Escolar Documentos
Profissional Documentos
Cultura Documentos
Nmero de referencia
NCh-ISO 27002:2013
INN 2013
LICENCIADO POR INN PARA :
BIBLIOTECA CONTRALORIA GENERAL DE LA REPUBLICA - 2014-06-26
LICENCIA 1 USUARIO - COPIA Y USO EN RED PROHIBIDOS
Derechos de autor:
La presente Norma Chilena se encuentra protegida por derechos de autor o copyright, por lo cual, no puede ser reproducida o utilizada
en cualquier forma o por cualquier medio, electrnico o mecnico, sin permiso escrito del INN. La publicacin en Internet se encuentra
prohibida y penada por la ley.
Se deja expresa constancia que en caso de adquirir algn documento en formato impreso, ste no puede ser copiado (fotocopia, digitalizacin o
similares) en cualquier forma. Bajo ninguna circunstancia puede ser revendida. Asimismo, y sin perjuicio de lo indicado en el prrafo anterior, los
documentos adquiridos en formato .pdf, tiene autorizada slo una impresin por archivo, para uso personal del Cliente. El Cliente ha comprado una
sola licencia de usuario para guardar este archivo en su computador personal. El uso compartido de estos archivos est prohibido, sea que se
materialice a travs de envos o transferencias por correo electrnico, copia en CD, publicacin en Intranet o Internet y similares.
Si tiene alguna dificultad en relacin con las condiciones antes citadas, o si usted tiene alguna pregunta con respecto a los derechos de autor, por
favor contacte la siguiente direccin:
Contenido Pgina
Contenido Pgina
Prembulo
El Instituto Nacional de Normalizacin, INN, es el organismo que tiene a su cargo el estudio y preparacin de
las normas tcnicas a nivel nacional. Es miembro de la INTERNATIONAL ORGANIZATION FOR
STANDARDIZATION (ISO) y de la COMISION PANAMERICANA DE NORMAS TECNICAS (COPANT),
representando a Chile ante esos organismos.
Esta norma se estudi por el Comit Tcnico Conjunto de caracteres y codificacin, y brinda orientacin para
las normas de seguridad de informacin organizacional y las prcticas de administracin de seguridad de la
informacin incluida la seleccin, la implementacin, la administracin y los controles considerando los
entornos de riesgo de seguridad de la informacin de la organizacin
Esta norma es idntica a la versin en ingls de la Norma ISO/IEC 27002:2013 Information technology -
Security techniques - Code of practice for information security controls.
Para los propsitos de esta norma, se han realizado los cambios editoriales que se indican y justifican en
Anexo B.
Si bien se ha tomado todo el cuidado razonable en la preparacin y revisin de los documentos normativos
producto de la presente comercializacin, INN no garantiza que el contenido del documento es actualizado o
exacto o que el documento ser adecuado para los fines esperados por el cliente.
En la medida permitida por la legislacin aplicable, el INN no es responsable de ningn dao directo,
indirecto, punitivo, incidental, especial, consecuencial o cualquier dao que surja o est conectado con el uso
o el uso indebido de este documento.
Esta norma ha sido aprobada por el Consejo del Instituto Nacional de Normalizacin, en sesin efectuada el
25 de octubre de 2013.
0 Introduccin
Esta norma est diseada para que las organizaciones la utilicen como referencia al seleccionar los controles
dentro del proceso para la implementacin de un Sistema de Gestin de Seguridad de la Informacin (SGSI)
en base a ISO/IEC 27001 o como un documento de orientacin para las organizaciones que implementan
controles de seguridad de informacin de aceptacin comn. Esta norma tambin est hecha para utilizarse
en el desarrollo de pautas de administracin de seguridad de la industria y especficas para la organizacin,
considerando sus entornos especficos de riesgo de seguridad de la informacin.
Las organizaciones de todos los tipos y tamaos (incluido el sector pblico y privado, comercial y sin fines de
lucro) recopilan, procesan y transmiten informacin de varias formas incluidas las electrnicas, fsicas y
verbales (es decir, conversaciones y presentaciones).
El valor de la informacin traspasa las palabras escritas, los nmeros y las imgenes: el conocimiento, los
conceptos, las ideas y las marcas son ejemplos de formas intangibles de informacin. En un mundo
interconectado, la informacin y los procesos relacionados, los sistemas, redes y el personal involucrado en
su operacin, manipulacin y proteccin son activos que, al igual que otros activos comerciales de
importancia, resultan valiosos para el negocio de la organizacin y, por lo tanto, merecen o requieren
proteccin contra diversos peligros.
Los activos estn sujetos tanto a amenazas deliberadas como accidentales, mientras que los procesos,
sistemas, redes y personas relacionadas poseen vulnerabilidades inherentes. Los cambios en los procesos y
sistemas comerciales u otros cambios externos (como las nuevas leyes y normativas) pueden generar nuevos
riesgos para la seguridad de la informacin. Por lo tanto, dada la multitud de formas en que las amenazas se
pueden aprovechar de las vulnerabilidades para daar a la organizacin, los riesgos en la seguridad de la
informacin siempre estn presentes. La seguridad eficaz en la informacin reduce estos riesgos al proteger a la
organizacin contra las amenazas y vulnerabilidades y luego reduce el impacto en sus activos.
La seguridad de la informacin se logra implementando un conjunto de controles adecuado, que incluye polticas,
procesos, procedimientos, estructuras organizacionales y funciones de software y hardware. Estos controles se
deberan establecer, implementar, monitorear, revisar y mejorar donde sea necesario para garantizar que se
cumplen los objetivos especficos comerciales y de seguridad de las organizaciones. Un SGSI como el que se
especifica en ISO/IEC 27001 toma un punto de vista holstico y coordinado de los riesgos de seguridad de la
informacin de la organizacin para poder implementar una suite integral de controles de seguridad de la
informacin bajo el marco general completo de un sistema de administracin coherente.
Muchos sistemas de informacin no se han diseado para ser seguros en el aspecto de ISO/IEC 27001 y esta
norma. La seguridad que se puede lograr a travs de medios tcnicos es limitada y debera estar respaldada por
la administracin y procedimientos adecuados. La identificacin de los controles que se deberan poner en
vigencia requiere de una planificacin minuciosa y detallada. Un SGSI correcto requiere del apoyo de todos los
empleados de la organizacin. Tambin puede requerir la participacin de accionistas, proveedores y otras partes
externas. Tambin es posible que se necesite asesora de especialistas de partes externas.
Es fundamental que una organizacin identifique sus requisitos de seguridad. Existen tres fuentes principales
de requisitos de seguridad:
a) la evaluacin de los riesgos para la organizacin, considerando la estrategia y los objetivos generales de
la organizacin. Las amenazas a los activos se identifican a travs de una evaluacin de riesgos, se
evala adems la vulnerabilidad y la probabilidad de su ocurrencia y se estima su posible impacto;
b) los requisitos legales, estatutarios, normativos y contractuales que una organizacin, sus socios
comerciales, contratistas y proveedores de servicio deberan satisfacer y su entorno sociocultural;
Los recursos empleados en la implementacin de controles se deberan equilibrar contra el probable dao al
negocio que puede surgir de los problemas de seguridad en la ausencia de estos controles. Los resultados
de una evaluacin de riesgos ayudarn a guiar y determinar las acciones y prioridades de gestin adecuadas
para administrar los riesgos de seguridad de la informacin y para implementar los controles seleccionados
para protegerse contra estos riesgos.
La seleccin de los controles depende de las decisiones organizacionales en base a los criterios para la
aceptacin de riesgos, las opciones de tratamiento de riesgos y el enfoque de administracin general de
riesgos que se aplica a la organizacin y tambin estar sujeta a toda la legislacin y normativas nacionales e
internacionales pertinentes. La seleccin del control tambin depende de la forma en que interactan los
controles para brindar proteccin en profundidad.
Algunos de los controles de esta norma se pueden considerar como principios gua para la administracin de
la seguridad de la informacin y se pueden aplicar a la mayora de las organizaciones. Los controles se
explican en mayor detalle a continuacin junto con la orientacin sobre la implementacin. Puede encontrar
ms informacin sobre la seleccin de controles y opciones de tratamiento de riesgos en ISO/IEC 27005.
Los sistemas de informacin tienen ciclos de vida dentro de los que se conciben, especifican, disean,
desarrollan, prueban, implementan, utilizan, mantienen y que con el tiempo se retiran de servicio y se
eliminan. La seguridad de la informacin se debera considerar en todas las etapas. Los nuevos desarrollos y
cambios a los sistemas existentes presentan oportunidades para que las organizaciones actualicen y mejoren
los controles de seguridad, considerando los incidentes reales y los riesgos de seguridad de la informacin
actuales y proyectados.
Si bien esta norma ofrece orientacin sobre una amplia gama de controles de seguridad de la informacin
que se aplican comnmente en muchas organizaciones distintas, las normas restantes en la familia
ISO/IEC 27000 brindan consejos o requisitos complementarios sobre el resto de los aspectos del proceso
general de la administracin de la seguridad de la informacin.
Consulte ISO/IEC 27000 para obtener una presentacin general tanto de SGSI como de la familia de normas.
ISO/IEC 27000 entrega un glosario, que define formalmente la mayora de los trminos que se utilizan en la
familia de normas ISO/IEC 27000 y describe el alcance y los objetivos para cada miembro de la familia.
Esta norma est diseada para que la utilicen las organizaciones que tienen la intencin de:
2 Referencias normativas
La equivalencia de la Norma Internacional sealada anteriormente con Norma Chilena, y su grado de correspondencia
es el siguiente:
3 Trminos y definiciones
Para los propsitos de este documento, se aplican los trminos y definiciones descritos en ISO/IEC 27000.
4.1 Clusulas
Cada clusula que define los controles de seguridad contiene una o ms de las principales categoras de
seguridad. El orden de las clusulas en esta norma no implica su importancia. En funcin de las
circunstancias, los controles de seguridad que provienen de cualquiera o todas las clusulas podran resultar
importantes, por lo tanto, cada organizacin que aplica esta norma debera identificar los controles
pertinentes, lo importante que son y su aplicacin a los procesos comerciales individuales. Ms an, las listas
de esta norma no se enumeran en orden de prioridad.
Control
Proporciona informacin ms detallada para apoyar la implementacin del control y el cumplimiento del
objetivo de control. Es posible que la orientacin no sea completamente adecuada o suficiente en todas las
situaciones y es posible que no cumpla con los requisitos de control especficos.
Otra informacin
Brinda ms informacin que es posible que se deba considerar, por ejemplo, consideraciones legales y
referencias a otras normas. Si no existe ms informacin para proporcionar no se mostrar esta parte.
Control
En el nivel ms alto, las organizaciones deberan definir una poltica de seguridad de la informacin" que la
aprueba la direccin y que establece el enfoque de la organizacin para administrar sus objetivos de
seguridad de la informacin.
Las polticas de seguridad de la informacin deberan abordar los requisitos creados por:
a) estrategia comercial;
a) definicin de la seguridad de la informacin, los objetivos y principios para guiar a todas las actividades
relacionadas con la seguridad de la informacin;
A un nivel inferior, la poltica de seguridad de la informacin se debera respaldar por polticas especficas de
un tema, que estipula la implementacin de controles de seguridad de la informacin y que tpicamente se
estructura para abordar las necesidades de ciertos grupos objetivo dentro de una organizacin para abarcar
ciertos temas.
Estas polticas se deberan comunicar a los empleados y a las partes externas pertinentes de una forma
pertinente, accesible y comprensible para el lector deseado, es decir, en el contexto de un programa de
concientizacin, educacin y capacitacin sobre la seguridad de la informacin (ver 7.2.2).
Otra informacin
La necesidad de contar con polticas internas para la seguridad de la informacin vara entre las
organizaciones. Las polticas internas son especialmente tiles en organizaciones de mayor tamao y
complejidad, donde aquellos que definen y aprueban los niveles ampliados de control se segregan de los que
implementan los controles o en situaciones donde una poltica se aplica a varias personas o funciones
distintas de la organizacin. Las polticas para la seguridad de la informacin se pueden emitir en un
documento de poltica de seguridad de la informacin nico o como un conjunto de documentos individuales
pero relacionados.
Algunas organizaciones utilizan otros trminos para estos documentos de polticas como Normas,
Directivas o Reglas.
Control
Las polticas para la seguridad de la informacin se deberan planificar y revisar en intervalos o si ocurren
cambios significativos para garantizar su idoneidad, adecuacin y efectividad continua.
Cada poltica debera tener un titular que tenga responsabilidad administrativa aprobada para el desarrollo, la
revisin y la evaluacin de las polticas. La revisin debera incluir la evaluacin de oportunidades de mejora
en las polticas de la organizacin y un enfoque para administrar la seguridad de la informacin en respuesta
a los cambios en el entorno organizacional, las circunstancias comerciales, las condiciones legales o el
entorno tcnico.
La revisin de las polticas de la seguridad de la informacin debera considerar los resultados de las
revisiones administrativas.
Control
La asignacin de las responsabilidades de seguridad de la informacin se debera hacer de acuerdo con las
polticas de seguridad de la informacin (ver 5.1.1). Se deberan identificar las responsabilidades para la
proteccin de activos individuales y para realizar procesos de seguridad de la informacin. Se deberan
definir las responsabilidades para las actividades de administracin de riesgos de seguridad de la informacin
y en particular para la aceptacin de riesgos residuales. Estas responsabilidades se deberan complementar,
donde sea necesario, con orientacin ms detallada para los sitios especficos y las instalaciones de
procesamiento de informacin. Se deberan definir las responsabilidades para la proteccin de activos para
realizar procesos de seguridad de la informacin.
Las personas asignadas con responsabilidades de seguridad de la informacin pueden delegar las tareas de
seguridad a otros. Sin embargo, siguen siendo responsables y deberan determinar que cualquier tarea
delegada se haya realizado correctamente.
Se deberan indicar las reas por las que las personas son responsables. En particular, debera ocurrir lo
siguiente:
d) para poder cumplir con las responsabilidades en el rea de seguridad de la informacin, las personas
asignadas deberan ser competentes en el rea y deberan contar con oportunidades para mantenerse al
da en los desarrollos;
Otra informacin
Sin embargo, la responsabilidad para asignar recursos e implementar los controles a menudo estar a cargo
de los gerentes individuales. Una prctica comn es asignar a un titular para cada activo quien luego se hace
responsable de su proteccin diaria.
Control
Se deberan segregar los deberes y reas de responsabilidad en conflicto para reducir las oportunidades de
modificacin o uso indebido no autorizado o no intencional de los activos de la organizacin.
Se debera tener cuidado para que ninguna persona pueda acceder, modificar ni utilizar activos sin
autorizacin o deteccin. El inicio de un evento se debera separar de su autorizacin. Se debera considerar
la posibilidad de colusin en el diseo de controles.
Las organizaciones pequeas pueden encontrar la segregacin de labores como difcil de lograr, pero el principio
se debera aplicar en la mayor medida posible. Cuando sean difciles de segregar, se deberan considerar otros
controles como el monitoreo de actividades, seguimientos de auditora y supervisin de la direccin.
Otra informacin
La segregacin de deberes es un mtodo para reducir el riesgo de uso accidental o indebido deliberado de
los activos de una organizacin.
Control
Las organizaciones deberan tener procedimientos en vigencia que especifiquen cundo y a qu autoridades
(es decir, de cumplimiento de la ley, entidades regulatorias, autoridades de supervisin) se debera contactar
y cmo se deberan informar los incidentes de seguridad de la informacin identificados de manera oportuna
(es decir, si se sospecha del incumplimiento de las leyes).
Otra informacin
Es posible que las organizaciones bajo ataques de internet deban tomar medidas contra el origen del ataque.
Mantener esos contactos puede ser un requisito para apoyar a la administracin de incidentes de la
seguridad de la informacin, (ver clusula 16) o el proceso de continuidad comercial y planificacin de
contingencia (ver clusula 17). Los contactos con las entidades normativas tambin resultan tiles para
anticiparse y prepararse para los cambios futuros en las leyes o normativas, que debera implementar la
organizacin. Los contactos con otras autoridades incluyen a los proveedores de servicios bsicos, de
servicios de emergencia, electricidad, salud y seguridad, es decir, departamentos de bomberos (en conexin
con la continuidad comercial), proveedores de telecomunicaciones (en conexin con el enrutamiento de lnea
y disponibilidad) y proveedores de agua (en conexin con las instalaciones de enfriamiento para el equipo).
Control
Se deberan mantener los contactos adecuados con grupos de inters especiales u otros foros de seguridad
de especialistas y asociaciones profesionales.
La membresa en grupos o foros de inters especiales se debera considerar como un medio para:
a) mejorar el conocimiento sobre las buenas prcticas y permanecer al tanto de la informacin de seguridad
pertinente;
b) asegurarse de que la comprensin del entorno de seguridad de la informacin sea actual y completo;
c) recibir alertas tempranas de alertas, avisos y parches relacionados con los ataques y vulnerabilidades;
f) proporcionar puntos de enlace adecuados al tratar con incidentes de seguridad de la informacin (ver
clusula 16).
Otra informacin
Control
b) se realice una evaluacin de riesgos de seguridad de la informacin en una etapa temprana del proyecto
para identificar los controles necesarios;
c) la seguridad de la informacin sea parte de todas las fases de la metodologa aplicada del proyecto.
Se deberan abordar y revisar las implicaciones de seguridad de manera regular en todos los proyectos. Se
deberan definir y asignar las responsabilidades para la seguridad de la informacin a los roles especificados
definidos en los mtodos de administracin del proyecto.
Control
Se debera adoptar una poltica y medidas de seguridad de apoyo para administrar los riesgos que se
presentan con el uso de dispositivos mviles.
Al utilizar dispositivos mviles, se debera tener cuidado de asegurar que la informacin comercial no se vea
comprometida. La poltica de dispositivos mviles debera considerar los riesgos de trabajar con dispositivos
mviles en entornos sin proteccin.
d) requisitos para las versiones de software de dispositivos mviles para la aplicacin de parches;
f) controles de acceso;
g) tcnicas criptogrficas;
j) respaldos;
Se debera ser cuidadoso al utilizar dispositivos mviles en lugares pblicos, salas de reuniones y otras reas
sin proteccin. Se debera contar con proteccin para evitar el acceso no autorizado o la divulgacin de la
informacin almacenada y procesada por estos dispositivos, es decir, mediante el uso de tcnicas
criptogrficas (ver clusula 10) y mediante la obligacin del uso de informacin de autenticacin secreta
(ver 9.2.4).
Los dispositivos mviles tambin se deberan proteger fsicamente contra el robo, especialmente cuando se
dejan, por ejemplo, en automviles u otros medios de transporte, en habitaciones de hotel, centros de
conferencia y lugares de reunin. Se debera establecer un procedimiento especfico que considere los
requisitos legales, de seguros y otros de seguridad de la organizacin para casos de robo o prdida de
dispositivos mviles. Los dispositivos que contengan informacin comercial importante, sensible o crtica no
se deberan dejar sin supervisin y, donde sea posible, se deberan guardar con llave o se deberan utilizar
bloqueos especiales para proteger a los dispositivos.
Se deberan organizar capacitaciones para el personal que utiliza dispositivos mviles y concientizarlos sobre
los riesgos adicionales que genera esta forma de trabajo y los controles que se deberan implementar.
Donde la poltica de dispositivos mviles permita el uso de dispositivos mviles de propiedad privada, la
poltica y las medidas de seguridad relacionadas tambin deberan considerar:
a) separacin del uso privado y comercial de los dispositivos, incluido el uso de software para apoyar dicha
separacin y proteger los datos comerciales en un dispositivo privado;
b) proporcionar acceso a la informacin comercial solo despus de que los usuarios hayan firmado un
acuerdo de usuario final que reconozca sus deberes (proteccin fsica, actualizacin de software, etc.),
renunciando a la propiedad de los datos comerciales, permitiendo el borrado remoto de datos por parte
de la organizacin en caso de robo o prdida del dispositivo o cuando ya no est autorizado a utilizar el
servicio. Esta poltica debera considerar la legislacin de privacidad.
Otra informacin
Las conexiones inalmbricas de dispositivos mviles son similares a otros tipos de conexin de redes, pero
tienen diferencias importantes que se deberan considerar al identificar los controles. Las diferencias tpicas
son:
Los dispositivos mviles generalmente comparten funciones comunes, es decir, el funcionamiento en redes,
el acceso a internet, correo electrnico y el manejo de archivos con dispositivos de uso fijo. Los controles de
seguridad de la informacin para los dispositivos mviles generalmente constan de aquellos adoptados en
dispositivos de uso fijo y aquellos que abordan las amenazas que surgen de su uso fuera de las
dependencias de la organizacin.
6.2.2 Teletrabajo
Control
Se debera implementar una poltica y medidas que apoyen la seguridad para proteger la informacin a la que
se accede, procesa o almacena en los sitios de teletrabajo.
