ )os gerentes de(en estar al corriente de %e las circnstancias personales de ss empleados peden a!ectar s tra(aHo$ )os pro(lemas personales o !inancieros+ los cam(ios en s condcta o estilo de *ida+ las asencias recrrentes # la e*idencia de stress o depresin peden condcir a !rades+ ro(os+ errores otras implicaciones %e a!ecten la segridad$ Esta in!ormacin de(e maneHarse de acerdo con la legislacin pertinente %e riHa en la Hrisdiccin del caso$ &:3:" Ac*erdo, de confidencialidad )os acerdos de con!idencialidad o no di*lgacin se tili:an para reseGar %e la in!ormacin es con!idencial o secreta$ )os empleados de(en !irmar "a(italmente n acerdo de esta ;ndole como parte de ss t<rminos # condiciones iniciales de empleo$ El personal ocasional # los sarios e8ternos a'n no contemplados en n contrato !ormali:ado 1%e contenga el acerdo de con!idencialidad4 de(ern !irmar el acerdo mencionado antes de %e se les otorge acceso a las instalaciones de procesamiento de in!ormacin$ )os acerdos de con!idencialidad de(en ser re*isados cando se prodcen cam(ios en los t<rminos # condiciones de empleo o del contrato+ en particlar cando el empleado est pr8imo a des*inclarse de la organi:acin o el pla:o del contrato est por !inali:ar$ &:3:$ T+rmino, ; condicione, de em5leo )os t<rminos # condiciones de empleo de(en esta(lecer la responsa(ilidad del empleado por la segridad de la in!ormacin$ Cando corresponda+ estas responsa(ilidades de(en continar por n per;odo de!inido na *e: !inali:ada la relacin la(oral$ Se de(en especi!icar las acciones %e se emprendern si el empleado "ace caso omiso de los re%erimientos de segridad$ )as responsa(ilidades # derec"os legales del empleado+ por eH$ en relacin con las le#es de derec"o de propiedad intelectal o la legislacin de proteccin de datos+ de(en ser clari!icados e inclidos en los t<rminos # condiciones de empleo$ 7am(i<n se de(e inclir la responsa(ilidad por la clasi!icacin # administracin de los datos del empleador$ Cando corresponda+ los t<rminos # condiciones de empleo de(en esta(lecer %e estas responsa(ilidades se e8tienden ms all de los l;mites de la sede de la organi:acin # del "orario normal de tra(aHo+ por eH$ cando el empleado desempeGa tareas en s domicilio 1*er tam(i<n 7$2$. # 9$2$14$ &: Ca5aci0acin del *,*ario O(Heti*o 9 Caranti:ar %e los sarios estn al corriente de las amena:as e incm(encias en materia de segridad de la in!ormacin+ # estn capacitados para respaldar la pol;tica de segridad de la organi:acin en el transcrso de ss tareas normales$ )os sarios de(en ser capacitados en relacin con los procedimientos de segridad # el correcto so de las instalaciones de procesamiento de in!ormacin+ a !in de minimi:ar e*entales riesgos de segridad$ $ Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond &::3 6ormacin ; ca5aci0acin en ma0eria de ,eg*ridad de la informacin 7odos los empleados de la organi:acin #+ cando sea pertinente+ los sarios e8ternos+ de(en reci(ir na adecada capacitacin # actali:aciones peridicas en materia de pol;ticas # procedimientos de la organi:acin$ Esto comprende los re%erimientos de segridad+ las responsa(ilidades legales # controles del negocio+ as; como la capacitacin re!erida al so correcto de las instalaciones de procesamiento de in!ormacin+ por eH$ el procedimiento de entrada al sistema 1Jlog&onJ4 # el so de pa%etes de so!tIare+ antes de %e se les otorge acceso a la in!ormacin o a los ser*icios$ &:" Re,5*e,0a a inciden0e, ; anomala, en ma0eria de ,eg*ridad O(Heti*o 9 Minimi:ar el daGo prodcido por incidentes # anomal;as en materia de segridad+ # monitorear dic"os incidentes # aprender de los mismos$ )os incidentes %e a!ectan la segridad de(en ser comnicados mediante canales gerenciales adecados tan pronto como sea posi(le$ Se de(e concienti:ar a todos los empleados # contratistas acerca de los procedimientos de comnicacin de los di!erentes tipos de incidentes 1*iolaciones+ amena:as+ de(ilidades o anomal;as en materia de segridad4 %e podr;an prodcir n impacto en la segridad de los acti*os de la organi:acin$ Se de(e re%erir %e los mismos comni%en cal%ier incidente ad*ertido o spesto al pnto de contacto designado tan pronto como sea posi(le$ )a organi:acin de(e esta(lecer n proceso disciplinario !ormal para ocparse de los empleados %e perpetren *iolaciones de la segridad$ -ara lograr a(ordar de(idamente los incidentes podr;a ser necesario recolectar e*idencia tan pronto como sea posi(le na *e: ocrrido el "ec"o 1*er 12$1$74$ &:":3 Com*nicacin de inciden0e, rela0i2o, a la ,eg*ridad )os incidentes relati*os a la segridad de(en comnicarse a tra*<s de canales gerenciales apropiados tan pronto como sea posi(le$ Se de(e esta(lecer n procedimiento !ormal de comnicacin+ Hnto con n procedimiento de respesta a incidentes+ %e esta(le:ca la accin %e "a de emprenderse al reci(ir n in!orme so(re incidentes$ 7odos los empleados # contratistas de(en estar al corriente del procedimiento de comnicacin de incidentes de segridad+ # de(en in!ormar de los mismos tan pronto como sea posi(le$ 5e(ern implementarse adecados procesos de J!eed(acKJ para garanti:ar %e las personas %e comnican los incidentes sean noti!icadas de los resltados na *e: tratados # reseltos los mismos$ Estos incidentes peden ser tili:ados drante la capacitacin a !in de crear conciencia de segridad en el sario 1*er 0$24 como eHemplos de lo %e pede ocrrir+ de cmo responder a dic"os incidentes # de cmo e*itarlos en el !tro 1*er tam(i<n 12$1$74$ &:": Com*nicacin de de1ilidade, en ma0eria de ,eg*ridad )os sarios de ser*icios de in!ormacin de(en ad*ertir+ registrar # comnicar las de(ilidades o amena:as spestas o(ser*adas en materia de segridad+ con relacin a los sistemas o ser*icios$ 5e(ern comnicar estos asntos a s gerencia+ o directamente a s pro*eedor de ser*icios+ tan pronto como sea posi(le$ Se de(e in!ormar a los sarios %e ellos no de(en+ (aHo ningna circnstancia+ intentar pro(ar na spesta de(ilidad$ Esto se lle*a a ca(o para s propia proteccin+ de(ido a %e el intentar pro(ar de(ilidades pede ser interpretado como n potencial mal maneHo del sistema$ % Es%ema 1 I ,AM& 9 &:":" Com*nicacin de anomala, del ,of0@are Se de(en esta(lecer procedimientos para la comnicacin de anomal;as del so!tIare$ Se de(en considerar las sigientes acciones9 a4 5e(en ad*ertirse # registrarse los s;ntomas del pro(lema # los mensaHes %e aparecen en pantalla$ (4 )a comptadora de(e ser aislada+ si es posi(le+ # de(e detenerse el so de la misma$ Se de(e alertar de inmediato a la persona pertinente 1contacto4$ Si se "a de e8aminar el e%ipo+ <ste de(e ser desconectado de las redes de la organi:acin antes de ser acti*ado ne*amente$ )os dis%etes no de(en trans!erirse a otras comptadoras$ c4 El asnto de(e ser comnicado inmediatamente al gerente de segridad de la in!ormacin$ )os sarios no de(en %itar el so!tIare %e spestamente tiene na anomal;a+ a menos %e est<n atori:ados a "acerlo$ )a recperacin de(e ser reali:ada por personal adecadamente capacitado # e8perimentado$ &:":$ A5rendiendo de lo, inciden0e, 5e(e "a(erse implementado mecanismos %e permitan canti!icar # monitorear los tipos+ *ol'menes # costos de los incidentes # anomal;as$ Esta in!ormacin de(e tili:arse para identi!icar incidentes o anomal;as recrrentes o de alto impacto$ Esto pede seGalar la necesidad de meHorar o agregar controles para limitar la !recencia+ daGo # costo de casos !tros+ o de tomarlos en centa en el proceso de re*isin de la pol;tica de segridad 1*er >$1$24$ &:":% !roce,o di,ci5linario 5e(e e8istir n proceso disciplinario !ormal para los empleados %e *iolen las pol;ticas # procedimientos de segridad de la organi:acin 1*er 0$1$D # para el tpico retencin de e*idencia+ *er 12$1$74$ 5ic"o proceso pede ser*ir de !actor disasi*o de los empleados %e+ de no mediar el mismo+ podr;an ser procli*es a pasar por alto los procedimientos de segridad$ Asimismo+ este proceso de(e garanti:ar n trato imparcial # correcto "acia los empleados sospec"osos de "a(er cometido *iolaciones gra*es o persistentes a la segridad$ ' SEGURIDAD 6#SICA 9 AMAIENTAL ':3 Brea, ,eg*ra, O(Heti*o9 Impedir accesos no atori:ados+ daGos e inter!erencia a las sedes e in!ormacin de la empresa$ )as instalaciones de procesamiento de in!ormacin cr;tica o sensi(le de la empresa de(en estar (icadas en reas protegidas # resgardadas por n per;metro de segridad de!inido+ con *allas de segridad # controles de acceso apropiados$ 5e(en estar !;sicamente protegidas contra accesos no atori:ados+ daGos e intrsiones$ )a proteccin pro*ista de(e ser proporcional a los riesgos identi!icados$ Se recomienda la implementacin pol;ticas de escritorios # pantallas limpios para redcir el riesgo de acceso no atori:ado o de daGo a papeles+ medios de almacenamiento e instalaciones de procesamiento de in!ormacin$ & Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond ':3:3 !erme0ro de ,eg*ridad f,ica )a proteccin !;sica pede lle*arse a ca(o mediante la creacin de di*ersas (arreras !;sicas alrededor de las sedes de la organi:acin # de las instalaciones de procesamiento de in!ormacin$ Cada (arrera esta(lece n per;metro de segridad+ cada no de los cales incrementa la proteccin total pro*ista$ )as organi:aciones de(en tili:ar per;metros de segridad para proteger las reas %e contienen instalaciones de procesamiento de in!ormacin 1*er 7$1$>4$ Un per;metro de segridad es algo delimitado por na (arrera+ por eH$ na pared+ na perta de acceso controlado por tarHeta o n escritorio o!icina de recepcin atendidos por personas$ El empla:amiento # la !ortale:a de cada (arrera dependern de los resltados de na e*alacin de riesgos$ Se de(en considerar e implementar los sigientes lineamientos # controles+ seg'n corresponda$ a4 El per;metro de segridad de(e estar claramente de!inido$ (4 El per;metro de n edi!icio o rea %e contenga instalaciones de procesamiento de in!ormacin de(e ser !;sicamente slido 1por eH$ no de(en e8istir claros Oo a(ertrasP en el per;metro o reas donde peda prodcirse !cilmente na irrpcin4$ )as paredes e8ternas del rea de(en ser de constrccin slida # todas las pertas %e comnican con el e8terior de(en ser adecadamente protegidas contra accesos no atori:ados+ por eH$+ mediante mecanismos de control+ *allas+ alarmas+ cerradras+ etc$ c4 5e(e e8istir n rea de recepcin atendida por personal otros medios de control de acceso !;sico al rea o edi!icio$ El acceso a las distintas reas # edi!icios de(e estar restringido e8clsi*amente al personal atori:ado$ d4 )as (arreras !;sicas de(en+ si es necesario+ e8tenderse desde el piso 1real4 "asta el tec"o 1real4+ a !in de impedir el ingreso no atori:ado # la contaminacin am(iental+ por eHemplo+ la ocasionada por incendio e inndacin$ e4 7odas las pertas de incendio de n per;metro de segridad de(en tener alarma # cerrarse atomticamente$ ':3: Con0role, de acce,o f,ico )as reas protegidas de(en ser resgardadas por adecados controles de acceso %e permitan garanti:ar %e slo se permite el acceso de personal atori:ado$ 5e(en tenerse en centa los sigientes controles9 a4 )os *isitantes de reas protegidas de(en ser sper*isados o inspeccionados # la !ec"a # "orario de s ingreso # egreso de(en ser registrados$ Slo se de(e permitir el acceso a los mismos con propsitos espec;!icos # atori:ados+ instr#<ndose en dic"o momento al *isitante so(re los re%erimientos de segridad del rea # los procedimientos de emergencia$ (4 El acceso a la in!ormacin sensi(le+ # a las instalaciones de procesamiento de in!ormacin+ de(e ser controlado # limitado e8clsi*amente a las personas atori:adas$ Se de(en tili:ar controles de atenticacin+ por eH$ tarHeta # n'mero de identi!icacin personal 1-I64+ para atori:ar # *alidar todos los accesos$ 5e(e mantenerse na pista protegida %e permita aditar todos los accesos$ c4 Se de(e re%erir %e todo el personal e8"i(a algna !orma de identi!icacin *isi(le # se lo de(e alentar a cestionar la presencia de desconocidos no escoltados # a cal%ier persona %e no e8"i(a na identi!icacin *isi(le$ d4 Se de(en re*isar # actali:ar peridicamente los derec"os de acceso a las reas protegidas$ ' Es%ema 1 I ,AM& 9 ':3:" !ro0eccin de oficina,C recin0o, e in,0alacione, Un rea protegida pede ser na o!icina cerrada con lla*e+ o di*ersos recintos dentro de n per;metro de segridad !;sica+ el cal pede estar (lo%eado # contener caHas !ertes o ga(inetes con cerradras$ -ara la seleccin # el diseGo de n rea protegida de(e tenerse en centa la posi(ilidad de daGo prodcido por incendio+ inndacin+ e8plosin+ agitacin ci*il+ # otras !ormas de desastres natrales o pro*ocados por el "om(re$ 7am(i<n de(en tomarse en centa las disposiciones # normas 1estndares4 en materia de sanidad # segridad$ Asimismo+ se de(ern considerar las amena:as a la segridad %e representan los edi!icios # :onas aledaGas+ por eH$ !iltracin de aga desde otras reas$ Se de(en considerar los sigientes controles a4 )as instalaciones cla*e de(en (icarse en lgares a los cales no peda acceder el p'(lico$ (4 )os edi!icios de(en ser discretos # o!recer n seGalamiento m;nimo de s propsito+ sin signos o(*ios+ e8teriores o interiores+ %e identi!i%en la presencia de acti*idades de procesamiento de in!ormacin$ c4 )as !nciones # el e%ipamiento de soporte+ por eH$ !otocopiadoras+ m%inas de !a8+ de(en estar (icados adecadamente dentro del rea protegida para e*itar solicitdes de acceso+ el cal podr;a comprometer la in!ormacin$ d4 )as pertas # *entanas de(en estar (lo%eadas cando no "a# *igilancia ; de(e considerarse la posi(ilidad de agregar proteccin e8terna a las *entanas+ en particlar las %e se encentran al ni*el del selo$ e4 Se de(en implementar adecados sistemas de deteccin de intrsos$ )os mismos de(en ser instalados seg'n estndares pro!esionales # pro(ados peridicamente$ Estos sistemas comprendern todas las pertas e8teriores # *entanas accesi(les$ )as reas *ac;as de(en tener alarmas acti*adas en todo momento$ 7am(i<n de(en protegerse otras reas+ como la sala de cmptos o las salas de comnicaciones$ !4 )as instalaciones de procesamiento de in!ormacin administradas por la organi:acin de(en estar !;sicamente separadas de a%ellas administradas por terceros$ g4 )os g;as tele!nicas # listados de tel<!onos internos %e identi!ican las (icaciones de las instalaciones de procesamiento de in!ormacin sensi(le no de(en ser !cilmente accesi(les al p'(lico$ "4 )os materiales peligrosos o com(sti(les de(en ser almacenados en lgares segros a na distancia prdencial del rea protegida$ )os sministros a granel+ como los 'tiles de escritorio+ no de(en ser almacenados en el rea protegida "asta %e sean re%eridos$ i4 El e%ipamiento de sistemas de soporte U-C 1Usage -arameter Control4 de reposicin de in!ormacin perdida 1J!all(acKJ4 # los medios in!ormticos de resgardo de(en estar sitados a na distancia prdencial para e*itar daGos ocasionados por e*entales desastres en el sitio principal$ ':3:$ De,arrollo de 0area, en Drea, 5ro0egida, -ara incrementar la segridad de n rea protegida peden re%erirse controles # lineamientos adicionales$ Esto incl#e controles para el personal o terceras partes %e tra(aHan en el rea protegida+ as; como para las acti*idades de terceros %e tengan lgar all;$ Se de(ern tener en centa los sigientes pntos9 a4 El personal slo de(e tener conocimiento de la e8istencia de n rea protegida+ o de las acti*idades %e se lle*an a ca(o dentro de la misma+ seg'n el criterio de necesidad de conocer$ (4 Se de(e e*itar el tra(aHo no controlado en las reas protegidas tanto por ra:ones de segridad como para e*itar la posi(ilidad de %e se lle*en a ca(o acti*idades maliciosas$ ( Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond c4 )as reas protegidas desocpadas de(en ser !;sicamente (lo%eadas # peridicamente inspeccionadas$ d4 El personal del ser*icio de soporte e8terno de(e tener acceso limitado a las reas protegidas o a las instalaciones de procesamiento de in!ormacin sensi(le$ Este acceso de(e ser otorgado solamente cando sea necesario # de(e ser atori:ado # monitoreado$ -eden re%erirse (arreras # per;metros adicionales para controlar el acceso !;sico entre reas con di!erentes re%erimientos de segridad+ # %e estn (icadas dentro del mismo per;metro de segridad$ e4 A menos %e se atorice e8presamente+ no de(e permitirse el ingreso de e%ipos !otogr!icos+ de *;deo+ adio otro tipo de e%ipamiento %e registre in!ormacin$ ':3:% Ai,lamien0o de la, Drea, de en0rega ; carga )as reas de entrega # carga de(en ser controladas #+ si es posi(le+ estar aisladas de las instalaciones de procesamiento de in!ormacin+ a !in de impedir accesos no atori:ados$ )os re%erimientos de segridad de dic"as reas de(en ser determinados mediante na e*alacin de riesgos$ Se de(en tener en centa los sigientes lineamientos9 a4 El acceso a las reas de depsito+ desde el e8terior de la sede de la organi:acin+ de(e estar limitado a personal %e sea pre*iamente identi!icado # atori:ado$ (4 El rea de depsito de(e ser diseGada de manera tal %e los sministros pedan ser descargados sin %e el personal %e reali:a la entrega acceda a otros sectores del edi!icio$ c4 7odas las pertas e8teriores de n rea de depsito de(en ser asegradas cando se a(re la perta interna$ d4 El material entrante de(e ser inspeccionado para descartar peligros potenciales 1*er 7$2$l d4 antes de ser trasladado desde el rea de depsito "asta el lgar de so$ e4 El material entrante de(e ser registrado+ si corresponde 1*er .$14+ al ingresar al sitio pertinente$ ': Seg*ridad del e.*i5amien0o O(Heti*o9 Impedir p<rdidas+ daGos o e8posiciones al riesgo de los acti*os e interrpcin de las acti*idades de la empresa$ El e%ipamiento de(e estar !;sicamente protegido de las amena:as a la segridad # los peligros del entorno Es necesaria la proteccin del e%ipamiento 1incl#endo el %e se tili:a en !orma e8terna4 para redcir el riesgo de acceso no atori:ado a los datos # para pre*enir p<rdidas o daGos$ Esto tam(i<n de(e tener en centa la (icacin # disposicin e%ipamiento$ -eden re%erirse controles especiales para pre*enir peligros o accesos no atori:ados+ # para proteger instalaciones de soporte+ como la in!raestrctra de ca(leado # sministro de energ;a el<ctrica$ '::3 U1icacin ; 5ro0eccin del e.*i5amien0o El e%ipamiento de(e ser (icado o protegido de tal manera %e se red:can los riesgos ocasionados por amena:as # peligros am(ientales+ # oportnidades de acceso no atori:ado$ Se de(en tener en centa los sigientes pntos9 a4 El e%ipamiento de(e ser (icado en n sitio %e permita minimi:ar el acceso innecesario a las reas de tra(aHo$ (4 )as instalaciones de procesamiento # almacenamiento de in!ormacin+ %e maneHan datos sensi(les+ de(en (icarse en n sitio %e permita redcir el riesgo de !alta de sper*isin de las mismas drante s so$ / Es%ema 1 I ,AM& 9 c4 )os ;tems %e re%ieren proteccin especial de(en ser aislados para redcir el ni*el general de proteccin re%erida$ d4 Se de(en adoptar controles para minimi:ar el riesgo de amena:as potenciales+ por eH$ 14 ro(o 24 incendio >4 e8plosi*os D4 "moL .4 aga 1o !alta de sministro4 04 pol*o 74 *i(raciones 24 e!ectos %;micos 94 inter!erencia en el sministro de energ;a el<ctrica$ 104 radiacin electromagn<tica$ e4 )a organi:acin de(e anali:ar s pol;tica respecto de comer+ (e(er # !mar cerca de las instalaciones de procesamiento de in!ormacin$ !4 Se de(en monitorear las condiciones am(ientales para *eri!icar %e las mismas no a!ecten de manera ad*ersa el !ncionamiento de las instalaciones de procesamiento de la in!ormacin$ g4 Se de(e tener en centa el so de m<todos de proteccin especial+ como las mem(ranas de teclado+ para los e%ipos (icados en am(ientes indstriales$ "4 Se de(e considerar el impacto de n e*ental desastre %e tenga lgar en :onas pr8imas a la sede de la organi:acin+ por eH$ n incendio en n edi!icio cercano+ la !iltracin de aga desde el cielo raso o en pisos por de(aHo del ni*el del selo o na e8plosin en la calle$ ':: S*mini,0ro, de energa El e%ipamiento de(e estar protegido con respecto a las posi(les !allas en el sministro de energ;a otras anomal;as el<ctricas$ Se de(e contar con n adecado sministro de energ;a %e est< de acerdo con las especi!icaciones del !a(ricante o pro*eedor de los e%ipos$ Entre las alternati*as para asegrar la continidad del sministro de energ;a podemos enmerar las sigientes9 a4 m'ltiples (ocas de sministro para e*itar n 'nico pnto de !alla en el sministro de energ;a (4 sministro de energ;a ininterrmpi(le 1U-S4 c4 generador de respaldo$ Se recomienda na U-S para asegrar el apagado reglado # sistemtico o la eHeccin contina del e%ipamiento %e sstenta las operaciones cr;ticas de la organi:acin$ )os planes de contingencia de(en contemplar las acciones %e "an de emprenderse ante na !alla de la U-S$ )os e%ipos de U-S de(en inspeccionarse peridicamente para asegrar %e tienen la capacidad re%erida # se de(en pro(ar de con!ormidad con las recomendaciones del !a(ricante o pro*eedor$ Se de(e tener en centa el empleo de n generador de respaldo si el procesamiento "a de continar en caso de na !alla prolongada en el sministro de energ;a$ 5e instalarse+ los generadores de(en ser pro(ados peridicamente de acerdo con las instrcciones del !a(ricante o pro*eedor$ Se de(e disponer de n adecado sministro de com(sti(le para garanti:ar %e el generador peda !ncionar por n per;odo prolongado$ Asimismo+ los interrptores de emergencia de(en (icarse cerca de las salidas de emergencia de las salas donde se encentra el e%ipamiento+ a !in de !acilitar n corte rpido de la energ;a en caso de prodcirse na sitacin cr;tica$ Se de(e pro*eer de ilminacin de emergencia en caso de prodcirse na !alla en el sministro principal de energ;a$ Se de(e implementar proteccin contra ra#os en todos los edi!icios # se de(en adaptar !iltros de proteccin contra ra#os en todas las l;neas de comnicaciones e8ternas$ "4 Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond '::" Seg*ridad del ca1leado El ca(leado de energ;a el<ctrica # de comnicaciones %e transporta datos o (rinda apo#o a los ser*icios de in!ormacin de(e ser protegido contra interceptacin o daGo$ Se de(en tener en centa los sigientes controles9 a4 )as l;neas de energ;a el<ctrica # telecomnicaciones %e se conectan con las instalaciones de procesamiento de in!ormacin de(en ser s(terrneas+ siempre %e sea posi(le+ o sHetas a na adecada proteccin alternati*a$ (4 El ca(leado de red de(e estar protegido contra interceptacin no atori:ada o daGo+ por eHemplo mediante el so de condctos o e*itando tra#ectos %e atra*iesen reas p'(licas$ c4 )os ca(les de energ;a de(en estar separados de los ca(les de comnicaciones para e*itar inter!erencias$ d4 Entre los controles adicionales a considerar para los sistemas sensi(les o cr;ticos se encentran los sigientes 14 instalacin de condctos (lindados # recintos o caHas con cerradra en los pntos terminales # de inspeccin$ 24 so de rtas o medios de transmisin alternati*os >4 so de ca(leado de !i(ra ptica D4 iniciar (arridos para eliminar dispositi*os no atori:ados conectados a los ca(les$ '::$ Man0enimien0o de e.