Gua: Controles de Seguridad y

Privacidad de la Informacin

Gua Tcnica

HISTORIA
VERSIN

FECHA

CAMBIOS INTRODUCIDOS

1.0.0

15/12/2010

Versin inicial del documento

2.0.0

30/09/2011

Restructuracin de forma

2.0.1

30/11/2011

Actualizacin del documento

3.0.0

08/01/2015

Actualizacin segn restructuracin del modelo

TABLA DE CONTENIDO

PG.

DERECHOS DE AUTOR ...................................................................................................................... 4

AUDIENCIA ............................................................................................................................................ 5
................................................................................................................................... 6
GENERALIDADES ................................................................................................................................. 7
OBJETIVO ............................................................................................................................................... 8
Objetivo de las entidades................................................................................................................. 8
ALCANCE ................................................................................................................................................ 9
Terceros.................................................................................................................................................. 9
TABLA DE CONTROLES ................................................................................................................. 10

DERECHOS DE AUTOR
Todas las referencias a los documentos del Modelo de Seguridad y Privacidad de
TI, con derechos reservados por parte del Ministerio de Tecnologas de la
Informacin y las Comunicaciones, a travs de la estrategia de Gobierno en Lnea.
Todas las referencias a las polticas, definiciones o contenido relacionado,
publicadas en la norma tcnica colombiana NTC ISO/IEC 27001:2013, as como a
los anexos con derechos reservados por parte de ISO/ICONTEC.

AUDIENCIA

Entidades pblicas de orden nacional y entidades pblicas del orden territorial, as

como proveedores de servicios de Gobierno en Lnea, y terceros que deseen
adoptar el Modelo de Seguridad y Privacidad de TI en el marco de la Estrategia de
Gobierno en Lnea.

El Modelo de Seguridad y Privacidad de la Informacin en la fase de Planificacin

se realiza la seleccin de controles, y durante la fase Implementacin se ejecuta la
implementacin de controles de seguridad de la informacin, por lo cual se cuenta
con el anexo de controles del estndar ISO 27002.
El documento presenta los objetivos de control del estndar ISO 27002.

GENERALIDADES
La informacin es un recurso que, como el resto de los activos, tiene valor para el
organismo y por consiguiente debe ser debidamente protegida. Las polticas de
seguridad y privacidad de la informacin protegen a la misma de una amplia gama
de amenazas, a fin de garantizar la continuidad de los sistemas de informacin,
minimizar los riesgos de dao y asegurar el eficiente cumplimiento de los objetivos
de las entidades del Estado.
Es importante que los principios de la poltica de seguridad y privacidad descritos
en el presente documento se entiendan y se asimilen al interior de las entidades
como una directriz de Gobierno que ser exitosa en la medida que se cuente con
un compromiso manifiesto de la mxima autoridad en cada entidad.

OBJETIVO
Proteger la informacin de las entidades del Estado, los mecanismos utilizados para
el procesamiento de la informacin, frente a amenazas internas o externas,
deliberadas o accidentales, con el fin de asegurar el cumplimiento de la
confidencialidad, integridad, disponibilidad y confiabilidad de la informacin.

Objetivo de las entidades

Establecer, implementar, operar, monitorear, revisar, mantener y mejorar un
sistema de gestin de seguridad de la informacin dentro de las entidades del
Estado, que reporte a nivel central su estado de avance.
Fomentar la consulta y cooperacin con organismos especializados para la
obtencin de asesora en materia de seguridad de la informacin.
Garantizar la aplicacin de medidas de seguridad adecuadas en los accesos a la
informacin propiedad de las entidades del Estado.

ALCANCE
Este documento de polticas aplica a todas las entidades del Estado que estn
vinculadas de alguna manera, como usuarios o prestadores de servicios de la
estrategia de Gobierno en lnea, a sus recursos, a sus procesos y al personal interno
o externo vinculado a la entidad a travs de contratos o acuerdos.

Terceros
Las entidades pueden requerir que terceros accedan a informacin interna, la
copien, la modifiquen, o bien puede ser necesaria la tercerizacin de ciertas
funciones relacionadas con el procesamiento de la informacin. En estos casos, los
terceros deben tener y las entidades les deben exigir, que se establezcan las
medidas adecuadas para la proteccin de la informacin de acuerdo a su
clasificacin y anlisis de riesgo.

TABLA DE CONTROLES
La siguiente tabla, muestra la organizacin de los controles detallando los dominios
definidos en el componente de Planificacin. SIEMPRE se deben mencionar los
controles correspondientes al Anexo A de la norma NTC: ISO/IEC 27001, cual trata
de los objetivos de control, y se estructurarn tal como lo muestra la Tabla 1:
Tabla 1 Estructura de controles

Poltica general
Seleccionado
Nm.

