Está en la página 1de 105

BS ISO/IEC 27001:2005 SGSI

SISTEMA DE GESTION DE
SEGURIDAD DE LA INFORMACION
LCC Jos Augusto Moguel Arce, MGTI
augusto.moguel@gmail.com

Porqu seguridad de la informacin?

Captura

Procesamiento

Transferencia

Almacenamiento

Destruccin

Qu valor tiene la informacin?


Actividad
Pensemos simplemente en forma personal o en el negocio:

1. Qu tipo de Informacin existe en su negocio?


2. Cmo y cundo se usa la Informacin?
3. De qu formas se utiliza, accede, enva, transmite, intercambia,
almacena o recibe Informacin?
4. Qu impacto se tendra sino tuviramos informacin?
5. Qu impacto se tendra si la informacin no fuera confiable?
6. Qu impacto se tendra si alguien tuviera acceso a la
informacin?
7. Qu amenazas existen a la informacin?
8. Qu VALOR tiene la Informacin?

Porqu seguridad de la informacin?

Activo vital en una organizacin.

Me da una ventaja competitiva

Permite mantener la operatividad de la empresa

Asociada al flujo de efectivo y rentabilidad de la empresa

Permite cumplir requerimientos legales

Me permite proyectar una buena imagen pblica y comercial

Qu ventajas me da?

Organizacional

Legal

Operativa

Comercial

Financiera

Recursos Humanos

Qu es la seguridad de la informacin?
Es la preservacin de la:

Confidencialidad
Integridad

Acceden quienes estn


autorizados

Es confiable y completa

Disponibilidad
Est disponible cuando se
necesita

Por qu implantar un Sistema de Gestin de Seguridad de la Informacin?

Definir/Compartir passwords

Cambios no planeados/autorizados

Acceso a sitios no autorizados

Destruccin/disposicin

Uso indebido de cmputo personal USBs


Equipos desatendidos

Separacin de funciones

Un contrato perdido

Infraestructura del centro de


cmputo

Robo hormiga de componentes


Bases de datos
Mantenimiento no controlado
Backups /Restores
Redes de comunicaciones

Amenazas externas
Personas
Terceros/outsourcing
Etc.

Resumiendo
Por qu se requiere SEGURIDAD de la INFORMACION?

1. La informacin es una activo fundamental alrededor del cual


opera el NEGOCIO
2. Aspectos que debemos cuidar de la informacin
1. Confidencialidad
2. Integridad
3. Disponibilidad

3. Cuando hablamos de seguridad de la informacin que debemos


vigilar o cuidar
1.
2.
3.
4.

Informacin
Procesos
Infraestructura
Recursos humanos

La Seguridad de la Informacin

La Seguridad de la Informacin se define como la preservacin de la


confidencialidad (asegurar que la informacin es accesible
nicamente a la personas autorizadas para ello), integridad
(salvaguardar la exactitud, precisin y totalidad de la informacin y los
mtodos de procesamiento) y disponibilidad (asegurar que los
usuarios autorizados tienen acceso a la informacin y activos
asociados cuando lo requieren) de la informacin

LA SEGURIDAD DE LA INFORMACION REQUIERE INVERSION


EN AMBOS : CAPITAL HUMANO Y TECNOLOGICO

Definiciones
Activo: Cualquier cosa que tiene valor para la organizacin
Control: Medio para gestionar el riesgo, incluyendo: polticas, procedimientos,
guas, prcticas o estructuras organizacionales, que pueden ser de naturaleza
administrativas, tcnica, gerencial o legal.
Gua: Una descripcin que aclara que se debe hacer y como, para alcanzar
los objetivos definidos en las polticas
Facilidades de Procesamiento de Informacin: Cualquier sistema, servicio
o infraestructura de procesamiento de informacin, o el lugar donde
fsicamente se encuentra.
Evento de Seguridad de la Informacin: Un evento de seguridad sucede
cuando se presenta un estado (situacin) en un sistema, servicio o en la red
de comunicaciones indicando una posible violacin de la poltica de seguridad
de la informacin o una falla en los medios para protegerla, o bien una nueva
situacin desconocida que puede ser relevante (importante) desde el punto de
vista de la seguridad de la informacin.

Definiciones
Incidente de Seguridad de la Informacin: Es indicado por la ocurrencia de
uno o varios eventos de seguridad no deseados o inesperados que tiene una
probabilidad significativa de afectar la operacin del negocio y amenazar la
seguridad de la informacin
Poltica: Intencin y direccin general expresada por la gerencia.
Riesgo: Combinacin de la probabilidad y consecuencias de un evento.
Anlisis de Riesgo: Uso sistemtico de informacin para identificar fuentes
de riesgo y estimarlo.
Evaluacin del Riesgo: Proceso de comparacin del riesgo estimado con un
criterio de riesgo establecido, para determinar su importancia.
Dimensionamiento del Riesgo: Proceso de anlisis y evaluacin del riesgo.

Definiciones
Tratamiento del riesgo: Proceso de seleccin e implantacin de medidas
para modificar el riesgo.
Terceros: Persona(s) u organizacin(es) que se identifica(n) como
independiente(s) de las partes involucradas, en relacin al tema en cuestin.
Amenaza: Causa potencial de un incidente no deseado, que puede resultar
en un dao a un sistema u organizacin.
Vulnerabilidad: Una debilidad en un activo o grupo de activos que pueden ser
explotada por una o ms amenzas.

BS ISO/IEC 27001:2005 SGSI


SISTEMA DE GESTION DE
SEGURIDAD DE LA INFORMACION

La Familia ISO27000

Fundamentos
Fundamentosyy
Vocabulario
Vocabulario

27000

ISO27000

27001

SGSI
SGSI

27005

Gestindel
delRiesgo
Riesgo
Gestin

27004

SGSI
SGSI
Requisitos
Requisitos

Mediciones
Mediciones

27002
ISO/IEC17799
17799
ISO/IEC

Cdigode
dePrctica
Prctica
Cdigo

27003
SGSI
SGSI

Guas
Guasde
deImplementacin
Implementacin
14

Caractersticas ISO 27001

Publicada en Octubre del 2005

Norma de Certificacin. Auditable

Reemplaza a la Norma BS7799-2:2002

Enfoque en el Manejo del Riesgo

Seguridad de la Informacin efectiva a travs de la Mejora


Continua

Anexo A indica los controles que deben aplicarse

Utiliza el Modelo de Procesos PHVA

15

La Familia ISO 27000

ISO 27000 - Fundamentos y Vocabulario

Definiciones especficas a ser usadas a travs de la serie de Normas


ISO 27000

ISO 27001 Requisitos

Caractersticas Principales

Manejo de Riesgos
Medicin de la Efectividad
Modelo de Mejora Continua
Auditable

16

La Familia ISO 27000

ISO 27002 (ISO/IEC 17799) - Cdigo de Prctica para la Gestin


de la Seguridad de la Informacin

Caractersticas Principales de la Revisin 2005

Mejoras a la cobertura de nuevos riesgos y amenazas, maneras de hacer


negocio, arreglos de redes y tecnologas que han emergido los ltimos 5
aos
Uso intensivo de servicios externos
Gestin de la Entrega del Servicio
Mejoras en la administracin de activos, seguridad en los recursos
humanos, y gestin en el manejo de incidentes
Gestin de la Vulnerabilidad
Amenazas al cdigo mvil
Tecnologas Inalmbricas