*i5o, El e%ipamiento de(e mantenerse en !orma adecada para asegrar %e s disponi(ilidad e integridad sean permanentes$ Se de(en considerar los sigientes lineamientos9 a4 El e%ipamiento de(e mantenerse de acerdo con los inter*alos ser*icio # especi!icaciones recomendados por el pro*eedor$ (4 Slo el personal de mantenimiento atori:ado pede (rindar mantenimiento # lle*ar a ca(o reparaciones en el e%ipamiento$ c4 Se de(en mantener registros de todas las !allas spestas o reales # de todo el mantenimiento pre*enti*o # correcti*o$ e4 5e(en implementarse controles cando se retiran e%ipos de la sede de la organi:acin para s mantenimiento 1*er tam(i<n 7$2$0 con respecto a (orrado+ (orrado permanente # so(re escritra de datos4$ Se de(e cmplir con todos los re%isitos impestos por las pli:as de segro$ '::% Seg*ridad del e.*i5amien0o f*era del Dm1i0o de la organi<acin El so de e%ipamiento destinado al procesamiento de in!ormacin+ !era del m(ito de la organi:acin+ de(e ser atori:ado por el ni*el gerencial+ sin importar %ien es el propietario del mismo$ )a segridad pro*ista de(e ser e%i*alente a la sministrada dentro del m(ito de la organi:acin+ para n propsito similar+ teniendo en centa los riesgos de tra(aHar !era de la misma$ El e%ipamiento de procesamiento de la in!ormacin incl#e todo tipo de comptadoras personales+ organi:adores+ tel<!onos m*iles+ papel otros !ormlarios+ necesarios para el tra(aHo en el domiciliario o %e es transportado !era del lgar "a(ital de tra(aHo$ Se de(en considerar los sigientes lineamientos9 a4 El e%ipamiento # dispositi*os retirados del m(ito de la organi:acin no de(en permanecer desatendidos en lgares p'(licos$ )as comptadoras personales de(en ser transportadas como e%ipaHe de mano # de ser posi(le enmascaradas+ drante el *iaHe$ "3 Es%ema 1 I ,AM& 9 (4 Se de(en respetar permanentemente las instrcciones del !a(ricante+ por eH$ proteccin por e8posicin a campos electromagn<ticos !ertes$ c4 )os controles de tra(aHo en domicilio de(en ser determinados a partir de n anlisis de riesgo # se aplicarn controles adecados seg'n corresponda+ por eH$ ga(inetes de arc"i*o con cerradra+ pol;tica de escritorios limpios # control de acceso a comptadoras$ d4 Una adecada co(ertra de segro de(e estar en orden para proteger el e%ipamiento !era del m(ito de la organi:acin$ )os riesgos de segridad+ por eH$ el daGo+ ro(o o escc"a s(repticia+ peden *ariar considera(lemente seg'n las (icaciones # de(en ser tenidas en centa al determinar los controles ms apropiados$ Se pede encontrar ms in!ormacin so(re otros aspectos de proteccin del e%ipamiento m*il+ en 9$2$1 '::& Aa?a ,eg*ra o re*0ili<acin de e.*i5amien0o: )a in!ormacin pede *erse comprometida por na desa!ectacin descidada o na retili:acin del e%ipamiento 1*<ase tam(i<n 2$0$D4$ )os medios de almacenamiento conteniendo material sensiti*o+ de(en ser !;sicamente destridos o so(rescritos en !orma segra en *e: de tili:ar las !nciones de (orrado estndar$ 7odos los elementos del e%ipamiento %e contengan dispositi*os de almacenamiento+ por eH$ discos r;gidos no remo*i(les+ de(en ser controlados para asegrar %e todos los datos sensiti*os # el so!tIare (aHo licencia+ "an sido eliminados o so(rescritos antes de s (aHa$ -ede ser necesario reali:ar n anlisis de riesgo a !in de determinar si medios de almacenamiento daGados+ conteniendo datos sensiti*os+ de(en ser destridos+ reparados o desec"ados$ ':" Con0role, generale, O(Heti*o 9 Impedir la e8posicin al riesgo o ro(o de la in!ormacin o de las instalaciones de procesamiento de la misma$ )as instalaciones de procesamiento de la in!ormacin # la in!ormacin de(en ser protegidas contra la di*lgacin+ modi!icacin o ro(o por parte de personas no atori:adas+ de(i<ndose implementar controles para minimi:ar p<rdidas o daGos$ )os procedimientos de administracin # almacenamiento son considerados en el pnto 2$0$>$ ':":3 !ol0ica, de e,cri0orio, ; 5an0alla, lim5ia,: )as organi:aciones de(en considerar la adopcin de na pol;tica de escritorios limpios para proteger docmentos en papel # dispositi*os de almacenamiento remo*i(les # na pol;tica de pantallas limpias en las instalaciones de procesamiento de in!ormacin+ a !in de redcir los riesgos de acceso no atori:ado+ perdida # daGo de la in!ormacin drante el "orario normal de tra(aHo # !era del mismo$ )a pol;tica de(e contemplar las clasi!icaciones de segridad de la in!ormacin 1*er .$24+ los riesgos correspondientes # los aspectos cltrales de la organi:acin$ )a in!ormacin %e se deHa so(re los escritorios tam(i<n est e8pesta a s!rir daGos o destro:os en caso de prodcirse n desastre como incendio+ inndacin o e8plosin$ " Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond Se de(en aplicar los sigientes lineamientos$ a4 Cando corresponda+ los docmentos en papel # los medios in!ormticos de(en ser almacenados (aHo lla*e en ga(inetes #/ otro tipo de mo(iliario segro cando no estn siendo tili:ados+ especialmente !era del "orario de tra(aHo$ (4 )a in!ormacin sensi(le o cr;tica de la empresa de(e gardarse (aHo lla*e 1pre!erentemente en na caHa !erte o ga(inete a pre(a de incendios4 cando no est en so+ especialmente cando no "a# personal en la o!icina c4 )as comptadoras personales+ terminales e impresoras no de(en deHarse conectadas cando estn desatendidas # las mismas de(en ser protegidas mediante cerradras de segridad+ contraseGas otros controles cando no estn en so$ d4 Se de(en proteger los pntos de recepcin # en*;o de correo # las m%inas de !a8 # tele8 no atendidas e4 )as !otocopiadoras de(en estar (lo%eadas 1o protegidas de algna manera+ del so no atori:ado4 !era del "orario normal de tra(aHo+ !4 )a in!ormacin sensi(le o con!idencial+ na *e: impresa+ de(e ser retirada de la impresora inmediatamente$ ':": Re0iro de 1iene, El e%ipamiento+ la in!ormacin o el so!tIare no de(en ser retirados de la sede de la organi:acin sin atori:acin$ Cando sea necesario # procedente+ los e%ipos de(ern ser desconectados 1Jlogged otJ4 # ne*amente conectados 1Jlogged inJ4 cando se reingresen$ Se de(en lle*ar a ca(o compro(aciones pntales para detectar el retiro no atori:ado de acti*os de la organi:acin$ El personal de(e conocer la posi(ilidad de reali:acin de dic"as compro(aciones$ ( GESTIN DE COMUNICACIONES 9 O!ERACIONES (:3 !rocedimien0o, ; re,5on,a1ilidade, o5era0i2a, O(Heti*o9 Caranti:ar el !ncionamiento correcto # segro de las instalaciones de procesamiento de la in!ormacin$ Se de(en esta(lecer las responsa(ilidades # procedimientos para la gestin # operacin de todas las instalaciones de procesamiento de in!ormacin$ Esto incl#e el desarrollo de instrcciones operati*as # procedimientos apropiados de respesta a incidentes$ Se de(e implementar la separacin de !nciones 1*er 2$1$D4+ cando corresponda+ a !in de redcir el riesgo del so negligente o mal so deli(erado del sistema$ (:3:3 Doc*men0acin de lo, 5rocedimien0o, o5era0i2o, Se de(en docmentar # mantener los procedimientos operati*os identi!icados por s pol;tica de segridad$ )os procedimientos operati*os de(en ser tratados como docmentos !ormales # los cam(ios de(en ser atori:ados por el ni*el gerencial$ )os procedimientos de(en especi!icar las instrcciones para la eHeccin detallada de cada tarea+ con inclsin de9 a4 procesamiento # maneHo de la in!ormacin (4 re%erimientos de programacin 1Jsc"edllingJ4+ incl#endo interdependencias con otros sistemas+ tiempos de inicio de primeras tareas # tiempos de terminacin de 'ltimas tareasL "" Es%ema 1 I ,AM& 9 c4 instrcciones para el maneHo de errores otras condiciones e8cepcionales %e podr;an srgir drante la eHeccin de tareas+ incl#endo restricciones en el so de tilitarios del sistema 1*er 9$.$.4 d4 personas de soporte a contactar en caso de di!icltades operati*as o t<cnicas impre*istas e4 instrcciones especiales para el maneHo de salidas 1JotptsJ4+ como el so de papeler;a especial o la administracin de salidas con!idenciales+ incl#endo procedimientos para la eliminacin segra de salidas de tareas !allidas !4 reinicio del sistema # procedimientos de recperacin en caso de prodcirse !allas en el sistema$ 7am(i<n de(e prepararse docmentacin so(re procedimientos re!eridos a acti*idades de mantenimiento del sistema+ relacionadas con las instalaciones de procesamiento de in!ormacin # comnicaciones+ tales como los procedimientos de inicio # cierre+ resgardo+ mantenimiento de e%ipos+ salas de cmptos # administracin # segridad del maneHo de correo$ (:3: Con0rol de cam1io, en la, o5eracione, Se de(en controlar los cam(ios en los sistemas e instalaciones de procesamiento de in!ormacin$ El control inadecado de estos cam(ios es na casa com'n de las !allas de segridad # de sistemas$ Se de(en implementar responsa(ilidades # procedimientos gerenciales !ormales para garanti:ar n control satis!actorio de todos los cam(ios en el e%ipamiento+ el so!tIare o los procedimientos$ )os programas operati*os de(en estar sHetos a n control estricto de los cam(ios$ Cando se cam(ian los programas+ se de(e retener n registro de aditor;a %e contenga toda la in!ormacin rele*ante$ )os cam(ios en el am(iente operati*o peden tener impacto en las aplicaciones$ Siempre %e sea !acti(le+ los procedimientos de control de cam(ios en las operaciones # aplicaciones de(en estar integrados 1*er tam(i<n 10$.$14$ En particlar+ se de(en considerar los sigientes ;tems9 a4 identi!icacin # registro de cam(ios signi!icati*os (4 e*alacin del posi(le impacto de dic"os cam(ios c4 procedimiento de apro(acin !ormal de los cam(ios propestos d4 comnicacin de detalles de cam(ios a todas las personas pertinentes e4 procedimientos %e identi!ican las responsa(ilidades por la cancelacin de los cam(ios !allidos # la recperacin respecto de los mismos$ (:3:" !rocedimien0o, de mane?o de inciden0e, Se de(en esta(lecer responsa(ilidades # procedimientos de maneHo de incidentes para garanti:ar na respesta rpida+ e!ica: # sistemtica a los incidentes relati*os a segridad 1*er tam(i<n 0$>$ l4$ Se de(en considerar los sigientes controles$ a4 Se de(en esta(lecer procedimientos %e contemplen todos los tipos pro(a(les de incidentes relati*os a segridad+ incl#endo 14 !allas en los sistemas de in!ormacin # p<rdida del ser*icioL 24 negacin del ser*icioL >4 errores ocasionados por datos comerciales incompletos o ine8actosL D4 *iolaciones de la con!idencialidadL (4 Adems de los planes de contingencia normales 1diseGados para recperar sistemas # ser*icios tan pronto como sea posi(le4+ los procedimientos tam(i<n de(en contemplar 1*er tam(i<n 0$>$D49 14 anlisis e identi!icacin de la casa del incidenteL "$ Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond 24 plani!icacin e implementacin de solciones para e*itar la repeticin del mismo+ si reslta necesarioL >4 recoleccin de pistas de aditor;a # e*idencia similarL D4 comnicacin con las personas a!ectadas o in*olcradas con la recperacin+ del incidenteL .4 noti!icacin de la accin a la atoridad pertinenteL c4 Se de(en recolectar 1*er 12$1$74 # proteger pistas de aditor;a # e*idencia similar+ seg'n corresponda+ para9 14 anlisis de pro(lemas internos9 24 so como e*idencia en relacin con na pro(a(le *iolacin de contrato+ de re%isito normati*o+ o en el caso de n proceso Hdicial ci*il o criminal+ por eH$ por aplicacin de legislacin so(re proteccin de datos o !rade in!ormticoL >4 negociacin de compensaciones por parte de los pro*eedores de so!tIare # de ser*iciosL d4 Se de(en implementar controles detallados # !ormali:ados de las acciones de recperacin respecto de las *iolaciones de la segridad # de correccin de !allas del sistema$ )os procedimientos de(en garanti:ar %e 9 14 slo se otorga acceso a los sistemas # datos e8istentes al personal claramente identi!icado # atori:ado 1*er tam(i<n D$2$2 en relacin con el acceso de terceros4L 24 todas las acciones de emergencia emprendidas son docmentadas en !orma detallada >4 la acciones de emergencia se comnican a la gerencia # se re*isan sistemticamenteL D4 la integridad de los controles # sistemas de la empresa se constata en n pla:o m;nimo$ (:3:$ Se5aracin de f*ncione, )a separacin de !nciones es n m<todo para redcir el riesgo de mal so+ accidental o deli(erado del sistema$ Se de(e considerar la separacin de la gestin o eHeccin de ciertas tareas o reas de responsa(ilidad+ a !in de redcir las oportnidades de modi!icacin no atori:ada o mal so de la in!ormacin o los ser*icios$ )as pe%eGas organi:aciones peden encontrar este m<todo de control di!;cil de cmplir+ pero el principio de(e aplicarse en la medida de lo posi(le$ Siempre %e sea di!;cil lle*ar a ca(o la separacin+ se de(en tener en centa otros controles como el monitoreo de las acti*idades+ las pistas de aditor;a # la sper*isin gerencial$ Es importante %e la aditor;a de segridad permane:ca independiente$ Se de(en tomar recados para %e ningna persona peda perpetrar n !rade en reas de responsa(ilidad 'nica sin ser detectada$ El inicio de n e*ento de(e estar separado de s atori:acin$ Se de(en considerar los sigientes pntos$ a4 Es importante separar acti*idades %e re%ieren conni*encia para de!radar+ por eH$ e!ectar na orden de compra # *eri!icar %e la mercader;a !e reci(ida$ (4 Si e8iste peligro de conni*encia+ los controles de(en ser diseGados de manera tal %e dos o ms personas de(an estar in*olcradas+ redciendo de ese modo la posi(ilidad de conspiracin$ (:3:% Se5aracin en0re in,0alacione, de de,arrollo e in,0alacione, o5era0i2a, )a separacin entre las instalaciones de desarrollo+ pre(a # operaciones es importante para lograr la separacin de los roles in*olcradas$ Se de(en de!inir # docmentar las reglas para la trans!erencia de so!tIare desde el estado de desarrollo "acia el estado operati*o$ )as acti*idades de desarrollo # pre(a peden ocasionar pro(lemas gra*es+ como la modi!icacin no deseada de arc"i*os o sistemas+ o la recti!icacin no deseada de !allas de sistemas$ Se de(e "% Es%ema 1 I ,AM& 9 considerar el ni*el de separacin %e reslta necesario entre los am(ientes operati*os+ de pre(a # de desarrollo+ a !in de pre*enir pro(lemas operati*os$ 7am(i<n se de(e implementar na separacin similar entre las !nciones de desarrollo # pre(a$ En este caso+ e8iste la necesidad de mantener n am(iente conocido # esta(le en el cal pedan lle*arse a ca(o pre(as signi!icati*as e impedirse accesos inadecados por parte del personal de desarrollo$ Si el personal de desarrollo # pre(a tiene acceso al sistema %e esta operati*o # a s in!ormacin+ <ste pede ser capa: de introdcir l;neas de cdigos no atori:ados o no pro(ados+ o alterar los datos de las operaciones$ En algnos sistemas esta capacidad pede ser tili:ada inadecadamente para perpetrar !rade+ o para introdcir programas no pro(ados o maliciosos$ Estos programas peden ocasionar gra*es pro(lemas operati*os$ El personal de desarrollo # pre(as tam(i<n plantea na amena:a a la con!idencialidad de la in!ormacin operati*o$ )as acti*idades de desarrollo # pre(as peden prodcir cam(ios no plani!icados en el so!tIare # la in!ormacin si los sistemas comparten el mismo am(iente in!ormtico$ )a separacin entre las instalaciones de desarrollo+ pre(as # operaciones es por tanto desea(le+ a !in de redcir el riesgo de cam(ios accidentales o accesos no atori:ados al so!tIare operati*o # a los datos del negocio$ Se de(en tener en centa los sigientes controles$ a4 El so!tIare en desarrollo # en operaciones de(e+ en la medida de lo posi(le+ eHectarse en di!erentes procesadores o en di!erentes dominios o directorios$ (4 En la medida de lo posi(le+ las acti*idades de desarrollo # pre(a de(en estar separadas$ c4 Cando no es re%erido+ los compiladores+ editores # otros tilitarios del sistema no de(en ser accesi(les desde los sistemas %e estn operati*os$ d4 Se de(en tili:ar di!erentes procedimientos de cone8in 1Jlog&onJ4 para sistemas en operaciones # de pre(a+ a !in de redcir el riesgo de error$ Se de(e alentar a los sarios a tili:ar di!erentes contraseGas para estos sistemas+ # los men's de(en desplegar adecados mensaHes de identi!icacin$ e4 El personal de desarrollo slo de(e tener acceso a las contraseGas operati*as+ por%e all; estn adecadamente (icados los controles de emisin de contraseGas para el apo#o de los sistemas %e se encentran operati*os$ Estos controles de(en garanti:ar %e dic"as contraseGas se modi!i%en na *e: tili:adas$ (:3:& Admini,0racin de in,0alacione, e70erna, El empleo de n contratista e8terno para la administracin de las instalaciones de procesamiento de in!ormacin pede introdcir potenciales e8posiciones al riesgo en materia de segridad+ como la posi(ilidad de compromiso+ daGo o p<rdida de datos en la sede del contratista$ Estos riesgos de(en ser identi!icados con anticipacin+ # de(en acordarse controles adecados con el contratista e inclirse en el contrato 1*er tam(i<n D$2$2 # D$> para orientacin con respecto a contratos con terceros %e contemplan el acceso a instalaciones de la organi:acin # contratos de terceri:acin4 Se de(en a(ordar+ entre otras+ las sigientes cestiones espec;!icas9 a4 identi!icar las aplicaciones sensi(les o cr;ticas %e con*ienen retener en la organi:acinL (4 o(tener la apro(acin de los propietarios de aplicaciones comercialesL c4 implicancias para la continidad de los planes comercialesL d4 estndares de segridad a especi!icar+ # el proceso de medicin del cmplimientoL e4 asignacin de responsa(ilidades espec;!icas # procedimientos para monitorear con e!icacia todas las acti*idades de segridad pertinentes !4 responsa(ilidades # procedimientos de comnicacin # maneHo de incidentes relati*os a la segridad 1*er 2$1$>4$ "& Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond (: !lanificacin ; a5ro1acin de ,i,0ema, O(Heti*o 9 Minimi:ar el riesgo de !allas en los sistemas$ Se re%iere na plani!icacin # preparacin anticipada para garanti:ar la disponi(ilidad de capacidad # recrsos adecados$ 5e(en reali:arse pro#ecciones para !tros re%erimientos de capacidad+ a !in de redcir el riesgo de so(recarga del sistema$ Se de(en esta(lecer+ docmentar # pro(ar los re%erimientos operati*os de ne*os sistemas antes de s apro(acin # so$ (::3 !lanificacin de la ca5acidad Se de(en monitorear las demandas de capacidad # reali:ar pro#ecciones de los !tros re%erimientos de capacidad+ a !in de garanti:ar la disponi(ilidad del poder de procesamiento # almacenamiento adecados$ Estas pro#ecciones de(en tomar en centa los ne*os re%erimientos de negocios # sistemas # las tendencias actales # pro#ectadas en el procesamiento de la in!ormacin de la organi:acin$ )as comptadoras Jmain!rameJ re%ieren especial atencin+ de(ido al ma#or costo # pla:o de espera para la o(tencin de ne*a capacidad$ )os administradores de ser*icios main!rame de(en monitorear la tili:acin de los recrsos cla*e del sistema+ incl#endo procesadores+ almacenamiento principal+ almacenamiento de arc"i*os+ impresoras # otros medios de salida 1JotptJ4+ # sistemas de comnicaciones$ ?stos de(en identi!icar las tendencias de so+ particlarmente en relacin con las aplicaciones comerciales o las "erramientas de sistemas de in!ormacin de gestin$ )os gerentes de(en tili:ar esta in!ormacin para identi!icar # e*itar potenciales cellos de (otella %e podr;an plantear na amena:a a la segridad del sistema o a los ser*icios del sario+ # plani!icar na adecada accin correcti*a$$ (:: A5ro1acin del ,i,0ema Se de(en esta(lecer criterios de apro(acin para ne*os sistemas de in!ormacin+ actali:aciones 1JpgradesJ4 # ne*as *ersiones+ # se de(en lle*ar a ca(o adecadas pre(as de los sistemas antes de s apro(acin$ )os gerentes de(en garanti:ar %e los re%erimientos # criterios de apro(acin de ne*os sistemas sean claramente de!inidos+ acordados+ docmentados # pro(ados$ Se de(en considerar los sigientes pntos9 a4 desempeGo # re%erimientos de capacidad de las comptadorasL (4 recperacin ante errores # procedimientos de reinicio+ # planes de contingenciaL c4 preparacin # pre(a de procedimientos operati*os de rtina seg'n estndares de!inidos d4 conHnto acordado de controles de segridad implementados e4 procedimientos manales e!icacesL !4 disposiciones relati*as a la continidad de los negocios+ seg'n lo re%erido en el pnto 11$1 g4 e*idencia %e la instalacin del ne*o sistema no a!ectar negati*amente los sistemas e8istentes+ especialmente en los per;odos pico de procesamiento+ como drante los 'ltimos d;as del mes "4 e*idencia de %e se "a tomado en centa el e!ecto %e tiene el ne*o sistema en la segridad glo(al de la organi:acin i4 entrenamiento en la operacin o so de ne*os sistemas$ -ara los principales ne*os desarrollos+ las !nciones # sarios de operaciones de(en ser consltados en todas las etapas del proceso de desarrollo para garanti:ar la e!iciencia operati*a del diseGo propesto del sistema$ 5e(en lle*arse a ca(o pre(as apropiadas para constatar el cmplimiento ca(al de todos los criterios de apro(acin$ "' Es%ema 1 I ,AM& 9 (:" !ro0eccin con0ra ,of0@are malicio,o O(Heti*o 9 -roteger la integridad del so!tIare # la in!ormacin$ Es necesario tomar precaciones para pre*enir # detectar la introdccin de so!tIare malicioso$ El so!tIare # las instalaciones de procesamiento de in!ormacin son *lnera(les a la introdccin de so!tIare malicioso como+ por eH$+ *irs in!ormticos+ JIormsJ de red+ Jtro#anosJ 1*er tam(i<n 10$.$D4 # (om(as lgicas$ Se de(e concienti:ar a los sarios acerca de los peligros del so!tIare no atori:ado o malicioso+ # los administradores de(en+ cando corresponda+ introdcir controles especiales para detectar o pre*enir la introdccin de los mismos$ En particlar+ es esencial %e se tomen precaciones para detectar # pre*enir *irs in!ormticos en comptadoras personales$ (:":3 Con0role, con0ra ,of0@are malicio,o Se de(en implementar controles de deteccin # pre*encin para la proteccin contra so!tIare malicioso+ # procedimientos adecados de concienti:acin de sarios$ )a proteccin contra so!tIare malicioso de(e (asarse en la concienti:acin en materia de segridad # en controles adecados de acceso al sistema # administracin de cam(ios$ Se de(en tener en centa los sigientes controles9 a4 na pol;tica !ormal %e re%iera el so de so!tIare con licencia # pro";(a el so de so!tIare no atori:ado 1*er 12$1$2$24L (4 na pol;tica !ormal con el !in de proteger contra los riesgos relacionados con la o(tencin de arc"i*os # so!tIare desde o a tra*<s de redes e8ternas+ o por cal%ier otro medio+ seGalando %< medidas de proteccin de(er;an tomarse 1*er tam(i<n 10$.