Iso 27002-2009

INTE CTN 27
Fecha: 2009-09-21
INTE ISO IEC 27002:2009

Primera edicin Secretara: INTECO
Tecnologa de la informacin - Cdigo de prcticas para la gestin de la seguridad de la informacin.

CORRESPONDENCIA: La presente norma es equivalente con la norma internacional ISO/IEC
27002:2005 Information technology - Security techniques - Code of Practice for Information Security Management.
ICS: 35.040
Editada e INTECO impresa por
LAS OBSERVACIONES A ESTE DOCUMENTO DIRIGIRLAS A: INSTITUTO DE NORMAS TECNICAS DE COSTA RICA Telfono: (506) 2283 4522 Fax: (506) 2283 4831 Apartado: 10004-1000 Email: info@inteco.or.cr Web: www.inteco.or.cr
1/133
INTECO 2009 Derechos reservados
INTE/ISO/IEC 27002:2009
Contenido
Pagina
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
INTRODUCCIN ..................................................................................................................... 4 OBJETO Y CAMPO DE APLICACIN .................................................................................... 8 TRMINOS Y DEFINICIONES ................................................................................................ 8 ESTRUCTURA DE ESTA NORMA........................................................................................ 10 EVALUACIN TRATAMIENTO DE RIESGOS ..................................................................... 11 POLITICA DE SEGURIDAD .................................................................................................. 13 ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN ........................................... 15 GESTIN DE ACTIVOS ........................................................................................................ 28 SEGURIDAD LIGADA A LOS RECURSOS HUMANOS....................................................... 32 SEGURIDAD FSICA Y DEL AMBIENTE .............................................................................. 40 GESTIN DE COMUNICACIONES Y OPERACIONES ....................................................... 49 CONTROL DE ACCESO ....................................................................................................... 77 ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN...................................................................................................................... 98 GESTIN DE INCIDENTES DE LA SEGURIDAD DE LA INFORMACIN........................ 114 GESTIN DE LA CONTINUIDAD DEL NEGOCIO ............................................................. 119 CUMPLIMIENTO.................................................................................................................. 125 CORRESPONDENCIA ........................................................................................................ 132
Prlogo
El Instituto de Normas Tcnicas de Costa Rica, INTECO, es el organismo nacional de normalizacin, segn la Ley 8279 de 2002. El INTECO es una entidad de carcter privado, sin nimo de lucro, cuya Misin es fundamental para brindar soporte y desarrollo al productor y proteccin al consumidor. Colabora con el sector gubernamental y apoya al sector privado del pas, para lograr ventajas competitivas en los mercados interno y externo. La representacin de todos los sectores involucrados en el proceso de Normalizacin Tcnica est garantizada por los Comits Tcnicos y el periodo de Consulta Pblica, este ltimo caracterizado por la participacin del pblico en general. Esta norma INTE ISO IEC 27002:2009 fue aprobada por la Comisin Nacional de Normalizacin el 2009-09-21. Esta norma est sujeta a ser actualizada permanentemente con el objeto de que responda en todo momento a las necesidades y exigencias actuales. A continuacin se mencionan las organizaciones y personas que colaboraron en el estudio de esta norma a travs de su participacin en el Comit Tcnico Nacional de Tecnologas de Informacin INTE CTN 27: MIEMBRO Randall Alvarez Victor Castillo Mario Castillo Ezequiel Vieto Carlos Bermdez Manuel Cano Carvajal Randall Hernndez Vladimir Carazo Helberth Marin Ronald Cortes Erick Ulate ORGANIZACIN Registro Nacional ITS DELOITTE ICE Ministerio de Hacienda NAP PODER JUDICIAL MEIC CONCORI
0 INTRODUCCIN
0.1 Qu es la seguridad de la informacin?
La informacin es un activo que, como otros activos importantes del negocio, es esencial al negocio de una organizacin y requiere en consecuencia una proteccin adecuada. Esto es especialmente importante en ambientes de negocio cada vez ms interconectados. Como consecuencia de esta creciente interconectividad, la informacin est ahora expuesta a un nmero mayor y a una variedad ms amplia de amenazas y vulnerabilidades (vase tambin OECD - Guidelines for the Security of Information Systems and Networks). La informacin adopta diversas formas. Puede estar impresa o escrita en papel, almacenada electrnicamente, transmitida por correo o por medios electrnicos, mostrada en filmes o hablada en conversacin. Cualquiera sea la forma que tome la informacin o los medios por los que se comparta o almacene, la misma debera ser siempre protegida adecuadamente. La seguridad de la informacin es la proteccin de la informacin contra una amplia gama de amenazas para asegurar la continuidad del negocio, minimizar los riesgos al negocio y maximizar el retorno de las inversiones y las oportunidades de negocio. La seguridad de la informacin se consigue implantando un conjunto adecuado de controles, incluyendo polticas, procesos, procedimientos, estructuras organizativas y funciones de hardware y software. Estos controles deberan ser establecidos, implementados, supervisados, revisados y mejorados cuando fuere necesario para asegurarse de que se cumplen los objetivos especficos de seguridad y de negocio de la organizacin. Esto debera hacerse en forma conjunta con otros procesos de la gestin del negocio.
0.2 Por qu es necesaria la seguridad de la informacin?

La informacin y los procesos de apoyo, los sistemas y las redes son importantes activos del negocio. Definir, alcanzar, mantener y mejorar la seguridad de la informacin puede ser esencial para mantener su competitividad, flujo de caja, rentabilidad, cumplimiento de leyes e imagen comercial. Las organizaciones y sus sistemas y redes de informacin se enfrentan con amenazas de seguridad procedentes de una amplia variedad de fuentes, incluyendo fraudes informticos, espionaje, sabotaje, vandalismo, incendios o inundaciones. Ciertas fuentes de daos como cdigo malicioso y ataques de intrusin o de denegacin de servicios se estn volviendo cada vez ms comunes, ambiciosos y sofisticados. La seguridad de la Informacin es importante tanto para los negocios del sector pblico como privado, y para proteger infraestructuras crticas. En ambos sectores, la seguridad de la informacin funcionar como un habilitador, por .ej. lograr el gobierno digital o el comercio electrnico, y para evitar o reducir riesgos pertinentes. La interconexin de redes pblicas y privadas y el hecho de compartir recursos de informacin aumentan la dificultad de alcanzar el control de acceso. La tendencia hacia la informtica distribuida ha debilitado la eficacia de un control central y especializado. Muchos sistemas de informacin no se han diseado para ser seguros. La seguridad que puede lograrse a travs de los medios tcnicos es limitada, y debera apoyarse en una gestin y unos procedimientos adecuados. La identificacin de los controles que deberan instalarse requiere una planificacin cuidadosa y una atencin al detalle. La gestin de la seguridad de la informacin de la informacin requiere, como mnimo, la participacin de todos los empleados de la organizacin. 4
Tambin puede requerir la participacin de los accionistas, proveedores, terceras partes, clientes u otros externos La asesora especializada de organizaciones externas tambin puede ser necesaria.
0.3 Cmo establecer los requisitos de seguridad?

Es esencial que la organizacin identifique sus requisitos de seguridad. Existen tres fuentes principales. 1. La primera fuente procede de la valoracin de los riesgos de la organizacin. Con ella se identifican las amenazas a los activos, se evala la vulnerabilidad y la probabilidad de su ocurrencia y se estima su posible impacto. 2. La segunda fuente es el conjunto de requisitos legales, reglamentarios, normativos y contractuales que debera satisfacer la organizacin, sus socios comerciales, los contratistas y los proveedores de servicios. 3. La tercera fuente est formada por los principios, objetivos y requisitos que forman parte del procesamiento de la informacin que la organizacin ha desarrollado para apoyar sus operaciones.
0.4 Evaluacin de los riesgos de seguridad

Los requisitos de seguridad se identifican mediante una evaluacin metdica de los riesgos. El gasto en controles debera ser equilibrado con respecto al impacto potencial de las fallas de seguridad en los negocios. Los resultados de esta evaluacin ayudarn a orientar y a determinar una adecuada accin gerencial y las prioridades para gestionar los riesgos de seguridad de la informacin, y la implementacin de los controles seleccionados para proteger contra dichos riesgos. La evaluacin del riesgo debera repetirse peridicamente para tratar cualquier cambio que pudiera influenciar los resultados de la evaluacin del riesgo. Se puede encontrar ms informacin sobre evaluacin de riesgos de seguridad en el apartado 4.1 Evaluacin de riesgos de seguridad.
0.5 Seleccin de controles

Una vez que los requisitos y los riesgos de seguridad han sido identificados y se han tomado las decisiones para el tratamiento de riesgos, deberan elegirse e implantarse los controles apropiados que aseguren la reduccin de los riesgos a un nivel aceptable. Los controles pueden elegirse de esta norma o de otro conjunto de controles, o nuevos controles pueden disearse para cubrir adecuadamente necesidades especficas. La seleccin de los controles de seguridad depende de una decisin organizacional basada en los criterios para la aceptacin del riesgo, las opciones para el tratamiento del riesgo, y el acercamiento a la gestin general del riesgo aplicado a la organizacin, y debera tambin estar conforme a toda la legislacin y regulaciones nacionales e internacionales pertinentes. Algunos de los controles en esta norma pueden considerarse como principios rectores para la gestin de la seguridad de la informacin de la informacin, aplicables a la mayora de las organizaciones. Se explican ms detalladamente en el siguiente apartado bajo el ttulo "Punto de partida de la seguridad de la informacin de la informacin". 5
Ms informacin sobre seleccionar controles y otras opciones del tratamiento del riesgo se puede encontrar en el apartado 4.2 "Tratando riesgos de seguridad".
0.6 Punto de partida de la seguridad de la informacin

Un cierto nmero de controles pueden ser considerados como un buen punto de partida para implementar la seguridad de la informacin. Estos estn basados en requisitos legislativos esenciales o que se consideran prctica habitual de la seguridad de la informacin de la informacin. Los controles que se consideran esenciales para una organizacin desde un punto de vista legislativo comprenden, dependiendo de la legislacin aplicable: a) la proteccin de los datos y la privacidad de la informacin de carcter personal (vase el apartado 15.1.4) b) la proteccin de los registros de la organizacin ((vase el apartado 15.1.3) c) los derechos de la propiedad intelectual (vase el apartado 15.1.2) Los controles que se consideran prctica habitual para conseguir la seguridad de la informacin, comprenden: a) la documentacin de la poltica de seguridad de la informacin (vase el apartado 5.1.1) b) la asignacin de responsabilidades de seguridad (vase el apartado 6.1.3) c) la toma de conciencia, formacin y capacitacin en seguridad de la informacin (vase el apartado 8.2.2) d) el correcto procesamiento de las aplicaciones (vase el apartado 12.2) e) la gestin de la vulnerabilidad tcnica (vase el apartado 12.6) f) la gestin de la continuidad del negocio (vase el captulo 14)
g) la gestin de incidentes de seguridad de la informacin y mejoramiento (vase el apartado 13.2) Estos controles pueden aplicarse a la mayora de las organizaciones y en la mayora de los ambientes. Se debera sealar que pese a la importancia dada a los controles en este documento, la importancia de cualquier control debera determinarse a la luz de los riesgos especficos que afronta la organizacin. Por tanto y aunque el enfoque anterior se considere un buen punto de partida, no sustituye a la seleccin de controles basada en una evaluacin del riesgo.
0.7 Factores crticos de xito

La experiencia muestra que los siguientes factores suelen ser crticos para el xito de la implementacin de la seguridad de la informacin de la informacin en una organizacin: a) una poltica de seguridad, objetivos y actividades que reflejen los objetivos del negocio de la organizacin; b) un enfoque y marco de referencia para implantar, mantener, dar seguimiento y mejorar la 6
seguridad de la informacin que sea consistente con la cultura de la organizacin; c) el apoyo visible y el compromiso de todos los niveles de la direccin; d) una buena comprensin de los requisitos de la seguridad de la informacin, de la evaluacin del riesgo y de la gestin del riesgo; e) un mercadeo eficaz de la seguridad de la informacin a todos los directivos, empleados y otras partes, para alcanzar la toma de conciencia; f) la distribucin de directrices sobre la poltica de seguridad de la informacin de la organizacin y de normas a todos los empleados y otras partes;
g) proveer recursos para las actividades de gestin de seguridad de la informacin; h) proveer la toma de conciencia, la formacin y educacin apropiadas; i) j)
1)
establecer un proceso eficaz de gestin de incidentes de seguridad de la informacin implementar un sistema de medicin1) que sea utilizado para evaluar el desempeo de la gestin de seguridad de la informacin y las sugerencias de mejoras.
Notar que las mediciones de seguridad de la informacin estn fuera del alcance de esta norma
0.8 Desarrollo de guas propias

Este cdigo de buenas prcticas puede verse como punto de partida para desarrollar guas especficas de la organizacin. Pueden no ser aplicables todas las guas y controles de este cdigo. Incluso pueden requerirse controles y guas adicionales que esta norma no incluye. Cuando ser desarrollados documentos que contengan controles y guas adicionales, puede ser til, cuando sea aplicable, mantener referencias cruzadas a los apartados de esta norma que faciliten la realizacin de pruebas de cumplimiento a los auditores y socios del negocio.
Tecnologa de la informacin - Cdigo de prcticas para la gestin de la seguridad de la informacin

1 OBJETO Y CAMPO DE APLICACIN
Esta Norma Internacional establece guas y principios generales para iniciar, implantar, mantener y mejorar la gestin de la seguridad de la informacin en una organizacin. Los objetivos sealados en esta norma internacional proporcionan orientaciones generales sobre las metas comnmente aceptadas para la gestin de la seguridad de la informacin Los objetivos de control y los controles de esta norma internacional estn pensados para ser implementados a fin de alcanzar los requisitos identificados por una evaluacin del riesgo. Esta norma internacional puede servir como gua prctica para desarrollar normas de seguridad de la organizacin y una prctica eficaz de la gestin de la misma, as como ayudar a construir confianza en las actividades entre organizaciones.
TRMINOS Y DEFINICIONES
A los efectos de este documento se aplican los siguientes trminos y definiciones:
2.1 activo
cualquier cosa que tenga valor para la organizacin
[ISO/IEC 13335-1:2004] 2.2 control

medio de gestionar el riesgo, incluyendo polticas, procedimientos, guas, prcticas o estructuras de la organizacin, que pueden ser de naturaleza administrativa, tcnica, de gestin, o legal.
Nota: Control tambin es usado como sinnimo para salvaguarda o contramedida.
2.3 gua
una descripcin que clarifica qu debera ser hecho y cmo, para alcanzar los objetivos establecidos en las polticas. [ISO/IEC 13335-1:2004]
2.4 recursos de procesamiento de la informacin

todo sistema de procesamiento de la informacin, servicio o infraestructura, o las localizaciones fsicas que los contienen.
INTE/ISO/IEC 27002:2009 2.5 seguridad de la informacin

preservacin de la confidencialidad, integridad y disponibilidad de la informacin; adems pueden tambin estar implicadas otras caractersticas, tales como autenticidad, rendicin de cuentas, no repudio, y confiabilidad.
2.6 evento de seguridad de la informacin

un evento de seguridad de la informacin es una ocurrencia identificada de un estado de un sistema, servicio o red que indica una posible violacin de la poltica de seguridad de la informacin o la falla de salvaguardas, o una situacin previamente desconocida que pueda ser pertinente para la seguridad. [INTE ISO/IEC TR 18044]
2.7 incidente de seguridad de la informacin

un incidente de seguridad de la informacin es indicado por un nico o una serie de eventos indeseados o inesperados de seguridad de la informacin que tienen una probabilidad significativa de comprometer las operaciones de negocio y de amenazar la seguridad de la informacin.
[ISO/IEC TR 18044:2004] 2.8 poltica

intencin y direccin general expresada formalmente por la direccin.
2.9 riesgo
combinacin de la probabilidad de un acontecimiento y su consecuencia
2.10 anlisis de riesgos

uso sistemtico de la informacin para identificar fuentes y estimar el riesgo. [Gua ISO/IEC 73:2002]
2.11 evaluacin de riesgos

proceso completo de anlisis de riesgos y evaluacin [Gua ISO/IEC 73:2002]
2.12 valoracin de riesgos

proceso de comparacin de riesgos estimados respecto a los criterios de riesgos dados, para determinar la magnitud del riesgo. [Gua ISO/IEC 73:2002]
2.13 gestin de riesgos

coordinacin de actividades para dirigir y controlar una organizacin respecto del riesgo.
Nota: la gestin de riesgos incluye generalmente, evaluacin de riesgos, tratamiento de riesgos, aceptacin de riesgos y comunicacin de riesgos.
[Gua ISO/IEC 73:2002]
2.14 tratamiento de riesgos

proceso de seleccin e implementacin de medidas para modificar el riesgo. [Gua ISO/IEC 73:2002]
2.15 tercera parte

persona u organismo reconocido como independiente de las partes implicadas en lo que se refiere a la materia en cuestin. [Gua ISO/IEC 2:1996]
2.16 amenaza
una causa potencial de un incidente indeseado, que puede dar lugar a daos a un sistema o a una organizacin. [ISO/IEC 13335-1:2004]
2.17 vulnerabilidad
una debilidad de un activo o de un grupo de activos que puede ser explotada por una o ms amenazas.
ESTRUCTURA DE ESTA NORMA
Esta norma contiene 11 captulos de control de la seguridad que en su conjunto contienen un total de 39 categoras principales de seguridad y un captulo introductorio a la evaluacin y tratamiento de riesgos.
3.1 Cpitulos
Cada captulo contiene un nmero de categoras principales de seguridad. Estos once captulos (acompaados por el nmero de categoras principales de seguridad incluidos en cada captulo) son: a) Poltica de Seguridad (1); b) Organizacin de la Seguridad de la Informacin (2); c) Gestin de Activos (2); d) Seguridad de Recursos Humanos (3); e) Seguridad Fsica y del Ambiente (2); f) Gestin de Comunicaciones y Operaciones (10);
g) Control de Acceso (7); 10
h) Adquisicin, Desarrollo y Mantenimiento de los Sistemas de Informacin 6); i) j) Gestin de Incidentes de la Seguridad de la Informacin (2); Gestin de la Continuidad del Negocio (1);
k) Cumplimiento (3).
Nota: el orden de los captulos en esta norma no implica su importancia. Dependiendo de las circunstancias, todos los captulos podran ser importantes, por lo tanto cada organizacin que aplica esta norma debera identificar los captulos aplicables, que tan importantes son y su aplicacin a los procesos individuales del negocio. Todas las listas en esta norma tampoco estn en orden de prioridad a menos que est precisado.
3.2 Categoras principales de seguridad

Cada categora principal de seguridad contiene: a) una indicacin del objetivo de control que debera alcanzarse; y b) uno o ms controles que se pueden aplicar para alcanzar el objetivo de control. La descripcin del control se estructura de la siguiente manera: Control Define la declaracin del control especfico para satisfacer el objetivo de control. Gua de implementacin Proporciona informacin ms detallada para apoyar la implementacin del control y alcanzar el objetivo de control. Alguna de estas orientaciones puede no ser conveniente en todos los casos, por lo que pueden ser ms apropiadas otras maneras de implementar el control. Informacin adicional Proporciona informacin adicional que puede necesitar ser considerada, por ejemplo las consideraciones legales y las referencias a otras normas.
EVALUACIN TRATAMIENTO DE RIESGOS
4.1 Evaluando el riesgo de seguridad

Las evaluaciones de riesgo deben identificar, cuantificar, y priorizar los riesgos contra los criterios para la aceptacin del riesgo y los objetivos pertinentes para la organizacin. Los resultados deben dirigir y determinar la apropiada accin de gestin y las prioridades para gestionar los riesgos de la seguridad de la informacin y para implementar los controles seleccionados como proteccin ante estos riesgos. El proceso de evaluacin de riesgos y de seleccin de controles puede requerir ser realizado repetidas veces de manera de cubrir diversas partes de la organizacin o de los sistemas de informacin individuales. La evaluacin de riesgos debera incluir el enfoque sistemtico para la estimacin de la magnitud de los riesgos (anlisis de riesgos) y el proceso de comparacin de los riesgos estimados contra los criterios de riesgos para determinar la importancia de los mismos (evaluacin de riesgos).
11
Las evaluaciones de riesgos tambin deberan realizarse peridicamente para tratar cambios en los requisitos de la seguridad y en la situacin del riesgo, por ejemplo, en los activos, las amenazas, las vulnerabilidades, los impactos, la valoracin del riesgo, y cuando ocurran cambios significativos. Estas evaluaciones de riesgo se deben emprender de una manera metdica capaz de producir resultados comparables y reproducibles. La evaluacin de riesgo de la seguridad de la informacin debera tener un alcance claramente definido para ser eficaz y debera incluir, si es apropiado, relaciones con evaluaciones de riesgo en otras reas. El alcance de una evaluacin de riesgo puede ser la organizacin en su conjunto, partes de la organizacin, un sistema de informacin individual, componentes especficos del sistema, o servicios donde esto sea factible, realista, y provechoso. Ejemplos de metodologas de evaluacin de riesgo se discuten en la norma ISO/IEC TR 13335-3 (Gua para la gestin de la seguridad de la informacin de TI: Tcnicas para la gestin de la seguridad de la informacin de TI).
4.2
Tratando los riesgos de seguridad
Antes de considerar el tratamiento de un riesgo, la organizacin debera decidir los criterios para determinar si los riesgos pueden ser aceptados o no. Los riesgos pueden ser aceptados si, por ejemplo, se determina que el riesgo es bajo o que el costo del tratamiento no es rentable para la organizacin. Tales decisiones deberan ser registradas. Para cada uno de los riesgos identificados siguiendo la evaluacin de riesgo una decisin sobre el tratamiento del riesgo necesita ser tomada. Las opciones posibles para el tratamiento del riesgo incluyen: a) aplicacin de controles apropiados para reducir los riesgos; b) aceptando riesgos objetivamente y bajo conocimiento, siempre que satisfagan claramente la poltica y los criterios de la organizacin para la aceptacin del riesgo; c) evitando riesgos, no permitiendo las acciones que haran ocurrir los riesgos; d) transfiriendo los riesgos asociados a otras partes, ejemplo aseguradoras o proveedores Para aquellos riesgos donde la decisin del tratamiento del mismo haya sido aplicar controles apropiados, estos deberan seleccionarse e implantarse para alcanzar los requisitos identificados por una evaluacin de riesgo. Los controles deberan asegurar que los riesgos son reducidos a un nivel aceptable teniendo en cuenta: a) requisitos y limitaciones de la legislacin y de las regulaciones nacionales e internacionales; b) objetivos de la organizacin; c) requisitos y limitaciones operacionales; d) costo de la implementacin y de la operacin en lo referente a los riesgos que son reducidos, y el remanente proporcional a los requisitos y a las limitaciones de la organizacin; e) la necesidad de balancear la inversin en la implementacin y la operacin de controles contra el dao probable como resultado de fallas de la seguridad Los controles pueden seleccionarse de esta norma o de otro conjunto de controles, o nuevos controles pueden disearse para resolver las necesidades especficas de la organizacin. Es 12
necesario reconocer que algunos controles pueden no ser aplicables a todos los sistemas de informacin o ambientes, y puede no ser prctico para todas las organizaciones. Como ejemplo, el apartado 10.1.3 describe cmo las tareas pueden segregarse para prevenir fraudes y errores. Puede que en organizaciones ms pequeas no sea posible segregar todas las tareas y pueden ser necesarias otras maneras de alcanzar el mismo objetivo de control. Como otro ejemplo, el apartado 10.10 describe como el uso del sistema puede ser supervisado y las evidencias ser recopiladas. Los controles descritos, por ejemplo, el registro de eventos, pueden estar en conflicto con la legislacin aplicable, tal como la proteccin de la privacidad de los clientes o el registro del lugar de trabajo. Los controles de seguridad de la informacin deberan considerarse en las etapas de especificacin de requisitos y de diseo en sistemas y proyectos. El no hacerlo puede dar lugar a costos adicionales y a soluciones menos eficaces, y quiz, en el peor de los casos, inhabilidad de alcanzar la seguridad adecuada. Se debera tener presente que ningn sistema de controles puede alcanzar la seguridad completa, y que acciones adicionales de gestin deberan implementarse para dar seguimiento, evaluar, y mejorar la eficiencia y la eficacia de los controles de seguridad para apoyar las metas de la organizacin.
POLITICA DE SEGURIDAD
5.1 Poltica de seguridad de la informacin

Objetivo: Proporcionar orientacin y apoyo de la direccin para la seguridad de la informacin, de acuerdo con los requisitos del negocio y con las regulaciones y leyes pertinentes. La direccin debera establecer una orientacin clara de la poltica en lnea con los objetivos de negocio y demostrar su apoyo y compromiso a la seguridad de la informacin, publicando y manteniendo una poltica de seguridad en toda la organizacin. 5.1.1 Documento de poltica de seguridad de la informacin Control La direccin debera aprobar, publicar y comunicar a todos los empleados y a las partes externas pertinentes, un documento con la poltica de seguridad de la informacin. Gua de implementacin El documento con la poltica de seguridad de la informacin debera establecer el compromiso de la direccin y el enfoque de la organizacin para gestionar la seguridad de la informacin. El documento con la poltica debera contener declaraciones respecto de: a) una definicin de la seguridad de la informacin de la informacin, sus objetivos y alcance generales y la importancia de la seguridad de la informacin como mecanismo que permite compartir la informacin (vase el captulo de Introduccin); b) una declaracin de la intencin de la direccin, apoyando los objetivos y principios de la seguridad de la informacin de la informacin alineada con las estrategias y objetivos de negocio; c) un marco para fijar objetivos de control y controles, incluyendo la estructura de la evaluacin del riesgo y gestin del riesgo 13
d) una breve explicacin de las polticas de seguridad, principios, normas y requisitos de cumplimiento de particular importancia para la organizacin, incluyendo: 1) 2) 3) 4) cumplimiento de los requisitos legislativos, reguladores y contractuales; requisitos de educacin, formacin y toma de conciencia en seguridad; gestin de la continuidad del negocio; consecuencias de las violaciones a la poltica de seguridad de la informacin;
e) una definicin de las responsabilidades generales y especficas en materia de gestin de la seguridad de la informacin de la informacin, incluida la comunicacin de los incidentes relativos a la seguridad; f) las referencias a documentacin y procedimientos mucho ms detallados para sistemas de informacin especficos o las reglas de seguridad que los usuarios deberan cumplir.
Esta poltica debera ser comunicada a todos los usuarios de la organizacin de manera pertinente, accesible y comprensible. Informacin adicional La poltica de seguridad de la informacin pudo ser parte del documento con la poltica general. Si la poltica de seguridad de la informacin es distribuida fuera de la organizacin, se debera tomar especial cuidado para no divulgar informacin sensible. Informacin adicional se puede encontrar en la norma ISO/IEC 13335-1:2004. 5.1.2 Revisin de la poltica de seguridad de la informacin Control La poltica de seguridad de la informacin debera revisarse a intervalos planificados, o si se producen cambios significativos, para asegurar su conveniencia, suficiencia, y eficacia continas. Gua de implementacin La poltica de seguridad de la informacin debera tener un propietario con responsabilidad de gestin aprobada para el desarrollo, la revisin, y la evaluacin de la poltica de seguridad. La revisin debera incluir la evaluacin de las oportunidades de mejora de la poltica de seguridad de la informacin de la organizacin y el enfoque a la gestin de la seguridad de la informacin en respuesta a cambios en el ambiente de la organizacin, a las circunstancias del negocio, a las condiciones legales, o al ambiente tcnico. La revisin de la poltica de seguridad de la informacin debera tomar en cuenta los resultados de las revisiones por la direccin. Debera haber procedimientos definidos de la revisin por la direccin, incluyendo un calendario o un perodo para la revisin. Las entradas para la revisin por la direccin deberan incluir informacin sobre: a) retroalimentacin de las partes interesadas; b) resultados de la revisiones independientes (vase el apartado 6.1.8); 14
c) estado de las acciones correctivas y preventivas (vase los apartados 6.1.8 y 15.2.1); d) resultados de las anteriores revisiones por la direccin; e) cumplimiento de la poltica de seguridad de la informacin y del desempeo de procesos; f) cambios que podran afectar el enfoque de la organizacin a la gestin de la seguridad de la informacin de la informacin, incluyendo cambios al ambiente de la organizacin, circunstancias del negocio, disponibilidad de recursos, condiciones contractuales, reguladoras, y legales, o cambios al ambiente tcnico;
g) tendencias relacionadas con las amenazas y las vulnerabilidades; h) incidentes de seguridad de la informacin reportados (vase el apartado 13.1); i) guas proporcionadas por autoridades pertinentes (vase el apartado 6.1.6)
La salida de la revisin por la direccin debera incluir cualquier decisin y accin relacionadas con: a) mejora del enfoque de la organizacin a la gestin de la seguridad de la informacin de la informacin y a sus procesos; b) mejora de los objetivos de control y de los controles; c) mejora en la asignacin de recursos y/o responsabilidades. Debera mantenerse un registro de la revisin por la direccin. Debera obtenerse la aprobacin de la direccin para la poltica revisada.
ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN
6.1 Organizacin interna

Objetivo: Gestionar la seguridad de la informacin dentro de la organizacin. Debera establecerse un marco de gestin para iniciar y controlar la implementacin de la seguridad de la informacin dentro de la organizacin. La direccin debera aprobar la poltica de seguridad de la informacin, asignar roles de seguridad y coordinar y revisar la implementacin de la seguridad a a travs de la organizacin. Si es necesario, una fuente de asesoramiento especializada en seguridad de la informacin debera establecerse y estar disponible dentro de la organizacin. Contactos con especialistas de seguridad o grupos externos a la organizacin, incluyendo autoridades pertinentes, deberan ser desarrollados para mantenerse al da con tendencias de la industria, seguimiento de normas, y mtodos de evaluacin y proveer puntos de enlace adecuados cuando se deban manejar incidentes de seguridad de la informacin. Un enfoque multidisciplinario hacia la seguridad de la informacin debera ser impulsado. 6.1.1 Compromiso de la direccin con la seguridad de la informacin. Control
15
La direccin debera apoyar activamente la seguridad dentro de la organizacin a travs de una orientacin clara, compromiso demostrado, y la asignacin explcita de las responsabilidades de seguridad de la informacin y su reconocimiento. Gua de implementacin La direccin debera: a) asegurarse de que los objetivos de seguridad de la informacin ser identificados, cumplan con los requisitos de la organizacin y estn integrados en los procesos pertinentes; formular, revisar y aprobar la poltica de seguridad de la informacin; revisar la efectividad de la implementacin de la poltica de seguridad; proveer una orientacin clara y apoyo visible hacia las iniciativas de seguridad; proveer los recursos necesarios para la seguridad de la informacin; aprobar la asignacin de los roles especficos y responsabilidades en seguridad de la informacin a lo largo de la organizacin; iniciar planes y programas para mantener la toma de conciencia en seguridad de la informacin; asegurarse de que la implementacin de los controles de seguridad de la informacin es coordinada a lo largo de la organizacin (vase el apartado 6.1.2).
b) c) d) e) f)
g)
h)
La direccin debera identificar la necesidad de asesoramiento especializado en seguridad de la informacin, interno o externo, y revisar y coordinar los resultados de dicho asesoramiento a travs de la organizacin. Dependiendo del tamao de la organizacin, tales responsabilidades podran ser manejadas por un foro dedicado de direccin o por un cuerpo directivo existente, tal como la junta de directores. Informacin adicional Ms informacin se encuentra disponible en la norma ISO/IEC 13335-1:2004 6.1.2 Coordinacin de la seguridad de la informacin. Control Las actividades referentes a la seguridad de la informacin deberan ser coordinadas por representantes de diferentes partes de la organizacin con funciones y roles pertinentes. Gua de implementacin Tpicamente, la coordinacin de la seguridad de la informacin debera involucrar la cooperacin y colaboracin de directores, usuarios, administradores, diseadores de aplicaciones, auditores y personal de seguridad, y especialistas con habilidades en reas tales como seguros, aspectos legales, recursos humanos, TI y gestin de riesgos. Esta actividad debera: 16
a) asegurarse de que las actividades referentes a la seguridad son ejecutadas de acuerdo a la poltica de seguridad de la informacin; identificar como manejar los no cumplimientos; aprobar metodologas y procesos para la seguridad de la informacin, por ejemplo, evaluacin de riesgo, clasificacin de la Informacin; identificar cambios significativos en las amenazas y la exposicin de la informacin y de las instalaciones de procesamiento de la informacin a las amenazas; evaluar la adecuacin y coordinacin de la implementacin de los controles de seguridad de la informacin; promover en forma efectiva la educacin, la formacin y la toma de conciencia en seguridad de la informacin a travs de la organizacin; evaluar la informacin recibida de los seguimientos y revisiones de los incidentes de seguridad de la informacin y las acciones recomendadas en respuesta a los mismos.
b) c)
d)
e)
f)
g)
Si la organizacin no utiliza un grupo multidisciplinario separado, por ejemplo porque dicho grupo no es apropiado dado el tamao de la organizacin, las acciones descriptas ms arriba deberan ser llevadas a cabo por otro cuerpo adecuado de direccin o director individual. 6.1.3 Asignacin de responsabilidades sobre seguridad de la informacin. Control Deberan definirse claramente todas las responsabilidades de seguridad de la informacin. Gua de implementacin La asignacin de las responsabilidades de seguridad de la informacin debera hacerse de acuerdo con la poltica de seguridad de la informacin (vase el captulo 4). Deberan identificarse claramente las responsabilidades para la proteccin de los activos individuales para la ejecucin de los procesos especficos de seguridad. Esta responsabilidad debera ser complementada, donde sea necesario, con una gua ms detallada para sitios e recursos de procesamiento de informacin especficos. Deberan definirse claramente las responsabilidades locales para la proteccin de activos y para llevar a cabo procesos especficos de la seguridad, como por ejemplo, el plan de continuidad del negocio. Individuos con responsabilidades de seguridad asignadas pueden delegar tareas de seguridad a otros. Sin embargo, siguen manteniendo la responsabilidad y deberan poder determinar que cualquier tarea delegada se ha cumplido correctamente. Deberan establecerse claramente las reas de las cuales los individuos son responsables, en particular deberan considerarse las siguientes: a) deberan identificarse y definirse claramente los activos y los procesos de seguridad asociados con cada sistema especfico; debera asignarse la entidad responsable de cada activo o proceso de seguridad y documentar los detalles de dicha responsabilidad (vase el apartado 7.1.2); 17
b)
c) deberan definirse y documentarse claramente los niveles de autorizacin.
Informacin adicional Muchas organizaciones nombran un administrador de seguridad de la informacin para asumir toda la responsabilidad del desarrollo e implementacin de la seguridad y para dar soporte a la identificacin de controles. Sin embargo, la responsabilidad de proporcionar recursos e implementar los controles suele recaer en ciertos directivos. Una prctica habitual consiste en designar un propietario de cada activo de informacin, que se convierte as, en responsable de su seguridad cotidiana. 6.1.4 Proceso de autorizacin para recursos de procesamiento de informacin Control Debera definirse e implementarse un proceso de autorizacin por parte de la direccin para nuevas recursos de procesamiento de informacin. Gua de implementacin Deberan considerarse las siguientes pautas para el proceso de autorizacin : a) las nuevas instalaciones deberan tener una autorizacin de la direccin apropiada para el usuario, autorizando su propsito y uso. Tambin debera obtenerse la autorizacin del directivo responsable del mantenimiento del entorno de seguridad del sistema de informacin local, para asegurar que cumple con todas las polticas y requisitos de seguridad pertinentes. se debera comprobar donde sea necesario, que el hardware y el software ser compatibles con los dems dispositivos del sistema. el uso de recursos para el procesamiento de la informacin personales o privados por ejemplo, computadoras porttiles, computadoras de uso domstico u otros dispositivos porttiles para el procesamiento de la informacin del negocio, puede introducir nuevas vulnerabilidades, por lo que deberan identificarse e implementarse medidas de control necesarias.
b)
c)
6.1.5 Acuerdos de confidencialidad Control Deberan identificarse y revisarse con regularidad los requisitos para los acuerdos de confidencialidad o de no-divulgacin, que reflejan las necesidades de la organizacin para la roteccin de la informacin.
Gua de implementacin Los acuerdos de confidencialidad o de no divulgacin deberan tratar el requisito de proteger la informacin confidencial usando trminos que puedan hacerse cumplir legalmente. Para identificar los requisitos de los acuerdos de confidencialidad y no-divulgacin, deberan considerarse los siguientes elementos: a) una definicin de la informacin a ser protegida (por ejemplo informacin confidencial); 18
b) duracin prevista del acuerdo, incluyendo los casos en que sea necesario mantener la confidencialidad indefinidamente; acciones requeridas cuando termina un acuerdo; acciones requeridas cuando un acuerdo es finalizado; responsabilidades y acciones de los signatarios para evitar la divulgacin no autorizada de la informacin ( necesidad de saber); propiedad de la informacin, secretos comerciales y propiedad intelectual, y cmo esto se relaciona con la proteccin de la informacin confidencial; el uso permitido de la informacin confidencial, y los derechos del signatario para utilizar informacin; el derecho de auditar y de supervisar actividades que involucran informacin confidencial; procesos para la notificacin y reporte de divulgacin no autorizada o brechas de la informacin confidencial; trminos vinculados a la destruccin o devolucin de informacin cuando cesa un acuerdo; y acciones previstas a tomar en caso de ruptura del acuerdo.
c) d)
e)
f)
g) h)
i) j)
Basndose en los requisitos de seguridad de una organizacin, puede ser necesario incorporar otros elementos en los acuerdos de confidencialidad o no-divulgacin. Los acuerdos de confidencialidad y no-divulgacin deberan cumplir con todas las leyes y regulaciones de la jurisdiccin a la cual se aplican (vase el apartado 15.1.1). Los requisitos de los acuerdos de confidencialidad y no-divulgacin deberan ser revisados peridicamente y cuando ocurran cambios que influyan en estos requisitos. Informacin adicional Los acuerdos de confidencialidad y no-divulgacin protegen la informacin de la organizacin e informan a los signatarios de su responsabilidad para proteger, utilizar, y divulgar la informacin de forma responsable y autorizada. Puede haber necesidad por parte de una organizacin de utilizar diversas formas de acuerdos de confidencialidad o no-divulgacin en diferentes circunstancias.
6.1.6 Contacto con autoridades Control Deberan mantenerse contactos apropiados con las autoridades pertinentes. Gua de implementacin
19
Las organizaciones deberan tener procedimientos vigentes que especifiquen cundo y qu autoridades (por ejemplo cumplimiento de leyes, departamento de bomberos, autoridades de supervisin) deben ser contactados, y cmo identificar los incidentes de seguridad de la informacin los cuales deberan ser reportados en tiempo si se sospecha que estn incumpliendo la ley. Las organizaciones que estn siendo atacadas desde Internet pueden necesitar terceras partes externas (proveedores de servicios de Internet u operadores de Telecomunicaciones) para tomar acciones contra la fuente del ataque. Informacin adicional El mantenimiento de dichos contactos puede ser un requerimiento para sustentar la gestin de incidentes de seguridad de la informacin (apartado 13.2) o el proceso de continuidad del negocio y plan de contingencia (Captulo 14). Los contactos con instituciones reguladoras son tambin tiles para anticiparse y prepararse para cambios prximos de la ley o regulaciones, los cuales tienen que ser seguidos por las organizaciones. Los contactos con otras autoridades incluye organizaciones de servicio pblico, servicios de emergencia, salud y seguridad del personal, por ejemplo departamento de bomberos (en relacin con la continuidad del negocio) , proveedores de telecomunicaciones (en relacin con las lneas de ruteo y la disponibilidad), proveedores de agua (en relacin con las instalaciones de refrigeracin para el equipo). 6.1.7 Contacto con grupos de inters especial Control Deberan mantenerse contactos apropiados con los grupos de inters especial u otros foros especializados en seguridad, as como asociaciones de profesionales. Gua de implementacin La participacin en foros o grupos de inters especial debera considerarse un medio para: a) incrementar el conocimiento sobre las mejores prcticas y mantenerse al da con la informacin relevante sobre seguridad de la informacin; b) asegurar que el entendimiento del entorno de seguridad de la informacin es actual y completo; c) recibir advertencias oportunas de alertas, avisos y parches referidos a ataques o vulnerabilidades; d) obtener acceso a asesora especializada sobre seguridad de la informacin; e) compartir e intercambiar informacin sobre nuevas tecnologas, productos, amenazas o vulnerabilidades; f) proveer puntos adecuados de enlace para el manejo de incidentes de seguridad de la informacin (vase el apartado 13.2.1).
Informacin adicional Pueden establecerse acuerdos para compartir la informacin de forma de incrementar la cooperacin y la coordinacin de temas de seguridad. Tales acuerdos deberan identificar los requisitos para la proteccin de informacin sensible. 6.1.8 Revisin independiente de la seguridad de la informacin 20
Control El enfoque de la organizacin hacia la gestin de la seguridad de la informacin y su implementacin (objetivos de control, controles, polticas, procesos y procedimientos para la seguridad de la informacin) debera ser revisado independientemente a intervalos planificados, o cuando ocurran cambios significativos en la implementacin de la seguridad. Gua de implementacin La revisin independiente debera ser iniciada por la direccin. Esta revisin independiente es necesaria para asegurar la eficacia, idoneidad y propiedad del enfoque de la organizacin para la gestin de seguridad de la informacin. La revisin debera incluir la evaluacin de las oportunidades de mejora y la necesidad de cambios en el enfoque de la seguridad, incluyendo la poltica y los objetivos de control. Dicha revisin debera ser realizada por individuos independientes del rea a revisar, por ejemplo por el cargo de auditora interna, un gerente independiente o una organizacin externa especializada en estas revisiones. Los individuos que las llevan a cabo deberan tener la experiencia y habilidades apropiadas. El resultado de la revisin debera ser registrado y reportado a la direccin que inici la revisin. Estos registros deberan ser mantenidos. Si la revisin independiente identificara que el enfoque y la implementacin de la organizacin para la gestin de la seguridad de la informacin son inadecuados o no cumplen con la orientacin declarada en el documento de poltica de seguridad de la informacin (vase el apartado 5.1.1), la direccin debera definir las acciones correctivas. Informacin adicional El rea que los directores deberan revisar regularmente (vase el apartado 15.2.1), tambin puede ser revisada en forma independiente. Las tcnicas de revisin podran incluir entrevistas de la direccin, verificacin de registros o revisin de los documentos de poltica de seguridad. La norma INTE/ISO 19011:2002, Directrices para la auditora de los sistemas de gestin de la calidad y/o ambiental, puede proveer una gua de ayuda para realizar la revisin independiente, incluyendo la definicin e implementacin del programa de revisin. El apartado 15.3 especifica controles pertinentes a la revisin independiente de los sistemas operacionales de informacin y el uso de las herramientas de auditora de sistemas.
6.2 Partes externas