Las organizaciones que permiten las actividades de teletrabajo deberan emitir una poltica que define las
condiciones y las restricciones del uso del teletrabajo. Se deberan considerar los siguientes asuntos donde
se considere aplicable y lo permita la ley:
a) la seguridad fsica existente del sitio de teletrabajo, considerando la seguridad fsica del edificio y del
entorno local;
c) los requisitos de seguridad para las comunicaciones, considerando la necesidad de contar con acceso
remoto a los sistemas internos de la organizacin, la sensibilidad de la informacin a la que se acceder
y que se traspasar por el enlace de comunicaciones y la sensibilidad del sistema interno;
e) la amenaza del acceso no autorizado a la informacin o a los recursos de parte de otras personas que
utilizan el recinto, es decir, la familia y los amigos;
f) el uso de redes domsticas y los requisitos o restricciones en la configuracin de los servicios de redes
inalmbricas;
g) las polticas y procedimientos para evitar disputas en cuanto a los derechos de propiedad intelectual
desarrollados en equipos de propiedad privada;
h) acceso a equipos de propiedad privada (para verificar la seguridad de la mquina durante una
investigacin), lo que se puede evitar por legislacin;
i) acuerdos de licenciamiento de software que pueden hacer que las organizaciones se hagan
responsables del software de cliente en estaciones de trabajo de propiedad privada de empleados o de
usuarios externos;
a) la provisin de equipos idneos y muebles de almacenamiento para las actividades de teletrabajo, donde
no se permite el uso de equipos de propiedad privada que no estn bajo el control de la organizacin;
b) una definicin del trabajo permitido, las horas de trabajo, la clasificacin de informacin que se puede
tener y los sistemas y servicios internos que se autoriza al teletrabajador a acceder;
c) la provisin de equipos de comunicacin idneos, incluidos los mtodos para proteger el acceso remoto;
d) seguridad fsica;
g) la provisin de seguros;
j) revocacin de autoridad y derechos de acceso y la devolucin de los equipos cuando concluyen las
actividades de teletrabajo.
Otra informacin
El teletrabajo se refiere a todas las formas de trabajo fuera de la oficina, incluidos los ambientes de trabajo no
tradicionales, como los que se conocen como entornos de teleconmutacin, lugar de trabajo flexible,
trabajo remoto y trabajo virtual.
Objetivo: garantizar que los empleados y contratistas comprendan sus responsabilidades y que sean
adecuados para los roles en los que se les ha considerado.
7.1.1 Seleccin
Control
La verificacin de antecedentes de todos los candidatos para el empleo se debera realizar de acuerdo a las
leyes, normativas y tica pertinentes y debera ser proporcional a los requisitos del negocio, la clasificacin
de la informacin a la que se acceder y los riesgos percibidos.
b) una verificacin (de integridad y precisin) del currculum vitae del postulante;
e) verificacin en mayor detalle, como una revisin al historial de crdito o los antecedentes penales.
Cuando se contrata a una persona para un rol de seguridad de la informacin especfico, las organizaciones
se deberan asegurar de que el candidato:
b) pueda ser confiable para asumir el rol, en especial si ste es fundamental para la organizacin.
Donde un trabajo, ya sea de empleo inicial o por ascenso, requiera que la persona tenga acceso a las
instalaciones de procesamiento de informacin y, en particular, si se maneja informacin confidencial, es
decir, informacin financiera o altamente confidencial, la organizacin tambin debera considerar ms
verificaciones y en mayor detalle.
Los procedimientos deberan definir los criterios y limitaciones para las revisiones de verificacin, es decir,
quin es idneo para seleccionar a las personas y cmo, cundo y por qu se realizan las revisiones de
verificacin.
Tambin se debera garantizar un proceso de seleccin para los contratistas. En estos casos, donde el
acuerdo entre la organizacin y el contratista debera especificar las responsabilidades para realizar la
seleccin y los procedimientos de notificacin que se deberan seguir si la seleccin no ha finalizado o si los
resultados dan motivo para dudas o inquietudes.
La informacin de todos los candidatos que se estn considerando para puestos dentro de la organizacin se
deberan recopilar y manejar de acuerdo a cualquier legislacin correspondiente existente en la jurisdiccin
pertinente. En funcin de la legislacin pertinente, se debera informar a los candidatos de antemano sobre
las actividades de seleccin.
Control
Los acuerdos contractuales con los empleados y contratistas deberan indicar sus responsabilidades y las de
la organizacin para la seguridad de la informacin.
Las obligaciones contractuales para los empleados o los contratistas deberan reflejar las polticas de la
organizacin para la seguridad de la informacin adems de aclarar e indicar:
a) que todos los empleados y contratistas a los que se les otorga acceso a informacin confidencial
deberan firmar un acuerdo de confidencialidad y no divulgacin antes de darles acceso a las
instalaciones de procesamiento de informacin (ver 13.2.4);
b) las responsabilidades legales y derechos del empleado o del contratista, es decir, en cuanto a las leyes
de derecho de autor o de la legislacin de proteccin de datos (ver 18.1.2 y 18.1.4);
d) responsabilidades del empleado o contratista para manejar la informacin recibida de otras empresas o
partes externas;
e) medidas que se deberan tomar si el empleado o contratista no cumple con los requisitos de seguridad
de la organizacin (ver 7.2.3).
La organizacin se debera asegurar de que todos los empleados y contratistas estn de acuerdo con los
trminos y condiciones en cuanto a la seguridad de la informacin conforme a la naturaleza y al alcance del
acceso que tendrn a los activos de la organizacin asociados a los sistemas y servicios de informacin.
Donde corresponda, las responsabilidades incluidas en los trminos y condiciones de empleo deberan
continuar por un perodo definido despus del trmino del empleo (ver 7.3).
Otra informacin
Se puede utilizar un cdigo de conducta para indicar las responsabilidades en cuanto a la seguridad de la
informacin del empleado o contratista respecto de la confidencialidad, la proteccin de datos, la tica, el uso
adecuado del equipo y las instalaciones de la organizacin, as como las prcticas honorables que espera la
organizacin. Se puede solicitar a una parte externa asociada con un contratista a iniciar disposiciones
contractuales a nombre de la persona contratada.
Objetivo: asegurarse de que los empleados y contratistas estn en conocimiento de y que cumplen con sus
responsabilidades de seguridad de la informacin.
Control
La direccin debera exigir a todos los empleados y contratistas que apliquen la seguridad de la informacin
de acuerdo con las polticas y procedimientos establecidos de la organizacin.
Las responsabilidades de la direccin deberan incluir asegurarse de que los empleados y los contratistas:
b) se les entreguen pautas para indicar las expectativas de seguridad de la informacin en su rol dentro de
la organizacin;
c) se les motive para cumplir con las polticas de seguridad de la informacin de la organizacin;
e) cumplan con los trminos y condiciones de empleo, que incluye la poltica de seguridad de informacin
de la organizacin y los mtodos de trabajo correspondientes;
f) continen teniendo las habilidades y calificaciones adecuadas y que se capaciten de manera regular;
g) se les proporcione un canal de denuncias annimas para denunciar transgresiones a las polticas y
procedimientos de seguridad de la informacin (poner de manifiesto).
La direccin debera demostrar su apoyo a las polticas, los procedimientos y los controles de seguridad de la
informacin y actuar como un modelo a seguir.
Otra informacin
Una administracin deficiente puede hacer que el personal se sienta subvalorado, lo que genera un impacto
negativo en la seguridad de la informacin de la organizacin. Por ejemplo, una administracin deficiente
puede llevar al olvido de la seguridad de la informacin o al posible uso indebido de los activos de la
organizacin.
Control
Todos los empleados de la organizacin y, donde sea pertinente, los contratistas deberan recibir educacin y
capacitacin de concientizacin adecuada y actualizaciones regulares sobre las polticas y procedimientos
organizacionales, segn sea pertinente para su funcin laboral.
Un programa de concientizacin sobre seguridad de la informacin debera apuntar a hacer que los
empleados y, donde resulte pertinente, los contratistas conozcan sus responsabilidades en cuanto a la
seguridad de la informacin y los medios a travs de los que se descargan esas responsabilidades.
c) responsabilidad personal por las acciones e inoperancias propias y las responsabilidades generales
hacia el aseguramiento y proteccin de la informacin que pertenece a la organizacin y a las partes
externas.
e) Puntos de contacto y recursos para la informacin adicional y asesora sobre los asuntos de seguridad de
la informacin, incluida una mayor informacin sobre la educacin y los materiales de capacitacin para
la seguridad de la informacin.
La organizacin debera desarrollar el programa de educacin y capacitacin para poder realizar la educacin
y la capacitacin de manera eficaz. El programa se debera establecer de acuerdo con las polticas y
procedimientos pertinentes de seguridad de la informacin de la organizacin, considerando la informacin
de la organizacin que se va a proteger y los controles que se han implementado para proteger la
informacin. El programa debera considerar las distintas formas de educacin y capacitacin, es decir,
charlas o estudio autnomo.
Otra informacin
La concientizacin, la educacin y la capacitacin pueden ser parte de o realizarse en colaboracin con otras
actividades de capacitacin, por ejemplo, un programa general de TI o de seguridad general. Las actividades
de concientizacin, la educacin y la capacitacin deberan ser adecuadas y pertinentes para los roles, las
responsabilidades y las habilidades de las personas.
Se puede realizar una evaluacin del conocimiento de los empleados al final de un curso de concientizacin,
educacin y capacitacin para probar la transferencia de conocimiento.
Control
Debera haber un proceso disciplinario formal y comunicado en vigencia para tomar medidas contra los
empleados que se han involucrado en una transgresin a la seguridad de la informacin.
El proceso disciplinario no se debera iniciar antes de verificar que ha ocurrido una transgresin a la
seguridad de la informacin (ver 16.1.7).
El proceso disciplinario formal debera garantizar un trato justo y correcto para los empleados sospechosos de
cometer violaciones a la seguridad de la informacin. El proceso disciplinario formal debera proporcionar una
respuesta gradual que considere factores como la naturaleza y la gravedad de la transgresin y su impacto en el
negocio, ya sea o no el primer agravio o una repeticin, ya sea o no que el transgresor haya sido capacitado
adecuadamente, la legislacin pertinente, los contratos comerciales u otros factores segn sea necesario.
El proceso disciplinario tambin se debera utilizar como elemento disuasivo para evitar que los empleados
transgredan las polticas y procedimientos de seguridad de la informacin de la organizacin y otras violaciones de
la seguridad de la informacin. Las transgresiones deliberadas pueden requerir acciones inmediatas.
Otra informacin
Objetivo: proteger los intereses de la organizacin como parte del proceso de cambiar de o finalizar el
empleo.
Control
Las responsabilidades y deberes que an siguen siendo vlidos despus del fin del empleo deberan incluirse
en los trminos y condiciones de empleo del empleado o contratista (ver 7.1.2).
Otra informacin
La funcin de recursos humanos es generalmente ser responsable del proceso de despido general y trabaja
con el gerente que supervisa a la persona que abandona la organizacin para administrar los aspectos de
seguridad de la informacin de los procedimientos pertinentes. En el caso de un contratista quien presta
servicios a travs de terceros, este proceso de despido lo realizar la parte externa de acuerdo con el
contrato entre la organizacin y la parte externa.
Puede ser necesario informar a los empleados, a los clientes o a los contratistas sobre los cambios de
personal y a las disposiciones operativas.
8 Administracin de activos
Objetivo: identificar los activos organizacionales y definir las responsabilidades de proteccin adecuadas.
Control
Una organizacin debera identificar los activos pertinentes en el ciclo de vida de la informacin y documentar
su importancia. El ciclo de vida de la informacin debera incluir su creacin, procesamiento,
almacenamiento, transmisin, eliminacin y destruccin.
El inventario de activos debera ser preciso, actualizado, coherente y acorde a otros inventarios. Para cada
uno de los activos identificados, se debera asignar su propiedad (ver 8.1.2) y clasificacin. (Ver 8.2).
Otra informacin
Los inventarios de activos ayudan a garantizar que se implementa una proteccin eficaz y tambin pueden
ser necesarios para otros propsitos como la salud y seguridad y por motivos de seguros o financieros
(administracin de activos).
La norma ISO/IEC 27005 brinda ejemplos de los activos que la organizacin puede considerar necesarios al
identificar activos. El proceso de compilacin de un inventario de activos es un prerrequisito importante de la
administracin de activos (ver ISO/IEC 27000 e ISO/IEC 27005).
Control
Las personas, as como tambin otras entidades que tienen responsabilidad de la direccin aprobada para el
ciclo de vida de los activos califican para ser asignados como propietarios de activos.
c) definir y revisar peridicamente las restricciones de acceso y clasificaciones para los activos importantes,
considerando las polticas de control de acceso pertinentes;
Otra informacin
El propietario identificado puede ser una persona o una entidad que cuente con responsabilidad de la
direccin aprobada para controlar todo el ciclo de vida de un activo. El propietario identificado no
necesariamente tiene derechos de propiedad del activo.
Se pueden delegar las tareas rutinarias, es decir a un custodio que resguarde los activos diariamente, pero la
responsabilidad sigue siendo del propietario.
En sistemas de informacin complejos, puede resultar til asignar grupos de activos que acten en conjunto
para brindar un servicio en particular. En este caso el propietario de este servicio es responsable de la
entrega del servicio, incluida la operacin de sus activos.
Control
Se deberan identificar, documentar e implementar las reglas para el uso aceptable de la informacin de los
activos asociados a la informacin y a las instalaciones de procesamiento de informacin.
Los empleados y los usuarios externos que utilizan o tienen acceso a los activos de la organizacin deberan
estar al tanto de los requisitos de seguridad de la informacin de los activos de la organizacin asociados a la
informacin y a las instalaciones y recursos de procesamiento de informacin. Deberan ser responsables del
uso de cualquier recurso de procesamiento de informacin y cualquier tipo de uso como tal se debera
realizar bajo su responsabilidad.
Control
Todos los empleados y usuarios externos deberan devolver todos los activos organizacionales en su poder
al finalizar su empleo, contrato o acuerdo.
El proceso de finalizacin de empleo se debera formalizar para incluir la devolucin de todos los activos
fsicos y electrnicos previamente entregados de propiedad de o encomendados a la organizacin.
En los casos donde un empleado o un externo compre el equipo de la organizacin o utilice sus propios
equipos personales, se deberan seguir los procedimientos para garantizar que la informacin pertinente se
transfiera a la organizacin y que se elimine de manera segura del equipo (ver 11.2.7).
En los casos donde el empleado o el usuario externo cuenta con conocimiento importante para las
operaciones continuas, dicha informacin se debera documentar y transferir a la organizacin.
Durante el perodo de aviso de despido, la organizacin debera controlar las copias no autorizadas de la
informacin pertinente (es decir, propiedad intelectual) de los empleados y contratistas despedidos.
Objetivo: asegurar que la informacin reciba el nivel de proteccin adecuado de acuerdo con su importancia
para la organizacin.
Control
La informacin se debera clasificar en trminos de requisitos legales, valor, criticidad y sensibilidad para la
divulgacin o modificacin no autorizada.
Las clasificaciones y los controles de proteccin asociados de la informacin deberan considerar las
necesidades que tiene el negocio de compartir o restringir informacin, as como tambin los requisitos
legales. Los activos que no sean informacin tambin se pueden clasificar de acuerdo con la clasificacin de
informacin que se almacena en, procesa por o de otro modo, maneja o protege el activo.
El esquema de clasificacin debera incluir las convenciones para la clasificacin y los criterios para la
revisin de la clasificacin con el tiempo. El nivel de proteccin del esquema se debera evaluar mediante el
anlisis de la confidencialidad, la integridad y la disponibilidad de cualquier otro requisito para la informacin
considerada. El esquema debera estar alineado con la poltica de control de acceso (ver 9.1.1).
A cada nivel se le debera asignar un nombre que tenga sentido en el contexto del esquema de clasificacin
de la aplicacin. El esquema se debera considerar en toda la organizacin para que todos clasifiquen la
informacin y los activos relacionados de la misma forma, cuenten con un entendimiento comn de los
requisitos de proteccin y apliquen la proteccin adecuada.
La clasificacin se debera incluir en los procesos de la organizacin y debera ser coherente y consistente en
toda la organizacin. Los resultados de la clasificacin deberan indicar el valor de los activos en funcin de
su sensibilidad y criticidad para la organizacin, es decir, en trminos de confidencialidad, integridad y
disponibilidad. Los resultados de la clasificacin se deberan actualizar de acuerdo con los cambios en su
valor, sensibilidad y criticidad a travs de su ciclo de vida.
Otra informacin
La clasificacin le entrega a las personas que se encargan de la informacin una indicacin concisa sobre
cmo manejarla y protegerla. La creacin de grupos de informacin con necesidades de proteccin similares
y la especificacin de los procedimientos de seguridad de la informacin que se aplican a toda la informacin
en cada grupo facilita este proceso. Este enfoque reduce la necesidad de una evaluacin de riesgo caso a
caso y el diseo personalizado de controles.
La informacin puede dejar de ser sensible o crtica despus de cierto perodo de tiempo, por ejemplo,
cuando la informacin se ha hecho pblica. Estos aspectos se deberan considerar, pues la sobre
clasificacin puede llevar a la implementacin de controles innecesarios, lo que generar gastos adicionales
o, por el contrario, la falta de clasificacin puede poner en peligro el logro de los objetivos comerciales.
c) la divulgacin tiene un impacto significativo a corto plazo en las operaciones o en los objetivos tcticos;
d) la divulgacin tiene un impacto grave en los objetivos estratgicos a largo plazo o pone en riesgo la
sobrevivencia de la organizacin.
Control
Los procedimientos para el etiquetado de la informacin deberan cubrir la informacin y sus activos relacionados
en formatos fsicos o electrnicos. El etiquetado debera reflejar el esquema de clasificacin establecido en 8.2.1.
Las etiquetas se deberan poder reconocer fcilmente. Los procedimientos deberan brindar orientacin sobre
dnde y cmo se adhieren las etiquetas considerando cmo se accede a la informacin o cmo se manejan los
activos en funcin de los tipos de medios. Los procedimientos pueden definir los casos donde se omite el
etiquetado, es decir, etiquetando la informacin no confidencial para reducir las cargas de trabajo. Los empleados
y contratistas deberan estar al tanto de los procedimientos de etiquetado.
Las salidas de los sistemas que contienen informacin clasificada como sensible o crtica deberan tener una
etiqueta de clasificacin adecuada.
Otra informacin
El etiquetado de informacin clasificada es un requisito clave para los acuerdos para compartir informacin.
Las etiquetas fsicas y los metadatos son una forma comn de etiquetado.
El etiquetado de informacin y sus activos relacionados pueden tener efectos negativos a veces. Los activos
clasificados son ms fciles de identificar y, en consecuencia, de sufrir robos de personas internas o de
atacantes externos.
Control
Se deberan desarrollar e implementar procesos para el manejo de activos de acuerdo con el esquema de
clasificacin de informacin adoptado por la organizacin.
a) restricciones de acceso que apoyen los requisitos de proteccin para cada nivel de clasificacin;
e) marcado claro de todas las copias de medios para la atencin del receptor autorizado.
El esquema de clasificacin que se utiliza dentro de la organizacin puede no ser equivalente a los esquemas
que utilizan otras organizaciones, incluso si los nombres de los niveles son similares; adems, la informacin
que se mueve entre las organizaciones puede variar en su clasificacin en funcin de su contexto en cada
organizacin, incluso si sus esquemas de clasificacin son idnticos.
Los acuerdos con otras organizaciones que incluyen compartir informacin deberan incluir procedimientos
para identificar la clasificacin de esa informacin y para interpretar las etiquetas de clasificacin de otras
organizaciones.
Control
b) donde sea necesario y prctico, se debera requerir una autorizacin para los medios retirados de la
organizacin y se debera mantener un registro de tales retiros para poder mantener un seguimiento de
auditora.
c) todos los medios se deberan almacenar en un entorno seguro y protegido, de acuerdo con las
especificaciones del fabricante.
e) para mitigar el riesgo de que los medios se degraden mientras an se necesitan los datos almacenados,
los datos se deberan transferir a medios nuevos antes de que se vuelvan ilegibles;
f) se deberan almacenar varias copias de datos valiosos en medios separados para reducir an ms el
riesgo accidental de daos o prdidas de datos
g) se debera considerar un registro de medios extrables para limitar la oportunidad de prdidas de datos.
h) las unidades de medios extrables solo se deberan habilitar si existe una razn comercial para ello;
Control
Los medios se deberan eliminar de manera segura cuando ya no se necesitan, a travs de procedimientos
formales.
Se deberan establecer procedimientos formales para la eliminacin segura de los medios, a fin de minimizar
el riesgo de filtracin de informacin confidencial a personas no autorizadas. Los procedimientos para la
eliminacin segura de medios que contienen informacin confidencial deberan ser proporcionales a la
sensibilidad de esa informacin. Se deberan considerar los siguientes elementos:
a) los medios que contienen informacin confidencial se deberan almacenar y eliminar de manera segura,
es decir, mediante la incineracin, o la destruccin o bien a travs del borrado de datos para el uso por
parte de otra aplicacin dentro de la organizacin;
b) deberan existir procedimientos en vigencia para identificar los artculos que pueden requerir de una
eliminacin segura especial;
c) es posible que sea ms fcil realizar las disposiciones necesarias para que se recopilen todos los
artculos de medios y que se eliminen de manera segura en vez de intentar separar los artculos
sensibles;
d) muchas organizaciones ofrecen servicios de recogida y eliminacin de medios; se debera tener cuidado
al seleccionar a una parte externa adecuada que cuente con la experiencia y los controles necesarios;
e) la eliminacin de los artculos sensibles se debera registrar para mantener un seguimiento de auditora.