+ especialmente 10$.$D # 1 0$.$.4L c4 instalacin # actali:acin peridica de so!tIare de deteccin # reparacin anti&*irs+ para e8aminar comptadoras # medios in!ormticos+ #a sea como medida precatoria o rtinaria+ d4 reali:acin de re*isiones peridicas del contenido de so!tIare # datos de los sistemas %e sstentan procesos cr;ticos de al empresa$ )a presencia de arc"i*os no apro(ados o modi!icaciones no atori:adas de(e ser in*estigada !ormalmenteL e4 *eri!icacin de la presencia de *irs en arc"i*os de medios electrnicos de origen incierto o no atori:ado+ o en arc"i*os reci(idos a tra*<s de redes no con!ia(les+ antes de s soL !4 *eri!icacin de la presencia de so!tIare malicioso en arc"i*os adHntos a mensaHes de correo electrnico # arc"i*os descargados por Internet 1JdoInloadsJ4 antes de s so$ Esta *eri!icacin pede lle*arse a ca(o en di!erentes lgares+ por eH$ en ser*idores de correo electrnico+ comptadoras de escritorio o al ingresar en la red de la organi:acinL g4 procedimientos # responsa(ilidades gerenciales para administrar la proteccin contra *irs en los sistemas+ el entrenamiento con respecto a s so+ la comnicacin # la recperacin !rente a ata%es 1*er 0$> # 2$1$>4 "4 adecados planes de continidad de los negocios para la recperacin respecto de ata%es de *irs+ incl#endo todos los datos necesarios+ el resgardo del so!tIare # las disposiciones para la recperacin 1*er el pnto 114 i4 procedimientos para *eri!icar toda la in!ormacin relati*a a so!tIare malicioso+ # garanti:ar %e los (oletines de alerta sean e8actos e in!ormati*os$ )os gerentes de(en garanti:ar %e se tili:an !entes cali!icadas+ por eH$ p(licaciones acreditadas+ sitios de Internet o pro*eedores de so!tIare anti&*irs con!ia(les+ para di!erenciar entre *irs !alaces # reales$ Se de(e concienti:ar al personal acerca del pro(lema de los *irs !alsos 1"oa84 # de %< "acer al reci(irlos$ Estos controles son especialmente importantes para ser*idores de arc"i*os de red %e (rindan soporte a n gran n'mero de estaciones de tra(aHo$ "( Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond (:$ Man0enimien0o O(Heti*o9 Mantener la integridad # disponi(ilidad de los ser*icios de procesamiento # comnicacin de in!ormacin$ Se de(en esta(lecer procedimientos de rtina para lle*ar a ca(o la estrategia de resgardo acordada 1*er 11$14 reali:ando copias de resgardo de los datos # ensa#ando s resta(lecimiento oportno+ registrando e*entos # !allas #+ cando corresponda+ monitoreando el entorno del e%ipamiento$ (:$:3 Re,g*ardo de la informacin Se de(en reali:ar peridicamente copias de resgardo de la in!ormacin # el so!tIare esenciales para la empresa$ Se de(e contar con adecadas instalaciones de resgardo para garanti:ar %e toda la in!ormacin # el so!tIare esencial de la empresa pede recperarse na *e: ocrrido n desastre o !alla de los dispositi*os$ )as disposiciones para el resgardo de cada no de los sistemas de(en ser pro(adas peridicamente para garanti:ar %e cmplen con los re%erimientos de los planes de continidad de los negocios 1*er pnto 114$ Se de(en tener en centa los sigientes controles$ a4 Se de(e almacenar en na (icacin remota n ni*el m;nimo de in!ormacin de resgardo+ Hnto con registros e8actos # completos de las copias de resgardo # los procedimientos docmentados de restaracin+ a na distancia s!iciente como para e*itar daGos pro*enientes de n desastre en el sitio principal$ Se de(en retener al menos tres generaciones o ciclos de in!ormacin de resgardo para aplicaciones importantes de la empresa$ (4 Se de(e asignar a la in!ormacin de resgardo n ni*el adecado de proteccin !;sica # am(iental 1*er pnto 74 consecente con los estndares aplicados en el sitio principal$ )os controles aplicados a los dispositi*os en el sitio principal de(en e8tenderse para c(rir el sitio de resgardo$ c4 )os medios de resgardo de(en pro(arse peridicamente+ cando sea !acti(le+ a !in de garanti:ar la con!ia(ilidad de los mismos con relacin a s e*ental so en casos de emergencia$ d4 )os procedimientos de restaracin de(en *eri!icarse # pro(arse peridicamente para garanti:ar s e!icacia # cmplimiento dentro del tiempo asignado a la recperacin en los procedimientos operati*os$ Se de(e determinar el per;odo de garda de la in!ormacin esencial para la empresa+ # tam(i<n los re%erimientos de copias de arc"i*os %e "an de gardarse en !orma permanente 1*er 12$1$>4$ (:$: Regi,0ro de ac0i2idade, del 5er,onal o5era0i2o El personal operati*o de(e mantener n registro de ss acti*idades$ )os registros de(en inclir+ seg'n corresponda9 a4 tiempos de inicio # cierre del sistema (4 errores del sistema # medidas correcti*as tomadas c4 con!irmacin del maneHo correcto de arc"i*os de datos # salidas d4 el nom(re de la persona %e lle*a a ca(o la actali:acin del registro )os registros de acti*idades del personal operati*o de(en estar sHetos a *eri!icaciones peridicas e independientes con relacin a los procedimientos operati*os$ (:$:" Regi,0ro de falla, "/ Es%ema 1 I ,AM& 9 Se de(en comnicar las !allas # tomar medidas correcti*as$ Se de(e registrar las !allas comnicadas por los sarios+ con respecto a pro(lemas con el procesamiento de la in!ormacin o los sistemas de comnicaciones$ 5e(en e8istir reglas claras para el maneHo de las !allas comnicadas+ con inclsin de9 a4 re*isin de registros de !allas para garanti:ar %e las mismas !eron reseltas satis!actoriamente (4 re*isin de medidas correcti*as para garanti:ar %e los controles no !eron comprometidos+ # %e las medidas tomadas !eron de(idamente atori:adas$ (:% Admini,0racin de la red O(Heti*o9 Caranti:ar la segridad de la in!ormacin en las redes # la proteccin de la in!raestrctra de apo#o$ Es de sma importancia la administracin de segridad de las redes %e peden atra*esar el per;metro de la organi:acin$ 7am(i<n peden re%erirse controles adicionales para los datos sensi(les %e circlen por redes p'(licas$ (:%:3 Con0role, de rede, Se re%iere n conHnto de controles para lograr # mantener la segridad de las redes in!ormticas$ )os administradores de redes de(en implementar controles para garanti:ar la segridad de los datos en la misma+ # la proteccin de los ser*icios conectados contra el acceso no atori:ado+ En particlar+ se de(en considerar los sigientes ;tems$ a4 Cando corresponda+ la responsa(ilidad operati*a de las redes de(e estar separada de las de operaciones del comptador 1*er 2$1$D4$ (4 Se de(en esta(lecer los procedimientos # responsa(ilidades para la administracin del e%ipamiento remoto+ incl#endo los e%ipos en las reas sarias c4 Si reslta necesario+ de(en esta(lecerse controles especiales para sal*agardar la con!idencialidad e integridad del procesamiento de los datos %e pasan a tra*<s de redes p'(licas+ # para proteger los sistemas conectados 1*er 9$D # 10$>4$ 7am(i<n peden re%erirse controles especiales para mantener la disponi(ilidad de los ser*icios de red # comptadoras conectadas$ d4 )as acti*idades gerenciales de(en estar estrec"amente coordinadas tanto para optimi:ar el ser*icio a la acti*idad de la empresa canto para garanti:ar %e los controles se aplican ni!ormemente en toda la in!raestrctra de procesamiento de in!ormacin$ (:& Admini,0racin ; ,eg*ridad de lo, medio, de almacenamien0o O(Heti*o 9 Impedir el daGo a los acti*os # las interrpciones en las acti*idades de la empresa$ )os medios de almacenamiento de(en ser controlados # protegidos !;sicamente$ Se de(en esta(lecer procedimientos operati*os apropiados para proteger docmentos+ medios de almacenamiento 1cintas+ discos+ casetes4+ datos de entrada/salida # docmentacin del sistema contra daGo+ ro(o # acceso no atori:ado$ (:&:3 Admini,0racin de medio, informD0ico, remo2i1le, 5e(en e8istir procedimientos para la administracin de medios in!ormticos remo*i(les+ como cintas+ discos+ casetes e in!ormes impresos$ Se de(en considerar los sigientes lineamientos9 $4 Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond a4 si #a no son re%eridos+ de(en (orrarse los contenidos pre*ios de cal%ier medio retili:a(le %e "a de ser retirado de la organi:acin$ (4 Se de(e re%erir atori:acin para retirar cal%ier medio de la organi:acin # se de(e reali:ar n registro de todos los retiros a !in de mantener na pista de aditor;a 1*er 2$7$24$ c4 7odos los medios de(en almacenarse en n am(iente segro # protegido+ de acerdo con las especi!icaciones de los !a(ricantes o pro*eedores$ 7odos los procedimientos # ni*eles de atori:acin de(en ser claramente docmentados$ (:&: Eliminacin de medio, informD0ico, Cando #a no son re%eridos+ los medios in!ormticos de(en eliminarse de manera segra$ Si los mismos no se eliminan cidadosamente+ la in!ormacin sensi(le pede !iltrarse a personas aHenas a la organi:acin$ Se de(en esta(lecer procedimientos !ormales para la eliminacin segra de los medios in!ormticos+ a !in de minimi:ar este riesgo$ 5e(en considerarse los sigientes controles$ a4 )os medios %e contienen in!ormacin sensi(le de(en ser almacenados # eliminados de manera segra+ por eH$ incinerndolos o "aci<ndolos tri:as+ o eliminando los datos # tili:ando los medios en otra aplicacin dentro de la organi:acin$ (4 El sigiente listado identi!ica ;tems %e podr;an re%erir na eliminacin segra9 14 docmentos en papel+ 24 *oces otras gra(acionesL >4 papel car(nicoL D4 in!ormes de salida+ .4 cintas de impresora de n solo soL 04 cintas magn<ticasL 74 discos o casetes remo*i(lesL 24 medios de almacenamiento ptico 1todos los !ormatos incl#endo todos los medios de distri(cin de so!tIare del !a(ricante o pro*eedor4L 94 listados de programasL 104 datos de pre(aL 114 docmentacin del sistema+ c4 -ede resltar ms !cil disponer %e todos los medios sean recolectados # eliminados de manera segra+ antes %e intentar separar los ;tems sensi(les$ d4 Mc"as organi:aciones o!recen ser*icios de recoleccin # eliminacin de papeles+ e%ipos # medios$ Se de(e seleccionar cidadosamente a n contratista apto con adecados controles # e8periencia$ e4 Cando sea posi(le+ se de(e registrar la eliminacin de los ;tems sensi(les+ a !in de mantener na pista de aditor;a$ Al acmlar medios para s eliminacin+ se de(e considerar el e!ecto de acmlacin+ %e pede ocasionar %e na gran cantidad de in!ormacin no clasi!icada se torne ms sensi(le %e na pe%eGa cantidad de in!ormacin clasi!icada$ (:&:" !rocedimien0o, de mane?o de la informacin Se de(en esta(lecer procedimientos para el maneHo # almacenamiento de la in!ormacin para protegerla contra s so inadecado o di*lgacin no atori:ada$ )os procedimientos de maneHo de in!ormacin de(en ela(orarse seg'n la clasi!icacin de la misma 1*er .$24 en docmentos+ sistemas in!ormticos+ redes+ comptacin m*il+ comnicaciones m*iles+ correo+ correo de *o:+ comnicaciones de *o: en general+ mltimedia+ ser*icios e instalaciones postales+ so de m%inas de !a8 # cal%ier otro ;tem sensi(le+ por eH$ !actras # c"e%es en (lanco$ Se de(en tener en centa los sigientes controles 1*er tam(i<n .$2 # 2$7$249 $3 Es%ema 1 I ,AM& 9 a4 maneHo # rotlado de todos los medios 1*er tam(i<n 2$7$2 a4L (4 restriccin de acceso para identi!icar al personal no atori:adoL c4 mantenimiento de n registro !ormal de los receptores atori:ados de datosL d4 garanti:ar %e los datos de entrada son completos+ %e el procesamiento se lle*a a ca(o correctamente # %e se aplica la *alidacin de salidasL e4 proteccin de datos en espera 1Jspooled dataJ4 en n ni*el consecente con el grado de sensi(ilidad de los mismos !4 almacenamiento de medios en n am(iente %e concerda con las especi!icaciones de los !a(ricantes o pro*eedores g4 mantener la distri(cin de datos en n ni*el m;nimo "4 marcacin clara de todas las copias de datos a !in de ser ad*ertidas por el receptor atori:ado i4 re*isin de listados de distri(cin # listados de receptores atori:ados a inter*alos reglares$ (:&:$ Seg*ridad de la doc*men0acin del ,i,0ema )a docmentacin del sistema pede contener cierta cantidad de in!ormacin sensi(le+ por eH$ descripcin de procesos de aplicaciones+ procedimientos+ estrctras de datos+ procesos de atori:acin 1*er tam(i<n 9$14$ Se de(en considerar los sigientes controles para proteger la docmentacin del sistema de accesos no atori:ados$ a4 )a docmentacin del sistema de(e ser almacenada en !orma segraL (4 El listado de acceso a la docmentacin del sistema de(e restringirse al m;nimo # de(e ser atori:ado por el propietario de la aplicacinL c4 )a docmentacin del sistema almacenada en na red p'(lica+ o sministrada a tra*<s de na red p'(lica+ de(e ser protegida de manera adecadaL (:' In0ercam1io, de informacin ; ,of0@are O(Heti*o9 Impedir la p<rdida+ modi!icacin o so inadecado de la in!ormacin %e intercam(ian las organi:aciones$ )os intercam(ios de in!ormacin # so!tIare entre organi:aciones de(en ser controlados+ # de(en ser consecentes con la legislacin aplica(le 1*er pnto 124$ )os intercam(ios de(en lle*arse a ca(o de con!ormidad con los acerdos e8istentes$ Se de(en esta(lecer procedimientos # estndares para proteger la in!ormacin # los medios en trnsito$ Se de(en considerar las implicancias comerciales # de segridad relacionadas con el intercam(io electrnico de datos+ el comercio electrnico # el correo electrnico+ adems de los re%erimientos de controles$ (:':3 Ac*erdo, de in0ercam1io de informacin ; ,of0@are Se de(en esta(lecer acerdos+ algnos de los cales peden ser !ormales+ incl#endo los acerdos de cstodia de so!tIare cando corresponda+ para el intercam(io de in!ormacin # so!tIare 1tanto electrnico como manal4 entre organi:aciones$ )as especi!icaciones de segridad de los acerdos de esta ;ndole de(en re!leHar el grado de sensi(ilidad de la in!ormacin de negocio in*olcrada$ )os acerdos so(re re%isitos de segridad de(en tener en centa a4 responsa(ilidades gerenciales por el control # la noti!icacin de transmisiones+ en*;os # recepciones L (4 procedimientos de noti!icacin de emisor+ transmisin+ en*;o # recepcinL c4 estndares t<cnicos m;nimos para armado de pa%etes # transmisinL d4 estndares de identi!icacin de mensaHeros 1QcorierR4L e4 responsa(ilidades # o(ligaciones en caso de p<rdida de datos $ Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond !4 so de n sistema con*enido para el rotlado de in!ormacin cr;tica o sensi(le+ garanti:ando %e el signi!icado de los rtlos sea inmediatamente comprendido # %e la in!ormacin sea adecadamente protegidaL g4 in!ormacin so(re la propiedad de la in!ormacin # el so!tIare+ # responsa(ilidades por la proteccin de los datos+ el cmplimiento del Jderec"o de propiedad intelectalJ del so!tIare # consideraciones similares 1*er 12$1$2 # 12$1$D4 L 1 "4 estndares t<cnicos para la gra(acin # lectra de la in!ormacin # so!tIare L i4 controles especiales %e peden re%erirse para proteger ;tems sensi(les+ como las cla*es criptogr!icas 1*er 10$>$.4$ (:': Seg*ridad de lo, medio, en 0rDn,i0o )a in!ormacin pede ser *lnera(le a accesos no atori:ados+ mal so o alteracin drante el transporte !;sico+ por eHemplo cando se en*;an medios a tra*<s de ser*icios postales o de mensaHer;a$ )os sigientes controles de(en ser aplicados para sal*agardar los medios in!ormticos %e se transportan entre distintos pntos$ a4 Se de(en tili:ar medios de transporte o ser*icios de mensaHer;a con!ia(les$ Se de(e acordar con la gerencia na lista de ser*icios de mensaHer;a atori:ados e implementar n procedimiento para *eri!icar la identi!icacin de los mismos$ (4 El em(alaHe de(e ser s!iciente como para proteger el contenido contra e*entales daGos !;sicos drante el trnsito # de(e segir las especi!icaciones de los !a(ricantes o pro*eedores$ c4 Se de(en adoptar controles especiales+ cando reslte necesario+ a !in de proteger la in!ormacin sensi(le contra di*lgacin o modi!icacin no atori:adas$ Entre los eHemplos se incl#en 14 so de recipientes cerradosL 24 entrega en manoL >4 em(alaHe a pre(a de apertra no atori:ada 1%e re*ele cal%ier intento de acceso4L D4 en casos e8cepcionales+ di*isin de la mercader;a a en*iar en ms de na entrega # en*;o por di!erentes rtas$ (:':" Seg*ridad del comercio elec0rnico El comercio electrnico pede comprender el so de intercam(io electrnico de datos 1E5I4+ correo electrnico # transacciones en l;nea a tra*<s de redes p'(licas como Internet$ El comercio electrnico es *lnera(le a di*ersas amena:as relati*as a redes+ %e peden tener como resltado acti*idades !radlentas+ disptas contractales # di*lgacin o modi!icacin de in!ormacin$ Se de(en aplicar controles para proteger al comercio electrnico de dic"as amena:as$ )as consideraciones en materia de segridad con respecto al comercio electrnico de(en inclir las sigientes9 a4 Atenticacin$ Q< ni*el de con!ian:a rec;proca de(en re%erir el cliente # comerciante con respecto a la identidad alegada por cada no de ellosS (4 Atori:acin$ Qi<n est atori:ado a !iHar precios+ emitir o !irmar los docmentos comerciales cla*eS Cmo conoce este pnto el otro participante de la transaccin$ c4 -rocesos de o!erta # contratacin$ Cles son los re%erimientos de con!idencialidad+ integridad # pre(a de en*;o # recepcin de docmentos cla*e # de no repdio de contratosS d4 In!ormacin so(re !iHacin de precios$ Q< ni*el de con!ian:a pede depositarse en la integridad del listado de precios p(licado # en la con!idencialidad de los acerdos relati*as a descentosS $" Es%ema 1 I ,AM& 9 e4 7ransacciones de compra$ Cmo es la con!idencialidad e integridad de los datos sministrados con respecto a rdenes+ pagos # direcciones de entrega+ # con!irmacin de recepcinS !4 Feri!icacin$ Q< grado de *eri!icacin es apropiado para constatar la in!ormacin de pago sministrada por el clienteS g4 Cierre de la transaccin$ Cl es !orma de pago ms adecada para e*itar !radesS "4 Ordenes$ Q< proteccin se re%iere para mantener la con!idencialidad e integridad de la in!ormacin so(re rdenes de compra # para e*itar la p<rdida o dplicacin de transacciones$ i4 ,esponsa(ilidad$ Qi<n asme el riesgo de e*entales transacciones !radlenta Cran parte de las consideraciones mencionadas peden resol*erse mediante la aplicacin de las t<cnicas criptogr!icas enmeradas en el pnto 10$>+ tomando en centa el cmplimiento de los re%isitos legales 1*er 12$1+ en particlar los pntos 12$1$0 para legislacin so(re criptogra!;a4$ )os acerdos de comercio electrnico entre partes+ de(en ser respaldados por n acerdo docmentado %e comprometa a las mismas a respetar los t<rminos # condiciones acordados+ incl#endo los detalles de atori:acin O*er el pnto (4+ ms arri(aP$ -eden re%erirse otros acerdos con pro*eedores de ser*icios de in!ormacin # de redes %e aporten (ene!icios adicionales$ )os sistemas p'(licos de transacciones de(en dar a conocer a ss clientes ss t<rminos # condiciones comerciales$ Se de(e tomar en centa la resistencia a ata%es con %e centa el J"ostJ tili:ado para el comercio electrnico+ # las implicancias de segridad de las intercone8iones de red %e se re%ieren para s implementacin 1*er 9$D$74$ (:':$ Seg*ridad del correo elec0rnico (:':$:3 Rie,go, de ,eg*ridad El correo electrnico se est tili:ando para las comnicaciones comerciales+ en reempla:o de las !ormas tradicionales de comnicacin como el tele8 # el correo postal$ El correo electrnico di!iere de las !ormas tradicionales de comnicaciones comerciales por s *elocidad+ estrctra de mensaHes+ grado de in!ormalidad # *lnera(ilidad a las acciones no atori:adas$ Se de(e tener en centa la necesidad de controles para redcir los riesgos de segridad creados por el correo electrnico$ )os riesgos relati*os a la segridad comprenden 9 a4 *lnera(ilidad de los mensaHes al acceso o modi!icacin no atori:ados o a la negacin de ser*icio (4 *lnera(ilidad a errores+ por eH$+ consignacin incorrecta de la direccin o direccin errnea+ # la con!ia(ilidad # disponi(ilidad general del ser*icio L c4 impacto de n cam(io en el medio de comnicacin en los procesos de negocio+ por eH$+ el e!ecto del incremento en la *elocidad de en*;o o el e!ecto de en*iar mensaHes !ormales de persona a persona en lgar de mensaHes entre organi:aciones d4 consideraciones legales+ como la necesidad potencial de contar con pre(a de origen+ en*;o+ entrega # aceptacin e4 implicancias de la p(licacin e8terna de listados de personal+ accesi(les al p'(lico L !4 control del acceso de sarios remotos a las centas de correo electrnico$ (:':$: !ol0ica de correo elec0rnico $$ Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond )as organi:aciones de(en ela(orar na pol;tica clara con respecto al so del correo electrnico+ %e incl#a los sigientes tpicos9 a4 ata%es al correo electrnico+ por eH$ *irs+ interceptacin (4 proteccin de arc"i*os adHntos de correo electrnicoL c4 lineamientos so(re cando no tili:ar correo electrnicoL d4 responsa(ilidad del empleado de no comprometer a la organi:acin+ por eH$ en*iando correos electrnicos di!amatorios+ lle*ando a ca(o prcticas de "ostigamiento+ o reali:ando compras no atori:adasL e4 so de t<cnicas criptogr!icas para proteger la con!idencialidad e integridad de los mensaHes electrnicos 1*er 10$>4 !4 retencin de mensaHes %e+ si se almacenaran+ podr;an ser "allados en caso de litigioL g4 controles adicionales para e8aminar mensaHes electrnicos %e no peden ser atenticados$ (:':% Seg*ridad de lo, ,i,0ema, elec0rnico, de oficina Se de(en preparar e implementar pol;ticas # lineamientos para controlar las acti*idades de la empresa # riesgos de segridad relacionados con los sistemas electrnicos de o!icina$ ?stos propician la di!sin # distri(cin ms rpidas de la in!ormacin de la empresa mediante na com(inacin de docmentos+ comptadoras+ comptacin m*il+ comnicaciones m*iles+ correo+ correo de *o:+ comnicaciones de *o: en general+ mltimedia+ ser*icios o instalaciones postales # m%inas de !a8$ )as consideraciones respecto de las implicancias de segridad # comerciales al interconectar tales ser*icios+ de(en inclir9 a4 *lnera(ilidades de la in!ormacin en los sistemas de o!icina+ por eH$ la gra(acin de llamadas tele!nicas o tele con!erencias+ la con!idencialidad de las llamadas+ el almacenamiento de !a8es+ la apertra o distri(cin del correoL (4 pol;tica # controles apropiados para administrar la distri(cin de in!ormacin+ por eH$ el so de (oletines electrnicos corporati*os 1*er 9$14 c4 e8clsin de categor;as de in!ormacin sensi(le de la empresa+ si el sistema no (rinda n adecado ni*el de proteccin 1*er .