Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Controles
En
Norma
anterio
r
Control
27002:200
5
A.5.1.1
A.5.1.2
A.6
A.6.1
A.6.1.1
A.6.1.2
A.6.1.3
A.6.1.4
A.6.1.5
A.6.2
A.6.2.1
A.6.2.2
A.7
A.7.1
A.7.1.1
A.7.1.2
A.7.2
A.7.2.1
A.7.2.3
A.7.3
A.7.3.1
A.8
A.8.1
A.8.1.1
A.8.1.2
A.8.1.3
A.8.1.4
A.8.2
Separacin de deberes
Contacto con las autoridades
Contactos con grupos de inters especial
Seguridad de la informacin en la gestin de proyectos
Dispositivos mviles y teletrabajo
Poltica para dispositivos mviles
Teletrabajo
Seguridad de los recursos humanos
Antes del empleo
Investigacin de antecedentes (Seleccin)
Trminos y condiciones del empleo
Durante la ejecucin del empleo
Responsabilidades de la direccin
Toma de conciencia, educacin y formacin en la seguridad de la
informacin
Proceso disciplinario
Terminacin y cambio de empleo
Terminacin o cambio de responsabilidades de empleo
Gestin de activos
Responsabilidad por los activos
Inventario de activos
Propiedad de los activos
Uso aceptable de los activos
Devolucin de activos
Clasificacin de la informacin
A.8.2.1
Clasificacin de la informacin
A.7.2.1
A.8.2.2
Etiquetado de la informacin
A.8.2.3
Manejo de activos
A.7.2.2
A.7.2.2
A.10.7.3
A.8.3
A.8.3.1
A.8.3.2
A.8.3.3
A.9
A.9.1
A.9.1.1
A.9.1.2
A.9.2
Manejo de medios
Gestin de medios removibles
Disposicin de los medios
Transferencia de medios fsicos
Control de acceso
Requisitos del negocio para control de acceso
Poltica de control de acceso
Acceso a redes y a servicios en red
Gestin de acceso de usuarios
A.9.2.1
A.7.2.2
Recomendacin
27032
A.6.1.3,
A.8.1.1
A.10.1.3
A.6.1.6
A.6.1.7
Implcito,
12.5.2
Implcito
Implcito
12.5.3.2, 13.4.2
13.4.2-3
NO
A.11.7.1
A.11.7.2
8
A.8.1.2
A.8.1.3
A.8.2.1
A.8.2.2
A.8.2.3
12.2.a
12.5.3.2, 12.5.4
12.5.2
A.8.3.1
7
A.7.1.1
A.7.1.2
A.7.1.3
A.8.3.2
10
A.10.7.1
A.10.7.2
A.10.8.3
11
A.11.1.1
A.11.4.1
A.11.2.1,
A.8.3.3
13.2.1-2-3-4
12.5.3.1, 13.2.1-23
12.5.3.1
12.5.3.1
Control
27002:2013
Controles
En
Norma
anterio
r
Control
27002:200
5
A.9.2.2
A.9.2.3
A.9.2.4
A.9.2.5
A.9.2.6
A.9.3
A.9.3.1
A.9.4
A.9.4.1
A.9.4.2
A.9.4.3
A.9.4.4
A.9.4.5
A.10
A.10.1
A.10.1.1
A.12.3.1
Gestin de claves
A.12.3.2
A.10.1.2,
10.2.1,
10.4.2,
10.7.4,
10.8.5,
10.10.2-5
A.11
A.11.1
A.11.1.1
A.11.1.2
A.11.1.3
A.11.1.4
A.11.1.5
A.11.1.6
A.11.2
A.11.2.1
A.11.2.2
A.11.2.3
A.11.2.4
A.11.2.5
A.11.2.6
A.11.2.7
A.11.2.8
A.11.2.9
A.12
