Nombre: Jeferzon Lorenzo Flores Blanco

Código: 10757-5
Materia: Auditora y Seguridad de Sistemas
Fecha: 24/6/219

Controles y Objetivos ISO 27002

5 Politica de seguridad

5.1 Política de seguridad de la información.

Objetivo: Proporcionar dirección de gestión y soporte para la seguridad de la información

de acuerdo con Requisitos de negocio y leyes y regulaciones relevantes.
La gerencia debe establecer una dirección de política clara en línea con los objetivos de
negocio y demostrar Soporte y compromiso con la seguridad de la información a través de
la emisión y el mantenimiento de un Política de seguridad de la información en toda la
organización.

5.1.1 Documento de política de seguridad de la información.

Controlar

Un documento de política de seguridad de la información debe ser aprobado por la

gerencia y publicado y
Comunicado a todos los empleados y partes externas relevantes.

5.1.2 Revisión de la política de seguridad de la información.

Controlar
La política de seguridad de la información debe revisarse a intervalos planificados o si se
producen cambios significativos.
Ocurren para asegurar su continua adecuación, adecuación y efectividad.

6
Organización de la seguridad de la información.
6.1 organización interna

Objetivo: Gestionar la seguridad de la información dentro de la organización.

Se debe establecer un marco de gestión para iniciar y controlar la implementación de
Seguridad de la información dentro de la organización.
La gerencia debe aprobar la política de seguridad de la información, asignar roles de
seguridad y coordinar y
Revisar la implementación de la seguridad en toda la organización.
Si es necesario, debe establecerse una fuente de asesoramiento especializado en seguridad
de la información y
Disponible dentro de la organización.

6.1.1 Compromiso de la gerencia con la seguridad de la información.

Controlar
La gerencia debe apoyar activamente la seguridad dentro de la organización a través de
una dirección clara,
Compromiso demostrado, asignación explícita y reconocimiento de seguridad de la
información.
responsabilidades.

6.1.2 Coordinación de seguridad de la información.

Controlar

Las actividades de seguridad de la información deben ser coordinadas por representantes

de diferentes partes del Organización con roles relevantes y funciones de trabajo

6.1.3 Asignación de responsabilidades de seguridad de la información.

Controlar
Todas las responsabilidades de seguridad de la información deben estar claramente
definidas.

6.1.4 Proceso de autorización para instalaciones de procesamiento de información

Controlar
Se debe definir un proceso de autorización de gestión para las nuevas instalaciones de
procesamiento de información y
implementado.

6.1.5 Acuerdos de confidencialidad

Controlar
Requisitos de confidencialidad o acuerdos de no divulgación que reflejen las necesidades
de la organización para
La protección de la información debe ser identificada y revisada regularmente.

6.1.6 Contacto con las autoridades

Controlar
Se deben mantener los contactos apropiados con las autoridades pertinentes.
6.1.7 Contacto con grupos de interés especial
Controlar
Contactos apropiados con grupos de interés especial u otros foros de seguridad
especializados y profesionales.
Se deben mantener las asociaciones.

6.1.8 Revisión independiente de la seguridad de la información.

Controlar
El enfoque de la organización para gestionar la seguridad de la información y su
implementación (es decir, control
objetivos, controles, políticas, procesos y procedimientos para la seguridad de la
información) deben revisarse
independientemente a intervalos planificados, o cuando se producen cambios
significativos en la implementación de seguridad.

6.2 partes externas

Objetivo: Mantener la seguridad de la información de la organización y el procesamiento
de la información.
instalaciones que son accedidas, procesadas, comunicadas o gestionadas por partes
externas.

6.2.1 Identificación de riesgos relacionados con partes externas.

Controlar
Los riesgos para la información de la organización y las instalaciones de procesamiento
de información de las empresas.
Se deben identificar los procesos que involucran a partes externas y se deben implementar
controles apropiados antes de
otorgando acceso.

6.2.2 Abordar la seguridad al tratar con clientes

Controlar
Todos los requisitos de seguridad identificados deben abordarse antes de que los clientes
accedan a la Información o activos de la organización.

6.2.3 Abordar la seguridad en acuerdos de terceros

Controlar
Acuerdos con terceros que involucran el acceso, procesamiento, comunicación o gestión
de información de la organización o instalaciones de procesamiento de información, o
agregar productos o servicios a las instalaciones de procesamiento de información deben
cubrir todos los requisitos de seguridad relevantes.

7
Gestión de activos
7.1 Responsabilidad por los activos
Objetivo: Lograr y mantener la protección adecuada de los activos de la organización.
Todos los activos deben contabilizarse y tener un propietario designado.
Los propietarios deben identificarse para todos los activos y la responsabilidad del
mantenimiento de Los controles deben ser asignados. La implementación de controles
específicos puede ser delegada por el propietario.
Según corresponda, pero el propietario sigue siendo responsable de la protección
adecuada de los activos.

7.1.1 Inventario de bienes

Controlar
Todos los activos deben estar claramente identificados y se debe elaborar un inventario de
todos los activos importantes.

7.1.2 Propiedad de activos

Controlar
Toda la información y los activos asociados a las instalaciones de procesamiento de
información deben ser propiedad 2 por una
Parte designada de la organización.

7.1.3 Uso aceptable de los activos

Controlar
Reglas para el uso aceptable de la información y los activos asociados con el
procesamiento de la información.
Las instalaciones deben ser identificadas, documentadas e implementadas.

7.2 Clasificación de la información

Objetivo: Asegurar que la información reciba un nivel adecuado de protección.

La información debe clasificarse para indicar la necesidad, las prioridades y el grado de

protección esperado al manejar la información.
La información tiene diversos grados de sensibilidad y criticidad. Algunos artículos
pueden requerir un adicional Nivel de protección o manejo especial. Se debe utilizar un
esquema de clasificación de información para definir un conjunto adecuado de niveles de
protección y comunican la necesidad de medidas de manejo especiales.
7.2.1 Pautas de clasificación
Controlar
La información debe clasificarse en términos de su valor, requisitos legales, sensibilidad y
criticidad para
la organización.