Objetivo: Mantener la seguridad de la informacin de la organizacin y de los recursos de procesamiento de informacin a las que tienen acceso las partes externas, o que son procesadas, comunicadas o gestionadas por stas. La seguridad de la informacin de la organizacin y de los recursos de procesamiento de informacin no debera verse reducida por la introduccin de productos o servicios de externos.
21
Debera controlarse cualquier acceso a los recursos de procesamiento de informacin de la organizacin y el procesamiento y comunicacin de informacin por externos. Cuando el negocio requiera trabajo con externos que pueda implicar acceso a la informacin de la organizacin y a las instalaciones de procesamiento de la informacin, u obtener o proveer un producto o servicio de o para externos, se debera realizar una evaluacin de riesgos para determinar implicaciones sobre la seguridad y los requisitos de control. Estos controles deberan definirse y aceptarse en un acuerdo con las partes externas. 6.2.1 Identificacin de los riegos relacionados con partes externas Control Deberan identificarse los riesgos asociados a la informacin de la organizacin y a las instalaciones de procesamiento de la informacin para los procesos de negocio que involucran partes externas e implementarse controles apropiados antes de otorgar el acceso. Gua de implementacin Cuando exista la necesidad de permitir el acceso a partes externas a los recursos de procesamiento de informacin o a la informacin de la organizacin, debera realizarse una evaluacin de riesgos (vase la captulo 4) para identificar los requisito para los controles especficos. La identificacin de los riesgos relacionados con el acceso de partes externas debera tener en cuenta los siguientes aspectos: a) las instalaciones de procesamiento de la informacin a los cuales requiere acceso la parte externa; b) el tipo de acceso que la parte externa tendr a la informacin y a las instalaciones de procesamiento de la informacin, por ejemplo:
1. 2. 3. 4.
acceso fsico, por ejemplo, las oficinas, salas de computadoras, gabinetes de clasificacin; acceso lgico, por ejemplo, a las bases de datos de la organizacin, sistemas de informacin; conexin de red entre la red de la organizacin y la de la parte externa, por ejemplo, conexin permanente, acceso remoto; cuando el acceso es realizado en el sitio (on-site) o fuera de el (off-site);
c) el valor y la sensibilidad de la informacin involucrada, y la criticidad para las operaciones de negocio; d) los controles necesarios para proteger la informacin que no ha sido prevista que sea accesible por las partes externas; e) el personal de la parte externa involucrada en el manejo de la informacin de la organizacin; f) cmo la organizacin o el personal autorizado para acceder pueden ser identificados, la manera de verificar la autorizacin y cuan seguido es necesario que sea reconfirmada; g) los diferentes medios y controles empleados por la parte externa cuando almacena, procesa, comunica, comparte e intercambia informacin; 22
h) el impacto del acceso denegado a la parte externa cuando lo requiere, y de que la parte externa ingrese o reciba informacin inexacta o engaosa. i) practicas y procedimientos para tratar incidentes de seguridad de la informacin y daos potenciales, al igual que los trminos y condiciones para la continuidad del acceso de la parte externa en el caso de un incidente de seguridad de la informacin; j) requisitos legales y reglamentarios y otras obligaciones contractuales pertinentes a la parte externa que deban ser tenidos en cuenta; k) cmo los intereses de cualquier otra parte involucrado pueden ser afectados por los acuerdos. El acceso de las partes externas a la informacin de la organizacin no debera ser proporcionado hasta que se hayan implementado los controles apropiados y, cuando sea factible, se haya firmado un contrato que defina los trminos y condiciones para la conexin o el acceso y el acuerdo de trabajo. Generalmente, todos los requisitos de seguridad resultantes del trabajo con partes externas, o los controles internos deberan reflejarse en el acuerdo con la parte externa (vase los apartados 6.2.2 y 6.2.3). Debera asegurarse que la parte externa sea consciente de sus obligaciones, y acepte las responsabilidades y deberes involucrados en el acceso, procesamiento, comunicacin o gestin de la informacin de la organizacin y de las instalaciones de procesamiento de la informacin. Informacin adicional La informacin puede ponerse en riesgo por la inadecuada gestin de la seguridad por medio de las partes externas. Deberan identificarse y aplicarse los controles para administrar el acceso de las partes externas a las instalaciones de procesamiento de la informacin. Por ejemplo, si hay una necesidad especial de confidencialidad de la informacin, podran utilizarse acuerdos de no divulgacin. Las organizaciones pueden enfrentar riesgos asociados con los procesos, la gestin y la comunicacin entre las organizaciones si se aplica un alto grado de contratacin externa, o cuando hay varias partes externas involucradas. Los controles de los apartados 6.2.2 y 6.2.3 cubren diferentes acuerdos con partes externas, incluyendo por ejemplo: a) proveedores de servicios, como ser proveedores de servicios de Internet (ISPs), proveedores de red, servicio telefnico, servicios de mantenimiento y soporte; b) servicios de seguridad gestionados; c) clientes; d) contratacin externa de instalaciones y/u operaciones, por ejemplo, sistemas de TI, servicios de recoleccin de datos, operaciones del centro de llamadas; e) consultores de gestin y de negocios, y auditores; f) desarrolladores y proveedores, por ejemplo, de productos de software y de sistemas de TI; g) limpieza, abastecimiento y otros servicios de soporte contratados externamente; h) personal temporal, colocacin de estudiantes y otros cargos de corto plazo ocasionales. 23
Dichos acuerdos pueden ayudar a reducir los riesgos asociados con las partes externas. 6.2.2 Tener en cuenta la seguridad cuando se trata con clientes Control Todos los requisitos de seguridad identificados deberan ser tratados antes de brindarle a los clientes acceso a activos o informacin de la organizacin. Gua de implementacin Los siguientes trminos deberan ser considerados para tratar la seguridad antes de brindarle a los clientes acceso a cualquiera de los activos de la organizacin (dependiendo del tipo y la extensin del acceso brindado, no todos ellos podran aplicarse): a) proteccin de activos, incluyendo: 1. procedimiento para proteger los activos de la organizacin, incluyendo informacin y software, y gestin de las vulnerabilidades conocidas; 2. procedimientos para determinar si se han comprometido en algn momento los activos, por ejemplo, prdida o modificacin de datos; 3. Integridad; 4. restriccin en la copia y la divulg acin de informacin;
b) descripcin del producto y servicio a ser provisto; c) las diferentes razones, requisitos y beneficios del acceso del cliente; d) poltica de control de acceso, que cubra: 1. mtodos de acceso permitido, y de control y uso de identificadores nicos tales como identificacin de usuario (IDs) y contraseas; 2. un proceso de autorizacin para el acceso de los usuarios y los privilegios; 3. una declaracin de que todo acceso que no es explcitamente autorizado est proh ibido; 4. un proceso para revocar los derechos de acceso o interrumpir la conexin entre sistemas;
e) informacin (por ejemplo de detalles personales), incidentes de seguridad de la informacin y brechas de seguridad; f) una descripcin de cada servicio que va a estar disponible; g) el nivel a alcanzar por el servicio y los niveles inaceptables del servicio; h) el derecho al seguimiento, y revocar cualquier actividad relacionada con los activos de la organizacin;
24
i) las responsabilidades respectivas de la organizacin y del cliente; j) responsabilidades respecto a asuntos legales y como se asegura que los requisitos legales son alcanzados, por ejemplo, legislacin de proteccin de datos, especialmente teniendo en cuenta los diferentes sistemas legales de cada nacin si el acuerdo involucra la cooperacin con clientes en otros pases (vase el apartado 15.1); k) derechos de propiedad intelectual (DPI) y asignacin de derechos de autor (vase el apartado 15.1.2) y la proteccin de cualquier trabajo en colaboracin (vase el apartado 6.1.5). Informacin adicional Los requisitos de seguridad relacionados con el acceso del cliente a los activos de la organizacin pueden variar considerablemente dependiendo de las instalaciones de procesamiento de la informacin y de la informacin a los cuales se tiene acceso. Estos requisitos de seguridad pueden tratarse utilizando acuerdos con el cliente, que contengan todos los riesgos identificados y requisitos de seguridad. (vase el apartado 6.2.1). Los acuerdos con las partes externas tambin pueden involucrar a otras partes. Los acuerdos que permitan el acceso de una parte externa deberan incluir permisos para la designacin de otras partes elegibles y las condiciones para su acceso y participacin. 6.2.3 Considerando la seguridad en los acuerdos con terceras partes. Control Los acuerdos con terceras partes que involucren acceso, procesamiento, comunicacin o gestin de la informacin de la organizacin o de las recursos de procesamiento de informacin, o el agregado de productos o servicios a los recursos de procesamiento de informacin deberan cubrir todos los requisitos pertinentes de seguridad. Gua de implementacin El acuerdo debera asegurar que no hay malentendidos entre la organizacin y las terceras partes. Las organizaciones deberan estar satisfechas en cuanto a la indemnidad de las terceras partes. Deberan tenerse en cuenta los siguientes trminos para su inclusin en los acuerdos con el fin de satisfacer los requisitos de seguridad identificados (vase el apartado 6.2.1): a) la poltica de seguridad de la informacin; b) los controles que aseguren la proteccin del activo, incluyendo: 1. procedimientos para proteger los activos de la organizacin, incluyendo informacin, software y hardware; 2. cualquier control y mecanismo de proteccin fsica requerido; 3. control que asegure la proteccin contra software malicioso (vase el apartado 10.4.1); 4. procedimientos para determinar si se han comprometido en algn momento los activos, por ejemplo, perdida o modificacin de informacin, software y hardware; 5. controles que aseguren el retorno o la destruccin de la informacin y los activos al finalizar el 25
acuerdo o en un punto acordado en el tiempo durante la duracin del acuerdo; 6. confidencialidad, integridad, disponibilidad, y cualquier otra propiedad relevante (vase el apartado 2.1.5) de los activos; 7. restricciones a la copia y a la divulgacin de informacin, y uso de acuerdos de confidencialidad (vase el apartado 6.1.5); c) capacitacin de los usuarios y administradores en mtodos, procedimientos y seguridad; d) asegurar la toma de conciencia del usuario sobre responsabilidades y aspectos de la seguridad de la informacin; e) disposicin para la transferencia de personal, cuando sea apropiado; f) responsabilidades respecto a la instalacin y mantenimiento del hardware y software; g) una estructura de reportes clara y formatos de reporte convenidos; h) un proceso claro y especificado para la gestin de cambios; i) polticas de control de acceso, que cubran: 1. las diferentes razones, requisitos y beneficios de la necesidad del acceso por terceras partes; 2. mtodos de acceso permitidos y el control y uso de identificadores nicos, tales como las identificaciones de usuario (IDs) y contraseas; 3. un proceso de autorizacin para el acceso de usuario y los privilegios; 4. el requisito de mantener una lista de individuos autorizados a utilizar los servicios habilitados, y cules son sus derechos y privilegios respecto a dicho uso; 5. una declaracin de que toda autorizacin cuyo acceso no est explicitado est proh ibida; 6. un proceso para la revocacin de derechos de acceso o la interrupcin de la conexin entre sistemas; j) las disposiciones para el reporte, la notificacin y la investigacin de los incidentes de seguridad de la informacin y las brechas de seguridad, as como violaciones de los requisitos establecidos en los acuerdos;
k) una descripcin del productos o servicio a ser provisto, y una descripcin de la informacin a habilitar con su clasificacin de seguridad (vase el apartado 7.2.1); l) el nivel a alcanzar por el servicio y los niveles inaceptables del servicio; m) la definicin de criterios verificables de rendimiento, su seguimiento y reporte; n) el derecho al seguimiento y a revocar cualquier actividad relacionada con los activos de la organizacin; o) el derecho a auditar responsabilidades definidas en el acuerdo, a que dichas auditoras ser realizadas por terceros, y a enumerar los derechos estatutarios de los auditores;
26
p) el establecimiento de un proceso escalable para la resolucin de problemas; q) requisitos de continuidad del servicio, incluyendo medidas de disponibilidad y confiabilidad, en concordancia con las prioridades de negocio de la organizacin; r) las respectivas responsabilidades de las partes en el acuerdo; s) responsabilidades respecto a asuntos legales y como se asegura que los requisitos legales son alcanzados, por ejemplo, legislacin de proteccin de datos, especialmente teniendo en cuenta los diferentes sistemas legales de cada nacin si el acuerdo involucra la cooperacin con clientes en otros pases (vase el apartado 15.1); t) derechos de propiedad intelectual (DPI) y asignacin de derechos de autor (vase el apartado 15.1.2) y la proteccin de cualquier trabajo en colaboracin (vase el apartado 6.1.5); u) participacin de terceros con subcontratistas, y los controles de seguridad que dichos subcontratistas necesitan implementar; v) condiciones para la renegociacin/trmino de acuerdos: 1) debera establecerse un plan de contingencia en caso de que cualquier parte desee terminar la relacin antes de la finalizacin de los acuerdos; 2) renegociacin de los acuerdos si los requisitos de seguridad de la organizacin cambian; 3) documentacin vigente de las listas de activos, licencias, acuerdos o derechos relacionados con ellos. Informacin adicional Los acuerdos pueden variar considerablemente para diferentes organizaciones y entre distintos tipos de terceros. Por lo tanto, debera tenerse cuidado de incluir todos los riesgos identificados y los requisitos de seguridad (vase el apartado 6.2.1) en los acuerdos. Cuando sea necesario, los procedimientos y controles requeridos pueden ser expandidos en el plan de gestin de la seguridad. Si la gestin de la seguridad de la informacin se contrata externamente, los acuerdos deberan considerar cmo las terceras partes garantizarn la seguridad adecuada, tal como lo defini la evaluacin de riesgos, cmo ser mantenida y cmo ser adaptada la seguridad para identificar y tratar los cambios en los riesgos.
Algunas de las diferencias entre la contratacin externa y otras formas de provisin de servicio por terceros incluyen cuestiones de responsabilidad, planificacin de perodos de transicin y potencial interrupcin de operaciones durante ese perodo, acuerdos sobre planificacin de contingencias y las debidas solicitudes de revisin, as como la recoleccin y gestin de informacin de los incidentes de seguridad. Por lo tanto, es importante que la organizacin planifique y gestione la transicin hacia un acuerdo contratado externamente y tenga procesos adecuados establecidos para la gestin de los cambios y la renegociacin / el trmino de acuerdos. Los procedimientos para continuar procesando en el caso en que el tercero se vuelva incapaz de brindar sus servicios deberan considerase en el acuerdo para evitar cualquier demora en la disposicin de los servicios de reemplazo.
27
Los acuerdos con terceros tambin pueden involucrar a otras partes. Los acuerdos que permitan el acceso de terceros deberan incluir permisos para la designacin de otras partes y las condiciones para su acceso y participacin. Generalmente los acuerdos son desarrollados en primer trmino por la organizacin. Puede haber ocasiones en algunas circunstancias donde un acuerdo puede ser desarrollado e impuesto sobre una organizacin por un tercero. La organizacin necesita asegurarse que su propia seguridad no es impactada innecesariamente por los requisitos del tercero estipulados en los acuerdos impuestos.
GESTIN DE ACTIVOS
7.1 Responsabilidad sobre los activos

Objetivo: Implementar y mantener una adecuada proteccin sobre los activos de la organizacin. Todos los activos deberan tener un responsable y debera asignarse un propietario a cada uno de ellos Deberan identificarse los propietarios para todos los activos y se debera asignar la responsabilidad del mantenimiento de los controles apropiados. La implementacin de controles especficos sobre un activo podra ser delegada por su propietario pero ste contina manteniendo la responsabilidad por la proteccin del mismo. 7.1.1 Inventario de activos Control Todos los activos deberan ser claramente identificados y debera realizarse y mantenerse un inventario de los activos importantes. Gua de implementacin La organizacin debera identificar todos sus activos y documentar la importancia de ellos. El inventario de activos debera incluir toda la informacin necesaria en caso de tener que recuperar el activo luego de un desastre. Esto incluye tipo de activo, formato, localizacin, informacin del respaldo, informacin de licencias y el valor para el negocio. Este inventario no debera duplicar innecesariamente otros inventarios, pero debera garantizarse que el contenido est alineado. Asimismo, la propiedad (vase el apartado 7.1.2) y la clasificacin (vase el apartado 7.2) de la informacin debera ser acordada y documentada para cada uno de los activos. Deberan definirse niveles de proteccin acordes a la importancia del activo, su valor para el negocio y su clasificacin en relacin a la seguridad. (Ms informacin de cmo valorar los activos para representar su importancia puede ser encontrada en la norma ISO/IEC TR 13335-3). Informacin adicional Existen muchos tipos de activos, incluyendo: a) informacin: archivos y bases de datos, contratos y acuerdos, documentacin de sistemas, informacin de investigaciones, manuales de usuario, material de formacin, procedimientos operativos o de soporte, planes de continuidad del negocio, procedimientos de vuelta atrs, pistas de auditora e informacin archivada; b) activos de software: software de aplicacin, software de sistemas, herramientas de desarrollo y 28
utilitarios; c) activos fsicos: computadoras, equipos de comunicaciones, medios removibles y otros equipos; d) servicios: servicios de procesamiento y comunicaciones, servicios generales por ejemplo: calefaccin, iluminacin, suministro de energa y aire acondicionado; e) f) recursos humanos, y su calificacin, habilidades y experiencia; intangibles, tales como reputacin e imagen de la organizacin.
Los inventarios de activos ayudan a garantizar que se logra la proteccin eficaz de los activos pero tambin pueden ser requeridos para otros propsitos del negocio, como por ejemplo por razones de salud y seguridad, financieras o de seguros (gestin de activos). El proceso de compilar un inventario de activos es un prerequisito importante de la gestin de riesgos (vase tambin el captulo 4). 7.1.2 Propiedad de los activos Control Toda la informacin y los activos asociados con las instalaciones de procesamiento de la informacin deberan pertenecer a un propietario2) designado por la organizacin.
2)
El trmino propietario identifica un individuo o entidad que ha probado habilidades de gestin para controlar la produccin, desarrollo, mantenimiento, uso y seguridad de un activo. El trmino propietario no significa que la persona tiene efectivamente derechos de propiedad sobre el activo.
Gua de implementacin El propietario de un activo debera ser responsable de: a) asegurar que la informacin y los activos asociados con las instalaciones de procesamiento de la informacin son clasificados en forma apropiada; b) definir y revisar peridicamente restricciones y clasificacin del acceso al activo teniendo en cuenta las polticas aplicables de control de acceso.
La propiedad puede ser asignada a: a) a un procesos de negocio; b) a un conjuntos definido de actividades; c) a una aplicacin; d) a un conjunto definido de datos. Informacin adicional
29
Las tareas rutinarias pueden ser delegadas, por ejemplo, a un guardia que vigile el activo diariamente, pero la responsabilidad continua siendo del propietario En sistemas de informacin complejos puede resultar til designar un grupo de activos, los cuales actan en forma conjunta para proveer una funcin particular como un servicio. En este caso el propietario del servicio es responsable por la entrega del mismo, incluido el funcionamiento de los activos que lo proveen. 7.1.3 Uso aceptable de los activos Control Deberan ser identificadas, documentadas e implementadas reglas para el uso aceptable de la informacin y de los activos asociados con las instalaciones de procesamiento de la informacin. Gua de implementacin Todos los empleados, contratistas, y usuarios de terceras partes deberan seguir las reglas para el uso aceptable de la informacin y de los activos asociados con las instalaciones de procesamiento de la informacin, incluyendo:
a) reglas para el uso del correo electrnico e Internet (vase el apartado 10.8); b) directrices para el uso de dispositivos mviles, especialmente para el uso fuera del la
organizacin (vase el apartado 11.7.1). El director correspondiente debera suministrar las reglas o directrices especficas. Los empleados, contratistas y usuarios de terceras partes que utilicen o tengan acceso a los activos de la organizacin deberan estar conscientes de los lmites que existen para el uso de la informacin y de los activos de la organizacin asociados con los recursos de procesamiento de informacin, as como de los recursos. Deberan responsabilizarse del uso que hagan de los recursos de procesamiento de informacin y de cualquier uso efectuado bajo su responsabilidad.
7.2 Clasificacin de la informacin
Objetivo: Asegurar que la informacin recibe el nivel de proteccin adecuado. La informacin debera clasificarse para indicar la necesidad, prioridades y grado de proteccin esperado en el manejo de la misma. La informacin tiene grados variables de sensibilidad y criticidad .Algunos elementos de informacin pueden requerir un nivel adicional de proteccin o un manejo especial. Debera utilizarse un sistema de clasificacin de la informacin para definir un conjunto de niveles de 30
proteccin adecuados, y comunicar la necesidad de medidas especiales de manejo. 7.2.1 Directrices de clasificacin Control La informacin debera clasificarse en trminos de su valor, requisitos legales, sensibilidad y criticidad para la organizacin.
Gua de implementacin La clasificacin de informacin y otros controles de proteccin asociados deberan tener en cuenta que el negocio necesita compartir o restringir la informacin, as como los impactos en el negocio asociados a esas necesidades. Las directrices de clasificacin deberan incluir convenciones para la clasificacin inicial y reclasificacin a lo largo del tiempo, de acuerdo con polticas predeterminadas de control de acceso (vase el apartado 11.1.1). Debera ser responsabilidad del propietario del activo (vase el apartado 7.2.1) definir la clasificacin del activo, revisarla peridicamente y asegurarse de que est actualizada y en el nivel apropiado. La clasificacin debera tener en cuenta el efecto de acumulacin mencionado en el apartado 10.7.2 Debera considerarse el nmero de categoras de clasificacin y los beneficios obtenidos con su uso. Los esquemas demasiado complejos pueden volverse engorrosos y de uso costoso o no ser prcticos. Debera interpretarse cuidadosamente las etiquetas de clasificacin que aparezcan en documentos de otras organizaciones que pueden tener distintas definiciones para etiquetas iguales o similares. Informacin adicional El nivel de proteccin se evala mediante el anlisis de confidencialidad, integridad y disponibilidad y otros requisitos relativos a la informacin considerada. La informacin suele dejar de tener importancia o criticidad tras cierto tiempo, por ejemplo, Cuando se ha hecho pblica. Estos aspectos deberan considerarse, puesto que una sobreclasificacin puede llevar a una implementacin innecesaria de controles resultando en un gasto adicional. Cuando se asignan niveles de clasificacin, la consideracin de documentos con similares requisitos de seguridad en forma conjunta facilita la tarea de clasificacin. En general, la clasificacin dada a la informacin constituye una forma prctica de determinar la manera que la informacin debera ser tratada y protegida. 7.2.2 Etiquetado y manejo de la informacin Control Debera desarrollarse e implementarse un conjunto apropiado de procedimientos para el etiquetado y manejo de la informacin de acuerdo al esquema de clasificacin adoptado por la organizacin.
31
Gua de implementacin Los procedimientos para el etiquetado de la informacin han de cubrir los activos de informacin en formato fsico y electrnico. La salida procedente de los sistemas que traten informacin clasificada como sensible o crtica debera llevar una etiqueta de clasificacin adecuada (en la salida). El etiquetado debera reflejar la clasificacin de acuerdo con las reglas establecidas en el apartado 7.2.1. Los elementos a considerar incluyen informes impresos, presentaciones en pantalla, medios de almacenamiento (cintas, discos, CDs), mensajes electrnicos y transferencias de archivos. Para cada nivel de clasificacin deberan definirse procedimientos para el manejo de la informacin, incluyendo procedimientos seguros de, almacenamiento, transmisin, desclasificacin y destruccin. Esto debera incluir los procedimientos para la cadena de custodia y el registro de cualquier evento pertinente de seguridad. Los acuerdos con otras organizaciones que impliquen compartir informacin deberan incluir procedimientos para identificar la clasificacin de dicha informacin y para interpretar las etiquetas de clasificacin de otras organizaciones. Informacin adicional El etiquetado y manejo seguro de la informacin es un requisito clave para acuerdos que impliquen compartir informacin. Las etiquetas fsicas suelen ser la forma ms comn de etiquetado. Sin embargo, ciertos activos de informacin, como los documentos en formato electrnico no pueden marcarse fsicamente y hay que usar medios electrnicos de marcado, por ejemplo, desplegando marcas de notificacin en la pantalla. En donde el marcado no es posible, pueden aplicarse otras maneras para la clasificacin, por ejemplo, por la va de procedimientos o meta-data.
SEGURIDAD LIGADA A LOS RECURSOS HUMANOS
8.1 Previo al empleo3)

Objetivo: Asegurar que los empleados, contratistas y usuarios de terceras partes entiendan sus responsabilidades, y que ser aptos para los roles para los cuales estn siendo considerados, y para reducir el riesgo de hurto, fraude o mal uso de los recursos de procesamiento de informacin. Las responsabilidades de seguridad deberan ser tratadas en descripciones de puesto adecuadas y en trminos y condiciones del empleo antes de contratar al personal. Todos los candidatos para el empleo, contratistas y usuarios de terceras partes deberan ser seleccionados adecuadamente, especialmente para tareas sensibles. Usuarios de recursos de procesamiento de informacin, ya sea empleados, contratistas y de terceras partes deberan firmar un acuerdo sobre sus roles y responsabilidades de seguridad. 8.1.1 Roles y responsabiidades Control Los roles y responsabilidades de seguridad de empleados, contratistas y de usuarios de terceras partes deberan ser definidos y documentados de acuerdo con la poltica de seguridad de la informacin de la organizacin. 32
Gua de implementacin Los roles y responsabilidades de seguridad deberan incluir la exigencia de: a) implementar y actuar de acuerdo con las polticas de seguridad de la informacin de la organizacin (vase apartado 5.1); b) proteger los activos de accesos no autorizados, divulgacin, modificacin, destruccin o interferencia; c) ejecutar procesos o actividades particulares de seguridad; d) asegurar que la responsabilidad sea asignada al individuo por acciones tomadas; e) reportar eventos de seguridad o eventos potenciales u otros riesgos de seguridad para la organizacin. Los roles y responsabilidades de seguridad deberan ser definidos y claramente comunicados a los candidatos al puesto durante el proceso de pre-empleo. Informacin adicional Las descripciones de puesto pueden ser usadas para documentar roles y responsabilidades de seguridad. Los roles y responsabilidades de seguridad para individuos no involucrados va el proceso de empleo de la organizacin, por ejemplo involucrados va una organizacin de terceras partes, deberan tambin ser claramente definidos y comunicados. 8.1.2 Seleccin Control Debera realizarse la verificacin de antecedentes de todos los candidatos al empleo, contratistas, y usuarios de terceras partes, de acuerdo con las leyes pertinentes, regulaciones y normas ticas y en proporcin a los requisitos del negocio, la clasificacin de la informacin a ser accedida, y los riesgos percibidos.
La palabra "empleo" se utiliza aqu para cubrir todas las siguieentes situaciones diferentes: empleo de personas (temporales o a largo plazo), nombramiento de roles de trabajo, cambio de roles de trabajo, asignaciones de contratistas, y la terminacin de cualquiera de estos acuerdos.
3)
Gua de implementacin Los chequeos de verificacin deberan tener en cuenta toda la legislacin pertinente sobre privacidad, proteccin de datos personales y/o relativa al empleo, y debera, donde sea permitido, incluir lo siguiente: a) disponibilidad de referencias satisfactorias, por ejemplo una de negocios y una personal; b) una comprobacin (completa y exacta) del currculum vitae del postulante; c) confirmacin de las calificaciones acadmicas y profesionales declaradas; d) comprobacin independiente de identidad (pasaporte o documento similar); e) comprobaciones ms detalladas, tales como verificacin de crdito o antecedentes penales. 33
Cuando una tarea, tanto en un nombramiento inicial o en un ascenso, involucre que la persona tenga acceso a recursos de procesamiento de informacin, y en particular si stas estn manejando informacin sensible, por ejemplo informacin financiera o altamente confidencial, la organizacin debera tambin considerar comprobaciones adicionales ms detalladas. Los procedimientos deberan definir criterios y limitaciones para comprobaciones de verificacin, por ejemplo, quin es elegible para seleccionar personal, y cmo, cundo y por qu se han de realizar las comprobaciones de verificacin. Debera tambin realizarse un proceso de seleccin para contratistas, y usuarios de terceras partes. Cuando los contratistas ser provistos a travs de un tercero, el contrato con este debera especificar claramente sus responsabilidades para la seleccin y los procedimientos de notificacin que ellos necesitan seguir si la seleccin no ha sido completada o si los resultados ocasionan duda o preocupacin. De la misma manera, el acuerdo con terceras partes (vase tambin el apartado 6.2.3) debera especificar claramente todas las responsabilidades y procedimientos de notificacin para seleccin. Debera recopilarse la informacin de todos los candidatos a ser considerados para posiciones dentro de la organizacin y debera ser manejada de acuerdo con la legislacin apropiada existente en la jurisdiccin pertinente. Dependiendo de la legislacin aplicable, los candidatos deberan ser informados con antelacin sobre las actividades de seleccin. 8.1.3 Trminos y condiciones de empleo Control Como parte de su obligacin contractual, los empleados, contratistas y usuarios de terceras partes deberan acordar y firmar las responsabilidades de ellos y de la organizacin para la seguridad de la informacin. Gua de implementacin Los trminos y condiciones de empleo deberan reflejar la poltica de seguridad de la organizacin, adems de aclarar y enunciar: a) que todos los empleados, contratistas y usuarios de terceras partes a los cuales se le de acceso a informacin sensible deberan firmar un acuerdo de confidencialidad o de nodivulgacin previamente a ser otorgado el acceso a las recursos de procesamiento de informacin; las responsabilidades y derechos legales de empleados, contratistas y todo otro usuario, como por ejemplo relativas a derechos de autor o legislacin de proteccin de datos (vase tambin los apartados 15.1.1 y 15.1.2); responsabilidades para la clasificacin de informacin y gestin de activos de la organizacin asociados a sistemas y servicios de informacin manejados por el empleado, el contratista o el usuario de terceras partes (vase tambin los apartados 7.2.1 y 10.7.3); responsabilidades del empleado, contratista o usuario de terceras partes por el manejo de informacin recibida de otras organizaciones o partes externas; responsabilidades de la organizacin para el manejo de informacin personal, incluyendo informacin personal creada como resultado o durante el contrato laboral con la organizacin (vase tambin el apartado 15.1.4); 34
b)
c)
d)
e)
f) responsabilidades que se extiendan fuera de las instalaciones de la organizacin y fuera del horario normal de trabajo, por ejemplo en el caso de trabajo en el domicilio (vase tambin los apartados 9.2.5 y 11.7.1); acciones a ser tomadas si el empleado, contratista o usuario de terceras partes desatiende los requisitos de seguridad de la organizacin (vase tambin el apartado 8.2.3).
g)
La organizacin debera asegurar que los empleados, contratistas y usuarios de terceras partes estn de acuerdo con los trminos y condiciones concernientes a la seguridad de la informacin, segn la naturaleza y extensin de acceso que tendrn a los activos de la organizacin asociados con los sistemas de informacin y servicios. Cuando sea apropiado, las responsabilidades contenidas dentro de los trminos y condiciones de empleo deberan continuar por un perodo definido luego de la finalizacin del empleo (vase tambin el apartado 8.3). Informacin adicional Se puede usar un cdigo de conducta para cubrir las responsabilidades de los empleados, contratistas y usuarios de terceras partes referentes a confidencialidad, proteccin de datos, normas ticas, uso apropiado de los equipos y recursos de procesamiento de informacin de la organizacin, adems de prcticas honestas esperadas por la organizacin. Los usuarios contratistas o de terceras partes pueden estar asociados con una organizacin externa que a su vez puede requerir ingresar en acuerdos contractuales en nombre del individuo contratado.
8.2 Durante el empleo