Al acumular medios para su eliminacin, se debera tener en consideracin el efecto de agregacin, que
puede hacer que una gran cantidad de informacin no sensible se vuelva sensible.
Otra informacin
Es posible que los dispositivos daados que contienen datos sensibles requieran una evaluacin de riesgos
para determinar si stos se deberan destruir fsicamente en vez de repararlos o eliminarlos (ver 11.2.7).
Control
Los medios que contienen informacin deberan estar protegidos contra el acceso no autorizado, el uso
indebido o la corrupcin durante el transporte.
Se deberan considerar las siguientes pautas para proteger a los medios que contienen informacin que se
transporta:
d) el empaque debera ser suficiente para proteger los contenidos de daos fsicos que probablemente
ocurran durante el trnsito de acuerdo con las especificaciones del fabricante, por ejemplo, proteccin
contra factores ambientales que puede reducir la efectividad de la restauracin de los medios, como la
exposicin al calor, a la humedad y a los campos electromagnticos;
Otra informacin
La informacin puede ser vulnerable al acceso no autorizado, al uso indebido o a la corrupcin durante el
transporte fsico al enviar los medios a travs del servicio postal o courier. En este control, los medios
incluyen a los documentos en papel.
Cuando la informacin confidencial en los medios no est cifrada, se debera considerar una proteccin
adicional de los medios.
9 Control de acceso
Control
Se debera establecer, documentar y revisar una poltica de control de acceso en base a los requisitos del
negocio y de la seguridad de la informacin.
Los propietarios de los activos deberan determinar las reglas de control de la informacin, los derechos y
restricciones de acceso para los roles especficos de los usuarios hacia sus activos, con una cantidad de
detalle y rigor en los controles que refleje los riesgos de seguridad de la informacin asociados.
Los controles de acceso son tanto lgicos como fsicos (ver clusula 11) y stos se deberan considerar en
conjunto. Los usuarios y los proveedores de servicios deberan contar con una declaracin clara sobre los
requisitos del negocio que se deberan cumplir con los controles de acceso.
b) las polticas para la diseminacin y autorizacin de la informacin, es decir el principio que se debera
conocer y los niveles de seguridad de la informacin y la clasificacin de sta (ver 8.2);
c) coherencia entre los derechos de acceso y las polticas de clasificacin de la informacin de los sistemas
y redes;
d) legislacin pertinente y cualquier tipo de obligacin contractual en cuanto a la limitacin de acceso a los
datos o servicios (ver 18.1);
e) administracin de los derechos de acceso en un entorno de red distribuido que reconozca todos los tipos
de conexiones disponibles;
f) segregacin de los roles de control de acceso, es decir solicitud de acceso, autorizacin de acceso y
administracin de acceso;
g) requisitos de autorizacin formal para las solicitudes de acceso (ver 9.2.1 y 9.2.2);
j) archivo de los registros de todos los eventos de importancia que involucran el uso y la administracin de
identidades de usuario e informacin de autenticacin secreta;
Otra informacin
Se debera tener cuidado al especificar las reglas de control de acceso para considerar lo siguiente:
a) establecer las reglas en base a la premisa Generalmente todo est prohibido a menos que se permita
expresamente en vez de la regla ms dbil Generalmente todo se permite a menos que se prohba
expresamente;
b) cambios en las etiquetas de informacin (ver 8.2.2) que se inician automticamente en las instalaciones
de procesamiento de la informacin y aquellas iniciadas a discrecin del usuario;
c) los cambios en los permisos del usuario que inicia automticamente el sistema de informacin y los
iniciados por un administrador;
d) normas que requieren de aprobacin especfica antes de su promulgacin y las que no.
Las normas de control de acceso se deberan respaldar con procedimientos formales (ver 9.2, 9.3, 9.4) y
responsabilidades definidas (ver 6.1.1, 9.3).
El control de acceso basado en roles es un enfoque que se utiliza correctamente en muchas organizaciones
para vincular los derechos de acceso con las funciones del negocio.
Dos de los principios frecuentes que dirigen a la poltica de control de acceso son:
a) Se debera conocer: solo se otorga acceso a la informacin que necesita para realizar sus tareas (las
distintas tareas/roles se traducen en distintas cosas que se deberan conocer y, por lo tanto, en distintos
perfiles de acceso);
b) Se debera utilizar: solo se otorga acceso a las instalaciones de procesamiento de informacin (equipos
de TI, aplicaciones, procedimientos, salas) necesarias para realizar su tarea/trabajo/rol.
Control
Los usuarios solo deberan tener acceso a la red y a los servicios de red en los que cuentan con autorizacin
especfica.
Se debera formular una poltica en cuanto al uso de redes y servicios de red. Esta poltica debera cubrir:
a) las redes y los servicios de red a los que se tiene derecho de acceso;
c) controles y procedimientos de administracin para proteger el acceso a las conexiones de red y a los
servicios de red;
d) los medios que se utilizan para acceder a las redes y a los servicios con redes (es decir, el uso de VPN o
red inalmbrica);
e) requisitos de autenticacin del usuario para acceder a los distintos servicios de red;
La poltica sobre el uso de servicios de red debera ser coherente con la poltica de control de acceso de la
organizacin (ver 9.1.1).
Otra informacin
Las conexiones no autorizadas y no seguras a los servicios de red pueden afectar a toda la organizacin.
Este control es de particular importancia para las conexiones de red a aplicaciones comerciales sensibles o
crticas o para los usuarios en ubicaciones de alto riesgo, es decir, las reas pblicas o externas que se
encuentran fuera de la administracin y control de seguridad de la informacin de la organizacin.
Objetivo: garantizar el acceso autorizado a los usuarios y evitar el acceso no autorizado a los sistemas y
servicios.
Control
Se debera implementar un proceso formal de registro y cancelacin de registro de un usuario para permitir la
asignacin de derechos de acceso.
a) uso de IDs de usuario nicas para permitirle a los usuarios estar vinculados y hacerlos responsables de
sus acciones; el uso de IDs compartidas solo se debera permitir donde sea necesario por motivos
comerciales u operacionales y se debera aprobar y documentar;
b) deshabilitar o eliminar inmediatamente las IDs de usuario de los usuarios que han abandonado la
organizacin (ver 9.2.6);
Otra informacin
Control
Se debera implementar un proceso formal de entrega de acceso a los usuarios para asignar o revocar
derechos de acceso para todos los tipos de usuario y todos los sistemas y servicios.
El proceso de asignacin o revocacin de los derechos de acceso que se asignan a las IDs de usuarios
debera incluir:
a) obtencin de autorizacin del propietario del sistema o servicio de informacin para el uso del sistema o
servicio de informacin (ver 8.1.2); tambin puede resultar adecuada la aprobacin por separado de los
derechos de acceso de parte de la direccin;
b) verificar que el nivel de acceso otorgado es adecuado para las polticas de acceso (ver 9.1) y que es
coherente con otros requisitos como la segregacin de deberes (ver 6.1.2);
c) asegurarse de que los derechos de acceso no estn activados (es decir, por los proveedores de servicio)
antes de que finalicen los procedimientos de autorizacin;
d) mantener un registro central de los derechos de acceso otorgados a las IDs de usuario para acceder a
los sistemas y servicios de informacin;
e) adaptar los derechos de acceso de los usuarios que han cambiado de roles o trabajo y eliminar o
bloquear inmediatamente los derechos de acceso a los usuarios que han abandonado la organizacin;
f) revisar peridicamente los derechos de acceso con los propietarios de los sistemas o servicios de
informacin (ver 9.2.5).
Otra informacin
Se debera considerar establecer roles de acceso de usuario en base a los requisitos del negocio que resuman
una cantidad de derechos de acceso en perfiles tpicos de acceso de usuarios. Las solicitudes y revisiones de
acceso (ver 9.2.4) se manejan ms fcilmente al nivel de dichos roles en vez de al nivel de los derechos
particulares.
Se debera considerar la inclusin de clusulas en los contratos del personal y en los contratos de servicio
que especifiquen sanciones en el caso de que el personal o los contratistas intenten el acceso no autorizado
(ver 7.1.2, 7.2.3, 13.2.4, 15.1.2).
Control
a) se deberan identificar los derechos de acceso privilegiado asociados con cada sistema o proceso, es
decir, sistema operativo, sistema de administracin de bases de datos junto con cada aplicacin y los
usuarios a los que se deberan asignar;
b) se deberan asignar derechos de acceso privilegiado a los usuarios en base a su necesidad de uso y en
base a eventos de acuerdo con la poltica de control de acceso (ver 9.1.1), es decir, en base al requisito
mnimo para sus roles funcionales;
d) se deberan definir los requisitos para el vencimiento de los derechos de acceso privilegiado;
e) se deberan asignar derechos de acceso privilegiado a una ID de usuario que sean distintos a los que se
utilizan para las actividades comerciales regulares. Las actividades comerciales regulares no se
deberan realizar desde una ID privilegiada;
f) las competencias de los usuarios con derechos de acceso privilegiado se deberan revisar regularmente
para verificar si estn conforme a sus labores;
g) se deberan establecer y mantener procedimientos especficos para poder evitar el uso no autorizado de IDs
de usuario de administracin genrica de acuerdo a las capacidades de configuracin de los sistemas;
Otra informacin
El uso inadecuado de los privilegios de administracin del sistema (cualquier funcin o instalacin de un
sistema de informacin que permite al usuario anular los controles del sistema o la aplicacin) es un factor
importante que contribuye a los incumplimientos de los sistemas.
Control
a) se debera solicitar a los usuarios firmar una declaracin en que mantengan la informacin de
autenticacin secreta de manera personal y que mantengan la informacin de autenticacin secreta
grupal (es decir, compartida) solo dentro de los miembros del grupo; esta declaracin firmada se puede
incluir en los trminos y condiciones de empleo (ver 7.1.2);
b) cuando se requiere que los usuarios mantengan su propia informacin de autenticacin secreta se les
debera proporcionar inicialmente informacin de autenticacin secreta temporal segura, que deberan
cambiar obligatoriamente en el primer uso;
d) se debera proporcionar informacin de autenticacin secreta temporal a los usuarios de manera segura;
se debera evitar el uso de partes externas o mensajes de correo electrnico no protegidos (texto sin
cifrar);
e) la informacin de autenticacin secreta temporal debera ser nica para una persona y no se debera
poder adivinar;
Otra informacin
Las contraseas son un tipo de informacin de autenticacin secreta de uso comn y son una forma comn
de verificar la identidad de un usuario. Otros tipos de informacin de autenticacin secreta son claves
criptogrficas y otros datos almacenados en tokens de hardware (es decir, tarjetas inteligentes) que producen
cdigos de autenticacin.
Control
Los propietarios de activos deberan revisar los derechos de acceso de los usuarios a intervalos regulares.
a) los derechos de los accesos de usuario se deberan revisar a intervalos regulares y despus de cualquier
cambio, como un ascenso, descenso o cese de empleo (ver clusula 7);
b) los derechos de acceso de usuarios se deberan revisar y volver a asignar al pasar de un rol a otro dentro
de la misma organizacin;
c) se deberan revisar las autorizaciones para los derechos de acceso privilegiados en intervalos ms
frecuentes;
d) se deberan revisar las asignaciones de privilegios en intervalos regulares para garantizar que no se han
obtenido privilegios no autorizados;
e) se deberan registrar los cambios a las cuentas con privilegios para su revisin peridica.
Otra informacin
Este control compensa cualquier posible debilidad en la ejecucin de los controles 9.2.1, 9.2.2 y 9.2.6.
Control
Los derechos de acceso para todos los empleados y usuarios externos a la informacin y a las instalaciones
de procesamiento de informacin se deberan eliminar al trmino de su empleo, contrato o acuerdo, o se
deberan ajustar en caso de realizarse cambios en el empleo.
Luego del cese del empleo, los derechos de acceso de una persona a la informacin y a los activos
asociados con las instalaciones de procesamiento de informacin y servicios se deberan eliminar o
suspender. Esto determinar si es necesario eliminar los derechos de acceso. Los cambios en el empleo se
deberan reflejar en la eliminacin de todos los derechos de acceso que no se aprobaron para el nuevo
empleo. Los derechos de acceso que se deberan eliminar o ajustar incluyen a los de acceso fsico y lgico.
La eliminacin o el ajuste se puede hacer mediante la eliminacin, la revocacin o el reemplazo de claves,
tarjetas de identificacin, instalaciones de procesamiento de informacin o suscripciones. Cualquier
documentacin que identifique los derechos de acceso de los empleados y contratistas deberan reflejar la
eliminacin o el ajuste de los derechos de acceso. Si un empleado o parte externa que abandona el negocio
tiene contraseas conocidas para IDs de usuario que permanecen activas, stas se deberan cambiar luego
del cese o cambio del empleo, contrato o acuerdo.
Los derechos de acceso para la informacin y los activos asociados a las instalaciones de procesamiento de
informacin se deberan reducir o eliminar antes de que el empleo finalice o cambie, en funcin de la
evaluacin de factores de riesgo como:
a) si el cese o cambio lo inici el empleado, el usuario externo o la administracin y el motivo para ello.
b) las responsabilidades actuales del empleado, del usuario externo o de cualquier otro usuario;
Otra informacin
En los casos en que la direccin inici el cese del empleo, los empleados o partes externas disgustados
pueden corromper deliberadamente la informacin o bien sabotear las instalaciones de procesamiento de
informacin. En los casos donde las personas renuncian o se desvinculan, se pueden ver tentados a recopilar
informacin para un uso futuro.
Objetivo: hacer que los usuarios sean responsables de proteger su informacin de autenticacin.
Control
Se debera exigir al usuario seguir las prcticas de la organizacin en el uso de informacin de autenticacin
secreta.
b) evitar mantener un registro (es decir, en papel, archivo de software o en un dispositivo de mano) de la
informacin de autenticacin secreta, a menos que esto se pueda almacenar de manera segura y de que
el mtodo de almacenamiento haya sido aprobado (es decir, bveda de contraseas);
d) cuando se utilizan contraseas como informacin de autenticacin secreta, seleccione contraseas con
una longitud mnima suficiente que tengan las siguientes caractersticas:
1) fciles de recordar;
2) no se basen en nada que otra persona pueda adivinar u obtener fcilmente mediante la informacin
relacionada con la persona, es decir, nombres, nmeros de telfono y fechas de nacimiento, etc.;
3) no sean vulnerable a ataques de diccionario (es decir, que no conste de palabras incluidas en los
diccionarios);
4) estn libre de caracteres idnticos consecutivos, que sean todos numricos o alfabticos;
f) aseguren la proteccin adecuada de contraseas cuando se utilicen las contraseas como informacin
de autenticacin secreta en procedimientos de inicio de sesin automatizados y que se almacenen;
Otra informacin
La provisin de herramientas como el inicio de sesin nico (SSO - Single Sign On) u otras herramientas de
administracin de informacin de autenticacin reduce la informacin de autenticacin secreta que los
usuarios deberan proteger y, por lo tanto, puede aumentar la efectividad de este control. Sin embargo, estas
herramientas tambin pueden aumentar el impacto de la divulgacin de informacin de autenticacin secreta.
Control
El acceso a la informacin y a las funciones del sistema de aplicacin se debera restringir de acuerdo a la
poltica de control de acceso.
Se debera considerar lo siguiente para poder apoyar los requisitos de restriccin de acceso:
a) proporcionar mens para controlar el acceso a las funciones del sistema de aplicacin;
c) controlar los derechos de acceso de los usuarios, es decir, de lectura, escritura, eliminacin y ejecucin;
f) proporcionar controles de acceso fsicos o lgicos para el aislamiento de aplicaciones sensibles, datos o
sistemas de aplicacin.
Control
Cuando lo requiera la poltica de control de acceso, el acceso a los sistemas y aplicaciones debera estar
controlado por un procedimiento de inicio de sesin seguro.
Se debera seleccionar una tcnica de autenticacin adecuada para corroborar la identidad que un usuario
afirma tener. Cuando se requiera un nivel alto de autenticacin y verificacin de identidad, se deberan utilizar
mtodos alternativos a las contraseas, como medios criptogrficos, tarjetas inteligentes, tokens, o medios
biomtricos.
El procedimiento para iniciar sesin en un sistema o aplicacin debera estar diseado para minimizar la
posibilidad de acceso no autorizado. El procedimiento de inicio de sesin, por lo tanto, debera divulgar el
mnimo de informacin acerca del sistema o aplicacin, para poder evitar proporcionar asistencia innecesaria
a un usuario no autorizado. Un buen procedimiento de inicio de sesin debera tener las siguientes
caractersticas:
a) no mostrar identificadores del sistema o de la aplicacin hasta que el proceso de inicio de sesin haya
finalizado correctamente;
b) mostrar una advertencia de aviso general que indique que solo deberan acceder usuarios autorizados al
computador;
c) no proporcionar mensajes de ayuda durante el procedimiento de inicio de sesin que pudieran servir de
ayuda a un usuario no autorizado;
d) validar la informacin de inicio de sesin solo al completar todos los datos de entrada. Si surge una
condicin de error, el sistema no debera indicar qu parte de los datos son correctos o incorrectos;
g) activar un evento de seguridad si se detecta un posible intento de transgresin o su logro en los controles
de inicio de sesin;
2) detalles de cualquier intento de inicio de sesin fallido desde el ltimo inicio de sesin correcto;
k) terminar las sesiones inactivas despus de un perodo de inactividad, en especial en ubicaciones de alto
riesgo como reas pblicas o externas fuera de la administracin de seguridad de la organizacin o en
dispositivos mviles.
l) restringir los tiempos de conexin para brindar seguridad adicional para las aplicaciones de alto riesgo y
reducir la ventana de oportunidad para el acceso no autorizado.
Otra informacin
Las contraseas son una forma comn de proporcionar identificacin y autenticacin en base a un secreto
que solo conoce el usuario. Lo mismo se puede lograr con medios criptogrficos y protocolos de
autenticacin. La fortaleza de una autenticacin de usuario debera corresponder a la clasificacin de la
informacin a la que se acceder.
Si las contraseas se transmiten en texto sin cifrar durante el inicio de sesin a travs de una red, las puede
capturar un programa "sniffer que detecta informacin.
Control
Los sistemas de administracin de contraseas deberan ser interactivos y deberan garantizar contraseas
de calidad.
b) permitir a los usuarios seleccionar y cambiar sus propias contraseas e incluir un procedimiento de
confirmacin para permitir los errores de entrada;
h) almacenar archivos de contraseas de manera separada de los datos del sistema de aplicacin;
Otra informacin
Algunas aplicaciones requieren que una autoridad independiente asigne contraseas de usuario; en tales
casos, las letras b), d) y e) de la orientacin anterior no se aplican. En la mayora de los casos los usuarios
seleccionan y mantienen las contraseas.
Control
El uso de programas de utilidad que pueden ser capaces de anular el sistema y los controles de aplicacin se
deberan restringir y controlar ntegramente.
Se deberan considerar las siguientes pautas para el uso de programas de utilidad que pueden ser capaces
de anular los controles del sistema y de la aplicacin:
c) limitacin del uso de programas de utilidad al nmero mnimo prctico de usuarios confiables y
autorizados (ver 9.2.3);
i) no dejar los programas de utilidad disponibles a los usuarios que tienen acceso a las aplicaciones de los
sistemas donde se requiere la segregacin de deberes.
Otra informacin
La mayora de las instalaciones de computadores tienen uno o ms programas de utilidad que pueden ser
capaces de anular los controles del sistema y de la aplicacin.
Control
El acceso al cdigo de fuente de programas y los elementos asociados (como diseos, especificaciones,
planes de verificacin y validacin) se debera controlar estrictamente, para poder evitar la introduccin de
funcionalidades no autorizadas y para evitar los cambios no intencionales, as como tambin, para mantener
la confidencialidad de la propiedad intelectual. Para el cdigo de fuente de programas, esto se puede lograr
mediante un almacenamiento central controlado de dicho cdigo, de preferencia en bibliotecas de fuente de
programas. Por lo tanto, se deberan considerar las siguientes pautas para controlar el acceso a dichas
bibliotecas de fuente de programas y poder reducir el potencial de corrupcin de programas computacionales:
a) donde sea posible, las bibliotecas de fuente de programas no se deberan mantener en los sistemas
operacionales;
c) el personal de apoyo no debera contar con acceso sin restriccin a las bibliotecas de fuente de
programas;
d) la actualizacin de las bibliotecas de fuente de programas y los elementos asociados, junto con la
emisin de las fuentes de programas a los programadores solo se debera realizar cuando se haya
recibido la autorizacin correspondiente;
f) se debera mantener un registro de auditora de todos los accesos a las bibliotecas de fuente de
programas;
Si el cdigo de fuente de programa est hecho para ser publicado, se deberan considerar controles
adicionales para ayudar a obtener una garanta de su integridad (es decir, firma digital).