Nombre

Descripcin / Justificacin
/ Excepcin

Nombre

Control

Cada campo se define as:

Nm.: Este campo identifica cada uno de los controles correspondientes al

Anexo A de la norma NTC: ISO/IEC 27001.
Nombre: Este campo hace referencia al nombre del control que se debe
aplicar para dar cumplimiento a la poltica definida.
Control: Este campo describe el control que se debe implementar con el fin
de dar cumplimiento a la poltica definida.
Dominio: Este campo describe si el control aplica para uno o mltiples
dominios.
Seleccionado / Excepcin: El listado de controles adems debe ser utilizado
para la generacin de la declaracin de aplicabilidad, donde cada uno de los
controles es justificado tanto si se implementa como si se excluye de ser
implementado, lo cual ayuda a que la entidad tenga documentado y de fcil
acceso el inventario de controles.
Descripcin / Justificacin: El listado de controles cuenta con la descripcin
de cada control en la tabla. Adicionalmente, es posible utilizarlo para la
generacin de la declaracin de aplicabilidad, donde cada uno de los

controles es justificado tanto si se implementa como si se excluye de ser

implementado.

Nm.

Nombre

Objeto y campo de
aplicacin

Referencias normativas

Trminos y definiciones

Estructura de la norma

5
5.1

5.1.1

5.1.2
6

Polticas de seguridad de la
informacin
Directrices establecidas por
la direccin para la
seguridad de la informacin
Polticas para la seguridad
de la informacin
Revisin de las polticas
para seguridad de la
informacin
Organizacin de la
seguridad de la informacin

Seleccin /
Excepcin

Tabla 2 Controles del Anexo A del estndar ISO/IEC 27001:2013 y dominios a los que pertenece

Descripcin / Justificacin

Seleccionar los controles dentro del proceso de implementacin del

Sistema de Gestin de Seguridad de la Informacin - SGSI
La ISO/IEC 27000, es referenciada parcial o totalmente en el
documento y es indispensable para su aplicacin.
Para los propsitos de este documento se aplican los trminos y
definiciones presentados en la norma ISO/IEC 27000.
La norma ISO/IEC 27000, contiene 14 numrales de control de
seguridad de la informacin que en su conjunto contienen ms de 35
categoras de seguridad principales y 114 controles.

Objetivo: Brindar orientacin y apoyo por parte de la direccin, para la

seguridad de la informacin de acuerdo con los requisitos del negocio
y con las leyes y reglamentos pertinentes.
Control: Se debera definir un conjunto de polticas para la seguridad
de la informacin, aprobada por la direccin, publicada y comunicada
a los empleados y partes externas pertinentes.
Control: Las polticas para seguridad de la informacin se deberan
revisar a intervalos planificados o si ocurren cambios significativos,
para asegurar su conveniencia, adecuacin y eficacia continuas.

Organizacin interna

Objetivo: Establecer un marco de referencia de gestin para iniciar y

controlar la implementacin y la operacin de la seguridad de la
informacin dentro de la organizacin.

6.1.1

Roles y responsabilidades
para la seguridad de
informacin

Control: Se deberan definir y asignar todas las responsabilidades de

la seguridad de la informacin.

6.1.2

Separacin de deberes

6.1.3

Contacto con las

autoridades

6.1.4

Contacto con grupos de

inters especial

6.1

6.1.5
6.2

Seguridad de la informacin
en la gestin de proyectos
Dispositivos mviles y
teletrabajo

6.2.1

Poltica para dispositivos

mviles

6.2.2

Teletrabajo

Control: Los deberes y reas de responsabilidad en conflicto se

deberan separar para reducir las posibilidades de modificacin no
autorizada o no intencional, o el uso indebido de los activos de la
organizacin.
Control: Se deberan mantener los contactos apropiados con las
autoridades pertinentes.
Control: Es conveniente mantener contactos apropiados con grupos
de inters especial u otros foros y asociaciones profesionales
especializadas en seguridad.
Control: La seguridad de la informacin se debera tratar en la gestin
de proyectos, independientemente del tipo de proyecto.
Objetivo: Garantizar la seguridad del teletrabajo y el uso de
dispositivos mviles.
Control: Se deberan adoptar una poltica y unas medidas de
seguridad de soporte, para gestionar los riesgos introducidos por el
uso de dispositivos mviles.
Control: Se deberan implementar una poltica y unas medidas de
seguridad de soporte, para proteger la informacin a la que se tiene
acceso, que es procesada o almacenada en los lugares en los que se
realiza teletrabajo.