7.2.2 Etiquetado y manejo de la información.

Controlar
Se debe desarrollar un conjunto apropiado de procedimientos para el etiquetado y manejo
de la información y Implementado de acuerdo con el esquema de clasificación adoptado
por la organización.

8
Seguridad de los recursos humanos
8.1 Antes del empleo 3
Objetivo: Asegurar que los empleados, contratistas y usuarios terceros entiendan sus
responsabilidades, y son adecuados para las funciones para las que son considerados, y
para reducir el riesgo de robo,
Fraude o mal uso de instalaciones.
Las responsabilidades de seguridad deben abordarse antes del empleo en descripciones de
trabajo adecuadas y en Términos y condiciones de empleo.
Todos los candidatos para el empleo, contratistas y usuarios de terceros deben ser
evaluados adecuadamente, Especialmente para trabajos sensibles.
Los empleados, contratistas y usuarios terceros de las instalaciones de procesamiento de
información deben firmar un acuerdo sobre sus funciones de seguridad y
responsabilidades.

8.1.1 Roles y responsabilidades

Controlar
Deben definirse los roles de seguridad y las responsabilidades de los empleados,
contratistas y usuarios externos. y documentado de acuerdo con la política de seguridad de
la información de la organización.

8.1.2 Proyección
Controlar
Verificación de antecedentes de todos los candidatos para empleo, contratistas y usuarios
externos debe llevarse a cabo de conformidad con las leyes, reglamentos y ética
pertinentes, y proporcional a lo requisitos del negocio, la clasificación de la información
a la que se accede y los riesgos percibidos.

8.1.3 Términos y condiciones de empleo

Controlar
Como parte de su obligación contractual, los empleados, contratistas y usuarios de
terceros deben acordar y
firmar los términos y condiciones de su contrato de trabajo, que deben indicar su y el
Responsabilidades de la organización para la seguridad de la información.

8.2 Durante el empleo

Objetivo: Asegurar que los empleados, contratistas y usuarios externos conozcan la
información.
Amenazas y preocupaciones de seguridad, sus responsabilidades y responsabilidades, y
están equipados para soportar política de seguridad organizacional en el curso de su
trabajo normal, y para reducir el riesgo de error.

Las responsabilidades de gestión deben definirse para garantizar que la seguridad se

aplique en todo un Empleo individual dentro de la organización.
Un nivel adecuado de concienciación, educación y capacitación en procedimientos de
seguridad y el uso correcto de Las instalaciones de procesamiento de información deben
proporcionarse a todos los empleados, contratistas y usuarios externos.
Minimizar posibles riesgos de seguridad. Un proceso disciplinario formal para el manejo
de violaciones de seguridad, debe establecerse

8.2.1 Responsabilidades de gestión

Controlar
La gerencia debe exigir que los empleados, contratistas y usuarios externos apliquen la
seguridad en
De acuerdo con las políticas y procedimientos establecidos de la organización.

8.2.2 Sensibilización sobre seguridad de la información, educación y capacitación.

Controlar
Todos los empleados de la organización y, cuando sea relevante, contratistas y usuarios
terceros deben recibir una formación adecuada y actualizaciones periódicas de las
políticas y procedimientos de la organización, Como relevante para su función laboral.

8.2.3 Proceso disciplinario

Controlar
Debe haber un proceso disciplinario formal para los empleados que hayan cometido una
violación de seguridad.

8.3 Terminación o cambio de empleo

Objetivo: Asegurar que los empleados, contratistas y usuarios terceros salgan de una
organización o cambien Empleo de manera ordenada.

8.3.1 Responsabilidades de terminación

Controlar
Las responsabilidades para realizar la terminación de empleo o el cambio de empleo
deben ser claramente
Definido y asignado.

8.3.2 Retorno de activos

Controlar
Todos los empleados, contratistas y usuarios externos deben devolver todos los activos de
la organización en sus posesión al término de su empleo, contrato o acuerdo.

8.3.3 Eliminación de derechos de acceso

Controlar
Los derechos de acceso de todos los empleados, contratistas y usuarios terceros a la
información y la información. Las instalaciones de procesamiento deben ser eliminadas al
terminar su empleo, contrato o acuerdo, o ajustado al cambio.

9
Seguridad física y ambiental.
9.1 Zonas seguras
Objetivo: prevenir el acceso físico no autorizado, los daños y las interferencias a la
organización.
Locales e información.
Las instalaciones de procesamiento de información crítica o sensible deben estar ubicadas
en áreas seguras, protegidas por Perímetros de seguridad definidos, con barreras de
seguridad adecuadas y controles de entrada. Ellos deberían ser Protegido físicamente del
acceso no autorizado, daños e interferencias.
La protección provista debe ser proporcional a los riesgos identificados.

9.1.1 perímetro de seguridad física

Controlar
Perímetros de seguridad (barreras tales como paredes, puertas de entrada controladas con
tarjeta o escritorios de recepción con personal)
debe utilizarse para proteger áreas que contienen información y facilidades de
procesamiento de información.

9.1.2 Controles de entrada físicos

Controlar
Las áreas seguras deben estar protegidas por controles de entrada apropiados para
garantizar que solo los autorizados
El personal tiene permitido el acceso.

9.1.3 Asegurando oficinas, salas e instalaciones

Controlar
La seguridad física de oficinas, salas e instalaciones debe ser diseñada y aplicada.

9.1.4 Protección contra amenazas externas y ambientales.

Controlar
Protección física contra daños por incendios, inundaciones, terremotos, explosiones,
disturbios civiles y otros Se deben diseñar y aplicar formas de desastres naturales o
provocados por el hombre.

9.1.5 Trabajando en áreas seguras

Controlar
La protección física y las pautas para trabajar en áreas seguras deben diseñarse y
aplicarse.

9.1.6 Áreas públicas de acceso, entrega y carga.

Controlar
Los puntos de acceso tales como áreas de entrega y carga y otros puntos donde personas
no autorizadas pueden El ingreso a las instalaciones debe ser controlado y, si es posible,
aislado de las instalaciones de procesamiento de información.
para evitar el acceso no autorizado.