17

La Familia ISO 27000

ISO 27003 Guas de Implementacin

Su objetivo es proveer gua para la implementacin del SGSI con


respecto a la Norma ISO 27001

Soporte y ayuda detallados con respecto al Modelo de Procesos PHVA


Alcance y Poltica del SGSI
Identificacin de Activos
Monitoreo y Revisin
Mejora Contnua

Fecha estimada de Publicacin Octubre del 2008

18

La Familia ISO 27000

ISO 27004 Mediciones para la Gestin de Seguridad de la


Informacin

Su objetivo es ayudar a las organizaciones a medir y reportar la


efectividad de su SGSI, cubriendo los procesos de gestin de
seguridad (ISO 27001) y los controles (ISO 27002)

Objetivos de Eficiencia, Benchmarking


Conciencia, Manejo de Incidentes, Anlisis de Rastros de Auditora,
Aplicacin y Uso de Procedimientos, Efectividad en el Control de Accesos

Fecha estimada de Publicacin Q3 del 2007

ISO 27005 Gestin del Riesgo para un SGSI

Su objetivo es proporcionar gua en aspectos de gestin del riesgo


para ISO 27001:

Valoracin y Evaluacin del Riesgo


Implementacin de Controles Adecuados
Monitoreo y Revisin del Riesgo en forma Peridica
Mantener y Continuamente Mejorar el Sistema de Controles

19

Modelo de Procesos
Mantener y Mejorar
el SGSI
ACTUAR

PLANEAR

Establecer el SGSI

HACER

Monitorear y Controlar
el SGSI

VERIFICAR

Implantar y Operar
el SGSI
20

Estructura ISO 27001 Parte 1

Introduccin

Alcance

Normas de Referencia

Trminos y Definiciones

Sistema de Gestin de Seguridad de la Informacin

Responsabilidad Gerencial

Auditoras Internas al SGSI

Revisin Gerencial del SGSI

Mejora al SGSI

21

Estructura ISO 27001 Parte 2

Anexo A Objetivos de Control y Controles

Anexo B Relacin de los Principios de la OCDE y sta Norma

Anexo C Relacin entre ISO 9001:2000, ISO 14001:2004 y sta


Norma

Bibliografa

22

Sistemas de Calidad?

23

4 SISTEMA DE GESTIN DE SEGURIDAD DE LA INFORMACIN

24

4.2 Establecer el SGSI


PHVA

Definir Alcance y Lmites del SGSI

SGSI
SGSI

Parte de la Organizacin

Toda la Organizacin
25

4.2 Establecer el SGSI....


PHVA

Establecer las Relaciones con otras reas u Organizaciones

PROVEEDOR

SGSI

CLIENTE

IT

26

4.2 Establecer el SGSI....


PHVA

Definir la Poltica del SGSI

Toma en cuenta todos los requisitos


legales y regulatorios aplicables
Se alinea con el contexto de gestin
del riesgo estratgico de la
organizacin
Establece los criterios para la
evaluacin del riesgo
Es aprobada por la Gerencia

Poltica
Polticadel
delSGSI
SGSI
Es
EslalaPoltica
Polticade....
de....

27

4.2 Establecer el SGSI....


PHVA

Valoracin del Riesgo en la Organizacin

Definir el enfoque
Identificar, Analizar y Evaluar los Riesgos

Activos, Valor y Propietarios


Amenazas y Vulnerabilidades
Riesgos e Impactos

28

4.2 Establecer el SGSI....


PHVA

Ejemplo:

Activo: Registros del Cliente


Valor : Comercial Alto en Trminos Financieros
Amenazas: Accesos no autorizados por el personal de
la empresa, ..
Vulnerabilidades : Prdida Control no apropiado de
accesos, prdida en el control de la autenticidad,
prdida en el control de procesamiento de datos
Riesgo: Alto
Impacto: Alto

29

4.2 Establecer el SGSI....


PHVA

Tratamiento de Riesgos

Opciones
Reducir el Riesgo: Implantando Controles
Aceptar el Riesgo: Financieramente la organizacin puede vivir con el impacto
Transferir el Riesgo: Mediante Seguros con Contratos con Terceros
Evitar el Riesgo: No comprometerse con un Proyecto

Gestin de la Toma de Decisiones


Criterios de Aceptacin de Riesgos y Riesgos Residuales
Requisitos del Negocio
Costo y Recursos

30

4.2 Establecer el SGSI....


PHVA

Seleccin de Controles

Son seleccionados del Anexo A basados en los resultados de la valoracin del


riesgo y en las conclusiones derivadas el proceso de tratamiento de riesgos
Necesitar utilizar los criterios de la organizacin para aceptar el riesgo
La organizacin necesita tomar en cuenta otros requisitos. Por ejemplo Legales

31

4.2 Establecer el SGSI....


PHVA

Documento de Aplicabilidad

Indica los controles a ser implantados ms lo que ya


estn y los que no (exclusiones) documentando las
razones/justificaciones del porqu no lo han sido

Flujo de Desarrollo del SGSI


Riesgos
RiesgosIdentificados
Identificados
YYValorados
Valorados

Decisin
DecisinPara
ParaElEl
Tratamiento
Tratamientode
deRiesgos
Riesgos

Implantar
Implantar
Controles
Controles

Verificacin y Auditora al SGSI


32

4.2 Implantar y Operar el SGSI


PHVA

Implantando el Tratamiento de Riesgos del SGSI

Formular el Plan de Tratamiento de Riesgos

Est direccionado a administrar los riesgos a travs de las


acciones identificadas en la fase de planeacin
Identificar Acciones, Prioridades, Recursos y
Responsabilidades Gerenciales

Implantar el Plan de Tratamiento de Riesgos


Implantar los Controles Seleccionados

Polticas
Procedimientos
Controles de Recursos Humanos
Controles para Proveedores de Servicios, Contratos,
SLAs
Controles Tcnicos

33

4.2 Monitoreo y Revisin del SGSI


PHVA

Monitoreo y Revisiones

Medir la eficiencia, hacer benchmarking, etc. para


verificar la efectividad de los controles
Llevar a cabo el Monitoreo y los Procedimientos de
Revisin para determinar que todo funciona como se
espera, incluyendo:

Intentos de Accesos
Utilizacin de Procedimientos
Deteccn de Errores
Deteccin de Intentos de Penetracin e Incidentes
Efectividad
Resultados de la Valoracin del Riesgo

34

4.2 Monitoreo y Revisin del SGSI....


PHVA

Monitoreo y Revisiones....