Seguridad de los recursos

humanos

7.1

Antes de asumir el empleo

7.1.1

Seleccin

7.1.2

Trminos y condiciones del

empleo

7.2

Durante la ejecucin del

empleo

7.2.1

Responsabilidades de la
direccin

7.2.2

Toma de conciencia,
educacin y formacin en la
seguridad de la informacin

7.2.3

Proceso disciplinario

7.3

Terminacin o cambio de
empleo

7.3.1

Terminacin o cambio de
responsabilidades de
empleo

8
8.1

Objetivo: Asegurar que los empleados y contratistas comprenden sus

responsabilidades y son idneos en los roles para los que se
consideran.
Control: Las verificaciones de los antecedentes de todos los
candidatos a un empleo se deberan llevar a cabo de acuerdo con las
leyes, reglamentos y tica pertinentes, y deberan ser proporcionales
a los requisitos de negocio, a la clasificacin de la informacin a que
se va a tener acceso, y a los riesgos percibidos.
Control: Los acuerdos contractuales con empleados y contratistas,
deberan establecer sus responsabilidades y las de la organizacin en
cuanto a la seguridad de la informacin.
Objetivo: Asegurarse de que los empleados y contratistas tomen
conciencia de sus responsabilidades de seguridad de la informacin y
las cumplan.
Control: La direccin debera exigir a todos los empleados y
contratistas la aplicacin de la seguridad de la informacin de acuerdo
con las polticas y procedimientos establecidos por la organizacin.
Control: Todos los empleados de la organizacin, y en donde sea
pertinente, los contratistas, deberan recibir la educacin y la
formacin en toma de conciencia apropiada, y actualizaciones
regulares sobre las polticas y procedimientos pertinentes para su
cargo.
Control: Se debera contar con un proceso disciplinario formal el cual
debera ser comunicado, para emprender acciones contra empleados
que hayan cometido una violacin a la seguridad de la informacin.
Objetivo: Proteger los intereses de la organizacin como parte del
proceso de cambio o terminacin del contrato.
Control: Las responsabilidades y los deberes de seguridad de la
informacin que permanecen validos despus de la terminacin o
cambio de contrato se deberan definir, comunicar al empleado o
contratista y se deberan hacer cumplir.

Gestin de activos
Responsabilidad por los
activos

8.1.1

Inventario de activos

8.1.2

Propiedad de los activos

8.1.3

Uso aceptable de los activos

8.1.4

Devolucin de activos

8.2

Clasificacin de la
informacin

8.2.1

Clasificacin de la
informacin

8.2.2

Etiquetado de la informacin

8.2.3

Manejo de activos

8.3.1

Gestin de medios
removibles

Objetivo: Identificar los activos organizacionales y definir las

responsabilidades de proteccin apropiadas.
Control: Se deberan identificar los activos asociados con la
informacin y las instalaciones de procesamiento de informacin, y se
debera elaborar y mantener un inventario de estos activos.
Control: Los activos mantenidos en el inventario deberan tener un
propietario.
Control: Se deberan identificar, documentar e implementar reglas
para el uso aceptable de informacin y de activos asociados con
informacin e instalaciones de procesamiento de informacin.
Control: Todos los empleados y usuarios de partes externas deberan
devolver todos los activos de la organizacin que se encuentren a su
cargo, al terminar su empleo, contrato o acuerdo.
Objetivo: Asegurar que la informacin recibe un nivel apropiado de
proteccin, de acuerdo con su importancia para la organizacin.
Control: La informacin se debera clasificar en funcin de los
requisitos legales, valor, criticidad y susceptibilidad a divulgacin o a
modificacin no autorizada.
Control: Se debera desarrollar e implementar un conjunto adecuado
de procedimientos para el etiquetado de la informacin, de acuerdo
con el esquema de clasificacin de informacin adoptado por la
organizacin.
Control: Se deberan desarrollar e implementar procedimientos para el
manejo de activos, de acuerdo con el esquema de clasificacin de
informacin adoptado por la organizacin.
Control: Se deberan implementar procedimientos para la gestin de
medios removibles, de acuerdo con el esquema de clasificacin
adoptado por la organizacin.

8.3.2

Disposicin de los medios

8.3.3

Transferencia de medios
fsicos

Control de acceso

9.1

Requisitos del negocio para

control de acceso

9.1.1

Poltica de control de acceso

9.1.2

Poltica sobre el uso de los

servicios de red

9.2

Gestin de acceso de
usuarios

9.2.1

Registro y cancelacin del

registro de usuarios

9.2.2

Suministro de acceso de
usuarios

9.2.3
9.2.4
9.2.5

9.2.6

9.3
9.3.1
9.4

Control: Se debera disponer en forma segura de los medios cuando

ya no se requieran, utilizando procedimientos formales.
Control: Los medios que contienen informacin se deberan proteger
contra acceso no autorizado, uso indebido o corrupcin durante el
transporte.