Objetivo: Asegurar que los empleados, contratistas y usuarios de terceras partes ser conscientes de las amenazas y la pertinencia de la seguridad de la informacin, de sus responsabilidades y obligaciones, y estn equipados para sustentar la poltica de seguridad de la organizacin en el curso de su trabajo normal, y para reducir el riesgo de errores humanos. Las responsabilidades de la direccin deberan ser definidas para asegurar que la seguridad se aplica a lo largo del empleo de un individuo dentro de una organizacin. Debera proveerse a todos los empleados, contratistas y usuarios de terceras partes un nivel adecuado de toma de conciencia, educacin, y formacin en procedimientos de seguridad y en el uso correcto de los recursos de procesamiento de informacin, para minimizar los posibles riesgos de seguridad. Debera establecerse un proceso disciplinario formal para manejar brechas de seguridad. 8.2.1 Responsabiidades de la direccin Control La direccin debera requerir a los empleados, contratistas y usuarios de terceras partes que apliquen la seguridad de acuerdo a las polticas y los procedimientos establecidos por la organizacin. Gua de implementacin Las responsabilidades de la direccin deberan incluir asegurar que los empleados, contratistas y usuarios de terceras partes: 35
a) ser apropiadamente instruidos sobre sus roles y responsabilidades de seguridad antes de que se les otorgue acceso a informacin sensible o a sistemas de informacin; se les proporcione orientaciones para hacer constar las expectativas sobre la seguridad de su rol dentro de la organizacin; ser motivados a cumplir con las polticas de seguridad de la organizacin; logren un nivel de conciencia sobre seguridad pertinentes a sus roles y responsabilidades dentro de la organizacin (vase tambin el apartado 8.2.2); convengan con los trminos y condiciones del empleo, lo cual incluye la poltica de seguridad de la informacin de la organizacin y mtodos apropiados de trabajo; continen teniendo aptitudes y calificaciones apropiadas.
b)
c) d)
e)
f)
Informacin adicional Si los empleados, contratistas y usuarios de terceras partes no son concientizados de sus responsabilidades de seguridad, pueden causar un dao considerable a la organizacin. El personal motivado es probable que sea ms confiable y ocasione menos incidentes de seguridad de la informacin. Una gestin pobre puede causar que el personal se sienta subvaluado resultando en un impacto negativo en la seguridad para la organizacin. Por ejemplo, una gestin pobre puede conducir a negligencias en la seguridad o mal uso potencial de los activos de la organizacin. 8.2.2 Toma de conciencia, educacin y formacin en seguridad de la informacin Control Todos los empleados de la organizacin y, donde sea pertinente, contratistas y usuarios de terceras partes deberan recibir formacin adecuada en toma de conciencia y actualizaciones regulares en polticas y procedimientos organizacionales, pertinentes para su funcin laboral.
Gua de implementacin La formacin en toma de conciencia debera comenzar con un proceso de induccin formal ideado para introducir las polticas y expectativas de la organizacin antes de otorgar acceso a informacin o servicios. La formacin continua debera incluir requisitos de seguridad, responsabilidades legales y controles del negocio, as como tambin formacin sobre el uso correcto de recursos de procesamiento de informacin como por ejemplo procedimiento de autenticacin, uso de paquetes de software e informacin sobre el proceso disciplinario (vase el apartado 8.2.3). Informacin adicional Las actividades de toma de conciencia , educacin y formacin en seguridad deberan ser adecuadas y pertinentes al rol de la persona, responsabilidades y habilidades, y deberan informacin sobre amenazas conocidas, a quin contactar para consejos sobre seguridad
36
adicionales y los canales apropiados para reportar incidentes de seguridad de la informacin (vase tambin el apartado 13.1). La formacin para promover la toma de conciencia tiene como objetivo permitir a los individuos reconocer problemas e incidentes de seguridad de la informacin, y responder de acuerdo a las necesidades de su rol laboral. 8.2.3 Proceso disciplinario Control Debera existir un proceso disciplinario formal para empleados que han perpetrado una violacin a la seguridad. Gua de implementacin El proceso disciplinario no debera comenzar sin una verificacin previa de que la violacin a la seguridad ha ocurrido (vase tambin el apartado 13.2.3 por recoleccin de evidencia). El proceso disciplinario formal debera asegurar un tratamiento correcto y justo para los empleados de los cuales se sospecha que han violado la seguridad. El proceso disciplinario formal debera proveer una respuesta graduada que tome en consideracin factores tales como la naturaleza y gravedad de la violacin y su impacto en el negocio, si es la primera ofensa o una repeticin, si el violador fue apropiadamente formado, legislacin relevante, contratos del negocio y otros factores que se requieran. En casos serios de mal comportamiento el proceso debera permitir remocin instantnea de tareas, derechos de acceso y privilegios, e inmediata escolta fuera del sitio, si es necesario. Informacin adicional El proceso disciplinario debera tambin ser usado como disuasin para prevenir que los empleados, contratistas y usuarios de terceras partes violen las polticas y procedimientos de seguridad organizacionales, y cualquier otra violacin de seguridad.
8.3 Finalizacin o cambio de la relacin laboral o empleo
Objetivo: Asegurar que los empleados, contratistas o usuarios de terceras partes se desvinculen de una organizacin o cambien su relacin laboral de una forma ordenada. Deberan existir responsabilidades para asegurar que la desvinculacin de la organizacin por parte de un empleado, contratista o usuarios de terceras partes sea gestionada, y que sea completada la devolucin de todo equipo y la remocin de todos los derechos de acceso. Los cambios en las responsabilidades y en las relaciones laborales dentro de una organizacin deberan ser gestionados como la finalizacin de la respectiva responsabilidad o relacin laboral en lnea con esta seccin, y toda nueva contratacin debera ser gestionada como se describe en el apartado 8.1.
37
8.3.1 Responsabilidades en la desvinculacin Control Las responsabilidades para realizar la desvinculacin o el cambio de la relacin laboral deberan ser claramente definas y asignadas. Gua de implementacin La comunicacin de las responsabilidades en la desvinculacin debera incluir los requisitos de seguridad y responsabilidades legales en curso y, donde sea apropiado, responsabilidades contenidas dentro de algn acuerdo de confidencialidad (vase 6.1.5), y los trminos y condiciones de empleo (vase el apartado 8.1.3) debera continuar por un perodo de tiempo luego de la desvinculacin del empleado, contratista o usuario de terceras partes. Las responsabilidades y deberes vlidos an luego de la desvinculacin deberan estar contenidas en el contrato del empleado, contratista o usuario de terceras partes. Los cambios en las responsabilidades o en la relacin laboral se deberan manejar de la misma manera que la desvinculacin, y la nueva responsabilidad o relacin laboral debera ser controlada como se describe en 8.1. Informacin adicional La funcin de recursos humanos generalmente es responsable por el proceso completo de desvinculacin laboral y trabaja junto con el supervisor de la persona que egresa para gestionar los aspectos de seguridad de los procedimientos pertinentes. En el caso de un contratista, este proceso de responsabilidad en la finalizacin puede ser llevado a cabo por una agencia responsable por el contratista, y en el caso de otro usuario esto puede ser gestionado por su organizacin. Puede ser necesario informar a los empleados, clientes, contratistas, o usuarios de terceras partes de los cambios en los acuerdos operativos y de personal.
8.3.2 Devolucin de activos Control Todos los empleados, contratistas y usuarios de terceras partes deberan devolver todos los activos pertenecientes a la organizacin que estn en su poder como consecuencia de la finalizacin de su relacin laboral, contrato o acuerdo. Gua de implementacin El proceso de desvinculacin deberan ser formalizado para incluir la devolucin de todo software, documentos corporativos, y equipo proporcionados previamente. Otros activos organizacionales tales como dispositivos mviles de computacin, tarjetas de crdito, tarjetas de acceso, software, manuales, e informacin almacenada en medios electrnicos tambin deberan ser devueltos.
38
En casos en que el empleado, contratista o usuario de terceras partes compra el equipo de la organizacin o utilice su equipo personal, deberan seguir procedimientos para asegurar que toda informacin relevante sea transferida a la organizacin y eliminada de forma confiable del equipo (vase tambin el apartado 10.7.1). En casos en que el empleado, contratista o usuario de terceras partes tiene un conocimiento que es importante para las operaciones en curso, esa informacin debera ser documentada y transferida a la organizacin. 8.3.3 Remocin de derechos de acceso Control Los derechos de acceso de todo empleado, contratista o usuario de terceras partes a informacin e instalaciones de procesamiento de informacin deberan ser removidos como consecuencia de la desvinculacin de su empleo, contrato o acuerdo, o ajustado cuando cambia. Gua de implementacin Cuando ocurre la desvinculacin, los derechos de acceso de un individuo a activos asociados con sistemas y servicios de informacin deberan ser reconsiderados. Esto determinar si es necesario remover los derechos de acceso. Los cambios en la relacin laboral deberan ser reflejados en la remocin de todos los derechos de acceso que no fueron aprobados para el nuevo puesto. Los derechos de acceso que ser removidos o adaptados deberan incluir acceso fsico y lgico, claves, tarjetas de identificacin, instalaciones de procesamiento de informacin (vase tambin el apartado 11.2.4), suscripciones, y remocin de toda documentacin que los identifique como un miembro actual de la organizacin. Si el empleado, contratista o usuario de terceras partes conoce contraseas de claves que permanecen activas, estas deberan ser cambiadas al momento de la desvinculacin o cambio de cargo, contrato o acuerdo. Los derechos de acceso a activos de informacin e instalaciones de procesamiento de informacin deberan ser reducidos o removidos antes de que el empleo termine o cambie, dependiendo de la evaluacin de los factores de riesgo tales como: a) si la desvinculacin o cambio es iniciado por el empleado, contratista o usuario de terceras partes, o por la direccin y la razn de la desvinculacin; b) las responsabilidades actuales del empleado, contratista o cualquier otro usuario; c) el valor de los activos accesibles actualmente. Informacin adicional En ciertas circunstancias los derechos de acceso pueden ser asignados sobre la base de estar disponibles a ms personas que la persona que egresa, contratista o usuario de terceras partes, por ejemplo IDs de grupo. En tal circunstancia, los individuos que egresan deberan ser removidos de toda lista de acceso de grupo y se deberan realizar acuerdos para recomendar a todos los otros empleados, contratistas y usuarios de terceras partes involucrados, que no compartan ms la informacin con la persona que egresa. En casos que la desvinculacin sea iniciada por la direccin, los empleados, contratistas o usuarios de terceras partes contrariados pueden deliberadamente daar informacin o sabotear equipo de procesamiento de informacin. En casos de personas que renuncian, podran estar tentados a recoger informacin para uso futuro.
39
SEGURIDAD FSICA Y DEL AMBIENTE
9.1 reas Seguras

Objetivo: Evitar accesos fsicos no autorizados, daos e interferencias contra las instalaciones y la informacin de la organizacin. Las instalaciones de procesamiento de informacin crtica o sensible de la organizacin deberan estar ubicadas en reas seguras y resguardadas por un permetro de seguridad definido, con barreras de seguridad y controles de acceso apropiados. Deberan estar fsicamente protegidas contra accesos no autorizados, daos e interferencias. La proteccin provista debera ser proporcional a los riesgos identificados.
9.1.1 Permetro de seguridad fsica Control Se debera utilizar permetros de seguridad (barreras tales como paredes, puertas de entrada controladas por tarjeta o recepcionista) para proteger las reas que contienen informacin e instalaciones de procesamiento de informacin. Gua de implementacin Se debera considerar e implementar las siguientes directrices sobre el permetro de seguridad fsica, segn corresponda: a) el permetro de seguridad est claramente definido, la ubicacin y la resistencia de cada uno de los permetros dependan de los requisitos de la seguridad de los activos dentro del permetro y de los resultados de una evaluacin de riesgos;
b) el permetro de un edificio o un lugar que contenga instalaciones de procesamiento de informacin debera tener solidez fsica (por ejemplo no debera tener zonas que puedan derribarse fcilmente); los muros externos del lugar deberan ser slidos y todas las puertas exteriores deberan estar convenientemente protegidas contra accesos no autorizados, mediante mecanismos de control, por ejemplo, barreras, alarmas, cerraduras, etc, puertas y ventanas deberan ser bloqueadas cuando se encuentren descuidadas y se debera considerar proteccin externa para las ventanas, particularmente en niveles bajos; c) debera existir un rea de recepcin atendida por personal u otros medios de control de acceso fsico al rea o edificio; dicho acceso se debera restringir slo al personal autorizado; d) donde sea aplicable, se debera construir barreras fsicas para evitar el acceso fsico no autorizado y la contaminacin del entorno; e) todas las puertas contra incendios del permetro de seguridad deberan tener alarma, ser supervisadas y probadas conjuntamente con las paredes para establecer el nivel requerido de resistencia de acuerdo a las normas regionales, nacionales, e internacionales apropiadas; deben funcionar de acuerdo con las disposiciones locales de proteccin contra el fuego de modo de garantizar la seguridad;
40
f) se debera instalar sistemas adecuados de deteccin de intrusos, segn las normas nacionales, regionales o internacionales y probarse regularmente para cubrir todas las puertas externas y ventanas accesibles; las reas vacantes deberan ser protegidas por alarmas siempre; tambin debera proporcionarse proteccin para otras reas, por ejemplo, sala de computadoras o cuartos de comunicaciones;
g) las instalaciones de procesamiento de informacin gestionadas por la organizacin se deberan separar fsicamente de aquellas gestionadas por terceras partes. Informacin adicional La proteccin fsica puede ser alcanzada creando una o ms barreras fsicas alrededor de las instalaciones de la organizacin y de procesamiento de la informacin. El uso de mltiples barreras brinda proteccin adicional, mientras que la falta de una barrera no significa que la seguridad se vea comprometida inmediatamente. Un rea segura puede ser una oficina bloqueada, o varios cuartos rodeados por una barrera fsica continua interna de seguridad. Las barreras adicionales y los permetros para controlar el acceso fsico pueden ser necesarios entre reas con diferentes requisitos de seguridad dentro del permetro de seguridad. Se debera tener consideraciones especiales de seguridad de acceso fsico en los edificios donde funcionan mltiples organizaciones. 9.1.2 Controles de acceso fsico Controles Las reas de seguridad deberan estar protegidas por controles de entrada adecuados que aseguren el acceso slo al personal autorizado. Gua de implementacin Se debera considerar las siguientes directrices: a. la fecha y hora de entrada y salida de visitantes ser registradas, y todos los visitantes ser supervisados a menos que su acceso se haya aprobado previamente; el acceso sea concedido slo para propsitos especificados y autorizados, proporcionndoles instrucciones sobre los requisitos de seguridad del rea y los procedimientos de emergencia; b. el acceso a las reas donde se procesa o se almacena la informacin sensible debera ser controlado y restringido slo a las personas autorizadas; se debera usar controles de autenticacin, por ejemplo, tarjetas con nmero de identificacin personal (PIN), para autorizar y validar el acceso; debera mantenerse una pista auditable de todos los accesos, con las debidas medidas de seguridad; c. para todos los empleados, contratistas y usuarios de terceras partes as como para todos los visitantes se debera requerir el uso de algn tipo de identificacin visible y se debera notificar inmediatamente al personal de seguridad si encuentran a visitantes no acompaados y a cualquier persona que no lleve la identificacin visible;
d. se debera conceder acceso restringido al personal de soporte de terceras partes a las reas seguras o a las instalaciones sensibles de procesamiento de la informacin slo cuando sea requerido; este acceso debera ser autorizado y supervisado; 41
e. los derechos de acceso a las reas seguras ser regularmente revisados y actualizados, y revocados cuando sea necesario (vase el apartado 8.3.3).
9.1.3 Seguridad de oficinas, despachos e instalaciones Control Se debera disear y aplicar la seguridad fsica para oficinas, despachos e instalaciones. Gua de implementacin Se debera considerar las siguientes directrices para asegurar oficinas, despachos, e instalaciones: a. se debera tomar en cuenta las regulaciones y normativas pertinentes en materia de salud y seguridad; b. Las instalaciones claves se deberan situar de manera de evitar el acceso pblico; c. Los edificios deberan ser discretos y dar el mnimo indicio de su propsito, cuando sea posible, sin dar muestras obvias, fuera o dentro del edificio, que identifiquen la presencia de las actividades de procesamiento de la informacin;
d. Los directorios y libros de telfonos internos que identifican ubicaciones de instalaciones sensibles de procesamiento de la informacin no deberan ser fcilmente accesibles por el pblico.
9.1.4 Proteccin contra amenazas externas y del ambiente Control Se debera disear y aplicar medios de proteccin fsica contra daos por incendio, inundacin, terremoto, explosin, disturbios civiles, y otras formas de desastre natural o artificial. Gua de implementacin Se debera tomar en consideracin cualquier amenaza de seguridad presentada por las instalaciones vecinas, por ejemplo, un incendio en un edificio vecino, agua proveniente de la azotea o en pisos a niveles subterrneos o una explosin en la calle. Se debera considerar las siguientes directrices para evitar daos ocasionados por incendios, inundaciones, terremotos, explosiones, disturbios civiles, y por otras formas de desastre natural o artificial: a) Los materiales peligrosos o combustibles deberan ser almacenados a una distancia prudente de un rea segura. Los suministros a granel tales como los materiales de oficina no deben almacenarse dentro de un rea segura; b) El equipo de reserva y los medios de respaldo deberan ser localizados a una distancia prudente para evitar daos producto de un desastre que afecten al emplazamiento principal; c) se debera proporcionar y colocar convenientemente el equipo apropiado de lucha contra incendios. 42
9.1.5 El trabajo en las reas seguras Control Se debera disear y aplicar la proteccin fsica y las directrices para trabajar en reas seguras. Gua de implementacin Se debera considerar las siguientes directrices: a) El personal slo debera conocer la existencia de un rea segura, o de sus actividades, si lo necesitara para su trabajo. b) Se debera evitar el trabajo no supervisado en reas seguras tanto por motivos de seguridad como para evitar ocasiones de actividades maliciosas. c) Las reas seguras desocupadas deberan estar cerradas y controladas peridicamente. d) No se debera permitir la presencia de equipos de fotografa, video, audio u otras formas de registro, salvo autorizacin expresa. Los acuerdos para trabajar en reas seguras incluyen controles para los empleados, los contratistas y los usuarios de terceras partes que trabajan en el rea segura, as como otras actividades de terceros que ocurren all. 9.1.6 reas de acceso pblico, de entrega y de carga Control Los puntos de acceso tales como reas de entrega y de cargamento y otros puntos donde las personas no autorizadas puedan acceder a las instalaciones deberan ser controladas, y si es posible, aisladas de instalaciones de procesamiento de la informacin para evitar el acceso no autorizado. Gua de implementacin Se debera considerar las siguientes directrices: a) se debera restringir el acceso al rea de depsito desde el exterior nicamente al personal autorizado e identificado; b) El rea se debera disear para que los suministros puedan descargarse sin que el personal de depsito tenga acceso a otras zonas del edificio; c) La puerta externa del rea debera estar cerrada cuando la interna est abierta; d) El material entrante debera ser inspeccionado para evitar posibles amenazas (vase el apartado 9.2.1d)) antes de llevarlo a su lugar de utilizacin; e) El material entrante debera ser registrado de acuerdo con el procedimiento de gestin de activos (vase el apartado 7.1) al entrar en el lugar. f) cuando sea posible, los envos entrantes y salientes deberan ser segregados fsicamente.
9.2 Seguridad del equipo 43
Objetivo: Prevenir prdidas, daos, hurtos o comprometer los activos as como la interrupcin de las actividades de la organizacin. Es conveniente que el equipo sea protegido contra las amenazas fsicas y ambientales. Es necesaria la proteccin del equipo (incluyendo aquel utilizado fuera del local y la eliminacin de la propiedad) para reducir el riesgo de accesos no autorizados a la informacin y para protegerlo contra prdidas o daos. Esto tambin El material entrante debera considerar la ubicacin y la disposicin del equipo. Se pueden requerir controles especiales para proteger contra amenazas fsicas, y para salvaguardar las instalaciones de soporte, tales como el suministro elctrico y la infraestructura de cableado. 9.2.1 Ubicacin y proteccin del equipo Control El equipo debera ser ubicado o ser protegido para reducir los riesgos ocasionados por amenazas y peligros ambientales, y oportunidades de acceso no autorizado. Gua de implementacin Se debera considerar las siguientes directrices para proteger el equipo: a) El equipo se debera situar de manera de minimizar el acceso innecesario a las reas de trabajo; b) Las instalaciones de procesamiento de la informacin que manejan datos sensibles debera ser colocadas y su ngulo de visin restringido para reducir el riesgo de que la informacin sea vista por personas no autorizadas durante su uso, y las instalaciones de almacenamiento aseguradas para evitar el acceso no autorizado; c) los elementos que requieran proteccin especial deben aislarse para reducir el nivel general de proteccin requerida; d) se debera adoptar controles para reducir al mnimo el riesgo de amenazas fsicas potenciales, por ejemplo hurto, fuego, explosivos, humo, inundaciones (o falta de suministro de agua), polvo, vibraciones, efectos qumicos, interferencias en el suministro elctrico, interferencia de las comunicaciones, radiacin electromagntica, y vandalismo; e) se debera establecer pautas para comer, beber, y fumar en proximidad de las instalaciones de procesamiento de la informacin; f) Las condiciones ambientales, tales como temperatura y humedad, debera ser supervisadas para verificar que las mismas no afectan negativamente el funcionamiento de las instalaciones de procesamiento de la informacin;
g) se debera colocar pararrayos sobre todos los edificios y se debera aplicar filtros de proteccin contra rayos a todas las lneas entrantes de energa y de comunicaciones; h) se debera considerar el uso de mtodos de proteccin especial, como las cubiertas de teclados, para el equipo ubicado en ambientes industriales; i) se debera proteger el equipo que procese informacin sensible para reducir al mnimo el riesgo de fuga de informacin debido a filtraciones. 44
9.2.2 Elementos de soporte Control Se debera proteger el equipo contra posibles fallas en el suministro de energa y otras interrupciones causados por fallas en elementos de soporte. Gua de implementacin Todos los elementos de soporte, tales como electricidad, abastecimiento de agua, aguas residuales, calefaccin/ventilacin, y aire acondicionado deberan ser adecuados para los sistemas que estn apoyando. Los elementos de soporte deberan ser examinados regularmente y probados adecuadamente de manera de asegurar su funcionamiento apropiado y reducir cualquier riesgo de mal funcionamiento o falla. Se debera proveer un suministro elctrico apropiado conforme con las especificaciones del fabricante del equipo. Se debera contar con una fuente de energa ininterrumpida (UPS) para asegurar el correcto apagado o el funcionamiento continuo del equipo que soporta las operaciones crticas del negocio. Los planes de contingencia energticos deberan contemplar las acciones a tomar en caso de falla de la UPS. Se debera tener en cuenta el empleo de un generador de reserva si el procesamiento ha de continuar en caso de una falla prolongada en el suministro elctrico. Se debera disponer de un adecuado suministro de combustible para asegurarse que el generador pueda funcionar por un perodo prolongado. Los equipos de UPS y los generadores se deberan inspeccionar regularmente para asegurar que tienen la capacidad requerida y probarlos de acuerdo con las directrices del fabricante. Adems, se debera considerar el uso de fuentes de energa mltiples o, si el sitio es grande, una subestacin energtica separada.
Los interruptores de emergencia se deberan situar cerca de las salidas de emergencia en las salas donde se encuentra el equipo a fin de facilitar un corte rpido de la energa en caso de producirse una situacin crtica. Se debera proveer de iluminacin de emergencia en caso de producirse una falla en el suministro principal de energa. El suministro de agua debera ser estable y adecuado para abastecer los sistemas de aire acondicionado, de humedad y de supresin del fuego (cuando ser utilizados).
El mal funcionamiento del sistema de abastecimiento de agua puede daar el equipo o evitar que la supresin del fuego acte con eficacia. Si es requerido se debera evaluar e instalar un sistema de alarma para detectar un mal funcionamiento en los elementos de soporte. El equipo de telecomunicaciones debera ser conectado con el proveedor al menos a travs de dos rutas distintas para prevenir fallas en el servicio de una de las rutas de conexin imposibilitando los servicios de voz. Los servicios de voz se deberan adecuar para alcanzar los requisitos legales locales para comunicaciones de emergencia. Informacin adicional Como opcin para alcanzar la continuidad en el suministro energtico se pueden incluir redes mltiples de alimentacin a fin de evitar un nico punto de falla en el suministro. 9.2.3 Seguridad en el cableado Control
45
Se debera proteger contra interceptacin o daos el cableado de energa y de telecomunicaciones que transporta datos o brinda soporte a servicios de informacin. Gua para la implementacin Se debera considerar las siguientes directrices para la seguridad en el cableado: a) Las lneas de energa y telecomunicaciones en instalaciones de procesamiento de la informacin deberan ser subterrneas, siempre que sea posible, o sujetas a una adecuada proteccin alternativa; b) El cableado de red debera estar protegido contra interceptacin no autorizada o dao, por ejemplo, mediante el uso de conductos o evitando trayectos que atraviesen reas pblicas; c) Los cables de energa deberan estar separados de los cables de comunicaciones para evitar interferencias; d) se debera utilizar marcas claramente identificables en cables y equipo para reducir al mnimo los errores de manejo, tales como conexiones accidentales errneas de los cables de red; e) se debera utilizar una lista documentada de las conexiones para reducir la posibilidad de errores; f) para sistemas sensibles o crticos, los siguientes controles adicionales deben ser considerados: 1) instalacin de conductos blindados y recintos o cajas con cerradura en los puntos terminales y de inspeccin; 2) uso de rutas y/o medios de transmisin alternativos que proporcionen una adecuada seguridad; 3) uso de cableado de fibra ptica; 4) uso de escudos electromagnticos para proteger los cables; 5) iniciar barridos tcnicos e inspecciones fsicas contra dispositivos no autorizados conectados a los cables; 6) acceso controlado a los paneles de conexin y a las salas de cable.
9.2.4 Mantenimiento del equipo Control El equipo debera tener un mantenimiento adecuado para asegurar su continua disponibilidad e integridad. Gua de implementacin Se debera considerar las siguientes directrices para el mantenimiento del equipo: a) El equipo se debera mantener de acuerdo a las directrices de intervalos y especificaciones de servicio del proveedor; b) Slo el personal de mantenimiento debidamente autorizado debera realizar reparaciones y mantenimiento a los equipos; 46
c) se debera mantener registros de todos los fallos, reales o sospechados, as como de todo el mantenimiento preventivo y correctivo; d) se debera implementar controles apropiados cuando el equipo sea dispuesto para mantenimiento, considerando si este mantenimiento es realizado por personal interno o externo a la organizacin; cuando sea necesario, se debera remover la informacin sensible del equipo o el personal de mantenimiento debera ser suficientemente transparente; e) se debera cumplir con todos los requisitos impuestos por plizas de seguros.
9.2.5 Seguridad del equipo fuera de las instalaciones de la organizacin Control Se debera asegurar todo el equipo fuera de los locales de la organizacin, teniendo en cuenta los diferentes riesgos de trabajar fuera de las instalaciones de la organizacin. Gua de implementacin El uso de equipo destinado al procesamiento de informacin, fuera de las instalaciones de la organizacin, debera ser autorizado por la direccin, sin importar quien sea su propietario. Se debera considerar las siguientes directrices para la proteccin del equipo fuera de los locales de la organizacin: a) Los equipos y soportes que contengan datos con informacin y ser sacados de su entorno habitual no se deberan dejar desatendidos en sitios pblicos; siempre que sea posible, las computadoras porttiles, cuando se viaja, se deberan transportar como equipaje de mano y de forma disimulada; b) se debera observar siempre las instrucciones del fabricante para proteger los equipos, por ejemplo, contra exposiciones a campos electromagnticos intensos; c) Los controles para el trabajo en el domicilio se deberan determinar mediante una evaluacin de los riesgos y se deberan aplicar los controles convenientes segn sea apropiado, por ejemplo, gabinetes para archivos con cerradura, una poltica de escritorios limpios, controles de acceso a las computadoras y comunicaciones seguras con la oficina (vase tambin la norma ISO/IEC 18028, Network Security); d) se debera cubrir con un seguro adecuado los equipos fuera de su lugar de trabajo. Los riesgos de seguridad, por ejemplo, de dao, robo y escucha, pueden variar mucho segn la ubicacin y esto se debera tener en cuenta al determinar los controles ms apropiados. Informacin adicional El equipo de almacenamiento y procesamiento de la informacin comprende todo tipo de computadoras personales, organizadores, telfonos mviles, tarjetas inteligentes, documentos u otros, que se lleven al domicilio o fuera del lugar habitual de trabajo. Puede encontrarse en el apartado 11.7.1 ms informacin sobre otros aspectos de la proteccin de equipos mviles.
47
9.2.6 Seguridad en la reutilizacin o eliminacin de equipos Control Todo aquel equipo que contenga medios de almacenamiento se debera revisar para asegurarse de que todos los datos sensibles y software licenciado se hayan removido o se haya sobrescrito con seguridad antes de su disposicin. Gua de implementacin Los dispositivos de almacenamiento con informacin sensible se debera destruir fsicamente o la informacin debera ser destruida, suprimida o sobrescrita usando tcnicas para hacer la informacin original no recuperable, en lugar de utilizar las funciones de borrado o formateado estndar. Informacin adicional Los dispositivos de almacenamiento daados que contengan datos sensibles pueden requerir una evaluacin de riesgo para determinar si conviene que estos se destruyan fsicamente, antes que ser enviados para su reparacin o desecho. La informacin puede verse comprometida si la reutilizacin o eliminacin de los equipos se realiza de manera descuidada (vase tambin el apartado 10.7.2) 9.2.7 Retiro de bienes Control El equipo, la informacin o el software no se deberan retirar del local de la organizacin sin previa autorizacin. Gua de implementacin Se debera considerar las siguientes recomendaciones: a) no se debera retirar el equipo, la informacin o el software del local de la organizacin sin previa autorizacin; b) se debera identificar claramente aquellos empleados, contratistas y usuarios de terceras partes que tengan autoridad para permitir el retiro de activos fuera de los locales de la organizacin; c) se debera fijar un lmite de tiempo para el equipo retirado y verificar el cumplimiento del retorno; d) cuando sea necesario y procedente, se debera registrar tanto la salida del equipo del local, como el retorno del mismo. Informacin adicional Las instancias de inspeccin, emprendidas para detectar el retiro de bienes no autorizados, se pueden tambin realizar para detectar y prevenir el ingreso no autorizado a las instalaciones, de dispositivos de grabacin, armas, etc., tales instancias de inspeccin se deberan realizar de acuerdo con la legislacin y las regulaciones pertinentes. Los individuos deberan estar en conocimiento de que estas instancias de inspeccin sern llevadas a cabo, y las mismas se deberan realizar solamente con la autorizacin apropiada segn los requisitos legales y reguladores. 48
10
GESTIN DE COMUNICACIONES Y OPERACIONES
10.1 Procedimientos operacionales y responsabilidades

Objetivo: Asegurar la operacin correcta y segura de las instalaciones de procesamiento de informacin. Se debera establecer todas las responsabilidades y los procedimientos para la gestin y operacin de todas las instalaciones de procesamiento de informacin. Esto incluye el desarrollo de procedimientos operativos apropiados. Cuando sea conveniente, se debera implementar la separacin de funciones para reducir el riesgo de uso inadecuado deliberado o negligente del sistema. 10.1.1 Procedimientos documentados de operacin Control Los procedimientos de operacin deberan ser documentados, mantenidos y puestos a disposicin de todos los usuarios que los necesiten. Gua de implementacin Se debera elaborar procedimientos documentados para las actividades del sistema asociadas con las instalaciones de comunicaciones y de procesamiento de informacin, tales como procedimientos de arranque y apagado del computador, respaldo, mantenimiento de equipos, manejo de medios, sala de cmputos, utilizacin de correo, y seguridad.
Dichos procedimientos deberan especificar las instrucciones necesarias para la ejecucin detallada de cada tarea, incluyendo: a) procesamiento y utilizacin de la informacin; b) respaldo (vase el apartado 10.5); c) requisitos programables, incluyendo interdependencias con otros sistemas, tiempos de comienzo y finalizacin de tareas; d) instrucciones para el manejo de errores u otras condiciones excepcionales, que pudieran presentarse durante la ejecucin de la tarea, incluyendo restricciones en el uso de las utilidades de sistema (vase el apartado 11.5.4); e) soporte en caso de inesperadas dificultades operacionales o tcnicas; f) instrucciones para salida de informacin y manejo de medios, tales como la utilizacin de papelera especial o la gestin de salidas confidenciales incluyendo los procedimientos para la disposicin segura de la salida de trabajos fallidos (vase los apartados 10.7.2 y 10.7.3);
g) procedimientos de reinicio y recuperacin del sistema en caso de falla;
49
h) la gestin de las pistas de auditora y de la informacin del registro del sistema (vase el apartado 10.10). Los procedimientos de operacin, y los procedimientos documentados para las actividades del sistema deberan ser tratados como documentos formales y los cambios deberan ser autorizados por la direccin. Cuando sea tcnicamente posible, los sistemas de informacin deberan ser gestionados de forma consistente, usando los mismos procedimientos, herramientas, y utilidades. 10.1.2 Gestin de cambios Control Se debera controlar los cambios en los sistemas e instalaciones de procesamiento de informacin. Gua de implementacin Los sistemas operacionales y el software operacional deberan ser ajustados a un estricto control de gestin de cambios. En particular se debera considerar: a) identificacin y registro de cambios significativos; b) planificacin y pruebas de los cambios; c) evaluacin de los impactos potenciales de tales cambios, incluyendo los impactos en la seguridad; d) procedimiento formal de aprobacin para los cambios propuestos; e) comunicacin de los detalles del cambio a todas las personas involucradas en los mismos; f) procedimientos de reversin, incluyendo procedimientos y responsabilidades para abortar y recuperar los cambios sin xito y de acontecimientos imprevistos.
Se debera establecer las responsabilidades y los procedimientos formales de gestin para asegurar el control satisfactorio de todos los cambios al equipo, software o procedimientos. Cuando se realizan los cambios, se debera conservar un registro de auditora conteniendo toda la informacin relevante. Informacin adicional El control inadecuado de cambios en las instalaciones y los sistemas de procesamiento de la informacin es una causa comn de las fallas del sistema o de la seguridad. Los cambios al ambiente operacional, especialmente al transferir un sistema en desarrollo al estado operacional, pueden afectar la confiabilidad de las aplicaciones (vase tambin el apartado 12.5.1). Los cambios a los sistemas operacionales se deberan realizar solamente cuando existe una razn vlida para el negocio, por ejemplo un aumento en el riesgo al sistema. La actualizacin de los sistemas con las ltimas versiones del sistema operativo o de la aplicacin no siempre favorece el inters del negocio, pues podra introducir ms vulnerabilidades e inestabilidad que la versin vigente. Puede tambin haber una necesidad de capacitacin adicional, costos de licencia, soporte, gastos indirectos de mantenimiento y de administracin, y hardware nuevo, especialmente durante la migracin.
10.1.3 Segregacin de tareas 50
Control Se debera segregar las tareas y las reas de responsabilidad para reducir las oportunidades de modificacin no autorizada o no intencional, o el uso inadecuado de los activos de la organizacin. Gua de implementacin La segregacin de tareas es un mtodo para reducir el riesgo del uso errneo accidental o deliberado del sistema. Se debera verificar que ninguna persona pueda tener acceso, modificar o utilizar activos sin autorizacin o deteccin. La iniciacin de un evento se debera separar de su autorizacin. La posibilidad de un fraude por colusin se debera considerar al disear los controles. Las organizaciones pequeas pueden considerar que este mtodo de control es difcil de lograr, pero el principio se debera aplicar en la medida en que sea posible y practicable. Cuando la segregacin sea difcil, se debera considerar otros controles como la supervisin de las actividades, las pistas de auditora y la supervisin de la gestin. Es importante que la auditora de seguridad permanezca independiente. 10.1.4 Separacin de los recursos para desarrollo, prueba y produccin Control Los recursos para desarrollo, prueba y produccin se deberan separar para reducir los riesgos de acceso no autorizado o los cambios al sistema operacional. Gua de implementacin Se debera identificar el grado de separacin entre los ambientes de desarrollo, prueba y produccin que es necesario para prevenir problemas operativos e implementar los controles adecuados. Los siguientes puntos deberan ser considerados: a) se debera definir y documentar las reglas para transferir el software del ambiente de desarrollo al de produccin; b) el software de desarrollo y el de produccin, si es posible, deberan funcionar en sistemas y procesadores diferentes, y en dominios o directorios distintos; c) los compiladores, editores y otras herramientas de desarrollo o utilidades del sistema no deberan acceder desde los sistemas en produccin, cuando no sea necesario; d) el ambiente del sistema de prueba debera emular el ambiente del sistema operacional tan real como sea posible; e) los usuarios deberan emplear perfiles de usuario diferentes para los sistemas operacionales y prueba, y los mens deberan exhibir los mensajes de identificacin apropiados para reducir el riesgo a errores; f) los datos sensibles no deberan ser utilizados en el ambiente del sistema de prueba (vase el apartado 12.4.2).
Informacin adicional
51
Las actividades de desarrollo y prueba pueden causar serios problemas, por ejemplo modificacin indeseada de archivos o del ambiente del sistema, o fallo del sistema. En este caso, hay una necesidad de mantener un ambiente conocido y estable, en el cual se pueda realizar la prueba significativa y prevenir el inadecuado acceso del desarrollador. Si el personal de desarrollo y de prueba tiene acceso al sistema operacional y a su informacin, puede introducir cdigo no autorizado y no probado o alterar datos operacionales. En algunos sistemas esta capacidad podra ser mal utilizada para realizar fraude, o introducir un cdigo no probado o malicioso, que puede causar problemas operacionales serios. Quienes desarrollan y realizan las pruebas representan una amenaza a la confidencialidad de la informacin operativa. Las actividades de desarrollo y de prueba pueden causar cambios involuntarios al software o a la informacin si comparten el mismo ambiente. Por lo tanto, es conveniente separar los recursos para desarrollo, prueba y produccin para reducir el riesgo de cambio accidental o acceso no autorizado al software operacional o los datos del negocio (vase el apartado 12.4.2 para la proteccin de los datos de prueba).
10.2 Gestin de la entrega del servicio por terceras partes