$24 d4 limitacin del acceso a la in!ormacin de agenda de personas determinadas+ por eH$ el personal %e tra(aHa en pro#ectos sensi(les L e4 la aptitd del sistema para dar soporte a las aplicaciones de la empresa+ como la comnicacin de rdenes o atori:aciones !4 categor;as de personal+ contratistas o socios a los %e se permite el so del sistema # las (icaciones desde las cales se pede acceder al mismo 1*er D$24L g4 restriccin de determinadas instalaciones a espec;!icas categor;as de sariosL "4 identi!icacin de la posicin o categor;a de los sarios+ por eH$ empleados de la organi:acin o contratistas en directorios a (ene!icio de otros sarios L i4 retencin # resgardo de la in!ormacin almacenada en el sistema 1*er 12$1$> # 2$D$14 H4 re%erimientos # disposiciones relati*os a sistemas de soporte U-C de reposicin de in!ormacin perdida 1*er 1 1$14$ (:':& Si,0ema, de acce,o 5E1lico Se de(en tomar recados para la proteccin de la integridad de la in!ormacin p(licada electrnicamente+ a !in de pre*enir la modi!icacin no atori:ada %e podr;a daGar la reptacin de la organi:acin %e emite la p(licacin$ Es posi(le %e la in!ormacin de n sistema de acceso p'(lico+ por eH$ la in!ormacin en n ser*idor Te( accesi(le por Internet+ de(a cmplir con le#es+ normas # estattos de la Hrisdiccin en la cal se locali:a el sistema o en la cal tiene lgar la $% Es%ema 1 I ,AM& 9 transaccin$ 5e(e e8istir n proceso de atori:acin !ormal antes de %e la in!ormacin se ponga a disposicin del p'(lico$ El so!tIare+ los datos # dems in!ormacin %e re%iera n alto ni*el de integridad+ # %e est< disponi(le en n sistema de acceso p'(lico+ de(en ser protegidos+ mediante mecanismos adecados+ por eH$ !irmas digitales 1*er 10$>$>4$ )os sistemas de p(licacin electrnica+ en particlar a%ellos %e permiten J!eed(acKJ e ingreso directo de in!ormacin+ de(en ser cidadosamente controlados de manera %e9 a4 la in!ormacin se o(tenga de acerdo con la legislacin de proteccin de datos 1*er 12$1$D4L (4 la in!ormacin %e se ingresa al sistema de p(licacin+ o a%ella %e procesa el mismo+ sea procesada en !orma completa+ e8acta # oportnaL c4 la in!ormacin sensi(le sea protegida drante el proceso de recoleccin # drante s almacenamientoL d4 el acceso al sistema de p(licacin no permita el acceso accidental a las redes a las cales se conecta el mismo$ (:':' O0ra, forma, de in0ercam1io de informacin Se de(en implementar procedimientos # controles para proteger el intercam(io de in!ormacin a tra*<s de medios de comnicaciones de *o:+ !a8 # *;deo$ )a in!ormacin pede *erse comprometida de(ido a la !alta de concienti:acin+ pol;ticas o procedimientos acerca del so de dic"os medios+ por eH$ al escc"arse na con*ersacin por tel<!ono m*il en n lgar p'(lico+ al escc"arse los mensaHes gra(ados en n contestador atomtico+ mediante el acceso no atori:ado a sistemas de correo de *o: por discado+ o al en*iar accidentalmente !a8es a la persona e%i*ocada$ Si los ser*icios de comnicaciones !allan+ se so(recargan o se interrmpen+ las operaciones de la empresa podr;an *erse interrmpidas # la in!ormacin comprometerse 1*er pntos 7$2 # 1 l4$ )a in!ormacin tam(i<n podr;a comprometerse si sarios no atori:ados acceden a estos ser*icios 1*er pnto 94$ Se de(e esta(lecer na pol;tica clara con respecto a los procedimientos %e de(er segir el personal al esta(lecer comnicaciones de *o:+ !a8 # *;deo$ Esta de(e inclir lo sigiente9 a4 recordar al personal %e de(e tomar las de(idas precaciones+ por eH$ no re*elar in!ormacin sensi(le como para e*itar ser escc"ado o interceptado+ al "acer na llamada tele!nica+ por9 14 personas cercanas+ en especial al tili:ar tel<!onos m*ilesL 24 inter*encin de la l;nea tele!nica+ # otras !ormas de escc"a s(repticias+ a tra*<s del acceso !;sico al aparato o a la l;nea tele!nica+ o mediante e%ipos de (arrido de !recencias 1QscannersR4 al tili:ar tel<!onos m*iles anlogosL >4 personas en el lado receptorL (4 recordar al personal %e no de(e sostener con*ersaciones con!idenciales en lgares p'(licos o!icinas a(iertas # lgares de renin con paredes delgadasL c4 no deHar mensaHes en contestadores atomticos pesto %e <stos peden ser escc"ados por personas no atori:adas+ almacenados en sistemas p'(licos o almacenados incorrectamente como resltado de n error de discado d4 recordar al personal los pro(lemas ocasionados por el so de m%inas de !a8+ en particlar9 14 el acceso no atori:ado a sistemas incorporados de almacenamiento de mensaHes con el o(Heto de recperarlosL 24 la programacin deli(erada o accidental de e%ipos para en*iar mensaHes a determinados n'meros L >4 el en*;o de docmentos # mensaHes a n n'mero e%i*ocado por errores de discado o por tili:ar el n'mero almacenado e%i*ocado$ $& Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond $' Es%ema 1 I ,AM& 9 / CONTROL DE ACCESOS /:3 Re.*erimien0o, de negocio 5ara el con0rol de acce,o, O(Heti*o9 Controlar el acceso de in!ormacin$ El acceso a la in!ormacin # los procesos de negocio de(en ser controlados so(re la (ase de los re%erimientos la segridad # de los negocios$ -ara esta se de(en tener en centa las pol;ticas de di!sin # atori:acin de la in!ormacin9 /:3:3 !ol0ica de con0rol de acce,o, /:3:3:3 Re.*erimien0o, 5ol0ico, ; de negocio,: Se de(en de!inir # docmentar los re%erimientos de negocio para el control de accesos$ )as reglas # derec"os del control de accesos+ para cada sario o grpo de sarios+ de(en ser claramente esta(lecidos en na declaracin de pol;tica de accesos$ Se de(e otorgar a los sarios # pro*eedores de ser*icio na clara ennciacin de los re%erimientos comerciales %e de(ern satis!acer los controles de acceso$ )a pol;tica de(e contemplar lo sigiente9 a4 re%erimientos de segridad de cada na de las aplicaciones comercialesL (4 identi!icacin de toda in!ormacin relacionada con las aplicaciones comercialesL c4 las pol;ticas de di*lgacin # atori:acin de in!ormacin+ por eH$+ el principio de necesidad de conocer+ # los ni*eles de segridad # la clasi!icacin de la in!ormacinL d4 co"erencia entre las pol;ticas de control de acceso # de clasi!icacin de in!ormacin de los di!erentes sistemas # redes L e4 legislacin aplica(le # o(ligaciones contractales con respecto a la proteccin del acceso a datos # ser*icios 1*er pnto 124 L !4 per!iles de acceso de sarios estndar+ comnes a cada categor;a de pestos de tra(aHo L g4 administracin de derec"os de acceso en n am(iente distri(ido # de red %e recono:can todos los tipos de cone8iones disponi(les$ /:3:3: Regla, de con0rol de acce,o, Al especi!icar las reglas de control de acceso+ se de(e considerar cidadosamente lo sigiente9 a4 di!erenciar entre reglas %e siempre de(en imponerse # reglas optati*as o condicionalesL (4 esta(lecer reglas so(re la (ase de la premisa QQ< de(e estar generalmente pro"i(ido a menos %e se permita e8presamenteSR+ antes %e la regla mas d<(il Q7odo esta generalmente permitido a menos %e se pro";(a e8presamenteR L c4 los cam(ios en los rtlos de in!ormacin 1*er .$24 %e son iniciados atomticamente por las instalaciones de procesamiento de in!ormacin # a%ellos el sario inicia seg'n s criterioL d4 los cam(ios en los permisos de sario %e son iniciados atomticamente por el sistema de in!ormacin # a%ellos %e inicia el administradorL e4 las reglas %e re%ieren la apro(acin del administrador o de otros antes de entrar en *igencia # a%ellas %e no$ $( Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond /: Admini,0racin de acce,o, de *,*ario, O(Heto9 Impedir el acceso no atori:ado en los sistemas de in!ormacin$ Se de(en implementar procedimientos !ormales para controlar la asignacin de derec"os de acceso a los sistemas # ser*icios de in!ormacin$ )os procedimientos de(en comprender todas las etapas del ciclo de *ida de los accesos de sario+ desde el registro inicial de ne*os sarios "asta la pri*acin !inal de derec"os de los sarios %e #a no re%ieren acceso a los sistemas # ser*icios de in!ormacin$ Se de(e conceder especial atencin+ cando corresponda+ a la necesidad de controlar la asignacin de derec"os de acceso de pri*ilegio+ %e permiten a los sarios pasar por alto los controles de sistema$ /::3 Regi,0racin de *,*ario, 5e(e e8istir n procedimiento !ormal de registracin # desregistracin de sarios para otorgar acceso a todos los sistemas # ser*icios de in!ormacin mlti&sario$ El acceso a ser*icios de in!ormacin mlti&sario de(e ser controlado a tra*<s de n proceso !ormal de registracin de sarios+ el cal de(e inclir los sigientes pntos9 a4 tili:ar I5s de sario 'nicos de manera %e se peda *inclar # "acer responsa(les a los sarios por ss acciones$ El so de I5s grpales solo de(e ser permitido cando son con*enientes para el tra(aHo a desarrollar L (4 *eri!icar %e el sario tiene atori:acin del propietario del sistema para el so del sistema o ser*icio de in!ormacin$ 7am(i<n pede resltar apropiada na apro(acin adicional de derec"os de acceso por parte de la gerenciaL c4 *eri!icar %e el ni*el de acceso otorgado es adecado para el propsito del negocios 1*er 9$14 # es co"erente con la pol;tica de segridad de la organi:acin+ por eH$ %e no compromete la separacin de tareas 1*er 2$1$D4 L d4 entregar a los sarios n detalle escrito de ss derec"os de accesoL e4 re%erir %e los sarios !irmen declaraciones seGalando %e comprenden las condiciones para el acceso L !4 garanti:ar %e los pro*eedores de ser*icios no otorgan acceso "asta %e se "a#an completado los procedimientos de atori:acin L g4 mantener n registro !ormal de todas las personas registradas para tili:ar el ser*icio L "4 cancelar inmediatamente los derec"os de acceso de los sarios %e cam(iaron ss tareas o se des*inclaron de la organi:acin L i4 *eri!icar peridicamente+ # cancelar I5s # centas de sarios redndantesL H4 garanti:ar %e los I5s de sario redndantes no se asignen a otros sariosL Se de(e considerar la inclsin de clslas en los contratos de personal # de ser*icios %e especi!i%en sanciones si el personal o los agentes %e prestan n ser*icio intentan accesos no atori:ados 1*er tam(i<n 0$1$D$ # 0$>$.$4 /:: Admini,0racin de 5ri2ilegio, Se de(e limitar # controlar la asignacin # so de pri*ilegios 1cal%ier caracter;stica o ser*icio de n sistema de in!ormacin mlti&sario %e permita %e el sario pase por alto los controles de sistemas o aplicaciones4$ El so inadecado de los pri*ilegios del sistema reslta !recentemente en el ms importante !actor %e contri(#e a la !alla de los sistemas a los %e se "a accedido ilegalmente$ $/ Es%ema 1 I ,AM& 9 )os sistemas mlti&sario %e re%ieren proteccin contra accesos no atori:ados+ de(en pre*er na asignacin de pri*ilegios controlada mediante n proceso de atori:acin !ormal$ Se de(en tener en centa los sigientes pasos9 a4 5e(en identi!icarse los pri*ilegios asociados a cada prodcto del sistema por eH$ sistema operati*o+ sistema de administracin de (ases de datos # aplicaciones+ # las categor;as de personal a las cales de(en asignarse los prodctos$ (4 )os pri*ilegios de(en asignarse a indi*idos so(re las (ases de la necesidad de so # e*ento por e*ento+ por eH$ el re%erimiento m;nimo para s rol !ncional solo cando sea necesario$ c4 Se de(e mantener n proceso de atori:acin # n registro de todos los pri*ilegios asignados$ )os pri*ilegios no de(en ser otorgados "asta %e se "a#a completado el proceso de atori:acin$ d4 Se de(e promo*er el desarrollo # so de rtinas del sistema para e*itar la necesidad de otorgar pri*ilegios a los sarios$ e4 )os pri*ilegios de(en asignarse a na identidad de sario di!erente de a%ellas tili:adas en los acti*idades comerciales normales$ /::" Admini,0racin de con0ra,eFa, de *,*ario )as contraseGas constit#en n medio com'n de *alidacin de la identidad de n sario para acceder a n sistema o ser*icio de in!ormacin$ )a asignacin de contraseGas de(e controlarse a tra*<s de n proceso de administracin !ormal+ mediante el cal de(e lle*arse a ca(o lo sigiente9 a4 re%erir %e los sarios !irmen na declaracin por la cal se comprometen a mantener ss contraseGas personales en secreto # las contraseGas de los grpos de tra(aHo e8clsi*amente entre los miem(ros del grpo 1esto podr;a inclirse en los t<rminos # condiciones de empleo+ *er 0$1$D4L (4 garanti:ar+ cando se re%iera %e los sarios mantengan a ss propias contraseGas+ %e se pro*ea inicialmente a los mismos de na contraseGa pro*isoria segra+ %e de(ern cam(iar de inmediato$ )as contraseGas pro*isorias+ %e se asignan cando los sarios ol*idan s contraseGa+ solo de(e sministrarse na *e: identi!icado el sarioL c4 re%erir contraseGas pro*isorias para otorgar a los sarios de manera segra$ Se de(e e*itar la participacin de terceros o el so de mensaHes de correo electrnico sin proteccin 1te8to claro4$ )os sarios de(en acsar reci(o de la recepcin de la cla*e 1passIord4L )as contraseGas nnca de(en ser almacenadas en sistemas in!ormati*os sin proteccin 1*er 9$.$D4$ Se reslta pertinente+ se de(e considerar el so de otras tecnolog;as de identi!icacin # atenticacin de sarios+ como la (iom<trica+ por EH$$$ *eri!icacin de "ellas dactilares+ *eri!icacin de !irma # so de QtoKensR de "ardIare+ como las tarHetas de circito integrado 1Qc"ip&cardsR4$ /::$ Re2i,in de derecGo, de acce,o de *,*ario A !in de mantener n control e!ica: del acceso a los datos # ser*icios de in!ormacin+ la gerencia de(e lle*ar a ca(o n proceso !ormal a inter*alos reglares+ a !in de re*isar los derec"os de acceso de los sarios+ de manera tal %e9 a4 los derec"os de acceso de los sarios se re*isen a inter*alos reglares 1se recomienda n periodo de seis meses4 # desp<s de cal%ier cam(io 1*er 9$2$14L (4 las atori:aciones de pri*ilegios especiales de derec"os de acceso 1*er 9$2$24 se re*isen a inter*alos mas !recentes 1se recomienda n periodo de tres meses4 L c4 las asignaciones de pri*ilegios se *eri!i%en a inter*alos reglares+ a !in de garanti:ar %e no se o(tengan pri*ilegios no atori:ados$ %4 Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond %3 Es%ema 1 I ,AM& 9 /:" Re,5on,a1ilidade, del *,*ario O(Heto9 Impedir el acceso sarios no atori:ados )a cooperacin de los sarios atori:ados en esencial para la e!icacia de la segridad$ Se de(e concienciar a los sarios acerca de ss responsa(ilidades por el mantenimiento de controles de acceso e!icaces+ en particlar a%ellos relacionados con el so de contraseGas # la segridad del e%ipamiento$ /:":3 U,o de con0ra,eFa, )os sarios de(en segir (enas prcticas de segridad en la seleccin # so de contraseGas$ )as contraseGas constit#en n medio de *alidacin de la identidad de n sario # consecente& mente n medio para esta(lecer derec"os de acceso a las instalaciones o ser*icios de procesamiento de in!ormacin$ Se de(e noti!icar a los sarios %e de(en cmplir con los sigientes pntos9 a4 mantener las contraseGas en secretoL (4 e*itar mantener n registro en papel de las contraseGas+ a menos %e este peda ser almacenado en !orma segraL c4 cam(iar las contraseGas siempre %e e8ista n posi(le indicio de compromiso del sistema o de las contraseGasL d4 seleccionar contraseGas de calidad+ con na longitd m;nima de seis caracteres %e9 14 sean !cil de recordarL 24 no est<n (asadas en alg'n dato %e otra persona peda adi*inar o(tener !cilmente mediante in!ormacin relacionada con la persona+ por eH$ nom(res+ n'meros de tel<& !ono+ !ec"a de nacimiento+ etc$ L >4 no tengan caracteres id<nticos consecti*os o grpos totalmente nm<ricos o total& mente al!a(<ticos$ e4 cam(iar las contraseGas a inter*alos reglares o seg'n el n'mero de acceso 1las contraseGas de centas con pri*ilegios de(en ser modi!icadas con ma#or !recencia %e las contraseGas comnes4+ # e*itar retili:ar o reciclar *ieHas contraseGas L !4 cam(iar las contraseGas pro*isorias en el primer inicio de sesin 1Qlog onR4 L g4 no inclir contraseGas en los procesos atomati:ados de inicio de sesin+ por eH$ a%ellas almacenadas en na tecla de !ncin o macro L "4 no compartir las contraseGas indi*idales de sario$ Si los sarios necesitan acceder a m'ltiples ser*icios o plata!ormas # se re%iere %e mantengan m'ltiples contraseGas+ se de(e noti!icar a los mismos %e peden tili:ar na contraseGa de calidad 'nica 1*er 9$>$14 para todos los ser*icios %e (rinden n ni*el ra:ona(le de proteccin de las contraseGas almacenadas$ /:": E.*i5o, de,a0endido, en Drea, de *,*ario, )os sarios de(en garanti:ar %e los e%ipos desatendidos sean protegidos adecadamente$ )os e%ipos instalados en reas de sarios+ por eH$ estaciones de tra(aHo o ser*idores de arc"i*os+ peden re%erir na proteccin espec;!ica contra accesos no atori:ados+ cando se encentran desatendidos drante n periodo e8tenso$ Se de(e concienti:ar a todos los sarios # contratistas+ acerca de los re%erimientos # procedimientos de segridad+ para la proteccin de e%ipos desatendidos+ as; como de ss responsa(ilidades por la implementacin de dic"a proteccin$ % Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond Se de(e noti!icar a los sarios %e de(en cmplir con los sigientes pntos9 a4 conclir las sesiones acti*as al !inali:ar las tareas+ a menos %e pedan protegerse mediante n mecanismo de (lo%eo adecado+ por eH$ n preser*ador de pantallas protegido por contraseGa L (4 lle*ar a ca(o el procedimiento de salida de los procesadores centrales cando !inali:a la sesin 1no solo apagar la -C o terminal4 L c4 proteger las -Cs o terminales contra sos no atori:ados mediante n (lo%eo de segridad o control e%i*alente+ por eH$ contraseGa de acceso+ cando no se tili:an$ /:$ Con0rol de acce,o a la red O(Heti*o9 )a proteccin de los ser*icios de red$ Se de(e controlar el acceso a los ser*icios de red tanto internos como e8ternos$ Esto es necesario para garanti:ar %e los sarios %e tengan acceso a las redes # a los ser*icios de red no comprometan la segridad de estos ser*icios+ garanti:ando9 a4 inter!aces inadecadas entre la red de la organi:acin # las redes de otras organi:aciones+ o redes p(licas L (4 mecanismos de atenticacin apropiados para sarios # e%ipamiento L c4 control de acceso de sarios a los ser*icios de in!ormacin$ /:$:3 !ol0ica de *0ili<acin de lo, ,er2icio, de red )as cone8iones no segras a los ser*icios de red peden a!ectar a toda la organi:acin$ )os sarios solo de(en contar con acceso directo a los ser*icios para los cales "an sido e8presamente atori:ados$ Este control es particlarmente importante para las cone8iones de red a aplicaciones comerciales sensi(les o cr;ticas o a sarios en sitios de alto riesgo+ por eH$ reas p'(licas o e8ternas %e estn !era de la administracin # el control de segridad de la organi:acin$ Se de(e !ormlar na pol;tica concerniente al so de redes # ser*icios de red$ Esta de(e comprender9 a4 las redes # ser*icios de red a los cales se permite el acceso L (4 procedimientos de atori:acin para determinar las personas # las redes # ser*icios de red a los cales tienen permitido el acceso L c4 controles # procedimientos de gestin para proteger el acceso a las cone8iones # ser*icios de red$ Esta pol;tica de(e ser co"erente con la pol;tica de control de accesos de la organi:acin 1*er 9$14$ /:$: Camino for<ado -ede resltar necesario controlar el camino desde la terminal de sario "asta el ser*icio in!ormtico$ )as redes estn diseGadas para permitir el m8imo alcance de distri(cin de recrsos # !le8i(ilidad de rteo$ Estas caracter;sticas tam(i<n peden o!recer oportnidades para el acceso no atori:ado a las aplicaciones de negocios+ o para el so no atori:ado de ser*icios de in!ormacin$ Estos riesgos peden redcirse mediante la incorporacin de controles+ %e limiten la rta entre na terminal de sario # los ser*icios del comptador+ a los cales ss sarios estn atori:ados a acceder+ por eH$ creando n camino !or:ado$ El o(Heti*o de n camino !or:ado es e*itar %e los sarios seleccionen rtas !era de la tra:ada entre la terminal de sario # los ser*icios a los cales el mismo esta atori:ado a acceder$ %" Es%ema 1 I ,AM& 9 Esto normalmente re%iere la implementacin de *arios controles en di!erentes pntos de la rta$ El principio es limitar las opciones de rteo en cada pnto de la red+ a tra*<s de elecciones prede!inidas$ A continacin se enmeran los eHemplos pertinentes9 a4 asignacin de n'meros tele!nicos o l;neas dedicadas L (4 cone8in atomtica de pertos a gateIa#s de segridad o a sistemas de aplicacin espec;!icosL c4 limitar las opciones de men' # s(men' de cada no de los sarios L d4 e*itar la na*egacin ilimitada por la red L e4 imponer el so de sistemas de aplicacin #/o gateIa#s de segridad espec;!icos para sarios e8ternos de la red L !4 controlar acti*amente las comnicaciones con origen # destino atori:ados a tra*<s de n gateIa#+ por eH+ !ireIallsL g4 restringir el acceso a redes+ esta(leciendo dominios lgicos separados+ por eH$+ redes pri*adas *irtales para grpos de sarios dentro de la organi:acin 1*er tam(i<n 9$D$04L )os re%erimientos relati*os a enrtamientos !or:ados de(en (asarse en la pol;tica de control de accesos de la organi:acin$ 19$14$ /:$:" A*0en0icacin de *,*ario, 5ara cone7ione, e70erna, )as cone8iones e8ternas son de gran potencial para accesos no atori:ados a la in!ormacin de la empresa+ por eH$+ accesos mediante discado$ -or consigiente+ el acceso de sarios remotos de(e estar sHeto a la atenticacin$ E8isten di!erentes m<todos de atenticacin+ algnos de los cales (rindan n ma#or ni*el de proteccin %e otros+ por eH$ los m<todos (asados en el so de t<cnicas criptogr!icas peden pro*eer de na !erte atenticacin$ Es importante determinar mediante na e*alacin de riesgos el ni*el de proteccin re%erido$ Esto es necesario para la adecada seleccin del m<todo$ )a atenticacin de sarios remotos pede lle*arse a ca(o tili:ando+ por eHemplo+ na t<cnica (asada en criptogra!;a+ QtoKensR de "ardIare+ o n protocolo de pregnta/respesta$ 7am(i<n peden tili:arse l;neas dedicadas pri*adas o na "erramienta de *eri!icacin de la direccin del sario de red+ a !in de constatar el origen de la cone8in$ )os procedimientos # controles de rellamada o dail&(acK+ por eH$ tili:ando mdems de dial&(acK+ peden (rindar proteccin contra cone8iones no atori:adas # no deseadas a las instalaciones de procesamiento de in!ormacin de la organi:acin$ Este tipo de control atentica a los sarios %e intentan esta(lecer na cone8in con na red de la organi:acin desde locaciones remotas$ Al aplicar este control+ la