9.2 Seguridad del equipo

Objetivo: Prevenir la pérdida, daño, robo o compromiso de activos e interrupción de la
actividades de la organización.
El equipo debe estar protegido de amenazas físicas y ambientales.
La protección del equipo (incluido el que se usa fuera del sitio y la remoción de
propiedad) es necesaria para reducir el riesgo de acceso no autorizado a la información
y proteger contra pérdidas o daños. Esta También debe considerar la ubicación y
disposición de los equipos. Controles especiales pueden ser requeridos para proteger
contra las amenazas físicas, y para salvaguardar las instalaciones de apoyo, como el
suministro eléctrico y Infraestructura de cableado.
9.2.1 Emplazamiento y protección del equipo.
Controlar
El equipo debe estar ubicado o protegido para reducir los riesgos de amenazas y peligros
ambientales, y oportunidades de acceso no autorizado.

9.2.2 Utilidades de apoyo

Controlar
El equipo debe estar protegido contra fallas eléctricas y otras interrupciones causadas por
fallas en Utilidades de soporte.

9.2.3 Seguridad de cableado

Controlar
El cableado de energía y telecomunicaciones que transporta datos o servicios de
información de apoyo debe ser Protegido contra intercepción o daños.

9.2.4 Mantenimiento de equipos

Controlar
El equipo debe mantenerse correctamente para garantizar su disponibilidad e integridad
continuas.

9.2.5 Seguridad de equipos fuera de las instalaciones

Controlar
La seguridad debe aplicarse a los equipos externos, teniendo en cuenta los diferentes
riesgos de trabajar fuera de las instalaciones de la organización.

9.2.6 Eliminación segura o reutilización de equipos

Controlar
Todos los equipos que contengan medios de almacenamiento deben verificarse para
asegurarse de que cualquier dato sensible
y el software con licencia se ha eliminado o sobrescrito de forma segura antes de su
eliminación.

9.2.7 Remoción de propiedad

Controlar
El equipo, la información o el software no deben tomarse fuera del sitio sin autorización
previa.

10 Comunicaciones y gestión de operaciones.

10.1 Procedimientos operacionales y responsabilidades.

Objetivo: Asegurar el funcionamiento correcto y seguro de las instalaciones de
procesamiento de información.
Responsabilidades y procedimientos para la gestión y operación de todo el procesamiento
de la información.
Se deben establecer instalaciones. Esto incluye el desarrollo de procedimientos operativos
apropiados.
La segregación de funciones debe implementarse, cuando corresponda, para reducir el
riesgo de negligencia o Mal uso deliberado del sistema.

10.1.1 Procedimientos operativos documentados.

Controlar
Los procedimientos operativos deben documentarse, mantenerse y ponerse a disposición
de todos los usuarios que necesiten ellos.

10.1.2 Gestión del cambio

Controlar
Los cambios a las instalaciones y sistemas de procesamiento de información deben ser
controlados.

10.1.3 Segregación de funciones.

Controlar
Los deberes y las áreas de responsabilidad se deben separar para reducir las oportunidades
para personas no autorizadas o no autorizadas.
Modificación involuntaria o mal uso de los activos de la organización.

10.1.4 Separación de instalaciones de desarrollo, prueba y operativas

Controlar
El desarrollo, las pruebas y las instalaciones operativas se deben separar para reducir los
riesgos de no autorizados.
Acceso o modificaciones al sistema operativo.

10.2 Gestión de la prestación de servicios de terceros

Objetivo: Implementar y mantener el nivel adecuado de seguridad y servicio de la
información.
Entrega en línea con los acuerdos de prestación de servicios de terceros.
La organización debe verificar la implementación de los acuerdos, monitorear el
cumplimiento de los acuerdos y gestionar los cambios para garantizar que los servicios
prestados cumplan con todos los requisitos acordados
con el tercero.
10.2.1 Prestación de servicios
Controlar
Debe garantizarse que los controles de seguridad, las definiciones de servicio y los niveles
de entrega incluidos en el El contrato de prestación de servicios de terceros es
implementado, operado y mantenido por el tercero.

10.2.2 Seguimiento y revisión de servicios de terceros.

Controlar
Los servicios, informes y registros proporcionados por el tercero deben ser monitoreados
regularmente y Revisado, y las auditorías deben llevarse a cabo regularmente.

10.2.3 Gestión de cambios a servicios de terceros

Controlar
Cambios en la prestación de servicios, incluido el mantenimiento y la mejora de la
información existente políticas de seguridad, procedimientos y controles, deben ser
gestionados, teniendo en cuenta la criticidad de Sistemas y procesos de negocio
involucrados y reevaluación de riesgos.

10.3 Planificación y aceptación del sistema.

Objetivo: Minimizar el riesgo de fallas en los sistemas.
Se requiere una planificación y preparación anticipadas para garantizar la disponibilidad
de capacidad adecuada y Recursos para entregar el rendimiento requerido del sistema.
Se deben realizar proyecciones de los requisitos de capacidad futuros, para reducir el
riesgo de sobrecarga del sistema.
Los requisitos operativos de los nuevos sistemas deben establecerse, documentarse y
probarse antes de
Su aceptación y uso.

10.3.1 Gestión de la capacidad

Controlar
El uso de los recursos se debe monitorear, ajustar y hacer proyecciones de capacidad
futura.
Requisitos para garantizar el rendimiento requerido del sistema

10.3.2 Aceptación del sistema

Controlar
Se deben establecer criterios de aceptación para nuevos sistemas de información,
actualizaciones y nuevas versiones.
y pruebas adecuadas de los sistemas llevados a cabo durante el desarrollo y antes de la
aceptación.
10.4 Protección contra códigos maliciosos y móviles.
Objetivo: Proteger la integridad del software y la información.
Se requieren precauciones para prevenir y detectar la introducción de códigos maliciosos
y no autorizados. código móvil

10.4.1 Controles contra código malicioso.

Controlar
Controles de detección, prevención y recuperación para proteger contra códigos
maliciosos y usuarios apropiados Se deben implementar procedimientos de
sensibilización.