Objetivo: Implementar y mantener un nivel apropiado de la seguridad de la informacin y la entrega del servicio, acorde con los acuerdos de entrega del servicio por terceras partes. La organizacin debera verificar la implementacin de acuerdos, supervise el cumplimiento de ellos y gestione los cambios para asegurar que los servicios entregados cumplen los requisitos acordados con la tercera parte. 10.2.1 Entrega del servicio Control Se debera asegurar que los controles de seguridad, las definiciones del servicio y los niveles de entrega incluidos en el acuerdo de entrega del servicio por terceras partes son implementados, operados, y mantenidos por las terceras partes.
Gua de implementacin La entrega del servicio por una tercera parte incluya los acuerdos de seguridad, las definiciones del servicio, y los aspectos de la gestin del servicio convenidos. En caso de acuerdos de contratacin externa, la organizacin debera planificar las transiciones necesarias (de informacin, instalaciones de procesamiento de la informacin, y cualquier cosa que necesite ser desplazada) y se debera garantizar el mantenimiento de la seguridad durante el perodo de transicin. La organizacin debera asegurar que la tercera parte conserve una capacidad de servicio suficiente acorde con los planes realizables, diseados para asegurarse de que los niveles convenidos de la continuidad del servicio se mantengan ante fallas del servicio o de desastre (vase el apartado 14.1). 10.2.2 Seguimiento y revisin de los servicios de terceras partes Control Se debera dar seguimiento y revisar regularmente los servicios, informes y registros proporcionados por las terceras partes, y se debera realizar regularmente auditoras.
52
Gua de implementacin El seguimiento y la revisin de los servicios por terceras partes deberan asegurar el cumplimiento de los trminos y condiciones de seguridad de la informacin de los acuerdos, y que los incidentes y los problemas de la seguridad de la informacin estn manejados correctamente. Esto debera implicar una relacin y un proceso de gestin del servicio entre la organizacin y la tercera parte para: a) dar seguimiento a los niveles de desempeo del servicio para comprobar cumplimiento a los acuerdos; b) revisar los informes del servicio producidos por las terceras partes y realizar reuniones de evaluacin segn los requisitos de los acuerdos; c) entregar informacin sobre incidentes de la seguridad de la informacin y revisin de esta informacin por las terceras partes y la organizacin segn los requisitos de los acuerdos y las pautas y procedimientos de soporte; d) revisar pistas de auditora confeccionadas por las terceras partes y registros de los incidentes de seguridad, de los problemas operacionales, de las fallas, y de interrupciones relacionadas con el servicio entregado; e) resolver y gestionar cualquier problema identificado. La responsabilidad de gestionar la relacin con terceras partes debera ser asignada a un individuo o a un equipo designado de gestin del servicio. Adems, la organizacin se debera asegurar de que las terceras partes asignen responsabilidades de verificacin para evaluar la conformidad y hacer cumplir los requisitos de los contratos. Se debera contar con suficientes recursos y habilidades tcnicas para dar seguimiento que los requisitos del contrato (vase el apartado 6.2.3), en particular los requisitos de seguridad de la informacin, se estn cumpliendo. Se debera tomar las acciones adecuadas cuando se observen deficiencias en el servicio de las terceras partes. La organizacin debera mantener suficiente control y seguimiento en todos los aspectos de la seguridad de la informacin sensible o crtica, o de las instalaciones de procesamiento de la informacin accedida, procesadas o gestionadas por terceras partes. La organizacin debera asegurar el control sobre actividades de la seguridad tales como gestin del cambio, identificacin de las vulnerabilidades, y reportes de incidentes y respuestas de la seguridad de la informacin mediante una estructura, formato y proceso claramente definido. Informacin adicional En caso de contratacin externa, es necesario que la organizacin conozca que la mxima responsabilidad por la informacin procesada por una parte contratada externamente sigue siendo de la organizacin. 10.2.3 Gestin de cambios en los servicios de terceras partes Control Los cambios a la prestacin de los servicios, incluyendo mantenimiento y mejora de las polticas existentes de la seguridad de la informacin, procedimientos y controles, se deberan gestionar tomando en cuenta la importancia de los sistemas y procesos de negocio que impliquen una nueva evaluacin de riesgos. Gua de implementacin 53
El proceso de gestin de cambios a un servicio de terceras partes necesita tomar en cuenta: a) cambios realizados por la organizacin para implementar: 1) mejoras a los servicios actuales ofrecidos; 2) desarrollo de nuevos sistemas y aplicaciones; 3) modificaciones o actualizaciones de las polticas y de los procedimientos de la organizacin; 4) nuevos controles para resolver incidentes de la seguridad de la informacin y para mejorar la seguridad; b) cambios en servicios de las terceras partes para implementar: 1) cambios y mejoras en las redes; 2) uso de nuevas tecnologas; 3) adopcin de nuevos productos o versiones; 4) nuevas herramientas y ambientes de desarrollo; 5) cambios a la localizacin fsica de las instalaciones del servicio; 6) cambio de vendedores.
10.3 Planificacin y aceptacin del sistema

Objetivo: Minimizar el riesgo de fallos de los sistemas. Se requiere una planificacin y preparacin anticipada para asegurar la disponibilidad de capacidad y recursos adecuados para el desempeo requerido del sistema. Se debera realizar proyecciones de los requisitos futuros de capacidad para reducir el riesgo de sobrecarga del sistema. Se debera establecer, documentar y probar los requisitos operativos de nuevos sistemas antes de su aprobacin y utilizacin. 10.3.1 Gestin de la capacidad Control Se debera supervisar y adaptar el uso de recursos, as como proyecciones de los futuros requisitos de capacidad para asegurar el desempeo requerido del sistema. Gua de implementacin Para cada actividad nueva y en curso, se debera identificar los requisitos de capacidad. Se debera dar seguimiento y adaptar el sistema para asegurar, y cuando sea necesario, mejorar la disponibilidad y la eficacia de los sistemas. Se debera ejecutar controles exhaustivos para indicar problemas a su debido tiempo. Las proyecciones de los requisitos de capacidad futura deberan 54
tomar en cuenta los nuevos requisitos del negocio y del sistema, as como tendencias actuales y proyectadas en la capacidad de procesamiento de la informacin de la organizacin. Es necesario poner atencin a los recursos cuya adquisicin toma mucho tiempo o requiere costos elevados; por lo tanto los responsables deberan supervisar la utilizacin de los recursos clave del sistema. Se debera identificar tendencias en uso, particularmente en lo referente a las aplicaciones del negocio o herramientas de administracin de sistemas de informacin. Los responsables deberan utilizar esta informacin para identificar y evitar posibles embotellamientos, as como dependencia de personal clave que pudiera presentar una amenaza a la seguridad o a los servicios del sistema, y planificar la accin apropiada. 10.3.2 Aceptacin del sistema Control Se debera establecer criterios de aceptacin para sistemas de informacin nuevos, actualizaciones y nuevas versiones y llevar a cabo las pruebas adecuadas del sistema durante el desarrollo y antes de la aceptacin. Gua de implementacin Los directores deberan asegurar que los requisitos y criterios de aceptacin de los nuevos sistemas estn claramente definidos, acordados, documentados y probados. Los nuevos sistemas de informacin, actualizaciones y nuevas versiones deberan migrar a produccin luego de obtenerse una aceptacin formal. Se debera considerar los siguientes elementos antes de la aceptacin formal: a) requisitos de rendimiento y capacidad de las computadoras; b) procedimientos de recuperacin de errores y reinicio, y planes de contingencia; c) preparacin y prueba de procedimientos operativos de rutina segn las normas definidas; d) conjunto acordado de controles y medidas de seguridad instalados; e) procedimientos manuales efectivos; f) disposiciones de continuidad del negocio. (vase el apartado 14.1);
g) evidencia de que la instalacin del nuevo sistema no producir repercusiones negativas sobre los sistemas existentes, particularmente en los perodos picos de procesamiento, como a fin de mes; h) evidencia de que se ha tenido en cuenta el efecto que tendr el nuevo sistema en la seguridad global de la organizacin; i) j) formacin en la operacin o utilizacin de los sistemas nuevos; facilidad de empleo, y como esto afecta el funcionamiento del usuario y evita el error humano.
Para nuevos desarrollos importantes, se debera consultar al responsable de operaciones y a los usuarios en todas las etapas del proceso de desarrollo para asegurar la eficacia operacional del
55
diseo del sistema propuesto. Se debera realizar pruebas apropiadas para confirmar que se han satisfecho completamente todos los criterios de aceptacin. Informacin adicional La aceptacin puede incluir un proceso formal de certificacin y acreditacin para verificar que los requisitos de la seguridad se han tratado correctamente.
10.4 Proteccin contra cdigo malicioso y cdigo mvil

Objetivo: Proteger la integridad del software y de la informacin. Se requieren ciertas precauciones para prevenir y detectar la introduccin de cdigo malicioso y cdigo mvil no autorizado. El software y las instalaciones de procesamiento de informacin son vulnerables a la introduccin de cdigo malicioso como virus informticos, gusanos de la red, caballos de Troya y bombas lgicas. Los usuarios deberan conocer los peligros que pueden ocasionar el cdigo malicioso y el cdigo mvil no autorizado. Los responsables, cuando sea apropiado, deberan introducir controles para prevenir, detectar y remover el cdigo malicioso y controlar el cdigo mvil. 10.4.1 Controles contra cdigo malicioso Control Se debera implementar controles de deteccin, prevencin y recuperacin para protegerse contra cdigos maliciosos, junto a procedimientos adecuados para concientizar a los usuarios. Gua de implementacin La proteccin contra el cdigo malicioso debera basarse en el empleo de sistemas de deteccin y reparacin, en la conciencia de la seguridad, y en apropiados controles de acceso al sistema y gestin de cambios. Las siguientes directrices deberan ser consideradas: a) establecimiento de una poltica formal que establezca la prohibicin del uso de software no autorizado (vase el apartado 15.1.2); b) establecimiento de una poltica formal de proteccin contra los riesgos asociados a la obtencin de archivos y software por redes externas o cualquier otro medio, indicando las medidas protectoras deben adoptar; c) revisiones regulares del contenido de datos y software que soportan los procesos del negocio; la presencia de archivos no aprobados o arreglos no autorizados deberan ser investigados formalmente; d) la instalacin y actualizacin regular de antivirus para deteccin y reparacin de software que exploren las computadoras y los soportes de forma rutinaria o como un control preventivo; las verificaciones deberan incluir: 1) comprobacin de archivos en medios electrnicos u pticos, y archivos recibidos a travs de redes, para verificar la existencia de cdigo malicioso, antes de su uso; 2) la comprobacin para buscar software malicioso, antes de usarlo, de todo archivo adjunto a un correo electrnico o de toda descarga. Esta comprobacin que se har en distintos lugares, 56
por ejemplo, en los servidores de correo, en las computadoras terminales o a la entrada en la red de la organizacin; 3) comprobacin de pginas web para saber si hay cdigo malicioso; e) definicin de procedimientos y responsabilidades de gestin para la proteccin de los sistemas contra cdigo malicioso, la capacitacin para su uso, la informacin de los ataques de los virus y la recuperacin de stos (vase los apartados 13.1 y 13.2); f) preparacin de planes de continuidad del negocio apropiados para la recuperacin ante los ataques de cdigo malicioso, incluyendo todos los datos y software necesarios de respaldo y las disposiciones para la recuperacin (vase el Captulo 14);
g) implementacin de procedimientos para recoger regularmente la informacin, tal como suscripcin a las listas de correo y/o comprobacin de los sitios web que brindan la informacin sobre nuevo cdigo malicioso; h) implementacin de procedimientos para verificar toda la informacin relativa al software malicioso y asegurarse que los boletines de alerta son precisos e informativos. Los responsables deberan asegurar que se diferencian los cdigos maliciosos reales de los falsos avisos de cdigo malicioso, usando fuentes calificadas, por ejemplo, revistas expertas, sitios de Internet fiables o proveedores de software contra cdigo malicioso. Se debera advertir al personal sobre el problema de los falsos avisos de cdigo malicioso y qu hacer en caso de recibirlos. Informacin adicional El uso de dos o ms productos de software que protegen contra cdigo malicioso a travs del tratamiento de la informacin de diversos vendedores, puede mejorar la eficacia de la proteccin contra el cdigo malicioso. El software para proteger contra cdigo malicioso se puede instalar para obtener actualizaciones automticas de los archivos y los motores de bsqueda a fin de asegurar la actualizacin de la proteccin. Adems, este software se puede instalar en cada escritorio para realizar verificaciones automticas. Se debera tener especial cuidado para protegerse contra la introduccin de cdigo malicioso durante los procedimientos de mantenimiento y de emergencia, evitando que cdigos maliciosos puedan evadir los controles.
10.4.2 Controles contra cdigo mvil Control Donde el uso de cdigo mvil est autorizado, es conveniente que la configuracin asegure que el cdigo mvil autorizado opera de acuerdo con una poltica de seguridad definida, y se debera evitar la ejecucin de cdigo mvil no autorizado. Gua de implementacin Las siguientes acciones deberan ser consideradas para protegerse contra las acciones del cdigo mvil no autorizado: a) ejecucin de cdigo mvil en un entorno lgicamente aislado;
57
b) bloqueo de cualquier utilizacin de cdigo mvil; c) bloqueo de recepcin de cdigo mvil; d) activacin de medidas tcnicas disponibles en sistemas especficos para asegurar el control del cdigo mvil; e) control de recursos disponibles sobre el acceso del cdigo mvil; f) controles criptogrficos para autenticar el cdigo mvil.
Informacin adicional El cdigo mvil es un software que se transfiere de un computador a otro y se ejecuta automticamente y desarrolla una funcin especfica con poca o nula intervencin del usuario. El cdigo mvil est asociado con un nmero de servicios de software intermediador. Adems para asegurar que el cdigo mvil no contiene otro cdigo malicioso, el control del cdigo mvil es esencial para evitar su uso no autorizado o la interrupcin del sistema, red o recursos de la aplicacin y otras brechas de la seguridad de la informacin.
10.5 Respaldo
Objetivo: Mantener la integridad y disponibilidad de la informacin y de las instalaciones de procesamiento de la informacin. Se debera establecer procedimientos de rutina para implementar una poltica y estrategia acordada de respaldo (vase el apartado 14.1) haciendo copias de respaldo de datos y ensayando su oportuna restauracin.
10.5.1 Respaldo de la informacin Control Se deberan hacer regularmente copias de seguridad de la informacin y del software y probarse regularmente acorde con la poltica de respaldo. Gua de implementacin Se debera mantener adecuados recursos de respaldo para asegurar que toda la informacin esencial y el software puedan recuperarse tras un desastre o fallo de los medios. Se debera considerar los siguientes elementos para el respaldo de la informacin: a) se debera definir el nivel necesario de informacin de respaldo; b) se debera producir procedimientos documentados de restauracin y registros exactos y completos de las copias de respaldo,;
58
c) el grado (por ejemplo, respaldo completo o diferencial) y la frecuencia de los respaldos debera reflejar los requisitos del negocio, los requisitos de la seguridad de la informacin implicada, y la importancia de la informacin que permita la operacin continua de la organizacin; d) los respaldos se deberan almacenar en lugar apartado, a una suficiente distancia para la salvaguarda de cualquier dao de un desastre en el sitio principal; e) la informacin de respaldo debera tener un nivel apropiado de proteccin ambiental y fsico (vase el Captulo 9) consistente con las normas aplicadas en el sitio principal; los controles aplicados a los medios en el sitio principal se deberan ampliar para cubrir el sitio de respaldo; f) los medios de respaldo se deberan probar regularmente para asegurarse que pueden ser confiables para el uso cuando ser necesarios;
g) los procedimientos de restauracin deberan ser comprobados regularmente para asegurar que son eficaces y que pueden ser utilizados dentro del tiempo asignado en los procedimientos operacionales para la recuperacin; h) en situaciones donde la confidencialidad es de importancia, los respaldos deberan ser protegidos por medio del cifrado. Las disposiciones de respaldo para los sistemas individuales deberan ser verificadas regularmente para asegurar que cumplen los requisitos de los planes para la continuidad del negocio (vase el Captulo 14). Para los sistemas crticos, las disposiciones de respaldo deberan cubrir toda la informacin, usos, y datos de los sistemas necesarios para recuperar el sistema completo en caso de un desastre. Se debera determinar el periodo de validez para la informacin esencial de la organizacin, y tambin cualquier requisito para las copias de archivo (vase el apartado 15.1.3). Informacin adicional Las disposiciones de respaldo se pueden automatizar para facilitar el respaldo y los procesos de restauracin. Tales soluciones automatizadas deberan ser probadas suficientemente antes de la puesta en prctica y a intervalos regulares.
10.6 Gestin de la seguridad de red

Objetivo: Asegurar la proteccin de la informacin en redes y la proteccin de la infraestructura de soporte. La gestin segura de las redes, las cuales pueden sobrepasar las fronteras de la organizacin, requiere la consideracin cuidadosa del flujo de datos, las implicaciones legales, el seguimiento y la proteccin. Tambin pueden ser necesarios los controles adicionales para proteger la informacin sensible que pasa por las redes pblicas. 10.6.1 Controles de red Control Las redes se deberan gestionar y controlar adecuadamente, para protegerlas contra amenazas, y mantener la seguridad de los sistemas, incluyendo la informacin en trnsito. 59
Gua de implementacin Los administradores de redes deberan implementar los controles y medidas requeridas para conservar la seguridad de los datos en las redes de computadoras, as como la proteccin contra servicios conectados no autorizados. En particular, se debera considerar los siguientes elementos: a) la responsabilidad operativa por las redes se debera separar de las operaciones del computador, segn sea apropiado (vase el apartado 10.1.3); b) se debera establecer responsabilidades y procedimientos para la gestin de los equipos remotos, incluyendo los de las reas de usuarios; c) se debera establecer, controles y medidas especiales para salvaguardar la confidencialidad y la integridad de los datos que circulen a travs de redes pblicas o sobre redes inalmbricas, as como para proteger los sistemas y aplicaciones conectados (vase los apartados 11.4 y 12.3); pueden requerirse tambin controles especiales para mantener la disponibilidad de los servicios de las redes y de las computadoras conectadas; d) se debera utilizar el registro y el seguimiento apropiado para permitir la grabacin de las acciones pertinentes para la seguridad; e) se debera coordinar estrechamente las actividades de gestin tanto para optimizar el servicio al negocio como para asegurar que los controles y medidas se aplican coherentemente en toda la infraestructura de tratamiento de la informacin. Informacin adicional Informacin adicional sobre seguridad de redes puede ser encontrada en la norma ISO/IEC 18028, Information technology - Security techniques - IT network security. 10.6.2 Seguridad de los servicios de red Control Las caractersticas de la seguridad, los niveles del servicio, y los requisitos de la gestin de todos los servicios de red se deberan identificar e incluir en cualquier acuerdo de servicios de red, ya ser servicios provistos externamente o subcontratados. Gua de implementacin La capacidad del proveedor de servicio de red para gestionar los servicios acordados de una manera segura debera establecerse y supervisarse regularmente, y se debera acordar el derecho a auditar. Se debera identificar los acuerdos de seguridad necesarios para servicios particulares, tales como caractersticas de la seguridad, niveles de servicio, y requisitos de gestin. La organizacin debera asegurarse de que los proveedores de servicios de red implementen estas medidas. Informacin adicional Los servicios de red incluyen la provisin de conexiones, los servicios de red privados, y las redes con valor agregado, as como soluciones de seguridad para la red tales como muros de fuegos y sistemas de deteccin de intrusos.
60
Estos servicios pueden abarcar desde el simple ancho de banda no administrado hasta complejas ofertas de soluciones de valor agregado. Las caractersticas de la seguridad de los servicios de red podran ser: a) la tecnologa aplicada para los servicios de seguridad de red, tales como autenticacin, cifrado, y controles de la conexin de red; b) parmetros tcnicos requeridos para la conexin segura con los servicios de red de acuerdo con las reglas de la seguridad y de la conexin de red; c) procedimientos para la utilizacin del servicio de red para restringir el acceso a los servicios o a los usos de red, cuando sea necesario.
10.7 Manejo de los medios

Objetivo: Evitar la divulgacin, la modificacin, la eliminacin o destruccin de los activos y la interrupcin de las actividades del negocio no autorizados. Los medios deberan ser controlados y protegidos fsicamente. Se deberan establecer los procedimientos operativos adecuados para proteger los documentos, medios informticos (discos, cintas, etc.), datos de entrada o salida y documentacin del sistema contra dao, borrado y acceso no autorizado. 10.7.1 Gestin de los medios removibles Control Deberan existir procedimientos implementados para la gestin de los medios removibles. Gua de implementacin Se debera considerar los siguientes controles: a) se debera revocar en forma irrecuperable, cuando no se necesiten ms, los contenidos previos de todo medio reutilizable del que se desprenda la organizacin; b) cuando sea necesario y prctico, se debera requerir autorizacin para liberar medios de la organizacin y se debera registrar las revocaciones para mantener la pista de auditora; c) todos los medios se deberan almacenar a salvo en un entorno seguro, de acuerdo con las especificaciones de los fabricantes; d) la informacin almacenada en medios que necesite estar disponible mayor tiempo que la vida til del medio (de acuerdo con las especificaciones del fabricante) tambin se debera almacenar en otra parte para evitar la prdida de la informacin debido al deterioro del medio; e) se debera considerar el registro de los medios removibles para minimizar la oportunidad de prdida de datos; f) las unidades de medios removibles slo se deberan habilitar si existen razones del negocio para hacerlo.
61
Se debera documentar claramente todos los procedimientos y niveles de autorizacin. Informacin adicional Los medios removibles incluyen cintas, discos, medios de almacenamiento removibles ,CDs, DVDs y medios impresos. 10.7.2 Eliminacin de los medios Control Se debera eliminar los medios de forma segura y sin peligro cuando no se necesiten ms, usando procedimientos formales. Gua de implementacin Los procedimientos formales de eliminacin segura de los medios minimicen el riesgo que personas no autorizadas accedan a informacin sensible.Los procedimientos para la eliminacin segura de los medios que contengan informacin sensible, deberan estar en consonancia con la sensibilidad de esa informacin. Se debera considerar los siguientes elementos: a) los medios que contengan informacin sensible se debera almacenar y eliminar de forma segura, por ejemplo, incinerndolos o triturndolos, o borrando sus datos para evitar el uso en otra aplicacin dentro de la organizacin; b) los procedimientos deberan estar disponibles para identificar los controles que requieren la remocin segura; c) puede ser ms fcil que todos los medios ser recogidos y removidos con seguridad, que intentar separar los elementos sensibles; d) muchas organizaciones ofrecen servicios de recoleccin y eliminacin de papel, equipos y medios; se debera tener especial cuidado en seleccionar un contratista conveniente con controles y experiencia adecuados; e) la disposicin de artculos sensibles se deberan registrar en lo posible para mantener una pista de auditora. Cuando se acumulen medios para su eliminacin, se debera tener en cuenta el efecto proveniente de la acumulacin, el cual puede causar que una gran cantidad de informacin no sensible se torne sensible. Informacin adicional La informacin sensible podra divulgarse con la disposicin inadecuada de medios (vase tambin el apartado 9.2.6 para informacin sobre la eliminacin del equipo). 10.7.3 Procedimientos para el manejo de la informacin Control Se debera establecer procedimientos de utilizacin y almacenamiento de la informacin para protegerla de su mal uso o divulgacin no autorizada. Gua de implementacin 62
Se debera elaborar procedimientos de manejo, procesamiento, almacenamiento y comunicacin de la informacin, de acuerdo con su clasificacin (vase el apartado 7.2). Los siguientes elementos deberan ser considerados: a) manejo y etiquetado de todos los medios segn su nivel de clasificacin indicado; b) restricciones de acceso para evitar el acceso de personal no autorizado; c) mantenimiento de un registro formal de los receptores autorizados de datos; d) asegurar que los datos de entrada estn completos, que el procesamiento se completa adecuadamente y que se valide su salida; e) proteccin de los datos que estn en cola para su salida en un nivel coherente con su sensibilidad; f) almacenamiento de los medios en un entorno acorde con las especificaciones del fabricante;
g) mantener la distribucin de los datos al mnimo; h) rotulado claro de todas las copias de los medios para cuidado de los receptores autorizados; i) revisin de las listas de distribucin y de receptores autorizados a intervalos regulares.
Informacin adicional Estos procedimientos se aplican a la informacin en documentos, sistemas de computacin, redes, sistemas de comunicaciones mviles, correo, correo de voz, comunicaciones de voz en general, multimedia, servicio postal, el uso de facsmiles y cualquier otro elemento sensible, por ejemplo, cheques en blanco, facturas. 10.7.4 Seguridad de la documentacin de sistemas Control La documentacin de sistemas debera ser protegida contra el acceso no autorizado.
Gua de implementacin Para asegurar la documentacin de sistemas, se debera considerar los siguientes elementos: a) es conveniente que la documentacin de sistemas se almacene en forma segura; b) la lista de personas con acceso a la documentacin de sistemas se debera limitar a la mnima cantidad posible, y ser autorizada por el propietario de la aplicacin; c) la documentacin de sistemas mantenida en una red pblica, o suministrada va una red pblica, se debera proteger adecuadamente. Informacin adicional La documentacin de sistemas puede contener variada informacin sensible, por ejemplo descripciones de procesos de aplicaciones, procedimientos, estructura de datos, procesos de autorizacin. 63
10.8 Intercambio de informacin

Objetivo: Mantener la seguridad de la informacin y software intercambiado dentro de una organizacin y con cualquier otra entidad. El intercambio de informacin y software entre organizaciones debera estar basado en una poltica de intercambio formal, llevndose a cabo segn los acuerdos de intercambio, y se debera cumplir con cualquier legislacin pertinente (vase Captulo 15). Se debera establecer procedimientos y normas para proteger la informacin y los medios fsicos que contengan informacin en trnsito. 10.8.1 Polticas y procedimientos de intercambio de informacin Control Se deberan implementar polticas de intercambio, procedimientos y controles formales para proteger el intercambio de informacin a travs del uso de todo tipo de recursos de comunicacin. Gua de implementacin Los procedimientos y controles deberan ser seguidos al utilizar medios de comunicacin electrnica para el intercambio de informacin consideren los siguientes elementos: a) procedimientos diseados para proteger el intercambio de informacin de la intercepcin, copiado, modificacin, desviacin, y destruccin; b) procedimientos para la deteccin de y proteccin contra el cdigo malicioso que pueda ser transmitido por medio del uso de comunicaciones electrnicas. (vase el apartado 10.4.1); c) procedimientos para proteger la comunicacin de informacin electrnica sensible que se encuentra en la forma de un adjunto; d) polticas o directrices delineando el uso aceptable de medios de comunicacin electrnica (vase el apartado 7.1.3); e) procedimientos para el uso de comunicaciones inalmbricas, tomando en consideracin los riesgos particulares involucrados; f) responsabilidades de empleados, contratistas y cualquier otro usuario de no comprometer a la organizacin, por ejemplo, por medio de la difamacin, acoso, engao, reenvi de cadenas de cartas, compra no autorizada, etc.;
g) uso de tcnicas criptogrficas, por ejemplo, para proteger la confidencialidad, integridad y autenticidad de la informacin (vase el apartado 12.3); h) directrices de retencin y eliminacin para toda la correspondencia del negocio, incluyendo mensajes, de acuerdo con la legislacin y regulaciones nacionales y locales pertinentes; i) no dejar informacin sensible o critica en el equipo de impresin, por ejemplo, fotocopiadoras, impresoras, facsmiles, en la medida que estas pueden ser accedidas por personal no autorizado; controles y restricciones asociadas con el reenvi de comunicaciones, por ejemplo, reenvi automtico de correo electrnico hacia direcciones de correo externo; 64
j)
k) recordarle al personal que deben tomar las precauciones apropiadas, por ejemplo no revelar informacin sensible, evitando ser escuchados o interceptados al realizar una llamada telefnica por: 1) personas en los alrededores, en particular al utilizar telfonos mviles; 2) intercepcin del cableado, y otras formas de intercepcin por medio del acceso fsico al aparato o cableado telefnico, o utilizando dispositivos de bsqueda; 3) personas en el extremo del receptor; l) no dejar mensajes conteniendo informacin sensible en mquinas contestadoras en la medida que pueden ser escuchadas por personas no autorizadas, almacenadas en sistemas de uso general o almacenadas incorrectamente como resultado de un error de discado; m) recordarle al personal sobre los problemas de utilizar mquinas de facsmil, llmese: 1) acceso no autorizado al almacenamiento de mensajes para retirarlos; 2) programacin deliberada o accidental de las mquinas para enviar mensajes a nmeros especficos; 3) enviar documentos y mensajes a nmeros incorrectos, ya sea por discar incorrectamente o utilizar un nmero incorrecto de los almacenados; n) recordarle al personal el no registrar informacin demogrfica en cualquier software, como la direccin de correo u otra informacin personal, para evitar su recopilacin para usos no autorizados; o) recordarle al personal que los equipos de facsmil y fotocopiadoras actuales cuentan con memorias para almacenar pginas en el caso de fallas de papel o transmisin, que sern impresas una vez sea solucionada la falla. A su vez, al personal se le debera recordar que no deben tener conversaciones confidenciales en lugares pblicos u oficinas abiertas y lugares de reunin que no cuenten con paredes a prueba de sonido. Los medios de intercambio de informacin deberan cumplir con todos los requisitos legales pertinentes (vase el Captulo 15). Informacin adicional El intercambio de informacin puede ocurrir por medio del uso de diferentes tipos de medios de comunicacin, incluyendo, correo electrnico, voz, facsmil, y video. El intercambio de software puede ocurrir por medio de diferentes medios, incluyendo descargas desde Internet y adquirindolo de proveedores de productos. Se debera considerar las implicaciones de negocio, legales y de seguridad asociadas con el intercambio electrnico de datos, comercio electrnico y comunicaciones electrnicas, y los requisitos de controles. La informacin puede verse comprometida debido a la falta de toma de conciencia, polticas o procedimientos en el uso de medios de intercambio de informacin, por ejemplo ser escuchado en un telfono mvil en un rea pblica, direccionamiento errneo de un mensaje de correo electrnico, escucha de mquinas contestadoras, acceso no autorizado a sistemas de mensajes de voz o accidentalmente enviar facsmiles a un equipo equivocado. 65
Las operaciones del negocio pueden ser perturbadas y la informacin puede verse comprometida si los medios de comunicacin fallan, son interrumpidas o sobrecargadas (vase el apartado 10.3 y el Captulo 14). La informacin puede verse comprometida si es accedida por usuarios no autorizados (vase el Captulo 11). 10.8.2 Acuerdos de intercambio Control Se debera establecer acuerdos para el intercambio de informacin y software entre la organizacin y terceras partes. Gua de implementacin Los acuerdos de intercambio deberan considerar las siguientes condiciones de seguridad: a) responsabilidades de gestin para controlar y notificar la transmisin, el envi y recepcin; b) procedimientos para notificar el origen de la transmisin, su envi y recepcin; c) procedimientos para asegurar la trazabilidad y el no repudio; d) normas tcnicas mnimas para el empaquetado y transmisin; e) acuerdos de custodia; f) normas para identificar los servicios de mensajera;
g) responsabilidades y responsabilidades legales en el caso de incidentes de seguridad, tales como prdida de datos; h) uso de un sistema de etiquetado acordado para la informacin sensible y crtica, asegurar que el significado de las etiquetas es inmediatamente comprendido y que la informacin es apropiadamente protegida; i) propiedad y responsabilidad por la proteccin de datos, derechos de autor, cumplimiento con licencias de software y consideraciones similares (vase los apartados 15.1.2 y 15.1.4); j) normas tcnicas para la grabacin y lectura de informacin y software;
k) cualquier control especial que puede ser requerido para proteger elementos sensibles, tales como claves criptogrficas (vase el apartado 12.3). Se debera establecer y mantener polticas, procedimientos, y normas para proteger la informacin y los medios fsicos en trnsito (vase el apartado 10.8.3), y deberan ser referenciados en los acuerdos de intercambio. El contenido sobre seguridad de cualquier acuerdo debera reflejar la sensibilidad de la informacin de negocio involucrada. Informacin adicional Los acuerdos pueden ser electrnicos o manuales, y pueden tomar la forma de un contrato formal o condiciones de empleo. Para la informacin sensible, es recomendable que los mecanismos especficos utilizados para el intercambio de dicha informacin ser consistentes para todas las organizaciones y tipos de acuerdos.
66
10.8.3 Medios fsico en transito Control Los medios que contienen informacin deberan ser protegidos contra accesos no autorizados, su mal uso o corrupcin durante el transporte fuera de las fronteras fsicas de la organizacin. Gua de implementacin Se debera considerar las siguientes directrices para proteger los medios de informacin durante su transporte entre sitios: a) se debera utilizar transportistas o mensajeros confiables; b) se debera acordar una lista de mensajeros autorizados con la gestin; c) se debera desarrollar procedimientos para revisar la identificacin del mensajero; d) el empaquetado debera ser suficiente para proteger el contenido ante cualquier dao fsico que pueda ocurrir durante el transito, de acuerdo con cualquier especificacin del fabricante (por ejemplo para el software), por ejemplo protegiendo contra cualquier factor ambiental que pueda afectar a los medios, tales como exceso de calor, humedad o campos electromagnticos; e) donde sea necesario, se debera adoptar controles para proteger informacin sensible de su divulgacin o modificacin no autorizada; ejemplos: 1) uso de contenedores sellados; 2) entrega en mano; 3) paquetes que evidencian violaciones (que revelan cualquier intento de obtener acceso al contenido); 4) en casos excepcionales, distribuir el envi en ms de una entrega y el envi por diferentes rutas. Informacin adicional La informacin puede ser vulnerable al acceso no autorizado, uso incorrecto o corrupcin durante su transporte fsico, por ejemplo al enviar medios por el servicio postal o un mensajero. 10.8.4 Mensajera electrnica Control La informacin contenida en la mensajera electrnica debera ser apropiadamente protegida. Gua de implementacin Las consideraciones de seguridad para la mensajera electrnica deberan incluir lo siguiente: a) proteger mensajes del acceso no autorizado, modificacin o negacin de servicio; b) asegurar el correcto direccionamiento y transporte de los mensajes;
67
c) confiabilidad y disponibilidad general del servicio; d) consideraciones legales, por ejemplo, requisitos para firmas digitales; e) obtener la aprobacin antes de utilizar servicios pblicos externos, tales como mensajera instantnea y compartir archivos; f) fuertes niveles de autenticacin controlando el acceso desde redes de acceso pblico.
Informacin adicional La mensajera electrnica, como el correo electrnico, Intercambio Electrnico de Datos (EDI por sus siglas en ingls), y mensajera instantnea juega un rol cada vez ms importante en las comunicaciones del negocio. La mensajera electrnica tiene diferentes riesgos que las comunicaciones impresas. 10.8.5 Sistemas de informacin de negocio Control Se debera desarrollar y poner en prctica polticas y procedimientos para proteger la informacin asociada con la interconexin de sistemas de informacin de negocio. Gua de implementacin Las consideraciones de las implicaciones que tiene la interconexin de tales recursos para la seguridad y para el negocio deberan incluir: a) vulnerabilidades conocidas en los sistemas administrativos y contables donde la informacin es compartida entre partes diferentes de la organizacin; b) las vulnerabilidades de informacin en sistemas de comunicacin de negocio, por ejemplo registrando llamadas telefnicas o teleconferencias, confidencialidad de llamadas, almacenaje de facsmiles, abriendo correo electrnico, distribucin de correo electrnico ; c) poltica y controles apropiados para poder gestionar la informacin compartida; d) excluir las categoras de informacin sensibles del negocio y documentos clasificados si el sistema no provee un nivel apropiado de proteccin (vase el apartado 7.2); e) restringir el acceso a informacin de bitcoras relacionada con individuos seleccionados, por ejemplo personal que trabaja sobre proyectos sensibles; f) las categoras de personal, contratistas o socios de negocio permitidos para usar el sistema y los lugares donde pudieron ser accedidos (vase el apartado 6.2 y 6.3);
g) restriccin a las instalaciones seleccionadas segn las categoras especficas de usuario; h) la identificacin del estado de los usuarios, por ejemplo los empleados de la organizacin o contratistas identificados en directorios para beneficio de otros usuarios; i) j) la retencin y el respaldo de informacin contenida en el sistema (vase el apartado 10.5.1); requisitos y acuerdos de reversin (vase el Captulo 14).
68
Informacin adicional Los sistemas de informacin de oficina permiten diseminar y compartir ms rpido informacin de negocio utilizando una combinacin de: documentos, computadoras, informtica mvil, comunicaciones mviles, correo electrnico, correo de voz, comunicaciones de voz en general, multimedia, servicios / prestaciones postales y mquinas de facsmil.
10.9 Servicios de comercio electrnico