organi:acin no de(e tili:ar ser*icios de red %e incl#an des*;o de llamadas o+ si lo "acen+ de(en in"a(ilitar el so de dic"as "erramientas para e*itar las de(ilidades asociadas con la misma$ Asimismo+ es importante %e el proceso de rellamada garantice %e se prod:ca na descone8in real del lado de la organi:acin$ 5e otro modo+ el sario remoto podr;a mantener la l;nea a(ierta !ingiendo %e se "a lle*ado a ca(o la *eri!icacin de rellamada$ )os procedimientos # controles de rellamada de(en ser pro(ados e8"asti*amente respecto de esta posi(ilidad$ /:$:$ A*0en0icacin de nodo, Una "erramienta de cone8in atomtica a na comptadora remota podr;a (rindar n medio para o(tener acceso no atori:ado a na aplicacin de la empresa$ -or consigiente+ las cone8iones a sistemas in!ormati*os remotos de(en ser atenticadas$ Esto es particlarmente importante si la cone8in tili:a na red %e esta !era de control de la gestin de segridad de la organi:acin$ En el pnto 9$D$> se enmeran algnos eHemplos de atenticacin # de cmo pde lograrse$ )a %$ Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond atenticacin de nodos pede ser*ir como n medio alternati*o de atenticacin de grpos de sarios remotos+ cando <stos estn conectados a n ser*icio in!ormtico segro # compartido 1*er 9$D$>4$ /:$:% !ro0eccin de lo, 5*er0o, H5or0,I de diagno,0ico remo0o El acceso a los pertos de diagnostico de(e ser controlado de manera segra$ Mc"as comptadoras # sistemas de comnicacin son instalados con na "erramienta de diagnostico remoto por discado+ para so de los ingenieros de mantenimiento$ Si no estn protegidos+ estos pertos de diagnostico proporcionan n medio de acceso no atori:ado$ -or consigiente+ de(en ser protegidos por n mecanismo de segridad apropiado+ por eH$ na cerradra de segridad # n procedimiento %e garantice %e solo son accesi(les mediante n acerdo entre el gerente de ser*icios in!ormati*os # el personal de soporte de "ardIare # so!tIare %e re%iere acceso$ /:$:& S*1di2i,in de rede, )as redes se estn e8tendiendo en !orma creciente mas all de los limites tradicionales de la organi:acin+ a medida %e se constit#en sociedades con re%erimientos de intercone8in+ o so compartido de instalaciones de procesamiento de in!ormacin # redes$ 5ic"as e8tensiones peden incrementar el riesgo de acceso no atori:ado a sistemas de in!ormacin #a e8istentes %e tili:an la red+ algnos de los cales podr;an re%erir de proteccin contra otros sarios de red+ de(ido a s sensi(ilidad o criticidad$ En tales circnstancias+ se de(e considerar la introdccin de controles dentro de la red+ a !in de segregar grpos de ser*icios de in!ormacin+ sarios # sistemas de in!ormacin$ Un m<todo para controlar la segridad de redes e8tensas es di*idirlas en dominios lgicos separados+ por eH$ dominios de red internos # e8ternos de na organi:acin+ cada no protegido por n per;metro de segridad de!inido$ 5ic"o per;metro pede ser implementado mediante la instalacin de na comperta 1QgateIa#R4 segra entre las dos redes %e "an de ser interconectadas+ para controlar el acceso # !lHo de in!ormacin entre los dos dominios$ Este QgateIa#R de(e ser con!igrado para !iltrar el tr!ico entre los dominios 1*er 9$D$7 # 9$D$24 # para (lo%ear el acceso no atori:ado de acerdo con la pol;tica de control de accesos de la organi:acin 1*er 9$14$ Un eHemplo de este tipo de QgateIa#R es lo %e com'nmente se conoce como Q!ireIallR$ )os criterios para la s(di*isin de redes en dominios de(en (asarse en la pol;tica de control de accesos # los re%erimientos de acceso 1*er 9$14+ # tam(i<n tomar en centa el costo relati*o # el impacto del desempeGo %e ocasiona la incorporacin de n enrtador de red o na tecnolog;a de QgateIa#sR adecados 1*er 9$D$7 # 9$D$24$ /:$:' Con0rol de cone7in a la red )os re%erimientos de la pol;tica de control de accesos para redes compartidas+ especialmente a%ellas %e se e8tiendan mas all de los limites de la organi:acin+ peden re%erir la incorporacin de controles para limitar la capacidad de cone8in de los sarios$ 5ic"os controles peden implementarse mediante QgateIa#sR de red %e !iltren el tr!ico por medio de reglas o ta(las pre*iamente de!inidas$ )as restricciones aplicadas de(en (asarse en la pol;tica # los re%erimientos de acceso de las aplicaciones de la empresa 1*er 9$14+ # de(en mantenerse # actali:arse de con!ormidad$ A continacin se enmeran eHemplos de aplicaciones a las cales de(en aplicarse restricciones9 a4 correo electrnico L (4 trans!erencia nidireccional de arc"i*os L c4 trans!erencia de arc"i*os en am(as direcciones L d4 acceso interacti*o L %% Es%ema 1 I ,AM& 9 e4 acceso de red *inclado a "ora o !ec"a$ /:$:( Con0rol de r*0eo de red )as redes compartidas+ especialmente a%ellas %e se e8tienden mas all de los limites organi:acionales+ peden re%erir la incorporacin de controles de rteo para garanti:ar %e las cone8iones in!ormticas # los !lHos de in!ormacin no *iolen la pol;tica de control de acceso de las aplicaciones comerciales 1*er 9$14$ Este control es a mendo esencial para las redes compartidas con sarios e8ternos 1no organi:adores4$ )os controles de rteo de(en (asarse en la *eri!icacin positi*a de direcciones de origen # destino$ )a tradccin de direcciones de red tam(i<n constit#e n mecanismo m# 'til para aislar redes # e*itar %e las rtas se propagen desde la red de na organi:acin a la red de otra$ -eden implementarse en so!tIare o "ardIare$ Qienes lle*en a ca(o la implementacin de(en estar al corriente de la !ortale:a de los mecanismos tili:ados$ /:$:/ Seg*ridad de lo, ,er2icio, de red E8iste na amplia gama de ser*icios de red pri*ados o p'(licos+ algnos de los cales o!recen ser*icios con *alor agregado$ )os ser*icios de red peden tener caracter;sticas de segridad 'nicas o compleHas$ )as organi:aciones %e tili:an ser*icios de red de(en garanti:ar %e se pro*ea de na clara descripcin de los atri(tos de segridad de todos los ser*icios tili:ados$ /:% Con0rol de acce,o al ,i,0ema o5era0i2o O(Heti*o9 Impedir el acceso no atori:ado al comptador )os mecanismos de segridad a ni*el del sistema operati*o de(en ser tili:ados para restringir el acceso a los recrsos del comptador$ Estas !acilidades de(en tener la capacidad de lle*ar a ca(o lo sigiente9 a4 identi!icar # *eri!icar la identidad #+ si !era necesario+ la terminal o (icacin de cada sario atori:ado L (4 registrar los accesos e8itosos # !allidos al sistema L c4 sministrar medios de atenticacin apropiadosL si se tili:a n sistema de administracin de contraseGas+ <ste de(e asegrar la calidad de las mismas 1*er 9$>$1 d4 L d4 restringir los tiempos de cone8in de los sarios+ seg'n corresponda Se de(e disponer de otros m<todos de control de acceso+ como Qc"allenge&responseR+ si estn Hsti!icados por el riesgo comercial$$ /:%:3 Iden0ificacin a*0omD0ica de 0erminale, Se de(e tener en centa la identi!icacin atomtica de terminales para atenticar cone8iones a (icaciones espec;!icas # a e%ipamiento porta(le$ )a identi!icacin atomtica de terminales es na t<cnica %e pede tili:arse si reslta importante %e la sesin solo peda iniciarse desde na terminal in!ormtica o na (icacin determinadas$ -ede tili:arse n identi!icador en la terminal+ o adHnto a la misma+ para indicar si esta terminal especi!ica esta atori:ada a iniciar o reci(ir ciertas transacciones$ -ede resltar necesario aplicar proteccin !;sica a la terminal+ a !in de mantener la segridad del identi!icador de la misma$ 7am(i<n peden tili:arse otras t<cnicas para atenticar sarios 1*er 9$D$>4$ /:%: !rocedimien0o, de cone7in de 0erminale, %& Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond El acceso a los ser*icios de in!ormacin de(e ser posi(le a tra*<s de n proceso de cone8in segro$ El procedimiento de cone8in en n sistema in!ormtico de(e ser diseGado para minimi:ar la oportnidad de acceso no atori:ado$ Este procedimiento+ por lo tanto de(e di*lgar la m;nima in!ormacin posi(le acerca del sistema+ a !in de e*itar pro*eer de asistencia innecesaria a n sario no atori:ado$ Un (en procedimiento de identi!icacin de(er;a9 a4 no desplegar identi!icadores de sistemas o aplicaciones "asta tanto se "alla lle*ado a ca(o e8itosamente el proceso de cone8inL (4 desplegar n a*iso general ad*irtiendo %e solo los sarios atori:ados peden acceder a la comptadora L c4 no dar mensaHes de a#da %e pdieran asistir a n sario no atori:ado drante el procedimiento de cone8in L d4 *alidar la in!ormacin de la cone8in slo al completarse la totalidad de los datos de entrada$ Si srge na condicin de error+ el sistema no de(e indicar %e parte de los datos es correcta o incorrecta L e4 limitar el n'mero de intentos de cone8in no e8itosos permitidos 1se recomiendan tres4 # considerar9 14 registrar los intentos no e8itosos L 24 implementar na demora o(ligatoria antes de permitir otros intentos de identi!icacin+ o rec"a:ar otros intentos sin atori:acin especi!ica L >4 desconectar cone8iones de data linK L !4 limitar el tiempo m8imo # m;nimo permitido para el procedimiento de cone8in$ Si este es e8cedido+ el sistema de(e !inali:ar la cone8in L g4 desplegar la sigiente in!ormacin al completarse na cone8in e8itosa9 14 !lec"as # "ora de la cone8in e8itosa anteriorL 24 detalles de los intentos de cone8in no e8itosos desde la 'ltima cone8in e8itosa$ /:%:" Iden0ificacin ; a*0en0icacin de lo, *,*ario, 7odos los sarios 1inclido el personal de soporte t<cnico+ como los operadores+ administradores de red+ programadores de sistemas # administradores de (ases de datos4 de(en tener n identi!icador 'nico 1I5 de sario4 solamente para s so personal e8clsi*o+ de manera %e las acti*idades pedan rastrearse con posterioridad "asta llegar al indi*ido responsa(le$ )os I5s de sario no de(en dar ning'n inicio del ni*el de pri*ilegio del sario 1*er 9$2$24+ por eH$ gerente+ sper*isor+ etc$ En circnstancias e8cepcionales+ cando e8iste n claro (ene!icio para la empresa+ peda tili:arse n I5 compartido para n grpo de sarios o na tarea especi!ica$ -ara casos de esta ;ndole+ se de(e docmentar la apro(acin de la gerencia$ -odr;an re%erirse controles adicionales para mantener la responsa(ilidad$ E8isten di*ersos procedimientos de atenticacin+ los cales peden ser tili:ados para sstentar la identidad alegada del sario$ )as contraseGas 1*er tam(i<n 9$>$1 # ms a(aHo4 constit#en n medio m# com'n para pro*eer la identi!icacin # atenticacin 1I # A4 so(re la (ase de n secreto %e solo conoce el sario$ 7am(i<n se pede lle*ar a ca(o lo mismo con medios criptogr!icos # protocolos de atenticacin$ )os o(Hetos como QtoKensR con memoria o tarHetas inteligentes %e poseen los sarios tam(i<n peden tili:arse para I # A$ )as tecnolog;as de atenticacin (iom<trica %e tili:an las caracter;sticas o atri(tos 'nicos de n indi*ido tam(i<n peden tili:arse para atenticar la identidad de na persona$ Una com(inacin de tecnolog;as # mecanismos *inclados de manera segra tendr como resltado na atenticacin ms !erte$ %' Es%ema 1 I ,AM& 9 /:%:$ Si,0ema de admini,0racin de con0ra,eFa, )as contraseGas constit#en no de los principales medios de *alidacin de la atoridad de n sario para acceder a n ser*icio in!ormtico$ )os sistemas de administracin de contraseGas de(en constitir na "erramienta e!ica: e interacti*a %e garantice contraseGas de calidad 1*er 9$>$1 como orientacin acerca del so de contraseGas4$ Algnas aplicaciones re%ieren %e las contraseGas de sario sean asignadas por na atoridad independiente$ En la ma#or;a de los casos las contraseGas son seleccionadas # mantenidas por los sarios$ Un (en sistema de administracin de contraseGas de(e9 a4 imponer el so de contraseGas indi*idales para determinar responsa(ilidadesL (4 cando corresponda+ permitir %e los sarios seleccionen # cam(ien ss propias contraseGas e inclir n procedimiento de con!irmacin para contemplar los errores de ingresoL c4 imponer na seleccin de contraseGas de calidad seg'n lo seGalado en el pnto 9$>$1 L d4 cando los sarios mantienen ss propias contraseGas+ imponer cam(ios en las mismas seg'n lo seGalado en el pnto 9$>$1 L e4 cando los sarios seleccionan contraseGas+ o(ligarlos a cam(iar las contraseGas temporarias en s primer procedimiento de identi!icacin 1*er 9$2$>4 L !4 mantener n registro de las contraseGas pre*ias del sario+ por eH$ de los 12 meses anteriores+ # e*itar la retili:acin de las mismas L g4 no mostrar las contraseGas en pantalla+ cando son ingresadas L "4 almacenar en !orma separada los arc"i*os de contraseGas # los datos de sistemas de aplicacinL i4 almacenar las contraseGas en !orma ci!rada tili:ando n algoritmo de ci!rado nidireccional L H4 modi!icar las contraseGas predeterminadas por el *endedor+ na *e: instalado el so!tIare$ /:%:% U,o de *0ili0ario, de ,i,0ema )a ma#or;a de las instalaciones in!ormticas tienen no o ms programas tilitarios %e podr;an tener la capacidad de pasar por alto los controles de sistemas # aplicaciones$ Es esencial %e s so sea limitado # minciosamente controlado$ Se de(en considerar los sigientes controles9 a4 so de procedimientos de atenticacin para tilitarios del sistema L (4 separacin entre tilitarios del sistema # so!tIare de aplicaciones L c4 limitacin de so de tilitarios del sistema a la cantidad m;nima *ia(le de sarios !ia(les # atori:ados L d4 atori:acin para so ad "oc de tilitarios de sistema L e4 limitacin de la disponi(ilidad de tilitarios de sistema+ por eH$ a la dracin de n cam(io atori:ado L !4 registro de todo so de tilitarios del sistema L g4 de!inicin # docmentacin de los ni*eles de atori:acin para tilitarios del sistema L "4 remocin de todo el so!tIare (asado en tilitarios # so!tIare de sistema innecesarios$ /:%:& Alarma, ,ilencio,a, 5ara la 5ro0eccin de lo, *,*ario, 5e(e considerarse la pro*isin de alarmas silenciosas para los sarios %e podr;an ser o(Hetos de coercin$ )a decisin de sministrarse na alarma de esta ;ndole de(e (asarse en na e*alacin de riesgos$ Se de(en de!inir responsa(ilidades # procedimientos para responder a la acti*acin de na alarma silenciosa$ %( Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond /:%:' De,cone7in de 0erminale, 5or 0iem5o m*er0o )as terminales inacti*as en (icaciones de alto riego+ por eH$ reas p'(licas o e8ternas !era del alcance de la gestin de segridad de la organi:acin+ o %e sir*en a sistemas de alto riego+ de(en apagarse desp<s de n periodo de!inido de inacti*idad+ para e*itar el acceso de personas no atori:adas$ Esta "erramienta de descone8in por tiempo merto de(e limpiar la pantalla de la terminal # de(e cerrar tanto la sesin de la aplicacin como la de red+ desp<s de n periodo de!inido de inacti*idad$ El lapso por tiempo merto de(e responder a los riesgos de segridad del rea # de los sarios de la terminal$ -ara algnas -Cs+ pede sministrarse na "erramienta limitada de descone8in de terminal por tiempo merto+ %e limpie la pantalla # e*ite el acceso no atori:ado+ pero %e no cierra las sesiones de aplicacin o de red$ /:%:( Limi0acin del Gorario de cone7in )as restricciones al "orario de cone8in de(en sministrar segridad adicional a las aplicaciones de alto riesgo$ )a limitacin del periodo drante el cal se permiten las cone8iones de terminal a los ser*icios in!ormati*os redce el espectro de oportnidades para el acceso no atori:ado$ Se de(e considerar n control de esta ;ndole para aplicaciones in!ormticas sensi(les+ especialmente a%ellas terminales instaladas en (icaciones de alto riesgo+ por eH$ reas p(licas o e8ternas %e est<n !era del alcance de la gestin de segridad de la organi:acin$ Entre los eHemplos de dic"as restricciones se peden enmerar los sigientes9 a4 tili:acin de lapsos predeterminados+ por eH$ para transmisiones de arc"i*os e lote+ o sesiones interacti*as peridicas de corta dracin L (4 limitacin de los tiempos de cone8in al "orario normal de o!icina+ de no e8istir n re%erimiento operati*o de "oras e8tras o e8tensin "oraria$$ /:& Con0rol de acce,o a la, a5licacione, O(Heti*o9 Impedir el acceso no atori:ado a la in!ormacin contenida en los sistemas de in!ormacin$ )as "erramientas de segridad de(en ser tili:adas para limitar el acceso no dentro de los sistemas de aplicacin$ El acceso lgico al so!tIare # a la in!ormacin de(e estar limitado a los sarios atori:ados$ )os sistemas de aplicacin de(en9 a4 controlar el acceso de sarios a la in!ormacin # a las !nciones de los sistemas de aplicacin+ de acerdo con la pol;tica de control de accesos de!inida por la organi:acin L (4 (rindar proteccin contra el acceso no atori:ado de tilitarios # so!tIare del sistema operati*o %e tengan la capacidad de pasar por alto los controles de sistemas o aplicaciones L c4 no comprometer la segridad de otros sistemas con los %e se comparten recrsos de in!ormacin L d4 tener la capacidad de otorgar acceso a la in!ormacin 'nicamente al propietario+ a otros indi*idos atori:ados mediante designacin !ormal+ o a grpos de de!inidos de sarios$ /:&:3 Re,0riccin del acce,o a la informacin )os sarios de sistemas de aplicacin+ con inclsin del personal de soporte+ de(en tener acceso a la in!ormacin # a las !nciones de los sistemas de aplicacin de con!ormidad con na pol;tica de control de acceso de!inida+ so(re la (ase de los re%erimientos de cada aplicacin comercial+ # con!orme a la %/ Es%ema 1 I ,AM& 9 pol;tica de la organi:acin para el acceso a la in!ormacin+ 1*er 9$14$ se de(e considerar la aplicacin de los sigientes controles+ para (rindar apo#o a los re%erimientos de limitacin de accesos9 a4 pro*isin de men's para controlar el acceso a las !nciones de los sistemas de aplicacin L (4 restriccin del conocimiento de los sarios acerca de la in!ormacin o de las !nciones de los sistemas de aplicacin a las cales no sean atori:adas a acceder+ con la adecada edicin de docmentacin de sario L c4 control de los derec"os de acceso de los sarios+ por eH$ lectra+ escritra+ spresin # eHeccin L d4 garanti:ar %e las salidas 1otpts4 de los sistemas de aplicacin %e administran in!ormacin sensi(le+ contengan solo la in!ormacin %e reslte pertinente para el so de la salida+ # %e la misma se en*;e solamente a las terminales # (icaciones atori:adas+ # re*isar peridicamente dic"as salidas a !in de garanti:ar la remocin de la in!ormacin redndante$ /:&: Ai,lamien0o de ,i,0ema, ,en,i1le, )os sistemas sensi(les podr;an re%erir de n am(iente in!ormtico dedicado 1aislado4$ Algnos sistemas de aplicacin son s!icientemente sensi(les a perdidas potenciales # re%ieren n tratamiento especial$ )a sensi(ilidad pede seGalar %e el sistema de aplicacin de(e eHectarse en na comptadora dedicada+ %e slo de(e compartir recrsos con los sistemas de aplicacin con!ia(les+ o no tener limitaciones$ Son aplica(les las sigientes consideraciones9 a4 )a sensi(ilidad de n sistema de aplicacin de(e ser claramente identi!icada # docmentada por el propietario de la aplicacin 1*er D$1$>4 (4 Cando na aplicacin sensi(le "a de eHectarse en n am(iente compartido+ los sistemas de aplicacin con los cales esta compartir los recrsos de(en ser identi!icados # acordados con el propietario de la aplicacin sensi(le$ /:' Moni0oreo del acce,o ; *,o de lo, ,i,0ema, O(Heti*o9 detectar acti*idades no atori:adas )os sistemas de(en ser monitoreados para detectar des*iaciones respecto de la pol;tica de control de accesos # registrar e*entos para sministrar e*idencia en caso de prodcirse incidentes relati*os a la segridad$ El monitoreo de los sistemas permite compro(ar la e!icacia de los controles adoptados # *eri!icar la con!ormidad con el modelo de pol;tica de acceso 1*er 9$14 /:':3 Regi,0ro de e2en0o, 5e(en generarse registros de aditoria %e contengan e8cepciones # otros e*entos relati*os a segridad+ # de(en mantenerse drante n periodo de!inido para acceder en !tras in*estigaciones # en el monitoreo de control de accesos$ )os registros de aditorias tam(i<n de(en inclir9 a4 I5 de sarioL (4 Aec"a # "ora de inicio # terminacin L c4 Identidad o (icacin de la terminal+ si es posi(le L d4 ,egistros de intentos e8itosos !allidos de acceso al sistema L e4 ,egistros de intentos e8itosos # !allidos de acceso a datos # otros recrsos$ -odr;a re%erirse %e ciertos registros de aditoria sean arc"i*ados como parte de la pol;tica de retencin de registros o de(ido a los re%erimientos de recoleccin de e*idencia 1*er tam(i<n el pnto 124$ &4 Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond /:': Moni0oreo del *,o de lo, ,i,0ema, /:'::3 !rocedimien0o, ; Drea, de rie,go Se de(iera esta(lecer procedimientos para monitorear el so de las instalaciones de procesamiento de la in!ormacin$ 5ic"os procedimientos son necesarios para garanti:ar %e los sarios solo est<n desempeGando acti*idades %e "a#an sido atori:adas e8pl;citamente$ El ni*el de monitoreo re%erido para cada na las instalaciones de(e determinarse mediante na e*alacin de riesgos$ Entre las reas %e de(en tenerse en centa se enmeran las sigientes9 a4 acceso no atori:ado+ incl#endo detalles como9 14 I5 de sarioL 24 Aec"a # "ora de e*entos cla*eL >4 7ipos de e*entosL D4 Arc"i*os a los %e se accedeL .4 Utilitarios # programas tili:ados (4 todas las operaciones con pri*ilegio+ como9 14 Utili:acin de centa de sper*isorL 24 Inicio # cierre 1start&p and stop4 del sistemaL >4 Cone8in # descone8in de dispositi*os I/OL c4 intentos de acceso no atori:ado+ como9 14 Intentos !allidosL 24 Fiolaciones de la pol;tica de accesos # noti!icaciones para QgateIa#sR de red # Q!ireIallsRL >4 Alertas de sistemas patentados para detencin de intrsiones L d4 alertas o !allas de sistema como9 14 alertas o mensaHes de consola L 24 e8cepciones del sistema de registroL >4 alarmas del sistema de administracin de redes$ /:':: 6ac0ore, de rie,go Se de(e re*isar peridicamente el resltado de las acti*idades de monitoreo$ )a !recencia de la re*isin de(e depender de los riesgos in*olcrados$ Entre los !actores de riesgo %e se de(en considerar se encentran9 a4 la criticidad de los procesos de aplicaciones L (4 el *alor+ la sensi(ilidad o criticidad de la in!ormacin in*olcrada L c4 la e8periencia acmlada en materia de in!iltracin # so inadecado del sistema L d4 el alcance de la intercone8in del sistema 1en particlar las redes p(licas4 /:'::" Regi,0ro ; re2i,in de e2en0o, Una re*isin de los registros implica la comprensin de las amena:as %e a!ronta el sistema # las maneras %e srgen$ En el pnto 9$7$1 se enmeran eHemplos de e*entos %e podr;an re%erir in*estigacin adicional en caso de prodcirse incidentes relati*os a la segridad$ Arecentemente+ los registros del sistema contienen n gran *olmen de in!ormacin+ gran parte de