10 Criptografa
Control
Se debera desarrollar e implementar una poltica sobre el uso de controles criptogrficos para la proteccin
de la informacin.
b) en base a una evaluacin de riesgos, se debera identificar el nivel de proteccin necesario considerando
el tipo, la fortaleza y la calidad del algoritmo de cifrado necesario;
c) el uso de cifrado para la proteccin de informacin que se transporta a travs de medios mviles o
extrables o a travs de lneas de comunicacin.
d) el enfoque a la administracin de claves, incluidos los mtodos para lidiar con la proteccin de claves
criptogrficas y la recuperacin de la informacin cifrada en caso claves perdidas, comprometidas o
daadas;
1) la implementacin de la poltica;
f) las normas que se adoptarn para la implementacin eficaz en toda la organizacin (cul es la solucin
que se usa para qu procesos comerciales);
g) el impacto del uso de informacin cifrada en controles que se apoyan en la inspeccin de contenido (es
decir, la deteccin de malware).
Se pueden utilizar controles criptogrficos para lograr distintos objetivos de seguridad de la informacin, es
decir:
a) confidencialidad: uso de cifrado de la informacin para proteger la informacin sensible o crtica, ya sea
almacenada o transmitida;
d) autenticacin: uso de tcnicas criptogrficas para autenticar a los usuarios y a otras entidades del
sistema que solicitan acceso a o realizan transacciones con usuarios, entidades y recursos del sistema.
Otra informacin
La toma de una decisin respecto de si una solucin criptogrfica es adecuada se debera considerar como
parte del proceso ms amplio de evaluacin de riesgos y seleccin de controles. Esta evaluacin se puede
utilizar para determinar si un control criptogrfico es adecuado, qu tipo de control se debera aplicar y para
qu propsito y procesos comerciales.
Es necesaria una poltica sobre el uso de controles criptogrficos para maximizar los beneficios y minimizar
los riesgos del uso de tcnicas criptogrficas y para evitar el uso inadecuado o incorrecto.
Se debera buscar la asesora de especialistas al seleccionar los controles criptogrficos adecuados para
cumplir con los objetivos de la poltica de seguridad de la informacin.
Control
Se debera desarrollar e implementar una poltica sobre el uso, la proteccin y el ciclo de vida de las claves
criptogrficas a travs de todo su ciclo de vida.
La poltica debera incluir los requisitos para administrar claves criptogrficas a travs de todo su ciclo de vida
incluida la generacin, el almacenamiento, el archivo, la recuperacin, la distribucin, el retiro y la destruccin
de claves.
Los algoritmos criptogrficos, las longitudes de las claves y las prcticas de uso se deberan seleccionar de
acuerdo a las buenas prcticas. La administracin adecuada de claves requiere de procesos seguros para
generar, almacenar, archivar, recuperar, distribuir, retirar y destruir claves criptogrficas.
Todas las claves criptogrficas se deberan proteger contra la modificacin y las prdidas. Adems, las
claves secretas y privadas necesitan de proteccin contra el uso no autorizado junto con la divulgacin. Los
equipos que se utilizan para generar, almacenar y archivar claves deberan estar protegidos fsicamente.
c) distribuir claves a las entidades deseadas, incluida adems la forma en que se deberan activar tras su
recepcin;
d) almacenamiento de claves, incluida la forma en que los usuarios obtienen acceso a las claves;
e) cambio o actualizacin de claves incluidas las reglas sobre cuando se deberan cambiar las claves y
cmo se har;
g) eliminar claves, incluida la forma en que se deberan retirar o desactivar, es decir, cuando se han
comprometido las claves o cuando un usuario abandona una organizacin (en cuyo caso las claves
tambin se deberan archivar);
j) destruccin de claves;
Para poder reducir la probabilidad del uso inadecuado, se deberan definir las fechas de activacin y
desactivacin para las claves de modo que solo se puedan utilizar por el perodo de tiempo definido en la
poltica de administracin de claves asociada.
El contenido de los acuerdos o contratos de nivel de servicios con proveedores externos o servicios
criptogrficos, es decir, con una autoridad de certificacin, debera cubrir asuntos de confiabilidad de los
servicios y tiempos de respuesta para la provisin de servicios (ver 15.2).
Otra informacin
La administracin de claves criptogrficas es fundamental para el uso eficaz de las tcnicas criptogrficas.
Tambin se pueden utilizar tcnicas criptogrficas para proteger claves criptogrficas. Es posible que se
deban considerar procedimientos para manejar las solicitudes legales para el acceso a claves criptogrficas,
es decir, se puede requerir tener disponible informacin de manera descifrada como evidencia en un caso de
tribunales.
Objetivo: evitar el acceso fsico no autorizado, los daos e interferencias a la informacin de la organizacin y
las instalaciones de procesamiento de la informacin.
Control
Los permetros de seguridad se deberan definir y utilizar para proteger a las reas que contienen informacin
y a las instalaciones de procesamiento de informacin sensible o crtica.
Las siguientes pautas se deberan considerar e implementar donde corresponda para los permetros de
seguridad fsicos:
b) los permetros del edificio o del sitio donde se albergan las instalaciones de procesamiento de informacin
deberan ser fsicamente slidos (es decir, no deberan haber brechas en el permetro o en las reas donde
se podra generar un agrietamiento fcilmente); el techo exterior, las paredes y el piso del sitio deberan ser
de construccin slida y todas las puertas externas deberan estar protegidas adecuadamente contra el
acceso no autorizado con mecanismos de control, (es decir, barras, alarmas, candados); las puertas y
ventanas se deberan cerrar con llave correctamente, cuando se dejan sin vigilancia y se debera considerar
una proteccin externa para las ventanas, en particular a nivel del suelo;
c) se debera contar con un rea de recepcin atendida por una persona u otros medios para controlar el
acceso fsico al sitio o al edificio; el acceso a los sitios y al edificio se debera restringir solo al personal
autorizado;
d) se deberan construir barreras fsicas donde corresponda para evitar el acceso fsico no autorizado y la
contaminacin ambiental;
e) todas las puertas contra incendios en un permetro de seguridad deberan tener una alarma, ser
monitoreadas y probadas en conjunto con las paredes para establecer el nivel de resistencia necesario
de acuerdo con las normas regionales, nacionales e internacionales correspondientes; deberan operar
de acuerdo al cdigo de incendios local y a prueba de fallos;
f) se deberan instalar sistemas de deteccin de intrusos adecuados de acuerdo con las normas
nacionales, regionales o internacionales y se deberan probar regularmente para cubrir todas las puertas
externas y las ventanas accesibles; las reas no ocupadas deberan tener las alarmas activadas en todo
momento; tambin se debera proporcionar una cubierta para el resto de las reas, es decir, las salas de
computacin o las salas de comunicaciones;
Otra informacin
Se puede lograr proteccin al crear una o ms barreras fsicas alrededor de las dependencias y las instalaciones
de procesamiento de informacin de la organizacin. El uso de varias barreras brinda proteccin adicional, donde
la falla de una sola barrera no significa que la seguridad se ve comprometida inmediatamente.
El rea segura puede ser una oficina que se puede cerrar con llave o varias salas rodeadas de una barrera
de seguridad fsica interna continua. Es posible que se necesiten barreras y permetros adicionales para
controlar el acceso fsico entre las reas con distintos requisitos de seguridad dentro del permetro de
seguridad. Se debera prestar especial atencin a la seguridad del acceso fsico en el caso de los edificios
que albergan activos para varias organizaciones.
La aplicacin de controles fsicos, en especial para las reas seguras, se debera adaptar a las circunstancias
tcnicas y econmicas de la organizacin, segn se establece en la evaluacin de riesgos.
Control
Las reas seguras deberan estar protegidas con controles de entrada adecuados para garantizar que solo se
permita el acceso al personal autorizado.
a) se debera registrar la fecha y la hora de entrada y salida de las visitas y, se debera supervisar a todas
las visitas a menos que su acceso haya sido aprobado anteriormente; solo se les debera otorgar acceso
para propsitos especficos y autorizados y se debera emitir de acuerdo a las instrucciones de los
requisitos de seguridad del rea y a los procedimientos de emergencia. Se debera autenticar la identidad
de las visitas con un medio adecuado;
b) el acceso a las reas donde se procesa o almacena la informacin confidencial se debera restringir a las
personas autorizadas solo mediante la implementacin de controles de acceso adecuados, es decir, al
implementar un mecanismo de autenticacin de dos factores como una tarjeta de acceso y un PIN secreto;
c) se debera mantener y monitorear de manera segura un libro de registro fsico o una auditora de
seguimiento electrnica de todo el acceso;
d) todos los empleados, contratistas y partes externas deberan portar algn tipo de identificacin visible y
se debera notificar inmediatamente al personal de seguridad si encuentran visitas sin escolta y a
cualquier persona que no porte una identificacin visible;
e) se le debera otorgar acceso restringido al personal de servicios de apoyo de terceros a las reas
seguras o a las instalaciones de procesamiento de informacin confidencial solo cuando sea necesario;
este acceso se debera autorizar y monitorear;
f) los derechos de acceso a las reas protegidas se deberan revisar y actualizar de manera regular y,
revocar cuando sea necesario (ver 9.2.5 y 9.2.6).
Control
Se debera disear y aplicar un sistema de seguridad fsica para las oficinas, salas e instalaciones.
Las siguientes pautas se deberan considerar para proteger a las oficinas, salas e instalaciones:
a) las instalaciones clave se deberan emplazar para evitar el acceso del pblico;
b) donde corresponda, los edificios deberan ser discretos y brindar una indicacin mnima sobre su
propsito, sin signos obvios, fuera o dentro del edificio, identificando la presencia de actividades de
procesamiento de informacin;
c) las instalaciones se deberan configurar para evitar que la informacin o las actividades confidenciales se
vean y escuchen desde fuera. Tambin se debera considerar el blindaje electromagntico como
adecuado;
d) los directorios y las libretas telefnicas internas que identifican la ubicacin de las instalaciones de
procesamiento de informacin confidencial no deberan estar disponibles fcilmente a personas no
autorizadas.
Control
Se debera disear y aplicar una proteccin fsica contra desastres naturales, ataques maliciosos o
accidentes.
Se debera obtener asesora de especialistas sobre cmo evitar los daos provocados por incendios,
inundaciones, terremotos, explosiones, disturbios y otras formas de desastres naturales o provocados por el
hombre.
Control
a) el personal debera estar al tanto de la existencia de, o de las actividades dentro de un rea segura
segn se considere necesario.
b) se debera evitar el trabajo no supervisado en reas seguras, tanto por motivos de seguridad como para
evitar las oportunidades de actividades maliciosas;
c) las reas seguras vacantes se deberan cerrar fsicamente con candado y se deberan revisar de manera
peridica;
d) no se deberan permitir los equipos fotogrficos, de video o audio, como las cmaras de dispositivos
mviles, a menos que se autoricen.
Las disposiciones para trabajar en reas seguras incluyen controles para los empleados y usuarios de
terceros trabajando en el rea segura y cubren todas las actividades que se realizan en el rea segura.
Control
Se deberan controlar los puntos de acceso como las reas de entrega y carga y otros puntos donde pudieran
ingresar personas no autorizadas a las dependencias y, de ser posible, se deberan aislar de las
instalaciones de procesamiento de informacin para evitar el acceso.
a) se debera restringir el acceso a un rea de entrega y carga desde fuera del edificio al personal
identificado y autorizado;
b) el rea de entrega y carga debera estar diseado de manera que se puedan cargar y descargar los
suministros sin que el personal que realiza la entrega acceda a otras reas del edificio;
c) las puertas externas a un rea de entrega y carga se deberan resguardar cuando se abren las puertas
internas;
e) el material entrante se debera registrar de acuerdo con los procedimientos de administracin de activos
(ver clusula 8) en la entrada al sitio;
f) los envos entrantes y salientes se deberan segregar fsicamente, donde sea posible;
11.2 Equipos
Objetivo: evitar la prdida, los daos, el robo o el compromiso de activos y la interrupcin a las operaciones
de la organizacin.
Control
Los equipos se deberan emplazar y proteger para reducir los riesgos de las amenazas y peligros
ambientales y las oportunidades de acceso no autorizado.
a) el equipo se debera emplazar en un lugar determinado para minimizar el acceso innecesario a las reas
de trabajo;
b) las instalaciones de procesamiento de informacin que manejan datos sensibles se deberan ubicar
cuidadosamente para reducir el riesgo de que personas no autorizadas la vean durante su uso;
d) los elementos que requieren proteccin especial se deberan resguardar para reducir el nivel general de
proteccin necesaria;
e) se deberan adoptar controles para minimizar el riesgo de posibles amenazas fsicas y ambientales, es
decir, robos, incendios, humo, agua (o una falla del suministro de agua), polvo, vibraciones, efectos
qumicos, interferencia del suministro elctrico, interferencia en las comunicaciones, radiacin
electromagntica y vandalismo;
f) se deberan establecer pautas para comer, beber y fumar en la proximidad de las instalaciones de
procesamiento de informacin;
h) se debera aplicar proteccin a la luminaria en todos los edificios y se deberan instalar filtros de
proteccin de iluminacin a todas los cables de tendido elctrico y de comunicacin entrantes;
i) se debera considerar el uso de mtodos de proteccin especial, como membranas de teclado para los
equipos en entornos industriales;
j) la informacin confidencial del procesamiento de equipos se debera proteger para minimizar el riesgo del
filtrado de informacin debido a la emanacin electromagntica.
Control
El equipo debera estar protegido contra cortes de luz y otras interrupciones provocadas por fallas en los
servicios bsicos de apoyo.
Los servicios bsicos de apoyo (es decir, la electricidad, las telecomunicaciones, el suministro de agua, gas,
ventilacin y aire acondicionado) deberan:
a) cumplir con las especificaciones del fabricante del equipo y con los requisitos legales locales;
b) someterse a evaluaciones peridicas para cumplir con el crecimiento del negocio y las interacciones con
otros servicios bsicos de apoyo;
e) en caso de ser necesario, debera contar con varias alimentaciones con distintos enrutamientos fsicos.
Otra informacin
Se puede obtener una redundancia adicional para la conectividad de redes mediante varias rutas de ms de
un proveedor de servicios bsicos.
Control
Los cables de electricidad y telecomunicaciones que transportan datos o apoyan a los servicios de
informacin se deberan proteger de la intercepcin, interferencia o daos.
b) los cables de electricidad deberan estar apartados de los cables de comunicacin para evitar
interferencias;
c) para los sistemas sensibles o crticos, se deberan considerar ms controles que incluyen:
1) la instalacin de conductos armados y salas o cajas cerradas con llave en los puntos de inspeccin y
terminacin;
Control
Los equipos se deberan mantener correctamente para garantizar su disponibilidad e integridad continuas.
c) se deberan mantener registros de todas las fallas sospechosas o reales y de todo el mantenimiento
preventivo y correctivo;
e) se debera cumplir con todos los requisitos de mantenimiento impuestos por las polticas de seguros;
Control
Los equipos, la informacin o el software no se deberan retirar del sitio sin una autorizacin previa.
a) se debera identificar a los empleados y partes externas que tienen la autoridad para permitir el retiro
fuera del sitio de los activos;
b) se deberan establecer lmites de tiempo para el retiro de activos y los retornos se deberan verificar para
comprobar su cumplimiento;
c) donde sea necesario y corresponda, se deberan registrar a los activos que se retiran del sitio y tambin
cuando se regresan;
d) la identidad, el rol y la afiliacin de cualquier persona que maneje o utilice activos se debera documentar
y, esta documentacin se debera regresar con el equipo, la informacin o el software.
Otra informacin
Las comprobaciones rpidas que se realizan para detectar el retiro no autorizado de activos, tambin se
pueden realizar para detectar dispositivos de grabacin no autorizados, armas, etc. y para evitar su ingreso y
egreso desde el sitio. Dichas comprobaciones rpidas se deberan realizar de acuerdo con la legislacin y
normativas pertinentes. Las personas deberan estar en conocimiento de la realizacin de las
comprobaciones rpidas y las verificaciones solo se deberan realizar con la autorizacin correspondiente de
acuerdo con los requisitos legales y normativos.
Control
Se debera aplicar la seguridad fuera del sitio a los activos considerando los distintos riesgos de trabajar fuera
de las dependencias de la organizacin.
Se deberan considerar las siguientes pautas para la proteccin del equipo fuera del sitio:
a) los equipos y medios que se sacan de las dependencias no se deberan dejar sin supervisin en lugares
pblicos;
b) se deberan observar las instrucciones del fabricante en todo momento, es decir, la proteccin contra la
exposicin a campos electromagnticos fuertes;
c) se deberan determinar controles para las ubicaciones fuera de las dependencias, como el trabajo en
casa, el teletrabajo y los sitios temporales mediante una evaluacin de riesgos y se deberan aplicar los
controles adecuados segn corresponda, es decir, archivadores con llave, poltica de escritorio
despejado, controles de acceso para los computadores y comunicacin segura con la oficina (ver
tambin ISO/IEC 27033);
d) cuando se trasladan los equipos fuera de las dependencias entre distintas personas o partes externas, se
debera mantener un registro que defina la cadena de custodia para el equipo incluidos al menos los
nombres y las organizaciones de aquellos responsables de los equipos.
Los riesgos, es decir, los daos, el robo, el escuchar secretamente pueden variar considerablemente entre
las ubicaciones y se deberan considerar al determinar los controles ms adecuados.
Otra informacin
Los equipos de almacenamiento y procesamiento de informacin incluyen todas las formas de computadores
personales, organizadores, telfonos mviles, tarjetas inteligentes, papel u otra forma, que se mantiene para
el trabajo en casa o para transportarla fuera de la ubicacin de trabajo normal.
Puede encontrar ms informacin sobre otros aspectos de la proteccin de equipos mviles en 6.2.
Puede resultar adecuado evitar el riesgo desalentando a ciertos empleados a trabajar fuera del sitio o
restringir su uso de equipos de TI porttil;
Control
Se deberan verificar todos los equipos que contengan medios de almacenamiento para garantizar que
cualquier tipo de datos sensibles y software con licencia se hayan extrado o se hayan sobrescrito de manera
segura antes de su eliminacin o reutilizacin.
Se debera verificar el equipo para asegurarse de que contiene o no medios de almacenamiento antes de su
eliminacin o reutilizacin. Los medios de almacenamiento que contienen informacin confidencial o con
derecho de autor se deberan destruir fsicamente o bien, la informacin se debera destruir, eliminar o
sobrescribir mediante tcnicas para hacer que la informacin original no se pueda recuperar en vez de utilizar
la funcin de eliminacin o formateo normal.
Otra informacin
Es posible que los equipos daados que contienen medios de almacenamiento requieran una evaluacin de
riesgos para determinar si stos se deberan destruir fsicamente en vez de repararlos o eliminarlos. La
informacin se puede ver comprometida a travs de la eliminacin o la reutilizacin de equipos poco
cuidadosa.
Adems del borrado seguro del disco, el cifrado del disco completo reduce el riesgo de divulgar informacin
confidencial cuando se elimina o vuelve a implementar el equipo, siempre que:
a) el proceso de cifrado sea lo suficientemente fuerte y que cubra a todo el disco (incluido el espacio
despejado, los archivos de intercambio, etc.);
b) las claves de cifrado sean lo suficientemente largas como para resistir los ataques de fuerza bruta;
c) las claves de cifrado en s se mantengan de manera confidencial (es decir, que nunca se almacenen en
el mismo disco).
Las tcnicas para sobrescribir los medios de almacenamiento de manera segura pueden diferir de acuerdo
con la tecnologa de los medios de almacenamiento. Se deberan revisar las herramientas de sobreescritura
para asegurarse de que se pueden aplicar a la tecnologa de los medios de almacenamiento.
Control
Los usuarios se deberan asegurar de que los equipos no supervisados cuentan con la proteccin adecuada.
Todos los usuarios deberan conocer los requisitos y procedimientos de seguridad para proteger a los
equipos sin supervisin, as como tambin sus responsabilidades para implementar dicha proteccin. Se les
debera indicar lo siguiente a los usuarios:
a) que finalicen las sesiones activas cuando terminen, a menos que se puedan proteger con un mecanismo
de bloqueo adecuado, es decir, un protector de pantalla protegido con contrasea;
c) proteger a los computadores o dispositivos mviles del uso no autorizado mediante un candado con llave
o un control equivalente, es decir, acceso con contrasea, cuando no se utilice.
Control
Se debera adoptar una poltica de escritorio despejado para los papeles y para los medios de
almacenamiento extrables y una poltica de pantalla despejada para las instalaciones de procesamiento de
informacin.
La poltica de escritorio despejado y pantalla despejada debera considerar las clasificaciones de informacin
(ver 8.2), los requisitos legales y contractuales (ver 18.1) y los riesgos y aspectos culturales correspondientes
de la organizacin. Se deberan considerar las siguientes pautas:
c) se debera evitar el uso no autorizado de fotocopiadoras u otro tipo de tecnologas de reproduccin (es
decir, escneres, cmaras digitales);
d) los medios que contienen informacin sensible o clasificada se deberan extraer de las impresoras
inmediatamente.