Objetivo: Garantizar la seguridad de los servicios de comercio electrnico, as como su uso seguro. Se debera considerar las implicaciones de seguridad asociadas con el uso de servicios de comercio electrnico, incluyendo transacciones en lnea (on-line), y los requisitos de control. Se debera tambin considerar la integridad y disponibilidad de informacin electrnicamente publicada por medio de sistemas pblicos. 10.9.1 Comercio electrnico Control La informacin involucrada en el comercio electrnico sobre redes pblicas debera ser protegida ante actividades fraudulentas, disputas contractuales, y su divulgacin o modificacin no autorizada. Gua de implementacin Las consideraciones de seguridad para el comercio electrnico deberan incluir los siguientes elementos: a) el nivel de confianza que cada parte recae en la identidad declarada por los otros, por ejemplo, por medio de autenticacin; b) proceso de autorizacin asociado con quien puede establecer precios, emitir o firmar documentos claves de comercio c) asegurar que los socios de negocios son completamente informados sobre sus autorizaciones; d) determinar y cumplir los requisitos de confidencialidad, integridad, prueba de envi y recepcin de documentos claves, y el no repudio de contratos, por ejemplo, asociados con procesos de ofrecimientos y contratos; e) el nivel de confianza requerido en la integridad de la lista de precios publicitada; f) la confidencialidad de cualquier dato o informacin sensible;
g) la confidencialidad e integridad de cualquier orden de transaccin, informacin de pago, detalles de direccin de envi, y confirmacin de recepcin; h) el grado de verificacin apropiado para chequear la informacin de pago brindada por un cliente; i) j) seleccionar la mejor forma de acuerdo del pago para protegerse contra fraude; el nivel de proteccin requerido para mantener la confidencialidad e integridad de la informacin de la orden;
69
k) evitar la perdida o duplicacin de la informacin de la transaccin; l) responsabilidades asociadas a cualquier transaccin fraudulenta;
m) requisitos de seguros.
Muchas de las consideraciones anteriores pueden ser logradas por medio del uso de controles criptogrficos (vase el apartado 12.3), tomando en consideracin el cumplimiento de requisitos legales (vase el apartado 15.1, especialmente 15.1.6 por legislacin sobre criptografa). Los acuerdos de comercio electrnico entre socios de negocios deberan estar soportados por un acuerdo documentado que comprometa a ambas partes con los trminos de comercio acordados, incluyendo detalles de autorizacin (vase el punto b anterior). Otros acuerdos con proveedores de servicios de informacin y de redes de valor agregado pueden ser necesarios. Los sistemas de comercio pblico deberan divulgar los trminos de negocios a sus clientes. Tambin se debera considerar la resistencia al ataque del servidor utilizado para el comercio electrnico, y las implicaciones de seguridad de cualquier interconexin de redes requerida para la implementacin de los servicios de comercio electrnico (vase el apartado 11.4.6). Informacin adicional El comercio electrnico es vulnerable a un nmero de amenazas de red que pueden resultar en actividad fraudulenta, disputas de contratos, y divulgacin o modificacin de la informacin. El comercio electrnico puede hacer uso de mtodos de autenticacin seguros, por ejemplo, utilizando criptografa de llave publica y firmas digitales (vase el apartado 12.3) para reducir el riesgo. Tambin pueden ser utilizadas terceras partes de confianza, donde sus servicios ser necesarios. 10.9.2 Transacciones en lnea Control La informacin involucrada en transacciones en lnea debera ser protegida para prevenir la transmisin incompleta, la omisin de envo, la alteracin no autorizada del mensaje, la divulgacin no autorizada, la duplicacin o repeticin no autorizada del mensaje. Gua de implementacin Las consideraciones de seguridad para transacciones en lnea deberan incluir lo siguiente: a) el empleo de firmas electrnicas para cada una de las partes involucradas en la transaccin; b) todos los aspectos de la transaccin, por ejemplo asegurar que: 1) las credenciales de usuario de todas las partes son vlidas y verificadas; 2) la transaccin permanece confidencial; y 3) la privacidad asociada con todas las partes implicadas es conservada; c) el canal de comunicacin entre todas las partes implicadas es cifrado;
70
d) el protocolo utilizado para comunicarse entre todas las partes implicadas es seguro; e) el almacenamiento de los detalles de transaccin es localizado fuera de cualquier ambiente pblico accesible, por ejemplo en una plataforma de almacenamiento que exista en la Intranet de la organizacin, y no conservado y expuesto en un medio de almacenamiento directamente accesible desde Internet; f) cuando se emplea una autoridad confiable (por ejemplo para propsitos de emitir y mantener firmas digitales y / o certificados digitales) la seguridad se integra e incorpora a travs de todo el proceso completo de gestin del certificado / firma.
Informacin adicional El alcance de los controles adoptados tendra que ser proporcional con el nivel del riesgo asociado con cada tipo de transaccin en lnea. Las transacciones pueden tener que cumplir con leyes, reglas, y regulaciones en la jurisdiccin en la cual la transaccin es generada, procesada, completada, y/o almacenada. Existen muchos tipos de transacciones que pueden ser realizadas en lnea, por ejemplo, contractuales, financieras, etc. 10.9.3 Informacin accesible pblicamente Control Se debera proteger la integridad de la informacin de un sistema accesible pblicamente, para prevenir la modificacin no autorizada.
Gua de implementacin El software, datos y otra informacin que requiera un alto nivel de integridad y que se encuentre disponible pblicamente sea protegido por mecanismos adecuados, por ejemplo, firmas digitales (vase el apartado 12.3). Los sistemas accesibles pblicamente, deberan ser probados contra debilidades y fallas antes que la informacin este disponible. Es conveniente que haya un proceso de aprobacin formal antes de que la informacin este accesible pblicamente. Adems, toda la entrada proveniente del exterior al sistema debera ser verificada y aprobada. Los sistemas electrnicos de edicin, sobre todo aquellos que permiten la retroalimentacin y el ingreso directo de informacin, deberan ser controlados con cuidado de modo que: a) la informacin es obtenida en cumplimiento con toda la legislacin sobre proteccin de datos (vase el apartado 15.1.4); b) el ingreso y procesamiento de la informacin por el sistema de publicacin es procesada completamente y con exactitud de manera oportuna; c) la informacin sensible es protegida durante la recoleccin, procesamiento, y almacenamiento; d) el acceso al sistema de publicacin no permita el acceso no intencionado a redes a las cuales el sistema se conecta. 71
Informacin adicional La informacin sobre un sistema accesible pblicamente, por ejemplo la informacin sobre un servidor web accesible va Internet, puede tener que cumplir con leyes, reglas, y regulaciones en la jurisdiccin en la cual el sistema es localizado, donde el comercio tiene lugar o donde el propietario(s) reside. La modificacin no autorizada de informacin publicada puede daar la reputacin de la organizacin.
10.10 Seguimiento
Objetivo: Detectar actividades de procesamiento de informacin no autorizadas. Se debera supervisar los sistemas y registrar los eventos de seguridad de la informacin. Los registros del operador y de fallas deberan ser utilizados para asegurar que los problemas en los sistemas de informacin son identificados. La organizacin debera cumplir con todos los requisitos legales aplicables a sus actividades de registro, seguimiento y control Se debera efectuar el seguimiento y control del sistema para verificar la eficacia de los controles adoptados y la conformidad con un modelo de poltica de acceso.
10.10.1 Bitcora de auditora Control Se deberan elaborar bitcoras de auditora que registren las actividades de los usuarios, excepciones y eventos de seguridad de la informacin, y se deben mantener durante un perodo acordado para ayudar a futuras investigaciones y en la supervisin del control de acceso. Gua de implementacin Las bitcoras de auditora deberan incluir, cuando sea pertinente: a) identificacin (ID) de usuario; b) fechas, horas, y los detalles de acontecimientos claves, por ejemplo inicio y fin de una sesin; c) identidad de la terminal y ubicacin, si es posible; d) registros de los intentos aceptados y rechazados de acceso al sistema; e) registros de los intentos aceptados y rechazados de acceso a los datos y otros recursos; f) cambios a la configuracin de sistema;
72
g) empleo de privilegios; h) empleo de utilitarios y aplicaciones de sistema; i) j) archivos accedidos y la clase de acceso; direcciones y protocolos de conexiones de una red;
k) alarmas emitidas por el sistema de control de acceso; l) activacin y desactivacin de sistemas de proteccin, como sistemas de antivirus y sistemas de deteccin de intrusos.
Informacin adicional Las bitcoras de auditora pueden contener datos personales confidenciales e indiscretos. Se deberan tomar medidas de proteccin de privacidad (vase tambin el apartado 15.1.4). De ser posible, los administradores de sistema no deberan tener el permiso de borrar o desactivar los registros de sus propias actividades (vase el apartado 10.1.3). 10.10.2 Seguimiento del uso de sistemas Control Se deberan establecer procedimientos para hacer el seguimiento al uso de los recursos de procesamiento de la informacin, y se deben revisar regularmente los resultados de las actividades de seguimiento. Gua de implementacin El nivel de seguimiento requerido para instalaciones individuales debera ser determinado segn una evaluacin de riesgo. Una organizacin debera cumplir con todos los requisitos legales pertinentes aplicables a sus actividades de seguimiento. Las reas a ser consideradas deberan incluir: a) acceso autorizado, incluyendo detalles tales como: 1) 2) 4) 5) 6) la identificacin (ID) de usuario; la fecha y hora de acontecimientos claves; los tipos de eventos; los archivos accedidos; el programa/utilitario utilizado;
b) todas las operaciones privilegiadas, tales como: 1) empleo de cuentas privilegiadas, por ejemplo, supervisor, root, administrador; 2) arranque y apagado del sistema; 3) conexin/desconexin de dispositivos de entrada-salida (I/O); c) intentos de acceso no autorizados, tales como: 73
1) acciones de usuario fallidas o rechazadas; 2) acciones fallidas o rechazadas que implican datos y otros recursos; 3) violaciones de poltica de acceso y notificaciones para puertas de enlace y muro de fuego de red; 4) alerta de sistemas de deteccin de intrusin propietarios; d) alertas o fallas del sistema tales como: 1) alarmas o mensajes de consola; 2) excepciones de bitcoras del sistema; 3) gestin de alarmas de red; 4) alarmas emitidas por el sistema de control de acceso; e) cambios o intentos de cambiar, configuraciones y controles de seguridad del sistema. La frecuencia con la cual se deberan revisar los resultados de las actividades de supervisin dependa de los riesgos involucrados. Se debera considerar los siguientes factores de riesgo: a) criticidad de los procesos de aplicacin; b) valor, sensibilidad, y criticidad de la informacin implicada; c) experiencia pasada de infiltracin y mal uso del sistema, y la frecuencia de vulnerabilidades explotadas; d) la extensin de las interconexiones del sistema (en particular con redes pblicas); e) desactivacin de los medios de registro
Informacin adicional Es necesario utilizar procedimientos de seguimiento para asegurar que los usuarios slo realizan las actividades que explcitamente se les han autorizado. La revisin de la bitcora implica la comprensin de las amenazas enfrentadas por el sistema y la forma en que se pueden originar. En el apartado 13.1.1 se presentan ejemplos de eventos que podran requerir investigacin adicional en caso de incidentes de seguridad de la informacin. 10.10.3 Proteccin de la informacin de las bitcoras Control Los medios de registro y la informacin de la bitcora se deberan proteger contra alteracin y acceso no autorizado. Gua de implementacin
74
Los controles deberan protegerse contra cambios no autorizados y problemas operativos en los medios de registro, incluyendo: a) alteracin a los tipos de mensajes que son registrados; b) archivos de las bitcoras siendo editados o eliminados; c) capacidad excedida de los medios de almacenamiento de bitcora, resultando en la falla del registro de eventos o en la sobre-escritura de eventos pasados. Algunas bitcoras pueden ser requeridas para ser archivadas como parte de la poltica de retencin de registros o debido a requisitos para recolectar y retener evidencia (vase el apartado 13.2.3). Informacin adicional Las bitcoras del sistema a menudo contienen un vasto volumen de informacin, mucha de la cual no tiene relacin con el seguimiento de seguridad. Para ayudar a la identificacin de eventos significativos para el seguimiento de seguridad, se debera considerar el copiado automtico de los tipos de mensajes apropiados a una bitcora secundaria, y/o el uso de herramientas del sistema adecuadas o herramientas de auditora para realizar la consulta y anlisis de los archivos. Las bitcoras del sistema necesitan ser protegidas, debido a que si la informacin puede ser modificada o eliminada, su existencia puede crear una falsa sensacin de seguridad. 10.10.4 Bitcoras del administrador y operador Control Las actividades del operador y del administrador del sistema se deberan registrar en bitcoras.
Gua de implementacin Las bitcoras deberan incluir: a) la hora en la cual un evento (exitoso o fallido) ocurre; b) informacin sobre el evento (por ejemplo, archivos manejados) o falla (por ejemplo, errores ocurridos y acciones correctivas emprendidas); c) que cuenta y que administrador u operador fue involucrado; d) que procesos fueron involucrados. Las bitcoras del administrador y operador deberan ser revisadas de forma regular.
Informacin adicional Un sistema de deteccin de intrusin, gestionado fuera del control de los administradores de sistema y de red, puede ser utilizado para dar seguimiento al cumplimiento de actividades de los administradores de sistema y de red. 10.10.5 Bitcora de fallas
75
Control Las fallas se deberan registrar en bitcoras, analizar y tomar las acciones apropiadas.
Gua de implementacin Las fallas reportadas por los usuarios o programas relativos a problemas con el procesamiento de informacin o sistemas de comunicaciones deberan ser registradas. Deberan existir reglas claras para manejar las fallas reportadas, incluyendo: a) revisin de bitcoras de fallas para asegurar que han sido satisfactoriamente resueltas;
b) revisin de medidas correctivas para asegurar que los controles no se han visto comprometidos, y que la accin emprendida ha sido autorizada. Se debera asegurar que la bitcora de registro de errores est habilitada, si esta funcionalidad del sistema se encuentra disponible. Informacin adicional La bitcora de registro de errores y fallas puede impactar en el desempeo de un sistema. Estas bitcoras deberan ser habilitadas por personal competente, y el nivel de detalle requerido para los sistemas individuales debera ser determinado por un anlisis de riesgos, que tenga en cuenta la degradacin del rendimiento del sistema.
10.10.6 Sincronizacin de relojes Control Los relojes de todos los sistemas de procesamiento de informacin pertinente dentro de una organizacin o dominio de seguridad deberan estar sincronizados con una fuente de horario confiable acordada. Gua de implementacin Cuando una computadora o dispositivo de comunicaciones tiene la capacidad de operar un reloj de tiempo real, es conveniente que este reloj sea ajustado conforme al estndar acordado, por ejemplo el Tiempo Coordinado Universal (UTC) o el horario estndar local. Dado que ciertos relojes se atrasan con el tiempo, debera existir un procedimiento que verifique y corrija cualquier variacin significativa. La correcta interpretacin del formato fecha/hora es importante para asegurar que las marcas de tiempo reflejan la fecha y hora real. Caractersticas locales (por ejemplo cambio de horario de verano) deberan ser tenidas en cuenta. Informacin adicional La configuracin correcta de relojes de los equipos de cmputo es importante para asegurar la exactitud de las bitcoras de auditora, que pueden requerirse para investigaciones o como pruebas 76
en casos legales o disciplinarios. Los registros inexactos de auditora pueden dificultar tales investigaciones y restar credibilidad a tales pruebas. Un reloj sincronizado con un reloj atmico puede ser usado como el reloj maestro para los sistemas de registro. Un protocolo de tiempo de red puede utilizarse para mantener a todos los servidores en sincronizacin con el reloj maestro.
11
CONTROL DE ACCESO
11.1 Requisitos de negocio para el control de acceso

Objetivo: Controlar el acceso a la informacin. Los accesos a la informacin, a las instalaciones de procesamiento de la informacin y a procesos del negocio deberan ser controlados sobre la base de los requisitos del negocio y de la seguridad. Las reglas para el control del acceso deberan tener en cuenta las polticas de distribucin y autorizacin de la informacin. 11.1.1 Poltica de control de acceso Control Se debera establecer, documentar y revisar una poltica de control de acceso con base en los requisitos de acceso del negocio y de seguridad. Gua de implementacin Las reglas de control de acceso y derechos para cada usuario o grupo de usuarios deberan estar claramente establecidas en una poltica de control de acceso. Los controles de acceso son tanto lgicos como fsicos (vase tambin el Captulo 9), y stos deberan ser considerados en forma conjunta. Los usuarios y los proveedores de servicio deberan ser provistos de una declaracin clara de los requisitos de negocio que se debera cumplir para los controles de acceso. La poltica debera tener en cuenta lo siguiente: a) los requisitos de seguridad de aplicaciones de negocio individuales; b) la identificacin de toda la informacin relacionada con las aplicaciones del negocio y los riesgos que la informacin est enfrentando; c) las polticas para autorizacin y distribucin de la informacin, por ejemplo el principio de la necesidad de saber y los niveles de seguridad y clasificacin de la informacin (vase el apartado 7.2); d) la consistencia entre los controles de acceso y las polticas de clasificacin de la informacin de los diferentes sistemas y redes; e) la legislacin relevante y obligaciones contractuales con respecto a la proteccin de acceso a los datos o servicios (vase el apartado 15.1); f) los perfiles estndar de acceso de usuario para roles comunes en la organizacin;
g) la gestin de derechos de acceso en un ambiente distribuido y de redes que reconozca todos los tipos de conexin posibles;
77
h) la separacin de roles de control de acceso, por ejemplo, pedido de acceso, autorizacin de acceso, administracin de acceso; i) los requisitos para autorizaciones formales de pedidos de acceso (vase el apartado 11.2.1); j) los requisitos para revisin peridica de controles de acceso (vase el apartado 11.2.4);
k) la revocacin de derechos de acceso (vase el apartado 8.3.3). Informacin adicional Cuando se estn especificando las reglas de control de acceso se debera tener cuidado de considerar: a) la diferenciacin entre reglas que siempre deben ser acatadas y directrices que son opcionales o condicionales; b) el establecimiento de reglas basadas sobre la premisa Todo est generalmente prohibido salvo que expresamente sea permitido en lugar de la regla ms dbil Todo est generalmente permitido salvo que sea expresamente prohibido; c) los cambios en las etiquetas de la informacin (vase el apartado 7.2) que son iniciados automticamente por los recursos de procesamiento de informacin y aquellos que son iniciados a discrecin de un usuario; d) los cambios en los permisos de usuario que son iniciados automticamente por el sistema de informacin y aquellos que son iniciados por un administrador; e) las reglas, que requieren una aprobacin especifica antes de su promulgacin y aquellas que no lo requieren; Las reglas de control de acceso deberan ser soportadas por procedimientos formales y responsabilidades claramente definidas (vase por ejemplo, apartados 6.1.3, 11.3, 10.4.1, 11.6).
11.2 Gestin del acceso de usuarios

Objetivo: asegurar el acceso autorizado a los usuarios e impedir el acceso no autorizado a sistemas de informacin.. Deberan existir procedimientos formales para controlar la asignacin de derechos de acceso a los sistemas de informacin y a los servicios. Estos procedimientos deberan cubrir todas las etapas del ciclo de vida del acceso del usuario, desde el registro inicial de nuevos usuarios hasta la cancelacin final del registro de usuarios que no requieren ms el acceso a los sistemas de informacin y a los servicios. Se debera tener especial atencin, cuando corresponda, a la necesidad de controlar la asignacin de derechos de acceso privilegiados, que permiten a los usuarios anular controles del sistema.
11.2.1 Registro de usuarios Control Debera existir un procedimiento formal de registro y cancelacin de registro para otorgar y revocar los accesos a todos los servicios y sistemas de informacin.
78
Gua de implementacin El procedimiento de control de acceso para el registro y cancelacin de registro de usuario debera incluir: a) utilizacin de la identificacin nica de usuarios (IDs) para permitir que los usuarios queden vinculados y ser responsables de sus acciones; el uso del identificadores de grupos, debera ser permitido solamente cuando sea necesario por razones de negocio u operativas, y debera ser aprobadas y documentadas; b) verificacin de que el usuario tenga autorizacin del dueo del sistema para el uso del servicio o el sistema de informacin; podra ser apropiado que la direccin apruebe por separado los derechos de acceso; c) verificacin de que el nivel de acceso otorgado sea apropiado para el propsito del negocio (vase el apartado 11.1) y que es consistente con la poltica de seguridad, por ejemplo que no comprometa la segregacin de tareas (vase el apartado 10.1.3); d) entregar al usuario una declaracin de sus derechos de acceso; e) requerir que los usuarios firmen declaraciones indicando que ellos comprenden las condiciones de acceso; f) asegurar que los proveedores de servicio no provean acceso hasta que los procedimientos de autorizacin hayan sido completados;
g) mantener un registro formal de todas las personas registradas que usan el servicio; h) revocar inmediatamente o bloquear los derechos de acceso de los usuarios que hayan cambiado roles o tareas o dejado la organizacin; i) peridicamente realizar una verificacin para revocar o bloquear las cuentas e identificacin de usuarios (IDs) redundantes (vase el apartado 11.2.4); asegurar que las identificaciones de usuarios (IDs) redundantes no se otorgan a otros usuarios.
j)
Informacin adicional Se debera considerar el establecimiento de roles de acceso de usuarios basados en los requisitos del negocio que resuman una variedad de derechos de acceso en perfiles comunes para el acceso de usuario. Las solicitudes y revisiones de acceso (vase el apartado 11.2.4) se gestionan ms fcilmente en el mbito de dichos roles que en el mbito de derechos particulares. Es conveniente considerar la inclusin de clusulas en los contratos del personal y de los servicios que especifiquen las sanciones si el personal o los agentes del servicio intentan el acceso no autorizado (vase los apartados 6.1.5, 8.1.3 y 8.2.3). 11.2.2 Gestin de privilegios Control Se debera restringir y controlar la asignacin y uso de privilegios. Gua de implementacin
79
Sistemas multiusuario que requieren proteccin contra accesos no autorizados deberan tener la asignacin de privilegios controlada a travs de procedimientos formales de autorizacin. Se debera considerar los siguientes pasos: a) los privilegios de acceso asociados con cada producto del sistema, por ejemplo sistema operativo, sistema de gestin de base de datos y de cada aplicacin, y se debera identificar a los usuarios a los que es necesario asignar tales privilegios; b) los privilegios deberan ser asignados a usuarios sobre la base de necesidad de uso y sobre la base de evento por evento, alineados con la poltica de control de acceso (vase el apartado 11.1.1), es decir, el requisito mnimo para su rol funcional, slo cuando es necesario; c) se debera mantener un proceso de autorizacin y un registro de todos los privilegios asignados. Los privilegios no deberan ser otorgados hasta que el procedimiento de autorizacin no sea completado; d) debera ser promovido el desarrollo y utilizacin de rutinas del sistema para evitar la necesidad de otorgar privilegios a los usuarios; e) debera ser promovido el desarrollo y uso de programas que eviten la necesidad de funcionar con privilegios; f) los privilegios deberan ser asignados a una identificacin de usuario (ID) diferente de la utilizada para uso normal del negocio.
Informacin adicional El uso inapropiado de los privilegios de administracin del sistema (cualquier caracterstica o recurso de un sistema de informacin que habilite al usuario a anular los controles del sistema o de la aplicacin) puede ser un factor importante de contribucin a las fallas o brechas de los sistemas. 11.2.3 Gestin de contraseas del usuario Control La asignacin de contraseas debera ser controlada a travs de un proceso formal de gestin. Gua de implementacin El proceso debera incluir los siguientes requisitos: a) se debera exigir a los usuarios que firmen una declaracin para mantener confidencialidad sobre las contraseas personales y mantener las contraseas de grupo exclusivamente dentro de los miembros del grupo; esta declaracin firmada podra estar incluida dentro de los trminos y condiciones de empleo (vase el apartado 8.1.3); b) cuando se exige a los usuarios el mantener sus propias contraseas, ellos deben ser provistos inicialmente con una contrasea segura temporal (vase el apartado 11.3.1), que estn forzados a cambiar inmediatamente; c) establecer procedimientos para verificar la identidad del usuario antes de proporcionarle una contrasea temporal, de reemplazo o nueva; d) las contraseas temporales deberan ser dadas a los usuarios de un modo seguro; deberan ser evitados el uso de mensajes de correo electrnico de terceras partes o no protegidos (en texto claro);
80
e) las contraseas deberan ser temporales, nicas para un individuo y no deberan ser fcilmente adivinable; f) los usuarios deberan acusar el recibo de las contraseas;
g) las contraseas nunca deberan ser almacenadas en sistemas de computadoras o en forma no protegida; h) las contraseas por defecto de los vendedores deberan ser cambiadas inmediatamente luego de la instalacin del software o sistemas. Informacin adicional Las contraseas son un medio comn de verificacin de la identidad del usuario antes de que se les otorguen accesos a los sistemas de informacin o a los servicios de acuerdo a la autorizacin que tenga el usuario. Si es apropiado, se debera considerar otras tecnologas disponibles para la identificacin y autenticacin del usuario, tales como biometra, por ejemplo, verificacin de huella digital, verificacin de firma, y uso de dispositivos de autenticacin , por ejemplo tarjetas inteligentes. 11.2.4 Revisin de derechos de acceso de usuario Control La direccin debera establecer un proceso formal de revisin peridica de los derechos de acceso de los usuarios. Gua de implementacin La revisin de los derechos de acceso deberan considerar las siguientes recomendaciones: a) los derechos de acceso de usuarios deberan ser revisados a intervalos regulares, por ejemplo, cada seis meses, y luego de cualquier cambio, tal como una promocin, un descenso, o terminacin del empleo (vase el apartado 11.2.1); b) los derechos de acceso de usuario deberan ser revisados y reasignados cuando se traslada de un empleo a otro dentro de la misma organizacin; c) las autorizaciones para derechos de acceso privilegiados (vase el apartado 11.2.2) deberan ser revisados a intervalos mas frecuentes; por ejemplo cada tres meses; d) se debera verificar la asignacin de privilegios a intervalos regulares para garantizar que no se obtengan privilegios no autorizados; e) los cambios en las cuentas privilegiadas deberan ser registradas para su revisin peridica. Informacin adicional Es necesario revisar los derechos de acceso de usuarios regularmente para mantener un control de acceso efectivo sobre el acceso a los datos y servicios de informacin.
11.3 Responsabilidades del usuario

Objetivo: prevenir el acceso a usuarios no autorizados, y el robo o compromiso de la informacin y de los recursos de procesamiento de la informacin. La cooperacin de usuarios autorizados es esencial para una seguridad efectiva. 81
Los usuarios deberan estar enterados de sus responsabilidades para mantener los controles de acceso, particularmente teniendo en cuenta el uso de contraseas y la seguridad del equipo del usuario. Una poltica de escritorio y pantallas limpios, debera ser implementada para reducir el riesgo de acceso no autorizado o dao a papeles, medios, e instalaciones de procesamiento de la informacin. 11.3.1 Uso de Contrasea Control Se debera exigir a los usuarios el cumplimiento de buenas prcticas de seguridad en la seleccin y uso de las contraseas. Gua de implementacin Todos los usuarios deberan ser advertidos en cuanto a: a) mantener confidencialidad sobre la contrasea; b) evitar mantener un registro de contraseas (por ejemplo en papel, archivo de software o dispositivo de mano), salvo que este medio pueda ser almacenado en forma segura y el mtodo de almacenamiento haya sido aprobado; c) cambiar las contraseas toda vez que haya una indicacin de riesgo en el sistema o en la contrasea; d) seleccionar contraseas de calidad con suficiente largo mnimo que ser: 1) fciles de recordar; 2) no se basen en algo que alguien pueda adivinar fcilmente o usando informacin relacionada con la persona, por ejemplo, nombres, nmeros telefnicos, fechas de nacimiento, etc.; 3) no vulnerables a ataques tipo diccionario (es decir, que no consistan en palabras incluidas en diccionarios); 4) libres de caracteres idnticos sucesivos ya ser todos numricos o alfabticos; e) cambiar las contraseas a intervalos regulares o basados en el nmero de accesos (las contraseas de cuentas privilegiadas deberan ser cambiadas ms frecuentemente que las contraseas normales), y evitar la reutilizacin o reciclaje de claves viejas; f) cambiar las contraseas temporales en la primer conexin;
g) no incluir contraseas en ningn proceso automatizado de conexin, por ejemplo almacenado en una macro o funcin clave; h) no compartir las contraseas de usuario individuales; i) no utilizar la misma contrasea para propsitos del negocio y particulares.
82
Si los usuarios necesitan acceso a mltiples servicios, sistemas o plataformas y se les exige conservar mltiples contraseas separadas, se debera advertirles que pueden usar una sola contrasea de calidad (vase el punto d) para todos los servicios cuando se les garantiza que se ha establecido un nivel razonable de proteccin para almacenar la contrasea en cada servicio, sistema o plataforma. Informacin adicional La gestin de un centro de ayuda que tiene que ver con la prdida u olvido de contraseas necesita especial cuidado pues esta puede ser tambin un medio de ataque al sistema de contraseas. 11.3.2 Equipo desatendido por el usuario Los usuarios deberan asegurarse de que a los equipos desatendidos se les da proteccin apropiada. Gua de implementacin Los usuarios deberan ser advertidos de los requisitos y procedimientos de seguridad para proteger equipo desatendido, as como de su responsabilidad de implementar tal proteccin. Se debera advertir a los usuarios que: a) cierren las sesiones activas al finalizar, salvo que se les pueda asegurar por un mecanismo de bloqueo apropiado, por ejemplo un protector de pantalla protegido con contrasea; b) se desconecten de los computadores centrales, servidores y estaciones de trabajo de oficina cuando la sesin es finalizada (por ejemplo no apagar solo el monitor de la terminal o estacin de trabajo); c) aseguren los computadores personales o las terminales de uso no autorizado mediante una clave de bloqueo o un control equivalente, por ejemplo contrasea de acceso cuando no se encuentra en uso (vase tambin el apartado 11.3.3). Informacin adicional Equipo instalado en reas usuarias, por ejemplo estaciones de trabajo o servidores de archivo, pueden requerir proteccin especfica frente a acceso no autorizado cuando se deja desatendido por un periodo largo.
11.3.3 Poltica de pantalla y escritorio limpios Control Se debera adoptar una poltica de escritorio limpio para papeles y medios de almacenamiento removibles y una poltica de pantalla limpia para los recursos de procesamiento de informacin. Gua de implementacin Una poltica de escritorio limpio debera tener en cuenta la clasificacin de la informacin (vase el apartado 7.2), requisitos legales y contractuales (vase el apartado 15.1), y los aspectos culturales y de riesgo de la organizacin correspondientes. Se deberan considerar las siguientes directrices: a) cuando no se requiere la informacin sensible o crtica del negocio, contenida por ejemplo en medios de almacenamiento electrnicos o en papel, se debera asegurar bajo llave (idealmente 83
una caja fuerte, un gabinete u otro mueble de seguridad), especialmente cuando la oficina est vaca; b) las computadoras y terminales deberan ser desconectadas o protegidas con un mecanismo de bloqueo de pantalla y teclado controlado por contrasea, un dispositivo o mecanismo de autenticacin de usuario similar cuando estn desatendidas, y deberan ser protegidas por claves de bloqueo, o contraseas u otros controles cuando no estn en uso; c) se deberan proteger puntos de ingreso y salida de correo electrnico y mquinas de facsmil desatendidas; d) se debera prevenir el uso no autorizado de fotocopias y otras tecnologas de reproduccin (por ejemplo escneres, cmaras digitales); e) la documentacin que contiene informacin clasificada o sensible deberan ser removidas de las impresoras inmediatamente.
Informacin adicional Una poltica de escritorio y pantalla limpios, reduce los riesgos de acceso no autorizado, prdida o dao a la informacin durante y fuera de las horas normales de trabajo. Cofres u otras formas de almacenamiento seguro pueden tambin proteger informacin almacenada dentro de ellas contra desastres tales como incendios, terremotos, inundaciones o explosiones. Considerar el uso de impresoras con una funcin de cdigo de uso, de modo que los generadores ser los nicos que puedan obtener sus impresos y solamente estando parados al lado de la impresora.
11.4 Control de acceso a redes