la cal es aHena al monitoreo de segridad$ -ara asistir en la identi!icacin de e*entos signi!icati*os+ a !in de desempeGar el monitoreo de segridad+ se de(e considerar la posi(ilidad de copiar atomticamente los tipos de mensaHes adecados a n segndo registro+ #/o tili:ar "erramientas de aditoria o tilitarios adecados para lle*ar a ca(o el e8amen de arc"i*o$ &3 Es%ema 1 I ,AM& 9 Al asignar la responsa(ilidad por la re*isin de registros+ se de(e considerar na separacin de !nciones entre %ien/es emprende/n la re*isin # a%ellos c#as acti*idades estn siendo monitoreadas$ Se de(e prestar especial atencin a la segridad de la "erramienta de registro+ de(ido a %e si se accede a la misma en !orma no atori:ada+ esto pede propiciar na !alsa percepcin de la segridad$ )os controles de(en apntar a proteger contra cam(ios no atori:ados # pro(lemas operati*os$ Estos incl#en9 a4 la desacti*acin de la "erramienta de registro L (4 alteraciones a los tipos de mensaHes registrados L c4 arc"i*os de registro editados o sprimidos L d4 medio de soporte arc"i*os de registro satrado+ # !alla en el registro de e*entos o so(re escritra de los mismos$ /:':" Sincroni<acin de relo?e, )a correcta con!igracin de los reloHes de las comptadoras es importante para garanti:ar la e8actitd de los registros de aditoria+ %e peden re%erirse para in*estigaciones o como e*idencia en casos legales o disciplinarios$ )os registros de aditorias ine8actos podr;an entorpecer tales in*estigaciones # daGar la credi(ilidad de la e*idencia$ Cando na comptadora o dispositi*o de comnicaciones tiene la capacidad de operar n reloH en tiempo real+ este se de(e con!igrar seg'n n estndar acordado+ por eH$ 7iempo Coordinado Uni*ersal 1UC74 o tiempo estndar local$ Como se sa(e %e algnos reloHes se desaHstan con el tiempo+ de(e e8istir n procedimiento %e *eri!i%e # corriHa cal%ier *ariacin signi!icati*a$ /:( Com5*0acin m2il ; 0ra1a?o remo0o O(Heti*o9 Caranti:ar la segridad de la in!ormacin cando se tili:a comptacin m*il e instalaciones de tra(aHo remotas$ )a proteccin re%erida de(e ser proporcional a los riesgos %e originan estas !ormas especi!icas de tra(aHo$ Cando se tili:a comptacin m*il de(en tenerse en centa los riesgos %e implica tra(aHar en n am(iente sin proteccin # se de(e implementar la proteccin adecada$ En el caso del tra(aHo remoto la organi:acin de(e implementar la proteccin en el sitio de tra(aHo remoto 1QteleIorKing siteR4 # garanti:ar %e se tomen las medidas adecadas para este tipo de tra(aHo$ /:(:3 Com5*0acin m2il Cando se tili:an dispositi*os in!ormticas m*iles+ por eH$ note(ooKs+ palmtops+ laptops # tel<!onos m*iles+ se de(e tener especial cidado en garanti:ar %e no se comprometa la in!ormacin de la empresa$ Se de(e adoptar na pol;tica !ormal %e tome en centa los riesgos %e implica tra(aHar con "erramientas in!ormticas m*iles+ en particlar en am(ientes no protegidos$ -or eHemplo+ dic"a pol;tica de(e inclir los re%erimientos de proteccin !;sica+ controles de acceso+ t<cnicas criptogr!icas+ resgardos # proteccin contra *irs$ Esta pol;tica tam(i<n de(e inclir reglas # asesoramiento en materia de cone8in de dispositi*os m*iles a redes # orientacin so(re so de estos dispositi*os en lgares p'(licos$ Se de(en tomar recados al tili:ar dispositi*os in!ormticos m*iles en lgares p'(licos+ salas de reniones # otras reas no protegidas !era de la sede de la organi:acin$ Se de(e implementar proteccin para e*itar el acceso no atori:ado a la in!ormacin almacenada # procesada por estas "erramientas+ o la di*lgacin de la misma+ por eH$ mediante t<cnicas criptogr!icas 1*er 10$>4$ & Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond Es importante %e cando dic"os dispositi*os+ son tili:adas en lgares p'(licos se tomen recados para e*itar el riesgo de %e la in!ormacin %e aparece en pantalla+ sea *ista por personas no atori:adas$ Se de(en implementar procedimientos contra so!tIare malicioso # estos de(en mantenerse actali:ados 1*er 2$>4$ El e%ipamiento de(e estar disponi(le para permitir n procedimiento de resgardo de la in!ormacin rpido # !cil$$ Estos procedimientos de(en estar adecadamente protegidos contra+ por eH$+ ro(o o p<rdida de la in!ormacin$ Se de(e (rindar proteccin adecada para el so de dispositi*os m*iles conectadas a redes$ El acceso remoto a la in!ormacin de la empresa a tra*<s de redes p(licas+ tili:ando "erramientas in!ormticas m*iles+ solo de(e tener lgar desp<s de na identi!icacin # atenticacin e8itosas+ # con mecanismos adecados de control de acceso implementados 1*er 9$D4$ )os dispositi*os in!ormticas m*iles tam(i<n de(en estar !;sicamente protegidas contra ro(o+ especialmente cando se deHan+ por eH$ en atom*iles # otros medios de transporte+ "a(itaciones de "otel+ centros de con!erencias # m(itos de renin$ El e%ipamiento %e transporta in!ormacin importante de la empresa+ sensi(le #/o critica no de(e deHarse desatendido #+ cando reslta posi(le+ de(e estar !;sicamente resgardado (aHo lla*e+ o de(en tili:arse cerradras especiales para asegrar el e%ipamiento$ En el pnto 7$2$. se pede encontrar in!ormacin adicional so(re la proteccin !;sica del e%ipamiento m*il$ Se de(e (rindar entrenamiento al personal %e tili:a comptacin m*il para incrementar s cocimiento de los riesgos adicionales ocasionados por esta !orma de tra(aHo # de los controles %e se de(en implementar$ /:(: Tra1a?o remo0o El tra(aHo remoto tili:a tecnolog;a de comnicaciones para permitir %e el personal tra(aHe en !orma remota desde n lgar !iHo !era de la organi:acin$ Se de(e implementar la proteccin adecada del sitio de tra(aHo remoto contra+ por eH$ el ro(o de e%ipamiento e in!ormacin+ la di*lgacin no atori:ada de in!ormacin+ el acceso remoto no atori:ada a los sistemas internos de la organi:acin o el so inadecado de los dispositi*os e instalaciones$ Es importante %e el tra(aHo remoto sea atori:ado # controlado por la gerencia+ # %e se implementen disposiciones # acerdos para esta !orma de tra(aHo$ )as organi:aciones de(en considerar el desarrollo de na pol;tica+ de procedimientos # de estndares para controlar las acti*idades de tra(aHo remoto$ )as organi:aciones slo de(en atori:ar acti*idades de tra(aHo remoto si "an compro(ado satis!actoriamente %e se "an implementado disposiciones # controles adecados en materia de segridad # %e estos cmplen con la pol;tica de segridad de la organi:acin$ Se de(en considerar los sigientes ;tems9 a4 la segridad !;sica e8istente en el sitio de tra(aHo remoto+ tomando en centa la segridad !;sica del edi!icio # del am(iente localL (4 el am(iente de tra(aHo remoto propestoL c4 los re%erimientos de segridad de comnicaciones+ tomando en centa la necesidad de acceso remoto a los sistemas internos de la organi:acin+ la sensi(ilidad de la in!ormacin a la %e se acceder # %e pasar a tra*<s del *inclo de comnicacin # la sensi(ilidad del sistema internoL d4 la amena:a de acceso no atori:ado a in!ormacin o recrsos por parte de otras personas %e tili:an el lgar+ por eH$ !amilia # amigos$ )os controles # disposiciones comprenden9 a4 la pro*isin de mo(iliario para almacenamiento # e%ipamiento+ adecado para las acti*idades de tra(aHo remotoL &" Es%ema 1 I ,AM& 9 (4 na de!inicin del tra(aHo permitido+ el "orario de tra(aHo+ la clasi!icacin de la in!ormacin %e se pede almacenar # los sistemas internos # ser*icio a los cales el tra(aHador remoto esta atori:ado a accederL c4 la pro*isin de n adecado e%ipamiento de comnicacin+ con inclsin de m<todos para asegrar el acceso remotoL d4 segridad !;sicaL e4 reglas # orientacin para cando !amiliares # *isitantes accedan al e%ipamiento e in!ormacinL !4 la pro*isin de "ardIare # el soporte # mantenimiento del so!tIareL g4 los procedimientos de (acK&p # para la continidad de las operacionesL "4 aditor;a # monitoreo de la segridadL i4 anlacin de la atoridad+ derec"os de acceso # de*olcin del e%ipo cando !inalicen las acti*idades remotas$ 34 DESARROLLO 9 MANTENIMIENTO DE SISTEMAS: 34:3 Re.*erimien0o, de ,eg*ridad de lo, ,i,0ema,: O(Heti*o9 Asegrar %e la segridad es incorporada a los sistemas de in!ormacin$ Esto inclir in!raestrctra+ aplicaciones comerciales # aplicaciones desarrolladas por el sario$ El diseGo e implementacin de los procesos comerciales %e apo#en la aplicacin o ser*icio peden ser crciales para la segridad$ )os re%erimientos de segridad de(en ser identi!icados # apro(ados antes del desarrollo de los sistemas de in!ormacin$ 7odos los re%erimientos de segridad+ incl#endo la necesidad de planes de reandacin+ de(en ser identi!icados en la !ase de re%erimientos de n pro#ecto # Hsti!icados+ apro(ados # docmentados como na parte de la totalidad del caso de negocios de n sistema de in!ormacin$ 34:3:3 AnDli,i, ; e,5ecificacione, de lo, re.*erimien0o, de ,eg*ridad: )as comnicaciones de re%erimientos comerciales para ne*os sistemas o meHoras a los sistemas e8istentes de(en especi!icar las necesidades de controles$ 7ales especi!icaciones de(en considerar los controles atomticos a incorporar al sistema # la necesidad de controles manales de apo#o$ Se de(en aplicar consideraciones similares al e*alar pa%etes de so!tIare para aplicaciones comerciales$ Si se considera adecado+ la administracin pede %erer tili:ar prodctos certi!icados # e*alados en !orma independiente$ )os re%erimientos de segridad # los controles de(en re!leHar el *alor comercial de los recrsos de in!ormacin in*olcrados # el potencial daGo al negocio %e pdiere resltar por na !alla o !alta de segridad$ El marco para anali:ar los re%erimientos de segridad e identi!icar los controles %e los satis!agan son la e*alacin # la administracin de riesgo$ )os controles introdcidos en la etapa de diseGo son signi!icati*amente ms (aratos de implementar # mantener %e a%ellos inclidos drante o desp<s de la implementacin$ &$ Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond 34: Seg*ridad en lo, ,i,0ema, de a5licacin O(Heti*o9 -re*enir la p<rdida+ modi!icaciones o so inadecado de los datos del sario en los sistemas de aplicacin$ Se de(en diseGar en los sistemas de aplicacin+ incl#endo las aplicaciones reali:adas por el sario+ controles apropiados # pistas de aditoria o registros de acti*idad$ Esto de(e inclir la *alidacin de datos de entrada+ procesamiento interno # salida de datos$ -eden ser necesarios controles adicionales para sistemas %e procesan o tienen impacto en recrsos sensiti*os+ *aliosos o cr;ticos de la organi:acin$ 7ales controles de(en ser determinados so(re la (ase de re%erimientos de segridad # e*alacin de riesgo$ 34::3 >alidacin de da0o, de en0rada )os datos de entrada en sistemas de aplicacin de(en ser *alidados para asegrar %e son correctos # apropiados$ )os controles de(en ser aplicados a las entradas de las transacciones de negocios+ datos permanentes 1nom(res # direcciones+ l;mites de cr<dito+ n'meros de re!erencia al cliente4 # ta(las de parmetros 1precios de *enta+ tasa de impestos+ ;ndice de con*ersin de dinero4$ Se de(en considerar los sigientes controles9 a4 entrada dal otros controles de entrada para detectar los sigientes errores9 14 *alores !era de rangoL 24 caracteres in*lidos en campos de datosL >4 datos !altantes o incompletosL D4 *ol'menes de datos %e e8ceden los limites in!erior # speriorL .4 controles de datos no atori:ados o inconsistentesL (4 re*isin peridica de los contenidos de campos cla*e o arc"i*os de datos para con!irmar s *alide: e integridadL c4 inspeccin de los docmentos de entrada para detectar cam(ios no atori:ados en los datos de entrada 1todos los cam(ios a los docmentos de entrada de(en ser atori:ados4L d4 procedimientos para responder a errores de *alidacinL e4 procedimientos para determinar la *erosimilitd de los datosL !4 determinacin de las responsa(ilidades de todo el personal in*olcrado en el proceso de entrada de datos$ 34:: Con0role, de 5roce,amien0o in0erno: 34:::3 Brea, de rie,go: )os datos %e "an sido correctamente ingresados peden *iciarse al procesar errores o a tra*<s de actos deli(erados$ )os controles de *alidacin de(en ser incorporados a los sistemas para detectar tal corrpcin$ El diseGo de aplicaciones de(e asegrar %e las restricciones se implementen para minimi:ar los riesgos de !allas de procesamiento+ condcentes a na p<rdida de la integridad$ )as reas espec;!icas a considerar incl#en9 a4 el so # locali:acin dentro de los programas+ de !nciones de sma # (orrado para reali:ar cam(ios en los datosL (4 los procedimientos para pre*enir la eHeccin de programas !era de secencia o cando !all el procesamiento pre*io$ c4 el so de programas correctos para recperacin ante !allas+ a !in de garanti:ar el procesamiento correcto de los datos$ &% Es%ema 1 I ,AM& 9 34::: Con0role, ; 2erificacione, )os controles re%eridos dependern de la natrale:a de la aplicacin # del impacto de e*entales alteraciones de datos en el negocio$ Entre los eHemplos de *eri!icaciones %e peden ser incorporadas se encentran los sigientes9 a4 controles de sesin o de lote+ para conciliar (alances 1saldos4 de arc"i*os de datos desp<s de actali:aciones de transaccionesL (4 controles de (alance+ para comparar (alances de apertra con (alances de cierre anteriores+ por eHemplo9 1$ controles eHeccin a eHeccinL 2$ totales de actali:acin de arc"i*osL >$ controles programa a programaL c4 *alidacin de datos generados por el sistema 1*er 10$2$14L d4 *eri!icaciones de la integridad de los datos o so!tIare (aHados+ o cargados+ entre comptadoras centrales # remotas 1*er 10$>$>4L e4 totales de control de registros # arc"i*osL !4 *eri!icaciones para garanti:ar %e los programas de aplicacin se eHectan en el momento correctoL g4 compro(aciones para garanti:ar %e los programas se eHectan en el orden correcto # terminan en caso de prodcirse na !alla+ # %e se detiene todo procesamiento posterior "asta %e se resel*a el pro(lema$ 34::" A*0en0icacin de men,a?e, )a atenticacin de mensaHes es na t<cnica tili:ada para detectar cam(ios no atori:ados en el contenido de n mensaHe transmitido electrnicamente+ o para detectar alteraciones en el mismo$ -ede implementarse en "ardIare o so!tIare %e soporte n dispositi*o !;sico de atenticacin de mensaHes o n algoritmo de so!tIare$ Se de(e tener en centa la atenticacin de mensaHes para aplicaciones en las cales e8ista n re%erimiento de segridad para proteger la integridad del contenido del mensaHe+ por eH$ trans!erencias electrnicas de !ondos otros intercam(ios electrnicos de datos similares$ Se de(e lle*ar a ca(o na e*alacin de riesgos de segridad para determinar si se re%iere na atenticacin de mensaHes # para identi!icar el m<todo de implementacin ms adecado$ )a atenticacin de mensaHes no esta diseGada para proteger el contenido de n mensaHe contra s di*lgacin no atori:ada$ -eden tili:arse t<cnicas criptogr!icas 1*er 10$>$2 # 10$>$>4 como n medio adecado de implementacin de la atenticacin de mensaHes$ 34::$ 2alidacin de lo, da0o, de ,alida )a salida de datos de n sistema de aplicacin de(e ser *alidada para garanti:ar %e el procesamiento de la in!ormacin almacenada sea correcto # adecado a las circnstancias$ 6ormalmente+ los sistemas se constr#en sponiendo %e si se "a lle*ado a ca(o na *alidacin+ *eri!icacin # pre(a apropiada+ la salida siempre ser correcta$ Esto no siempre se cmple$ )a *alidacin de salidas pede inclir9 a4 compro(aciones de la ra:ona(ilidad para pro(ar si los datos de salida son plasi(lesL (4 control de conciliacin de centas para asegrar el procesamiento de todos los datosL c4 pro*isin de in!ormacin s!iciente+ para %e el lector o sistema de procesamiento s(sigiente+ determine la e8actitd+ totalidad+ precisin # clasi!icacin de la in!ormacinL d4 procedimientos para responder a las pre(as de *alidacin de salidasL && Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond e4 de!inicin de las responsa(ilidades de todo el personal in*olcrado en el proceso de salida de datos$ 34:" Con0role, cri50ogrDfico, O(Heti*o9 -roteger la con!idencialidad+ atenticidad o integridad de la in!ormacin$ 5e(en tili:arse sistemas # t<cnicas criptogr!icas para la proteccin de la in!ormacin %e se considera en estado de riesgo # para la cal otros controles no sministran na adecada proteccin$ 34:":3 !ol0ica de *0ili<acin de con0role, cri50ogrDfico,: 5ecidir si na solcin criptogr!ica es apropiada+ de(er ser *isto como parte de n proceso ms amplio de e*alacin de riesgos+ para determinar el ni*el de proteccin %e de(e darse a la in!ormacin$ Esta e*alacin pede tili:arse posteriormente para determinar si n control criptogr!ico es adecado+ %e tipo de control de(e aplicarse # con%e propsito+ # los procesos de la empresa$ Una organi:acin de(e desarrollar na pol;tica so(re el so de controles criptogr!icos para la proteccin de s in!ormacin$ 5ic"a pol;tica es necesaria para ma8imi:ar (ene!icios # minimi:ar los riesgos %e ocasiona el so de t<cnicas criptogr!icas+ # para e*itar n so inadecado o incorrecto$ Al desarrollar na pol;tica se de(e considerar lo sigiente9 a4 el en!o%e gerencial respecto del so de controles criptogr!icos en toda la organi:acin+ con inclsin de los principios generales seg'n los cales de(e protegerse la in!ormacin de la empresaL (4 el en!o%e respecto de la administracin de cla*es+ con inclsin de los m<todos para administrar la recperacin de la in!ormacin ci!rada en caso de perdida+ compromiso o daGo de las cla*esL c4 !nciones # responsa(ilidades+ por eH$ %ien es responsa(le de9 14 la implementacin de la pol;ticaL 24 la administracin de las cla*esL d4 como se determinara el ni*el apropiado de proteccin criptogr!icaL e4 los estndares %e "an de adoptarse para la e!ica: implementacin en toda la organi:acin 1%e solcin se aplica para cada no de los procesos de negocio4$ 34:": Cifrado El ci!rado es na t<cnica criptogr!ica %e pede tili:arse para proteger la con!idencialidad de la in!ormacin$ Se de(e tener en centa para la proteccin de in!ormacin sensi(le o critica$ Mediante na e*alacin de riesgos se de(e identi!icar el ni*el re%erido de proteccin tomando en centa el tipo # la calidad del algoritmo de ci!rado tili:ado # la longitd de las cla*es criptogr!icas a tili:ar$ Al implementar la pol;tica de la organi:acin en materia criptogr!ica+ se de(en considerar las normas # restricciones nacionales %e podr;an aplicarse al so de t<cnicas criptogr!icas+ en di!erentes partes del mndo+ # las cestiones relati*as al !lHo de in!ormacin ci!rada a tra*<s de las !ronteras$ Asimismo+ se de(en considerar los controles aplica(les a la e8portacin e importacin de tecnolog;a criptogr!ica 1*er tam(i<n 12$1$04$ Se de(e procrar asesoramiento especiali:ado para identi!icar el ni*el apropiado de proteccin+ a !in de seleccionar prodctos adecados %e sministren la proteccin re%erida+ # la implementacin de n sistema segro de administracin de cla*es 1*er tam(i<n 10$>$.4$ Asimismo+ podr;a resltar necesario &' Es%ema 1 I ,AM& 9 o(tener asesoramiento Hr;dico con respecto a las le#es # normas %e podr;an aplicarse al so del ci!rado %e intenta reali:ar la organi:acin$ 34:":" 6irma digi0al )as !irmas digitales proporcionan n medio de proteccin de la atenticidad e integridad de los docmentos electrnicos$ -or eHemplo+ pede tili:arse en comercio electrnico donde e8iste la necesidad de *eri!icar %ien !irma n docmento electrnico # compro(ar si el contenido del docmento !irmado "a sido modi!icado$ )as !irmas digitales peden aplicarse a cal%ier tipo de docmento %e se procese electrnicamente+ por eH$+ peden tili:arse para !irmar pagos+ trans!erencias de !ondos+ contratos # con*enios electrnicos$ -eden implementarse tili:ando na t<cnica criptogr!ica so(re la (ase de n par de cla*es relacionadas de manera 'nica+ donde na cla*e se tili:a para crear na !irma 1la cla*e pri*ada4 # la otra+ para *eri!icarla 1la cla*e p(lica4$ Se den tomar recados para proteger la con!idencialidad de la cla*e pri*ada$ Esta cla*e de(e mantenerse en secreto dado %e na persona %e tenga acceso a esta cla*e pede !irmar docmentos+ por eH$9 pagos # contratos+ !alsi!icando as; la !irma del propietario de la cla*e$ Asimismo+ es importante proteger la integridad de la cla*e p(lica$ Esta proteccin se pro*ee mediante el so de n certi!icado de cla*e p(lica 1*er 10$>$.4$ Es necesario considerar el tipo # la calidad del algoritmo de !irma tili:ado # la longitd de las cla*es a tili:ar$ )as cla*es criptogr!icas aplicadas a !irmas digitales de(en ser distintas de las %e se tili:an para el ci!rado 1*er 10$>$24$ Al tili:ar !irmas digitales+ se de(e considerar la legislacin pertinente %e descri(a las condiciones (aHo las cales na !irma digital es legalmente *inclante$ -or eHemplo+ en el caso del comercio electrnico es importante conocer la sitacin Hr;dica de las !irmas digitales$ -odr;a ser necesario esta(lecer contratos de cmplimiento o(ligatorio otros acerdos para respaldar el so de las mismas+ cando el marco legal es inadecado$ Se de(e o(tener asesoramiento legal con respecto a las le#es # normas %e podr;an aplicarse al so de !irmas digitales %e pretende reali:ar la organi:acin$ 34:":$ Ser2icio, de No Re5*dio )os ser*icios de no repdio de(en tili:arse cando es necesario resol*er disptas acerca de la ocrrencia o no ocrrencia de n e*ento o accin+ por eH$ na dispta %e in*olcre el so de na !irma digital en n contrato o pago electrnico$ -eden a#dar a sentar e*idencia para pro(ar %e n e*ento o accin determinados "an tenido lgar+ por eH$ cando se o(Heta "a(er en*iado na instrccin !irmada digitalmente a tra*<s del correo electrnico$ Estos ser*icios estn (asados en el so de t<cnicas de encriptacin # !irma digital 1*er tam(i<n 10+>+2 # 10$>$>4$ 34:":% Admini,0racin de cla2e, 34:":%:3 !ro0eccin de cla2e, cri50ogrDfica, )a administracin de cla*es criptogr!icas es esencial para el so e!ica: de las t<cnicas criptogr!icas$ Cal%ier compromiso o p<rdida de cla*es criptogr!icas pede condcir a n compromiso de la con!idencialidad+ atenticidad #/o integridad de la in!ormacin$ Se de(e implementar n sistema de administracin para respaldar el so por parte de la organi:acin+ de los dos tipos de t<cnicas criptogr!icas+ los cales son9 &( Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond a4 t<cnicas de cla*e secreta+ cando dos o ms actores comparten la misma cla*e # esta se tili:a tanto para ci!rar in!ormacin como para desci!rarla$ Esta cla*e tiene %e mantenerse en secreto dado %e na persona %e tenga acceso a la misma podr desci!rar toda la in!ormacin ci!rada con dic"a cla*e+ o introdcir in!ormacin no atori:adaL (4 t<cnicas de