Otra informacin
Una poltica de escritorio despejado/pantalla despejada reduce el riesgo del acceso al personal no
autorizado, la prdida o dao de la informacin durante y fuera de las horas laborales normales. Las cajas
fuertes y otras formas de instalaciones de almacenamiento seguro tambin pueden proteger a la informacin
almacenada en su interior contra desastres como incendios, terremotos, inundaciones o explosiones.
Considere el uso de impresoras con funcin de cdigo PIN, para que los originadores sean los nicos que
puedan obtener sus impresiones y solo al estar al lado de la impresora.
Control
Los procedimientos operativos se deberan documentar y dejar a disposicin de todos los usuarios que los
necesiten.
Se deberan preparar procedimientos documentados para las actividades operacionales asociadas con las
instalaciones de procesamiento y comunicacin de informacin, como procedimientos de inicio y cierre de
sesin de computadores, respaldo, mantenimiento de equipos, manejo de medios, salas de computacin y
administracin y seguridad de manejo de correo.
d) los requisitos de programacin, incluidas las interdependencias con otros sistemas, las horas de inicio del
trabajo ms temprano y de finalizacin del trabajo ms tardas;
e) instrucciones para el manejo de errores u otras condiciones excepcionales, los que pueden surgir durante
la ejecucin del trabajo, incluidas las restricciones sobre el uso de las utilidades del sistema (ver 9.4.4);
f) contactos de apoyo y escalamiento incluidos los contactos de soporte externos en el caso de presentarse
dificultades operativas o tcnicas inesperadas;
g) instrucciones de manejo de salidas y medios especiales, como el uso de papelera especial o el manejo
de resultados confidenciales incluidos los procedimientos para la eliminacin segura de salidas de
trabajos fallidos (ver 8.3 y 11.2.7);
h) reinicio del sistema y procedimientos de recuperacin para utilizar en el caso de fallas del sistema;
i) la administracin del seguimiento de auditora y de la informacin de registro del sistema (ver 12.4);
j) procedimientos de monitoreo.
Los procedimientos operativos y los procedimientos documentados para las actividades del sistema se
deberan tratar como documentos formales y los cambios deberan estar autorizados por la direccin. Donde
sea tcnicamente factible, los sistemas de informacin se deberan administrar de manera coherente,
utilizando los mismos procedimientos, herramientas y utilidades.
Control
Se deberan controlar los cambios a la organizacin, los procesos comerciales, las instalaciones de
procesamiento de informacin y los sistemas que afectan a la seguridad de la informacin.
c) evaluacin de los posibles impactos, incluidos los impactos de seguridad en la informacin, de dichos
cambios;
Otra informacin
Control
El uso de recursos se debera monitorear, ajustar y se deberan hacer las proyecciones necesarias para los
requisitos futuros de capacidad y as poder garantizar el rendimiento que el sistema requiere.
Se deberan identificar los requisitos de capacidad, considerando la criticidad para el negocio del sistema
involucrado. Se debera aplicar el procedimiento de ajuste y monitoreo del sistema para garantizar y, donde
sea necesario, mejorar la disponibilidad y la eficiencia de los sistemas. Se deberan poner controles de
deteccin en vigencia para indicar los problemas a su debido tiempo. Las proyecciones sobre los requisitos
futuros de capacidad deberan considerar los nuevos requisitos del negocio y del sistema y las tendencias
actuales y proyectadas en las capacidades de procesamiento de informacin de la organizacin.
Se debera prestar especial atencin a cualquier recurso con tiempos de accin de adquisicin extensos o
costos altos, por lo tanto, los gerentes deberan monitorear la utilizacin de los recursos de los sistemas
clave. Deberan identificar las tendencias en el uso, en particular en relacin con las aplicaciones comerciales
o con las herramientas de administracin de sistemas de informacin.
Los gerentes deberan utilizar esta informacin para identificar y evitar posibles cuellos de botella y la
dependencia del personal clave que puede presentar una amenaza a la seguridad o los servicios del sistema
y planificar acciones adecuadas.
e) negacin o restriccin del ancho de banda para recursos que consumen muchos recursos si no son
crticos para el negocio (es decir, streaming de video).
Se debera considerar un plan de administracin de capacidad documentado para los sistemas crticos para
la misin.
Otra informacin
Este control tambin aborda la capacidad de los recursos humanos, as como tambin las oficinas e
instalaciones.
Control
Los entornos de desarrollo, pruebas y operacionales se deberan separar para reducir los riesgos del acceso
o cambios no autorizados al entorno operacional.
Se debera identificar e implementar el nivel de separacin entre los entornos operativos, de prueba y
desarrollo necesario para evitar los problemas operacionales.
a) se deberan definir y documentar las reglas de transferencia de software desde un estado de desarrollo al
operacional;
c) se deberan probar los cambios a los sistemas operativos y aplicaciones en un entorno de pruebas o
etapas antes de aplicarlos a los sistemas operacionales;
d) a no ser que sea bajo circunstancias excepcionales, no se deberan realizar pruebas en los sistemas
operativos;
e) los compiladores, editores y otras herramientas de desarrollo o utilidades del sistema no deberan estar
accesibles desde los sistemas operacionales cuando no sea necesario;
f) los usuarios deberan utilizar distintos perfiles de usuario para los sistemas operacionales y de prueba y
se deberan mostrar mens para mostrar mensajes de identificacin adecuados para reducir el riesgo de
errores;
g) los datos sensibles no se deberan copiar en el entorno del sistema de pruebas a menos que se
entreguen controles equivalentes para el sistema de pruebas (ver 14.3).
Otra informacin
Las actividades de desarrollo y pruebas pueden provocar problemas graves, es decir, la modificacin no
deseada de archivos o del entorno del sistema o una falla del sistema. Existe la necesidad de mantener un
entorno conocido y estable en el que se pueden realizar pruebas significativas para evitar el acceso
inadecuado del desarrollador al entorno operacional.
Cuando el personal de desarrollo y pruebas tenga acceso al sistema operativo y a su informacin, podran
introducir un cdigo no autorizado o no probado, o alterar los datos operacionales. En algunos sistemas esta
capacidad se podra utilizar incorrectamente para cometer fraudes o introducir un cdigo sin probar o
malicioso, lo que puede generar problemas operacionales graves.
Objetivo: garantizar que la informacin y que las instalaciones de procesamiento de informacin estn
protegidas contra el malware.
Control
Se deberan implementar controles para la deteccin, prevencin y recuperacin para resguardarse contra el
malware en combinacin con la concientizacin adecuada para los usuarios.
a) establecer una poltica formal que prohbe el uso de software no autorizado (ver 12.6.2 y 14.2.);
b) implementar controles que evitan o detectan el uso de software no autorizado (es decir, la creacin de
una lista blanca de aplicaciones);
c) implementar controles que eviten o detecten el uso de sitios web desconocidos o que se sospecha son
maliciosos (es decir, la elaboracin de una lista negra).
d) establecimiento de una poltica formal para protegerse contra los riesgos asociados al obtener archivos y
software ya sea de redes externas o a travs de cualquier otro medio, indicando las medidas de
proteccin que se deberan tomar;
e) reduccin de las vulnerabilidades que se podran desencadenar por el malware, es decir, a travs de la
administracin de vulnerabilidades tcnicas (ver 12.6);
f) realizar revisiones peridicas del software y del contenido de los datos de los sistemas que apoyan los
procesos crticos del negocio; se debera investigar formalmente la presencia de cualquier tipo de
archivos o modificaciones no autorizados;
1) analizar solo los archivos recibidos a travs de redes o mediante cualquier forma de medios de
almacenamiento, en busca de malware antes de su uso;
2) analizar datos adjuntos de correos electrnicos en busca de malware antes de su uso; este anlisis
se debera realizar en diferentes lugares, es decir, en servidores de correo electrnico, computadores
de escritorio y al ingresar a la red de la organizacin;
h) definir procedimientos y responsabilidades que involucren la proteccin contra malware en los sistemas,
capacitndose sobre su uso, informando sobre y recuperndose ante ataques de malware;
i) preparar planes de continuidad comercial adecuados para recuperarse contra ataques de malware,
incluidos todos los datos, respaldo de software y disposiciones de recuperacin necesarios (ver 12.3);
j) implementar procedimientos para recopilar informacin de manera regular, como la suscripcin a listas
de correo electrnico o verificar los sitios web que brindan informacin sobre el nuevo malware;
k) implementar procedimientos para verificar la informacin relacionada al malware y asegurarse de que los
boletines de advertencia son precisos e informativos; los gerentes se deberan asegurar de que se
utilicen fuentes calificadas, es decir, publicaciones de reconocido prestigio, sitios de internet o
proveedores productores de software de proteccin contra malware confiables para diferenciar entre
malware falso y el real; todos los usuarios deberan estar en conocimiento del problema de malware falso
y qu hacer en caso de recibirlo;
Otra informacin
El uso de dos o ms productos de software que proteja contra malware en todo el entorno de procesamiento
de informacin de distintos proveedores y tecnologa puede mejorar la efectividad de la proteccin contra el
malware.
Se debera tener cuidado de protegerse contra la introduccin de malware durante los procedimientos de
mantenimiento y de emergencia, los que pueden omitir los controles normales de proteccin contra malware.
Bajo ciertas condiciones, la proteccin contra malware puede provocar interrupciones dentro de las
operaciones.
El uso de software de deteccin y reparacin de malware por s solo para el control del malware
generalmente no resulta adecuado y a menudo se debera acompaar de procedimientos operativos que
eviten la introduccin de malware.
12.3 Respaldo
Control
Se deberan realizar copias de la informacin, del software y de las imgenes del sistema y se deberan
probar de manera regular de acuerdo con una poltica de respaldo acordada.
Se debera establecer una poltica de respaldo para definir los requisitos de la organizacin para el respaldo
de informacin, del software y de los sistemas.
Se debera contar con instalaciones de respaldo adecuadas para garantizar que toda la informacin y el
software esencial se pueden recuperar despus de un desastre y ante una falla de los medios.
b) el nivel (es decir, respaldo completo o diferencial) y la frecuencia de los respaldos debera reflejar los
requisitos del negocio de la organizacin, los requisitos de seguridad de la informacin involucrada y la
criticidad de la informacin para la operacin continua de la organizacin;
c) los respaldos se deberan almacenar en una ubicacin remota, a una distancia suficiente para evitar
cualquier dao ante desastres en la ubicacin principal;
d) la informacin de respaldo debera tener un nivel de proteccin fsica y ambiental adecuada (ver clusula 11)
de acuerdo con las normas que se aplican en la ubicacin principal;
e) los medios de respaldo se deberan probar de manera regular para garantizar que se puede confiar en
ellos frente a su uso ante emergencias; esto se debera combinar con una prueba de los procedimientos
de restauracin y se debera comprobar contra la restauracin segn sea necesario; esto se debera
combinar con una prueba de los procedimientos de restauracin y se debera verificar contra el tiempo de
restauracin necesario. Se deberan realizar pruebas para probar la habilidad de restaurar los datos de
respaldo en los medios de prueba, no sobrescribiendo los medios originales en caso de que falle el
proceso de respaldo o restauracin y provoque daos o prdidas de los datos;
f) en las situaciones donde la confidencialidad es importante, se deberan proteger los respaldos mediante
el cifrado.
Los procedimientos operacionales deberan monitorear la ejecucin de respaldos y abordar las fallas de los
respaldos programados para garantizar su integridad de acuerdo con la poltica de respaldos.
Se deberan probar regularmente las disposiciones de respaldos para los sistemas individuales a modo de
garantizar que cumplen con los requisitos de los planes de continuidad del negocio. En el caso de los
sistemas y servicios crticos, las disposiciones de respaldo deberan abarcar la informacin de todos los
sistemas, aplicaciones y datos necesarios para recuperar al sistema completo en el caso de un desastre.
Se debera determinar el perodo de retencin de la informacin esencial del negocio, considerando cualquier
tipo de requisito para archivar copias que se deberan retener de manera permanente.
Control
Se deberan producir, mantener y revisar de manera peridica los registros de eventos del usuario, las
excepciones, las fallas y los eventos de seguridad de la informacin.
a) IDs de usuarios;
c) fechas, horas y detalles de los eventos clave, es decir el inicio y la finalizacin de la sesin;
d) la identidad del dispositivo y su ubicacin si es posible, junto con el identificador del sistema;
f) los registros de los datos exitosos y rechazados y otros intentos de acceso a los recursos;
h) el uso de privilegios;
m) la activacin y la desactivacin de los sistemas de proteccin, como los sistemas de antivirus y los
sistemas de deteccin de intrusos;
n) los registros de las transacciones ejecutadas por los usuarios en las aplicaciones.
El registro de eventos establece las bases para los sistemas de monitoreo automatizado que son capaces de
generar informes y alertas consolidadas sobre la seguridad del sistema.
Otra informacin
Los registros de eventos pueden contener datos sensibles e informacin de identificacin personal. Se
deberan tomar medidas de proteccin adecuadas para la privacidad (ver 18.1.4).
Donde sea posible, los administradores del sistema no deberan tener permisos para borrar o desactivar los
registros de sus actividades (ver 12.4.3).
Control
Las instalaciones de registros y la informacin de registro deberan estar protegidas contra la adulteracin y
el acceso no autorizado.
Los controles deberan apuntar a proteger contra los cambios no autorizados para registrar informacin y
problemas operaciones con la instalacin de registros incluidos:
c) capacidad de almacenamiento de los medios de archivos de registro que exceden en tamao, lo que
resulta en su incapacidad de registrar eventos o de sobrescribir los eventos registrados anteriores.
Algunos registros de auditora pueden ser necesarios como parte de la poltica de retencin de registros o
debido a los requisitos para recopilar y retener evidencia (ver 16.1.7).
Otra informacin
Los registros del sistema a menudo contienen un gran volumen de informacin, la mayor parte de la cual es
ajena al monitoreo de seguridad de la informacin. Para ayudar a identificar los eventos significativos con
fines de seguridad de informacin, se debera considerar la copia automtica de los tipos de mensajes
adecuados a un segundo registro o el uso de utilidades adecuadas del sistema o bien herramientas de
auditora para realizar la interrogacin y la racionalizacin de archivos.
Se debera proteger a los registros del sistema, pues si se pueden modificar o eliminar sus datos, su
existencia puede crear una falsa sensacin de seguridad. Se puede utilizar el copiado en tiempo real de los
registros a un sistema fuera del control de un administrador u operador del sistema para resguardar los
registros.
Control
Las actividades del administrador y del operador del sistema se deberan registrar y los registros se deberan
proteger y revisar de manera regular.
Los propietarios de cuentas de usuario con privilegios pueden manipular los registros en las instalaciones de
procesamiento de informacin bajo su control directo y, por lo tanto, puede ser necesario proteger y revisar
los registros para mantener la responsabilidad de los usuarios con privilegios.
Otra informacin
Se puede utilizar un sistema de deteccin de intrusin que se administre fuera del control de los
administradores del sistema y de la red para monitorear el cumplimiento de las actividades de administracin
de redes.
Control
Se deberan sincronizar los relojes de todos los sistemas de procesamiento de informacin pertinentes dentro
de una organizacin o de un dominio de seguridad con una fuente de tiempo de referencia nica.
Se debera documentar e implementar el enfoque de la organizacin para obtener una hora de referencia de
fuentes externas y la manera de sincronizar los relojes internos de manera confiable.
Otra informacin
Para corregir la configuracin de los relojes de los computadores es importante garantizar la precisin de los
registros de auditora, que pueden ser necesarios para las investigaciones o como evidencia en casos legales
o disciplinarios. Los registros de auditora imprecisos pueden obstaculizar dichas investigaciones y daar la
credibilidad de dicha evidencia. Se puede utilizar un reloj vinculado a una transmisin de tiempo de radio de
un reloj atmico nacional como el reloj maestro para los sistemas de registro. Se puede utilizar un protocolo
de tiempo para mantener a todos los servidores en sincronizacin con el reloj maestro.
Control
Se deberan considerar las siguientes pautas para controlar los cambios de software en los sistemas
operacionales:
a) la actualizacin del software operacional, las aplicaciones y las bibliotecas de programas solo la deberan
realizar administradores capacitados luego de obtener la autorizacin correspondiente de la direccin
(ver 9.4.5);
b) los sistemas operacionales solo deberan tener un cdigo ejecutable aprobado y no un cdigo de
desarrollo o compiladores;
c) las aplicaciones y el software de sistema operativo solo se debera implementar despus de realizar
pruebas exhaustivas y exitosas; las pruebas deberan cubrir la capacidad de uso, la seguridad, los
efectos en otros sistemas y la facilidad de uso para los usuarios en sistemas independientes (ver 12.1.4);
es necesario asegurarse de que todas las bibliotecas de fuentes de programas correspondientes se han
actualizado;
d) se debera utilizar un sistema de control de configuracin para mantener el control de todo el software
implementado, as como tambin la documentacin del sistema;
e) debera existir una estrategia de reversin antes de que se implementen los cambios;
f) se debera mantener un registro de auditora de todas las actualizaciones a las bibliotecas de programas
operacionales;
g) se deberan retener las versiones anteriores del software de aplicacin como medida de contingencia;
h) se deberan archivar las versiones antiguas de software, junto con toda la informacin, los parmetros,
los procedimientos y los detalles de configuracin necesarios que soportan al software mientras que se
mantienen los datos en el archivo.
Se debera mantener el software suministrado por proveedores que se utiliza en los sistemas operacionales a
un nivel al que preste soporte el operador. Con el tiempo, los proveedores de software dejarn de prestar
soporte a las versiones anteriores de software. La organizacin debera considerar los riesgos de utilizar
software sin soporte.
Cualquier decisin de actualizar a una nueva versin debera considerar los requisitos del negocio para el
cambio y la seguridad de la versin, es decir, la introduccin de nuevas funcionalidades de seguridad de la
informacin o la cantidad y la gravedad de los problemas de seguridad de la versin que afectan a esta
nueva versin. Se deberan aplicar parches de software cuando pueden ayudar a eliminar o reducir las
debilidades de la seguridad de informacin (ver 12.6).
Solo se debera dar acceso fsico o lgico a los proveedores para fines de soporte cuando sea necesario y
con la aprobacin de la direccin. Se deberan monitorear las actividades del proveedor (ver 15.2.1).
El software informtico puede utilizar software y mdulos suministrados de manera externa, los que se
deberan monitorear y controlar para evitar cambios no autorizados y que pueden introducir falencias en la
seguridad.
Control
Se debera obtener la informacin sobre las vulnerabilidades tcnicas de los sistemas de informacin de
manera oportuna; la exposicin de la organizacin a dichas vulnerabilidades se debera evaluar y se deberan
tomar las medidas necesarias para abordar el riesgo asociado.
Un inventario de activos actual y completo (ver clusula 8) es un prerrequisito para la administracin eficaz de
vulnerabilidades tcnicas. La informacin especfica necesaria para apoyar la administracin de
vulnerabilidades tcnicas incluye al proveedor de software, los nmeros de versiones, el estado actual de la
implementacin (es decir, qu software se instala en qu sistemas) y las personas responsables del software
dentro de la organizacin.
b) se deberan identificar los recursos de informacin que se utilizarn para identificar las vulnerabilidades
tcnicas pertinentes y para mantener la concientizacin sobre ellas para el software y otras tecnologas
(en base a la lista de inventario de activos, ver 8.1.1); estos recursos de informacin se deberan
actualizar en base a los cambios en el inventario o cuando se encuentran nuevos recursos tiles;
c) se debera definir una lnea de tiempo para reaccionar frente a las notificaciones de vulnerabilidades
tcnicas posiblemente relevantes;
d) una vez que se ha identificado una vulnerabilidad tcnica, la organizacin debera identificar los riesgos
asociados y las medidas que se deberan tomar, dichas medidas podran involucrar la aplicacin de
parches a los sistemas vulnerables o la aplicacin de otros controles;
e) en funcin de la urgencia con la que se deba abordar una vulnerabilidad tcnica, la medida tomada se
debera realizar de acuerdo a los controles relacionados con la administracin de cambios (ver 12.1.2) o
siguiendo los procedimientos de respuesta ante incidentes de seguridad (ver 16.1.5);
f) si existe un parche disponible de una fuente legtima, se deberan evaluar los riesgos asociados a la
instalacin del parche (los riesgos que impone la vulnerabilidad se deberan comparar con el riesgo de
instalar el parche);
g) los parches se pueden evaluar y probar antes de su instalacin para garantizar que son eficaces y no
involucran efectos colaterales que no se pueden tolerar; si no existen parches disponibles se deberan
considerar otros controles como:
2) adaptar o agregar controles de acceso, es decir, firewalls, en las fronteras de la red (ver 13.1);
h) se debera mantener un registro de auditora para todos los procedimientos que se realizan;
i) el proceso de vulnerabilidad tcnica se debera monitorear y evaluar regularmente para poder garantizar
su efectividad y eficiencia;
l) definir un procedimiento para abordar la situacin donde se ha identificado una vulnerabilidad, pero
donde no existe una contramedida. En esta situacin, la organizacin debera evaluar los riesgos
relacionados con la vulnerabilidad conocida y definir las medidas defectivas y correctivas adecuadas.