Objetivo: Prevenir el acceso no autorizado a los servicios en red. Se debera controlar el acceso a los servicios en red, tanto internos como externos. El acceso de los usuarios a las redes y a los servicios de red no deberan comprometer la seguridad de los servicios de red garantizando que: a) las interfaces adecuadas son puestas entre la red de la organizacin y redes pertenecientes a otras organizaciones, y redes pblicas; b) mecanismos de autenticacin apropiados son aplicados para usuarios y equipo; c) se exige control del acceso de los usuarios a los servicios de informacin.
11.4.1 Polticas sobre el uso de servicios de red Control Los usuarios slo deberan tener acceso a los servicios para cuyo uso estn especficamente autorizados. Gua de implementacin 84
Debera ser formulada una poltica relativa al uso de redes y servicios de red. Esta poltica debera cubrir: a) las redes y servicios de red a los cuales es permitido acceder; b) los procedimientos de autorizacin para determinar a quin se le permite el acceso a qu redes y qu servicios en red; c) los controles de gestin y procedimientos para proteger el acceso a las conexiones y servicios de red; d) los medios utilizados para acceder a las redes y servicios de red (por ejemplo, las condiciones para permitir el acceso discado a un servicio de Internet o sistema remoto). La poltica sobre el uso de servicios de red debera ser consistente con la poltica de control de acceso del negocio (vase el apartado 11.1). Informacin adicional Conexiones no autorizadas o inseguras a servicios de red pueden afectar a toda la organizacin. Este control es particularmente importante para conexiones de red a aplicaciones sensibles o crticas del negocio o para usuarios en ubicaciones de alto riesgo, por ejemplo, reas pblicas o externas que estn fuera de la gestin de seguridad y control de la organizacin. 11.4.2 Autenticacin de usuarios para conexiones externas Control Se deberan usar mtodos de autenticacin apropiados para controlar el acceso de usuarios remotos. Gua de implementacin La autenticacin de usuarios remotos puede ser lograda utilizando, por ejemplo, tcnicas basadas en criptografa, dispositivos de autenticacin, o protocolos de desafo/respuesta. Posibles implementaciones de tales tcnicas pueden ser encontradas en distintas soluciones de redes privadas virtuales (VPN). Lneas privadas dedicadas pueden ser utilizadas para proveer seguridad del origen de la conexin. Los procedimientos y controles de devolucin de llamada, por ejemplo mdems de retorno de llamada, pueden proveer proteccin contra conexiones no autorizadas y conexiones no deseadas a instalaciones de procesamiento de informacin de la organizacin. Este tipo de control autentica usuarios que tratan de establecer una conexin a una red de la organizacin desde sitios remotos. Cuando se utilizan estos controles, una organizacin no debera utilizar servicios de red, que incluyan accesos discados entrantes, o si lo hacen, se debera deshabilitar el uso de tales caractersticas para evitar debilidades asociadas con acceso discado entrante. El proceso de devolucin de llamadas debera asegurar que ocurra una desconexin verdadera del lado de la organizacin. De otro modo el usuario remoto podra mantener la lnea abierta pretendiendo que la verificacin de devolucin de llamada ha ocurrido. Los procedimientos y controles de devolucin de llamada deberan ser exhaustivamente verificados por esta posibilidad. La autenticacin de nodos puede servir como un medio alternativo de autenticacin de grupos de usuarios remotos donde son conectados a un recurso seguro de computacin compartido. Tcnicas criptogrficas, por ejemplo basadas en certificados, pueden ser utilizadas para la autenticacin del nodo. Esto es parte de diversas soluciones basadas en una red privada virtual (VPN). Se debera implementar controles adicionales de autenticacin para controlar el acceso a redes inalmbricas. En particular se deber prestar especial atencin en la seleccin de los controles para 85
redes inalmbricas debido a las grandes oportunidades para intercepcin e insercin no detectada de trfico de red. Informacin adicional Conexiones externas habilitan potenciales ingresos no autorizados a la informacin del negocio, por ejemplo mtodos de acceso discado. Existen diferentes tipos de autenticacin, algunos de ellos proveen una mayor nivel de proteccin que otros, por ejemplo mtodos basados en el uso de tcnicas de criptografa pueden suministrar una autenticacin ms fuerte. Es importante determinar a partir de una evaluacin del riesgo, el nivel de proteccin requerida. Esto es necesario para la seleccin apropiada del mtodo de autenticacin.
Un medio de conexin automtica a una computadora remota puede proveer una manera de obtener un acceso no autorizado a las aplicaciones del negocio. Esto es especialmente importante si la conexin usa una red que est fuera del control de la gestin de seguridad de la organizacin. 11.4.3 Identificacin de equipo en la red Control La identificacin automtica del equipo debera ser considerada como medio de autenticar conexiones desde equipos y ubicaciones especficas. Gua de implementacin La identificacin del equipo puede ser usada si es importante que la comunicacin pueda solamente ser iniciada desde un equipo o ubicacin especfica. Un identificador en o conectado al puede ser utilizado para indicar si a ese equipo se le permite conectarse a la red. Estos identificadores deberan indicar claramente a que red le es permitido conectarse, si existe ms de una red y particularmente si estas redes son de distinta sensibilidad. Puede ser necesario considerar proteccin fsica del equipo para mantener la seguridad del identificador del equipo. Informacin adicional Este control puede ser completado con otras tcnicas para autenticar el usuario del equipo (vase el apartado 11.4.2). La identificacin del equipo puede ser aplicada adicionalmente a la autenticacin del usuario. 11.4.4 Proteccin de los puertos de configuracin y diagnstico remoto Control El acceso lgico y fsico a los puertos de configuracin y de diagnstico debera estar controlado. Gua de implementacin Los controles potenciales para el acceso a los puertos de diagnstico y configuracin incluyen el uso de un bloqueo de clave y procedimientos de soporte para controlar el acceso fsico al puerto. Un ejemplo de un procedimiento de soporte es garantizar que los puertos de diagnstico y configuracin slo ser accesibles mediante acuerdo entre el administrador del servicio de computacin y el personal de soporte de hardware/software que requiere el acceso.
86
Los puertos, servicios y prestaciones similares instaladas en un servicio de computacin o de red, que no se requieren especficamente para la funcionalidad del negocio, deberan ser inhabilitados o retirados. Informacin adicional Muchos sistemas de computadoras, sistemas de red y sistemas de comunicacin son instalados con una facilidad de diagnstico o configuracin de puertos remoto para uso de los ingenieros de mantenimiento. Si no estn protegidos estos puertos de diagnostico, entonces proveen un medio de acceso no autorizado. 11.4.5 Segregacin en redes Control Grupos de servicios de informacin, usuarios y sistemas de informacin deberan ser segregados en redes. Gua de implementacin Un mtodo para controlar la seguridad de grandes redes es dividirlas en dominios de red lgicos separados, por ejemplo, dominios de organizacin de redes internas y dominios externos, cada uno protegido por un permetro de seguridad. Un conjunto graduado de controles puede ser aplicado sobre diferentes dominios de red lgica para segregar an ms los ambientes de seguridad de redes, por ejemplo, sistemas de acceso pblico, redes internas y activos crticos. Los dominios se deberan definir con base en una evaluacin de riesgos y en los diferentes requisitos de seguridad en cada uno de los dominios. Tal permetro de red puede ser implementado instalando una puerta de enlace segura, entre las dos redes a ser interconectadas para controlar el acceso y flujo de la informacin entre los dos dominios. Esta puerta de enlace debera estar configurada para filtrar trfico especfico entre estos dominios (vase los apartados 11.4.6 y 11.4.7) y para bloquear el acceso no autorizado de acuerdo a la poltica de control de acceso de la organizacin (vase el apartado 11.1). Un ejemplo de este tipo de puerta de enlace es lo que se conoce comnmente como muro de fuego. Otro mtodo de separacin de dominios lgico es restringir el acceso a la red utilizando redes privadas virtuales para grupos de usuarios dentro de la organizacin. Las redes tambin pueden ser segregadas utilizando funcionalidades del dispositivo de red, por ejemplo conmutacin de IP. Dominios separados pueden luego ser implementados controlando el flujo de datos de red utilizando capacidades de conmutacin y enrutamiento tales como listas de control de acceso. Los criterios de segregacin de redes en dominios deberan estar basados en la poltica de control de acceso y en los requisitos de acceso (vase el apartado 10.1) y tambin se debera tener en cuenta el costo relativo y el impacto en el desempeo por la incorporacin de tecnologas adecuadas de puertas de enlace o de enrutamiento de los apartados 11.4.6 y 11.4.7). Adems la segregacin de redes debera estar basada sobre el valor y clasificacin de la informacin almacenada o procesada en la red, niveles de confianza, o lneas de negocio de modo de reducir el impacto de una interrupcin de servicio. Se debera considerar a la segregacin de redes inalmbricas de las redes internas y privadas. Debido a que los permetros de las redes inalmbricas no estn bien definidos, una evaluacin del
87
riesgo debera ser realizada en tal caso para identificar controles que mantengan la segregacin de la red (por ejemplo, una autenticacin fuerte, mtodos criptogrficos, y seleccin de frecuencias). Informacin adicional Las redes estn siendo extendidas en forma incremental ms all de las tradicionales fronteras organizacionales, puesto que asociaciones de negocios pueden requerir la interconexin o compartir procesamiento de la informacin y recursos de redes. Tales extensiones pueden incrementar el riesgo de acceso no autorizado a los sistemas de informacin existentes que usan la red, alguno de los cuales puede requerir proteccin de otros usuarios de red por su sensibilidad o criticidad. 11.4.6 Control de conexin de red Control Para redes compartidas, especialmente aquellas que se extienden a travs de las fronteras de la organizacin, la capacidad de los usuarios de conectarse a la red, debera ser restringida, en lnea con la poltica de control de acceso y requisitos de las aplicaciones de negocio (vase el apartado 11.1). Gua de implementacin Los derechos de acceso a la red de los usuarios se deberan mantener y actualizar segn requiera la poltica de control de acceso (vase el apartado 11.1.1). La capacidad de conexin de usuarios puede ser restringida a travs de las puertas de enlace que filtran el trfico por medio de tablas o reglas predefinidas. Ejemplos de aplicaciones para las cuales se debera aplicar restricciones son: a) mensajera, por ejemplo, correo electrnico; b) transferencia de archivos; c) accesos interactivos; d) accesos a aplicaciones. Se debera considerar en ciertas horas del da o fechas los derechos de acceso de coneccin a la red con algunas horas del da o fechas. Informacin adicional La incorporacin de controles para restringir las capacidades de conexin de los usuarios puede ser requerida por la poltica de control de acceso para redes compartidas, especialmente aquellas que se extienden a travs de las fronteras organizacionales. 11.4.7 Control de enrutamiento de red Control Se debera implementar controles en el enrutamiento para las redes de modo de asegurar que las conexiones entre computadoras y flujos de informacin no incumplan la poltica de control de acceso de las aplicaciones del negocio. Gua de implementacin 88
Los controles de enrutamiento deberan estar basados en mecanismos de fuente positiva y verificacin de la direccin de destino. Las puertas de enlace de seguridad pueden ser usadas para validar las direcciones fuentes y destinos en puntos de control de red internos y externos si son utilizadas tecnologas proxy y/o traduccin de direcciones de red. Quienes implementen deberan estar advertidos de las fortalezas y defectos de cualquier mecanismo utilizado. Los requisitos para control de enrutamiento de red deberan estar basados en la poltica de control de acceso (vase el apartado 11.1). Informacin adicional Las redes compartidas, especialmente aquellas que se extienden ms all de las fronteras organizacionales, pueden requerir controles de enrutamiento adicionales. Esto se aplica particularmente donde las redes son compartidas con usuarios de terceras partes (no pertenecientes a la organizacin).
11.5 Control de acceso al sistema operativo

Objetivo: Evitar el acceso no autorizado a los sistemas operativos. Se debera utilizar medios de seguridad para restringir el acceso de usuarios no autorizados a los sistemas operativos. Tales medios deberan tener la capacidad para: a) autenticar usuarios autorizados, de acuerdo con una poltica definida de control de acceso; b) registrar intentos exitosos y fallidos de autenticacin del sistema; c) registrar el uso de privilegios especiales del sistema; d) emitir alarmas cuando se violan las polticas de seguridad del sistema; e) suministrar medios adecuados para la autenticacin; f) cuando sea apropiado, restringir el tiempo de conexin de los usuarios. 11.5.1 Procedimientos de conexin seguros Control El acceso a los sistemas operativos debera ser controlado mediante procedimientos de conexin seguros. Gua de implementacin El procedimiento para conectarse a un sistema operativo debera ser diseado para minimizar la oportunidad de acceso no autorizado. Por lo tanto, el proceso de conexin debera divulgar el mnimo de informacin sobre el sistema, de manera de evitar proveer a un usuario no autorizado con asistencia innecesaria. Un buen procedimiento de conexin debera: a) no muestre identificacin del sistema o aplicacin hasta que termine el proceso de conexin; b) despliegue un mensaje genrico advirtiendo que el sistema sea accedido solamente por usuarios autorizados; 89
c) no ofrezca mensajes de ayuda durante el proceso de conexin que puedan guiar a usuarios no autorizados; d) valide la informacin de conexin slo tras rellenar todos sus datos de entrada. Si se produce una condicin de error, el sistema no debera indicar qu parte de esos datos es correcta o no; e) limite el nmero de intentos fallidos de conexin, por ejemplo, tres tentativas y considere:
1) registrar los intentos fallidos de conexin; 2) un tiempo forzoso de espera antes de permitir un nuevo intento de conexin o su rechazo sin una autorizacin especfica; 3) la desconexin de la comunicacin de datos; 4) enviar un mensaje de alarma a la consola del sistema si se ha alcanzado el mximo nmero de intentos de conexin; 5) establecer el nmero de reintentos de contrasea en conjuncin con el mnimo largo de la contrasea y el valor del sistema a ser protegido; f) limite los tiempos mximo y mnimo permitidos para efectuar el proceso de conexin; si se exceden, es conveniente que el sistema elimine la conexin;
g) muestre la siguiente informacin tras completar una conexin con xito: 1) fecha y hora de la anterior conexin realizada con xito; 2) detalles de cualquier intento de conexin fallido desde el momento de la ltima conexin realizada con xito. h) no muestre la contrasea que est siendo ingresada o considerar esconder los caracteres de la contrasea con smbolos; i) no transmita por una red contraseas en texto limpio.
Informacin adicional Si las contraseas son transmitidas por una red en texto limpio durante la sesin de conexin, pueden ser capturadas por un programa husmeador de red. 11.5.2 Identificacin y autenticacin del usuario Control Todos los usuarios deberan tener un identificador nico (ID de usuario) para su uso personal exclusivo, y se debera elegir una tcnica de autenticacin adecuada para sustentar la identidad alegada por un usuario. Gua de implementacin
90
Este control debera ser aplicado a todo tipo de usuarios (incluyendo personal de soporte tcnico, operadores, administradores de red, programadores de sistemas, y administradores de bases de datos). Los identificadores de usuario (IDs) deberan ser usados para rastrear actividades hacia el individuo responsable. Las actividades regulares de usuarios no se deberan realizar desde cuentas con privilegios. En circunstancias excepcionales, donde hay un claro beneficio para el negocio, puede emplearse el uso de un identificador de usuario (ID) compartido para un grupo de usuarios o para un trabajo especfico. La aprobacin por la direccin debera ser documentada para tales casos. Podran ser necesarios controles adicionales para mantener las responsabilidades. El uso de identificadores de usuario (IDs) genricos por parte de un individuo se debera permitir slo donde las funciones accesibles o acciones llevadas a cabo por el ID no necesitan ser rastreadas (por ejemplo, acceso slo de lectura), o donde hay otros controles instalados (por ejemplo, contrasea para un ID genrico emitida solo a una persona por vez y registro de tal instancia). Donde se requiere autenticacin fuerte y verificacin de identidad, se debera usar mtodos de autenticacin alternativos a las contraseas, tales como medios criptogrficos, tarjetas inteligentes, dispositivos de autenticacin o medios biomtricos. Informacin adicional Las contraseas (vase tambin los apartados 11.3.1 y 11.5.3) son una forma muy comn de proveer identificacin y autenticacin basadas en un secreto que solo el usuario conoce. Lo mismo puede lograrse tambin con medios criptogrficos y protocolos de autenticacin. La fortaleza de la identificacin y autenticacin de usuario debera ser acorde a la sensibilidad de la informacin a ser accedida. Pueden tambin usarse para identificacin y autenticacin, objetos que los usuarios poseen tales como dispositivos de autenticacin de memoria o tarjetas inteligentes. Tambin puede usarse para autenticar la identidad de una persona tecnologas de autenticacin biomtrica que usan caractersticas o atributos nicos de un individuo. Una combinacin de tecnologas y mecanismos vinculados en forma segura resultar en una autenticacin ms fuerte. 11.5.3 Sistema de gestin de contraseas Control Los sistemas de gestin de contraseas deberan ser interactivos y se debera asegurar la calidad de las contraseas. Gua de implementacin En un sistema de gestin de contraseas se debera: a) imponer el uso de contraseas e identificaciones de usuario (IDs) individuales con el fin de establecer responsabilidades; b) permitir a los usuarios seleccionar y cambiar sus propias contraseas e incluir un procedimiento de confirmacin para evitar errores al introducirlas; c) obligar a la seleccin de contraseas de calidad (vase el apartado 11.3.1);
91
d) obligar al cambio de contraseas (vase el apartado 11.3.1); e) obligar a los usuarios a cambiar su contrasea temporal en su primera conexin (vase el apartado 11.2.3); f) mantener un registro de las anteriores contraseas utilizadas, e impedir su reutilizacin; g) no mostrar las contraseas en la pantalla cuando se estn introduciendo; h) almacenar archivos de contraseas en lugares diferentes de los y los datos del sistema de aplicaciones; i) almacenar y transmitir las contraseas en formatos protegidos (por ejemplo, cifradas o mediante algoritmo hash). Informacin adicional Las contraseas son una de las principales formas de validar la autorizacin de un usuario para acceder a un servicio de la computadora. Algunas aplicaciones requieren que una autoridad independiente asigne contraseas de usuario; en tales casos, los puntos b), d) y e) anteriores no se aplican. En la mayora de los casos las contraseas son seleccionadas y mantenidas por usuarios. Vase el apartado 11.3.1 para gua sobre el uso de contraseas. 11.5.4 Utilizacin de utilitarios del sistema Control El uso de programas utilitarios que podran ser capaces de pasar por encima de los controles del sistema y de la aplicacin debera ser restringido y controlado estrechamente.
Gua de implementacin Se debera considerar las siguientes directrices para el uso de utilitarios del sistema: a) usar procedimientos de identificacin, autenticacin y autorizacin para utilitarios del sistema; b) separar entre utilitarios del sistema y software de aplicaciones; c) limitar el uso de utilitarios del sistema al mnimo nmero de usuarios autorizados y confiables(vase tambin el apartado 11.2.2); d) autorizar el uso con fines especficos de utilitarios del sistema; e) limitar la disponibilidad de utilitarios del sistema, por ejemplo, mientras dure un cambio autorizado; f) registrar todo uso de utilitarios del sistema;
g) definir y documentar los niveles de autorizacin para utilitarios del sistema; h) remocin o inhabilitacin de todo el software basado en utilitarios y software de sistema innecesarios; 92
i)
no poner a disposicin los utilitarios de sistema a los usuarios que tienen acceso a aplicaciones en sistemas donde se requiere segregacin de tareas.
Informacin adicional La mayora de las instalaciones de computadora tienen uno o ms programas utilitarios de sistemas que podran ser capaces de pasar por encima los controles de sistema y aplicacin. 11.5.5 Desconexin automtica de sesiones Control Las sesiones inactivas se deberan cerrar despus de un perodo de inactividad definido. Gua de implementacin Un recurso de desconexin debera borrar la pantalla de sesin y tambin posiblemente ms tarde, cerrar tanto la sesin de aplicacin como la de red luego de un perodo definido de inactividad. La demora en la desconexin debera reflejar los riesgos de seguridad del rea, la clasificacin de la informacin manejada y las aplicaciones utilizadas, y los riesgos relativos a los usuarios del equipo. Puede proveerse una forma limitada de desconexin para algunos sistemas, que borran la pantalla y previenen acceso no autorizado pero no cierra la sesin de aplicacin ni la de red. Informacin adicional Este control es particularmente importante en lugares con alto riesgo, que incluye reas pblicas o externas fuera de la gestin de seguridad de la organizacin. Las sesiones se deberan cierrar para prevenir acceso por parte de personas no autorizadas y ataques de denegacin de servicio. 11.5.6 Limitacin del tiempo de conexin Control Se deberan utilizar restricciones en los tiempos de conexin para brindar seguridad adicional para las aplicaciones de alto riego. Gua de implementacin Controles de tiempo de conexin deberan ser consideradas en aplicaciones sensibles, especialmente desde ubicaciones de alto riesgo, por ejemplo, reas pblicas o externas fuera de la gestin de seguridad de la organizacin. Ejemplos de tales restricciones incluyen: a) uso de espacios de tiempo predeterminados, por ejemplo para transmisiones de archivos en lotes, o para sesiones interactivas regulares de corta duracin; b) la restriccin de tiempos de conexin al horario normal de oficina, si no se requiere trabajo en horas extras o en perodos de tiempo extendido; c) considerar re-autenticacin en intervalos de tiempo.
Informacin adicional 93
La limitacin del perodo durante el cual se permiten las conexiones a los servicios computacionales reduce la ventana de oportunidad para accesos no autorizados. Limitando la duracin de sesiones activas se impide que los usuarios mantengan sesiones abiertas para prevenir re-autenticacin.
11.6 Control del acceso a las aplicaciones y a la informacin

Objetivo: Evitar el acceso no autorizado a la informacin contenida en los sistemas de aplicacin. Es conveniente utilizar recursos de seguridad para restringir el acceso a los sistemas de aplicacin. El acceso lgico al software de aplicacin y a la informacin debera estar restringido a usuarios autorizados. Los sistemas de aplicacin deberan: a) controlar el acceso de usuarios a la informacin y a las funciones del sistema de aplicacin, de acuerdo con una poltica definida de control del acceso; b) suministrarn proteccin contra acceso no autorizado por una utilidad, el software del sistema operativo y software malicioso que pueda anular o desviar los controles del sistema o de la aplicacin; c) no comprometer otros sistemas con los que se comparten los recursos de informacin.
11.6.1 Restricciones del acceso a la informacin Control El acceso a informacin y funciones de sistema de aplicacin por parte de usuarios y personal de soporte debera estar restringido de acuerdo a la poltica definida de control de acceso. Gua de implementacin Las restricciones al acceso deberan estar basadas en los requisitos de la aplicacin de negocios individuales. La poltica de control de acceso tambin debera ser coherente con la poltica de acceso organizacional (vase el apartado 11.1). Se debera considerar la aplicacin de las siguientes directrices para dar soporte a los requisitos de restriccin de accesos: a) proveer mens para controlar los accesos a las funciones del sistema de aplicaciones; b) controlar los derechos de acceso de los usuarios, por ejemplo lectura, grabacin, borrado, ejecucin; c) controlar los derechos de acceso de otras aplicaciones;
94
d) asegurarse que las salidas de los sistemas de aplicacin que procesan informacin sensible, slo contienen la informacin relevante para el uso de la salida y se enven, nicamente, a los terminales y sitios autorizados; esto debera incluir la revisin peridica de dichas salidas para garantizar la supresin de informacin redundante. 11.6.2 Aislamiento de sistemas sensibles Control Los sistemas sensibles deberan tener entornos informticos dedicados (aislados). Gua de implementacin Los siguientes puntos deberan ser considerados para el aislamiento de sistemas sensibles: a) el propietario de la aplicacin debera indicar explcitamente y documentar la sensibilidad de sta (vase el apartado 7.1.2); b) cuando una aplicacin sensible se ejecute en un entorno compartido, se debera identificar y acordar con su propietario los sistemas de aplicacin con los que compartan recursos y deberan ser identificados y aceptados los correspondientes riesgos por el propietario de la aplicacin sensible. Informacin adicional Algunos sistemas de aplicaciones son lo suficientemente sensibles a prdida potencial por lo que ellos requieren un tratamiento especial. La sensibilidad puede indicar que el sistema de aplicacin: a) se debera correr en una computadora dedicada; o b) se debera compartir recursos solo con sistemas de aplicacin confiables. El aislamiento podra lograrse usando mtodos fsicos o lgicos (vase tambin el apartado 11.4.5). 11.7 Computacin mvil y teletrabajo
Objetivo: garantizar la seguridad de la informacin cuando se usan recursos de computacin mvil y teletrabajo. La proteccin requerida debera ser proporcional a los riesgos que causan estas formas especficas de trabajo. Se debera considerar los riesgos de trabajar en un entorno desprotegido cuando se usa computacin mvil y aplicar la proteccin adecuada. En el caso del teletrabajo la organizacin debera implantar proteccin en el lugar del teletrabajo y asegure que existen las disposiciones adecuadas para este tipo de trabajo. 11.7.1 Computacin mvil y comunicaciones Control Se debera adoptar una poltica formal, y medidas de seguridad apropiadas para la proteccin contra los riesgos debidos al uso de recursos de informtica y comunicaciones mviles. Gua de implementacin 95
Cuando se usan recursos de informtica y de comunicaciones mviles, como por ejemplo, computador porttil, computador de mano, porttiles, tarjetas electrnicas, y telfonos mviles, se debera tener especial cuidado para asegurar que no sea comprometida la informacin del negocio. La poltica de computacin mvil debera tener en cuenta los riesgos del trabajo con dispositivos mviles en ambientes desprotegidos. La poltica de computacin mvil debera incluir los requisitos de proteccin fsica, controles de acceso, tcnicas de criptografa, respaldos, y proteccin contra virus. Esta poltica tambin debera incluir reglas y consejo sobre conexin de recursos mviles a redes y orientacin sobre el uso de estos recursos en lugares pblicos. Se debera tener cuidado cuando se usan recursos de computacin mvil en lugares pblicos tales como salas de reuniones y otras reas desprotegidas fuera de las instalaciones de la organizacin. Se debera adoptar proteccin para evitar el acceso no autorizado o la divulgacin de la informacin almacenada y procesada por estos dispositivos, por ejemplo, usando tcnicas criptogrficas (vase el apartado 12.3). Los usuarios de estos recursos de computacin mvil en lugares pblicos deberan ser cuidadosos para evitar el riesgo de ser observados por personas no autorizadas. Se debera instalar y mantener al da procedimientos contra el software malicioso (vase el apartado 10.4). Se debera realizar respaldos regulares de la informacin disponible el equipo para realizar un respaldo rpido y fcil deberan estar provistos de la adecuada proteccin contra, informacin. Se debera proteger debidamente el uso de conectados a las redes. crtica del negocio. Debera estar de la informacin. Estos respaldos por ejemplo, robo o prdida de la dispositivos de computacin mvil
El acceso remoto a la informacin del negocio a travs de redes pblicas usando dispositivos mviles slo debera tener lugar luego de la identificacin y autenticacin exitosa, y con los mecanismos adecuados de control de acceso (vase el apartado 11.4). Los recursos de computacin mvil tambin deberan estar fsicamente protegidos contra robo especialmente cuando se dejan, por ejemplo, en autos y otras formas de transporte, cuartos de hotel, centros de conferencia, y lugares de reunin. Se debera establecer un procedimiento especfico teniendo en cuenta requisitos legales, seguros y otros requisitos de seguridad de la organizacin para los casos de robo o prdida de los dispositivos mviles. Equipos que contengan informacin del negocio importante, sensible, y/o crtica no deberan ser dejados sin vigilancia, y de ser posible, se debera bloquear fsicamente, o se debera usar trancas o cerrojos especiales para asegurar el equipo (vase el apartado 9.2.5). Se debera organizar capacitacin para el personal que utiliza dispositivos mviles para que eleven su toma de conciencia de los riesgos adicionales resultantes de esta forma de trabajo y los controles que se deberan implementar. Informacin adicional Las conexiones inalmbricas a la red desde dispositivos mviles son similares a otros tipos de conexin de red, pero tiene diferencias importantes que se deberan considerar cuando se identifican los controles. Las diferencias tpicas son: a) algunos protocolos de seguridad inalmbrica no estn maduros y tienen debilidades conocidas; b) la informacin almacenada en dispositivos mviles pueden no ser respaldada debido al ancho de banda limitado de la red y/o porque el equipo mvil puede no estar conectado cuando estn planificados los respaldos. 96
11.7.2 Teletrabajo Control Se debera desarrollar e implementar una poltica, planes operacionales y procedimientos para las actividades de teletrabajo. Gua de implementacin Las organizaciones slo deberan autorizar las actividades de teletrabajo si estas estn satisfechas de que las disposiciones de seguridad son apropiadas y que los controles estn implementados, y que se cumpla con la poltica de seguridad de la organizacin. Se debera establecer proteccin adecuada del sitio de teletrabajo contra, por ejemplo, el robo del equipo y la informacin, la divulgacin no autorizada de informacin, acceso remoto no autorizado a los sistemas internos de la organizacin o mal uso de instalaciones. Las actividades de teletrabajo deberan ser tanto autorizadas como controladas por la direccin, y se debera asegurar que las disposiciones adecuadas ser adoptadas para esta forma de trabajo. Se debera considerar los siguientes puntos: a) la seguridad fsica existente en el sitio de teletrabajo, teniendo en cuenta la seguridad fsica del edificio y el ambiente local; b) el ambiente fsico de teletrabajo propuesto; c) los requisitos de seguridad de las comunicaciones, teniendo en cuenta la necesidad de acceso remoto a los sistemas internos de la organizacin, la sensibilidad de la informacin que ser accedida y el paso sobre el enlace de comunicacin y la sensibilidad del sistema interno; d) la amenaza de acceso no autorizado a informacin o recursos por parte de otras personas que usen el alojamiento, por ejemplo familia y amigos; e) el uso de redes domesticas y los requisitos o restricciones en la configuracin de los servicios de red inalmbrica; f) polticas y procedimientos para prevenir disputas concernientes a derechos de propiedad intelectual desarrollados en equipos de propiedad privada; g) acceso a equipos de propiedad privada (para chequear la seguridad de la mquina o durante una investigacin), que puede ser impedida por la legislacin; h) acuerdos de licenciamiento de software que son tales que la organizacin podra ser responsable de licenciamiento de software de cliente en estaciones de trabajo pertenecientes en forma privada a los empleados, contratista o usuarios de terceras partes; i) requisitos de proteccin anti-virus y muro de fuego.
Las orientaciones y disposiciones a ser consideradas deberan incluir: a) la provisin del equipo y mobiliario de almacenamiento adecuados para las actividades de teletrabajo, donde el uso de equipo perteneciente en forma privada que no est bajo control de la organizacin, no est permitido;
97
b) la definicin del trabajo permitido, las horas de trabajo, la clasificacin de la informacin que puede utilizar y los sistemas y servicios internos a los que el trabajador remoto est autorizado a acceder; c) el suministro del equipo de comunicacin adecuado, incluidos los mtodos para asegurar el acceso remoto; d) la seguridad fsica; e) reglas y directrices sobre el acceso de familiares y visitas al equipo y la informacin; f) proporcionar el soporte y mantenimiento para el hardware y el software;
g) la provisin de seguro; h) los procedimientos de respaldo y continuidad del negocio; i) j) la auditora y seguimiento de la seguridad; la revocacin de autorizaciones, derechos de acceso y devolucin del equipo cuando cesen las actividades de teletrabajo.
Informacin adicional El teletrabajo utiliza tecnologa de comunicaciones para habilitar al personal trabajar en forma remota desde una ubicacin fija fuera de la organizacin.
12
ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN
12.1 Requisitos de seguridad de los sistemas de informacin

Objetivo: Asegurarse de que la seguridad es parte integral de los sistemas de informacin. Los sistemas de informacin incluyen: los sistemas operativos, la infraestructura, las aplicaciones de negocio, los software de paquete, los servicios y las aplicaciones desarrolladas por usuarios. El diseo e implantacin del sistema de informacin que apoya los procesos del negocio puede ser crucial para la seguridad. Los requisitos de seguridad deberan ser identificados y consensuados antes de desarrollar y/o implementar los sistemas de informacin. Todos los requisitos de seguridad deberan ser identificados y justificados en la fase de requisitos de un proyecto, consensuados y documentados como parte del proceso de negocio global para un sistema de informacin
12.1.1 Anlisis y especificacin de los requisitos de seguridad Control Las declaraciones de requisitos de negocio para nuevos sistemas de informacin, o mejoras a sistemas de informacin existentes deberan especificar los requisitos para controles de seguridad.
98
Gua de implementacin Las especificaciones de los requisitos de control deberan considerar los controles automatizados a ser incorporados al sistema de informacin, y la necesidad de controles manuales de apoyo. Consideraciones similares deberan ser aplicadas evaluando paquetes de software, desarrollados o comprados, para aplicaciones de gestin. Los requisitos de seguridad y control deberan reflejar el valor de negocio del activo de la informacin involucrado (vase tambin el apartado 7.2), y el dao potencial de negocio, que podra ser resultado de una falla o ausencia de seguridad. Los requisitos del sistema para la seguridad de la informacin y los procesos para poner en prctica la seguridad deberan ser integrados en las etapas tempranas de proyectos de sistema de informacin. Los controles introducidos en la etapa de diseo son considerablemente ms baratos de implementar y mantener que aquellos incluidos durante o despus de la implementacin. Si los productos son comprados, un proceso formal de pruebas y de adquisicin debera seguirse. Los contratos con el proveedor deberan abordar los requisitos de seguridad identificados. Cuando la funcionalidad de seguridad en un producto propuesto no satisface el requisito especificado el riesgo introducido y los controles asociados entonces deberan ser reconsiderados antes de la compra del producto. Cuando una funcionalidad adicional es suministrada y causa un riesgo de seguridad, esta se debera deshabilitar o la estructura de control propuesta debera ser revisada para determinar si se puede obtener ventaja de la funcionalidad mejorada disponible. Informacin adicional Si se considera apropiado, por ejemplo por motivos de costo, la direccin puede desear utilizar productos evaluados y certificados independientemente. Informacin adicional sobre criterios de evaluacin para productos de seguridad de TI puede ser encontrada en la norma ISO/IEC 15408 o en otras normas de evaluacin o de certificacin, segn sea apropiado. La Norma ISO/IEC TR 13335-3 proporciona guas sobre el empleo de procesos de gestin de riesgos para identificar requisitos para controles de seguridad.
12.2 Procesamiento correcto en las aplicaciones

Objetivo: Prevenir errores, prdida, modificacin no autorizada o mal uso de informacin en aplicaciones. En las aplicaciones deberan ser diseados controles apropiados, incluyendo aquellas aplicaciones desarrolladas por usuarios, para asegurar el tratamiento correcto. Estos controles deberan incluir la validacin de datos de entrada, el tratamiento interno y datos de salida. Los sistemas que procesan, o tienen impacto sobre, la informacin sensible, valiosa o crtica pueden requerir controles adicionales. Tales controles deberan ser determinados sobre la base de requisitos de seguridad y evaluacin del riesgo. 12.2.1 Validacin de datos de entrada Control Los datos de entrada a aplicaciones deberan ser validados para asegurarse de que estos datos son correctos y apropiados. Gua de implementacin
99
Deberan ser aplicadas comprobaciones a la entrada de transacciones de negocio, datos permanentes (por ejemplo nombres y direcciones, lmites de crdito, nmeros de referencia de cliente), y tablas de parmetro (por ejemplo precios de las ventas, tarifas monetarias de conversin, tarifas fiscales). Las directrices siguientes deberan ser consideradas: a) entrada duplicada u otros tipos de verificacin, tales como, verificacin de casos de borde o la limitacin de campos para rangos especficos de los datos de entrada, a fin de detectar errores como: 1) valores fuera de rango; 2) caracteres invlidos en campos de datos; 3) datos omitidos o incompletos; 4) exceder lmites superiores e inferiores de volumen de datos; 5) datos de control no autorizados o incoherentes; b) revisin peridica del contenido de campos clave o archivos de datos para confirmar su validez e integridad; c) inspeccin de documentos fsicos de entrada por si introducen cualquier cambio no autorizado (todos los cambios a documentos de entrada deberan ser autorizados); d) procedimientos para responder a errores de validacin; e) procedimientos para probar la credibilidad de los datos de entrada; f) definicin de las responsabilidades de todo el personal implicado en el proceso de entrada de datos;
g) la creacin de un registro de las actividades implicadas en el proceso de entrada de datos (vase el apartado 10.10.1). Informacin adicional La examinacin automtica y la validacin de datos de entrada pueden ser considerados, como aplicables, para reducir el riesgo de errores y prevenir ataques estndar incluyendo desbordamiento de la memoria e inyeccin de cdigos. 12.2.2 Control de procesamiento interno Control Se debera incorporar en las aplicaciones revisiones de validacin para detectar cualquier corrupcin de la informacin debida a errores de procesamiento o actos deliberados. Gua de implementacin El diseo y la implementacin de aplicaciones deberan asegurar que los riesgos de procesar errores que conducen a una prdida de integridad son reducidos al mnimo. reas especficas a considerar incluyen: a) el empleo de las funciones agregar, modificar, y suprimir para implementar cambios a datos; 100
b) procedimientos para prevenir programas que corran en el orden incorrecto o despus del error de un proceso previo (vase tambin el apartado 10.1.1); c) el empleo de programas apropiados para reponerse de errores y asegurar el tratamiento correcto de datos; d) la proteccin contra ataques que usan el desbordamiento / exceso en el buffer. Se debera elaborar listas de verificacin adecuadas, documentar las actividades y mantener seguros los resultados. Ejemplos de las comprobaciones que pueden ser incorporadas incluyen lo siguiente: a) controles de sesin o de lotes para conciliar balances despus de la actualizacin de transacciones; b) controles de balance para comprobar los balances de apertura contra los balances anteriores de cierre, a saber: 1) controles de ejecucin a ejecucin; 2) totales de actualizacin de archivos; 3) controles de programa a programa; c) la validacin de datos de entrada generados por el sistema (vase el apartado 12.2.1); d) comprobar la integridad, la autenticidad o cualquier otro rasgo de seguridad de datos o software transferido desde o hacia, entre ordenadores centrales y remotos; e) los totales de verificacin de registros y archivos; f) comprobaciones para asegurar que los programas de aplicacin se ejecutan en el tiempo correcto;
g) comprobaciones para asegurar que los programas son ejecutados en el orden correcto, que se terminan en caso de una falla y que el tratamiento remoto es detenido hasta que el problema sea resuelto; h) la creacin de un registro de las actividades implicadas en el tratamiento (vase el apartado 10.10.1). Informacin adicional Los datos que han sido ingresados correctamente pueden ser alterados por errores de hardware, errores de procesamiento o por actos deliberados. Las comprobaciones de validacin requeridas dependern de la naturaleza de la aplicacin y el impacto al negocio de cualquier corrupcin de datos. 12.2.3 Integridad del mensaje Control Se debera identificar los requisitos para asegurar la autenticidad y proteger la integridad del mensaje en las aplicaciones, as como identificar e implementar los controles apropiados. Gua de implementacin 101
Una evaluacin de riesgos de seguridad debera ser realizada para determinar si requiere la integridad del mensaje e identificar el mtodo ms apropiado de implementacin. Informacin adicional Tcnicas criptogrficas (vase el apartado 12.3) pueden ser utilizadas como un medio apropiado de implementar la autenticacin del mensaje. 12.2.4 Validacin de los datos de salida Control La salida de datos de una aplicacin debera ser validada para asegurarse de que el procesamiento de la informacin almacenada es correcto y apropiado a las circunstancias. Gua de implementacin La validacin de salida puede incluir: a) validaciones de admisibilidad para comprobar si los datos de salida son razonables; b) cuentas de control de conciliacin para asegurar el tratamiento de todos los datos; c) suministro de informacin suficiente para un lector o sistema de procesamiento subsecuente para determinar la exactitud, totalidad, precisin, y clasificacin de la informacin; d) procedimientos para responder a pruebas de validacin de salida; e) definicin de las responsabilidades de todo el personal implicado en el proceso de salida de datos; f) creacin de un registro de actividades en el proceso de validacin de salida de datos.
Informacin adicional Tpicamente los sistemas y aplicaciones son construidos suponiendo que se ha realizado uma validacin, verificacin y pruebas apropiadas para que la salida siempre sea correcta. Sin embargo, esta suposicin no es siempre vlida; es decir, sistemas que han sido probados pueden seguir produciendo, bajo algunas circunstancias, una salida incorrecta.
12.3 Controles criptogrficos