cla*e p(lica+ cando cada sario tiene n par de cla*es9 na cla*e p(lica 1%e pede ser re*elada a cal%ier persona4 # na cla*e pri*ada 1%e de(e mantenerse en secreto4$ )as t<cnicas de cla*e p(lica peden tili:arse para el ci!rado 1*er 10$>$24 # para generar !irmas digitales 1*er 10$>$>4$ 7odas las cla*es de(en ser protegidas contra modi!icacin # destrccin+ # las cla*es secretas # pri*adas necesitan proteccin contra di*lgacin no atori:ada$ )as t<cnicas criptogr!icas tam(i<n peden aplicarse con este propsito$ Se de(e pro*eer de proteccin !;sica al e%ipamiento tili:ado para generar+ almacenar # arc"i*ar cla*es$ 34:":%: Norma,C 5rocedimien0o, ; m+0odo, Un sistema de administracin de cla*es de(e estar (asado en n conHnto acordado de normas+ procedimientos # m<todos segros para9 a4 generar cla*es para di!erentes sistemas criptogr!icos # di!erentes aplicacionesL (4 generar # o(tener certi!icados de cla*e p(licaL c4 distri(ir cla*es a los sarios %e corresponda+ incl#endo como de(en acti*arse las cla*es cando se reci(enL d4 almacenar cla*es+ incl#endo como o(tienen acceso a las cla*es los sarios atori:adosL e4 cam(iar o actali:ar cla*es incl#endo reglas so(re cando # como de(en cam(iarse las cla*esL !4 ocparse de las cla*es comprometidasL g4 re*ocar cla*es incl#endo como de(en retirarse o desacti*arse las mismas+ por eH$ cando las cla*es estn comprometidas o cando n sario se des*incla de la organi:acin 1en c#o caso las cla*es tam(i<n de(en arc"i*arse4L "4 recperar cla*es perdidas o alteradas como parte de la administracin de la continidad del negocio+ por eH$ la recperacin de la in!ormacin ci!radaL i4 arc"i*ar cla*es+ por eH$ + para la in!ormacin arc"i*ada o resgardadaL H4 destrir cla*esL K4 registrar 1logging4 # aditar las acti*idades relati*as a la administracin de cla*es$ A !in de redcir la pro(a(ilidad de compromiso+ las cla*es de(en tener !ec"as de entrada en *igencia # de !in de *igencia+ de!inidas de manera %e solo pedan ser tili:adas por n periodo limitado de tiempo$ Este periodo de(e de!inirse seg'n el riesgo perci(ido # las circnstancias (aHo las cales se aplica el control criptogr!ico$ -odr;a resltar necesario considerar procedimientos para administrar re%erimientos legales de acceso a cla*es criptogr!icas+ por eH$ pede resltar necesario poner a disposicin la in!ormacin ci!rada en na !orma clara+ como e*idencia en n caso Hdicial$ Adems de la administracin segra de las cla*es secretas # pri*adas+ tam(i<n de(e tenerse en centa la proteccin de las cla*es p(licas$ E8iste la amena:a de %e na persona !alsi!i%e na !irma digital reempla:ando la cla*e p(lica de n sario con s propia cla*e$ Este pro(lema es a(ordado mediante el so de n certi!icado de cla*e p(lica$ Estos certi!icados de(en generarse en na !orma %e *incle de manera 'nica la in!ormacin relati*a al propietario del par de cla*es p(lica/pri*ada con la cla*e p(lica$ En consecencia es importante %e el proceso de administracin %e genera estos certi!icados sea con!ia(le$ 6ormalmente+ este proceso es lle*ado a ca(o por na atoridad de certi!icacin+ la cal &/ Es%ema 1 I ,AM& 9 de(e residir en na organi:acin reconocida+ con adecados controles # procedimientos implementados+ para o!recer el ni*el de con!ia(ilidad re%erido$ El contenido de los acerdos de ni*el de ser*icios o contratos con pro*eedores e8ternos de ser*icios criptogr!icos+ por eH$ con na atoridad de certi!icacin+ de(en comprender los tpicos de responsa(ilidad legal+ con!ia(ilidad del ser*icio # tiempos de respesta para la prestacin de los mismos 1*er D$2$24$ 34:$ Seg*ridad de lo, arcGi2o, del ,i,0ema O(Heti*o9 Caranti:ar %e los pro#ectos # acti*idades de soporte de 7I se lle*en a ca(o de manera segra$ Se de(e controlar el acceso a los arc"i*os del sistema$ El mantenimiento de la integridad del sistema de(e ser responsa(ilidad de la !ncin saria o grpo de desarrollo a %ien pertenece el so!tIare o sistema de aplicacin$ 34:$:3 Con0rol del ,of0@are o5era0i2o Se de(e pro*eer de control para la implementacin de so!tIare en los sistemas en operaciones$ A !in de minimi:ar el riesgo de alteracin de los sistemas operacionales se de(en tener en centa los sigientes controles9 a4 )a actali:acin de las (i(liotecas de programas operati*os solo de(e ser reali:ada por el (i(liotecario designado na *e: atori:ada adecadamente por la gerencia 1*er 10$D$>4$ (4 Si es posi(le+ los sistemas en operaciones slo de(en gardar el cdigo eHecta(le$ c4 El cdigo eHecta(le no de(e ser implementado en n sistema operacional "asta tanto no se o(tenga e*idencia del <8ito de las pre(as # de la aceptacin del sario+ # se "a#an actali:ado las correspondientes (i(liotecas de programas !ente$ d4 Se de(e mantener n registro de aditoria de todas las actali:aciones a las (i(liotecas de programas operati*os$ e4 )as *ersiones pre*ias de so!tIare de(en ser retenidas como medida de contingencia$ El mantenimiento del so!tIare sministrado por el pro*eedor # tili:ado en los sistemas operacionales de(e contar con el soporte del mismo$ Cal%ier decisin re!erida a na actali:acin a na ne*a *ersin de(e tomar en centa la segridad+ por eH$ la introdccin de na ne*a !ncionalidad de segridad o el n'mero # la gra*edad de los pro(lemas de segridad %e a!ecten esa *ersin$ )os parc"es de so!tIare de(en aplicarse cando peden a#dar a eliminar o redcir las de(ilidades en materia de segridad$ Solo de(e otorgarse acceso lgico o !;sico a los pro*eedores con !ines de soporte # si reslta necesario+ # pre*ia apro(acin de la gerencia$ )as acti*idades del pro*eedor de(en ser monitoreadas$ 34:$: !ro0eccin de lo, da0o, de 5r*e1a del ,i,0ema )os datos de pre(a de(en ser protegidos # controlados$ )as pre(as de aceptacin del sistema normalmente re%ieren *ol'menes considera(les de datos de pre(a+ %e sean tan cercanos como sea posi(le a los datos operati*os$ Se de(e e*itar el so de (ases de datos operati*as %e contengan in!ormacin personal$ Si se tili:a in!ormacin de esta ;ndole+ esta de(e ser despersonali:ada antes del so$ Se de(en aplicar los sigientes controles para proteger los datos operati*os+ cando los mismos se tili:an con propsitos de pre(a$ a4 )os procedimientos de control de accesos+ %e se aplican a los sistemas de aplicacin en operacin+ tam(i<n de(en aplicarse a los sistemas de aplicacin de pre(a$ '4 Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond (4 Se de(e lle*ar a ca(o na atori:acin por separado cada *e: %e se copia in!ormacin operati*a a n sistema de aplicacin de pre(as$ c4 Se de(e (orrar la in!ormacin operati*a de n sistema de aplicacin de pre(a inmediatamente desp<s de completada la misma$ d4 )a copia # el so de in!ormacin operacional de(en ser registrado a !in de sministrar na pista de aditoria$ 34:$:" Con0rol de acce,o a la, 1i1lio0eca, de 5rograma f*en0e A !in de redcir la pro(a(ilidad de alteracin de programas de comptadora+ se de(e mantener n control estricto del acceso a las (i(liotecas de programa !ente+ seg'n los sigientes pntos 1*er tam(i<n el pnto 2$>4$ a4 5entro de lo posi(le+ las (i(liotecas de programas !ente no de(en ser almacenadas en los sistemas %e est operati*o$ (4 Se de(e designar a n (i(liotecario de programas para cada aplicacin$ c4 El personal de soporte de 7I no de(e tener acceso irrestricto a las (i(liotecas de programas !ente$ d4 )os programas en desarrollo o mantenimiento no de(en ser almacenados en las (i(liotecas de programas !ente operacional$ e4 )a actali:acin de (i(liotecas de programas !ente # la distri(cin de programas !ente a los programadores+ solo de(e ser lle*ada a ca(o por el (i(liotecario designado+ con la atori:acin del gerente de soporte de 7I para la aplicacin pertinente$ !4 )os listados de programas de(en ser almacenados en n am(iente segro 1*er 2$0$D4$ g4 Se de(e mantener n registro de aditoria de todos los accesos a las (i(liotecas de programa !ente$ "4 )as *ieHas *ersiones de los programas !ente de(en ser arc"i*adas con na clara indicacin de las !ec"as # "oras precisas en las cales esta(an en operaciones+ Hnto con todo el so!tIare de soporte+ el control de tareas+ las de!iniciones de datos # los procedimientos$ i4 El mantenimiento # la copia de las (i(liotecas de programas !ente de(en estar sHeta a procedimientos estrictos de control de cam(ios 1*er 10$D$14$ 34:% Seg*ridad de lo, 5roce,o, de de,arrollo ; ,o5or0e O(Heti*o9 Mantener la segridad del so!tIare # la in!ormacin del sistema de aplicacin$ Se de(en controlar estrictamente los entornos de los pro#ectos # el soporte a los mismos$ )os gerentes responsa(les de los sistemas de aplicacin tam(i<n de(en ser responsa(les de la segridad del am(iente del pro#ecto # del soporte$ )os gerentes de(en garanti:ar %e todos los cam(ios propestos para el sistema sean re*isados+ a !in de compro(ar %e los mismos no comprometen la segridad del sistema o del am(iente operati*o$ 34:%:3 !rocedimien0o, de con0rol de cam1io, A !in de minimi:ar la alteracin de los sistemas de in!ormacin+ de(e e8istir n control estricto de la implementacin de los cam(ios$ Se de(e imponer el cmplimiento de los procedimientos !ormales de control de cam(ios$ Estos de(en garanti:ar %e no se comprometan los procedimientos de segridad # control+ %e los programadores de soporte solo tengan acceso a a%ellas partes del sistema necesarias para el desempeGo de ss tareas+ # %e se o(tenga n acerdo # apro(acin !ormal para cal%ier cam(io$ )os cam(ios en el so!tIare de aplicaciones peden tener repercsiones en el am(iente operati*o$ Siempre %e reslte !acti(le+ los procedimientos de control de cam(ios operati*os # de aplicaciones de(en estar integrados 1*er tam(i<n 2$1$24$ Este proceso de(e inclir9 a4 mantener n registro de los ni*eles de atori:acin acordadosL '3 Es%ema 1 I ,AM& 9 (4 garanti:ar %e los cam(ios son propestos por sarios atori:adosL c4 re*isar los controles # los procedimientos de integridad para garanti:ar %e no sern comprometidos por los cam(iosL d4 identi!icar todo el so!tIare+ la in!ormacin+ las entidades de (ases de datos # el "ardIare %e re%ieran correccionesL e4 o(tener apro(acin !ormal para las propestas detalladas antes de %e comiencen las tareasL !4 garanti:ar %e el sario atori:ado acepte los cam(ios antes de cal%ier implementacinL g4 garanti:ar %e la implementacin se lle*e a ca(o minimi:ando la discontinidad de las acti*idades de la empresaL "4 garanti:ar %e la docmentacin del sistema ser actali:ada cada *e: %e se completa n cam(io # se arc"i*a o elimina la docmentacin *ieHaL i4 mantener n control de *ersiones para todas las actali:aciones de so!tIareL H4 mantener na pista de aditoria de todas las solicitdes de cam(iosL K4 garanti:ar %e la docmentacin operati*a 1*er 2$1$14 # los procedimientos de sarios se modi!i%en seg'n las necesidades de adecacinL l4 garanti:ar %e la implementacin de cam(ios tenga lgar en el momento adecado # no altere los procesos comerciales in*olcrados$ Mc"as organi:aciones mantienen n am(iente en el cal los sarios pre(an ne*o so!tIare # %e esta separado de los am(ientes de desarrollo # prodccin$ Esto proporciona n medio para controlar el ne*o so!tIare # permitir la proteccin adicional de la in!ormacin operacional %e se tili:a con propsitos de pre(a$ 34:%: Re2i,in 0+cnica de lo, cam1io, en el ,i,0ema o5era0i2o -eridicamente es necesario cam(iar el sistema operati*o+ por eH$ instalar na *ersin ne*a de so!tIare o parc"es$ Cando se reali:an los cam(io+ los sistemas de aplicacin de(en ser re*isados # pro(ados para garanti:ar %e no se prod:ca n impacto ad*erso en las operaciones o en la segridad$ Este proceso de(e c(rir9 a4 re*isin de procedimientos de integridad # control de aplicaciones para garanti:ar %e estos no "a#an sido comprometidos por los cam(ios del sistema operati*oL (4 garanti:ar %e el plan # prespesto de soporte anal contemple las re*isiones # las pre(as del sistema %e de(an reali:arse como consecencia del cam(io en el sistema operati*oL c4 garanti:ar %e se noti!i%en los cam(ios del sistema operati*o de manera oportna antes de la implementacinL d4 garanti:ar %e se realicen cam(ios apropiados en los planes de continidad de la empresa 1*er pnto 114$ 34:%:" Re,0riccin del cam1io en lo, 5a.*e0e, de ,of0@are Se de(e desalentar la reali:acin de modi!icaciones a los pa%etes de so!tIare$ En la medida de lo posi(le+ # de lo *ia(le+ los pa%etes de so!tIare sministrados por pro*eedores de(en ser tili:ados sin modi!icacin$ Cando se considere esencial modi!icar n pa%ete de so!tIare+ se de(en tener en centa los sigientes pntos9 a4 el riesgo de compromiso de los procesos de integridad # controles incorporadosL (4 si se de(e o(tener el consentimiento del pro*eedorL c4 la posi(ilidad de o(tener del pro*eedor los cam(ios re%eridos como actali:aciones estndar de programasL d4 el impacto %e se prodcir;a si la organi:acin se "ace responsa(le del mantenimiento !tro del so!tIare como resltado de los cam(ios$ ' Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond Si los cam(ios se consideran esenciales+ se de(e retener el so!tIare original # aplicar los cam(ios a na copia claramente identi!icada$ 7odos los cam(ios de(en ser pro(ados # docmentados e8"asti*amente+ de manera %e peden aplicarse ne*amente+ de ser necesario+ a !tras actali:aciones de so!tIare$ 34:%:$ Canale, oc*l0o, ; cdigo 0ro;ano Un canal oclto pede e8poner in!ormacin tili:ando algnos medios indirectos # desconocidos$ -ede acti*arse modi!icando n parmetro accesi(le mediante elementos tanto segros como no segros de n sistema in!ormtico+ o incorporando in!ormacin a n !lHo de datos$ El cdigo tro#ano esta diseGado para a!ectar n sistema en na !orma no atori:ada+ no !cilmente ad*ertida # no re%erida por el destinatario o sario del programa$ )os canales ocltos # el cdigo tro#ano raramente srgen por accidente$ Si se a(orda este tpico+ se de(en considerar los sigientes pntos9 a4 solo comprar programas de pro*eedores acreditadosL (4 comprar programas en cdigo !ente de manera %e el mismo peda ser *eri!icadoL c4 tili:ar prodctos e*aladosL d4 e8aminar todo el cdigo !ente antes de tili:ar operati*amente el programaL e4 controlar el acceso # las modi!icaciones al cdigo na *e: instalado el mismoL !4 emplear personal de pro(ada con!ia(ilidad para tra(aHar en los sistemas cr;ticos$ 34:%:% De,arrollo e70erno de ,of0@are Cando se terceri:a el desarrollo de so!tIare+ se de(en considerar los sigientes pntos9 a4 acerdos de licencias+ propiedad de cdigos # derec"os de propiedad intelectal 1*er 12$1$24L (4 certi!icacin de la calidad # precisin del tra(aHo lle*ado a ca(oL c4 acerdos de cstodia en caso de %ie(ra de la tercera parteL d4 derec"os de acceso a na aditoria de la calidad # precisin del tra(aHo reali:adoL e4 re%erimientos contractales con respecto a la calidad del cdigoL !4 reali:acin de pre(as pre*ias a la instalacin para detectar cdigos tro#anos$ 33 ADMINISTRACIN DE LA CONTINUIDAD DE LOS NEGOCIOS 33:3 A,5ec0o, de la admini,0racin de la con0in*idad de lo, negocio, O(Heti*o9 Contrarrestar las interrpciones de las acti*idades comerciales # proteger los procesos cr;ticos de los negocios de los e!ectos de !allas signi!icati*as o desastres$ Se de(e implementar n proceso de administracin de la continidad de los negocios para redcir la discontinidad ocasionada por desastres # !allas de segridad 1%e peden ser el resltado de+ por eH$+ desastres natrales+ accidentes+ !allas en el e%ipamiento+ # acciones deli(eradas4 a n ni*el acepta(les mediante na com(inacin de controles pre*enti*os # de recperacin$ Se de(en anali:ar las consecencias de desastres+ !allas de segridad e interrpciones del ser*icio$ Se de(en desarrollar e implementar planes de contingencia para garanti:ar %e los procesos de negocios pedan resta(lecerse dentro de los pla:os re%eridos$ 5ic"os planes de(en mantenerse en *igencia # trans!ormarse en na parte integral del resto de los procesos de administracin # gestin$ )a administracin de la continidad de los negocios de(e inclir controles destinados a identi!icar # redcir riesgos+ atenar las consecencias de los incidentes perHdiciales # asegrar la reandacin oportna de las operaciones indispensa(les$ '" Es%ema 1 I ,AM& 9 33:3:3 !roce,o de admini,0racin de la con0in*idad de lo, negocio, Se de(e implementar n proceso controlado para el desarrollo # mantenimiento de la continidad de los negocios en toda la organi:acin$ Este de(e contemplar los sigientes aspectos cla*e de la administracin de la continidad9 a4 Comprensin de los riesgos %e en!renta la organi:acin en t<rminos de pro(a(ilidad de ocrrencia e impacto+ incl#endo la identi!icacin # priori:acin de los procesos cr;ticos de los negociosL (4 comprensin del impacto %e na interrpcin pede tener en los negocios 1es importante %e se encentren solciones para los incidentes menos signi!icati*os+ as; como para los incidentes gra*es %e podr;an amena:ar la *ia(ilidad de la organi:acin 4 # de!inicin de los o(Heti*os comerciales de las "erramientas de procesamiento de in!ormacinL c4 considerar la contratacin de segros %e podr;an !ormar parte del proceso de continidad del negocioL d4 ela(oracin # docmentacin de na estrategia de continidad de los negocios consecente con los o(Heti*os # prioridades de los negocios acordadosL e4 ela(oracin # docmentacin de planes de continidad del negocio de con!ormidad con la estrategia de continidad acordadaL !4 pre(as # actali:acin peridicas de los planes # procesos implementadosL g4 garanti:ar %e la administracin de la continidad de los negocios est< incorporada a los procesos # estrctra de la organi:acin$ )a responsa(ilidad por la coordinacin del proceso de administracin de la continidad de(e ser asignada a n ni*el Herr%ico adecado dentro de la organi:acin+ por eH$ al !oro de segridad de la in!ormacin 1*er D$1$14$ 33:3: Con0in*idad del negocio ; anDli,i, del im5ac0o )a continidad de los negocios de(e comen:ar por la identi!icacin de e*entos %e pedan ocasionar interrpciones en los procesos de los negocios+ por eH$ !allas en el e%ipamiento+ inndacin e incendio$ )ego de(e lle*arse a ca(o na e*alacin de riesgos para determinar el impacto de dic"as interrpciones 1tanto en t<rminos de magnitd de daGo como del per;odo de recperacin4$ Estas dos acti*idades de(en lle*arse a ca(o con la acti*a participacin de los propietarios de los procesos # recrsos de negocio$ Esta e*alacin considera todos los procesos de negocio # no se limita a las instalaciones de procesamiento de la in!ormacin$ Seg'n los resltados de la e*alacin+ de(e desarrollarse n plan estrat<gico para determinar el en!o%e glo(al con el %e se a(ordar la continidad de los negocios$ Una *e: %e se "a creado este plan+ el mismo de(e ser apro(ado por la gerencia$ 33:3:" Ela1oracin e im5lemen0acin de 5lane, de con0in*idad de lo, negocio, )os planes de(en ser desarrollados para mantener o resta(lecer las operaciones de los negocios en los pla:os re%eridos na *e: ocrrida na interrpcin o !alla en los procesos cr;ticos de los negocios$ El proceso de plani!icacin de la continidad de los negocios de(e considerar los sigientes pntos9 a4 identi!icacin # acerdo con respecto a todas la responsa(ilidades # procedimientos de emergenciaL (4 implementacin de procedimientos de emergencia para permitir la recperacin # resta(lecimiento en los pla:os re%eridos$ Se de(e dedicar especial atencin a la e*alacin de la dependencias de negocios e8ternos # a los contratos *igentesL c4 docmentacin de los procedimientos # procesos acordadosL '$ Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond d4 instrccin adecada del personal en materia de procedimientos # procesos de emergencia acordados+ incl#endo el maneHo de crisisL e4 pre(a # actali:acin de los planes$ El proceso de plani!icacin de(e concentrarse en los o(Heti*os de negocio re%eridos+ por eH$ resta(lecimiento de los ser*icios a clientes en n pla:o acepta(le$ 5e(en considerarse los ser*icios # recrsos %e permitirn %e esto ocrra+ incl#endo dotacin de personal+ recrsos %e no procesan in!ormacin+ as; como acerdos para reandacin de emergencia 1Q!all(acKR4 en sitios alternati*os de procesamiento de la in!ormacin$ 33:3:$ Marco 5ara la 5lanificacin de la con0in*idad de lo, negocio, Se de(e mantener n solo marco para los planes de continidad de los negocios+ a !in de garanti:ar %e los mismos sean ni!ormes e identi!icar prioridades de pre(a # mantenimiento$ Cada plan de continidad de(e especi!icar claramente las condiciones para s pesta en marc"a+ as; como las personas responsa(les de eHectar cada componente del mismo$ Cando se identi!ican ne*os re%erimientos+ de(en modi!icarse de con!ormidad los procedimientos de emergencia esta(lecidos+ por eH$ los planes de e*acacin o los recrsos de emergencia 1Q!all(acKR4 e8istentes$ El marco para la plani!icacin de la continidad de los negocios de(e tener en centa los sigientes pntos9 a4 las condiciones de implementacin de los planes %e descri(an el proceso a segir 1cmo e*alar la sitacin+ %< personas estarn in*olcradas+ etc$4 antes de poner en marc"a los mismosL (4 procedimientos de emergencia %e descri(an las acciones a emprender na *e: ocrrido n incidente %e ponga en peligro las operaciones de la empresa #/o la *ida "mana$ Esto de(e inclir disposiciones con respecto a la gestin de las relaciones p'(licas # a *;nclos e!icaces a esta(lecer con las atoridades p'(licas pertinentes+ por eH$ polic;a+ (om(eros # atoridades localesL c4 procedimientos de emergencia 1Q!all(acKR4 %e descri(an las acciones a emprender para el traslado de acti*idades esenciales de la empresa o de ser*icios de soporte a (icaciones transitorias alternati*as+ # para el resta(lecimiento de los procesos de negocio en los pla:os re%eridosL d4 procedimientos de recperacin %e descri(an las acciones a emprender para resta(lecer las operaciones normales de la empresaL e4 n cronograma de mantenimiento %e especi!i%e cmo # cndo ser pro(ado el plan+ # el proceso para el mantenimiento del mismo9 !4 acti*idades de concienti:acin e instrccin %e est<n diseGadas para propiciar la comprensin de los procesos de continidad del negocio # garanti:ar %e los procesos sigan siendo e!icacesL g4 las responsa(ilidades de las personas+ descri(iendo los responsa(les de la eHeccin de cada no de los componentes del plan$ Se de(en mencionar alternati*as cando corresponda$ Cada plan de(e tener n propietario espec;!ico$ )os procedimientos de emergencia+ los planes de reandacin 1Q!all(acKR4 # los planes de recperacin de(en contarse entre las responsa(ilidades de los propietarios de los recrsos o