Otra informacin
Los proveedores a menudo se encuentran bajo gran presin para presentar nuevos parches lo ms pronto
posible. Por lo tanto, existe la posibilidad de que un parche no aborde el problema de manera adecuada y
que presente efectos secundarios negativos. Adems, en algunos casos, la desinstalacin de un parche no
se puede lograr fcilmente una vez que se ha aplicado un parche.
Si no es posible realizar pruebas adecuadas a los parches, es decir, por motivos de costos o falta de
recursos, se puede considerar un retraso en los parches para evaluar los riesgos asociados, en base a la
experiencia informada por otros usuarios. El uso de ISO/IEC 27031 puede ser beneficioso.
Control
Se deberan establecer e implementar las reglas que rigen la instalacin de software por parte de los
usuarios.
La organizacin debera definir y poner en vigencia una poltica estricta sobre qu tipo de software pueden
instalar los usuarios.
Se debera aplicar el principio de los menores privilegios. Si se les otorgan ciertos privilegios, es posible que
los usuarios tengan la capacidad de instalar software. La organizacin debera definir qu tipos de
instalaciones de software se permiten (es decir, actualizaciones y parches de seguridad al software existente)
y qu tipos de instalaciones se prohben (es decir, software que es solo para el uso personal y software cuya
categora en cuanto a su posible caracterstica maliciosa es desconocida o sospechosa). Estos privilegios se
deberan otorgar considerando los roles de los usuarios involucrados.
Otra informacin
Control
Se deberan planificar y acordar los requisitos y las actividades de auditora que involucran la verificacin de
los sistemas operacionales para minimizar las interrupciones a los procesos comerciales.
a) se deberan acordar los requisitos de auditora para el acceso a los sistemas y a los datos con la
direccin correspondiente;
c) las pruebas de auditora se deberan limitar al acceso de solo lectura del software y los datos;
d) el acceso que no sea de solo lectura solo se debera permitir para las copias aisladas de los archivos del
sistema, que se deberan borrar una vez que finaliza la auditora o se les debera otorgar la proteccin
adecuada si existe una obligacin de mantener tales archivos de acuerdo con los requisitos de
documentacin de auditora;
f) las pruebas de auditora que pudieran afectar la disponibilidad del sistema se deberan ejecutar fuera de
las horas laborales;
Control
Se deberan administrar y controlar las redes para proteger la informacin en los sistemas y aplicaciones.
Se deberan implementar controles para garantizar la seguridad de la informacin en las redes y la proteccin
de los servicios conectados del acceso no autorizado. En particular, se deberan considerar los siguientes
elementos:
b) se debera separar la responsabilidad operacional para la redes de las operaciones informticas donde
corresponda (ver 6.1.2);
d) se deberan aplicar los registros y monitoreos adecuados para permitir el registro y la deteccin de
acciones que pueden afectar o que son pertinentes a la informacin de seguridad;
e) las actividades de administracin se deberan coordinar de cerca tanto para optimizar el servicio a la
organizacin como para garantizar que los controles se aplican de manera coherente a travs de toda la
infraestructura de procesamiento;
Otra informacin
Puede encontrar informacin adicional sobre la seguridad de las redes en ISO/IEC 27033.
Control
Se deberan identificar e incluir en los acuerdos de servicio los mecanismos de seguridad, los niveles de
servicios y los requisitos de administracin de todos los servicios de redes, ya sea que estos servicios se
entreguen de manera interna o se externalicen.
Se debera determinar y monitorear de manera regular la capacidad del proveedor de servicios de red para
administrar los servicios de manera segura y, se debera acordar el derecho a la auditora.
Se deberan identificar las disposiciones de seguridad necesarias para ciertos servicios, como las funciones
de seguridad, los niveles de servicio y los requisitos de administracin. La organizacin debera garantizar
que los proveedores de servicios de red implementen estas medidas.
Otra informacin
Los servicios de red incluyen la provisin de conexiones, servicios de redes privadas y redes con valor
agregado y, soluciones de seguridad de redes administradas como firewalls y sistemas de deteccin de
intrusin. Estos servicios abarcan desde la banda ancha no administrada simple a las ofertas complejas con
valor agregado.
a) con aplicacin de tecnologa para la seguridad de los servicios de redes, como la autenticacin, el cifrado
y los controles de conexin de redes;
b) parmetros tcnicos necesarios para la conexin segura con los servicios de red de acuerdo con la
seguridad y las reglas de conexin de redes;
c) los procedimientos para el uso de servicios de redes para restringir el acceso a los servicios de red o
aplicaciones, donde corresponda;
Control
Se deberan segregar los grupos de servicios de informacin, usuarios y sistemas de informacin en las redes.
Un mtodo para administrar la seguridad de redes de gran tamao es dividirlas en distintos dominios de red.
Los dominios se pueden seleccionar en base a niveles de confianza (es decir, dominio de acceso pblico,
dominio de escritorio, dominio de servidor), junto con unidades organizacionales (es decir, recursos humanos,
finanzas, marketing) o alguna combinacin (es decir, el dominio del servidor que se conecta a varias
unidades organizacionales). La segregacin se puede realizar mediante redes con diferencias fsicas o
mediante el uso de distintas redes lgicas (es decir, conexin de redes privadas virtuales).
Se debera definir correctamente el permetro de cada dominio. Se permite el acceso entre dominios de red,
pero se debera controlar en el permetro mediante una puerta de enlace (es decir, firewall, enrutador de
filtrado). Los criterios para la segregacin de redes en los dominios y el acceso que se permite a travs de las
puertas de enlace se deberan basar en una evaluacin de los requisitos de seguridad de cada dominio. La
evaluacin se debera realizar de acuerdo a la poltica de control de acceso (ver 9.1.1), los requisitos de
acceso, el valor y la clasificacin de la informacin procesada y tambin se debera considerar el costo
relativo y el impacto en el rendimiento al incorporar tecnologa de puerta de enlace adecuada.
Las redes inalmbricas requieren un tratamiento especial debido al permetro de red definido
deficientemente. Para los entornos sensibles, se debera tener consideracin de tratar a todos los accesos
inalmbricos como conexiones externas y segregar este acceso desde las redes internas hasta que el acceso
haya pasado a travs de una puerta de enlace de acuerdo con la poltica de controles de red (ver 13.1.1)
antes de otorgar acceso a los sistemas internos.
Las tecnologas de autenticacin, cifrado y de control de acceso a redes de nivel de usuario de las redes
moderas y basadas en normas inalmbricas puede ser suficiente para dirigir la conexin a la red interna de la
organizacin cuando se implementen adecuadamente.
Otra informacin
Las redes a menudo se extienden ms all de los lmites organizacionales, debido a que se forman
sociedades comerciales que requieren la interconexin o que comparten la informacin de instalaciones de
redes y procesamiento de informacin. Tales extensiones pueden aumentar el riesgo del acceso no
autorizado a los sistemas de informacin de la organizacin que utilizan la red, algunos de los cuales
requieren proteccin de otros usuarios de red debido a su sensibilidad o criticidad.
Objetivo: mantener la seguridad de la informacin transferida dentro de una organizacin y con cualquier
entidad externa.
Control
Deberan existir polticas, procedimientos y controles formales de transferencia para proteger la transferencia
de informacin a travs del uso de todo tipo de instalaciones de comunicacin.
Los procedimientos y controles que se deberan seguir al utilizar instalaciones de comunicacin para la
transferencia de informacin deberan considerar los siguientes elementos:
b) los procedimientos para la deteccin y proteccin contra el malware que se pueden transmitir a travs del
uso de comunicaciones electrnicas (ver 12.2.1);
c) los procedimientos para proteger la informacin electrnica sensible comunicada en forma de elemento
adjunto;
d) la poltica o las pautas que describen el uso aceptable de las instalaciones de comunicacin (ver 8.1.3);
e) que el personal, las partes externas y cualquier otra responsabilidad del usuario no comprometa a la
organizacin, es decir, a travs de la difamacin, el acoso, la imitacin, reenvo de cartas de cadena,
compra no autorizada, etc.;
g) retencin y eliminacin de pautas para toda la correspondencia comercial, incluidos los mensajes, de
acuerdo con las normativas y a la legislacin local y nacional pertinentes;
h) los controles y las restricciones asociados al uso de instalaciones de comunicacin, es decir, el reenvo
automtico de correos electrnico a direcciones de correo externas;
i) asesorar al personal para tomar las precauciones correspondientes para no revelar informacin
confidencial.
j) no dejar mensajes que contienen informacin confidencial en mquinas contestadores debido a que
personas no autorizadas pueden volver a reproducir los mensajes, se pueden almacenar en sistemas
comunales o almacenar incorrectamente como consecuencia de una mala manipulacin;
k) informar al personal sobre los problemas del uso de mquinas o servicios de fax, a saber:
3) envo de documentos y mensajes al nmero incorrecto ya sea por un error en la marcacin o el uso
del nmero almacenado incorrecto.
Adems, se debera recordar al personal que no deberan sostener conversaciones confidenciales en lugares
pblicos o a travs de canales de comunicacin, oficinas abiertas y lugares de encuentro inseguros.
Los servicios de transferencia de informacin deberan cumplir con cualquier tipo de requisitos legales
(ver 18.1).
Otra informacin
La transferencia de informacin puede ocurrir a travs del uso de varios tipos distintos de instalaciones de
comunicacin, incluido el correo electrnico, de voz, fax y video.
La transferencia de software puede ocurrir a travs de varios medios distintos, incluida la descarga de
internet y la adquisicin de proveedores que venden los productos listos para usar.
Control
Los acuerdos deberan abordar la transferencia segura de informacin comercial entre la organizacin y las
partes externas.
g) uso de un sistema de etiquetado acordado para la informacin sensible o crtica, que garantice que el
significado de las etiquetas se comprenda inmediatamente y que la informacin se proteja
adecuadamente (ver 8.2);
i) cualquier control especial necesario para proteger elementos sensibles, como criptografa (ver clusula 10);
Se deberan establecer y mantener polticas, procedimientos y normas para proteger la informacin y los
medios fsicos en trnsito (ver 8.3.3) y se debera hacer referencias a ellos en tales acuerdos de
transferencia.
Otra informacin
Los acuerdos pueden ser electrnicos o manuales y pueden tomar la forma de contratos formales. Para la
informacin confidencial, los mecanismos que se utilizan para la transferencia de dicha informacin deberan
ser coherentes para todas las organizaciones y tipos de acuerdos.
Control
a) proteger a los mensajes del acceso no autorizado, de la modificacin o negacin de servicio de acuerdo
con el esquema de clasificacin adoptado por la organizacin;
e) obtener la aprobacin antes del uso de servicios pblicos externos como la mensajera instantnea, las
redes sociales o el compartir archivos;
f) niveles ms fuertes de acceso para el control de la autenticacin desde redes de acceso pblico.
Otra informacin
Existen varios tipos de mensajera electrnica como el correo electrnico, el intercambio de datos electrnico
y las redes sociales, que desempean una funcin en las comunicaciones comerciales.
Control
Los requisitos para los acuerdos de confidencialidad y no divulgacin que reflejan las necesidades de la
organizacin para la proteccin de informacin se deberan identificar, revisar y documentar de manera
regular.
b) duracin esperada de un acuerdo, incluidos los casos donde es posible que sea necesario mantener la
confidencialidad de manera indefinida;
e) propiedad de la informacin, secretos comerciales y propiedad intelectual y cmo esto se relaciona con la
proteccin de informacin confidencial;
f) el uso permitido de la informacin confidencial y los derechos del firmante para utilizar la informacin;
En base a los requisitos de seguridad de la informacin de la organizacin, es posible que se deban incluir
otros elementos en un acuerdo de confidencialidad o de no divulgacin.
Los acuerdos de confidencialidad y no divulgacin deberan cumplir con todas las leyes y normativas
pertinentes para la jurisdiccin a la que corresponden (ver 18.1).
Otra informacin
Es posible que una organizacin deba utilizar distintas formas de acuerdos de confidencialidad o no
divulgacin en distintas circunstancias.
Control
Los requisitos relacionados con la seguridad de la informacin se deberan incluir en los requisitos para los
nuevos sistemas de informacin o en las mejoras a los sistemas de informacin existentes.
Los requisitos de seguridad de la informacin se deberan identificar utilizando diversos mtodos como la
derivacin de requisitos de cumplimiento de polticas y normativas, modelamiento de amenazas, revisiones
de incidentes o el uso de umbrales de vulnerabilidad. Se deberan documentar los resultados de la
identificacin y los deberan revisar todas las partes interesadas.
a) el nivel de confianza que se requiere en cuanto a la identidad que afirman tener los usuarios, para poder
derivar los requisitos de autenticacin de usuarios;
b) acceso a los procesos de provisin y autorizacin, para los usuarios del negocio, as como tambin para
los usuarios con privilegios o tcnicos;
d) las necesidades de proteccin que requieren los activos involucrados, en particular, en cuanto a la
disponibilidad, la confidencialidad y la integridad;
e) los requisitos que derivan de los procesos comerciales, como el registro y el monitoreo de transacciones,
los requisitos de no repudio;
f) los requisitos impuestos por otros controles de seguridad, es decir, las interfaces al registro y monitoreo o
los sistemas de deteccin de fugas de datos.
Para las aplicaciones que brindan servicios a travs de redes pblicas o que implementan transacciones, se
deberan considerar los controles dedicados 14.1.2 y 14.1.3.
Si se adquieren productos, se debera seguir un proceso de pruebas y adquisiciones formal. Los contratos
con el proveedor deberan abordar los requisitos de seguridad identificados.
Se debera evaluar e implementar la orientacin disponible para la configuracin de seguridad del producto
en lnea con el software final / pila de servicio de ese sistema.
Se deberan definir los criterios para aceptar productos, es decir, en trminos de su funcionalidad, lo que dar
la seguridad de que se cumplen los requisitos de seguridad identificados. Se deberan evaluar los productos
contra estos criterios antes de la adquisicin. Se debera revisar la funcionalidad adicional para garantizar
que no introduce riesgos adicionales inaceptables.
Otra informacin
Las normas ISO/IEC 27005 e ISO 31000 brindan orientacin sobre el uso de procesos de administracin de
riesgos para identificar los controles para cumplir con los requisitos de seguridad de la informacin.
Control
La informacin involucrada en los servicios de aplicacin que pasan a travs de redes pblicas se deberan
proteger contra la actividad fraudulenta, la disputa de contratos y la informacin y modificacin no autorizada.
Las consideraciones de seguridad de la informacin para los servicios de aplicacin que pasan a travs de
redes pblicas deberan incluir lo siguiente:
a) el nivel de confianza que requiere cada parte sobre la identidad manifestada de la otra, es decir, a travs
de la autenticacin;
b) procesos de autorizacin asociados a las personas que pudieran aprobar los contenidos de, emitir o
firmar documentos de transacciones clave.
c) garantizar que todos los socios en la comunicacin estn completamente informados de sus
autorizaciones de la provisin o el uso del servicio;
d) determinar y cumplir con los requisitos de confidencialidad, integridad, prueba de despacho y recepcin
de documentos clave y el no repudio de contratos, es decir, asociados con los procesos de licitacin y
contratos;
h) el grado de verificacin adecuado para verificar la informacin de pago proporcionada por un cliente;
i) seleccin del acuerdo ms adecuado de forma de pago para protegerse contra los fraudes;
m) requisitos de seguros.
Muchas de las consideraciones anteriores se pueden abordar con la aplicacin de controles criptogrficos
(ver clusula 10), considerando el cumplimiento con los requisitos legales (ver clusula 18 y especialmente
18.1.5 para obtener ms informacin sobre la legislacin de la criptografa).
Las disposiciones de servicio de aplicaciones entre socios se deberan respaldar con un acuerdo
documentado que comprometa a ambas partes a los trminos de servicios acordados, incluidos los detalles
de autorizacin [ver letra b)] de arriba).
Se deberan considerar los requisitos de resiliencia contra ataques, los que pueden incluir los requisitos para
la proteccin de los servidores de aplicaciones involucrados o garantizar la disponibilidad de las
interconexiones de redes necesarias para entregar el servicio.
Otra informacin
Las aplicaciones a las que se puede acceder a travs de redes pblicas estn sujetas a una amplia gama de
amenazas relacionadas con la red, como actividades fraudulentas, disputas de contrato o divulgacin de la
informacin al pblico. Por lo tanto, las evaluaciones de riesgo detalladas y la seleccin adecuada de los
controles son indispensables. Los controles necesarios a menudo incluyen mtodos criptogrficos para la
autenticacin y la proteccin de la transferencia de datos.
Los servicios de aplicaciones pueden utilizar mtodos de autenticacin seguros, es decir, utilizando
criptografa de clave pblica y firmas digitales (ver clusula 10) para reducir los riesgos. Adems, se pueden
utilizar terceros de confianza, cuando dichos servicios sean necesarios.
Control
La informacin involucrada en las transacciones de servicios de aplicacin se debera proteger para evitar la
transmisin incompleta, el enrutamiento incorrecto, la alteracin no autorizada de mensajes, la divulgacin no
autorizada, la duplicacin no autorizada de mensajes o su reproduccin.
1) que la informacin de autenticacin secreta del usuario de todas las partes sea vlida y que se
verifique;
d) los protocolos que se utilizan para comunicarse entre todas las partes involucradas estn protegidos;
e) garantizar que el almacenamiento de los detalles de la transaccin se ubique detrs de cualquier entorno
de acceso pblico, es decir, en una plataforma de almacenamiento que existe en la intranet
organizacional y que no se retenga ni se exponga en un medio de almacenamiento al que se pueda
acceder directamente desde internet;
f) donde se utilice una autoridad confiable (es decir, para propsitos de emitir y mantener firmas digitales o
certificados digitales) la seguridad se integre en todo el proceso de administracin de certificado/firma
descentralizado.
Otra informacin
El alcance de los controles adoptados se deberan conmensurar con el nivel de riesgo asociado a cada forma
de transaccin de servicio de aplicacin.
Es posible que las transacciones deban cumplir con requisitos legales y normativos en la jurisdiccin desde
donde se genera, procesa, completa o almacena la transaccin.
Objetivo: garantizar que la seguridad de la informacin se disee e implemente dentro del ciclo de vida de
desarrollo de los sistemas de informacin.
Control
Se deberan establecer reglas para el desarrollo de software y sistemas y, se deberan aplicar a los
desarrollos dentro de la organizacin.
El desarrollo seguro es un requisito para generar un servicio, arquitectura, software y sistema seguro. Dentro
de una poltica de desarrollo seguro se deberan considerar los siguientes aspectos:
c) repositorios seguros;
Se deberan utilizar tcnicas de programacin seguras tanto para los desarrollos nuevos como en las
situaciones de reutilizacin de cdigos donde es posible que no se conozcan las normas que se aplican al
desarrollo o donde no sean coherentes con las buenas prcticas actuales. Se deberan considerar las normas
de codificacin y, donde corresponda, se debera obligar su uso. Se debera capacitar a los desarrolladores
en su uso y pruebas y se debera verificar su uso mediante una revisin de cdigos.
Si se externaliza el desarrollo, la organizacin debera obtener la garanta de que la parte externa cumple con
estas reglas para el desarrollo seguro (ver 14.2.7).
Otra informacin
El desarrollo tambin se puede realizar dentro de aplicaciones como aplicaciones de oficina, programacin,
navegadores y bases de datos.
Control
Los cambios a los sistemas dentro del ciclo de vida de desarrollo se deberan controlar mediante el uso de
procedimientos de control de cambios formales.
Los procedimientos de control de cambios formales se deberan documentar para garantizar la integridad del
sistema, las aplicaciones y productos, desde las primeras etapas del diseo a travs de todos los esfuerzos
de mantenimiento posteriores.
La introduccin de nuevos sistemas y cambios importantes a los sistemas existentes debera seguir un
proceso formal de documentacin, especificacin, pruebas, control de calidad e implementacin
administrada.
El proceso debera incluir una evaluacin de riesgos, un anlisis de los impactos de los cambios y la
especificacin de los controles de seguridad necesarios. Este proceso adems de garantizar que no se vean
comprometidos los procedimientos de seguridad y control, que los programadores de soporte cuenten con
acceso solo para las partes del sistema necesarias para su trabajo y que se obtenga el acuerdo y la
aprobacin formal para cualquier cambio.
Donde sea factible, se deberan integrar los procedimientos de control de cambios de aplicacin y
operacionales (ver 12.1.2). Los procedimientos de control de cambios deberan incluir, pero sin limitarse a:
c) revisar los procedimientos de control e integridad para garantizar que no se vern comprometidos por los
cambios;
d) identificacin de todo el software, la informacin, las entidades de la base de datos y el hardware que
requiere modificaciones;
e) identificacin y verificacin del cdigo crtico de seguridad para minimizar la probabilidad de debilidad de
seguridad conocidas;
f) obtencin de una aprobacin formal para las propuestas detalladas antes de que comience el trabajo;
g) asegurarse de que los usuarios autorizados acepten los cambios antes de la implementacin;
h) asegurarse de que la documentacin establecida del sistema se actualice al finalizar cada cambio y que
la documentacin antigua se archive o elimine;
k) asegurarse de que la documentacin operativa (ver 12.1.1) y los procedimientos se cambien segn sea
necesario para seguir siendo adecuados;
Otra informacin
Las buenas prcticas incluyen las pruebas de nuevo software en un entorno segregado de los entornos de
produccin y desarrollo (ver 12.1.4). Esto brinda una forma de tener control del nuevo software y permite una
proteccin adicional de la informacin operacional que se utiliza para fines de pruebas. Esto debera incluir
parches, paquetes de servicio y otras actualizaciones.