A.12.1
A.12.1.1
A.12.1.2
A.12.1.3
A.12.1.4
A.12.2
A.12.2.1
A.12.3
A.12.3.1
A.12.4
A.12.4.1
A.12.4.2
Copias de respaldo
Respaldo de la informacin
Registro y seguimiento
Registro de eventos
Proteccin de la informacin de registro
A.12.4.3
A.12.4.4
A.12.5
Sincronizacin de relojes
Control de software operacional (en explotacin)
A.11.2.2
A.11.2.2
A.11.2.3
A.11.2.4
A.8.3.3
Recomendacin
27032
12.5.5.a
A.11.3.1
A.11.6.1
A.11.5.1,
A.11.5.5,
A.11.5.6
A.11.5.3
A.11.5.4
A.12.4.3
13.2.1
NO
12.3
12.5.5.a-b, 13.2.5,
13.5.4
13.5.4
9
A.9.1.1
A.9.1.2
A.9.1.3
A.9.1.4
A.9.1.5
A.9.1.6
A.9.2.1
A.9.2.2
A.9.2.3
A.9.2.4
A.9.2.7
A.9.2.5
A.9.2.6
A.11.3.2
A.11.3.3
10
A.10.1.1
A.10.1.2
A.10.3.1
A.10.1.4
A.10.4.1
9.4.2, 12.3.e,
12.4.a-c-d-g-h
A.10.5.1
A.10.10.1
A.10.10.3
A.10.10.3,
A.10.10.4
A.10.10.6
12.3.c, 12.6
Control
27002:2013
Controles
En
Norma
anterio
r
Control
27002:200
5
A.12.6
A.12.6.1
A.12.6.2
A.12.7
A.12.7.1
A.13
A.13.1
A.13.1.1
A.13.1.2
A.13.1.3
A.13.2
A.13.2.1
A.13.2.2
A.10.8.2
A.13.2.3
A.13.2.4
A.14
A.14.1
A.14.1.1
A.14.1.2
A.14.1.3
A.14.2
A.14.2.1
A.14.2.2
Mensajera electrnica
Acuerdos de confidencialidad o de no divulgacin
Adquisicin, desarrollo y mantenimiento de sistemas
Requisitos de seguridad de los sistemas de informacin
Anlisis y especificacin de requisitos de seguridad de la informacin
Seguridad de servicios de las aplicaciones en redes pblicas
Proteccin de transacciones de los servicios de las aplicaciones
Seguridad en los procesos de desarrollo y soporte
Poltica de desarrollo seguro
Procedimientos de control de cambios en sistemas
Revisin tcnica de las aplicaciones despus de cambios en la
plataforma de operacin
Restricciones en los cambios a los paquetes de software
Principios de construccin de los sistemas seguros
Ambiente de desarrollo seguro
Desarrollo contratado externamente
Pruebas de seguridad de sistemas
Prueba de aceptacin de sistemas
Datos de prueba
Proteccin de datos de prueba
Relaciones con los proveedores
Seguridad de la informacin en las relaciones con los proveedores
Poltica de seguridad de la informacin para las relaciones con los
Proveedores
Tratamiento de seguridad dentro de los acuerdos con proveedores
A.12.5.1
A.14.2.3
A.14.2.4
A.14.2.5
A.14.2.6
A.14.2.7
A.14.2.8
A.14.2.9
A.14.3
A.14.3.1
A.15
A.15.1
A.15.1.1
A.15.1.2
A.15.1.3,
15.1.5
A.15.2
A.15.2.1
A.15.2.2
A.16
A.16.1
A.16.1.1
A.16.1.2