procesos de negocio pertinentes$ )as disposiciones de emergencia para ser*icios t<cnicos alternati*os+ como instalaciones de comnicaciones o de procesamiento de in!ormacin+ normalmente se centan entre las responsa(ilidades de los pro*eedores de ser*icios$ 33:3:% !r*e1aC man0enimien0o ; ree2al*acin de lo, 5lane, de con0in*idad de lo, negocio, )os planes de continidad de los negocios peden !allar en el crso de las pre(as+ !recentemente de(ido a sposiciones incorrectas+ negligencias o cam(ios en el e%ipamiento o el personal$ -or '% Es%ema 1 I ,AM& 9 consigiente de(en ser pro(ados peridicamente para garanti:ar %e estn actali:ados # son e!icaces$ )as pre(as tam(i<n de(en garanti:ar %e todos los miem(ros del e%ipo de recperacin # dems personal rele*ante est<n al corriente de los planes$ El cronograma de pre(as para los planes de continidad del negocio de(e indicar cmo # cndo de(e pro(arse cada elemento del plan$ Se recomienda pro(ar con !recencia cada no de los componentes del plan$ Se de(en tili:ar di*ersas t<cnicas para garanti:ar %e los planes !ncionarn en la *ida real$ Estas de(en inclir9U a4 pre(as de discsin de di*ersos escenarios 1disctiendo medidas para la recperacin del negocio tili:ando eHemplo de interrpciones4L (4 simlaciones 1especialmente para entrenar al personal en el desempeGo de ss roles de gestin posterior a incidentes o crisis4L c4 pre(as de recperacin t<cnica 1garanti:ando %e los sistemas de in!ormacin pedan ser resta(lecidos con e!icacia4L d4 pre(as de recperacin en n sitio alternati*o 1eHectando procesos de negocio en paralelo+ con operaciones de recperacin !era del sitio principal4L e4 pre(as de instalaciones # ser*icios de pro*eedores 1garanti:ando %e los prodctos # ser*icios de pro*eedores e8ternos cmplan con el compromiso contra;do4L !4 ensa#os completos 1pro(ando %e la organi:acin+ el personal+ el e%ipamiento+ las instalaciones # los procesos peden a!rontar las interrpciones4L Estas t<cnicas peden ser tili:adas por cal%ier organi:acin # de(en re!leHar la natrale:a del plan de recperacin pertinente$ 33:3:%:3 Man0enimien0o ; ree2al*acin del 5lan )os planes de continidad de los negocios de(en mantenerse mediante re*isiones # actali:aciones peridicas para garanti:ar s e!icacia permanente$ Se de(en inclir procedimientos en el programa de administracin de cam(ios de la organi:acin para garanti:ar %e se a(orden adecadamente los tpicos de continidad del negocio$ Se de(e asignar la responsa(ilidad por las re*isiones peridicas de cada no de los planes de continidad del negocioL la identi!icacin de cam(ios en las disposiciones relati*as al negocio a'n no re!leHadas en los planes de continidad de(e segirse de na adecada actali:acin del plan$ Este proceso !ormal de control de cam(ios de(e garanti:ar %e se distri(#an los planes actali:ados # %e se imponga el cmplimiento de los mismos mediante re*isiones peridicas de todos los planes$ Entre los eHemplos de sitaciones %e podr;an demandar la actali:acin de los planes se encentra la ad%isicin de ne*o e%ipamiento+ o la actali:acin 1QpgradingR4 de los sistemas operacionales # los cam(ios de9 a4 personal (4 direcciones o n'meros tele!nicosL c4 estrategia de los negociosL d4 (icacin+ instalaciones # recrsosL e4 legislacinL !4 contratistas+ pro*eedores # clientes cla*eL g4 procesos+ o procesos ne*os/eliminadosL "4 riesgos 1operacionales # !inancieros4$ '& Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond 3 CUM!LIMIENTO 3:3 C*m5limien0o de re.*i,i0o, legale, O(Heti*o9 Impedir in!racciones # *iolaciones de las le#es del derec"o ci*il # penalL de las o(ligaciones esta(lecidas por le#es+ estattos+ normas+ reglamentos o contratosL # de los re%isitos de segridad$ El diseGo+ operacin+ so # administracin de los sistemas de in!ormacin peden estar sHetos a re%isitos de segridad legal+ normati*a # contractal$ Se de(e procrar asesoramiento so(re re%isitos legales espec;!icos por parte de los asesores Hr;dicos de la organi:acin+ o de a(ogados con*enientemente cali!icados$ )os re%isitos legales *ar;an seg'n el pa;s # en relacin con la in!ormacin %e se genera en n pa;s # se transmite a otro 1por eH$ !lHo de datos a tra*<s de !ronteras4$ 3:3:3 Iden0ificacin de la legi,lacin a5lica1le Se de(en de!inir # docmentar claramente todos los re%isitos legales+ normati*os # contractales pertinentes para cada sistema de in!ormacin$ 5el mismo modo de(en de!inirse # docmentarse los controles espec;!icos # las responsa(ilidades indi*idales para cmplir con dic"os re%isitos$ 3:3: DerecGo, de 5ro5iedad in0elec0*al HD!II 3:3::3 DerecGo de 5ro5iedad in0elec0*al Se de(en implementar procedimientos adecados para garanti:ar el cmplimiento de las restricciones legales al so del material respecto del cal pedan e8istir derec"os de propiedad intelectal+ como derec"o de propiedad intelectal+ derec"os de diseGo o marcas registradas$ )a in!raccin de derec"os de ator 1derec"o de propiedad intelectal4 pede tener como resltado acciones legales %e podr;an deri*ar en demandas penales$ )os re%isitos legales+ normati*os # contractales peden poner restricciones a la copia de material %e constit#a propiedad de na empresa$ En particlar+ peden re%erir %e slo peda tili:arse material desarrollado por la organi:acin+ o material atori:ado o sministra&do a la misma por la empresa %e lo "a desarrollado$ 3:3:: DerecGo de 5ro5iedad in0elec0*al del ,of0@are )os prodctos de so!tIare %e constit#an propiedad de na empresa se sministran normalmente (aHo n acerdo de licencia %e limita el so de los prodctos a m%inas espec;!icas # pede limitar la copia a la creacin de copias de resgardo solamente$ Se de(en considerar los sigientes controles9 a4 p(licacin de na pol;tica de cmplimiento del derec"o de propiedad intelectal de so!tIare %e de!ina el so legal de prodctos de in!ormacin # de so!tIareL (4 emisin de estndares para los procedimientos de ad%isicin de prodctos de so!tIareL c4 mantenimiento de la concienti:acin respecto de las pol;ticas de ad%isicin # derec"o de propiedad intelectal de so!tIare+ # noti!icacin de la determinacin de tomar acciones disciplinarias contra el personal %e incrra en el cmplimiento de las mismasL d4 mantenimiento adecados de registros de acti*osL e4 mantenimiento de pre(as # e*idencias de propiedad de licencias+ discos maestros+ manales+ etc$ !4 implementacin de controles para garanti:ar %e no se e8ceda el n'mero m8imo permitido de sariosL '' Es%ema 1 I ,AM& 9 g4 compro(aciones para *eri!icar %e slo se instalan prodctos con licencia # so!tIare atori:adoL "4 emisin de na pol;tica para el mantenimiento de condiciones adecadas con respecto a las licenciasL i4 emisin de na pol;tica con respecto a la eliminacin o trans!erencia de so!tIare a tercerosL H4 tili:acin de "erramientas de aditor;a adecadasL K4 cmplimiento de t<rminos # condiciones con respecto a la o(tencin de so!tIare e in!ormacin en redes p'(licas 1*er tam(i<n el pnto 2$7$04$ 3:3:" !ro0eccin de lo, regi,0ro, de la organi<acin )os registros importantes de la organi:acin de(en protegerse contra p<rdida+ destrccin # !alsi!icacin$ Algnos registros peden re%erir na retencin segra para cmplir re%isitos legales o normati*os+ as; como para respaldar acti*idades esenciales del negocio$ Un eHemplo de esto son los registros %e peden re%erirse como e*idencia de %e na organi:acin opera dentro de n determinado marco legal o normati*o+ o para garanti:ar na adecada de!ensa contra e*entales acciones ci*iles o penales+ o para *alidar el estado !inanciero de na organi:acin ante accionistas+ socios # aditores$ El pla:o # el contenido de los datos para la retencin de in!ormacin peden ser esta(lecidos por le#es o normas nacionales$ )os registros de(en ser clasi!icados en di!erentes tipos+ por eH$ registros conta(les+ registros de (ase de datos+ QlogsR de transacciones+ QlogsR de aditor;a # procedimientos operati*os+ cada no de ellos detallando los per;odos de retencin # el tipo de medios de almacenamiento+ por eH$ papel+ micro!ic"as+ medios magn<ticos pticos$ )as cla*es criptogr!icas asociadas con arc"i*os ci!rados o !irmas digitales 1*er 10$>$2 # 10$>$>4 de(en mantenerse en !orma segra # estar disponi(les para s so por parte de personas atori:adas cando reslte necesario$ Se de(e considerar la posi(ilidad de degradacin de los medios tili:ados para el almacenamiento de los registros$ )os procedimientos de almacenamiento # maniplacin de(en implementarse de acerdo con las recomendaciones del !a(ricante$ Si se seleccionan medios de almacenamiento electrnicos+ de(en inclirse procedimientos para garanti:ar la capacidad de acceso a los datos 1tanto legi(ilidad de !ormato como medios4 drante todo el per;odo de retencin+ a !in de sal*agardar los mismos contra e*entales p<rdidas ocasionadas pro !tros cam(ios tecnolgicos$ )os sistemas de almacenamiento de datos de(en seleccionarse de modo tal %e los datos re%eridos pedan recperarse de na manera %e reslte acepta(le para n tri(nal de Hsticia+ por eH$ %e todos los registros re%eridos pedan recperarse en n pla:o # n !ormato acepta(le$ El sistema de almacenamiento # maniplacin de(e garanti:ar na clara identi!icacin de los registros # de s per;odo de retencin legal o normati*a$ 5e(e permitir na adecada destrccin de los registros na *e: transcrrido dic"o per;odo+ si #a no resltan necesarios para la organi:acin$ A !in de cmplir con estas o(ligaciones+ se de(en tomar las sigientes medidas dentro de la organi:acin$ a4 Se de(e emitir lineamientos para la retencin+ almacenamiento+ maniplacin # eliminacin de registros e in!ormacinL (4 Se de(e preparar n cronograma de retencin identi!icando los tipos esenciales de registros # el per;odo drante el cal de(en ser retenidos$ c4 Se de(e mantener n in*entario de !entes de in!ormacin cla*e$ '( Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond d4 Se de(e implementar adecados controles para proteger los registros # la in!ormacin esenciales contra p<rdida+ destrccin # !alsi!icacin$ 3:3:$ !ro0eccin de da0o, ; 5ri2acidad de la informacin 5er,onal 5i*ersos pa;ses "an introdcido le#es %e esta(lecen controles so(re el procesamiento # transmisin de datos personales 1generalmente in!ormacin so(re personas *i*as %e peden ser identi!icadas a partir de esta in!ormacin4$ 5ic"os controles peden imponer responsa(ilidades a a%ellas personas %e recopilan+ procesan # di*lgan in!ormacin personal+ # peden limitar la capacidad de trans!erir dic"os datos a otros pa;ses$ El cmplimiento de la legislacin so(re proteccin de datos re%iere na estrctra # n control de gestin adecados$ Arecentemente+ esto se logra de la meHor manera mediante la designacin de n responsa(le a cargo de la proteccin de datos %e oriente a los gerentes+ sarios # prestadores de ser*icios acerca de ss responsa(ilidades indi*idales # de los procedimientos espec;!icos %e de(en segirse$ 5e(e ser responsa(ilidad del propietario de los datos+ in!ormar al responsa(le de la proteccin de los mismos+ acerca de las propestas para mantener la in!ormacin personal+ en n arc"i*o estrctrado+ # para garanti:ar el conocimiento de los principios de proteccin de datos+ de!inidos en la legislacin pertinente$ 3:3:% !re2encin del *,o inadec*ado de lo, rec*r,o, de 5roce,amien0o de informacin )os recrsos de procesamiento de in!ormacin de na organi:acin se sministran con propsitos de negocio$ )a gerencia de(e atori:ar el so %e se da a los mismos$ )a tili:acin de estos recrsos con propsitos no atori:ados o aHenos a los negocios+ sin la apro(acin de la gerencia+ de(e ser considerada como so inde(ido$ Si dic"a acti*idad es identi!icada mediante monitoreo otros medios+ se de(e noti!icar al gerente interesado para %e se tomen las acciones disciplinarias %e correspondan$ )a legalidad del monitoreo del so de los recrsos mencionados *ar;a seg'n el pa;s # pede re%erir %e los empleados sean ad*ertidos de dic"as acti*idades o %e se o(tenga el consentimiento de los mismos$ Se de(e o(tener asesoramiento Hr;dico antes de implementar los procedimientos de monitoreo$ Mc"os pa;ses tienen+ o estn en proceso de introdcir+ legislacin re!erida a la proteccin contra el so inadecado de los recrsos in!ormticos$ El so de los mismos con propsitos no atori:ados pede constitir n delito criminal$ -or consigiente+ es esencial %e todos los sarios est<n al corriente del alcance preciso del acceso permitido$ Esto pede lograrse+ por eHemplo+ otorgando a los sarios na atori:acin escrita+ na copia de la cal de(e ser !irmada por los mismos # retenida en !orma segra por la organi:acin$ )os empleados # los sarios e8ternos de(er ser ad*ertidos de la pro"i(icin de todo acceso %e no est< e8presamente atori:ado$ En el momento del inicio de sesin de(e aparecer n mensaHe de ad*ertencia en pantalla indicando %e el sistema al %e se est ingresando es pri*ado # %e no se permite el acceso no atori:ado$ El sario de(e acsar recepcin # responder en !orma adecada al mensaHe para continar con el proceso de inicio de sesin$ 3:3:& Reg*lacin de con0role, 5ara el *,o de cri50ografa Algnos pa;ses "an implementado acerdos+ le#es+ normas # dems instrmentos para controlar el acceso a los controles criptogr!icos o el so de los mismos$ 5ic"o control pede inclir9 a4 importacin #/o e8portacin de "ardIare # so!tIare para desempeGar !nciones criptogr!icasL '/ Es%ema 1 I ,AM& 9 (4 importacin #/o e8portacin de "ardIare # so!tIare diseGado para aceptar !nciones criptogr!icasL c4 m<todos o(ligatorios o discrecionales de acceso de los pa;ses a la in!ormacin ci!rada por "ardIare # so!tIare para pro*eer de con!idencialidad al contenido$ Se de(e procrar asesoramiento Hr;dico para garanti:ar el cmplimiento de las le#es nacionales$ 7am(i<n de(e o(tenerse asesoramiento antes de trans!erir a otro pa;s la in!ormacin ci!rada o los controles criptogr!icos$ 3:3:' Recoleccin de e2idencia 3:3:':3 Regla, 5ara la recoleccin de e2idencia Es necesario contar con adecada e*idencia para respaldar na accin contra na persona organi:acin$ Siempre %e esta accin responda a na medida disciplinaria interna+ la e*idencia necesaria estar descrita en los procedimientos internos$ Cando la accin implica la aplicacin de na le#+ tanto ci*il como penal+ la e*idencia presentada de(e cmplir con las normas de e*idencia esta(lecidas en la le# pertinente o en las normas espec;!icas del tri(nal en el cal se desarrollar el caso$ En general+ estas normas comprenden9 a4 *alide: de la e*idencia9 si pede o no tili:arse la misma en el tri(nalL (4 peso de la e*idencia9 la calidad # totalidad de la mismaL c4 adecada e*idencia de %e los controles "an !ncionado en !orma correcta # consistente 1por eH$ e*idencia de control de procesos4 drante todo el per;odo en %e la e*idencia a recperar !e almacenada # procesada por el sistema$ 3:3:': >alide< de la e2idencia -ara lograr la *alide: de la e*idencia+ las organi:aciones de(en garanti:ar %e ss sistemas de in!ormacin cmplan con los estndares o cdigos de prctica relati*os a la prodccin de e*idencia *lida$ 3:3:':" Calidad ; 0o0alidad de la e2idencia -ara lograr la calidad # totalidad de la e*idencia es necesaria na slida pista de la misma$ En general+ esta pista pede esta(lecerse si se cmplen las sigientes condiciones9 a4 -ara docmentos en papel9 el original se almacena en !orma segra # se mantienen registros acerca de %i<n lo "all+ dnde se "all+ cndo se "all # %i<n presenci el "alla:go$ Cal%ier in*estigacin de(e garanti:ar %e los originales no sean alterados$ (4 -ara in!ormacin en medios in!ormticos9 se de(en "acer copias de los medios remo*i(les # de la in!ormacin en discos r;gidos o en memoria para garanti:ar s disponi(ilidad$ Se de(e mantener n registro de todas las acciones reali:adas drante el proceso de copia # <ste de(e ser presenciado$ Se de(e almacenar en !orma segra na copia de los medios # del registro$ Cando se detecta n incidente pede no resltar o(*io si <ste deri*ar en na demanda legal$ -or consigiente+ e8iste el riesgo de %e la e*idencia necesaria sea destrida accidentalmente antes de %e se ad*ierta la gra*edad del incidente$ Es aconseHa(le in*olcrar a n a(ogado o a la polic;a en la primera etapa de cal%ier accin legal contemplada # procrar asesoramiento acerca de la e*idencia re%erida$ (4 Es%ema 1 I ,AM& I SO I EC 17799 9 Error9 ,e! erence sorce not ! ond 3: Re2i,ione, de la 5ol0ica de ,eg*ridad ; la com5a0i1ilidad 0+cnica O(Heti*o9 Caranti:ar la compati(ilidad de los sistemas con las pol;ticas # estndares 1normas4 de segridad de la organi:acin$ )a segridad de los sistemas de in!ormacin de(e re*isarse peridicamente$ 5ic"as re*isiones de(en lle*arse a ca(o con re!erencia a las pol;ticas de segridad pertinentes # las plata!ormas t<cnicas # sistemas de in!ormacin de(en ser aditados para *eri!icar s compati(ilidad con los estndares 1normas4 de implementacin de segridad$ 3::3 C*m5limien0o de la 5ol0ica de ,eg*ridad )a gerencia de(e garanti:ar %e se lle*en a ca(o correctamente todos los procedimientos de segridad dentro de s rea de responsa(ilidad$ Asimismo+ se de(e considerar la implementacin de na re*isin peridica de todas las reas de la organi:acin para garanti:ar el cmplimiento de las pol;ticas # estndares de segridad$ Entre las reas a re*isar de(en inclirse las sigientes9 a4 sistemas de in!ormacinL (4 pro*eedores de sistemasL c4 propietarios de in!ormacin # de recrsos de in!ormacinL d4 sariosL e4 gerentes$ )os propietarios de los sistemas de in!ormacin 1*er .$14 de(en apo#ar la re*isin peridica de la con!ormidad de ss sistemas con las pol;ticas+ estndares # otros re%isitos de segridad aplica(les$ El tpico re!erido al monitoreo operacional del so del sistema es tratado en el pnto 9$7$ 3:: >erificacin de la com5a0i1ilidad 0+cnica Se de(e *eri!icar peridicamente la compati(ilidad de los sistemas de in!ormacin con los estndares de implementacin de la segridad$ )a *eri!icacin de la compati(ilidad t<cnica comprende la re*isin de los sistemas operacionales a !in de garanti:ar %e los controles de "ardIare # so!tIare "a#an sido correctamente implementados$ Este tipo de *eri!icacin de cmplimiento re%iere asistencia t<cnica especiali:ada$ 5e(e ser reali:ada manalmente 1si es necesario+ con el apo#o de adecadas "erramientas de so!tIare4 por n ingeniero en sistemas e8perimentado+ o por n pa%ete de so!tIare atomati:ado %e genere n in!orme t<cnico para s lterior interpretacin por parte de n especialista$ )a *eri!icacin de compati(ilidad tam(i<n pede comprender pre(as de penetracin+ las cales podr;an ser reali:adas por e8pertos independientes contratados espec;!icamente con este propsito$ Esto pede resltar 'til para la deteccin de *lnera(ilidades en el sistema # para *eri!icar la e!icacia de los controles con relacin a la pre*encin de accesos no atori:ados posi(ilitados por las mismas$ Se de(en tomar recados en caso de %e na pre(a de penetracin e8itosa peda comprometer la segridad del sistema e inad*ertidamente permita e8plotar otras *lnera(ilidades+ )as *eri!icaciones de compati(ilidad t<cnica slo de(en ser reali:adas por personas competentes # atori:adas o (aHo la sper*isin de las mismas$ (3 Es%ema 1 I ,AM& 9 3:" Con,ideracione, de a*di0oria de ,i,0ema, O(Heti*o9 Optimi:ar la e!icacia del proceso de aditoria de sistemas # minimi:ar los pro(lemas %e pdiera ocasionar el mismo+ o los o(stclos %e pdieran a!ectarlo$ 5e(en e8istir controles %e proteHan los sistemas de operaciones # las "erramientas de aditoria en el transcrso de las aditorias de sistemas$ Asimismo+ se re%iere na proteccin adecada para sal*agardar la integridad # e*itar el so inadecado de las "erramientas de aditoria$ 3:":3 Con0role, de a*di0oria de ,i,0ema, )os re%erimientos # acti*idades de aditoria %e in*olcran *eri!icaciones de los sistemas operacionales de(en ser cidadosamente plani!icados # acordados a !in de minimi:ar el riesgo de discontinidad de los procesos de negocio$ Se de(en contemplar los sigientes pntos9 a4 )os re%erimientos de aditoria de(en ser acordados con la gerencia %e correspondaL (4 se de(e acordar # controlar el alcance de las *eri!icacionesL c4 <stas de(en estar limitadas a n acceso de slo lectra del so!tIare de datosL d4 el acceso %e no sea de slo lectra solamente de(e permitirse para copias aisladas de arc"i*os del sistema+ las cales de(en ser eliminadas na *e: !inali:ada la aditor;a$ e4 se de(en identi!icar claramente # poner a disposicin los recrsos de 7I para lle*ar a ca(o las *eri!icacionesL !4 se de(en identi!icar # acordar los re%erimientos de procesamiento especial o adicionalL g4 todos los accesos de(en ser monitoreados # registrados a !in de generar na pista de re!erenciaL "4 se de(en docmentar todos los procedimientos+ re%erimientos # responsa(ilidades$ 3:": !ro0eccin de la, Gerramien0a, de a*di0ora de ,i,0ema, Se de(e proteger el acceso a las "erramientas de aditor;a de sistemas+ por eH$ arc"i*os de datos o so!tIare+ a !in de e*itar el mal so o el compromiso de las mismas$ 5ic"as "erramientas de(en estar separadas de los sistemas operacionales # de desarrollo # no de(en almacenarse en (i(liotecas de cintas o en reas de sarios+ a menos %e se les otorge n ni*el adecado de proteccin adicional$ ( Ane7o A 1In!ormati*o4 Ai1liografa ISO J INTERNATIONAL ORGANIZATION 6OR STANDARDIZATION IEC J INTERNATIONAL ELECTROTECKNICAL COMMISSION ISO/IEC 1779992000 & In!ormation tec"nolog#$ Code o! practice !or in!ormation secrit# management$ Ane7o A 1In!ormati*o4 El estdio de este es%ema "a estado a cargo del S(comit< de Segridad de la in!ormacin+ integrado de la !orma sigiente9 In0egran0e Re5re,en0a a= )ic$ Adal(erto AI,A)A U6IF$ 7EC6$ 6AC$ & AAC$ ,EC$ 3S$ AS$ 5r$ 5aniel A)7MA,V CO)ECIO 5E A3OCA5OS )ic$ Wan de 5ios 3E) ISACA & I6AO,MA7IO6 S@S7EMS AU5I7$ A65 CO67,O) ASSOCIA7IO6 Sr$ Os*aldo -?,EE IEEE A,CE67I6A Sr$ ,odrigo SECUE) SEC,E7$ 5E MO5E,6IEACI=6 5E) ES7A5O 5r$ -a(lo 7ISCO,6IA MI6IS7E,IO 5E WUS7ICIA @ 5E,ECXOS XUMA6OS )ic$ Wan Carlos MASOE,O I,AM )ic$ Worge 6U6ES I,AM )ic$ Espedito -ASSA,E))O I,AM TRBMITE El estdio de esta norma !e considerado por el S(comit< en ss reniones del 2002&02&22 1Acta 1&20024 # 2002&0>&21 1Acta 2&20024 en la %e se apro( como Es%ema 1 para s en*;o a 5iscsin -'(lica por D. d$ YYYYYYYYYYYYYYYYYYYYYYYYYYYYY A-,O3A5O SU E6FIO A 5ISCUSI=6 -Z3)ICA -O, E) SU3COMI7? 5E SECU,I5A5 5E )A I6AO,MACI=6+ E6 SU SESI=6 5E) 21 5E MA,EO 5E 2002 1Acta 2&20024$ AI,MA5O )ic$ Worge 6nes )ic$ Wan C$ Masoero Coordinador del S(comit< AI,MA5O )ic$ Wan 3el Secretario del S(comit< AI,MA5O )ic$ Marta ,$ de 3ar(ieri F[ 3[ E%ipo A ($