Gestin de derechos de
acceso privilegiado
Gestin de informacin de
autenticacin secreta de
usuarios
Revisin de los derechos de
acceso de usuarios
Retiro o ajuste de los
derechos de acceso
Responsabilidades de los
usuarios
Uso de la informacin de
autenticacin secreta
Control de acceso a
sistemas y aplicaciones

Objetivo: Limitar el acceso a informacin y a instalaciones de

procesamiento de informacin.
Control: Se debera establecer, documentar y revisar una poltica de
control de acceso con base en los requisitos del negocio y de
seguridad de la informacin.
Control: Solo se debera permitir acceso de los usuarios a la red y a
los servicios de red para los que hayan sido autorizados
especficamente.
Objetivo: Asegurar el acceso de los usuarios autorizados y evitar el
acceso no autorizado a sistemas y servicios.
Control: Se debera implementar un proceso formal de registro y de
cancelacin de registro de usuarios, para posibilitar la asignacin de
los derechos de acceso.
Control: Se debera implementar un proceso de suministro de acceso
formal de usuarios para asignar o revocar los derechos de acceso a
todo tipo de usuarios para todos los sistemas y servicios.
Control: Se debera restringir y controlar la asignacin y uso de
derechos de acceso privilegiado.
Control: La asignacin de la informacin secreta se debera controlar
por medio de un proceso de gestin formal.
Control: Los propietarios de los activos deberan revisar los derechos
de acceso de los usuarios, a intervalos regulares.
Control: Los derechos de acceso de todos los empleados y de
usuarios externos a la informacin y a las instalaciones de
procesamiento de informacin se deberan retirar al terminar su
empleo, contrato o acuerdo, o se deberan ajustar cuando se hagan
cambios.
Objetivo: Hacer que los usuarios rindan cuentas por la salvaguarda de
su informacin de autenticacin.
Control: Se debera exigir a los usuarios que cumplan las prcticas de
la organizacin para el uso de informacin de autenticacin secreta.
Objetivo: Evitar el acceso no autorizado a sistemas y aplicaciones.

9.4.1

Restriccin de acceso
Informacin

9.4.2

Procedimiento de ingreso
seguro

9.4.3

Sistema de gestin de
contraseas

Control: El acceso a la informacin y a las funciones de los sistemas

de las aplicaciones se debera restringir de acuerdo con la poltica de
control de acceso.
Control: Cuando lo requiere la poltica de control de acceso, el acceso
a sistemas y aplicaciones se debera controlar mediante un proceso
de ingreso seguro.
Control: Los sistemas de gestin de contraseas deberan ser
interactivos y deberan asegurar la calidad de las contraseas.

9.4.4

Uso de programas utilitarios

privilegiados

Control: Se debera restringir y controlar estrictamente el uso de

programas utilitarios que pudieran tener capacidad de anular el
sistema y los controles de las aplicaciones.

9.4.5

Control de acceso a cdigos

fuente de programas

Control: Se debera restringir el acceso a los cdigos fuente de los

programas.

10

Criptografa

10.1

Controles criptogrficos

10.1.1

Poltica sobre el uso de

controles criptogrficos

Objetivo: Asegurar el uso apropiado y eficaz de la criptografa para

proteger la confidencialidad, la autenticidad y/o la integridad de la
informacin.
Control: Se debera desarrollar e implementar una poltica sobre el
uso de controles criptogrficos para la proteccin de la informacin.

10.1.2
11
11.1

Gestin de llaves
Seguridad fsica y del
entorno
reas seguras

11.1.1

Permetro de seguridad
fsica

11.1.2

Controles fsicos de entrada

11.1.3
11.1.4

Seguridad de oficinas,
recintos e instalaciones
Proteccin contra amenazas
externas y ambientales

11.1.5

Trabajo en reas seguras

11.1.6

reas de despacho y carga

11.2

Equipos

11.2.1

Ubicacin y proteccin de
los equipos

11.2.2

Servicios de suministro

11.2.3

Seguridad del cableado

11.2.4

Mantenimiento de equipos

11.2.5

Retiro de activos

11.2.6

Seguridad de equipos y
activos fuera de las
instalaciones

11.2.7

Disposicin segura o
reutilizacin de equipos

11.2.8

Equipos de usuario
desatendidos

11.2.9

Poltica de escritorio limpio y

pantalla limpia

12
12.1
12.1.1

12.1.2

Control: Se debera desarrollar e implementar una poltica sobre el

uso, proteccin y tiempo de vida de las llaves criptogrficas durante
todo su ciclo de vida.

Seguridad de las
operaciones
Procedimientos
operacionales y
responsabilidades
Procedimientos de
operacin documentados
Gestin de cambios