A.16.1.3
A.16.1.4
A.16.1.5
A.16.1.6
A.16.1.7
A.17
A.17.1
A.17.1.1
A.17.1.2
Recomendacin
27032
A.12.4.1
12.5.5.c
A.12.6.1
12.3.b, 12.5.5.c
NO
A.15.3.1
10
A.10.6.1
A.10.6.2
A.11.4.5
12.6
12.5.5.b
A.10.8.1
A.10.8.4
A.6.1.5
12.2.a, 13.3.4
13.2.1-2, 13.2.5,
13.3.3
13.3.3, 12.5.5
12.5.3.1, 13.3.3
A.12.1.1
A.10.9.3
A.10.9.2
12.3.a, 12.5.5.a
12.2.f, 12.5.5.b
12.5.5.b
A.12.5.1
12.3.b, 12.4.b
NO
A.12.5.2
A.12.5.3
12.3.b
NO
NO
A.12.5.5
NO
12.2.e
A.10.3.2
A.12.4.2
A.6.2.3
13.3.3, 13.4.2-4
A.6.2.3
NO
A.10.2.2
A.10.2.3
13.3.6
A.13.2.1
A.13.1.1
A.13.1.2
13.3.5, 13.4.2
A.13.2.2
A.13.2.3
13.4.4
13
NO
NO
14
A.14.1.2
Control
27002:2013
Controles
A.18.1.2
A.18.1.3
A.18.1.4
A.18.1.5
A.18.2
A.18.2.1
A.18.2.2
A.18.2.3
A.17.1.3
A.17.2
A.17.2.1
A.18
A.18.1
A.18.1.1
En
Norma
anterio
r
Control
27002:200
5
Recomendacin
27032
A.14.1.5
NO
15
A.15.1.1
A.15.1.2
A.15.1.3
A.15.1.4
A.15.1.6
12.5.3.1
12.5.3.1
A.6.1.8
A.15.2.1
A.15.2.2
12.2.e- d, 12.3.f-gh
Recomen
dacin
Recomendacin
27032
en
Control ISO
ISO
27002
2700
2
12
12.2
12.2.a
12.2.b
12.2.c
Cybersecurity controls
Application level controls
Difusin online de polticas, concienciacin usuarios, Comparticin de Info.
Manejo seguro de sesiones en aplicaciones web (cookies)
Controles de validacin de entrada. Cdigo Malicioso. Prevencin SQL-
12.2.d
12.2.e
Injection
Scripts seguros en Web. Prevencin Cross-site Scripting
Revisin y prueba de la seguridad del cdigo de apps por entidades expertas
7.2.1
NO
12.2.1? c y g
NO
18.2.3 y
14.2.8?,
12.2.f
12.5.1
14.1.2.a
12.3
12.3.a
14.1.1
12.3.b
12.6.1,
14.2.2,
12.3.c
12.3.d
14.2.4
12.4.1
18.2.3
Existe
ncia
Recomen
dacin
Recomendacin
27032
en
Control ISO
ISO
27002
2700
2
12.3.e
12.2.1.g
12.3.f
antispyware)
Escaneo de contenidos (ficheros) alojados y subidos con (otros controles) de
18.2.3
12.3.g
software malicioso
Realizar test de seguridad de anlisis de vulnerabilidades de los sitios en lnea
18.2.3
12.3.h
12.4
12.4.a
y aplicaciones
Escanear regularmente en busca de compromisos
End-user controls
Uso de SO soportados y actualizados conformes a la poltica o
12.4.b
14.2.2
12.4.c
12.2.1
12.4.d
12.2.1
12.4.e
NO
12.4.f
NO
12.4.g
12.4.h
12.2.1
12.2.1
12.4.i
12.5
12.5.2
5.1.1,
7.2.3,
ciberseguridad
Methods and processes
Categorization and classification of information
8.2.1-2-3,
13.2.4
18.1.2
6.1.3,
7.2.2
12.5.3
12.5.3.1
12.5.3.2
18.2.3
Implic
12.2.1
las autoridades.
Testing
7.1.2,
7.2.1-2
seguridad
People and organization
Fomento, por parte de las organizaciones, del aprendizaje y comprensin de
los riesgos de Ing. Soc en el Ciberespacio y los pasos para protegerse contra
7.2.2
Existe
ncia
Recomen
dacin
Recomendacin
27032
en
Control ISO
ISO
27002
2700
2
12.5.5
estos ataques
Technical
13.2.3
12.5.5.b
9.1.2,
10.1.1,
transacciones crticas
Uso de certificados de confianza en servicios basados en Web
14.1.1
10.1.1,
13.1.2,
12.5.5.c
14.1.2-3
12.5.1,
12.6
12.6.1.d-f-g
12.4.1,
13.1.1
12.6-A.2
NO
A.2.2
NO
A.2.3
NO
atacantes
A.2.4 High interaction monitoring (tambin High interaction honeypot)
A.2.4
Igual que la A.2.3 pero intentando interactuar con el sistema atacante todo lo
NO
NO
NO
Existe
ncia
Recomen
dacin
Recomendacin
27032
en
Control ISO
ISO
27002
2700
2
13
13.2
13.2.1
13.2.2
13.2.3
comunicaciones p2p
Framework of information sharing and coordination
Policies
Information providing organizations and Information receiving organizations
8.2.1,
9.1.1,
9.4.1,
informacin
Classification and categorization of information
13.2.2
8.2.1,
9.1.1,
9.4.1,
13.2.2
8.2.1,
9.1.1
9.1.1
10.1.1,
13.2.2
13.3.2
13.3.3
13.2.2-4,
15.1.1
13.2.1
Existe
ncia
Recomen
dacin
Recomendacin
27032
en
Control ISO
ISO
27002
2700
2
13.3.5
16.1.1.a.6
15.2.1
6.1.3-4,
15.1.1,
e intercambarla para que cada entidad pueda identificar a la persona que enva
16.1.1.b
6.1.4
7.2.2
15.1.1,
NO
13.5.3
utilizados
Data visualization
NO
10.1.1-2
Existe
ncia
Recomen
dacin
Recomendacin
27032
en
Control ISO
ISO
27002
2700
2
NO
ciberseguridad
Testing systems
NO
Existe
Recomen
dacin
Recomendacin
27032
13.6
ncia
Control
anteri
ISO 27032
or
Implementation guidance
La gua de implementacin para un marco de Ciberseguridad requiere los
13.6-a
13.6-b
13.6-c
involucrado
Establecer la clase de informacin y coordinacin requerida por la comunidad
NO
13.2.1
NO
13.6-d
13.6-e
13.6-f
13.2.2
13.2
13.3
13.6-g
de la informacin
Determinar requisitos y criterios de rendimiento, establecer Cdigo de
13.3.3-4
13.6-h
13.5
13.6-i
operaciones de la comunidad
Preparativos para la operacin; cotejar la lista de contactos; llevar a cabo
NO
13.6-j
13.6-k
NO
13.3.5-6
por el proveedor
Aprender y comprender los riesgos de seguridad y privacidad involucrados
determinar los controles apropiados a aplicar. Participar en foros y
preguntar a alguien que sepa sobre el site o la aplicacin antes de darles
de DP
Reportar hallazgos y eventos sospechosos a las autoridades
Como comprador o vendedor leer y comprender la poltica de seguridad y
privacidad del sitio del mercado y su autenticidad. No compartir DP ni
informacin bancaria a menos que se establezca un inters genuino. Use un
comprobada su integridad
Asegurar que la informacin sensible de los blogs no se divulga y comprobar
que los comentarios y post que se reciben en el site no tiene contenido
malicioso
Un individuo consumidor debe leer y comprender la pltica de SI de la
organizacin y asegurarse que la info sensible no se emite a menos que se le
autorice
Avisar a las autoridades cuando veamos que sin querer se puede entrar en
un site que requiere autorizacin ya que eso puede ser un indicio de que el
site est comprometido.
tico
Las organizaciones deben firmar digitalmente sus binarios de
software
Se debe colaborar en posibilitar la disponibilidad de las tcnicas de
utilidad de software que ayuden a reducir los problemas de Spyware
o malware
Se debe usar un ciclo de vida de desarrollo seguro de aplicaciones
para obtener productos ms seguros
11.4.3 Security requirements for hosting web and other cyberapplication services