14.2.3 Revisin tcnica de las aplicaciones despus de los cambios en la plataforma operativa
Control
Cuando se cambian las plataformas operativas, las aplicaciones crticas para el negocio se deberan revisar y
probar para asegurarse de que no se ha generado un impacto adverso en las operaciones o en la seguridad
de la organizacin.
a) revisin de los procedimientos de control e integridad de aplicaciones para garantizar que no se vern
comprometidos por los cambios en la plataforma operativa;
b) asegurarse de que se entregue una notificacin de los cambios en la plataforma operativa a tiempo para
permitir que se realicen las pruebas y revisiones correspondientes antes de la implementacin.
c) asegurarse de que se realicen los cambios adecuados a los planes de continuidad comercial
(ver clusula 17).
Otra informacin
Las plataformas operativas incluyen sistemas operativos, bases de datos y plataformas middleware. El
control tambin se debera aplicar a los cambios de aplicaciones.
Control
Se deberan desalentar las modificaciones a los paquetes de software, limitndose a los cambios necesarios
y todos los cambios se deberan controlar estrictamente.
En lo posible y mientras sea factible, se deban utilizar los paquetes de software proporcionados por
proveedores sin modificaciones. Cuando sea necesario modificar un paquete de software se deberan
considerar los siguientes puntos:
c) la posibilidad de obtener los cambios necesarios del proveedor como actualizaciones estndar de
programas;
d) el impacto si la organizacin se hace responsable del mantenimiento futuro del software como resultado
de los cambios;
Si los cambios son necesarios se debera retener el software original y los cambios se deberan aplicar a una
copia asignada. Se debera implementar un proceso de administracin de actualizaciones para garantizar que
se instalan los parches aprobados ms recientes y las actualizaciones de aplicaciones para todo el software
autorizado (ver 12.6.1). Todos los cambios se deberan probar y documentar completamente, de modo que
se puedan volver a aplicar, en caso de ser necesario, a futuras actualizaciones de software. En caso de ser
necesario las modificaciones de deberan probar y validar con una entidad de evaluacin independiente.
Control
Se deberan establecer, documentar, mantener y aplicar los principios para la ingeniera de sistemas seguros
para cualquier labor de implementacin del sistema de informacin.
Estos principios y los procedimientos de ingeniera establecidos se deberan revisar de manera regular para
asegurarse de que contribuyen de manera eficaz a las normas de seguridad mejoradas dentro del proceso de
ingeniera.
Tambin se deberan revisar de manera regular para asegurarse de que permanecen vigentes en cuanto al
combate contra cualquier posible amenaza y que sigan siendo aplicables a los avances de las tecnologas y
soluciones que se estn aplicando.
Se deberan aplicar los principios de ingeniera de seguridad establecidos, donde corresponda, a los sistemas
de informacin externalizados a travs de contratos y otros acuerdos vinculantes entre la organizacin y el
proveedor a quien la organizacin externaliza el servicio. La organizacin debera confirmar que el rigor de
los principios de ingeniera de seguridad del proveedor es comparable con el propio.
Otra informacin
Control
Las organizaciones deberan establecer y proteger adecuadamente a los entornos de desarrollo seguros para
las labores de desarrollo e integracin de sistemas que abarcan todo el ciclo de vida de desarrollo del
sistema.
Un entorno de desarrollo seguro incluye a las personas, procesos y tecnologas asociadas con el desarrollo e
integracin de sistemas.
Las organizaciones deberan evaluar los riesgos asociados con las labores de desarrollo de sistemas
individuales y establecer entornos de desarrollo seguro para labores de desarrollo del sistema especficas,
considerando:
c) controles de seguridad que ya ha implementado la organizacin y que soportan el desarrollo del sistema;
Una vez que se ha determinado el nivel de proteccin para un entorno de desarrollo especfico, las
organizaciones deberan documentar los procesos correspondientes en los procedimientos de desarrollo
seguro y proporcionarlos a todas las personas que los necesiten.
Control
La organizacin debera supervisar y monitorear la actividad del desarrollo externalizado del sistema.
Donde se externalice el desarrollo del sistema, se deberan considerar los siguientes puntos en toda la
cadena de suministro de la organizacin:
b) los requisitos contractuales para el diseo, la codificacin y las prcticas de pruebas seguras (ver 14.2.1);
e) provisin de evidencia de que se utilizaron umbrales de seguridad para establecer niveles aceptables
mnimos de seguridad y calidad de la privacidad;
f) provisin de evidencia de que se ha aplicado una cantidad suficiente de pruebas para protegerse contra
la ausencia intencional y no intencional de contenido malicioso despus de la entrega;
g) provisin de evidencia de que se han aplicado pruebas suficientes para protegerse contra la presencia de
vulnerabilidades conocidas;
j) documentacin eficaz sobre el entorno de desarrollo utilizado para crear los entregables;
k) la organizacin sigue siendo responsable del cumplimiento con las leyes pertinentes y la verificacin de
la eficiencia del control.
Otra informacin
Puede encontrar informacin adicional sobre las relaciones con proveedores en ISO/IEC 27036.
Control
Los sistemas nuevos y actualizados se deberan someter a pruebas y verificaciones exhaustivas durante los
procesos de desarrollo, incluida la preparacin de un programa de actividades detallado y entradas de
pruebas y los resultados esperados bajo una variedad de condiciones. Para los desarrollos internos, dichas
pruebas las debera realizar inicialmente el equipo de desarrollo. Las pruebas de aceptacin independientes
se deberan realizar (tanto para los desarrollos internos y externalizados) para garantizar que el sistema
funciona segn se espera y solo como se espera (ver 14.1.1 y 14.1.9). El alcance de las pruebas debera ser
en proporcin a la importancia y naturaleza del sistema.
Control
Se deberan establecer programas de pruebas de aceptacin y criterios relacionados para los nuevos
sistemas de informacin, actualizaciones y nuevas versiones.
Las pruebas de aceptacin del sistema deberan incluir las pruebas de los requisitos de seguridad de la
informacin (ver 14.1.1 y 14.1.2) y la adherencia a las prcticas de desarrollo del sistema seguro (ver 14.2.1).
Las pruebas tambin se deberan realizar en los componentes y sistemas integrados recibidos. Las
organizaciones pueden aprovechar las herramientas automatizadas, como las herramientas de anlisis de
cdigos o los escneres de vulnerabilidad y debera verificar la remediacin de los defectos relacionados con
la seguridad.
Las pruebas se deberan realizar en un entorno de pruebas realista para garantizar que el sistema no
introducir vulnerabilidades al entorno de la organizacin y que las pruebas sean confiables.
Objetivo: garantizar la proteccin de los datos que se utilizan para las pruebas.
Control
Se debera evitar el uso de los datos operacionales que contienen informacin personal identificable o
cualquier otro tipo de informacin confidencial para fines de prueba. Si se utiliza informacin personal
identificable o de lo contrario, informacin confidencial para fines de prueba, todos los detalles y contenido
sensible se debera proteger mediante su retiro y modificacin (ver ISO/IEC 29101).
Se deberan aplicar las siguientes pautas para proteger los datos operacionales, cuando se utilizan con fines
de pruebas:
a) los procedimientos de control de acceso, que se aplican a los sistemas de aplicacin operacional,
tambin se deberan aplicar a los sistemas de aplicacin de pruebas;
b) debera existir una autorizacin independiente cada vez que se copia la informacin operacional a un
entorno de prueba;
c) la informacin operacional se debera borrar de un entorno de pruebas inmediatamente una vez que haya
finalizado la prueba;
Otra informacin
Las pruebas del sistema y de aceptacin generalmente requieren volmenes sustanciales de datos de
prueba que estn lo ms cercanos posibles a los datos operacionales.
15.1.1 Poltica de seguridad de la informacin para las relaciones con los proveedores
Control
Se deberan acordar los requisitos de seguridad de la informacin para mitigar los riesgos asociados al
acceso de los proveedores a los activos de la organizacin con el proveedor y se deberan documentar
debidamente.
a) la identificacin y la documentacin de los tipos de proveedores, es decir, los servicios de TI, las
utilidades de logstica, los servicios financieros, los componentes de la infraestructura de TI y a quines
autorizar la organizacin para acceder a su informacin;
b) un proceso y ciclo de vida estandarizado para administrar las relaciones con los proveedores;
c) la definicin de los tipos de acceso a la informacin que se les permitir a los distintos tipos de
proveedores y el monitoreo y control del acceso;
d) requisitos mnimos de seguridad de la informacin para cada tipo de informacin y tipo de acceso para
servir de base para los acuerdos individuales con los proveedores en base a las necesidades
comerciales de la organizacin y los requisitos y su perfil de riesgo;
h) manejo de incidentes y contingencias asociadas con el acceso a los proveedores, incluidas las
responsabilidades de la organizacin y los proveedores;
k) capacitacin de concientizacin para el personal de la organizacin que interacta con el personal de los
proveedores en cuanto a las reglas adecuadas sobre el compromiso y el comportamiento en base al tipo
de proveedor y el nivel de acceso del proveedor a los sistemas y la informacin de la organizacin;
Otra informacin
La informacin no se puede poner en riesgo por los proveedores con una administracin de seguridad de
informacin inadecuada. Se deberan identificar y aplicar controles para administrar el acceso de los
proveedores a las instalaciones de procesamiento de la informacin. Por ejemplo, si existe una necesidad
especial de confidencialidad de la informacin, se pueden utilizar acuerdos de no divulgacin. Otro ejemplo
son los riesgos de proteccin de datos cuando el acuerdo del proveedor involucra la transferencia de o el
acceso a la informacin a travs de las fronteras. La organizacin debera estar en conocimiento de que la
responsabilidad legal o contractual para proteger a la informacin permanece con la organizacin.
Control
Se deberan establecer y acordar todos los requisitos de seguridad de la informacin pertinentes con cada
proveedor que puede acceder, procesar, almacenar, comunicar o proporcionar componentes de
infraestructura de TI para la informacin de la organizacin.
Se deberan establecer y documentar acuerdos con los proveedores para garantizar que no existen malos
entendidos entre la organizacin y el proveedor en cuanto a las obligaciones de ambas partes para cumplir
con los requisitos de seguridad de la informacin pertinentes.
Se deberan considerar los siguientes trminos para incluir en los acuerdos y poder satisfacer los requisitos
de seguridad de la informacin identificados:
a) descripcin de la informacin que se debera proporcionar o a la que se debera acceder y los mtodos
para proporcionar o acceder a la informacin;
c) requisitos legales y normativos, incluida la proteccin de datos, los derechos de propiedad intelectual y
derechos de autor y una descripcin de sobre cmo se garantizar si se cumplen;
e) reglas de uso aceptable de la informacin, incluido en uso inaceptable en caso de ser necesario;
f) una lista explcita del personal autorizado para acceder a o recibir la informacin o los procedimientos o
condiciones de la organizacin para su autorizacin y el retiro de la autorizacin, para el acceso a o la
recepcin de la informacin de la organizacin al personal del proveedor;
j) normativas pertinentes para la subcontratacin, incluidos los controles que se deberan implementar;
k) socios de acuerdos pertinentes, incluida una persona de contacto para los asuntos de seguridad de la
informacin;
l) requisitos de seleccin, si existe alguno, para el personal del proveedor para realizar los procedimientos de
seleccin y notificacin si no se ha completado la seleccin o si los resultados dan pie a dudas o inquietudes;
m) derecho a auditar los procesos y los controles del proveedor relacionados al acuerdo;
o) obligacin del proveedor a entregar peridicamente un informe independiente sobre la efectividad de los
controles y un acuerdo sobre la correccin oportuna de los asuntos pertinentes indicados en el informe;
p) obligaciones del proveedor para cumplir con los requisitos de seguridad de la organizacin.
Otra informacin
Los acuerdos pueden variar considerablemente para las distintas organizaciones y entre los distintos tipos de
proveedores. Por lo tanto, se debera tener cuidado de incluir a todos los riesgos y requisitos de seguridad de
la informacin pertinentes. Los acuerdos del proveedor tambin pueden involucrar a otras partes (es decir,
sub-proveedores).
Los procedimientos para continuar el procesamiento en el caso de que el proveedor no pueda suministrar sus
productos o servicios se deberan considerar en el acuerdo para evitar cualquier tipo de retraso en la
disposicin de los productos y servicios de reemplazo.
Control
Los acuerdos con los proveedores deberan incluir los requisitos para abordar los riesgos de seguridad de la
informacin asociados con la cadena de suministro de los servicios y productos de tecnologa de informacin
y comunicaciones.
Se deberan considerar los siguientes temas para incluirlos en los acuerdos con el proveedor sobre la
seguridad de la cadena de suministro:
b) para los servicios de tecnologa de informacin y comunicacin, que requieren que los usuarios
propaguen los requisitos de seguridad de la organizacin en toda la cadena de suministro si los
proveedores realizan subcontrataciones para partes del servicio de tecnologa de informacin y
comunicacin proporcionados a la organizacin;
c) para los productos de tecnologa de informacin y comunicacin que requieren que los proveedores
propaguen las prcticas de seguridad correspondientes a travs de toda la cadena de suministro si estos
productos incluyen componentes comprados a otros proveedores;
d) implementacin de un proceso de monitoreo y mtodos aceptables para validar que los productos y
servicios de tecnologa de informacin y comunicacin se adhieren a los requisitos de seguridad
establecidos;
e) implementacin de un proceso para identificar los componentes de los productos o servicios que son
fundamentales para mantener la funcionalidad y que, por lo tanto, requiere una mayor atencin y
escrutinio cuando se desarrollan fuera de la organizacin, especialmente si el proveedor del nivel
superior externalice los aspectos de los componentes de productos o servicios a otros proveedores;
f) obtencin de una garanta de que los componentes crticos y su origen se pueden rastrear en toda la
cadena de suministrar;
h) definicin de las reglas para compartir la informacin en cuanto a la cadena de suministro y cualquier
posible problema y compromiso entre la organizacin y los proveedores;
Otra informacin
Se aconseja a las organizaciones a trabajar con los proveedores para comprender la cadena de suministro
de la tecnologa de informacin y comunicacin y cualquier otro asunto que tenga un impacto importante en
los productos y servicios que se proporcionan. Las organizaciones pueden influenciar las prcticas de
seguridad de informacin de la cadena de suministro de la tecnologa de informacin y comunicacin
aclarando en los acuerdos con sus proveedores los asuntos que deberan abordar proveedores en la cadena
de suministro de tecnologa de informacin y comunicacin.
La cadena de suministro de tecnologa de informacin y comunicacin segn se aborda aqu incluye los
servicios de computacin en nube.
Objetivo: mantener un nivel acordado de seguridad de informacin y prestacin de servicios conforme a los
acuerdos del proveedor.
Control
Las organizaciones deberan monitorear, revisar y auditar la presentacin de servicios del proveedor de
manera regular.
El monitoreo y revisin de los servicios del proveedor debera garantizar que los trminos y condiciones de
seguridad de la informacin de los acuerdos se respeten y que los incidentes y los problemas de seguridad
de la informacin se gestionen correctamente.
a) monitorear los niveles de desempeo del servicio con el fin de verificar la adherencia a los acuerdos;
b) revisar los informes de servicio producidos por el proveedor y organizar reuniones de avance de manera
regular segn lo requieren los acuerdos;
d) proporcionar informacin sobre los incidentes de seguridad y revisar esta informacin segn sea
necesario conforme a los acuerdos y a cualquier pauta o procedimiento de apoyo;
e) revisar los seguimientos de auditora del proveedor y los registros de eventos de seguridad de la
informacin, los problemas operacionales, seguimiento de todas las fallas e interrupciones relacionadas
con el servicio entregado;
g) revisar los aspectos de seguridad de la informacin de las relaciones que tiene el proveedor con sus
propios proveedores;
h) asegurarse de que el proveedor mantiene una capacidad de servicio suficiente junto con planes de
trabajo diseados para garantizar que se mantienen los niveles de continuidad en el servicio luego de
grandes fallas o desastres en el servicio (ver clusula 17).
La responsabilidad de administrar las relaciones del proveedor se deberan asignar a una persona o equipo
de administracin de servicios asignado. Adems, la organizacin se debera asegurar de que los
proveedores asignen responsabilidades para revisar el cumplimiento y hacer cumplir los requisitos de los
acuerdos. Se deberan tener las habilidades y recursos tcnicos suficientes a disponibles para monitorear
que se cumplen los requisitos del acuerdo, en particular los requisitos de seguridad de la informacin. Se
deberan tomar las medidas necesarias cuando se observan deficiencias en la prestacin de servicios.
La organizacin debera retener el control y la visibilidad suficientes en todos los aspectos de seguridad para
la informacin o las instalaciones de procesamiento de informacin sensible o crtica que evala, procesa o
administra un proveedor. La organizacin debera retener la visibilidad en las actividades de seguridad como
la administracin del cambio, la identificacin de vulnerabilidades y los informes y respuestas ante un
incidente de seguridad de informacin a travs de un proceso de informes definido.
Control
Se deberan administrar los cambios a la provisin de servicios de parte de los proveedores, manteniendo y
mejorando las polticas de seguridad de la informacin, los procedimientos y controles especficos,
considerando la criticidad de la informacin comercial, los sistemas y procesos involucrados y la reevaluacin
de riesgos.
6) cambio de proveedores;
Control
Se deberan establecer las responsabilidades y procedimientos de la direccin para garantizar una respuesta
rpida, eficaz y ordenada a los incidentes de seguridad de la informacin.
Se deberan considerar las siguientes pautas para las responsabilidades de la direccin y los procedimientos
respecto de la administracin de incidentes de seguridad de la informacin.
2) procedimientos para monitorear, detectar, analizar e informar sobre eventos e incidentes de seguridad;
2) que se implemente un punto de contacto para la deteccin e informe de los incidentes de seguridad.
3) que se mantengan los contactos correspondientes con las autoridades, grupos de inters externos o
foros que manejen los problemas relacionados con los incidentes de seguridad de la informacin;
3) referencia a un proceso disciplinario formal establecido para lidiar con los empleados que caen en
incumplimientos de seguridad;
4) procesos de retroalimentacin adecuados para asegurarse de que a aquellas personas que informan
eventos de seguridad se les notifique sobre los resultados una vez que se ha abordado el problema y
se haya cerrado.
Los objetivos para la administracin de incidentes de seguridad se deberan acordar con la direccin y se
debera garantizar que las personas responsables de la administracin de incidentes de seguridad de la
informacin comprendan las prioridades de la organizacin para manejar incidentes de seguridad de la
informacin.
Otra informacin
Los incidentes de seguridad de la informacin pueden trascender los lmites organizacionales y nacionales.
Para responder a dichos incidentes existe una necesidad en aumento para coordinar la respuesta y compartir
informacin sobre estos incidentes con organizaciones existentes segn sea pertinente.
Control
Todos los empleados y contratistas deberan estar en conocimiento de su responsabilidad para informar los
eventos de seguridad de la informacin lo ms pronto posible. Tambin deberan estar en conocimiento del
procedimiento para informar eventos de seguridad de la informacin y el punto de contacto al que se debera
informar los eventos.
Las situaciones que se deberan considerar para el informe de eventos de seguridad incluyen:
c) errores humanos;
h) violaciones de acceso.
Otra informacin
Las fallas u otro comportamiento anmalo del sistema puede ser un indicador de un ataque de seguridad o
un incumplimiento real de seguridad y, por lo tanto, siempre se debera informar como un evento de
seguridad de la informacin.
Control
Se debera requerir a los empleados y contratistas que utilizan los sistemas y servicios de informacin de la
organizacin anotar e informar sobre cualquier debilidad sospechosa en la seguridad de la informacin en los
sistemas o servicios.
Todos los empleados y contratistas deberan informar estos asuntos al punto de contacto lo ms rpido
posible para poder evitar los incidentes de seguridad de la informacin. El mecanismo de informes debera
ser fcil, accesible y estar disponible segn sea posible,
Otra informacin
Se debera indicar a los empleados y contratistas que no intenten indagar en debilidades de seguridad
sospechosas. La prueba de debilidades se puede interpretar como un posible uso indebido del sistema y
tambin podra provocar daos al sistema o servicio de informacin y generar una responsabilidad legal para
la persona que realiza la prueba.
Control
Se deberan evaluar los eventos de seguridad de la informacin y se debera decidir si se clasificarn como
incidentes de seguridad de la informacin.
El punto de contacto debera evaluar cada evento de seguridad de la informacin utilizando la escala de
clasificacin de eventos e incidentes de seguridad de la informacin y decidir si el evento se debera clasificar
como un incidente de seguridad de la informacin. La clasificacin y la priorizacin de incidentes pueden
ayudar a identificar el impacto y el alcance de un incidente.
En los casos donde la organizacin tenga un equipo de respuesta ante incidentes de seguridad (ISIRT, por
sus siglas en ingls), la evaluacin y la decisin se puede enviar al ISIRT para su confirmacin o
reevaluacin.