Objetivo: Prevenir el acceso fsico no autorizado, el dao y la

interferencia a la informacin y a las instalaciones de procesamiento
de informacin de la organizacin.
Control: Se deberan definir y usar permetros de seguridad, y usarlos
para proteger reas que contengan informacin sensible o critica, e
instalaciones de manejo de informacin.
Control: Las reas seguras se deberan proteger mediante controles
de entrada apropiados para asegurar que solamente se permite el
acceso a personal autorizado.
Control: Se debera disear y aplicar seguridad fsica a oficinas,
recintos e instalaciones.
Control: Se debera disear y aplicar proteccin fsica contra
desastres naturales, ataques maliciosos o accidentes.
Control: Se deberan disear y aplicar procedimientos para trabajo en
reas seguras.
Control: Se deberan controlar los puntos de acceso tales como reas
de despacho y de carga, y otros puntos en donde pueden entrar
personas no autorizadas, y si es posible, aislarlos de las instalaciones
de procesamiento de informacin para evitar el acceso no autorizado.
Objetivo: Prevenir la perdida, dao, robo o compromiso de activos, y
la interrupcin de las operaciones de la organizacin.
Control: Los equipos deberan estar ubicados y protegidos para
reducir los riesgos de amenazas y peligros del entorno, y las
oportunidades para acceso no autorizado.
Control: Los equipos se deberan proteger contra fallas de energa y
otras interrupciones causadas por fallas en los servicios de
suministro.
Control: El cableado de potencia y de telecomunicaciones que porta
datos o soporta servicios de informacin debera estar protegido
contra interceptacin, interferencia o dao.
Control: Los equipos se deberan mantener correctamente para
asegurar su disponibilidad e integridad continuas.
Control: Los equipos, informacin o software no se deberan retirar de
su sitio sin autorizacin previa.
Control: Se deberan aplicar medidas de seguridad a los activos que
se encuentran fuera de las instalaciones de la organizacin, teniendo
en cuenta los diferentes riesgos de trabajar fuera de dichas
instalaciones.
Control: Se deberan verificar todos los elementos de equipos que
contengan medios de almacenamiento, para asegurar que cualquier
dato sensible o software con licencia haya sido retirado o sobrescrito
en forma segura antes de su disposicin o reutilizacin.
Control: Los usuarios deberan asegurarse de que a los equipos
desatendidos se les de proteccin apropiada.
Control: Se debera adoptar una poltica de escritorio limpio para los
papeles y medios de almacenamiento removibles, y una poltica de
pantalla limpia en las instalaciones de procesamiento de informacin.

Objetivo: Asegurar las operaciones correctas y seguras de las

instalaciones de procesamiento de informacin.
Control: Los procedimientos de operacin se deberan documentar y
poner a disposicin de todos los usuarios que los necesiten.
Control: Se deberan controlar los cambios en la organizacin, en los
procesos de negocio, en las instalaciones y en los sistemas de
procesamiento de informacin que afectan la seguridad de la
informacin.

Control: Para asegurar el desempeo requerido del sistema se

debera hacer seguimiento al uso de los recursos, hacer los ajustes, y
hacer proyecciones de los requisitos sobre la capacidad futura.
Control: Se deberan separar los ambientes de desarrollo, prueba y
operacin, para reducir los riesgos de acceso o cambios no
autorizados al ambiente de operacin.
Objetivo: Asegurarse de que la informacin y las instalaciones de
procesamiento de informacin estn protegidas contra cdigos
maliciosos.

12.1.3

Gestin de capacidad

12.1.4

Separacin de los
ambientes de desarrollo,
pruebas y operacin

12.2

Proteccin contra cdigos

maliciosos

12.2.1

Controles contra cdigos

maliciosos

Control: Se deberan implementar controles de deteccin, de

prevencin y de recuperacin, combinados con la toma de conciencia
apropiada de los usuarios, para proteger contra cdigos maliciosos.

Copias de respaldo

Objetivo: Proteger contra la perdida de datos.

12.3
12.3.1
12.4

Respaldo de informacin

Registro y seguimiento

12.4.1

Registro de eventos

12.4.2

Proteccin de la informacin
de registro

12.4.3

Registros del administrador

y del operador

12.4.4

sincronizacin de relojes

12.5
12.5.1
12.6

12.6.1

12.6.2
12.7

12.7.1

13
13.1

Control de software
operacional
Instalacin de software en
sistemas operativos
Gestin de la vulnerabilidad
tcnica
Gestin de las
vulnerabilidades tcnicas
Restricciones sobre la
instalacin de software
Consideraciones sobre
auditorias de sistemas de
informacin
Informacin controles de
auditora de sistemas
Seguridad de las
comunicaciones
Gestin de la seguridad de
las redes

