5.3.9.

Administrar la configuración
Objetivo de control: Se deben formular y documentar los procedimientos que identifiquen y
registren todos los bienes tangibles e intangibles –lo que incluye licencias de software
adquirido o de propia produccioó n– de Tecnologíóa de la Informacioó n, con su ubicacioó n fíósica.
Estos procedimientos deben incluir la recoleccioó n y registro de informacioó n de la
configuracioó n inicial, el establecimiento de normas que prohíóban movimientos y
modificaciones no autorizadas, la verificacioó n y auditoríóa de la informacioó n de la
configuracioó n y la actualizacioó n del repositorio de configuracioó n conforme se necesite.

 Identificar y registrar todos los activos de TI, sean tangibles (equipos y sus repuestos) o
intangibles (licencias de software y aplicaciones de produccioó n propia)
 Disenñ ar y mantener una aplicacioó n de gestioó n que permita monitorear las modificaciones
introducidas al equipamiento y sus movimientos a otras oficinas o aó mbitos de trabajo.
Asimismo, esta herramienta debe mantener un repositorio central con toda la informacioó n
relevante sobre los elementos de configuracioó n tangibles (hardware) e intangibles (por
ejemplo, licencias de software).
 Para las bibliotecas de aplicaciones de produccioó n propia, mantener una líónea-base de los
elementos de la configuracioó n para todos los sistemas y servicios como punto de
comprobacioó n al cual volver tras un cambio y establecer rutinas documentadas y
perioó dicas de revisioó n.
 Establecer un procedimiento estandarizado que permita seguir los cambios al repositorio
de configuracioó n.

1
5.3.5. Garantizar la Seguridad de los Sistemas
Objetivo de control: La necesidad de mantener la integridad de la informacioó n y de proteger
los activos de TI, requiere de un proceso de administracioó n de la seguridad. Este proceso
incluye el establecimiento y mantenimiento de roles y responsabilidades, políóticas, estaó ndares
y procedimientos de TI. La administracioó n de la seguridad tambieó n incluye la implementacioó n
de los controles de acceso loó gico que garantizan que el ingreso a los sistemas, datos y
programas estaó limitado a los usuarios autorizados. Tambieó n involucra los monitoreos y
pruebas perioó dicas asíó como acciones correctivas sobre las debilidades o incidentes
identificados.

Incluir y asignar a un cargo compatible las funciones relacionadas con: administrar y dar
cumplimiento a la Políótica de Seguridad de TI al nivel maó s apropiado e independiente de la
Gerencia de Sistemas, para llevar a cabo exitosamente las tareas de:
 Comunicar las políóticas y procedimientos de seguridad a los interesados y a los
usuarios.
 Identificar de manera uó nica a todos los usuarios, internos, externos y temporales y su
actividad.
 Alinear, definir y documentar los derechos de acceso del usuario a sistemas y datos con
las necesidades de los procesos del Organismo.
 Definir formalmente un marco de trabajo para que los derechos de acceso del usuario
sean solicitados por su gerencia, aprobados por el responsable del sistema e
implementado por el aó rea de la seguridad.
 Mantener en un repositorio central las identidades del usuario y los derechos de acceso
deben mantenerse en un repositorio central.
 Implementar, mantener y actualizadas medidas teó cnicas y procedimientos, para
establecer la identificacioó n, realizar la autenticacioó n y habilitar los derechos de acceso
de los usuarios.
 Garantizar que la solicitud, establecimiento, emisioó n, suspensioó n, modificacioó n y cierre
de cuentas de usuario y de los privilegios relacionados, sean tomados en cuenta por el
sector responsable de las cuentas de los usuarios.
 Incluir un procedimiento que describa al responsable de los datos o del sistema para
que otorgue los privilegios de acceso. Estos procedimientos se deben aplicar para todos
los usuarios, incluyendo administradores (usuarios privilegiados), usuarios externos e
internos, para casos normales y de emergencia.

2
 Acordar los derechos y obligaciones relacionados al acceso a los sistemas e informacioó n
del Organismo para todos los tipos de usuarios. Llevar a cabo una revisioó n regular de
todas las cuentas y los privilegios asociados.
 Garantizar que la implementacioó n de la seguridad en TI sea probada y monitoreada de
forma proactiva.
 Acreditar la seguridad de TI perioó dicamente para garantizar que se mantiene el nivel
de seguridad aprobado. Definir una funcioó n de ingreso al sistema y de monitoreo que
permita la deteccioó n oportuna de actividades inusuales o anormales que pueden
requerir atencioó n.
 Garantizar que las caracteríósticas de los posibles incidentes de seguridad sean
definidas y comunicadas de forma clara, de manera que los problemas de seguridad
sean atendidos de forma apropiada por medio del proceso de administracioó n de
problemas o incidentes.
 Incluir una descripcioó n de lo que se considera un incidente de seguridad y su nivel de
impacto. Definir un nuó mero limitado de niveles de impacto para cada incidente, e
identificar las acciones especíóficas requeridas y las personas que necesitan ser
notificadas.
 Garantizar que la tecnologíóa importante relacionada con la seguridad no sea
susceptible de sabotaje y que la documentacioó n de seguridad no se divulgue de forma
innecesaria.
 Determinar que las políóticas y procedimientos para organizar la generacioó n, cambio,
revocacioó n, destruccioó n, distribucioó n, certificacioó n, almacenamiento, captura, uso y
archivo de llaves criptograó ficas esteó n implantadas, para garantizar su proteccioó n contra
modificaciones y divulgacioó n no autorizadas.
 Garantizar que se cuente con medidas de prevencioó n, deteccioó n y correccioó n a lo largo
de toda la organizacioó n para proteger a los sistemas de informacioó n y a la tecnologíóa
contra software malicioso.
 Garantizar que se utilizan teó cnicas de seguridad y procedimientos de administracioó n
asociados, por ejemplo, firewalls, dispositivos de seguridad, segmentacioó n de redes, y
deteccioó n de intrusos, para autorizar acceso y controlar los flujos de informacioó n desde
y hacia las redes.
 Garantizar que las transacciones de datos sensibles sean intercambiadas solamente a
traveó s de una ruta o medio confiable con controles para brindar autenticidad de
contenido, prueba de envíóo y recepcioó n, y no repudio del origen.
 Procurar la proteccioó n de los datos sensibles, incluso frente a los administradores de
las bases de datos.
 La clave de super-usuario debe ser utilizada soó lo en caso de una emergencia.

3
4