NORMA INTERNACIONAL ISO/IEC 27001 Segunda edicién 2013-10-01 Tecnologia de la Informaci6n - Técnicas de Seguridad Sistemas de Gestién de la Seguridad de la Informaci6én - Requisitos Technologies de l'information — Techniques de sécurité — Systemes de management de la sécurité de I information — ExigencesISO/IEC 27001:2013(E Niimero de referencia @ ISO/IEC 2013, Prélogo ISO (Organizacién Internacional para la Estandarizacién) y el IEC (Comisién Electrotécnica Internacional) constituyen el sistema especializado para la estandarizacién a nivel internacional. Los entes nacionales que forman parte de ISO e IEC participan en el desarrollo de Normas Internacionales a través de comités técnicos formados por la misma organizacién para ocuparse de campos especificos de la actividad técnica. Los comités técnicos de ISO y la IEC colaboran en campos de mutuo interés. Otras organizaciones y entidades gubernamentales y no gubernamentales, en coordinacién con ISO y la IEC, también participan en esta labor. En el campo de la tecnologfa de la informacién, ISO y la IEC han establecido un comité técnico colectivo, ISO/IEC JTC 1. Se ha seleccionado normas internacionales de acuerdo a las reglas dadas en las Directivas ISO (NEC, Parte 2. El principal objetivo del comité técnico colectivo es elaborar las Normas Internacionales. Las Normas Internacionales disefiadas por el comité técnico colectivo son circuladas a los entes nacionales para ser sometidos a votacién. La publicacién de la Norma Internacional requiere de la aprobacién de al menos el 75% de los entes nacionales con derecho a voto. Se tiene un especial cuidado sobre la posibilidad de que uno de los elementos del presente documento sean sujetos a derechos de patente. ISO y la IEC no se hacen responsables de la identificacién de alguna o todas los derechos de patente. ISO/IEC 27001 fue elaborado por el Comité Técnico Colectivo ISO/IEC JTC 1, Tecnologia de la Informacién, el Sub-Comité SC27, IT, Técnicas de Seguridad. Esta segunda edicién anula y reemplaza a la primera edicién (ISO/IEC 27001:2005), la misma que ha sido revisada técnicamente,0 Introduccién 0.1 General Esta Norma Internacional ha sido elaborada con la finalidad de proporcionar los requisitos para el establecimiento, implementacién, mantenimiento y mejora continua del sistema de gestion de Ja seguridad de la informacion. La adopcién del sistema de gestién de la seguridad de la informacién es una decisién estratégica de la organizacién. El establecimiento e implementacin de un sistema de gesti6n de seguridad de la informacién depende de las necesidades y objetivos, requisitos de seguridad, procesos organizacionales utilizados y del tamafo y estructura de la organizaci6n. Se espera que todos estos factores cambien con el paso del tiempo. El sistema de seguridad de la informacién conserva la confidencialidad, integridad y disponibilidad de la informacién mediante la aplicacién de un proceso de gestion del riesgo y garantiza, a las partes interesadas, que los riesgos sean manejados adecuadamente. Es importante que el sistema de gestién de la seguridad de la informacién forme parte y se itegre con los procesos y estructuras de gestién integral de la organizacién y que se considere a la seguridad de la informacién en el disefio de los procesos, sistemas de la informacién y controles. Se espera que la implementacién del sistema de gestién de la seguridad de la informacién se amplie de acuerdo a las necesidades de la organizacién. Esta Norma Internacional puede ser utilizada por las partes internas y externas para la evaluacién de la capacidad de la informacién para cumplir con sus propios requisitos de seguridad de la informacion. El orden en que son presentados los requisitos de la presente Norma Internacional no refleja su importancia ni implica un orden en el cual deben ser implementados. La lista de items son enumerados s6lo de manera referencial. ISO/IEC 27000 describe la visi6n y el vocabulario de los sistemas de gestién de la seguridad de la informacion, haciendo referencia a la familia de normas del sistema de seguridad de la informacién (incluyendo el ISO/IEC 27003(2), ISO/IEC 27004(3] and ISO/IEC 27005(4), junto con términos y definiciones relacionados. 0.2 Compatibilidad con otras normas del sistema de gestion La presente Norma Internacional aplica la estructura de nivel alto, tftulos de sub-capitulos idénticos, textos idénticos, términos comunes y definiciones basicas definidas en el Anexo SL de! ISO/IEC Directivas, Parte 1, Consolidado del Suplemento ISO, y por lo tanto mantiene ‘compatibilidad con otras normas del sistema de gestién que han adoptado el Anexo SL. Este enfoque comin definido en el Anexo SL seré de gran utilidad para las organizaciones que decidan operar con un tinico sistema de gestién que cumpla con los requisitos de dos o mas normas del sistema de gestion| | i i i Tecnologia de la Informaci6n — Técnicas de Seguridad — Sistemas de Gesti6n de Seguridad de la Informaci6n — Requisitos 1 Alcance Esta Norma Internacional especifica los requisitos para el establecimiento, implementacién, mantenimiento y mejora continua del sistema de seguridad de la informacién dentro del contexto de la organizacién, Esta Norma Internacional también incluye los requisitos para la evaluacién y tratamiento de los riesgos de la informacién adaptados a las necesidades de la organizacién. Los requisitos establecidos en la Norma Internacional son genéricos y han sido elaborados para ser aplicados en todas las organizaciones, independientemente del tipo, tamafio © naturaleza. Excluyendo algunos de los requisitos especificados en las Cléusulas del 4 al 10, no se acepta que una organizacién asegure conformidad con la Norma Internacional. 2 Referencias Normativas Los siguientes documentos, parte o en su totalidad, constituyen referencias normativas en el presente documento y son indispensables para su aplicacién. Para las referencias que contienen fechas, aplica tinicamente la edici6n citada. Para las referencias que no contienen fechas, aplica la tiltima edicién del documento en mencién (incluyendo las enmiendas). ISO/IEC 27000, Tecnologia de la Informacién — Técnicas de Seguridad —Sistemas de Gestion de Seguridad de la Informacién — Resumen y vocabulario. 3 Términos y definiciones Para el propésito del presente documento, aplica los términos y definiciones dados en ISO/IEC 27000, 4 Contexto de la Organizacion 4.1 Conocimiento de la organizacion y su contexto La organizacién deberd determinar los asuntos internos y externos que sean relevantes para su propésito y que afectan su capacidad para lograr el o los resultados esperados de su sistema de gestién de la organizacién. NOTA: Determinar estos asuntos implica establecer el contexto interno y externo de la organizacién considerados en la Clausula 5.3 del ISO 3100:2009 {5} 4.2 Conocimiento de las necesidades y expectativas de las partes interesadas La Organizacién deberd determinar:Cenren Hanks dintinne f PLA Awe” ) Las partes interesadas que sean relevantes para el sistema de gestion de la seguridad de la informacién; y ) Los requisitos de estas partes interesadas con respecto a la seguridad de la informacién. NOTA: Los requisitos de las partes interesadas deben incluir los requisitos legales y regulatorios y las obligaciones contractuales. 4,3 Determinaci6n del alcance del sistema de seguridad de la informacion La organizacién deberé determinar los limites y la aplicabilidad del sistema de seguridad de la informacién para establecer su alcance. ISO/IEC 27001:2013 (E) ‘Al determinar este alcance, la organizacién deberd considerar: a) Los asuntos internos y externos mencionados en 4.1; b) Los requisitos mencionados en el 4.2; y c) Las interfaces y dependencias entre las actividades desempefiadas por la organizacién, y aquellas que desarrollan otras organizaciones. El alcance deberd estar disponible como informacién documentada. 4.4 Sistema de Gestion de la Seguridad de la Informacion La organizacién deberd establecer, implementar, mantener y mejorar de manera continua el sistema de seguridad de la informacién, de acuerdo a los requisitos de la Norma Internacional 5 Liderazgo 5.1 Liderazgo y compromiso La Alta Direcci6n deberé demostrar liderazgo y compromiso con respecto al sistema de gestién de seguridad de la informacién mediante las siguientes acciones: a) Garantizando el establecimiento de la politica y objetivos de la seguridad de la informacién y que estos sean compatibles con la direccién estratégica de la organizacién; ») Garantizando la integracién de los requisitos del sistema de gestién de la informacién dentro de los procesos de la organizacién; ©) Garantizando la disponibilidad de los recursos necesarios para el sistema de gestién de la seguridad de la informacion; 4) Comunicando la importancia de una gestién efectiva de seguridad de la informacién y de adecuarse a los requisitos del sistema de gestién de la seguridad de la informacion; €) Garantizando que el sistema de seguridad de la informacién logre sus resultados esperados;£) Dirigiendo y dando soporte a las personas para que contribuyan con la efectividad del sistema de gestién de la seguridad de la informacién; 8) Promoviendo la mejora continua; y y : h) Apoyando las funciones de la gerencia que permitan demostrar su liderazgo siempre que corresponda a sus dreas de responsabilidad. 5.2 Politica La Alta Direccién deberd establecer una politica de seguridad de la informacion que: a) Sea adecuada al propésito de la organizacién; }) Incluya los objetivos de seguridad de la informacién (ver 6.2) o proporcione un esquema para la determinacién de los objetivos de la seguridad de la infromacién; ©) Incluya el compromiso de satisfacer los requisitos aplicables relacionados a la seguridad de la informacién; e 4) Incluya el compromiso de mejora continua del sistema de gestién de la seguridad de la informacién. La politica de seguridad de la informacién deberé: ¢) Estar disponible como informacién documentada; f) Ser comunicada dentro de la organizacién; y 8) Estar disponible para las partes interesadas, de la manera que estimen adecuada. 5.3 Funciones, responsabilidades y autoridad de la organizacion La Alta Gerencia deberd garantizar que se asigne y comunique las responsabilidades y autoridad para los roles relacionados con la seguridad de la informacién. La Alta Direccién deberd asignar la responsabilidad y autoridad para: a) Garantizar que el sistema de gestién de seguridad de la informacién se adapte a los requisitos de esta Norma Internacional: e ) Informar acerca del desempefio del sistema de gestidn de seguridad de la informacién a la Alta Gerencia, NOTA: La Alta Gerencia también asignarfa responsabilidades y autoridad para informar acerca del desemperio del sistema de gestién de seguridad de la informacién dentro de la organizacion. < ny6 Planificacion 6.1 Acciones para enfrentar los riesgos y las oportunidades 6.1.1 General Al planificar el sistema de gestién de la seguridad de la informacién, la organizacién debera considerar los temas referidos al ame a los requisitos mencionados en el punto 42, y determinar los riesgos y oportunidades que deben orientarse a: a) Garantizar que el sistema de gestién de seguridad de la informacién logre los resultados | esperados; th 107 ») Evitar o reducir efectos indeseados; y ‘6 Lograr la mejora continua Ee La organizacién deberd planificar: 4) Las acciones destinadas a manejar estos riesgos y oportunidades; y €) Como es 1) Integrar e implementar las acciones dentro de los procesos del sistema de gestion de seguridad de la informacién; y 2) Evaluar la efectividad de estas acciones 6.1.2 Evaluacion de los riesgos de seguridad de la informacion pew La organizacién deberd definir y aplicar el proceso de evaluacién de los riesgos de seguridad de la informacién que permita: a) establecer y mantener los criterios de los riesgos de seguridad de la informacién que incluyan: 1) Los criterios de aceptacién del riesgo; y 2) Los criterios para el desempefio de las evaluaciones de los riesgos de la seguridad de la informacién; ’b) Garantizar que la repeticién de la evaluacién repetitiva de los riesgos de la seguridad de la informacién arroje resultados vélidos, consistentes y comparativos; 6) Identificar los riesgos de seguridad de la informacién: 1) Aplicando del proceso de evaluacién de los riesgos de seguridad de la informacién para identificar los riesgos asociados a la pérdida de la confidencialidad, integridad y disponibilidad de la informacién dentro del alcance del sistema de gestidn de seguridad de la informacién; y 2) Identificando a los originadores de los riesgos; d) Analizar los riesgos de seguridad de la informacién: 1) Evaluando las consecuencias potenciales que se producirfan si los riesgos identificados en el punto 6.1.2¢) 1) llegarén a materializarse;2) Evaluando la probabilidad realista de la ocurrencia de los riesgos identificados en el punt 61.20) 1);y 3) Determinando los niveles de riesgo; €) Evaluar los riesgos de la seguridad de la informacién: 1) Comparando los resultados del anélisis de riesgos con los criterios de riesgos establecidos en el punto 6.1.24); y 2) Priorizando los riesgos analizados para el tratamiento de los riesgos. La organizacién deberd conservar la informacién documentada acerca del proceso de evaluacién de la seguridad de la informacion. 6.1.3 Tratamiento de los riesgos de la seguridad de la Informacién La organizacién debers definir y aplicar el proceso de tratamiento de los riesgos de la seguridad de la informacién con la finalidad de: a) Seleccionar las opciones de tratamiento de los riesgos de seguridad de la informacién, toman do en cuenta los resultados de la evaluacién de los riesgos; b) Determinar todos los controles que son necesarios para implementar la opcién u opciones selecionadas para el tratamiento de la seguridad de la informacién; NOTA: Las organizaciones pueden disefiar los controles segiin lo requerido 0 pueden identificarlos desde otras fuentes. ©) Comparar los controles determinados en el punto 6.1.3 b) , que anteriormente fueron determinados en el Anexo A, y verificar que no se haya omitido ningiin control que sea de utilidad; NOTA 1 Anexo A contiene una lista completa de objetivos y mecanismos de control. Los usuarios de esta Norma Internacional se dirigen al Anexo A, para garantizar que no se pase por alto ningiin control que sea necesario, NOTA 2 Los objetivos de control estan incluidos de manera implicita en los controles seleccionados. Los objetivos de control y los mecanismos de con trol enlistados en el Anexo A no son exhaustgivos y se requiere de objetivos de control y controles adicionales. 4d) Elaborar una Declaracién de Aplicabilidad que contiene los controles necesarios (ver punto 6.1.3 b) y c)) y la argumentacién de las inclusiones, si se aplicaran o no, y la argumentacion de las exclusiones del control del Anexo A; ¢) Formular el tratamiento de los riesgos de seguridad de la informacién; y f) Hacer que los poseedores del riesgos aprueben el plan de del tratamiento de riesgos de la seguridad de la informacién y acepten los riesgos residuales de la seguridad de la informacion. La organizacién deberé conservar la informacién documentada acerca del proceso de tratamiento de los riesgos de la seguridad de la informacion NOTA: La evaluacién y el proceso de tratamiento de los riesgos de seguridad de la informacién se alinea con los principios y lineamientos genéricos proporcionados en ISO 310003).6.2 Objetivos de Seguridad de la Informacion y la planificacién para alcanzarlos La organizacién deberd establecer los objetivos de seguridad de la informacién en relacién a las funciones y niveles oP CastexTo cay ca Okbari Los objetivos de seguridad de la informacion deberan: a) Ser consistentes con la politica de seguridad de la informacién; b) Ser medibles (si es aplicable); ¢) Tomar en cuenta los requisitos de la seguridad de la informs evaluacién de riesgos y del tratamiento de riesgos; 4) Ser comunicados; y e) Actualizarse, si asf lo requiriera. ny los resultados de la La organizacién deberé conservar la informacién documentada sobre los objetivos de la seguridad de la informacién. Al planificar cémo alcanzar sus objetivos de seguridad de la informacién, la organizacién debera determinar: £) Qué deberd hacer; g) Qué recursos necesitard; h) Quién serd el responsable; i) Cuando ser alcanzado dicho objetivo; y j) Como mediré los resultados. 7 Apoyo / Soporte 7.1 Recursos La organizacion debera determinar y proporcionar los recursos necesarios para el establecimiento, implementacién, mantenimiento y mejora continua del sistema de gestion de la informacién. 7.2 Competencia La organizacién: a) Determinaré la competencia necesaria de la o las personas que hardn el trabajo bajo su control, el mismo que afectard el desempefio de su seguridad de la informacién; b) Garantizaré que estas personas tengan una competencia en base a una educacién, entrenamiento y experiencia adecuados; 6) Si fuera el caso, llevar a cabo acciones que permitan adquirir las competencias necesarias y evaluar la efectividad de las acciones tomadas; y 4) Conservar una adecuada documentacién de la informacién como evidencia de la competencia baccorNOTA: Acciones que podrian tomarse, como por ejemplo: capacitacién, tutorfa 0 reasignacién de empleados actuales; 0 la contratacién o sub contratacién de personal competente 7.8 Concientizacion Las personas que hacen el trabajo bajo en control de la organizacién deberdn ser conscientes de: a) La politica de seguridad de la informacién; »b) Su contribucién a la efectividad del sistema de gestién de la seguridad de la informacién, incluyendo los beneficios de la mejora en el desempefio de la seguridad de la informacién; y ©) Las implicancias de la no conformidad con los requisitos del sistema de gestién de la seguridad de la informacién. 7.4 Comunicacién La organizacién determinaré la necesidad de las comunicaciones internas y externas con respecto al sistema de gestién de seguridad de la informacién incluyendo: a) Qué se debe comunicar; b) Cuando se debe comunicar; ) Con quién se debe comunicar; 4) Quién debe comunicar; y e) El proceso por el cual se debe hacer efectiva la comunicacién. 7.5 Documentacién de la informacién 7.5.1 General El sistema de gestién de la informacién incluira: a) la documentacién de la informacién requerida por la Norma Internacional; y b) La documentacién de la informacién determinada por la organizacién como necesaria para la efectividad del sistema de gestion de la seguridad de la informacion. NOTA: El alcance de la documentaci6n de la informacién para el sistema de gestién de la seguridad de la informacién podria diferir de una organizacién a otra debido a: 1) El tamafo de la organizacién y a su tipo de actividades, procesos, productos y servicios; 2) La complejidad de los procesos y sus interacciones; y 3) La competencias de las personas. 7.5.2 Creacién y actualizacién Al crear y actualizaci6n la informacién documentada , la organizacién debera garantizar una apropiada: a) Identificacién y descripcién (e.g, un tftulo, fecha, autor o ntimero de referencia); b) Formato (e.g. idioma, versién del software, gréficos) y los mdios (e.g. papel, electrénico); y ¢) Revisién y aprobacién para una debida adecuacién e idoneidad.7.8.3 Control de la informacién documentada La informacién documentada requerida por el sistema de gestiOn de seguridad de la informacién y por la presente Norma Internacional deberd ser contralada para garantizar: a) La disponibilidad e idoneidad para su uso, donde y en el momento que sea necesario; y b) Su adecuada proteccién (e.g. de pérdida de confidencialidad, uso inadecuado o pérdida de integridad) Para el control de la informacién documentada, la organizacién deberd desarrollar las siguientes actividades, seguin corresponda: ©) Distribucién, acceso, recuperacién y uso; 4d) Almacenamiento y conservacién, incluyendo la conservacién de la legibilidad; e) Control de cambios (e.g. control de la versién); y £) Retencién y disposicién. Se deberd identificar y controlar, en la medida de los posible, la informacién documentada de origen externo, determinado por la organizacién como necesaria para la planificacién y operacién del sistema de gestién de la seguridad de la informacion. NOTA: El acceso implica una decisién con respecto al permiso para ver tinicamente la informacién, o el permiso 0 la autoridad para ver y cambiar la informacién documentada, etc. 8 Operacién DO 8.1 Planificaci6n y control operacional La organizacién debera planificar, implementar y controlar los procesos necesarios para cumplir con los requisitos de la seguridad de la informacién e implementar acciones determinadas en el punto 6.1, La organizacién también deberd implementar planes para lograt los objetivos de seguridad de la informacién sefialados en el a La organizacién deberé mantener informacién documentada de tal forma que garantice que se estd levando a cabo los procesos de acuerdo a lo planificado. La organizacién deberé mantener un control sobre los cambios planificados y revisar las consecuencias de los cambios involuntarios, tomando accién para mitigar cualquier efecto adverso, siel caso asf lo ameritara. La organizacién deberé garantizar identificar y controlar todos los procesos tercerizados. 8.2 Evaluaci6n de los riesgos de seguridad de la informacion La organizacién deberd llevar a cabo evaluaciones de los riesgos de seguridad de la informacién a intervalos planificados 0 cuando se proponen o se dan cambios, tomando en cuenta los criterios establecidos en el punto 6.1.2).La organizacién debera conservar la informacién documentada de los resultados de [ evaluacién de los riesgos de la seguridad de la informacién. 8.3 Tratamiento de los riesgos de la seguridad de la Informacion La organizacién deber4 implementar el plan de tratamiento de los riesgos de seguridad de la informacién, La organizacién deberd conservar Ja informacion documentada de los resultados del tratamiento de los riesgos de la seguridad de la informacién, 9 Evaluacion del desempefio ¢\\«C" 9.1 Monitoreo, medicién, andlisis y evaluacion La organizacién deberé evaluar el desempefio de la seguridad de la informacién y la efectividad del sistema de gestién de la informacién, La organizacién deberd determinar: a) Qué necesidades deben ser monitoreadas y sometidas a medicién, incluyendo los procesos y controles de la seguridad de la informaci6n; b) Los métodos de monitoreo, medicién, andlisis y evaluacién, segin corresponda, con la finalidad de garantizar la validez de los resultados; NOTA: Los métodos seleccionados deben producir resultados comparables y reproducible que deben ser considerados validos ¢) Cuando deberd ejecutarse el monitoreo y la medicién; 4) Quign deberd hacer el monitoreo y la medicién; e) Cudndo deberdn analizarse y evaluarse los resultados del monitoreo y de la medicién; y ) Quién deberd analizar y evaluar los resultados. La organizacién deberd conservar adecuadamente la informacién documentada como evidencia de los resultados del monitoreo y la medicién. 9.2 Auditorfas internas La organizacién deberd dirigir auditorfas internas en intervalos planificados con Ia finalidad de proporcionar informacién con respecto a que si el sistema de gestién de la seguridad de la informacién: a) Se ajusta a: 1) "Los™propiosrequisitos de la organizacién con respecto a su sistema de gestién de la informacién; y 2) Los requisitos de la Norma Internacional byséimplementa y mantiene de manera efectivaLa organizacién debera: ©) Planificar, estableer, implementar y mantener un programa o programas, incluyendo la frecuencia, métodos, responsabilidades, requisitos de planificacién y reporte, E] 0 los programas deberan tomar en cuenta la importancia de los procesos involucrados y los resultados de las auditorias previas; 4) Definir los criterios y alcance de la auditoria; ¢) Selecionar auditores y dirigir auditorias que aseguren la objetividad e imparcialidad del proceso audito £) Garantizar que los resultados de la auditoria sean informados a la gerencia conrrespondiente, ey 8) Conservar informacién documentada como evidencia del o de los programas y los resultados de la auditorfa 9.3 Revision por parte de la Direccion La Alta Direccién deberd revisar el sistema de gestion de seguridad de la informacion a intervalos establecidos para garantizar su continua disponibilidad, adecuacién y efectividad La revisién por parte de la Direccién deberd incluir lo siguiente: 2) Elestatus de las acciones de las anteriores revisiones por parte de la Direccién; b) Cambios en los asuntos externos ¢ internos que tuvieron relevancia para el sistema de gestion de la seguridad de la informacién; €) Retroalimentacién sobre el desempefio de la seguridad de la informacién, incluyendo la tendencia en: 1) Las no conformidades y las acciones correctivas; 2) Resultados del monitoreo y medicién; 3) Resultados de la auditoria; y 4) Cumplimiento de los objetivos de seguridad de la informacién; 4) Retroalimentacién por parte de las partes interesadas; @) Resultados de la evaluacién de los riesgos y estatus del plan de tratamiento de los riesgos; y £) Oportunidades de mejora continua Los resultados de la revision por parte de la direccién deberan incluir las decisiones con Tespecto a las oportunidades de mejora continua y cualquier necesidad de cambios en el sistema de gestién de seguridad de la informacién. La organizacién deberé conservar la informacién documentada como evidencia de los resultados de las revisiones por parte de la direccién10 Mejora a 10.1 No conformidad y acci6n correctiva Cuando ocurre una no conformidad, la organizacién debe: @) Reaccionar hacia la no conformidad, y segin corresponda: 1) Tomar accién pata controlarla y corregirla; y 2) Lidear con las consecuencia; b) Evaluar la necesidad de accién para eliminar las causas de la no conformidad, con la finalidad de evitar la recurrencia o la ocurrencia en cualquier otro lugar, mediante: 1) La revisién de la no conformidad; 2) La determinacién de las causas de la no conformidad; y 3) La verificacién de si existe una no conformidad similar, 0 podria darse; ¢) La implementacién de una accién necesaria; 4d) La revisién de la efectividad de las acciones correctivas tomadas; y €) La implementacién de cambios al sistema de gestién de seguridad de la informacién, si fuera necesario, Las acciones correctivas deben ser acordes a los efectos de las no conformidades encontradas.\ La organizacién deberd conservar la informacién documentada como evidencia de: £) La naturaleza de las no conformidades y cualquier accién tomada posteriormente, y 8) Los resultados de las acciones correctivas. 10.2 Mejora continua La organizacién debera mejorar de manera continua la idoneidad, adecuacién y efectividad del sistema de gestién de la seguridad de la informacién.Anexo A (Normativa) Objetivos de control y controles de referencia Los objetivos de control y los controles enlistas en el Cuadro A.1 se extraen directamente y estan alineados a aquellos detallados en el ISO/IEC 27002:2013(1), Cléusulas del 5 al 18 y deben ser utilizados en el contexto de la Clausula 6.1.3. Cuadro A.1 - Objetivos de control y controles ‘Ae Politicas de seguridad de a informacion 'A.S.1 Gestion de la Gerencia para la seguridad de la informacion ‘ASAI Politicas dela seguridad | Control de de a informacién La gerencia debe definir, aprobar, publicar y comunicar a los trabajadores y partes externas involucradas, una serie de politicas para la seguridad de la informacion, aSaz Revisign de las politicas | Control de seguridad de la Las politcas de seguridad de la informaci6n deben ser revisadas informacién ‘en intervalos planificados o si ocurren cambios significativos, para | garantizar su idoneidad, adecuacién y efectividad continuos. ‘76 