13.1.1

Controles de redes

13.1.2

Seguridad de los servicios

de red

13.1.3

Separacin en las redes

Control: Se deberan hacer copias de respaldo de la informacin, del

software e imgenes de los sistemas, y ponerlas a prueba
regularmente de acuerdo con una poltica de copias de respaldo
aceptada.
Objetivo: Registrar eventos y generar evidencia.
Control: Se deberan elaborar, conservar y revisar regularmente los
registros acerca de actividades del usuario, excepciones, fallas y
eventos de seguridad de la informacin.
Control: Las instalaciones y la informacin de registro se deberan
proteger contra alteracin y acceso no autorizado.
Control: Las actividades del administrador y del operador del sistema
se deberan registrar, y los registros se deberan proteger y revisar
con regularidad.
Control: Los relojes de todos los sistemas de procesamiento de
informacin pertinentes dentro de una organizacin o mbito de
seguridad se deberan sincronizar con una nica fuente de referencia
de tiempo.
Objetivo: Asegurar la integridad de los sistemas operacionales.
Control: Se deberan implementar procedimientos para controlar la
instalacin de software en sistemas operativos.
Objetivo: Prevenir el aprovechamiento de las vulnerabilidades
tcnicas.
Control: Se debera obtener oportunamente informacin acerca de las
vulnerabilidades tcnicas de los sistemas de informacin que se usen;
evaluar la exposicin de la organizacin a estas vulnerabilidades, y
tomar las medidas apropiadas para tratar el riesgo asociado.
Control: Se deberan establecer e implementar las reglas para la
instalacin de software por parte de los usuarios.
Objetivo: Minimizar el impacto de las actividades de auditora sobre
los sistemas operacionales.
Control: Los requisitos y actividades de auditora que involucran la
verificacin de los sistemas operativos se deberan planificar y
acordar cuidadosamente para minimizar las interrupciones en los
procesos del negocio.

Objetivo: Asegurar la proteccin de la informacin en las redes, y sus

instalaciones de procesamiento de informacin de soporte.
Control: Las redes se deberan gestionar y controlar para proteger la
informacin en sistemas y aplicaciones.
Control: Se deberan identificar los mecanismos de seguridad, los
niveles de servicio y los requisitos de gestin de todos los servicios de
red, e incluirlos en los acuerdos de servicios de red, ya sea que los
servicios se presten internamente o se contraten externamente.
Control: Los grupos de servicios de informacin, usuarios y sistemas
de informacin se deberan separar en las redes.

13.2

Transferencia de
informacin

13.2.1

Polticas y procedimientos
de transferencia de
informacin

13.2.2

Acuerdos sobre
transferencia de informacin

13.2.3

Mensajera electrnica

13.2.4

Acuerdos de
confidencialidad o de no
divulgacin

14

Adquisicin, desarrollo y
mantenimientos de sistemas

14.1.1

Requisitos de seguridad de
los sistemas de informacin

14.1.1

Anlisis y especificacin de
requisitos de seguridad de la
informacin

14.1.2

Seguridad de servicios de
las aplicaciones en redes
publicas

14.1.3

Proteccin de transacciones
de los servicios de las
aplicaciones

14.2

Seguridad en los procesos

de desarrollo y soporte

14.2.1

Poltica de desarrollo seguro

14.2.2

Procedimientos de control
de cambios en sistemas

14.2.3

14.2.4

Revisin tcnica de las

aplicaciones despus de
cambios en la plataforma de
operacin
Restricciones en los
cambios a los paquetes de
software

14.2.5

Principios de construccin
de sistemas seguros

14.2.6

Ambiente de desarrollo
seguro

14.2.7
14.2.8
14.2.9
14.3

Desarrollo contratado
externamente
Pruebas de seguridad de
sistemas
Prueba de aceptacin de
sistemas
Datos de prueba

Objetivo: Mantener la seguridad de la informacin transferida dentro

de una organizacin y con cualquier entidad externa.
Control: Se debera contar con polticas, procedimientos y controles
de transferencia formales para proteger la transferencia de
informacin mediante el uso de todo tipo de instalaciones de
comunicacin.
Control: Los acuerdos deberan tener en cuenta la transferencia
segura de informacin del negocio entre la organizacin y las partes
externas.
Control: Se debera proteger adecuadamente la informacin incluida
en la mensajera electrnica.
Control: Se deberan identificar, revisar regularmente y documentar
los requisitos para los acuerdos de confidencialidad o no divulgacin
que reflejen las necesidades de la organizacin para la proteccin de
la informacin.