Se deberan registrar los resultados de la evaluacin y la decisin en detalle con fines de referencia y
verificacin futuros.
Control
Se debera responder ante los incidentes de seguridad de la informacin de acuerdo con los procedimientos
documentados.
Un punto de contacto y otras personas pertinentes de la organizacin o partes externas deberan responder
ante los incidentes de seguridad de la informacin (ver 16.1.1).
b) realizar anlisis forenses de seguridad de la informacin, segn sea necesario (ver 16.1.7);
d) asegurarse de que todas las actividades de respuesta se registren correctamente para el posterior
anlisis;
g) una vez que se ha manejado el incidente correctamente, se debera cerrar y registrar formalmente.
Se debera realizar un anlisis post-incidente, segn sea necesario, para identificar el origen del incidente.
Otra informacin
El primer objetivo de la respuesta ante incidentes es reanudar el nivel de seguridad normal y luego iniciar la
recuperacin necesaria.
Control
Deberan existir mecanismos para permitir los tipos, los volmenes y los costos de los incidentes de
seguridad de la informacin que se van a cuantificar y monitorear. Se debera utilizar la informacin obtenida
de la evaluacin de los incidentes de seguridad de la informacin para identificar los incidentes recurrentes o
de alto impacto.
Otra informacin
La evaluacin de los incidentes de seguridad de la informacin puede indicar la necesidad de contar con
controles mejorados o adicionales para limitar la frecuencia, el dao y el costo de las ocurrencias futuras o
bien se deberan considerar en el proceso de revisin de polticas de seguridad (ver 5.1.2).
Con el debido cuidado de los aspectos de confidencialidad, se pueden utilizar las ancdotas de los incidentes
reales de informacin de la seguridad en la capacitacin de concientizacin a los usuarios (ver 7.2.2) como
ejemplos que pueden suceder, cmo responder a dichos incidentes y cmo evitarlos en el futuro.
Control
La organizacin debera definir y aplicar los procedimientos necesarios para la identificacin, recopilacin,
adquisicin y preservacin de la informacin que puede servir de evidencia.
Se deberan desarrollar procedimientos internos y se deberan seguir al tratar con evidencia para propsitos
de acciones legales y disciplinarias.
En general, estos procedimientos para la evidencia deberan proporcionar procesos para la identificacin,
recopilacin, adquisicin y preservacin de evidencia de acuerdo a los distintos tipos de medios, dispositivos
y estado de los dispositivos, es decir, encendidos o apagados. Los procedimientos deberan considerar:
a) cadena de custodia;
b) seguridad de la evidencia;
f) documentacin;
g) sesin informativa.
Donde corresponda, se deberan buscar certificaciones u otros medios de calificacin del personal y
herramientas pertinentes, para reforzar el valor de la evidencia preservada;
La evidencia forense puede trascender los lmites organizacionales o jurisdiccionales. En tales casos, se
debera garantizar que la organizacin tenga el derecho a recopilar la informacin necesaria como evidencia
forense. Tambin se deberan considerar los requisitos de distintas jurisdicciones para maximizar las
probabilidades de admisin en las jurisdicciones pertinentes.
Otra informacin
Cuando se detecta un evento de seguridad de la informacin por primera vez, puede no resultar obvio si el
evento resultar o no en una accin de tribunales. Por lo tanto, existe el peligro de que se destruya la
evidencia necesaria de manera intencional o accidental antes de que se reconozca la gravedad del incidente.
Resulta aconsejable involucrar a un abogado o a la polica al comienzo de cualquier accin legal
contemplada y recibir asesora sobre la evidencia necesaria.
Control
Una organizacin debera determinar si la continuidad de la seguridad de la informacin se incluye dentro del
proceso de administracin de continuidad del negocio o dentro del proceso de administracin de
recuperacin ante desastres. Se deberan determinar los requisitos de seguridad de la informacin al
planificar la continuidad comercial y la recuperacin ante desastres.
En la ausencia de una continuidad comercial formal y una planificacin de recuperacin ante desastres, la
administracin de seguridad de la informacin debera suponer que los requisitos de seguridad de la
informacin siguen siendo los mismos ante situaciones adversas, en comparacin con las condiciones
operacionales normales. De manera alternativa, una organizacin puede desarrollar un anlisis de impacto
comercial para los aspectos de seguridad de la informacin y determinar los requisitos de seguridad de la
informacin que se aplican a situaciones adversas.
Otra informacin
Para poder reducir el tiempo y el esfuerzo de un anlisis de impacto comercial adicional para la seguridad
de la informacin, se recomienda capturar los aspectos de seguridad de la informacin dentro de la
administracin de la continuidad comercial normal o el anlisis de impacto en el negocio de la administracin
de recuperacin ante desastres. Esto implica que los requisitos de continuidad de la seguridad de la
informacin se formulan explcitamente en la administracin de la continuidad del negocio o en los procesos
de administracin de recuperacin ante desastres.
Puede encontrar informacin sobre la administracin de continuidad comercial en ISO/IEC 27031, ISO 22313
e ISO 22301.
Control
a) exista una estructura de administracin adecuada para prepararse para, mitigar y responder ante un
evento disruptivo que utiliza personal con la autoridad, la experiencia y la competencia necesaria;
Otra informacin
Es posible que se hayan establecido procesos y procedimientos especficos dentro del contexto de la
continuidad comercial o de la recuperacin ante desastres. Se debera proteger la informacin que se maneja
dentro de estos procesos y procedimientos o dentro de los sistemas de informacin dedicados para
apoyarlos. Por lo tanto, una organizacin debera:
Los controles de seguridad de la informacin que se han implementado deberan seguir funcionando durante
una situacin adversa. Si los controles de seguridad no pueden continuar resguardando la informacin, se
deberan establecer, implementar y mantener otros controles para mantener un nivel aceptable de seguridad
de la informacin.
Control
b) el ejercicio y las pruebas del conocimiento y la rutina para operar los procesos, procedimientos y
controles de continuidad de la seguridad de la informacin para garantizar que su desempeo es
coherentes con los objetivos de continuidad de la seguridad de la informacin;
Otra informacin
17.2 Redundancias
Control
Las organizaciones deberan identificar los requisitos comerciales para la disponibilidad de los sistemas de
informacin. Cuando no se pueda garantizar la disponibilidad a travs de la arquitectura de sistemas
existente, se deberan considerar los componentes o arquitecturas redundantes.
Donde corresponda, se deberan probar los sistemas de informacin redundantes para garantizar que la
conmutacin por error de un componente a otro funcione adecuadamente.
Otra informacin
18 Cumplimiento
Control
Todos los requisitos estatutarios, normativos y contractuales legislativos y el enfoque de la organizacin para
cumplir con estos requisitos de deberan identificar, documentar y mantener al da de manera explcita para
cada sistema de informacin y la organizacin.
Los controles especficos y las responsabilidades individuales para cumplir con estos requisitos tambin se
deberan definir y documentar.
Los gerentes deberan identificar toda la legislacin que se aplica a su organizacin para poder cumplir con
los requisitos para su tipo de negocio. Si la organizacin realiza negocios en otros pases, los gerentes
deberan considerar el cumplimiento en todos los pases pertinentes.
Control
Se deberan implementar procedimientos adecuados para garantizar el cumplimiento con los requisitos
legislativos, normativos y contractuales relacionados con los derechos de propiedad intelectual y utilizar
productos de software propietario.
Se deberan considerar las siguientes pautas para proteger a cualquier material que se puede considerar
como propiedad intelectual:
a) la publicacin de una poltica de cumplimiento de derechos de propiedad intelectual que define el uso
legal de software y productos de informacin;
b) la adquisicin de software solo a travs de fuentes conocidas y con buena reputacin, para garantizar
que no se transgreda el derecho de autor;
c) mantener la concientizacin de las polticas para proteger los derechos de propiedad intelectual dando
aviso de la intencin de tomar medidas disciplinarias contra el personal que las incumple.
d) mantener registros de activos adecuados y la identificacin de todos los activos con los requisitos para
proteger los derechos de propiedad intelectual;
e) mantener pruebas y evidencias de la propiedad de las licencias, discos maestros, manuales, etc.;
f) implementar controles para garantizar que cualquier nmero mximo de usuarios permitidos dentro la
licencia no se exceda;
g) realizacin de revisiones para verificar que solo se instale software y productos licenciados;
h) proporcionar una poltica para mantener las condiciones adecuadas de las licencias;
j) cumplir con los trminos y condiciones para el software y la informacin obtenida de redes pblicas;
k) no duplicar, convertir a otro formato ni extraer de grabaciones comerciales (pelcula, audio) a no ser que
lo permita la ley de derecho de autor;
l) no copiar libros, artculos, informes u otros documentos en su totalidad o en parte, que no sean los
permitidos por la ley de derecho de autor.
Otra informacin
Los derechos de propiedad intelectual incluyen los derechos de autor del software o documentos, derechos
de diseo, marcas registradas, patentes y licencias de cdigo de fuente.
Los productos de software propietario generalmente se suministran bajo un acuerdo de licencia que
especifica los trminos y condiciones de la licencia, por ejemplo, limitando el uso de productos a mquinas
especficas o limitando la copia a la creacin de copias de respaldo solamente. La importancia y el
conocimiento de los derechos de propiedad intelectual se deberan comunicar al personal para el desarrollo
de software de la organizacin.
Los requisitos legislativos, normativos y contractuales pueden imponer restricciones en la copia de material
propietario. En particular, pueden requerir que se utilice solamente material que desarrolla la organizacin o
que tiene licencia, o que proporciona el desarrollador a la organizacin. Las infracciones al derecho de autor
pueden llevar a acciones legales, que pueden involucrar multas y procesos penales.
Control
Los registros se deberan proteger contra prdidas, destruccin, falsificacin, acceso no autorizado y
publicacin no autorizada de acuerdo con los requisitos legislativos, normativos, contractuales y comerciales.
Se debera tener en consideracin la posibilidad del deterioro de los medios que se utilizan para el
almacenamiento de registros. Se deberan implementar procedimientos de almacenamiento y manipulacin
de acuerdo con las recomendaciones del fabricante.
Se deberan seleccionar sistemas de almacenamiento de datos para que se puedan recuperar los datos en
un perodo de tiempo y formato aceptable, en funcin de los requisitos que se deberan cumplir.
Para cumplir con estos objetivos de resguardo de registros, se deberan realizar los siguientes pasos dentro
de una organizacin:
b) se debera establecer un programa de retencin que identifique los registros y el perodo de tiempo en el
que se deberan retener;
Otra informacin
Es posible que se deban retener algunos registros de manera segura para cumplir con los requisitos
estatutarios o contractuales, as como tambin para apoyar actividades comerciales esenciales. Algunos
ejemplos incluyen registros que pueden ser necesarios como evidencia de que una organizacin opera
dentro de las reglas estatutarias o normativas, para garantizar la defensa contra posibles acciones penales o
civiles o para confirmar el estado financiero de una organizacin a los accionistas, partes externas y
auditores. La ley o normativa nacional puede establecer el perodo de tiempo y el contenido de datos para la
retencin de la informacin.
Puede encontrar ms informacin sobre la administracin de los registros organizacionales en ISO 15489-1.
Control
Se debera desarrollar e implementar una poltica de datos de la organizacin para la privacidad y proteccin
de la informacin personal identificable. Esta poltica se debera comunicar a todas las personas involucradas
en el procesamiento de informacin personal identificable.
El cumplimiento con esta poltica y toda la legislacin y normativas pertinentes sobre la proteccin de la
privacidad de las personas y la proteccin de la informacin personal identificable requiere la estructura y
control de administracin adecuada. A menudo esto se logra de mejor manera mediante la asignacin de una
persona responsable, como un funcionario encargado de la privacidad, quien debera brindar orientacin a
los gerentes, usuarios y proveedores de servicio sobre sus responsabilidades individuales y procedimientos
Otra informacin
ISO/IEC 29100 proporciona un marco de alto nivel para la proteccin de informacin personal identificable
dentro de los sistemas de tecnologa de informacin y comunicacin. Ciertos pases han introducido controles
de legislacin sobre la recopilacin, el procesamiento y la transmisin de informacin personal identificable
(generalmente la informacin que yace en personas que se pueden identificar a partir de esa informacin). En
funcin de la legislacin nacional correspondiente, dichos controles pueden imponer deberes en aquellas
personas que recopilan, procesan y diseminan informacin personal identificable y tambin pueden restringir
la capacidad de transferir informacin personal identificable a otros pases.
Control
Se deberan utilizar controles criptogrficos en cumplimiento con todos los acuerdos, la legislacin y las
normativas pertinentes.
Se deberan considerar los siguientes elementos para el cumplimiento con los acuerdos, las leyes y
normativas pertinentes:
b) las restricciones sobre la importacin o la exportacin sobre el hardware y software informtico que est
diseado para tener funciones criptogrficas agregadas;
d) mtodos obligatorios o discrecionales de acceso por parte de las autoridades del pas a la informacin
cifrada por hardware o software para proporcionar la confidencialidad del contenido.
Se debera buscar asesora legal para garantizar el cumplimiento con la legislacin y las normativas
pertinentes. Antes de que se mueva la informacin cifrada o los controles criptogrficos a travs de las
fronteras jurisdiccionales, tambin se debera buscar asesora legal.
Objetivo: garantizar que se implementa y opera la seguridad de la informacin de acuerdo a las polticas y
procedimientos organizacionales.
Control
La direccin debera iniciar la revisin independiente. Una revisin independiente es necesaria para asegurar
la idoneidad, adecuacin y efectividad continua del enfoque de la organizacin para administrar la seguridad
de la informacin. La revisin debera incluir la evaluacin de oportunidades de mejora y la necesidad de
cambios en el enfoque de la seguridad, incluidos los objetivos de poltica y control.
Dicha revisin la deberan realizar personas independientes del rea bajo revisin, es decir, la funcin de
auditora interna, un gerente independiente o una organizacin externa que se especialice en dichas
revisiones. Las personas que realizan estas revisiones deberan contar con las habilidades y experiencia
adecuada.
Los resultados de la revisin independiente se deberan registrar e informar a la direccin que inici esta
revisin. Se deberan mantener estos registros.
Otra informacin
ISO/IEC 27007, Guidelines for information security management systems auditing e ISO/IEC TR 27008,
Guidelines for auditors on information security controls tambin brindan orientacin para realizar la revisin
independiente.
Control
Los gerentes deberan revisar regularmente el cumplimiento del procesamiento y los procedimientos de
informacin dentro de su rea de responsabilidad con las polticas, normas y cualquier otro tipo de requisitos
de seguridad correspondientes.
Los gerentes deberan identificar cmo verificar que se cumplen esos requisitos de seguridad de la
informacin definidos en las polticas, normas y otras normativas pertinentes. Se debera considerar la
medicin automtica y herramientas de informes para la revisin regular eficiente.
Si se encuentra cualquier falta de cumplimiento como resultado de la revisin, los gerentes deberan:
d) revisar la accin correctiva tomada para verificar su efectividad e identificar cualquier tipo de deficiencias
y falencias.
Los resultados de las revisiones y acciones correctivas que realizan los gerentes se deberan registrar y se
deberan mantener estos registros. Los gerentes deberan informar los resultados a las personas que realizan
revisiones independientes (ver 18.2.1) cuando se realiza una revisin independiente en el rea de su
responsabilidad.
Otra informacin
Control
Los sistemas de informacin se deberan revisar regularmente para verificar su cumplimiento con las polticas
y normas de seguridad de la informacin de la organizacin.
Cualquier tipo de revisin de cumplimiento tcnico solo deberan realizarlas personas autorizadas
competentes o personas que estn bajo la supervisin de dichas personas.
Otra informacin
Las revisiones de cumplimiento tcnico involucran el anlisis de los sistemas operacionales para asegurarse
de que se han implementado correctamente los controles de hardware y software. Este tipo de revisin de
cumplimiento requiere la experiencia tcnica de un especialista.
Las revisiones de cumplimiento tambin abarcan, por ejemplo, las pruebas de penetracin y las evaluaciones
de vulnerabilidad, que pueden realizarlas expertos independientes que se han contratado especficamente
para este fin. Esto puede ser til para detectar las vulnerabilidades en el sistema y para inspeccionar cuan
eficaces son los controles para evitar el acceso no autorizado debido a estas vulnerabilidades.
Las evaluaciones de pruebas de penetracin y vulnerabilidades brindan una visin global de un sistema en
un estado especfico y en un perodo de tiempo especfico. La visin global se limita a aquellas porciones del
sistema que se prueban durante los intentos de penetracin. Las pruebas de penetracin y las evaluaciones
de vulnerabilidad no son un sustituto para la evaluacin de riesgos.
ISO/IEC TR 27008 brinda una orientacin especfica en cuanto a las revisiones de cumplimiento tcnico.
Anexo A
(informativo)
Bibliografa
[2] ISO/IEC 11770-1 Information technology Security techniques - Key management - Part 1:
Framework.
[3] ISO/IEC 11770-2 Information technology - Security techniques - Key management - Part 2:
Mechanisms using symmetric techniques.
[4] ISO/IEC 11770-3 Information technology - Security techniques - Key management - Part 3:
Mechanisms using asymmetric techniques.
[5] ISO 15489-1 Information and documentation - Records management - Part 1: General.
[6] ISO/IEC 20000-1 Information technology - Service management - Part 1: Service management
system requirements.
[7] ISO/IEC 20000-2 Information technology - Service management - Part 2: Guidance on the
application of service management systems.
[8] ISO 22301 Societal security - Business continuity management systems - Requirements.
[9] ISO 22313 Societal security - Business continuity management systems - Guidance.
[11] ISO/IEC 27005 Information technology - Security techniques - Information security risk
management.
[12] ISO/IEC 27007 Information technology - Security techniques - Guidelines for information
security management systems auditing.
[13] ISO/IEC TR 27008 Information technology - Security techniques - Guidelines for auditors on
information security controls.
[14] ISO/IEC 27031 Information technology - Security techniques - Guidelines for information and
communication technology readiness for business continuity.
[15] ISO/IEC 27033-1 Information technology - Security techniques - Network security - Part 1:
Overview and concepts.
[16] ISO/IEC 27033-2 Information technology - Security techniques - Network security - Part 2:
Guidelines for the design and implementation of network security.
[17] ISO/IEC 27033-3 Information technology - Security techniques - Network security - Part 3: Reference
networking scenarios - Threats, design techniques and control issues.
[18] ISO/IEC 27033-4 Information technology - Security techniques - Network security - Part 4:
Securing communications between networks using security gateways.
[19] ISO/IEC 27033-5 Information technology - Security techniques - Network security - Part 5: Securing
communications across networks using Virtual Private Network (VPNs).
[20] ISO/IEC 27035 Information technology - Security techniques - Information security incident
management.
[21] ISO/IEC 27036-1 Information technology - Security techniques - Information security for supplier
relationships - Part 1: Overview and concepts.
[22] ISO/IEC 27036-2 Information technology - Security techniques - Information security for supplier
relationships - Part 2: Common requirements.
[23] ISO/IEC 27036-3 Information technology - Security techniques - Information security for supplier
relationships - Part 3: Guidelines for ICT supply chain security.
[24] ISO/IEC 27037 Information technology - Security techniques - Guidelines for identification,
collection, acquisition and preservation of digital evidence.
[26] ISO/IEC 29101 Information technology - Security techniques - Privacy architecture framework.
La equivalencia de las Normas Internacionales sealadas anteriormente con Norma Chilena, y su grado de
correspondencia es el siguiente:
(conclusin)
ISO 22301 NCh-ISO 22301:2013 La Norma Chilena NCh-ISO 22301:2013 es una
adopcin idntica de la versin en ingls de la Norma
Internacional ISO 22301:2012.
ISO 22313 En estudio
ISO/IEC 27001 NCh-ISO 27001:2013 La Norma Chilena NCh-ISO 27001:2013 es una
adopcin idntica de la versin en ingls de la Norma
Internacional ISO/IEC 27001:2013.
ISO/IEC 27005 NCh-ISO 27005:2009 La Norma Chilena NCh-ISO 27005:2009 es una
adopcin idntica de la versin en ingls de la Norma
Internacional ISO/IEC 27005:2008.
ISO/IEC 27007 NCh-ISO 27007:2012 La Norma Chilena NCh-ISO 27007:2012 es una
adopcin idntica de la versin en ingls de la Norma
Internacional ISO/IEC FDIS 27007:2011.
ISO/IEC TR 27008 No hay -
ISO/IEC 27031 No hay -
ISO/IEC 27033-1 No hay -
ISO/IEC 27033-2 No hay -
ISO/IEC 27033-3 No hay -
ISO/IEC 27033-4 No hay -
ISO/IEC 27033-5 No hay -
ISO/IEC 27035 No hay -
ISO/IEC 27036-1 No hay -
ISO/IEC 27036-2 No hay -
ISO/IEC 27036-3 No hay -
ISO/IEC 27037 No hay -
ISO/IEC 29100 No hay -
ISO/IEC 29101 No hay -
ISO 31000 NCh-ISO 31000:2012 La Norma Chilena NCh-ISO 31000:2012 es una
adopcin idntica de la versin en ingls de la Norma
Internacional ISO 31000:2009.
Anexo B
(informativo)
ICS 35.040