10.4.2 Controles contra código móvil

Controlar
Cuando se autoriza el uso del código móvil, la configuración debe garantizar que el
El código móvil funciona de acuerdo con una política de seguridad claramente definida y
un código móvil no autorizado. debe impedirse la ejecución.

10.5 copia de seguridad

Objetivo: Mantener la integridad y disponibilidad de la información y el procesamiento de
la información. instalaciones.
Deben establecerse procedimientos de rutina para implementar la política y estrategia de
respaldo acordadas (ver también 14.1) para tomar copias de seguridad de los datos y
ensayar su restauración oportuna.

10.5.1 Respaldo de información

Controlar
Las copias de respaldo de la información y el software se deben tomar y probar
regularmente de acuerdo con La política de copia de seguridad acordada.

10.6 Gestión de seguridad de red

Objetivo: Asegurar la protección de la información en redes y la protección del soporte.
infraestructura.
La gestión segura de las redes, que puede abarcar los límites de la organización, requiere
Consideración al flujo de datos, implicaciones legales, monitoreo y protección.
También es posible que se requieran controles adicionales para proteger la información
confidencial que se transmite por el público. redes

10.6.1 controles de red

Controlar
Las redes deben gestionarse y controlarse adecuadamente para protegerse de las amenazas
y para mantener la seguridad de los sistemas y aplicaciones que utilizan la red, incluida la
información en tránsito.
10.6.2 Seguridad de los servicios de red.
Controlar
Las funciones de seguridad, los niveles de servicio y los requisitos de administración de
todos los servicios de red deben ser identificado e incluido en cualquier acuerdo de
servicios de red, si estos servicios se proporcionan en Casa o subcontratados.

10.7 Manejo de medios

Objetivo: prevenir la divulgación, modificación, remoción o destrucción no autorizadas de
activos, y Interrupción a las actividades empresariales.
Los medios deben ser controlados y físicamente protegidos.
Deben establecerse procedimientos operativos apropiados para proteger documentos,
medios informáticos (por ejemplo, cintas, discos), datos de entrada / salida y
documentación del sistema de divulgación no autorizada, modificación, eliminación, y
destrucción.

10.7.1 Gestión de medios extraíbles

Controlar
Debe haber procedimientos establecidos para la gestión de medios extraíbles.

10.7.2 Eliminación de medios

Controlar
Los medios deben eliminarse de forma segura y segura cuando ya no sean necesarios,
utilizando procedimientos formales.

10.7.3 Procedimientos de manejo de información.

Controlar
Deben establecerse procedimientos para el manejo y almacenamiento de información para
proteger este
Información de divulgación no autorizada o mal uso.

10.7.4 Seguridad de la documentación del sistema.

Controlar
La documentación del sistema debe estar protegida contra accesos no autorizados.

10.8 Intercambio de información

Objetivo: Mantener la seguridad de la información y el software intercambiado dentro de
una organización y con cualquier entidad externa.
Los intercambios de información y software entre organizaciones deben basarse en un
intercambio formal política, llevada a cabo de conformidad con los acuerdos de
intercambio, y debe cumplir con cualquier norma relevante
Legislación (ver cláusula 15).
Deben establecerse procedimientos y estándares para proteger la información y los
medios físicos que contienen Información en tránsito.

10.8.1 Políticas y procedimientos de intercambio de información.

Controlar
Deben establecerse políticas, procedimientos y controles formales de intercambio para
proteger el intercambio de
Información a través del uso de todo tipo de facilidades de comunicación.

10.8.2 Acuerdos de intercambio

Controlar
Deberían establecerse acuerdos para el intercambio de información y software entre los
Organización y partes externas.

10.8.3 Medios físicos en tránsito

Controlar
Los medios que contienen información deben estar protegidos contra el acceso no
autorizado, el uso indebido o la corrupción.
durante el transporte más allá de los límites físicos de una organización.

10.8.4 Mensajería electrónica

Controlar
La información relacionada con la mensajería electrónica debe estar protegida
adecuadamente

10.8.5 Sistemas de información empresarial.

Controlar
Se deben desarrollar e implementar políticas y procedimientos para proteger la
información asociada con La interconexión de los sistemas de información empresarial.

10.9 Servicios de comercio electrónico.

Objetivo: Garantizar la seguridad de los servicios de comercio electrónico y su uso
seguro.
Las implicaciones de seguridad asociadas con el uso de servicios de comercio electrónico,
incluidos los servicios en línea.
Las transacciones, y los requisitos para los controles, deben ser considerados. La
integridad y disponibilidad de
También se debe considerar la información publicada electrónicamente a través de
sistemas públicos.
10.9.1 Comercio electrónico
Controlar
La información relacionada con el comercio electrónico que pasa a través de redes
públicas debe estar protegida contra
Actividad fraudulenta, disputa contractual y divulgación y modificación no autorizadas.

10.9.2 Transacciones en línea

Controlar
La información relacionada con las transacciones en línea debe protegerse para evitar una
transmisión incompleta.
enrutamiento incorrecto, alteración de mensajes no autorizados, divulgación no
autorizada, mensajes no autorizados Duplicación o repetición.

10.9.3 Información pública disponible.

Controlar
Se debe proteger la integridad de la información que se pone a disposición en un sistema
disponible públicamente. Para evitar modificaciones no autorizadas.

10.10 Monitoreo
Objetivo: Detectar actividades de procesamiento de información no autorizadas.
Los sistemas deben ser monitoreados y los eventos de seguridad de la información deben
ser registrados. Registros del operador y el registro de fallas debe usarse para asegurar que
se identifiquen los problemas del sistema de información.
Una organización debe cumplir con todos los requisitos legales pertinentes aplicables a su
supervisión y actividades de tala. El monitoreo del sistema se debe utilizar para verificar
la efectividad de los controles adoptados y para verificar Conformidad con un modelo de
política de acceso.

10.10.1 Registro de auditoría

Controlar
Los registros de auditoría que registran las actividades del usuario, las excepciones y los
eventos de seguridad de la información deben producirse y se mantuvo durante un período
acordado para ayudar en futuras investigaciones y el monitoreo del control de acceso.

10.10.2 Uso del sistema de monitoreo

Controlar
Deberían establecerse procedimientos para monitorear el uso de las instalaciones de
procesamiento de información y
Resultados de las actividades de monitoreo revisadas regularmente.

10.10.3 Protección de la información de registro

Controlar
Las instalaciones de registro y la información de registro deben estar protegidas contra la
manipulación y el acceso no autorizado.

10.10.4 Registros de administrador y operador

Controlar
Se deben registrar las actividades del administrador del sistema y del operador del
sistema.

10.10.5 Registro de fallas

Controlar
Las fallas deben registrarse, analizarse y tomarse las medidas adecuadas.

10.10.6 sincronización de reloj

Controlar
Los relojes de todos los sistemas de procesamiento de información relevantes dentro de
una organización o dominio de seguridad. debe estar sincronizado con una fuente de
tiempo precisa acordada.

11 control de acceso
11.1 Requisito comercial para el control de acceso
Objetivo: Controlar el acceso a la información.
El acceso a la información, las instalaciones de procesamiento de información y los
procesos de negocios deben ser controlados.
Sobre la base de los requisitos comerciales y de seguridad.
Las reglas de control de acceso deben tener en cuenta las políticas de divulgación y
autorización de la información.

11.1.1 política de control de acceso

Controlar
Se debe establecer, documentar y revisar una política de control de acceso en función de
los negocios y Requisitos de seguridad para el acceso.

11.2 Gestión de acceso de usuarios

Objetivo: Asegurar el acceso de usuarios autorizados y prevenir el acceso no autorizado a
la información.
Sistemas Deben existir procedimientos formales para controlar la asignación de derechos
de acceso a los sistemas de información.
y servicios.
Los procedimientos deben cubrir todas las etapas del ciclo de vida del acceso de los
usuarios, desde el registro inicial de nuevos usuarios para la finalización del registro de
los usuarios que ya no requieren acceso a los sistemas de información y servicios. Se debe
prestar especial atención, cuando corresponda, a la necesidad de controlar la asignación de
Derechos de acceso privilegiados, que permiten a los usuarios anular los controles del
sistema.

11.2.1 Registro de usuario

Controlar
Debe existir un procedimiento formal de registro y cancelación de registro de usuarios
para otorgar y
Revocar el acceso a todos los sistemas y servicios de información

11.2.2 Gestión de privilegios

Controlar
La asignación y el uso de privilegios deben ser restringidos y controlados.

11.2.3 Gestión de contraseña de usuario

Controlar
La asignación de contraseñas debe ser controlada a través de un proceso de gestión
formal.

11.2.4 Revisión de los derechos de acceso de los usuarios

Controlar
La gerencia debe revisar los derechos de acceso de los usuarios a intervalos regulares
utilizando un proceso formal.

11.3 Responsabilidades del usuario

Objetivo: Prevenir el acceso no autorizado de usuarios, y el compromiso o el robo de
información y Instalaciones de procesamiento de información.

11.3.1 Uso de contraseña

Controlar
Se debe exigir a los usuarios que sigan las buenas prácticas de seguridad en la selección y
el uso de contraseñas.

11.3.2 Equipo de usuario desatendido

Controlar
Los usuarios deben asegurarse de que el equipo desatendido tenga la protección adecuada.

11.3.3 Política de escritorio y pantalla clara

Controlar
Una política de escritorio transparente para papeles y medios de almacenamiento
extraíbles y una política de pantalla clara para información
Las instalaciones de procesamiento deben ser adoptadas.

11.4 Control de acceso a la red.

Objetivo: Evitar el acceso no autorizado a servicios en red.
El acceso a los servicios en red tanto internos como externos debe ser controlado.

11.4.1 Política de uso de los servicios de red.

Controlar
Los usuarios solo deben tener acceso a los servicios que han sido autorizados
específicamente
usar.

11.4.2 Autentificación de usuario para conexiones externas

Controlar
Deben utilizarse métodos de autenticación apropiados para controlar el acceso de los
usuarios remotos.

11.4.3 Identificación de equipos en redes.

Controlar
La identificación automática de equipos debe considerarse como un medio para autenticar
conexiones desde
Ubicaciones y equipos específicos.

11.4.4 Protección remota de puertos de configuración y diagnóstico.

Controlar
El acceso físico y lógico a los puertos de diagnóstico y configuración debe ser controlado.

11.4.5 Segregación en redes.

Controlar
Los grupos de servicios de información, usuarios y sistemas de información deben estar
separados en las redes.

11.4.6 Control de conexión de red

Controlar
Para las redes compartidas, especialmente aquellas que se extienden a través de los límites
de la organización, la capacidad de los usuarios que se conectan a la red deben estar
restringidos, de acuerdo con la política de control de acceso y
Requisitos de las aplicaciones de negocio
11.4.7 Control de enrutamiento de red
Controlar
Deben implementarse controles de enrutamiento en las redes para garantizar que las
conexiones de la computadora y
Los flujos de información no violan la política de control de acceso de las aplicaciones
empresariales.

11.5 Control de acceso al sistema operativo.

Objetivo: Evitar el acceso no autorizado a los sistemas operativos.
Las instalaciones de seguridad deben utilizarse para restringir el acceso a los sistemas
operativos a los usuarios autorizados. los
Las instalaciones deben ser capaces de lo siguiente:
a) autenticación de usuarios autorizados, de acuerdo con una política de control de acceso
definida;
b) registro de intentos exitosos y fallidos de autenticación del sistema;
c) registrar el uso de privilegios especiales del sistema;
d) emitir alarmas cuando se violan las políticas de seguridad del sistema;
e) proporcionar los medios adecuados para la autenticación;
f) en su caso, restringiendo el tiempo de conexión de los usuarios.
11.5.1 Procedimientos de inicio de sesión seguros
Controlar
El acceso a los sistemas operativos debe controlarse mediante un procedimiento de inicio
de sesión seguro.

11.5.2 Identificación y autenticación del usuario

Controlar
Todos los usuarios deben tener un identificador único (ID de usuario) solo para su uso
personal y una
Se debe elegir la técnica de autenticación para justificar la identidad reclamada de un
usuario.

11.5.3 Sistema de gestión de contraseñas

Controlar
Los sistemas para administrar las contraseñas deben ser interactivos y garantizar la
calidad de las contraseñas.

11.5.4 Uso de utilidades del sistema

Controlar
El uso de programas de utilidad que podrían ser capaces de anular los controles de sistema
y aplicación debería
Ser restringido y estrechamente controlado.

11.5.5 Tiempo de espera de sesión

Controlar
Las sesiones inactivas deben cerrarse después de un período definido de inactividad.

11.5.6 Limitación del tiempo de conexión

Controlar
Se deben utilizar restricciones en los tiempos de conexión para brindar seguridad
adicional a los usuarios de alto riesgo.
aplicaciones

11.6 Aplicación y control de acceso a la información.

Objetivo: evitar el acceso no autorizado a la información contenida en los sistemas de
aplicación.
Las instalaciones de seguridad deben utilizarse para restringir el acceso a los sistemas de
aplicaciones y dentro de ellos.
El acceso lógico al software de la aplicación y la información debe estar restringido a
usuarios autorizados. Los sistemas de aplicación deben:

a) controlar el acceso del usuario a la información y las funciones del sistema de

aplicación, de acuerdo con un política de control de acceso;

b) proporcionar protección contra el acceso no autorizado por parte de cualquier empresa

de servicios públicos, software del sistema operativo y
software malicioso que es capaz de anular o eludir los controles del sistema o aplicación;

c) no comprometer otros sistemas con los que se compartan recursos de información.

11.6.1 Restricción de acceso a la información

Controlar
El acceso a la información y las funciones del sistema de aplicación por parte de los
usuarios y el personal de soporte debe ser Restringido de acuerdo con la política de
control de acceso definida.

11.6.2 Aislamiento del sistema sensible

Controlar
Los sistemas sensibles deben tener un entorno informático dedicado (aislado).

11.7 Computación móvil y teletrabajo.

Objetivo: Garantizar la seguridad de la información cuando se utilizan las instalaciones
móviles de computación y teletrabajo.
La protección requerida debe ser acorde con los riesgos que estas formas específicas de
causa de trabajo.
Al utilizar la computación móvil, los riesgos de trabajar en un entorno desprotegido deben
ser Considerada y apropiada protección aplicada. En el caso del teletrabajo la
organización debe aplique protección al sitio de teletrabajo y asegúrese de que existan los
arreglos adecuados para esta manera
de trabajo.

11.7.1 Computación móvil y comunicaciones.

Controlar
Debe existir una política formal y deben adoptarse medidas de seguridad adecuadas para
proteger contra los riesgos de utilizar la informática móvil y las instalaciones de
comunicación.

11.7.2 Teletrabajo
Controlar
Se debe desarrollar e implementar una política, planes operativos y procedimientos para el
teletrabajo. ocupaciones.

12 Adquisición, desarrollo y mantenimiento de sistemas de información.

12.1 Requisitos de seguridad de los sistemas de información.
Objetivo: Asegurar que la seguridad sea una parte integral de los sistemas de información.
Los sistemas de información incluyen sistemas operativos, infraestructura, aplicaciones
empresariales, listas para usar Productos, servicios y aplicaciones desarrolladas por el
usuario. El diseño e implementación de la El sistema de información que soporta el
proceso de negocios puede ser crucial para la seguridad. Requerimientos de seguridad
deben identificarse y acordarse antes del desarrollo y / o implementación de la
información sistemas Todos los requisitos de seguridad deben identificarse en la fase de
requisitos de un proyecto y justificarse, acordado y documentado como parte del caso de
negocios global para un sistema de información.

12.1.1 Análisis de requisitos de seguridad y especificación

Controlar
Declaraciones de requisitos comerciales para nuevos sistemas de información, o mejoras a
los existentes Los sistemas de información deben especificar los requisitos para los
controles de seguridad.

12.2 Procesamiento correcto en aplicaciones.

Objetivo: prevenir errores, pérdidas, modificaciones no autorizadas o uso incorrecto de la
información en las aplicaciones.
Los controles apropiados deben diseñarse en aplicaciones, incluidas las aplicaciones
desarrolladas por el usuario para Asegurar el correcto procesamiento.
Estos controles deben incluir la validación de los datos de entrada, internos Procesamiento
y salida de datos.
Es posible que se requieran controles adicionales para los sistemas que procesan, o tienen
un impacto en los o información crítica. Dichos controles deben determinarse sobre la
base de los requisitos de seguridad y Evaluación de riesgos.

12.2.1 Validación de datos de entrada

Controlar
La entrada de datos a las aplicaciones debe validarse para garantizar que estos datos sean
correctos y apropiados.

12.2.2 Control de procesamiento interno.

Controlar
Las verificaciones de validación deben incorporarse en las aplicaciones para detectar
cualquier daño en la información
A través del procesamiento de errores o actos deliberados.

12.2.3 Integridad del mensaje

Controlar
Los requisitos para garantizar la autenticidad y proteger la integridad del mensaje en las
aplicaciones deben ser Identificado, y controles apropiados identificados e
implementados.

12.2.4 Validación de datos de salida

Controlar
Los datos de salida de una aplicación deben validarse para garantizar que el
procesamiento de La información es correcto y adecuado a las circunstancias.

12.3 Controles criptográficos.

Objetivo: Proteger la confidencialidad, autenticidad o integridad de la información
mediante criptografía.
medio.
Se debe desarrollar una política sobre el uso de controles criptográficos. La gestión de
claves debe estar en
Lugar para soportar el uso de técnicas criptográficas.

12.3.1 Política sobre el uso de controles criptográficos.

Controlar
Debe desarrollarse una política sobre el uso de controles criptográficos para la protección
de la información y
implementado.

12.3.2 Gestión de claves

Controlar
La administración de claves debe estar implementada para respaldar el uso de técnicas
criptográficas por parte de la organización.

12.4 Seguridad de los archivos del sistema

Objetivo: Garantizar la seguridad de los archivos del sistema.
El acceso a los archivos del sistema y al código fuente del programa debe estar
controlado, y los proyectos y el soporte de TI
Actividades realizadas de forma segura. Se debe tener cuidado para evitar la exposición
de datos sensibles en
Entornos de prueba.

12.4.1 Control de software operacional

Controlar
Debe haber procedimientos establecidos para controlar la instalación del software en los
sistemas operativos.

12.4.2 Protección de datos de prueba del sistema

Controlar
Los datos de prueba deben seleccionarse con cuidado, protegerse y controlarse.

12.4.3 Control de acceso al código fuente del programa.

Controlar
El acceso al código fuente del programa debe estar restringido.

12.5 Seguridad en procesos de desarrollo y soporte.

Objetivo: Mantener la seguridad del software y la información del sistema de aplicación.
Los entornos de proyecto y apoyo deben ser estrictamente controlados.
Los gerentes responsables de los sistemas de aplicación también deben ser responsables
de la seguridad del proyecto o entorno de apoyo. Deben asegurarse de que todos los
cambios propuestos al sistema se revisen para verificar que no comprometan la seguridad
ni del sistema ni del entorno operativo.

12.5.1 Cambiar los procedimientos de control.

Controlar
La implementación de los cambios debe controlarse mediante el uso de procedimientos
formales de control de cambios.

12.5.2 Revisión técnica de aplicaciones después de cambios en el sistema operativo

Controlar
Cuando se cambian los sistemas operativos, las aplicaciones críticas para el negocio
deben revisarse y probarse para Asegúrese de que no haya un impacto adverso en las
operaciones de la organización o la seguridad.

12.5.3 Restricciones a los cambios en los paquetes de software

Controlar
Las modificaciones a los paquetes de software deben ser desalentadas, limitadas a los
cambios necesarios, y todo Los cambios deben ser estrictamente controlados.

12.5.4 Fuga de información

Controlar
Deben evitarse las oportunidades de fuga de información.

12.5.5 Desarrollo de software subcontratado

Controlar
El desarrollo de software subcontratado debe ser supervisado y supervisado por la
organización.

12.6 Gestión de la vulnerabilidad técnica

Objetivo: Reducir los riesgos derivados de la explotación de vulnerabilidades técnicas
publicadas.
La gestión de la vulnerabilidad técnica debe implementarse de manera eficaz, sistemática
y Manera repetible con medidas tomadas para confirmar su efectividad. Estas
consideraciones deben Incluye sistemas operativos, y cualquier otra aplicación en uso.

12.6.1 Control de vulnerabilidades técnicas.

Controlar
La información oportuna sobre las vulnerabilidades técnicas de los sistemas de
información que se utilizan debe ser obtenida, la exposición de la organización a dichas
vulnerabilidades evaluadas y las medidas apropiadas tomado para abordar el riesgo
asociado.

13 Gestión de incidentes de seguridad de la información.

13.1 Reportar eventos de seguridad de la información y debilidades
Objetivo: Asegurar los eventos de seguridad de la información y las debilidades asociadas
con los sistemas de información. se comunican de una manera que permita tomar las
medidas correctivas oportunas.

Deben establecerse procedimientos formales de informe y escalamiento de eventos. Todos

los empleados, contratistas y los usuarios terceros deben conocer los procedimientos para
informar los diferentes tipos de eventos y debilidad que podría tener un impacto en la
seguridad de los activos de la organización. Deben ser requeridos reportar cualquier
evento de seguridad de la información y sus debilidades lo más rápido posible a los punto
de contacto.

13.1.1 Informe de eventos de seguridad de la información

Controlar
Los eventos de seguridad de la información deben informarse a través de los canales de
administración apropiados tan rápido como sea posible.

13.1.2 Reportar debilidades de seguridad

Controlar
Todos los empleados, contratistas y usuarios de sistemas y servicios de información deben
ser requerido para anotar e informar cualquier debilidad de seguridad observada o
sospechada en los sistemas o servicios.

13.2 Gestión de incidencias y mejoras de seguridad de la información.

Objetivo: Asegurar que se aplique un enfoque coherente y efectivo a la gestión de la
información.
Incidentes de seguridad.

13.2.1 Responsabilidades y procedimientos.

Controlar
Deben establecerse responsabilidades y procedimientos de gestión para garantizar una
gestión rápida, eficaz y Respuesta ordenada a incidentes de seguridad de la información.

13.2.2 Aprendiendo de incidentes de seguridad de la información

Controlar
Debe haber mecanismos establecidos para permitir los tipos, volúmenes y costos de
seguridad de la información Incidencias a cuantificar y monitorear.

13.2.3 Recogida de pruebas.

Controlar
Cuando una acción de seguimiento contra una persona u organización después de un
incidente de seguridad de la información involucra acciones legales (civiles o penales), la
evidencia debe ser recolectada, retenida y presentada a cumplir con las reglas de evidencia
establecidas en la (s) jurisdicción (es) relevante (s).

14 Gestión de la continuidad del negocio.

14.1 Aspectos de seguridad de la información de la gestión de la continuidad del
negocio.
Objetivo: contrarrestar las interrupciones de las actividades comerciales y proteger los
procesos comerciales críticos. a partir de los efectos de las principales fallas de los
sistemas de información o desastres y para garantizar su oportuna reanudación.

14.1.1 Incluyendo la seguridad de la información en el proceso de gestión de la

continuidad del negocio.
Controlar
Se debe desarrollar y mantener un proceso gestionado para la continuidad del negocio en
todo la Organización que aborda los requisitos de seguridad de la información necesarios
para la organización. Continuidad del negocio.

14.1.2 Continuidad del negocio y evaluación de riesgos.

Controlar
Los eventos que pueden causar interrupciones en los procesos de negocios deben
identificarse, junto con el probabilidad e impacto de tales interrupciones y sus
consecuencias para la seguridad de la información.

14.1.3 Desarrollo e implementación de planes de continuidad, incluida la seguridad de

la información
Controlar
Los planes deben desarrollarse e implementarse para mantener o restaurar las operaciones
y garantizar la disponibilidad
de información al nivel requerido y en las escalas de tiempo requeridas luego de la
interrupción o falla de, procesos críticos del negocio.
14.1.4 Marco de planificación de continuidad de negocio
Controlar
Se debe mantener un marco único de planes de continuidad del negocio para garantizar
que todos los planes sean coherente, para abordar sistemáticamente los requisitos de
seguridad de la información e identificar prioridades para Pruebas y mantenimiento.

14.1.5 Probar, mantener y reevaluar los planes de continuidad del negocio

Controlar
Los planes de continuidad del negocio se deben probar y actualizar regularmente para
garantizar que estén actualizados y eficaz.

15 Cumplimiento
15.1 Cumplimiento de los requisitos legales.
Objetivo: Evitar el incumplimiento de cualquier ley, obligaciones legales, reglamentarias
o contractuales, y de cualquier requerimientos de seguridad.
El diseño, el funcionamiento, el uso y la gestión de los sistemas de información pueden
estar sujetos a normas legales,
Requisitos regulatorios, y contractuales de seguridad.
Se debe solicitar asesoramiento sobre los requisitos legales específicos a los asesores
legales de la organización, o Profesionales jurídicos debidamente cualificados. Los
requisitos legislativos varían de un país a otro y pueden varían para la información creada
en un país que se transmite a otro país (es decir, a
flujo de datos).

15.1.1 Identificación de la legislación aplicable.

Controlar
Todos los requisitos legales, reglamentarios y contractuales relevantes y el enfoque de la
organización para cumplir con estos requisitos debe definirse, documentarse y
actualizarse explícitamente para cada El sistema de información y la organización.

15.1.2 Derechos de propiedad intelectual (DPI)

Controlar
Deberían implementarse procedimientos apropiados para garantizar el cumplimiento de
las disposiciones legislativas, reglamentarias y
requisitos contractuales sobre el uso de material respecto del cual puede haber propiedad
intelectual
Derechos y sobre el uso de productos de software propietarios.
15.1.3 Protección de registros organizacionales
Controlar
Los registros importantes deben estar protegidos contra pérdida, destrucción y
falsificación, de acuerdo con
Requisitos legales, regulatorios, contractuales y comerciales.

15.1.4 Protección de datos y privacidad de la información personal

Controlar
La protección de datos y la privacidad se deben garantizar según lo requerido en la
legislación, las regulaciones pertinentes y, si
cláusulas contractuales aplicables.

15.1.5 Prevención del mal uso de las instalaciones de procesamiento de información.

Controlar
Se debe disuadir a los usuarios de utilizar las instalaciones de procesamiento de
información para fines no autorizados.

15.1.6 Regulación de los controles criptográficos.

Controlar
Los controles criptográficos deben utilizarse de conformidad con todos los acuerdos, leyes
y leyes pertinentes.
regulaciones

15.2 Cumplimiento de políticas y estándares de seguridad y cumplimiento técnico.

Objetivo: Asegurar el cumplimiento de los sistemas con las políticas y estándares de
seguridad organizacional.
La seguridad de los sistemas de información debe ser revisada regularmente.
Dichas revisiones deben realizarse en contra de las políticas de seguridad apropiadas y de
las técnicas
Las plataformas y los sistemas de información deben ser auditados para cumplir con las
normas de seguridad aplicables.
Normas de implementación y controles de seguridad documentados.

15.2.1 Cumplimiento de las políticas y estándares de seguridad.

Controlar
Los gerentes deben asegurarse de que todos los procedimientos de seguridad dentro de su
área de responsabilidad se llevan a cabo correctamente para lograr el cumplimiento de las
políticas y estándares de seguridad.

15.2.2 Comprobación de conformidad técnica.

Controlar
Los sistemas de información deben verificarse regularmente para verificar el
cumplimiento de la implementación de seguridad.normas

15.3 Consideraciones de auditoría de sistemas de información.

Objetivo: Maximizar la efectividad y minimizar la interferencia hacia / desde la
información. Proceso de auditoría de sistemas.

Deben existir controles para salvaguardar los sistemas operativos y las herramientas de
auditoría durante los sistemas de información. Auditorias
También se requiere protección para salvaguardar la integridad y evitar el mal uso de las
herramientas de auditoría.

15.3.1 Controles de auditoría de los sistemas de información.

Controlar
Los requisitos de auditoría y las actividades que involucran controles en los sistemas
operativos deben planificarse cuidadosamente
y acordó minimizar el riesgo de interrupciones en los procesos de negocios.

15.3.2 Protección de herramientas de auditoría de sistemas de información.

Controlar
El acceso a las herramientas de auditoría de los sistemas de información debe estar
protegido para evitar cualquier posible mal uso o
Compromiso.

Anexo b
(informativo)
Término y plazo de propiedad
B.1 propiedad a plazo
El propietario del término para la familia de estándares ISO / IEC 27000 es
el estándar que inicialmente define el
término. El propietario del término también es responsable de mantener la
definición, es decir,
- proporcionando,
- revisando,
 - actualización, y
- quitando
NOTA 1 ISO / IEC 27000 nunca se determina como el término propietario.
NOTA 2 ISO / IEC 27001 e ISO / IEC 27006, como estándares normativos (es
decir, que contienen requisitos) siempre
prevalecerá como respectivo titular del término.
B.2 Términos ordenados por las Normas

B.2.2 ISO / IEC 27002

control de acceso 2.1
evento de seguridad de la información 2,35
Ataque 2.3
incidente de seguridad de la información 2,36
Autenticación 2.7
incidente de seguridad de la información
administración 2.37
Autenticidad 2.8
sistema de información 2,39
objetivo de control 2,17
no repudio 2.54
instalaciones de procesamiento de información 2.32
confiabilidad 2.62
continuidad de la seguridad de la información 2.34

Bibliografia

ISO/IEC 27002,primera edición,2005

ISO/IEC 27000,tercera edición,2014