Objetivo: Proteger la confidencialidad, autenticidad e integridad de la informacin por medios criptogrficos. Se debera desarrollar una poltica sobre el empleo de controles criptogrficos y establecer una gestin de llaves para dar soporte al empelo de tcnicas criptogrficas. 12.3.1 Poltica sobre el empleo de controles criptogrficos Control
102
Se debera desarrollar e implementar una poltica sobre el empleo de controles criptogrficos para la proteccin de informacin. Gua de implementacin Cuando se desarrolla una poltica sobre el empleo de controles criptogrficos se debera considerar lo siguiente: a) el enfoque de gestin hacia el empleo de controles criptogrficos a travs de la organizacin, incluyendo los principios generales bajo los cuales la informacin de negocio debera ser protegida (vase tambin el apartado 5.1.1); b) basado en una evaluacin de riesgo, el nivel requerido de proteccin debera ser identificado teniendo en cuenta el tipo, la fuerza, y la calidad del algoritmo de cifrado requerido; c) el empleo de cifrado para proteccin de informacin sensible transportada por medios de comunicacin mviles o removibles, por dispositivos o a travs de lneas de comunicacin; d) un enfoque de gestin de llaves, incluyendo mtodos para tratar la proteccin de llaves criptogrficas y la recuperacin de informacin cifrada en el caso de llaves perdidas, comprometidas o daadas; e) funciones y responsabilidades, por ejemplo quien es responsable de: 1) la implementacin de la poltica; 2) la gestin de la llave, incluyendo la generacin de la llave (vase tambin el apartado 12.3.2); f) las normas a ser adoptadas para la implementacin eficaz en todas partes de la organizacin (qu solucin usar para qu proceso de negocio);
g) el impacto de usar informacin cifrada, sobre los controles que confan en la inspeccin de contenido (por ejemplo la deteccin de virus). Al implementar la poltica criptogrfica de la organizacin, se debera considerar las regulaciones y las restricciones nacionales que podran aplicarse al empleo de tcnicas criptogrficas en las diferentes partes del mundo y las cuestiones de pasaje de frontera de transacciones de informacin cifrada (vase tambin el apartado 15.1.6). Los controles criptogrficos pueden ser usados para alcanzar diferentes objetivos de seguridad, por ejemplo: a) confidencialidad: utilizacin de cifrado de informacin para proteger informacin sensible o crtica, almacenada o transmitida; b) integridad/autenticidad: la utilizacin de firmas digitales o cdigos de autenticacin de mensaje para proteger la autenticidad y la integridad de la informacin sensible o crtica almacenada o transmitida; c) no repudio: utilizacin de tcnicas criptogrficas para obtener pruebas del suceso o no de un acontecimiento o accin. Informacin adicional
103
Se debera tomar una decisin en cuanto a si una solucin criptogrfica es apropiada sea vista como parte del proceso ms amplio de evaluacin de riesgo y seleccin de control. Esta evaluacin puede entonces ser usada para determinar si un control criptogrfico es apropiado, qu tipo del control se debera aplicar y para qu propsito y proceso de negocio. Una poltica sobre el empleo de controles criptogrficos es necesaria para maximizar las ventajas y reducir al mnimo los riesgos de usar tcnicas criptogrficas, y evitar el empleo inadecuado o incorrecto. Usando firmas digitales, se debera dar consideracin a cualquier legislacin relevante, en particular la legislacin que describe las condiciones en las cuales una firma digital obliga legalmente (vase el apartado 15.1). Se debera buscar la asesora de un especialista para identificar el nivel apropiado de proteccin y definir las especificaciones convenientes que proporcionarn la proteccin requerida y apoyarn la implementacin de un sistema de gestin de llaves seguro (vase tambin el apartado 12.3.2). El comit conjunto ISO/IEC JTC1 SC27 ha desarrollado varias normas relacionadas con controles criptogrficos. Tambin puede ser encontrada informacin adicional en la Norma IEEE P1363 y en las directrices OECD sobre criptografa. 12.3.2 Gestin de llaves Control Se debera establecer la gestin de llaves para apoyar el uso de tcnicas criptogrficas en la organizacin. Gua de implementacin Todas las llaves criptogrficas deberan ser protegidas contra la modificacin, la prdida, y la destruccin. Adems, llaves secretas y privadas necesitan la proteccin contra el descubrimiento no autorizado. El equipo para generar, almacenar y archivar llaves debera ser protegido fsicamente. El sistema de gestin de llaves debera estar basado en un conjunto reconocido de normas, procedimientos, y mtodos seguros para: a) generar llaves para sistemas criptogrficos diferentes y aplicaciones diferentes; b) generar y obtener certificados de llave pblica; c) distribuir llaves a los usuarios que corresponda, incluyendo cmo se debera activar las llaves al recibirse; d) almacenar llaves, incluyendo cmo los usuarios autorizados obtienen el acceso a las llaves; e) cambiar o actualizar llaves , incluyendo reglas sobre cundo las llaves deberan ser cambiadas y cmo se debera hacer esto; f) tratar con llaves comprometidas;
g) revocar llaves incluyendo cmo se debera retirar o desactivar las mismas, por ejemplo, cuando las llaves estn comprometidas o cuando un usuario se desvincula de la organizacin (en cuyo caso se debera tambin, archivar las llaves); h) recuperar llaves que se han perdido o corrompido como parte de la gestin de continuidad del negocio, por ejemplo, para recuperar la informacin cifrada; 104
i) j)
archivar llaves, por ejemplo, para informacin archivada o de respaldo; destruir llaves;
k) registrar y auditar las actividades relacionadas con la gestin de las llaves. Para reducir la probabilidad de compromiso, las fechas de activacin, y desactivacin de llaves deberan ser definidas de modo que las llaves slo puedan ser usadas durante un perodo limitado de tiempo. Este perodo de tiempo debera ser dependiente de las circunstancias en las cuales el control criptogrfico es usado, y el riesgo percibido. Adems de la gestin segura de llaves secretas y privadas, la autenticidad de las llaves pblicas tambin debera ser considerada. Este proceso de autenticacin puede ser hecho usando los certificados de llave pblica que normalmente son emitidos por una autoridad de certificacin, que debera ser una organizacin aprobada con controles y procedimientos adecuados para proporcionar el grado de confiabilidad requerido. El contenido de los acuerdos de nivel de servicio o de los contratos con los proveedores de servicios criptogrficos (por ejemplo una autoridad certificadora) deberan cubrir los aspectos de las obligaciones y responsabilidades, fiabilidad de los servicios y tiempos de respuesta para su suministro (vase el apartado 6.2.3). Informacin adicional La gestin de llaves criptogrficas es esencial para el empleo eficaz de tcnicas criptogrficas. La norma ISO/IEC 11770 proporciona informacin adicional sobre la gestin de llave. Los dos tipos de tcnicas criptogrficas son: a) tcnicas de llaves secretas, donde dos o ms partes comparten la misma llave y esta llave es usada tanto para cifrar como descifrar la informacin; esta llave se debera mantener secreta puesto que cualquiera que tenga acceso a ella puede descifrar toda la informacin cifrada con dicha llave, o introducir informacin no autorizada con esa llave; b) tcnicas de llave pblica, donde cada usuario tiene un par de llaves, una llave pblica (que puede ser revelada a alguien) y una llave privada (que tiene que ser mantenida secreta); Las tcnicas de llave pblica pueden ser usadas para el cifrado y producir firmas digitales (vase tambin las Normas ISO/IEC 9796 e ISO/IEC 14888). Existe la amenaza de falsificar una firma digital substituyendo la llave pblica de un usuario. Este problema es manejado con el empleo de certificado de llave pblica. Las tcnicas criptogrficas tambin pueden ser usadas para proteger llaves criptogrficas. Puede ser necesario considerar procedimientos para manejar demandas legales por el acceso a llaves criptogrficas, por ejemplo informacin cifrada puede tener que estar disponible en forma no cifrada como evidencia en un caso judicial.
12.4 Seguridad de los archivos del sistema

Objetivo: Garantizar la seguridad de los archivos del sistema. El acceso a archivos del sistema y el cdigo original de programa debera ser controlado, y los proyectos de tecnologa de la informacin y las actividades de apoyo conducidas en una manera segura. Se debera tener cuidado para evitar la exposicin de datos sensibles en ambientes de prueba.
105
12.4.1 Control de software operacional Control Los procedimientos para controlar la instalacin de software sobre sistemas operacionales deberan ser implementados. Gua de implementacin Para reducir al mnimo el riesgo de corrupcin en sistemas operacionales, las directrices siguientes, deberan ser consideradas en el control de cambio: a) la actualizacin de software operacional, aplicaciones, y bibliotecas de programas slo deberan ser realizada por administradores formados con la apropiada autorizacin de la direccin (vase el apartado 12.4.3); b) los sistemas operacionales deberan tener slo cdigo ejecutable aprobado y no cdigo de desarrollo o compiladores. c) el software de aplicaciones y el de sistemas operativos debera ser implementados slo despus de pruebas extensas y exitosas; las pruebas deberan incluir pruebas sobre la utilidad, la seguridad, efectos sobre otros sistemas y facilidades de uso, y deberan ser realizadas sobre sistemas separados (vase tambin el apartado 10.1.4); se debera asegurar que todas las bibliotecas de programas fuentes correspondientes han sido actualizadas; d) se debera utilizar un sistema de control de configuracin para mantener el control de todo el software implementado as como la documentacin del sistema; e) debera existir una estrategia de a anulacin antes de que los cambios sean implementados; f) se debera mantener un registro de auditora de todas las actualizaciones a las bibliotecas de programas operacionales;
g) se debera conservar la versin anterior del software de aplicacin como una medida de contingencia; h) se debera archivar las versiones viejas de software, junto con toda la informacin requerida y parmetros, procedimientos, detalles de configuracin, y el software de apoyo mientras los datos son conservados en el archivo. El software utilizado en los sistemas operacionales suministrados por vendedores debera mantener un nivel de servicio apoyado por el proveedor. Con el tiempo, los vendedores de software dejarn de dar soporte a las versiones ms viejas de software. La organizacin debera considerar los riesgos de confiar en el software sin soporte. Cualquier decisin de cambio a una nueva versin se debera tener en cuenta para el cambio, los requisitos del negocio y la seguridad de la nueva versin, por ejemplo la introduccin de una nueva funcionalidad de seguridad o el nmero y la severidad de problemas de seguridad que afectan esta versin. Los parches de software deberan ser aplicados cuando puedan ayudar a quitar o reducir debilidades de seguridad (vase tambin el apartado 12.6.1). El acceso fsico o lgico nicamente debera otorgarse a los proveedores para propsitos de soporte, cuando sea necesario, y con aprobacin de la direccin. Las actividades del proveedor deberan ser supervisadas.
106
El software de computador puede depender de software y mdulos suministrados externamente, lo cual se debera supervisar y controlar para evitar cambios no autorizados que puedan introducir debilidades de seguridad. Informacin adicional Slo se debera actualizar los sistemas operativos cuando hay un requisito para tal, por ejemplo, si la versin actual del sistema operativo no soporta las exigencias de negocio. Las mejoras no deberan ocurrir solamente porque una nueva versin del sistema operativo est disponible. Las nuevas versiones de sistemas operativos pueden ser menos seguras, menos estables, y menos entendidas que los sistemas actuales. 12.4.2 Proteccin de datos de prueba del sistema Control Los datos de prueba deberan ser seleccionados cuidadosamente, protegidos y controlados. Gua de implementacin Para hacer pruebas se debera evitar el empleo de bases de datos de produccin que contienen informacin personal o cualquier otra informacin sensible. Si se utiliza informacin personal o cualquier otra informacin sensible para hacer pruebas, todos los detalles y el contenido sensible deberan ser eliminados o modificados, ms all de que ser reconocidos, antes del empleo. Las directrices siguientes deberan ser aplicadas para proteger datos operacionales cuando son utilizados con propsito de prueba: a) los procedimientos de control de acceso, que se aplican a sistemas de aplicaciones operacionales, es recomendable que ser tambin aplicados a los sistemas de prueba de aplicaciones; b) se debera autorizar por separado, cada vez que se copie la informacin operacional a una prueba del sistema de aplicacin; c) se debera borrar, la informacin operacional de una prueba del sistema de aplicacin inmediatamente despus de que las pruebas son completadas; d) se debera registrar, la copia y el empleo de informacin operacional para proporcionar una pista de auditora. Informacin adicional Las pruebas de sistema y de aceptacin requieren por lo general volmenes sustanciales de datos de prueba que ser tan cercanos como sea posible a datos operacionales. 12.4.3 Control de acceso al cdigo fuente de programas Control El acceso al cdigo fuente de programas debera ser restringido. Gua de implementacin El acceso al cdigo fuente de programas y artculos asociados (tales como diseos, especificaciones, planes de verificacin y planes de validacin) debera ser estrictamente controlado, para prevenir la introduccin de funcionalidad no autorizada y evitar cambios 107
involuntarios. Para el cdigo de programas fuente, esto puede alcanzarse por un almacenamiento central controlado de tal cdigo, preferentemente en bibliotecas de programas fuente. Las directrices siguientes deberan ser consideradas (vase tambin el Captulo 11) para controlar el acceso a tales bibliotecas de programas fuente y para reducir el potencial de corrupcin de programas del computador: a) de ser posible, las bibliotecas de programas fuente no deberan estar contenidas en los sistemas operacionales; b) el cdigo de programas fuente y las bibliotecas de programas fuente se deberan gestionar segn procedimientos establecidos; c) el personal de apoyo no debera tener acceso ilimitado a las bibliotecas de programas fuente; d) la actualizacin de bibliotecas de programas fuente y artculos asociados, y la entrega de programas fuente a programadores slo se debera realizar despus de que la autorizacin apropiada ha sido recibida; e) los listados de programas se deberan mantener en un ambiente seguro (vase el apartado 10.7.4); f) se debera mantener un registro de auditora de todos los accesos a bibliotecas de programas fuente;
g) el mantenimiento y la copia de bibliotecas de programas fuente deberan estar sujetos a procedimientos estrictos de control de cambio (vase el apartado 12.5.1). Informacin adicional El cdigo de programas fuente es el cdigo escrito por programadores, el cual es compilado (y enlazado) para crear ejecutables. Ciertos lenguajes de programacin no distinguen entre el cdigo fuente y ejecutables, cuando el ejecutable se crea al mismo tiempo que son activados. Las Normas INTE/ISO 10007 e ISO/IEC 12207 proporcionan informacin adicional sobre los procesos de gestin de configuracin y el proceso de ciclo de vida del software.
12.5 Seguridad en los procesos de desarrollo y soporte

Objetivo: Mantener la seguridad del software de aplicacin e informacin. Los proyectos y ambientes de soporte se deberan controlar estrictamente. Los gerentes responsables de sistemas de aplicacin tambin deberan ser responsables de la seguridad del proyecto o ambiente de soporte. Ellos deberan asegurarse de que todos los cambios propuestos en el sistema se revisen para comprobar que no pongan en peligro la seguridad del sistema ni del ambiente de produccin. 12.5.1 Procedimientos de control de cambio Control La implementacin de cambios debera ser controlada mediante el empleo de procedimientos formales de control de cambio.
108
Gua de implementacin Para reducir al mnimo la corrupcin de sistemas de informacin, se debera documentar y hacer cumplir procedimientos formales de control de cambio. La introduccin de nuevos sistemas y cambios mayores a sistemas existentes deberan seguir un proceso formal de documentacin, especificacin, pruebas, control de calidad, y gestin de implementacin. Este proceso debera incluir una evaluacin de riesgo, el anlisis de los impactos de cambios, y la especificacin de los controles de seguridad necesarios. Este proceso tambin debera asegurar que los procedimientos existentes de seguridad y control no son comprometidos, que a los programadores de apoyo se les da el acceso slo a aquellas partes del sistema necesario para su trabajo, y que el acuerdo formal y la aprobacin para cualquier cambio son obtenidos. Donde sea posible, los procedimientos de control de cambio de aplicacin y operacionales se deberan integrar (vase tambin el apartado 10.1.2). Los procedimientos de cambio deberan incluir: a) el mantenimiento de un registro de niveles de autorizacin acordados; b) asegurarse de que los cambios ser solicitados por usuarios autorizados; c) revisar los controles y procedimientos de integridad para asegurarse de que no sern comprometidos por los cambios; d) identificar todo el software, la informacin, entidades de base de datos, y el hardware que requieran enmienda; e) obtener la aprobacin formal para propuestas detalladas antes de que comience el trabajo; f) asegurarse de que los usuarios autorizados acepten los cambios antes de la implementacin;
g) asegurarse de que al terminar cada cambio la documentacin de sistema es actualizada y que la vieja documentacin es archivada o eliminada; h) el mantenimiento de una versin controlada de todas las actualizaciones de software; i) j) el mantenimiento de una pista de auditora de todo el cambio solicitado; asegurarse de que la documentacin de operaciones (vase el apartado 10.1.1) y los procedimientos de usuario sean cambiados segn sea necesario para que permanezcan adecuados;
k) asegurarse de que la implementacin de cambios ocurra en el momento adecuado y no interfiera los procesos de negocio implicados. Informacin adicional El cambio del software puede afectar el ambiente de produccin. Las buenas prcticas incluyen las pruebas del software nuevo en un ambiente segregado tanto del ambiente de produccin como del ambiente de desarrollo (vase tambin el apartado 10.1.4). Esto proporciona un medio para tener el control sobre el nuevo software y permitir proteccin adicional a la informacin de produccin que es utilizada para hacer pruebas. Esto debera incluir parches, paquetes de actualizaciones y otras actualizaciones. Las actualizaciones automatizadas no deberan ser usadas sobre sistemas crticos ya que algunas actualizaciones pueden hacer que fallen aplicaciones crticas (vase el apartado 12.6).
109
12.5.2 Revisin tcnica de aplicaciones despus de cambios del sistema operativo Control Cuando los sistemas operativos son cambiados, las aplicaciones crticas del negocio deberan ser revisadas y probadas para asegurar que no hay ningn impacto adverso sobre las operaciones o seguridad de la organizacin. Gua de implementacin En este proceso se debera cubrir: a) la revisin de los controles de aplicacin y procedimientos de integridad para asegurar que ellos no han sido comprometidos por los cambios de sistema operativo; b) asegurarse de que el plan de apoyo anual y el presupuesto cubrirn pruebas y revisiones de sistema resultantes de los cambios de sistema operativo; c) asegurarse de que la notificacin de cambios al sistema operativo es proporcionada a tiempo para permitir que ocurran pruebas y revisiones apropiadas antes de la puesta en produccin; d) asegurarse de que los cambios apropiados ser realizados en los planes de continuidad de negocio (vase el Captulo 14). Se debera dar a un grupo o individuo especfico la responsabilidad de supervisar vulnerabilidades y las liberaciones de parches y actualizaciones de los vendedores (vase el apartado 12.6).
12.5.3 Restricciones sobre cambios a paquetes de software Control Las modificaciones a paquetes de software deberan ser desalentadas, limitadas a cambios necesarios, y todos los cambios deberan ser estrictamente controlados. Gua de implementacin En la medida de lo posible, y practicable los paquetes de software, suministrados por vendedores deberan ser utilizados sin modificacin. Cuando un paquete de software necesite ser modificado los siguientes puntos deberan ser considerados: a) el riesgo de que los controles incluidos y la integridad de los procesos sea comprometida; b) si se debera obtener el consentimiento del vendedor; c) la posibilidad de obtener los cambios requeridos del vendedor como actualizaciones normales de programa estndar; d) el impacto ocasionado, si la organizacin se hace responsable por el futuro mantenimiento del software como consecuencia de los cambios.
110
Si los cambios son necesarios el software original debera ser conservado y los cambios aplicados a una copia claramente identificada. Un proceso de gestin de actualizacin de software debera ser puesto en prctica para asegurar que los parches ms actualizados aprobados y actualizaciones de aplicacin son instalados para todo el software autorizado (vase el apartado 12.6). Todos los cambios deberan ser totalmente probados y documentados, de modo que ellos puedan ser vueltos a aplicar si fuera necesario a futuras mejoras de software. De ser requerido, las modificaciones deberan ser probadas y validadas por un equipo de evaluacin independiente. 12.5.4 Fuga de Informacin Control Se debera prevenir las oportunidades para la fuga de la informacin. Gua de implementacin Para limitar el riesgo de fugas de informacin, por ejemplo, por el empleo y la explotacin de canales encubiertos, se debera considerar lo siguiente: a) explorar los medios de comunicacin de salida y comunicaciones de informacin oculta; b) enmascaramiento y modulacin de sistemas y comportamiento de comunicaciones para reducir la probabilidad de que un tercero sea capaz de deducir informacin de tal comportamiento; c) hacer uso de sistemas y software que son considerados, de alta integridad, por ejemplo productos evaluados (vase la Norma ISO/IEC 15408); d) donde sea permitido, supervisin regular de personal y actividades de sistema, conforme a legislacin o regulacin existente; e) seguimiento del uso del recurso en sistemas de computador.
Informacin adicional Los canales encubiertos son los caminos que no estn previstos para conducir flujos de la informacin, pero que sin embargo pueden existir en un sistema o la red. Por ejemplo, manipular bits en protocolos de comunicacin de paquetes podra ser usado como un mtodo oculto de sealizacin. Por naturaleza, prevenir la existencia de todos los posibles canales encubiertos sera difcil, si no imposible. Sin embargo, la explotacin de tales canales es a menudo realizada por cdigo troyano (vase tambin el apartado 10.4.1). Por lo tanto la toma de medidas para proteger contra el cdigo troyano reduce el riesgo de explotacin de canal encubierto. La prevencin acerca de accesos de red no autorizados (11.4), as como la poltica y los procedimientos para desalentar el mal uso de servicios de la informacin por el personal (15.1.5), ayudar a protegerse contra canales encubiertos. 12.5.5 Desarrollo externo de software Control El desarrollo externo de software debera ser supervisado y seguido por la organizacin. Gua de implementacin
111
Cuando el desarrollo de software sea externo, los siguientes puntos deberan ser considerados: a) acuerdos de licencias, la propiedad del cdigo, y derechos de propiedad intelectual (vase el apartado 15.1.2); b) certificacin de la calidad y exactitud del trabajo realizado; c) acuerdos de fideicomiso en caso de incumpliminto del proveedor externo; d) los derechos de acceso para la revisin de la calidad y exactitud de trabajo realizado; e) exigencias contractuales sobre la calidad y seguridad de la funcionalidad del cdigo; f) pruebas antes de la instalacin para descubrir cdigo malicioso y troyano.
12.6 Gestin de vulnerabilidad tcnica

Objetivo: Reducir los riesgos resultantes de la explotacin de vulnerabilidades tcnicas publicadas. La gestin de vulnerabilidades tcnicas se debera implementar de una manera eficaz, sistemtica, y repetible con toma de mediciones para confirmar su eficacia. Estas consideraciones deberan incluir los sistemas operativos, y cualquier otra aplicacin en uso.
12.6.1 Control de vulnerabilidades tcnicas Control Se debera obtener informacin oportuna sobre las vulnerabilidades tcnicas de los sistemas de informacin en uso, evaluarse la exposicin de la organizacin a tales vulnerabilidades, y tomar medidas apropiadas para gestionar el riesgo asociado. Gua de implementacin Un requisito previo para la gestin eficaz de vulnerabilidades tcnicas es un inventario actual y completo de activos (vase el apartado 7.1). Informacin especfica necesaria para apoyar la gestin de vulnerabilidades tcnicas, incluye al vendedor de software, nmeros de versin, el estado actual de distribucin (por ejemplo que software est instalado sobre que sistemas), y la(s) persona(s) responsable(s) dentro de la organizacin del software. Una accin apropiada debera ser tomada, oportunamente, en respuesta a la identificacin de potenciales vulnerabilidades tcnicas. Las siguientes directrices deberan seguirse para establecer un proceso eficaz de gestin de vulnerabilidades tcnicas: a) La organizacin debera definir y establecer los roles y responsabilidades asociados con la gestin de vulnerabilidades tcnicas, incluyendo la supervisin de la vulnerabilidad, la evaluacin de riesgo de la vulnerabilidad, la aplicacin de parches, el seguimiento de activos, y cualquier responsabilidad de coordinacin requerida; 112
b) se debera identificar los recursos de informacin que se van a utilizar para identificar las vulnerabilidades tcnicas pertinentes y para mantener la toma de conciencia sobre ellas para el software y otra tecnologa (basado a la lista de inventario de activos, vase el apartado 7.1.1), estos recursos de informacin deberan ser actualizados basndose en cambios del inventario, o cuando son encontrados otros recursos nuevos o tiles; c) un cronograma para reaccionar a las notificaciones de vulnerabilidades tcnicas potencialmente pertinentes; d) una vez que ha sido detectada una potencial vulnerabilidad tcnica, la organizacin debera identificar los riesgos asociados y las acciones a ser tomadas; tal accin podra implicar el instalar el parche a sistemas vulnerables y/o la aplicacin de otros controles; e) dependiendo de la urgencia para atender una vulnerabilidad tcnica, la accin a tomar se debera realizar segn los controles relacionados a la gestin de cambio (vase el apartado 12.5.1) o segn los procedimientos de respuesta de incidentes de seguridad de la informacin (vase el apartado 13.2); f) si est disponible un parche, los riesgos asociados con la instalacin del parche deberan ser evaluados (los riesgos presentados por la vulnerabilidad deberan ser comparados con el riesgo de instalar el parche); g) los parches deberan ser probados y evaluados antes de ser instalados para asegurarse de que sean eficaces y no causen efectos secundarios intolerables; si no est disponible ningn parche, se debera considerar otros controles, como: 1) deshabilitar servicios o funcionalidades relacionadas con la vulnerabilidad; 2) adaptar o agregar controles de acceso, por ejemplo: muros de fuego, en los bordes de la red (vase el apartado 11.4.5); 3) aumentar el seguimiento para descubrir o prevenir ataques reales; 4) fomentar conciencia de la vulnerabilidad; h) se debera mantener un registro de auditora para todos los procedimientos emprendidos; i) se debera dar seguimiento y evaluar con regularidad el proceso de gestin de vulnerabilidades tcnicas para asegurar su eficacia y eficiencia; se debera gestionar primero los sistemas en alto riesgo.
j)
Informacin adicional El correcto funcionamiento del proceso de gestin de vulnerabilidades tcnicas de una organizacin es crtico en muchas organizaciones y por lo tanto deberan ser supervisado s con regularidad. Un inventario exacto es esencial para asegurar que son identificadas vulnerabilidades tcnicas potencialmente pertinentes. La gestin de vulnerabilidades tcnicas puede ser vista como una sub-funcin de la gestin de cambio y como tal puede aprovechar los procesos y procedimientos de gestin de cambio (vase el apartado 10.1.2 y 12.5.1). Los vendedores estn a menudo bajo la presin significativa de liberar parches cuanto antes. Por lo tanto, un parche puede no gestionar el problema adecuadamente y puede tener efectos secundarios
113
negativos. Tambin, en algunos casos, una vez que el parche es aplicado, puede no ser fcilmente efectuada la desinstalacin del mismo. Si no son posibles las pruebas adecuadas de los parches, por ejemplo debido a gastos o carencia de recursos, puede considerarse, una demora en aplicar el parche, para evaluar los riesgos asociados, basados en la experiencia reportada por otros usuarios.
13
GESTIN DE INCIDENTES DE LA SEGURIDAD DE LA INFORMACIN
13.1 Reporte de debilidades y eventos de seguridad de la informacin

Objetivo: Asegurarse de que las debilidades y eventos de seguridad de la informacin asociados a sistemas de informacin ser comunicadas de manera que permita tomar acciones correctivas a tiempo. Se debera establecer procedimientos formales de reporte y escalamiento de eventos. Todos los empleados, contratistas y usuarios de terceras partes deberan ser puestos al tanto de los procedimientos para reportar los diversos tipos de eventos y debilidades que puedan tener un impacto en la seguridad de activos de la organizacin. Es conveniente que sea requerido reportar cualquier evento o debilidad de seguridad de la informacin lo ms rpidamente posible al punto designado de contacto. 13.1.1 Reportando eventos de seguridad de la informacin Control Los eventos de seguridad de la informacin se deberan informar a travs de los canales apropiados de gestin tan pronto como sea posible.
Gua de implementacin Se debera establecer un procedimiento formal para la notificacin de eventos de seguridad de la informacin, junto con una respuesta al incidente y un procedimiento de escalamiento, precisando la accin que se tomar al momento de recibir un informe de un evento de seguridad de la informacin. Es recomendable establecer un punto de contacto para la notificacin de los eventos de seguridad de la informacin. Debera asegurarse de que este punto de contacto se conozca en toda la organizacin, est siempre disponible y pueda proporcionar una respuesta adecuada y oportuna. Se debera advertir a todos los empleados, contratistas y usuarios de terceros de su responsabilidad de notificar cualquier evento de seguridad de la informacin lo ms rpidamente posible. Es conveniente tambin que conozcan el procedimiento para notificar los eventos de seguridad de la informacin y el punto de contacto. Los procedimientos de notificacin deberan incluir: a) procesos adecuados de realimentacin que aseguren que aquellos que informan eventos de seguridad de la informacin son notificados de los resultados una vez que el informe se haya tratado y haya sido cerrado; b) formularios para el reporte de eventos de seguridad de la informacin para facilitar la accin de reportar, y ayudar a la persona que reporta a recordar todas las acciones necesarias en caso de un evento de seguridad de la informacin; 114
c) el comportamiento correcto que se emprender en caso de un evento de seguridad de la informacin, es decir: 1) tomando nota de todos los detalles importantes (por ejemplo, tipo del incumplimiento o violacin, mal funcionamiento que se presenta, mensajes en la pantalla, comportamiento extrao) inmediatamente; 2) no realizando ninguna accin propia, pero inmediatamente reportar al punto de contacto; d) referencia a un proceso disciplinario formal establecido para tratar con empleados, contratistas o usuarios de terceros que cometen eventos de seguridad. En ambientes de alto riesgo, una alarma de coercin puede ser proporcionada mediante la cual una persona bajo coercin pueda indicar tales problemas. Los procedimientos para responder a las alarmas de coercin deberan reflejar la situacin de alto riesgo que tales alarmas estn indicando. Informacin adicional Ejemplos de eventos e incidentes de seguridad de la informacin son: a) prdida de servicio, de equipos o de instalaciones; b) mal funcionamiento o sobrecargas del sistema; c) errores humanos; d) no cumplimiento con polticas u orientaciones e) violaciones de las disposiciones de seguridad fsica; f) cambios de sistema no controlados;
g) mal funcionamiento de software o hardware; h) violaciones de acceso. Con el debido cuidado de los aspectos de confidencialidad, los incidentes de seguridad de la informacin se pueden utilizar en la formacin de toma de conciencia del usuario (vase el apartado 8.2.2) como ejemplos de lo que podra suceder, cmo responder a tales incidentes, y cmo evitarlos en el futuro. Para poder atender eventos e incidentes de seguridad de la informacin podra ser necesario recoger evidencia tan pronto como sea posible despus de la ocurrencia (vase el apartado 13.2.3). Los desperfectos u otros comportamientos anmalos del sistema pueden ser un indicador de un ataque a la seguridad o de una violacin real a la seguridad y por lo tanto siempre se debera reportar como un evento de seguridad de la informacin. Se puede encontrar ms informacin sobre la notificacin de eventos de seguridad de la informacin y gestin de los incidentes de seguridad de la informacin en la norma INTE ISO/IEC TR 18044. 13.1.2 Notificacin de las debilidades de seguridad Control
115
A todos los empleados, contratistas y usuarios de terceros de sistemas y de los servicios de informacin se les debera exigir, observar y reportar cualquier debilidad de seguridad vista o sospechada en sistemas o servicios. Gua de implementacin Todos los empleados, contratistas y usuarios de terceros deberan reportar estos asuntos ya, sea a su gerencia o directamente a su proveedor de servicios lo ms rpidamente posible para prevenir incidentes de seguridad de la informacin. El mecanismo de reporte debera ser sencillo, accesible, y disponible segn sea posible. Se les debera informar a ellos que, en ninguna circunstancia, se debera intentar probar una debilidad sospechada. Informacin adicional Los empleados, los contratistas y los usuarios de terceros deberan ser aconsejados de no procurar probar debilidades sospechadas de seguridad. Pruebas de debilidades pueden ser interpretadas como un potencial uso errneo del sistema y podran tambin causar dao al sistema de informacin o al servicio y resultar en una responsabilidad legal para el individuo que realizaba la prueba.
13.2 Gestin de incidentes y mejoras de seguridad de la informacin

Objetivo: Asegurarse de que un enfoque coherente y eficaz se aplique a la gestin de los incidentes de seguridad de la informacin. Se deberan establecer responsabilidades y procedimientos para manejar eventos y debilidades de seguridad de la informacin con eficacia una vez que se hayan reportado. Es recomendable aplicar un proceso de mejora continua a la respuesta, seguimiento, evaluacin, y gestin general de incidentes de seguridad de la informacin. Cuando se requiera evidencia, es recomendable que la misma sea recogida asegurando conformidad con requisitos legales.
13.2.1 Responsabilidades y procedimientos

Control Se deberan establecer las responsabilidades y los procedimientos de gestin para asegurar una respuesta rpida, eficaz, y ordenada a los incidentes de seguridad de la informacin. Gua de implementacin Adems del reporte de los eventos y de las debilidades de seguridad de la informacin (vase tambin el apartado 13.1), la supervisin de sistemas, alarmas, y vulnerabilidades (vase el apartado 10.10.2) se debera utilizar para detectar incidentes de seguridad de la informacin. Las siguientes directrices para procedimientos de gestin de incidentes de seguridad de la informacin deberan ser consideradas: a) se debera establecer procedimientos para manejar diversos tipos de incidente de seguridad de la informacin, incluyendo: 1) fallos del sistema de informacin y prdida de servicio; 2) cdigo malicioso (vase el apartado 10.4.1); 3) negacin de servicio; 116
4) errores producidos por datos de negocio incompletos o inexactos; 5) violaciones de la confidencialidad e integridad; 6) uso errneo de los sistemas de informacin; b) adems de planes de contingencia (vase el apartado 14.1.3), es recomendable que los procedimientos tambin cubran (vase el apartado 13.2.2): 1) anlisis e identificacin de la causa del incidente; 2) contencin; 3) la planificacin e implementacin de la accin correctiva para prevenir la repeticin, en caso de necesidad; 4) comunicacin con aquellos afectados por un incidente o involucrados en su recuperacin; 5) reporte del evento a la autoridad apropiada; c) pistas de auditora y evidencia similar se debera recoger (vase el apartado 13.2.3) y asegurarlas, cuando sea apropiado, para: 1) anlisis interno del problema; 2) uso como evidencia forense en lo referente a una violacin potencial de un contrato o de un requisito regulador o en la eventualidad de procesos civiles o penales, por ejemplo, bajo legislacin de abuso de sistemas o de proteccin de los datos; 3) negociar una compensacin por parte de proveedores de software y de servicio; d) la accin para la recuperacin de las violaciones de la seguridad y la correccin de las fallas del sistema debera estar cuidadosa y formalmente controlada; los procedimientos deberan asegurar que: 1) solamente al personal claramente identificado y autorizado se le permite el acceso a los sistemas operacionales y a sus datos (vase tambin el apartado 6.2 para el acceso externo); 2) todas las medidas de urgencia tomadas ser documentadas detalladamente; 3) las medidas de urgencia ser reportadas a la direccin y se revisen de una manera ordenada; 4) la integridad de los sistemas y de los controles del negocio ser confirmados con un retraso mnimo. Los objetivos para la gestin de incidentes de seguridad de la informacin deberan ser acordados con la direccin, y se debera asegurar que aquellos responsables de esta gestin entienden las prioridades de la organizacin para manejar incidentes de seguridad de la informacin. Informacin adicional Los incidentes de seguridad de la informacin pueden superar los lmites de la organizacin y los nacionales. Para responder a tales incidentes existe una necesidad en aumento de coordinar
117
respuesta y compartir la informacin sobre estos incidentes con organizaciones externas apropiadas. 13.2.2 Aprendiendo de los incidentes de seguridad de la informacin Control Deberan existir mecanismos establecidos para permitir que los tipos, volmenes y costos de los incidentes de seguridad de la informacin ser cuantificados y supervisados. Gua de implementacin La informacin obtenida de la evaluacin de incidentes de seguridad de la informacin debera ser usada para identificar incidentes recurrentes o de alto impacto. Informacin adicional La evaluacin de incidentes de seguridad de la informacin puede indicar la necesidad de mejorar o agregar controles para limitar la frecuencia, dao y costo de futuras ocurrencias, o para ser tomada en cuenta en el proceso de revisin de la poltica de seguridad (vase el apartado 5.1.2). 13.2.3 Recoleccin de evidencia Control Cuando una accin de seguimiento contra una persona u organizacin, despus de un incidente de seguridad de la informacin, implica una accin legal (civil o penal), se debera recolectar, retener y presentar evidencia para cumplir con las reglas de presentacin de evidencia en la(s) jurisdiccin(es) relevante(s).
Gua de implementacin Se debera desarrollar y seguir procedimientos internos al recoger y presentar la evidencia para los propsitos de accin disciplinaria manejados dentro de una organizacin. En general, las reglas para manejo de evidencias cubren: a) admisibilidad de la evidencia: si la evidencia se puede utilizar o no en la corte; b) peso de evidencia: la calidad y la totalidad de la evidencia. Para alcanzar la admisibilidad de la evidencia, la organizacin debera asegurarse de que sus sistemas de informacin cumplen con cualquier norma o cdigo de prctica publicado para la produccin de evidencia admisible. El peso de la evidencia proporcionado debera estar de acuerdo con cualquier requisito aplicable. Para lograr el peso de la evidencia, se debera demostrar la calidad y totalidad de los controles empleados para proteger correcta y consistentemente la evidencia (es decir, evidencia del control del proceso) durante todo el periodo de almacenamiento y procesamiento de la misma, mediante una pista slida de la evidencia. En general, dicha pista slida se puede establecer bajo las siguientes condiciones:
118
a) para los documentos en papel: el original se guarda de manera segura con un registro de el individuo que encontr el documento, dnde fue encontrado el documento, cundo el documento fue encontrado y quin fue testigo del descubrimiento; cualquier investigacin debera asegurar que los originales no ser alterados; b) para la informacin sobre medios de computadora: las imgenes o las copias espejo (dependiendo de requisitos aplicables) de cualquier medio removible, informacin en discos duros o en memoria deberan ser tomadas para asegurar su disponibilidad; el registro de todas las acciones durante el proceso de copiado debera ser guardado y el proceso debera ser efectuado ante testigos; los medios originales y el registro (si este no es posible, por lo menos una imagen espejo o copia) debera ser guardado de manera segura e intactos. Cualquier trabajo forense debera ser realizado solamente sobre copias del material de evidencia. La integridad de todo el material de evidencia debera ser protegida. La copia de material de evidencia debera ser supervisada por personal digno de confianza y se debera registrar informacin sobre cundo y dnde el proceso de copiado fue ejecutado, quin realiz las actividades de copiado y qu herramientas y programas se han utilizado. Informacin adicional Cuando un evento de seguridad de la informacin se detecta por primera vez, puede no ser obvio si el evento dar lugar a una accin legal o no. Por lo tanto, existe el peligro que evidencia necesaria sea destruida intencionalmente o accidentalmente antes que la seriedad del incidente se observe. Es recomendable implicar a un abogado o a la polica temprano en cualquier demanda legal contemplada y asesorarse sobre la evidencia requerida. La evidencia puede superar lmites de la organizacin y/o jurisdiccionales. En tales casos, es recomendable asegurar que la organizacin tiene derecho a recoger la informacin requerida como evidencia. Los requisitos de diversas jurisdicciones tambin deberan ser considerados para maximizar la posibilidad de admisin de la misma a travs de las jurisdicciones pertinentes.
14
GESTIN DE LA CONTINUIDAD DEL NEGOCIO
14.1 Aspectos de seguridad de la informacin en la gestin de la continuidad del negocio