Objetivo: Asegurar que la seguridad de la informacin sea una parte

integral de los sistemas de informacin durante todo el ciclo de vida.
Esto incluye tambin los requisitos para sistemas de informacin que
prestan servicios en redes pblicas.
Control: Los requisitos relacionados con seguridad de la informacin
se deberan incluir en los requisitos para nuevos sistemas de
informacin o para mejoras a los sistemas de informacin existentes.
Control: La informacin involucrada en los servicios de aplicaciones
que pasan sobre redes pblicas se debera proteger de actividades
fraudulentas, disputas contractuales y divulgacin y modificacin no
autorizadas.
Control: La informacin involucrada en las transacciones de los
servicios de las aplicaciones se debera proteger para evitar la
transmisin incompleta, el enrutamiento errado, la alteracin no
autorizada de mensajes, la divulgacin no autorizada, y la duplicacin
o reproduccin de mensajes no autorizada.
Objetivo: Asegurar de que la seguridad de la informacin est
diseada e implementada dentro del ciclo de vida de desarrollo de los
sistemas de informacin.
Control: Se deberan establecer y aplicar reglas para el desarrollo de
software y de sistemas, a los desarrollos que se dan dentro de la
organizacin.
Control: Los cambios a los sistemas dentro del ciclo de vida de
desarrollo se deberan controlar mediante el uso de procedimientos
formales de control de cambios.
Control: Cuando se cambian las plataformas de operacin, se
deberan revisar las aplicaciones crticas del negocio, y ponerlas a
prueba para asegurar que no haya impacto adverso en las
operaciones o seguridad de la organizacin.
Control: Se deberan desalentar las modificaciones a los paquetes de
software, que se deben limitar a los cambios necesarios, y todos los
cambios se deberan controlar estrictamente.
Control: Se deberan establecer, documentar y mantener principios
para la construccin de sistemas seguros, y aplicarlos a cualquier
actividad de implementacin de sistemas de informacin.
Control: Las organizaciones deberan establecer y proteger
adecuadamente los ambientes de desarrollo seguros para las tareas
de desarrollo e integracin de sistemas que comprendan todo el ciclo
de vida de desarrollo de sistemas.
Control: La organizacin debera supervisar y hacer seguimiento de la
actividad de desarrollo de sistemas contratados externamente.
Control: Durante el desarrollo se deberan llevar a cabo pruebas de
funcionalidad de la seguridad.
Control: Para los sistemas de informacin nuevos, actualizaciones y
nuevas versiones, se deberan establecer programas de prueba para
aceptacin y criterios de aceptacin relacionados.
Objetivo: Asegurar la proteccin de los datos usados para pruebas.

14.3.1

15

Proteccin de datos de
prueba
Relacin con los
proveedores

15.1

Seguridad de la informacin
en las relaciones con los
proveedores

15.1.1

Poltica de seguridad de la
informacin para las
relaciones con proveedores

15.1.2

Tratamiento de la seguridad
dentro de los acuerdos con
proveedores

15.1.3

Cadena de suministro de
tecnologa de informacin y
comunicacin

15.2

15.2.1

15.2.2

16
16.1

Gestin de la prestacin de
servicios con los
proveedores
Seguimiento y revisin de
los servicios de los
proveedores

Gestin de cambios en los

servicios de proveedores

Gestin de incidentes de
seguridad de la informacin
Gestin de incidentes y
mejoras en la seguridad de
la informacin

16.1.1

Responsabilidad y
procedimientos

16.1.2

Reporte de eventos de
seguridad de la informacin

16.1.3

Reporte de debilidades de
seguridad de la informacin

16.1.4
16.1.5
16.1.6

16.1.7

17

Control:Los datos de ensayo se deberan seleccionar, proteger y

controlar cuidadosamente.

Evaluacin de eventos de
seguridad de la informacin
y decisiones sobre ellos
Respuesta a incidentes de
seguridad de la informacin
Aprendizaje obtenido de los
incidentes de seguridad de
la informacin
Recoleccin de evidencia
Aspectos de seguridad de la
informacin de la gestin de
continuidad de negocio

Objetivo: Asegurar la proteccin de los activos de la organizacin que

sean accesibles a los proveedores.
Control: Los requisitos de seguridad de la informacin para mitigar los
riesgos asociados con el acceso de proveedores a los activos de la
organizacin se deberan acordar con estos y se deberan
documentar.
Control: Se deberan establecer y acordar todos los requisitos de
seguridad de la informacin pertinentes con cada proveedor que
pueda tener acceso, procesar, almacenar, comunicar o suministrar
componentes de infraestructura de TI para la informacin de la
organizacin.
Control: Los acuerdos con proveedores deberan incluir requisitos
para tratar los riesgos de seguridad de la informacin asociados con
la cadena de suministro de productos y servicios de tecnologa de
informacin y comunicacin.
Objetivo: Mantener el nivel acordado de seguridad de la informacin y
de prestacin del servicio en lnea con los acuerdos con los
proveedores.
Las organizaciones deberan hacer seguimiento, revisar y auditar con
regularidad la prestacin de servicios de los proveedores.
Control: Se deberan gestionar los cambios en el suministro de
servicios por parte de los proveedores, incluido el mantenimiento y la
mejora de las polticas, procedimientos y controles de seguridad de la
informacin existentes , teniendo en cuenta la criticidad de la
informacin, sistemas y procesos del negocio involucrados, y la
revaloracin de los riesgos.

Objetivo: Asegurar un enfoque coherente y eficaz para la gestin de

incidentes de seguridad de la informacin, incluida la comunicacin
sobre eventos de seguridad y debilidades.
Control: Se deberan establecer las responsabilidades y
procedimientos de gestin para asegurar una respuesta rpida, eficaz
y ordenada a los incidentes de seguridad de la informacin.
Control: Los eventos de seguridad de la informacin se deberan
informar a travs de los canales de gestin apropiados, tan pronto
como sea posible.
Control: Se debera exigir a todos los empleados y contratistas que
usan los servicios y sistemas de informacin de la organizacin, que
observen e informen cualquier debilidad de seguridad de la
informacin observada o sospechada en los sistemas o servicios.
Control: Los eventos de seguridad de la informacin se deberan
evaluar y se debera decidir si se van a clasificar como incidentes de
seguridad de la informacin.
Control: Se debera dar respuesta a los incidentes de seguridad de la
informacin de acuerdo con procedimientos documentados.
Control: El conocimiento adquirido al analizar y resolver incidentes de
seguridad de la informacin se debera usar para reducir la posibilidad
o el impacto de incidentes futuros.
Control: La organizacin debera definir y aplicar procedimientos para
la identificacin, recoleccin, adquisicin y preservacin de
informacin que pueda servir como evidencia.

17.1

Continuidad de seguridad de
la informacin

17.1.1

Planificacin de la
continuidad de la seguridad
de la informacin

17.1.2

Implementacin de la
continuidad de la seguridad
de la informacin

17.1.3

Verificacin, revisin y
evaluacin de la continuidad
de la seguridad de la
informacin

17.2

17.2.1
18

Redundancias
Disponibilidad de
instalaciones de
procesamiento de
informacin.

Objetivo: La continuidad de seguridad de la informacin se debera

incluir en los sistemas de gestin de la continuidad de negocio de la
organizacin.
Control: La organizacin debera determinar sus requisitos para la
seguridad de la informacin y la continuidad de la gestin de la
seguridad de la informacin en situaciones adversas, por ejemplo,
durante una crisis o desastre.
Control: La organizacin debera establecer, documentar,
implementar y mantener procesos, procedimientos y controles para
asegurar el nivel de continuidad requerido para la seguridad de la
informacin durante una situacin adversa.
Control: La organizacin debera verificar a intervalos regulares los
controles de continuidad de la seguridad de la informacin
establecidos e implementados, con el fin de asegurar que son validos
y eficaces durante situaciones adversas.
Objetivo: Asegurar la disponibilidad de instalaciones de
procesamiento de informacin.
Control: Las instalaciones de procesamiento de informacin se
deberan implementar con redundancia suficiente para cumplir los
requisitos de disponibilidad.

Cumplimiento

18.1

Cumplimiento de requisitos
legales y contractuales

18.1.1

Identificacin de la
legislacin aplicable y de los
requisitos contractuales

18.1.2

Derechos de propiedad
intelectual

18.1.3

Proteccin de registros

18.1.4

Privacidad y proteccin de
datos personales

18.1.5

Reglamentacin de
controles criptogrficos

18.2

Revisiones de seguridad de
la informacin

18.2.1

Revisin independiente de la
seguridad de la informacin

18.2.2

Cumplimiento con las

polticas y normas de
seguridad

18.2.3

Revisin del cumplimiento

tcnico

Objetivo: Evitar el incumplimiento de las obligaciones legales,

estatutarias, de reglamentacin o contractuales relacionadas con
seguridad de la informacin, y de cualquier requisito de seguridad.
Control: Todos los requisitos estatutarios, reglamentarios y
contractuales pertinentes, y el enfoque de la organizacin para
cumplirlos, se deberan identificar y documentar explcitamente y
mantenerlos actualizados para cada sistema de informacin y para la
organizacin.
Control: Se deberan implementar procedimientos apropiados para
asegurar el cumplimiento de los requisitos legislativos, de
reglamentacin y contractuales relacionados con los derechos de
propiedad intelectual y el uso de productos de software patentados.
Control: Los registros se deberan proteger contra perdida,
destruccin, falsificacin, acceso no autorizado y liberacin no
autorizada, de acuerdo con los requisitos legislativos, de
reglamentacin, contractuales y de negocio.
Control: Cuando sea aplicable, se deberan asegurar la privacidad y la
proteccin de la informacin de datos personales, como se exige en la
legislacin y la reglamentacin pertinentes.
Control: Se deberan usar controles criptogrficos, en cumplimiento de
todos los acuerdos, legislacin y reglamentacin pertinentes.
Objetivo: Asegurar que la seguridad de la informacin se implemente
y opere de acuerdo con las polticas y procedimientos
organizacionales.
Control: El enfoque de la organizacin para la gestin de la seguridad
de la informacin y su implementacin (es decir, los objetivos de
control, los controles, las polticas, los procesos y los procedimientos
para seguridad de la informacin) se deberan revisar
independientemente a intervalos planificados o cuando ocurran
cambios significativos.
Control: Los directores deberan revisar con regularidad el
cumplimiento del procesamiento y procedimientos de informacin
dentro de su rea de responsabilidad, con las polticas y normas de
seguridad apropiadas, y cualquier otro requisito de seguridad.
Control: Los sistemas de informacin se deberan revisar
peridicamente para determinar el cumplimiento con las polticas y
normas de seguridad de la informacin.