Rastreo de Cambios

Riesgos, Amenazas
Maneras de hacer Negocio, Nuevos Proyectos, Nuevas
Propuestas de Mercado
Cambios en la Fuerza Laboral, Clientes Base, Negocios en
Sociedad
Tecnologa
Leyes y Reglamentos

Revisiones Regulares y Auditoras al SGSI

Reportes de Manejo de Incidentes


Mediciones de la Efectividad
Sugerencias y Retroalimentacin
Reportes de Auditora
Acciones Gerenciales y su cierre

35

4.2 Monitoreo y Revisin del SGSI....


PHVA

Monitoreo y Revisiones....
Actualizar Toda la Documentacin Relevante

Polticas
Procedimientos
Planes
Programas de Pruebas
Manuales de Revisin y Auditora

36

4.2 Mantener y Mejorar el SGSI


PHVA

Mantener y Mejorar

Implantar las Mejoras Identificadas en la Fase de


Verificacin
Tomar Accin Correctiva y Preventiva
Comunicar las Acciones y Mejoras a todas las Partes
Interesadas
Asegurar que las Mejoras consiguen los objetivos
pretendidos
Entrenar nuevamente al equipo de trabajo

37

4.3 Requisitos Documentales

La Documentacin debe incluir:

Poltica de Calidad y Objetivos


Alcance
Procedimientos y Controles
Metodologa de Valoracin de Riesgos
Reporte de Valoracin de Riesgos
Plan de Tratamiento de Riesgos
Procedimientos Documentados
Registros
Documento de Aplicabilidad

38

4.3 Requisitos Documentales

Control de Documentos

Aprobacin
Revisin y Actualizacin
Estado de Cambios
Disponibilidad
Legibles e Identificables
Manejo y Disposicin
Documentos Externos
Distribucin
Documentos Obsoletos
Retencin

39

4.3 Requisitos Documentales

Control de Registros

Establecidos y Mantenidos
Protegidos y Controlados
Requisitos Legales y Reglamentarios
Legibles
Identificables
Fcil Recuperacin
Controles

40

Actividad

Establecer la empresa o entidad en donde


se implementar el SGSI

Situacin actual

Requerimientos de seguridad

Realizar una presentacin 2 o 3


diapositivas

41

5 RESPONSABILIDAD GERENCIAL

42

5.1 Compromiso Gerencial

Poltica del SGSI


Objetivos y Planes
Roles y Responsabilidades
Comunicacin e Importancia
Recursos
Criterios de Aceptacin
Auditoras Internas
Revisiones Gerenciales

43

5.2 Gestin de los Recursos

Provisin de los Recursos

Determinar y Proveer Recursos


Procedimientos de Seguridad
Requisitos Legales y Regulatorios
Aplicacin de Controles
Revisiones
Mejorar la Efectividad

Entrenamiento, Conciencia y Competencia

Determinar Competencia
Capacitacin
Efectividad de Acciones Tomadas
Registros

44

6 AUDITORAS INTERNAS AL SGSI

45

6.0 Auditoras Internas al SGSI

Conformidad a esta Norma


Conformidad a los Requisitos de Seguridad Identificados
Efectivamente Implantado y Mantenido
Trabaje como se espera
Programa de Auditora
Responsabilidades y Requisitos
Responsabilidad Gerencial

46

7 REVISIN GERENCIAL DEL SGSI

47

7.0 Revisin Gerencial del SGSI

General

Revisar al Menos 1 vez por ao

Evaluacin de Oportunidades de Mejora


Necesidad de Cambios

Informacin de Entrada

Resultados de Auditoras y Revisiones


Retroalimentacin
Desempeo y Efectividad
Acciones Correctivas y Preventivas
Vulnerabilidades Amenazas
Resultados de Mediciones de Efectividad
Seguimiento a Revisiones previas
Cambios
Recomendaciones de Mejora

48

7.0 Revisin Gerencial del SGSI

Informacin de Salida

Mejoras sobre la Efectividad


Actualizacin de Planes de Valoracin y Tratamiento de
Riesgo
Mejoras de los Procedimientos y Controles que afecten
la seguridad:

Requisitos del Negocio


Requisitos de Seguridad
Procesos de Negocio
Requisitos Regulatorios Legales
Obligaciones Contractuales
Niveles de Riesgo y/ Criterios para la Aceptacin

Recursos Necesarios
Mejora en la Medicin de la Efectividad de los
Controles

49

8 MEJORA DEL SGSI

50

8.0 Mejora del SGSI

Mejora Continua

Continuamente Mejorar la Efectividad

Accin Correctiva

Identificar No Conformidades
Determinar la Causa
No Recurrencia
Acciones para Eliminacin
Registrar Resultados de Acciones
Revisar la Accin Tomada

51

8.0 Mejora del SGSI....

Accin Preventiva

No Conformidades Potenciales
Prevenir su Aparicin
Determinar e Implementar
Registros
Revisar la Accin Tomada

52

BS ISO/IEC 27001: 2005


Anexo A: Objetivos de Control y
Controles

Objetivos de Control y Controles


A.5 Poltica de
Seguridad

A.6 Organizacin

A.15 Cumplimiento
A.7 Administracin
Activos
A.8 Seguridad de los
Recursos
Humanos
A.12 Adquisicin, Desarrollo
y Mantenimiento
de Sistemas

A.11 Control
de Acceso
A.9 Seguridad Fsica
y Ambiental

A.10 Gestin de
Las Comunicaciones
y Operaciones

A.14 Gestin de la
Continuidad
del Negocio

A.13 Gestin de Incidentes de Seguridad de la Informacin

54

ANEXO A. Objetivos de Control y Controles

EL ANEXO A cubre:
A.5. Poltica de Seguridad
A.6. Organizacin para la Seguridad de la Informacin
A.7. Administracin de Activos
A.8. Seguridad de los Recursos Humanos
A.9. Seguridad Fsica y Ambiental
A.10. Gestin de las Comunicaciones y Operaciones
A.11. Control de Acceso
A.12. Adquisicin, Desarrollo y Mantenimiento de Sistemas de
Informacin
A.13. Gestin de Incidentes de Seguridad de la Informacin
A.14. Gestin de la Cotinuidad del Negocio
A.15. Cumplimiento

55

5. POLITICA DE SEGURIDAD

5.1 Poltica de Seguridad de la Informacin


Objetivo: Proveer gua gerencial y soporte a la seguridad de la informacin de
acuerdo con los requerimientos del negocio, las leyes y regulaciones
aplicables.
La Gerencia debe establecer una gua clara sobre la poltica, la cual debe estar
en lnea con los objetivos del negocio, demostrando que soporta y se
compromete con la seguridad de la informacin mediante la declaracin y
actualizacin de una poltica de seguridad de la informacin en toda la
organizacin.

5.1.1 Documento de la Poltica de Seguridad de la Informacin.


5.1.2 Revisin de la Poltica de Seguridad de la Informacin.

56

6. ORGANIZACION PARA LA SEGURIDAD DE LA


INFORMACION
6.1 Organizacin Interna

Objetivo: Gestionar la seguridad de la informacin dentro de la organizacin.


Se debe establecer una estructura gerencial para poder iniciar y controlar la
seguridad de la informacin dentro de la organizacin.
La Gerencia debe aprobar la politica de seguridad, asignar roles de seguridad,
coordinar y revisar la implantacin de la seguridad en toda la organizacin.
Si fuera necesario, se debe contratar a especialistas en seguridad que apoyen
a la organizacin. Se deben desarrollar y mantener contactos con especialistas
en seguridad, incluyendo a las autoridades pertinentes. Mantenerse actualizado
con las tendencias de la industria, estndares y mtodos de evaluacin,
establecer comits de evaluacin para el manejo de incidentes de seguridad de
la informacin
Debe fomentarse un enfoque multidisciplinario de la seguridad de la
informacin.

57

6. ORGANIZACION PARA LA SEGURIDAD DE LA


INFORMACION
6.1.1

Compromiso Gerencial con la Seguridad de la Informacin.

6.1.2

Coordinacin de la Seguridad de la Informacin.

6.1.3
Asignacin de Responsabilidades de Seguridad de la
Informacin
6.1.4

Proceso de Autorizacin de Facilidades de Procesamiento de


Informacin

6.1.5

Acuerdos de confidencialidad

6.1.6

Contacto con autoridades

6.1.7

Contacto con Grupos de Inters Especial

6.1.8

Revisin Independiente de la Seguridad de la Informacin

58

6. ORGANIZACION PARA LA SEGURIDAD DE LA


INFORMACION
6.2 Terceros (Externos)

Objetivo: Mantener la seguridad de la informacin de la organizacin y las


facilidades de procesamiento de informacin que son accedidas, operadas
(procesadas), comunicadas a o administradas(gestionadas) por terceros.
La seguridad de la informacin de la organizacin y de las facilidades de
procesamiento de datos no debe verse reducida o expuesta por la introduccin
de productos y servicios de terceros.
Cualquier acceso a las facilidades de procesamiento de informacin de la
organizacin , as como el procesamiento y comunicacin de informacin por
terceros debe ser controlado.
Donde exista la necesidad de negocio de trabajar con terceros que requieran
acceso a la informacin de la organizacin y a las facilidades de procesamiento
de la informacin o bien en la obtencin o entrega de un producto o servicio de
o para un tercero, debe llevarse a cabo una evaluacin del riesgo para
determinar las implicaciones en seguridad y los requerimientos de control. Los
controles deben definirse y acordarse mediante un acuerdo (contrato) con el
tercero.
59

6. ORGANIZACION PARA LA SEGURIDAD DE LA


INFORMACION
6.2 Terceros (Externos)

6.2.1

Identificacin de los Riesgos Relacionados con


Terceros.

6.2.2 Considerando la Seguridad cuando tratamos con


clientes.
6.2.3 Considerando la Seguridad en Acuerdos con
terceros.

60

7. ADMINISTRACIN DE ACTIVOS

7.1 Responsabilidad por los Activos

Objetivo: Tener y mantener una apropiada proteccin de los activos de la


organizacin.

Todos los activos deben ser inventariados y tener definido un propietario.


Todos los activos deben tener un propietario, al cual se le asigna la
responsabilidad de mantener los controles apropiados para ese activo. La
implantacin de los controles especficos pueder ser delegada por el
propietario, pero el mantiene la responsabilidad de la proteccin adecuada de
los activos.

7.1.1

Inventario de los Activos.

7.1.2

Propiedad de los Activos

7.1.3

Uso Aceptable de los Activos


61

7. ADMINISTRACIN DE ACTIVOS

7.2 Clasificacin de la Informacin


Objetivo: Asegurar que la informacin recibe el nivel de proteccin adecuado.
La informacin debe ser clasificada de acuerdo a la necesidad, prioridad y
grado esperado de proteccin.
La informacin tiene diferentes grados de sensibilidad y criticidad . Alguna
informacin puede requerir niveles adicionales de proteccin o un manejo
especial. Se debe emplear un esquema de clasificacin de la informacin para
establecer los niveles apropiados de proteccin y comunicar la medidas
especiales de manejo de la informacin.

7.2.1

Guas de Clasificacin.

7.2.2

Etiquetado y Manejo de la Informacin

62

8. SEGURIDAD DE LOS RECURSOS HUMANOS

8.1 Antes del Empleo


Objetivo: Asegurar que los empleados, contratistas y terceros usuarios entienden
sus responsabilidades y son adecuados para los roles para los que estn
siendo considerados y para reducir el riesgo de robo, fraude o mal uso de las
facilidades.

Las responsabilidades de seguridad deben ser includas y consideradas de


manera apropiada, antes de la contratacin, en las descripciones del puesto y
en los trminos y condiciones de empleo.
Todos los candidatos a un puesto, contratistas y terceros deben ser
investigados, especialmente en puestos de trabajo sensitivos.
Los potenciales empleados, contratistas y terceros deben firmar un acuerdo
(contrato) que establezca sus roles y responsabilidades de seguridad.

8.1.1

Roles y Responsabilidades.

8.1.2

Investigacin / Verificacin.

8.1.3

Trminos y condiciones de Empleo.


63

8. SEGURIDAD DE LOS RECURSOS HUMANOS

8.2 Durante el Empleo

Objetivo: Asegurar que todos los empleados, contratistas y terceros usuarios estn
concientes de las amenzas y consecuencias de la seguridad de la informacin,
sus responsabilidades y obligaciones legales, y estn equipados para soportar
la poltica de seguridad de la informacin en el curso de su trabajo normal y
para reducir el riesgo de errores humanos.
Las responsabilidades gerenciales deben estar definidas para garantizar que la
seguridad es aplicada por y en cada individuo en la organizacin
Para minimizar los posibles riesgos de seguridad, se debe dar a todos los
empleados, contratistas y terceros un adecuado nivel de conocimiento,
educacin y entrenamiento acerca de los procedimientos de seguridad y el uso
correcto de las facilidades de procesamiento de informacin.
Debe establecerse un proceso disciplinario formal para manejar los casos de
violacin de la seguridad.
64

8. SEGURIDAD DE LOS RECURSOS HUMANOS

8.2 Durante el Empleo

8.2.1

Responsabilidades Gerenciales

8.2.2 Concientizacin, Educacin y Entrenamiento de


Seguridad de la Informacin.
8.2.3

Proceso Disciplinario.

65

8. SEGURIDAD DE LOS RECURSOS HUMANOS

8.3 Terminacin o Cambio de Empleo


Objetivo: Asegurar que los empleados, contratistas y terceros usuarios dejan la
organizacin o cambian de empleo de una manera ordenada.
Deben estar definidas las responsabilidades que aseguren que la salida de los
empleados, contratistas y terceros es manejada correctamente, que todo el equipo es
devuelto y los derechos de acceso son cancelados.
El Cambio de responsabilidades y empleo dentro de la organizacin debe ser manejado
correctamente, llevando a cabo la terminacin como ya se describi y asumiendo sus
nuevas responsabilidades de acuerdo a lo previsto en la seccin 8.1.

8.3.1

Responsabilidades de Terminacin.

8.3.2

Devolucin de Activos

8.3.3

Remover los Derechos de Acceso.

66

9. SEGURIDAD FISICA Y AMBIENTAL

9.1 Areas Seguras


Objetivo: Prevenir acceso fsico no autorizado, dao e interferencia a las
instalaciones e informacin de la organzacin.
Las Facilidades de Procesamiento de Informacin crticas o sensitivas deben
estar localizadas en reas seguras, protegidas por un permetro de seguridad
definido, con barreras de seguridad apropiadas y controles de entrada. Deben
estar fsicamente protegidas contra acceso no autorizado, dao e interferencia.

67

9. SEGURIDAD FISICA Y AMBIENTAL

9.1 Areas Seguras

9.1.1 Permetro de Seguridad Fsica.


9.1.2 Controles de Acceso Fsico.
9.1.3 Aseguramiento de Oficinas, Cuartos y Facilidades.
9.1.4 Proteccin contra Amenazas Externas y Ambientales.
9.1.5 Trabajando en Areas Seguras.
9.1.6 Areas de Acceso Pblico, de Entrega y de Carga.

68

9. SEGURIDAD FISICA Y AMBIENTAL


9.2 Seguridad del Equipo
Objetivo: Prevenir la prdida, dao, robo o riesgo de los activos y la interrupcin de
las actividades de la organizacin.
Los equipos deben protegerse contra amenazas fsicas y ambientales.
Es necesaria la proteccin del equipo (incluyendo el que se usa fuera de las
oficinas y el remocionado) para reducir el riesgo de acceso no autorizado a la
informacin y su proteccin contra prdida o dao. Esto debe incluir la ubicacin
y retiro de equipo del sitio. Se deben considerar controles especiales para
salvaguardar las facilidades de infraestructura del sitio, tales como suministro
elctrico, sistemas de cableado, aire acondicionado, etc.

9.2.1 Instalacin y Proteccin del Equipo


9.2.2 Servicios de Apoyo (Utilities)
9.2.3 Seguridad del Cableado.
9.2.4 Mantenimiento de Equipo.
9.2.5 Seguridad del Equipo Fuera de las Instalaciones
9.2.6 Disposicin Segura o Re-uso del equipo.
9.2.7 Remocin de Propiedad
69

10. GESTIN DE LAS COMUNICACIONES Y


OPERACIONES
10.1 Procedimientos y
Responsabilidades de Operacin.

Objetivo: Asegurar la correcta y segura operacin de las facilidades de procesamiento


de informacin.
Deben establecerse las responsabilidades y procedimientos para la administracin
y operacin de las facilidades de procesamiento de informacin. Esto incluye la
definicin de los procedimientos operativos.
La separacin de responsabilidades debe ser implementada, cuando sea
apropiado, para reducir el riesgo de un mal uso del sistema ya sea por negligencia
o en forma deliberada.

10.1.1 Procedimientos de Operacin Documentados


10.1.2 Administracin de Cambios
10.1.3 Separacin de Responsabilidades
10.1.4 Separacin de los Ambientes de Desarrollo, Prueba y Operacin.
70

10. GESTIN DE LAS COMUNICACIONES Y


OPERACIONES
10.2 Gestin de la Entrega de Servicios de Terceros

Objetivo: Implementar y mantener el nivel apropiado de seguirdad de la

informacin y entrega de servicios, en lnea con los acuerdos de entrega de


servicios con terceros.
La organizacin debe revisar los acuerdos (contratos) de entrega, monitorear su
cumplimiento y administrar los cambios, para garantizar que los servicios
entregados cumplan con todos los requerimientos definidos con el tercero.

10.2.1 Entrega de Servicios.


10.2.2 Monitoreo y Revisin de Servicios los de Terceros.
10.2.3 Administracin de Cambios a Servicios de Terceros.
71

10. GESTIN DE LAS COMUNICACIONES Y


OPERACIONES
10.3 Planeacin y Aceptacin de Sistemas
Objetivo:

Minimizar el riesgo de fallas de los sistemas.

Son necesarias la planeacin y preparacin anticipadas para asegurar la


disponibilidad de una adecuada capacidad y recursos que permitan contar con
el rendimiento (performance) requerido del sistema.
Proyecciones de capacidad futura deben ser realizadas, para reducir el riesgo
de sobrecarga del sistema.
Los requisitos operacionales de nuevos sistemas deben ser establecidos,
documentados y probados antes de su aceptacin final y uso.

10.3.1 Administracin de la Capacidad


10.3.2 Aceptacin de Sistemas

72

10. GESTIN DE LAS COMUNICACIONES Y


OPERACIONES
10.4 Proteccin contra Cdigo Malicioso y Mvil

Objetivo: Proteger la integridad del software y la informacin.


Se requieren tomar precauciones para prevenir y detectar la introduccin de
cdigo malicioso y cdigo mvil no autorizado.
El software y las facilidades de procesamiento de la informacin son
vulnerables a la introduccin de cdigo malicioso. Los usuarios deben estar
conscientes del dao que puede causar el cdigo malicioso. La gerencia debe,
cuando sea apropiado, establecer controles para prevenir, detectar y remover
cdigo malicioso y cdigo mvil.

10.4.1 Controles contra Cdigo Malicioso.


10.4.2 Controles contra Cdigo Mvil.
73

10. GESTIN DE LAS COMUNICACIONES Y


OPERACIONES
10.5 Respaldo

Objetivo: Mantener la integridad y disponibilidad de la informacin y las


facilidades de procesamiento de la informacin.

Se deben establecer procedimientos de rutina para implementar las polticas


convenidas de respaldo (ver tambin seccin 14.1), que permitan tomar copias
de respaldo de los datos y ejercitar su restauracin en los tiempos esperados
(requeridos).

10.5.1 Respaldo de Informacin.

74

10. GESTIN DE LAS COMUNICACIONES Y


OPERACIONES
10.6 Gestin de la Seguridad de la Red

Objetivo: Asegurar la proteccin de la informacin en la red y la proteccin de la


infraestructura de la red.

La administracin segura de redes de comunicacin, la cual puede atravesar


los lmites organizacionales, requiere una cuidadosa consideracin de: el flujo
de los datos, implicaciones legales, monitoreo y proteccin.
Se pueden requerir controles adicionales para la proteccin de informacin
sensitiva que viaje a travs de redes de comunicacin pblicas.

10.6.1 Controles de Red


10.6.2 Seguridad de los Servicios de Red

75

10. GESTIN DE LAS COMUNICACIONES Y


OPERACIONES
10.7 Manejo de Media.
Objetivo: Prevenir la divulgacin, modificacin, remocin, o destruccin de activos
no autorizada y la interrupcin de las actividades del negocio.
La media debe ser controlada y protegida fsicamente.
Deben establecerse procedimientos operativos apropiados para proteger:
documentos, media de cmputo (ejem.: cintas, discos, etc.), entrada y salida de
datos y documentacin de los sistemas, de su publicacin no autorizada,
modificacin, remocin y destruccin.

10.7.1 Administracin de Media Removible.


10.7.2 Destruccin de Media.
10.7.3 Procedimientos de Manejo de la Informacin.
10.7.4 Seguridad de la Documentacin de Sistemas.

76

10. GESTIN DE LAS COMUNICACIONES Y


OPERACIONES
10.8 Intercambio de informacin.

Objetivo: Mantener la seguridad de la informacin y el software intercambiado


dentro de la organizacin y con cualquier entidad externa.

El intercambio de informacin y software entre dos organizaciones debe estar


basado en una poltica de intercambio formal, la cual debe estar en lnea con
los acuerdos (contratos) de intercambio y debe cumplir con cualquier legislacin
aplicable.
Deben establecerse procedimientos y estndares para proteger la informacin y
la media fsica que contenga informacin en trnsito.

10.8.1 Polticas y Procedimientos de Intercambio de informacin.


10.8.2 Acuerdos de Intercambio.
10.8.3 Media Fsica en Trnsito.
10.8.4 Mensajes Electrnicos
10.8.5 Sistemas de Informacin del Negocio.
77

10. GESTIN DE LAS COMUNICACIONES Y


OPERACIONES
10.9 Servicios de Comercio Electrnico.
Objetivo: Asegurar los servicios de comercio electrnico y su uso seguro.
Deben ser consideradas las implicaciones de seguridad y requerimientos de
control asociados con servicios de comercio electrnico, incluyendo
transacciones en lnea.
Deben tambin considerar la integridad y disponibilidad de la informacin
electrnicamente divulgada a travs de sistemas disponibles a todo el pblico.

10.9.1 Comercio Electrnico


10.9.2 Transacciones en Lnea
10.9.3 Informacin Disponible Pblicamente

78

10. GESTIN DE LAS COMUNICACIONES Y


OPERACIONES
10.10 Monitoreo.
Objetivo: Detectar actividades de procesamiento de informacin no autorizadas.
Los sistemas deben ser monitoreados y los eventos de seguridad de la
informacin deben ser registrados. Deben utilizarse bitcoras de operacin y
fallas para asegurar que podemos identificar los problemas que se presenten
en los sistemas de informacin.
Una organizacin debe cumplir con todos los requisitos legales aplicables a sus
actividades de monitoreo y toma de bitcoras.
El sistema de monitoreo debe ser usado para checar la efectividad de los
controles que han sido adoptados y para verificar la conformidad con un modelo
de poltica de acceso.

79

10. GESTIN DE LAS COMUNICACIONES Y


OPERACIONES
10.10 Monitoreo.

10.10.1 Registro de Bitcoras de Auditora


10.10.2 Monitoreo el Uso de Sistemas
10.10.3 Proteccin de las Bitcoras
10.10.4 Bitcoras del Administrador y Operador
10.10.5 Registro de la Bitcora de Fallas.
10.10.6 Sincronizacin del Reloj.

80

11. CONTROL DE ACCESO


11.1 Requerimientos del Negocio para el Control de Acceso

Objetivo: Controlar el acceso a la Informacin.


El acceso a la informacin, las facilidades de procesamiento de informacin y
los procesos de negocio deben ser controlados basados en los requisitos de
seguridad y del negocio.
Las reglas de control de acceso deben tomar en cuenta las polticas de
autorizacin y divulgacin.

11.1.1 Poltica de Control de Acceso

81

11. CONTROL DE ACCESO


11.2 Gestin de Acceso de Usuarios
Objetivo: Asegurar el acceso autorizado de los usuarios y prevenir el acceso no
autorizado de los usuarios.
Deben establecerse procedimientos para controlar la asignacin de permisos
de acceso a los sistemas de informacin y servicios.
Los procedimientos deben cubrir todos las etapas en el ciclo-de-vida de acceso
de los usuarios; desde el registro inicial para nuevos usuarios hasta la
cancelacin de usuarios que ya no necesiten el acceso a los sistemas de
informacin y servicios. Especial atencin debe ponerse, donde aplique, a la
necesidad de control para la asignacin de acceso a usuarios privilegiados, que
permita anular el control de acceso en los sistemas.

11.2.1 Registro de Usuarios


11.2.2 Administracin de Privilegios
11.2.3 Administracin de las Passwords de Usuarios
11.2.4 Revisin de los Derechos de Accesos de los Usuarios
82

11. CONTROL DE ACCESO


11.3 Responsabilidades del Usuario
Objetivo: Prevenir el acceso de usuarios no autorizado, y el posible riesgo o robo
de la informacin y las facilidades de procesamiento de informacin.
La cooperacin de usuarios autorizados es esencial para una seguridad
efectiva.
Los usuarios deben estar conscientes de sus responsabilidades para mantener
controles de acceso efectivos, particularmente en lo relativo al uso de
contraseas y en la seguridad del equipo del usuario.
Una poltica de escritorio y pantalla limpios debe ser implementada para reducir
el riesgo de accesos no autorizados para evitar el dao a papeles, media y a
los medios para el procesamiento de informacin.

11.3.1 Uso de Password


11.3.2 Equipo de Usuario Desatendido
11.3.3 Poltica de Escritorio Limpio y Pantalla Limpia
83

11. CONTROL DE ACCESO


11.4 Control de Accesos a la Red
Objetivo: Prevenir el acceso no autorizado a los servicios de red.
El acceso a los servicios de red internos y externos debe estar controlado.
El acceso de usuarios a la red y/ servicios no debe comprometer la seguridad de los
servicios de red asegurando que:
a) Puntos de enlace apropiados son establecidos entre la red de la organizacin y la red
propiedad de otras organizaciones as como con la red pblica.
b) Mecanismos de autentificacin apropiados son aplicados para usuarios y equipo.
c) El control de usuarios para el acceso a los servicios de informacin debe ser reforzado.

11.4.1 Poltica Sobre el Uso de los Servicios de Red


11.4.2 Autentificacin de Usuarios para Conexiones Externas
11.4.3 Identificacin de Equipos en la Red
11.4.4 Proteccin de Puertos de Diagnstico y Configuracin Remotos

84

11. CONTROL DE ACCESO


11.4.5 Segregacin en Redes
11.4.6 Control de Conexiones a la Red
11.4.7 Control del Ruteo en la Red

85

11. CONTROL DE ACCESO


11.5 Control de Acceso al Sistema Operativo
Objetivo: Prevenir el acceso no autorizado a los sistemas operativos.
Medios de seguridad deben ser utilizados para restringir el acceso a sistemas operativos a
usuarios autorizados. Los medios deben ser capaces de lo siguiente:
a) Autentificar a los usuarios autorizados, de acuerdo con las polticas de control de
acceso definidas.
b) Registrar intentos de autentificacin exitosos y fallidos.
c) Registrar el uso de privilegios especiales a los sistemas.
d) Emitir alarmas cuando las polticas de seguridad del sistema son quebrantadas.
e) Proveer de medios apropiados para la autentificacin.
f) Cuando aplique, restringir el tiempo de conexin de los usuarios.

11.5.1 Procedimientos de Logon Seguros


11.5.2 Identificacin y Autentificacin del Usuario
11.5.3 Sistema de Administracin de Passwords

86

11. CONTROL DE ACCESO


11.5.4 Uso de las Utileras del Sistema
11.5.5 Tiempo Lmite en las Sesiones
11.5.6 Limitacin en el Tiempo de Conexin

87

11. CONTROL DE ACCESO


11.6 Control de Acceso a las Aplicaciones y a la Informacin
Objetivo: Prevenir acceso no autorizado a la informacin de los sistemas aplicativos.
Medios de seguridad deben ser utilizados para restringir el acceso a los sistemas
aplicativos.
El acceso lgico al software aplicativo y a la informacin debe ser restringido a usuarios
autorizados. Los sistemas aplicativos deben:
a) Controlar el acceso de usuarios a la informacin y funciones de los sistemas aplicativos,
de conformidad con una poltica de control de acceso definida.
b) Proveer proteccin de acceso no autorizado por cualquier medio, software de sistema
operativo, y software malitencionado que sea capaz de anular saltar el sistema los
controles aplicativos.
c) No comprometer otros sistemas con los que los recursos de informacin son
compartidos.

11.6.1 Restricciones de Acceso a la Informacin


11.6.2 Aislamiento de Sistemas Sensitivos

88

11. CONTROL DE ACCESO


11.7 Cmputo Mvil y Trabajo Remoto
Objetivo: Asegurar la seguridad de la informacin cuando se usa cmputo mvil y
facilidades de trabajo remoto.
La proteccin requerida debe ser proporcionada de acuerdo a los riesgos especificos en
funcin de la forma de trabajo.
Cuando se utilice cmputo mvil los riesgos de trabajar en un ambiente no protegido,
deben ser considerados y la proteccin conveniente aplicada. En el caso de trabajo
remoto la organizacin debe aplicar la proteccin al lugar de trabajo remoto y aplicar las
consideraciones convenientes a esta forma de trabajo.

11.7.1 Cmputo Mvil y Comunicaciones


11.7.2 Trabajo Remoto

89

12. ADQUISICIN, DESARROLLO Y


MANTENIMIENTO DE SISTEMAS DE INFORMACIN
12.1 Requerimientos de Seguridad de los Sistemas de
Informacin
Objetivo: Asegurar que la seguridad es una parte integral de los sistemas de informacin.
Los sistemas de informacin incluyen sistemas operativos, infraestructura, aplicaciones del
negocio, productos externos, servicios, y aplicaciones desarrolladas por el usuario. El diseo
e implementacin de los sistemas de informacin soportando el proceso del negocio pueden
ser cruciales para la seguridad. Los requisitos de seguridad deberan ser identificados y
acordados antes del desarrollo y/ implementacin de los sistemas de informacin.
Todos los requisitos de seguridad dederan identificarse en la fase de reqerimientos de un
proyecto y ser justificados, acordados y documentados como parte del caso de negocio en su
totalidad para un sistema de informacin.

12.1.1 Anlisis y Especificacin de los Requisitos de Seguridad

90

12. ADQUISICIN, DESARROLLO Y


MANTENIMIENTO DE SISTEMAS DE INFORMACIN
12.2 Procesamiento Correcto en las Aplicaciones
Objetivo: Prevenir errores, prdida, modificaciones no autorizadas mal uso de la
informacin en las aplicaciones.

Controles apropiados deben disearse dentro de las aplicaciones, incluyendo las


aplicaciones desarrolladas por el usuario para asegurar su correcto procesamiento. Estos
controles deben incluir la validacin de los datos de entrada, procesamiento interno y los
datos de salida.
Controles adicionales pueden ser requeridos para sistemas que procesan, tienen un
impacto en informacin sensitiva, valiosa crtica. Tales controles deben determinarse
basados en los requisitos de seguridad y evaluacin de riesgos.

12.2.1 Validacn de los Datos de Entrada


12.2.2 Control del Procesamiento Interno
12.2.3 Integridad de Mensajes
12.2.4 Validacin de los Datos de Salida

91

12. ADQUISICIN, DESARROLLO Y


MANTENIMIENTO DE SISTEMAS DE INFORMACIN
12.3 Controles Criptogrficos
Objetivo: Proteger la confidencialidad, autenticidad integridad de la informacin por
medios criptogrficos.
Una poltica debea ser desarrollada para el uso de los controles criptogrficos. La gestin
de llaves debe ser establecida para soportar el uso de tcnicas criptogrficas.

12.3.1 Poltica del Uso de Controles Criptogrficos


12.3.2 Administracin de Llaves

92

12. ADQUISICIN, DESARROLLO Y


MANTENIMIENTO DE SISTEMAS DE INFORMACIN
12.4 Seguridad de los Archivos del Sistema
Objetivo: Asegurar la seguridad de los archivos de sistema.
El acceso a los archivos del sistema y al cdigo de los programas fuente debe ser
controlado, y los proyectos de IT as como las actividades de soporte conducidas de una
manera segura. Debe tenerse cuidado para evitar la exposicin de datos sensitivos en
ambientes de prueba.

12.4.1 Control del Software Operativo


12.4.2 Proteccin de los Datos de Prueba del Sistema
12.4.3 Control de Acceso al Cdigo Fuente de los Programas

93

12. ADQUISICIN, DESARROLLO Y


MANTENIMIENTO DE SISTEMAS DE INFORMACIN
12.5 Seguridad en los Procesos de Desarrollo y Soporte
Objetivo: Mantener la seguridad de la informacin y el software de los sistemas aplicativos.
Los ambientes de proyecto y soporte deben ser estrictamente controlados.
Los gerentes responsables de sistemas aplicativos deben ser tambin responsables de
los ambientes de proyecto soporte. Deben asegurar que todos los cambios propuestos a
los sistemas, son revisados para verificar que no comprometen la seguridad ya sea del
sistema del ambiente operativo.

12.5.1 Procedimientos de Control de Cambios


12.5.2 Revisin Tcnica de Aplicaciones Despus de Cambios
al Sistema Operativo
12.5.3 Restricciones a Cambios en los Paquetes de Software

94

12. ADQUISICIN, DESARROLLO Y


MANTENIMIENTO DE SISTEMAS DE INFORMACIN
12.5.4 Fuga de Informacin
12.5.5 Desarrollo de Software por Terceros

95

12. ADQUISICIN, DESARROLLO Y


MANTENIMIENTO DE SISTEMAS DE INFORMACIN
12.6 Administracin de las Vunerabilidades Tcnicas
Objetivo: Reducir los riesgos resultantes de la explotacin de vulnerabilidades tcnicas
publicadas.
La gestin de la vulnerabilidad tcnica debe ser implementada de una manera efectiva,
sistemtica y repetible con mediciones tomadas para confirmar su efectividad. Estas
consideraciones deben incluir sistemas operativos y cualquier otra aplicacin en uso.

12.6.1 Control de las Vulnerabilidades Tcnicas

96

13. GESTION DE INCIDENTES DE SEGURIDAD DE


LA INFORMACIN
13.1 Reporte de los Eventos de Seguridad de la Informacin
Objetivo: Asegurar que los eventos y debilidades de seguridad, asociados con los sistemas
de informacin, son comunicados de tal forma que permiten que se tome de manera
oportuna la accin correctiva.
Reporte formal de eventos y procedimientos de escalamiento deben ser establecidos.
Todos los empleados, temporales y terceros usuarios deben estar conscientes de los
procedimientos para reportar los diferentes tipos de eventos y debilidades que quizs
tienen un impacto en la seguridad de los activos de la organizacin. Deben reportar
cualquier evento y debilidad de la seguridad de la informacin, tan pronto como le sea
posible, con el punto de contacto designado.

13.1.1 Reporte de los Eventos de Seguridad de la Informacin


13.1.2 Reporte de Debilidades de Seguridad

97

13. GESTION DE INCIDENTES DE SEGURIDAD DE


LA INFORMACIN
13.2 Administracin de los Incidentes de Seguridad de la
Informacin y Mejoras.
Objetivo: Asegurar que un enfoque consistente y efectivo es aplicado a la administracin de
la seguridad de la informacin.

Responsabilidades y procedimientos debn ser establecidos para manejar los eventos de


seguridad de la informacin y debilidades en forma efectiva, una vez que han sido
reportados. Un proceso de mejora continua debe ser aplicado para responder al
monitoreo, evaluacin y administracin general de los incidentes de seguridad de la
informacin.
Donde se requiera evidencia, esta debe ser recolecta para asegurar el cumplimiento de
los requisitos legales.

13.2.1 Responsabilidades y Procedimientos


13.2.2 Aprendiendo de los Incidentes de Seguridad
de la Informacin
13.2.3 Recoleccin de Evidencia

98

14. GESTION DE LA CONTINUIDAD DEL NEGOCIO


14.1 Aspectos de la Seguridad
de la Informacin en la Gestin de la
Continuidad del Negocio
Objetivo: Actuar cuando se da una interrupcin de las actividades del negocio y

proteger los procesos crticos del negocio de los efectos de fallas mayores de
los sistemas de informacin o desastres y asegurar su restablecimiento
oportuno.
Un proceso de gestin de continuidad del negocio debe ser implementado para minimizar
el impacto en la organizacin y recuperarse de prdida de los activos de infrmacin (el
cual puede ser el resultado de, por ejemplo, desastres naturales, accidentes, fallas en el
equipo y acciones deliberadas) a un nivel aceptable a travs de una combinacin de
controles preventivos y de recuperacin. Este proceso debe de identificar los procesos
crticos de negocio e integrar los requisitos de continuidad del negocio en cuanto a la
gestin de la seguridad de la informacin con otros requisitos de continuidad relativos a
aspectos tales como operaciones, personal, materiales, transporte y medios.
Las consecuencias de desastres, fallas en seguridad, prdidas en el servicio, y
disponibilidad del servicio deben estar sujetas a un anlisis de impacto en el negocio. Los
planes de continuidad del negocio debn ser desarrollados e implementados para asegurar
el reestablecimiento de manera oportuna de las operaciones esenciales. La seguridad de
la informacin debe ser una parte integral de la totalidad del proceso de continuidad del
negocio y otros procesos de administracin dentro de la organizacin.
99

14. GESTION DE LA CONTINUIDAD DEL NEGOCIO


14.1 Aspectos de la Seguridad
de la Informacin en la Gestin de la
Continuidad del Negocio
Objetivo.:.
La gestin de la continuidad del negocio debe incluir controles para identificar y reducir
riesgos, adicionales al proceso general de evaluacin de riesgos, limitar las consecuencias
de incidentes perjudiciales y asegurar que la informacin requerida para los procesos del
negocio est fcilmente disponible.

14.1.1 Incluir la Seguridad de la Informacin en la Gestin de la


Continuidad del Negocio
14.1.2 Continuidad del Negocio y Evaluacin de Riesgos
14.1.3 Desarrollar e Implementar Planes de Continuidad Incluyendo
la Seguridad de la Informacin
14.1.4 Marco de Referencia de la Planeacin de la Continuidad del
Negocio
14.1.5 Pruebas, Mantenimiento y Reevaluacin de los Planes de
Continuidad del Negocio
100

15. CUMPLIMIENTO
15.1 Cumplimiento
Objetivo:
Evitar violaciones a cualquier ley, estatuto, regulacin u obligacin contractual y a
cualquier requerimiento de seguridad.
El diseo, operacin, uso y gestin de los sistemas de informacin puede ser sujeto a
estatutos, regulaciones y requisitos de seguridad contractuales.
Asesora en requerimientos legales especficos debe ser buscada con los consejeros
legales de la organizacin, con quienes estn calificados legalmente. Requerimientos
legislativos varan de pas a pas y pueden variar por la informacin creada en un pas que
es transmitida a otro (ejemplo, flujo de datos fuera de las fronteras).

15.1.1 Identificacin de la Legislacin Aplicable


15.1.2 Derechos de Propiedad Intelectual
15.1.3 Proteccin de los Registros de la Organizacin
15.1.4 Proteccin de Datos y Privacidad de la Informacin
Personal
15.1.5 Prevencin del Mal Uso de las Facilidades de
Procesamiento de Informacin
101

15. CUMPLIMIENTO
15.2 Cumplimiento con las Polticas y Estndares de Seguridad y
Cumplimiento Tcnico
Objetivo:
Asegurar el cumplimiento de los sistemas con las polticas y estndares de seguridad
organizacionales.
La seguridad de los sistemas de informacin debe ser regularmente revisada.
Tales revisiones deben efectuarse contra las polticas de seguridad apropiadas; las
plataformas tcnicas y sistemas de informacin deben ser auditados en cumplimiento con
estndares de implementacin de seguridad aplicables y controles de seguridad
documentados.

15.2.1 Cumplimiento con las Polticas y Estndares de


seguridad
15.2.2 Verificacin de Cumplimiento Tcnico

102

15. CUMPLIMIENTO
15.3 Consideraciones de la Auditora de Sistemas de
Informacin
Objetivo:
Maximizar la efectividad de y minimizar la interferencia a o de la de auditora de los
sistemas de informacin.
Debe haber controles para salvaguardar los sistemas operacionales y herramientas de
auditora durante la auditora de sistemas de informacin.
La proteccin es tambin requerida para salvaguardar la integridad y prevenir el mal uso
de las herramientas de auditora.

15.3.1 Controles de la Auditora de Sistemas de Informacin


15.3.2 Proteccin de las Herramientas de Auditoria de los
Sistemas de Informacin

103

BS ISO/IEC 27001:2005 SGSI


SISTEMA DE GESTION DE LA
SEGURIDAD EN LA INFORMACION
ANEXO A

BS ISO/IEC 27001:2005 SGSI


SISTEMAS DE GESTION DE LA
SEGURIDAD EN LA INFORMACION