Objetivo: Contrarrestar interrupciones a las actividades del negocio y proteger los procesos crticos del negocio contra los efectos de fallas importantes en los sistemas de informacin o desastres, y asegurarse de su restauracin oportuna. Se debera implementar un proceso de gestin de la continuidad del negocio para minimizar el impacto en la organizacin y recuperarse por la prdida de activos de informacin (la cual puede ser el resultado de, por ejemplo, desastres naturales, accidentes, fallas del equipo y acciones deliberadas) hasta un nivel aceptable mediante la combinacin de controles preventivos y de recuperacin. En este proceso debera identificar los procesos crticos para el negocio e integrar los requisitos de la continuidad del negocio de la gestin de la seguridad de la informacin con los requisitos de continuidad relacionados con aspectos tales como operaciones, personal, materiales, transporte e instalaciones. Las consecuencias de desastres, fallas de seguridad, prdida del servicio y disponibilidad del servicio deberan ser sometidas a un anlisis del impacto en el negocio. Se debera desarrollar e implementar planes de continuidad del negocio para asegurarse de la restauracin oportuna de las operaciones esenciales. La seguridad de la informacin debera ser una parte integral de todo el proceso de continuidad del negocio y de otros procesos de gestin en la organizacin. 119
La gestin de la continuidad del negocio debera incluir controles para identificar y reducir riesgos, adems del proceso general de evaluacin de riesgos, limitar las consecuencias de los incidentes dainos y garantizar la disponibilidad de la informacin requerida para los procesos del negocio. 14.1.1 Inclusin de la seguridad de la informacin en el proceso de gestin de la continuidad del negocio Control Se debera desarrollar y mantener un proceso de gestin de la continuidad del negocio en toda la organizacin, que aborde los requisitos de seguridad de la informacin necesarios para la continuidad del negocio de la organizacin. Gua de implementacin El proceso debera reunir los siguientes elementos clave para la gestin de la continuidad del negocio: a) comprensin de los riesgos que enfrenta la organizacin en trminos de la probabilidad y el impacto en el tiempo, incluyendo la identificacin y la determinacin de la prioridad de los procesos crticos del negocio (vase el apartado 14.1.2); b) identificacin de todos los activos involucrados en los procesos crticos del negocio (vase el apartado 7.1.1); c) comprensin del impacto que puedan tener las interrupciones causadas por incidentes de seguridad de la informacin (es importante encontrar soluciones para manejar los incidentes que producen impactos menores, as como los incidentes graves que puedan amenazar la viabilidad de la organizacin), y establecer los objetivos del negocio para los servicios de procesamiento de informacin; d) consideracin de la adquisicin de plizas de seguros adecuadas que puedan formar parte tanto como el proceso de continuidad del negocio como la gestin de riesgos operativos; e) identificacin y consideracin de la implementacin de controles preventivos y mitigantes adicionales; f) identificacin de recursos financieros, organizacionales, tcnicos y ambientales suficientes para tratar los requisitos identificados de la seguridad de la informacin;
g) asegurndose de la seguridad del personal y la proteccin de los servicios de procesamiento de informacin y de propiedad de la organizacin; h) formulacin y documentacin de los planes de continuidad del negocio que abordan los requisitos de seguridad de la informacin acorde con la estrategia de continuidad del negocio establecida (vase el apartado 14.1.3); i) prueba y actualizacin regular de los planes y procesos establecidos (vase el apartado 14.1.5); asegurndose de que la gestin de la continuidad del negocio est incorporada en los procesos y la estructura de la organizacin; la responsabilidad por el proceso de gestin de la continuidad
j)
120
del negocio debera ser asignado en un nivel apropiado en la organizacin (vase el apartado 6.1.1). 14.1.2 Continuidad del negocio y evaluacin de riesgos Control Se debera identificar los eventos que pueden ocasionar interrupciones en los procesos del negocio junto con la probabilidad y el impacto de dichas interrupciones, as como sus consecuencias para la seguridad de la informacin. Gua de implementacin Los aspectos de seguridad de la informacin en la continuidad del negocio estn basados en la identificacin de los eventos (o secuencia de eventos) que pueden causar interrupciones en los procesos del negocio de la organizacin, por ejemplo fallas de los equipos, errores humanos, robo, fuego, desastres naturales y actos terroristas. Se debera continuar con una evaluacin de riesgos para determinar la probabilidad y el impacto de tales interrupciones, en trminos de tiempo, escala de dao y periodo de recuperacin. Las evaluaciones de riesgos para la continuidad del negocio se deberan efectuar con la plena participacin de los dueos de los recursos y los procesos del negocio. Estas evaluaciones deberan considerar todos los procesos del negocio y no deberan limitarse a los servicios de procesamiento de informacin, sino deberan incluir los resultados especficos para la seguridad de la informacin. Es importante vincular en conjunto todos los aspectos del riesgo para obtener un panorama completo de los requisitos de continuidad del negocio de la organizacin. La evaluacin debera identificar, cuantificar y priorizar los riesgos frente a los criterios y los objetivos pertinentes para la organizacin, incluyendo los recursos crticos, impactos de las interrupciones, duracin permitida de corte y prioridades de recuperacin. Dependiendo de los resultados de la evaluacin de riesgos, se debera desarrollar una estrategia de continuidad del negocio para determinar el enfoque global para la continuidad del negocio. Una vez se ha creado esta estrategia, la direccin debera aprobarla y debera crear y respaldar un plan para la implementacin de esta estrategia.
14.1.3 Desarrollo e implementacin de planes de continuidad que incluyan la seguridad de la informacin Control Se deberan desarrollar e implementar planes para mantener o restaurar las operaciones y asegurar la disponibilidad de la informacin en el grado y la escala de tiempo requerido, despus de la interrupcin o la falla de los procesos crticos para el negocio. Gua de implementacin En el proceso de planificacin de la continuidad del negocio se debera considerar los siguientes aspectos: a) identificacin y acuerdo de todas las responsabilidades y procedimientos de continuidad del negocio; b) identificar la prdida aceptable de informacin y servicios; 121
c) implementar los procedimientos que permitan recuperar y restaurar las operaciones del negocio y la disponibilidad de la informacin en las escalas de tiempo requeridas; se debera tener particular atencin en la evaluacin de las dependencias internas y externas del negocio y de los contratos establecidos; d) procedimientos operativos que se han de seguir en espera de la terminacin de la recuperacin y restauracin; e) documentacin de procedimientos y procesos acordados; f) formacin apropiada del personal en los procedimientos y procesos acordados, incluyendo el manejo de las crisis;
g) pruebas y actualizacin de los planes. El proceso de planificacin se debera centrar en los objetivos requeridos del negocio, por ejemplo la restauracin de servicios de comunicacin especficos para los clientes en un lapso aceptable. Se debera identificar los servicios y recursos que lo facilitan, incluyendo el personal, los recursos no relacionados con el procesamiento de informacin, al igual que las disposiciones de reversin para los servicios de procesamiento de informacin. Estas disposiciones de reversin pueden incluir arreglos con terceras partes en forma de acuerdos recprocos o servicios de suscripcin comercial. Los planes de continuidad del negocio deberan afrontar las vulnerabilidades de la organizacin y, por lo tanto, pueden contener informacin sensible que es necesario proteger adecuadamente. Las copias de los planes de la continuidad del negocio deberan estar almacenadas en un lugar lejano, a suficiente distancia para escapar a cualquier dao por algn desastre en la sede principal. La direccin debera garantizar que las copias de los planes de continuidad del negocio estn actualizadas y protegidas con el mismo nivel de seguridad que se aplica en la sede principal. De igual modo, el otro material necesario para ejecutar los planes de continuidad debera estar almacenado en un sitio lejano. Si se utilizan lugares alternativos temporales, el nivel de los controles de seguridad implementados en estos lugares debera ser equivalente al de la sede principal.
Informacin adicional Es conveniente observar que los planes y las actividades de la gestin de crisis (vase el apartado 14.1.3.f)) pueden ser diferentes de la gestin de la continuidad del negocio; es decir, se puede presentar una crisis que se pueda adaptar con procedimientos de gestin normales.
14.1.4 Estructura para la planificacin de la continuidad del negocio Control Se debera mantener una sola estructura de los planes de continuidad del negocio, para asegurar que todos los planes son coherentes, y tratar de forma coherente los requisitos de la seguridad de la informacin, as como identificar las prioridades para pruebas y mantenimiento. Gua de implementacin Cada plan de continuidad del negocio debera describir el enfoque para la continuidad, por ejemplo el enfoque para garantizar la disponibilidad y seguridad de la informacin o del sistema de informacin. Cada plan debera tambin especificar el plan de escalamiento y las condiciones para su activacin, as como las personas responsables de ejecutar cada componente del plan. Cuando se identifiquen nuevos requisitos, cualquier procedimiento de emergencia existente, por ejemplo 122
planes de evacuacin o disposiciones de reversin, se deberan modificar apropiadamente. Los procedimientos deberan incluirse en el programa de gestin de cambios de la organizacin para garantizar el tratamiento adecuado de los aspectos de la continuidad el negocio. Cada plan debera tener un dueo especfico. Los procedimientos de emergencia, los planes de reversin manual y de reanudacin deberan ser responsabilidad de los dueos de los recursos o procesos apropiados del negocio involucrados. Las disposiciones de reversin para los servicios tcnicos alternativos, como servicios de procesamiento de informacin y comunicaciones, deberan ser usualmente responsabilidad de los proveedores del servicio. Una estructura para la planificacin de la continuidad del negocio debera abordar los requisitos de seguridad de la informacin identificados y considerar los siguientes aspectos: a) las condiciones para la activacin de los planes que describen el proceso a seguir (por ejemplo, la forma de evaluar la situacin y quin se va a involucrar) antes de activar cada plan; b) los procedimientos de emergencia que describen las acciones por realizar tras un incidente que ponga en peligro las operaciones del negocio; c) los procedimientos de respaldo que describen las acciones por realizar para desplazar las actividades esenciales del negocio o los servicios de soporte a lugares temporales alternativos y para devolver la operatividad de los procesos del negocio en los plazos requeridos; d) los procedimientos operativos temporales por seguir mientras se terminan la recuperacin y la restauracin; e) los procedimientos de reanudacin que describen las acciones por realizar para que las operaciones del negocio vuelvan a la normalidad; f) una programacin de mantenimiento que especifique cmo y cundo se realizarn pruebas al plan y el proceso para el mantenimiento del plan;
g) actividades de toma de conciencia, educacin y formacin diseadas para comprender los procesos de continuidad del negocio y garantizar que los procesos siguen siendo eficaces;
h) las responsabilidades de las personas, que describan quin es responsable de la ejecucin de cada componente del plan. Si se requiere, se debera nombrar suplentes; i) los activos y recursos crticos necesarios para ejecutar los procedimientos de emergencia, respaldo y reanudacin.
14.1.5 Control
Pruebas, mantenimiento y reevaluacin de los planes de continuidad del negocio
Los planes de continuidad del negocio deberan ser sometidos a pruebas y actualizarse regularmente para asegurar su actualizacin y su eficacia. Gua de implementacin Las pruebas del plan de continuidad del negocio debera asegurar que todos los miembros del equipo de recuperacin y otro personal pertinente son conscientes de los planes y sus responsabilidades para la continuidad del negocio y la seguridad de la informacin, y conocer su funcin cuando se ejecuta un plan. 123
La programacin de las pruebas para los planes de continuidad del negocio debera indicar cmo y cundo se va a probar cada elemento del plan. Cada uno de los elementos deberan ser probados con frecuencia. Es conveniente utilizar una variedad de tcnicas para garantizar que los planes funcionarn en condiciones reales. stas incluiran: a) la prueba sobre papel de varios escenarios (analizando las disposiciones de recuperacin con ayuda de ejemplos de interrupciones); b) las simulaciones (particularmente para la formacin del personal en sus funciones de gestin de crisis / post-incidentes); c) las pruebas de recuperacin tcnica (garantizando que los sistemas de informacin se pueden restaurar eficazmente); d) las pruebas de recuperacin en un lugar alterno (ejecutando procesos del negocio en paralelo con las operaciones de recuperacin fuera de la sede principal); e) las pruebas de los recursos y servicios del proveedor (asegurando que los servicios y productos proporcionados externamente cumplirn el compromiso contrado); f) los ensayos completos (probando que la organizacin, el personal, el equipo, las instalaciones y los procesos pueden hacer frente a las interrupciones).
Cualquier organizacin puede utilizar estas tcnicas. Estas se deberan aplicar de forma pertinente para el plan especfico de recuperacin. Se deberan registrar los resultados de las pruebas y, cuando sea necesario, tomar las acciones para mejorar los planes. Se debera asignar responsabilidad para las revisiones regulares de cada plan de continuidad del negocio. La identificacin de los cambios en las disposiciones del negocio que an no se reflejan en los planes de continuidad del negocio debera ser seguida por la actualizacin adecuada del plan. Este proceso formal de control de cambios debera garantizar la distribucin y el refuerzo de los planes actualizados mediante revisiones regulares del plan completo. Los ejemplos de los cambios en donde se consideren la actualizacin de los planes de continuidad del negocio deberan incluir la adquisicin de equipos nuevos, la mejora de los sistemas y cambios en: a) el personal; b) las direcciones o los nmeros telefnicos; c) la estrategia del negocio; d) los lugares, dispositivos y recursos; e) la legislacin; f) los contratistas, proveedores y clientes principales; g) los procesos existentes, nuevos o retirados; h) los riesgos (operativos y financieros). 124
15
CUMPLIMIENTO
15.1 Cumplimiento de los requisitos legales

Objetivo: Evitar los incumplimientos de cualquier ley, estatuto, regulacin u obligacin contractual, y de cualquier requisito de seguridad. El diseo, operacin, uso y gestin de los sistemas de informacin pueden estar sujetos a requisitos de seguridad estatutarios, reguladores y contractuales. Se debera buscar asesoramiento sobre requisitos legales especficos de los asesores jurdicos de la organizacin, o de profesionales del derecho cualificados. Los requisitos legales varan de un pas a otro y pueden variar para la informacin creada en un pas y que se transmite a otro (es decir, el flujo de datos trans-fronterizo).
15.1.1 Identificacin de la legislacin aplicable Control Todos los requisitos estatutarios, reguladores, y contractuales pertinentes y el enfoque de la organizacin para cumplir estos requisitos deberan ser definidos explcitamente, documentados, y mantenidos al da para cada sistema de informacin y para la organizacin. Gua de implementacin Los controles especficos y responsabilidades individuales para cumplir con los requisitos anteriores deberan ser definidos y documentados de manera similar. 15.1.2 Derechos de propiedad intelectual Control Se deberan implementar los procedimientos apropiados para asegurar el cumplimiento de los requisitos legales, reguladores y contractuales sobre el uso del material protegido por derechos de propiedad intelectual, y sobre el uso de los productos de software propietario. Gua de implementacin Se deberan considerar las siguientes directrices para proteger cualquier material que pueda ser considerado propiedad intelectual: a) publicar una poltica de cumplimiento de los derechos de propiedad intelectual que defina el uso legal de los productos de software e informacin; b) adquirir software slo de fuentes conocidas y de buena reputacin, para asegurar que los derechos de copia del software no han sido violados; c) mantener la toma de conciencia sobre los derechos de copia del software y la poltica de adquisiciones, publicando la intencin de adoptar medidas disciplinarias para el personal que los viole; d) mantener un registro apropiado de activos, e identificar todos aquellos protegido por derecho de propiedad intelectual; 125
e) mantener los documentos que acrediten la propiedad de licencias, discos originales, manuales, etc.; f) implantar controles para asegurar que no se sobrepasa el nmero mximo de usuarios permitidos;
g) comprobar que slo se instala software autorizado y productos bajo licencia; h) establecer una poltica de mantenimiento de las condiciones adecuadas de licencia; i) j) establecer una poltica de eliminacin de software o de su transferencia a terceros; usar herramientas adecuadas de auditora;
k) cumplir con los trminos y condiciones de uso del software y de la informacin obtenidos de redes pblicas; l) no duplicar, ni convertir a otro formato o extraer informacin de las grabaciones comerciales (pelcula, audio) con excepcin de lo permitido por los derechos de autor;
m) no copiar total o parcialmente, libros, artculos, informes u otros documentos, con excepcin de lo permitido por los derechos de copia. Informacin adicional Los derechos de propiedad intelectual incluyen software o documentos con derecho de copia, derechos de diseo, marcas registradas, patentes y cdigo fuente licenciado. Los productos de software propietario se suelen entregar con un contrato de licencia que especifica trminos y condiciones del licenciamiento, por ejemplo, limitar el uso de los productos a mquinas especficas o limitar la generacin de copias nicamente a finalidades de respaldo. La situacin para el software desarrollado por la organizacin en materia de derechos de propiedad intelectual debera ser clarificada con el personal. Los requisitos legales, normativos y contractuales pueden plantear restricciones a la copia de material propietario. En particular pueden requerir que slo pueda utilizarse material desarrollado por la organizacin o bien proporcionado por el proveedor y bajo su licencia para la organizacin. La infraccin de derechos de autor puede conducir a acciones legales que impliquen procedimientos judiciales.
15.1.3 Proteccin de los registros de la organizacin Control Se debera proteger los registros importantes de la organizacin frente a su prdida, destruccin y falsificacin en acuerdo con los requisitos estatutarios, reguladores, contractuales y del negocio. Gua de implementacin Los registros se deberan categorizar segn el tipo, como por ejemplo: registros contables, registros de bases de datos, registros de transacciones, registros de auditora y procedimientos operativos, cada uno de los cuales con los detalles de plazos de retencin y medios de almacenamiento como papel, microfichas, medios magnticos u pticos). Cualquier material relacionado con llaves criptogrficas y programas asociados con archivos cifrados o firmas digitales (vase el apartado 126
12.3), se debera guardar para permitir el descifrado de los registros durante el tiempo que los mismos son retenidos. Se debera considerar la posibilidad de deterioro de los medios utilizados para almacenar los registros. Se debera implantar procedimientos para su almacenamiento y utilizacin de acuerdo con las directrices del fabricante. Para el almacenamiento de larga duracin, el uso del papel y la microficha deberan ser considerados. Donde se utilicen medios de almacenamiento electrnico, se debera incluir procedimientos para asegurar la habilidad para acceder a los datos (tanto al medio como a la lectura de los formatos en s) a travs de todo el perodo de retencin, para salvaguardarlos contra su prdida debida a un cambio futuro de tecnologa. Se debera elegir los sistemas de almacenamiento tal que los datos requeridos puedan recuperarse de manera aceptable en tiempo y forma, dependiendo de los requisitos a satisfacer. El sistema de almacenamiento y utilizacin debera asegurar una identificacin clara de los registros y de su periodo de retencin segn lo definido por la legislacin o las regulaciones nacionales o regionales, si es aplicable. Este debera permitir la destruccin apropiada de los registros tras dicho periodo cuando ya no los necesite la organizacin. Para alcanzar los objetivos de salvaguardar los registros, se debera tomar las siguientes medidas dentro de una organizacin: a) se debera publicar directrices sobre la retencin, almacenamiento, tratamiento y eliminacin de los registros y la informacin; b) se debera establecer un calendario de retenciones que identifique los tipos esenciales de registros y los perodos de tiempo que debera retenerse; c) se debera mantener un inventario de las fuentes de informacin clave; d) se debera implantar los controles y medidas apropiados para la proteccin de los registros y la informacin contra su prdida, destruccin o falsificacin. Informacin adicional Algunos registros podran requerir ser almacenados de manera segura tanto para cumplir con requisitos estatutarios, reguladores o contractuales, como para soportar actividades esenciales del negocio. Por ejemplo, los registros que puedan requerirse para acreditar que la organizacin opera dentro de las reglas estatutarias o reguladoras, para asegurar una defensa adecuada contra una posible accin civil o penal, o bien para confirmar el estado financiero de la organizacin respecto a los accionistas, partes externas y auditores. La legislacin nacional u otras regulaciones podran establecer el plazo y contenido de la informacin a retener. Informacin adicional sobre la gestin de registros de una organizacin se puede encontrar en la Norma ISO 15489-1. 15.1.4 Proteccin de los datos y privacidad de la informacin personal Control Se debera asegurar la proteccin y la privacidad de los datos, de acuerdo con la legislacin y las regulaciones pertinentes, y si es aplicables, con las Clusulas contractuales.
127
Gua de implementacin Una poltica de proteccin y de privacidad de los datos de la organizacin debera ser desarrollada e implementada. Esta poltica se debera comunicar a todas las personas implicadas en el procesamiento de informacin personal. El cumplimiento de esta poltica y de toda la legislacin y regulaciones pertinentes a la proteccin de los datos requiere una apropiada estructura de gestin y control. Este objetivo suele alcanzarse con mayor facilidad designando una persona responsable, por ejemplo un oficial de proteccin de datos, que oriente a los directores, usuarios y proveedores de servicios sobre sus responsabilidades individuales y sobre los procedimientos especficos que deben seguirse. La responsabilidad de manejar la informacin personal y de asegurar el conocimiento de los principios de la proteccin de los datos debera estar establecida de acuerdo con la legislacin y las regulaciones pertinentes. Se deberan implementar medidas tcnicas y organizacionales apropiadas para proteger la informacin personal.
Informacin adicional Cierto nmero de pases han introducido legislacin colocando controles en la recoleccin, el procesamiento y transmisin de datos personales (en general informacin de personas vivas que pueden ser identificadas a raz de dicha informacin). Dependiendo de la respectiva legislacin nacional, estos controles pueden imponer obligaciones a quien recoja, procese y transmita informacin personal, y pueden restringir la posibilidad de transferir estos datos a otros pases.
15.1.5 Prevencin del uso inadecuado de las instalaciones de procesamiento de la informacin Control Los usuarios deberan ser disuadidos de usar las instalaciones de procesamiento de la informacin para propsitos no autorizados. Gua de implementacin La direccin debera aprobar el uso de instalaciones de procesamiento de la informacin. Cualquier uso de estas instalaciones para propsitos ajenos al negocio o no autorizados, sin la aprobacin de la direccin (vase el apartado 6.1.4), debera ser considerado como uso impropio de los recursos. Si cualquier actividad no autorizada se identifica mediante supervisin u otros medios, se debera poner en conocimiento del director responsable para la consideracin de la accin disciplinaria y/o legal apropiada. Se debera solicitar asesora legal antes de la implantacin de procedimientos de supervisin. Todos los usuarios deberan conocer el alcance preciso de su acceso permitido y de los lugares que son supervisados para detectar usos no autorizados. Esto puede conseguirse mediante la entrega a los usuarios de una autorizacin escrita cuya copia debera ser firmada por el usuario y ser retenida en forma segura por parte de la organizacin. Se debera informar a los empleados de la organizacin, a los contratistas y a los usuarios de terceras partes que no se permitir otro acceso que no sea el autorizado. 128
Al identificarse (log-on) en su puesto de trabajo, un mensaje de advertencia debera ser indicado en la pantalla que el sistema al que se accede le pertenece a la organizacin y que no se permite el acceso no autorizado. El usuario tiene que darse por enterado y reaccionar de forma apropiada al mensaje para poder continuar el proceso de conexin (vase el apartado 11.5.1). Informacin adicional Las instalaciones de procesamiento de la informacin de una organizacin son consideradas principalmente o exclusivamente para los propsitos del negocio. La deteccin de intrusos, la inspeccin de contenidos, y otras herramientas de supervisin pueden ayudar a prevenir y a detectar el uso inadecuado de las instalaciones de procesamiento de la informacin. Muchos pases ya tienen legislacin de proteccin contra el mal uso de los recursos informticos. El uso de los mismos con fines no autorizados puede constituir un delito penal. La legalidad de la supervisin y el control del uso de los recursos varan de un pas a otro y puede requerir que se avise de su existencia a los empleados y/o que se requiera su consentimiento. Cuando el sistema que es accedido se utiliza para el acceso pblico (por ejemplo, un servidor web pblico) y est sujeto a supervisiones de seguridad, un mensaje debera ser exhibido advirtiendo esto. 15.1.6 Regulacin de los controles criptogrficos Control Se debera utilizar controles criptogrficos que cumplan con todos los acuerdos, leyes, y regulaciones pertinentes. Gua de implementacin Los siguientes puntos deberan ser considerados para el cumplimiento de los acuerdos, las leyes, y las regulaciones pertinentes: a) restricciones en la importacin y/o en la exportacin de hardware y de software para realizar funciones criptogrficas; b) restricciones en la importacin y/o en la exportacin de hardware y de software que se disea para tener funciones criptogrficas incluidas en l; c) restricciones en el uso de cifrado; d) mtodos obligatorios o fijados a discrecin de acceso por parte de las autoridades de los pases a la informacin cifrada mediante hardware o software para proporcionar la confidencialidad del contenido. Mediante el asesoramiento jurdico, debera asegurarse el cumplimiento de leyes y regulaciones nacionales. Antes que informacin cifrada o controles criptogrficos ser trasladados a otro pas, es recomendable tambin tener en cuenta el asesoramiento jurdico.
15.2 Cumplimiento de la poltica y las normas de seguridad, y cumplimiento tcnico
129
Objetivo: Asegurar que los sistemas cumplen con las normas y polticas de seguridad de la organizacin. La seguridad de los sistemas de informacin debera ser revisada regularmente. Tales revisiones deberan ser realizadas contra las polticas de seguridad y las plataformas tcnicas apropiadas, los sistemas de informacin deberan ser auditados para cumplir con normas aplicables de implantacin de la seguridad y controles documentados de la seguridad.
15.2.1 Cumplimiento de las polticas y normas de seguridad Control Los directores deberan asegurarse de que se cumplen correctamente todos los procedimientos de seguridad dentro de su rea de responsabilidad para lograr el cumplimiento de polticas y normas de seguridad. Gua de implementacin Los directores deberan revisar regularmente el cumplimiento del procesamiento de la informacin dentro de su rea de responsabilidad con las polticas de seguridad apropiadas, las normas, y cualquier otro requisito de seguridad. Si algn incumplimiento se encuentra como resultado de la revisin, los directores deberan: a) determinar las causas del incumplimiento; b) evaluar la necesidad de acciones para asegurar que no se repita el incumplimiento; c) determinar e implementar las acciones correctivas apropiadas; d) revisar la accin correctiva tomada. Los resultados de las revisiones y de las acciones correctivas realizadas por los directores deberan ser registrados y estos expedientes deberan ser mantenidos. Los directores deberan reportar los resultados a las personas que realizan las revisiones independientes (vase el apartado 6.1.8), cuando la revisin independiente se realice en el rea de su responsabilidad. Informacin adicional El seguimiento operacional del uso del sistema se cubre en el apartado 10.10. 15.2.2 Verificacin del cumplimiento tcnico Control Los sistemas de informacin deberan ser revisados regularmente para verificar el cumplimiento con las normas de implementacin de la seguridad. Gua de implementacin La verificacin del cumplimiento tcnico se debera realizar manualmente por un ingeniero de sistemas experimentado (con apoyo de herramientas de software apropiadas si es necesario), y/o con la ayuda de herramientas automatizadas que generen un informe tcnico para su posterior interpretacin por parte de un especialista tcnico. 130
Si se utilizan pruebas de intrusin o evaluaciones de vulnerabilidad, se debera tener cuidado pues estas actividades podran comprometer la seguridad del sistema. Tales pruebas deberan ser planificadas, documentadas y repetibles. Cualquier verificacin del cumplimiento tcnico debera ser realizada solamente por las personas competentes, autorizadas, o bajo supervisin de tales personas. Informacin adicional La verificacin del cumplimiento tcnico comprende la revisin de los sistemas operacionales a fin de garantizar que los controles de hardware y software hayan sido correctamente implementados. Este tipo de verificacin de la conformidad requiere asistencia tcnica especializada. La verificacin del cumplimiento tambin comprende, por ejemplo, pruebas de intrusin y evaluacin de vulnerabilidades, las cuales podran ser realizadas por expertos independientes contratados especficamente con este propsito. Esto puede resultar til para la deteccin de vulnerabilidades en el sistema y para verificar la eficacia de los controles con relacin a la prevencin de accesos no autorizados posibilitados por las mismas. Las pruebas de intrusin y la evaluacin de vulnerabilidades proporcionan una muestra de un sistema en un estado y momento especfico. La muestra se limita a esas porciones del sistema probado realmente durante el o los intentos de penetracin. Las pruebas de intrusin y la evaluacin de vulnerabilidades no son un substituto para la evaluacin de riesgo. 15.3 Consideraciones sobre la auditora de sistemas de informacin Objetivo: Maximizar la efectividad de, y reducir al mnimo la interferencia desde o hacia, el proceso de auditora del sistema de informacin. Se debera establecer controles para salvaguardar los sistemas operacionalesy las herramientas de auditora durante las auditoras del sistema de informacin. Tambin se requiere proteccin para salvaguardar la integridad y evitar el mal uso de las herramientas de auditora.
15.3.1 Controles de auditora de sistemas de informacin Control Se debera planificar cuidadosamente y acordar los requisitos y actividades de auditora que impliquen verificaciones en los sistemas en produccin, para minimizar el riesgo de interrupcin de los procesos de negocio. Gua de implementacin Las siguientes directrices se deberan tener en cuenta: a) se debera acordar los requisitos de auditora con la direccin apropiada; b) se debera acordar y controlar el alcance de las verificaciones; c) se debera limitar las verificaciones a accesos de slo lectura al software y a los datos; d) solamente se debera permitir otro acceso distinto a slo lectura, para copias aisladas de archivos del sistema, las cuales se debera borrar cuando se complete la auditora, o bien brindar la adecuada proteccin si hay obligacin de mantener tales archivos como requisito de documentacin de la auditora; 131
e) los recursos para realizar comprobaciones deberan ser explcitamente identificados y puestos a disposicin; f) los requisitos para procesos especiales o adicionales deberan ser identificados y acordados;
g) Todo acceso debera ser supervisado y registrado para producir rastros de referencia; se debera considerar el uso de referencias de marcas de tiempos en los rastros para los sistemas o datos crticos; h) todos los procedimientos, requisitos y responsabilidades deberan estar documentados; i) la o las personas encargadas de la auditora deberan ser independientes de las actividades auditadas.
15.3.2 Proteccin de las herramientas de auditora de sistemas de informacin Control Se debera proteger los accesos a las herramientas de auditora de sistemas de informacin para evitar cualquier posible mal uso o el compromiso de las mismas. Gua de implementacin Las herramientas de auditora de sistemas de informacin, por ejemplo, archivos de datos o software, deberan estar separadas de los sistemas operacionales y de desarrollo y no mantenerse en bibliotecas de cintas o en reas de los usuarios, salvo que se les proporcione un nivel apropiado de proteccin adicional. Informacin adicional Si terceras partes estn involucradas en una auditora, puede haber un riesgo de mal uso de las herramientas de auditora, y de la informacin accedida por esta organizacin externa. Los controles tales como los descritos en el apartado 6.2.1 (identificar los riesgos) y en el apartado 9.1.2 (restringir el acceso fsico) se pueden considerar para tratar este riesgo, se debera tomar en cuenta cualquier consecuencia, como ser el cambio inmediato de contraseas que hayan sido divulgadas a los auditores.
16
CORRESPONDENCIA
La presente norma es equivalente con la norma internacional ISO/IEC 27002:2005 Information technology -- Security techniques -- Code of Practice for Information Security Management
132
Bbliografa
ISO/IEC Guide 2: 1996, Standardization and Related Activities - General Vocabulary ISO/IEC Guide 73:2002, Risk Management - Vocabulary - Guidance for Use in Standards ISO/IEC 13335-1:2004, Information Technology - Security Techniques - Management of Information And Communications Technology Security - Part 1: Concepts and Models for Information and Communications Technology Security Management ISO/IEC TR 13335-3:1998, Information Technology Guidelines for the Management of IT Security Part 3: Techniques for the Management of IT security ISO/IEC 13888-1:1997, Information Technology - Security Techniques - Non-repudiation - Part 1: General ISO/IEC 11770-1:1996, Information Technology - Security Techniques - Key Management - Part 1: Framework ISO/IEC 9796-2:2002, Information Technology - Security techniques - Digital Signatures Schemes Giving Message Recovery - Part 2: Integer Factorization Based Mechanisms ISO/IEC 9796-3:2000, Information Technology - Security Techniques - Digital Signatures Schemes Giving Message Recovery - Part 3: Discrete Logarithm Based Mechanisms ISO/IEC 14888-1:1998, Information technology - Security Techniques - Digital Signatures with Appendix - Part 1: General ISO/IEC 15408-1:1999, Information Technology - Security Techniques - Evaluation Criteria for IT Security - Part 1: Introduction and General Model ISO/IEC 14516:2002, Information Technology - Security Techniques - Guidelines for the use and Management of Trusted Third Party Services INTE ISO 15489-1:2001, Information and Documentation - Records Management - Part 1: General INTE ISO 10007:2003, Quality Management Systems - Guidelines for Configuration Management ISO/IEC 12207:1995, Information Technology - Software Life Cycle Processes INTE ISO 19011:2002, Guidelines for Quality and/or Environmental Management System Auditing OECD Guidelines for the Security of Information Systems and Networks: "Towards a Culture of Security", 2002 OECD Guidelines for Cryptography Policy, 1997 IEEE P1363:2000 Standard Specifications for Public-Key Cryptography ISO/IEC 18028-4, Information Technology - Security Techniques - IT Network Security - Part 4: Securing Remote Access INTE ISO/IEC TR 18044, Information Technology - Security Techniques - Information Security Incident Management
133

Iso 27002-2009

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Iso 27002-2009

Cargado por

Copyright:

Formatos disponibles

INTE CTN 27

INTE ISO IEC 27002:2009

Tecnologa de la informacin - Cdigo de prcticas para la gestin de la seguridad de la informacin.

INTECO 2009 Derechos reservados

0.2 Por qu es necesaria la seguridad de la informacin?

0.3 Cmo establecer los requisitos de seguridad?

0.4 Evaluacin de los riesgos de seguridad

0.5 Seleccin de controles

0.6 Punto de partida de la seguridad de la informacin

0.7 Factores crticos de xito

0.8 Desarrollo de guas propias

Tecnologa de la informacin - Cdigo de prcticas para la gestin de la seguridad de la informacin

A los efectos de este documento se aplican los siguientes trminos y definiciones:

[ISO/IEC 13335-1:2004] 2.2 control

2.4 recursos de procesamiento de la informacin

INTE/ISO/IEC 27002:2009 2.5 seguridad de la informacin

2.6 evento de seguridad de la informacin

2.7 incidente de seguridad de la informacin

[ISO/IEC TR 18044:2004] 2.8 poltica

2.10 anlisis de riesgos

2.11 evaluacin de riesgos

2.12 valoracin de riesgos

2.13 gestin de riesgos

[Gua ISO/IEC 73:2002]

2.14 tratamiento de riesgos

2.15 tercera parte

ESTRUCTURA DE ESTA NORMA

g) Control de Acceso (7); 10

3.2 Categoras principales de seguridad

EVALUACIN TRATAMIENTO DE RIESGOS

4.1 Evaluando el riesgo de seguridad

Tratando los riesgos de seguridad

5.1 Poltica de seguridad de la informacin

ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN

6.1 Organizacin interna

6.2 Partes externas

7.1 Responsabilidad sobre los activos

7.2 Clasificacin de la informacin

SEGURIDAD LIGADA A LOS RECURSOS HUMANOS

8.1 Previo al empleo3)

8.2 Durante el empleo

8.3 Finalizacin o cambio de la relacin laboral o empleo

SEGURIDAD FSICA Y DEL AMBIENTE

9.1 reas Seguras

9.2 Seguridad del equipo 43

GESTIN DE COMUNICACIONES Y OPERACIONES

10.1 Procedimientos operacionales y responsabilidades

g) procedimientos de reinicio y recuperacin del sistema en caso de falla;

10.1.3 Segregacin de tareas 50

10.2 Gestin de la entrega del servicio por terceras partes

10.3 Planificacin y aceptacin del sistema

10.4 Proteccin contra cdigo malicioso y cdigo mvil

10.6 Gestin de la seguridad de red

10.7 Manejo de los medios

10.8 Intercambio de informacin

10.9 Servicios de comercio electrnico

11.1 Requisitos de negocio para el control de acceso

11.2 Gestin del acceso de usuarios

11.3 Responsabilidades del usuario

11.4 Control de acceso a redes

11.5 Control de acceso al sistema operativo

11.6 Control del acceso a las aplicaciones y a la informacin

ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN