Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Administrar la configuración
Objetivo de control: Se deben formular y documentar los procedimientos que identifiquen y
registren todos los bienes tangibles e intangibles –lo que incluye licencias de software
adquirido o de propia produccioó n– de Tecnologíóa de la Informacioó n, con su ubicacioó n fíósica.
Estos procedimientos deben incluir la recoleccioó n y registro de informacioó n de la
configuracioó n inicial, el establecimiento de normas que prohíóban movimientos y
modificaciones no autorizadas, la verificacioó n y auditoríóa de la informacioó n de la
configuracioó n y la actualizacioó n del repositorio de configuracioó n conforme se necesite.
Identificar y registrar todos los activos de TI, sean tangibles (equipos y sus repuestos) o
intangibles (licencias de software y aplicaciones de produccioó n propia)
Disenñ ar y mantener una aplicacioó n de gestioó n que permita monitorear las modificaciones
introducidas al equipamiento y sus movimientos a otras oficinas o aó mbitos de trabajo.
Asimismo, esta herramienta debe mantener un repositorio central con toda la informacioó n
relevante sobre los elementos de configuracioó n tangibles (hardware) e intangibles (por
ejemplo, licencias de software).
Para las bibliotecas de aplicaciones de produccioó n propia, mantener una líónea-base de los
elementos de la configuracioó n para todos los sistemas y servicios como punto de
comprobacioó n al cual volver tras un cambio y establecer rutinas documentadas y
perioó dicas de revisioó n.
Establecer un procedimiento estandarizado que permita seguir los cambios al repositorio
de configuracioó n.
1
5.3.5. Garantizar la Seguridad de los Sistemas
Objetivo de control: La necesidad de mantener la integridad de la informacioó n y de proteger
los activos de TI, requiere de un proceso de administracioó n de la seguridad. Este proceso
incluye el establecimiento y mantenimiento de roles y responsabilidades, políóticas, estaó ndares
y procedimientos de TI. La administracioó n de la seguridad tambieó n incluye la implementacioó n
de los controles de acceso loó gico que garantizan que el ingreso a los sistemas, datos y
programas estaó limitado a los usuarios autorizados. Tambieó n involucra los monitoreos y
pruebas perioó dicas asíó como acciones correctivas sobre las debilidades o incidentes
identificados.
Incluir y asignar a un cargo compatible las funciones relacionadas con: administrar y dar
cumplimiento a la Políótica de Seguridad de TI al nivel maó s apropiado e independiente de la
Gerencia de Sistemas, para llevar a cabo exitosamente las tareas de:
Comunicar las políóticas y procedimientos de seguridad a los interesados y a los
usuarios.
Identificar de manera uó nica a todos los usuarios, internos, externos y temporales y su
actividad.
Alinear, definir y documentar los derechos de acceso del usuario a sistemas y datos con
las necesidades de los procesos del Organismo.
Definir formalmente un marco de trabajo para que los derechos de acceso del usuario
sean solicitados por su gerencia, aprobados por el responsable del sistema e
implementado por el aó rea de la seguridad.
Mantener en un repositorio central las identidades del usuario y los derechos de acceso
deben mantenerse en un repositorio central.
Implementar, mantener y actualizadas medidas teó cnicas y procedimientos, para
establecer la identificacioó n, realizar la autenticacioó n y habilitar los derechos de acceso
de los usuarios.
Garantizar que la solicitud, establecimiento, emisioó n, suspensioó n, modificacioó n y cierre
de cuentas de usuario y de los privilegios relacionados, sean tomados en cuenta por el
sector responsable de las cuentas de los usuarios.
Incluir un procedimiento que describa al responsable de los datos o del sistema para
que otorgue los privilegios de acceso. Estos procedimientos se deben aplicar para todos
los usuarios, incluyendo administradores (usuarios privilegiados), usuarios externos e
internos, para casos normales y de emergencia.
2
Acordar los derechos y obligaciones relacionados al acceso a los sistemas e informacioó n
del Organismo para todos los tipos de usuarios. Llevar a cabo una revisioó n regular de
todas las cuentas y los privilegios asociados.
Garantizar que la implementacioó n de la seguridad en TI sea probada y monitoreada de
forma proactiva.
Acreditar la seguridad de TI perioó dicamente para garantizar que se mantiene el nivel
de seguridad aprobado. Definir una funcioó n de ingreso al sistema y de monitoreo que
permita la deteccioó n oportuna de actividades inusuales o anormales que pueden
requerir atencioó n.
Garantizar que las caracteríósticas de los posibles incidentes de seguridad sean
definidas y comunicadas de forma clara, de manera que los problemas de seguridad
sean atendidos de forma apropiada por medio del proceso de administracioó n de
problemas o incidentes.
Incluir una descripcioó n de lo que se considera un incidente de seguridad y su nivel de
impacto. Definir un nuó mero limitado de niveles de impacto para cada incidente, e
identificar las acciones especíóficas requeridas y las personas que necesitan ser
notificadas.
Garantizar que la tecnologíóa importante relacionada con la seguridad no sea
susceptible de sabotaje y que la documentacioó n de seguridad no se divulgue de forma
innecesaria.
Determinar que las políóticas y procedimientos para organizar la generacioó n, cambio,
revocacioó n, destruccioó n, distribucioó n, certificacioó n, almacenamiento, captura, uso y
archivo de llaves criptograó ficas esteó n implantadas, para garantizar su proteccioó n contra
modificaciones y divulgacioó n no autorizadas.
Garantizar que se cuente con medidas de prevencioó n, deteccioó n y correccioó n a lo largo
de toda la organizacioó n para proteger a los sistemas de informacioó n y a la tecnologíóa
contra software malicioso.
Garantizar que se utilizan teó cnicas de seguridad y procedimientos de administracioó n
asociados, por ejemplo, firewalls, dispositivos de seguridad, segmentacioó n de redes, y
deteccioó n de intrusos, para autorizar acceso y controlar los flujos de informacioó n desde
y hacia las redes.
Garantizar que las transacciones de datos sensibles sean intercambiadas solamente a
traveó s de una ruta o medio confiable con controles para brindar autenticidad de
contenido, prueba de envíóo y recepcioó n, y no repudio del origen.
Procurar la proteccioó n de los datos sensibles, incluso frente a los administradores de
las bases de datos.
La clave de super-usuario debe ser utilizada soó lo en caso de una emergencia.
3
4