Onganizaci6n de la seguridad de la informacion ‘A.G.4 Organizacién interna ‘AGLI Funcionesy Control responsabilidades dela | Se debe definiry asignar todas las responsabilidades dela seguridad dela seguridad de informacion, informacion Rei2 Segregacion de tareas | Control ‘Tareas o éreas de responsabilidad en conflicto deben ser segregadas para reducir las oportunidades de modificacin no autorizada o invaluntaria o el uso inadecuado de los activos de la organizacién. aeis Contacto con as Controf autoridades Se debe mantener contacto adecuado com las autoridades respectivas Reis Contacto con grupos | Control ‘especiales de interés Se debe mantener contacto con grupos especiales de interés u ‘otros forums y asociaciones de profesionales especializados en seguridad Aieis Seguridad dela Controt {informacin en la gestién | La seguridad de la informacion debe adaptarse a la gestién de! del proyecto, proyecto, independientemente del tipo de proyecto. ‘A.6.2 Equipos méviles y trabajo a distancia ‘Objetivo: Garantizar la seguridad del trabajo a distancia y del uso de los equipos méviles A621 Politica delos equipos | Control 1 | méviles Se debe adoptar politicas y medidas de soporte de seguridad para | ‘el manejo de los riesgos derivados del uso de equipos méviles. ‘Aea2 Trabajo a distancia Control Se debe implementar politicas y medidas de soporte de seguridad para proteger la informacién ala que se accede, procesa 0 almacena en los lugares de trabajo a distancia. "ALT Seguridad de los recursos humanos 'AT.1, Antes de reclutarlo ATAL | Fitracion [Generar‘Se debe llevar a cabo la verificacion de los antecedentes de todos los candidatos al empleo de acuerdo a las leyes y regulaciones vigentes ya la ética: y debe ser proporcional a los requisitos del negocio, ia clasificacin de la informacién ala que tendré acceso y Jos riesgos que se perciban. Avia “Términos y condiciones | Control del empleo Los acuerdos contractuales con los trabajadores y contratistas, debe fjar sus responsabilidades y las de la organizacién con respecto ala seguridad de la informacién, ‘A72 Durante el abajo ‘Objetivo: Garantizar que los trabajadores y Tos: responsabilidades de la seguridad de la informacion ‘contratistas sean conscientes y cumplan con las ATLA Responsabilidades dela | Contral Gerencia La Gerencia debe instar a todos los trabajadores y contratistas a aplicar la seguridad de la informacion de acuerdo a las politicas y _procedimientos establecidos por la organizacién. ‘A722 Concientizacion, Control ‘educacién y capacitacién | Todos los trabajadores de la organizacién y los contratistas, si ast sobre seguridad dela _| lo requiriesen, deben recibir una adecuada educacidn de informacion concientizacién y capacitacién, as{ como actualizaciones regulares sobre las politicas y procedimientos organizaciones, de acuerdo a | tas funciones de trabajo que desempefien, ‘A723 Procesos disciplinarios | Control Debe haber un proceso disciplinario formal que debe ser ‘comunicado en el lugar, para tomar accién contra los trabajadores ue comentan alguna infraccién contra la seguridad de la Informacion, ‘A7.3 Término y cambio de empleo Objetivo: Proteger los intereses de Ia organizacién como parte del proceso de cambio o término del empleo ATL ‘Término o cambio de responsabilidades de empleo Control Se debe definir, comunicar y reforzar a todos los trabajadores y contratistas, las responsabilidades y tareas de seguridad dela informacién que permanecerén vilidos después del trmino del empleo. ‘A Gestion de los Actives ‘A.8.1 Responsabilidades sobre los activos Objetivo: Identificar los activos de la organizaciOn y definir las responsabilidades adecuadas de proteccion ALI Tnventario de actives Control Se debe identificar los activos y las instalaciones asociados ala {informacion y al procesamiento dela informacién y se debe disefiar y mantener un inventario de dichos activos. fABa2 Propiedad de los actives | Control Se debe implementar, documentar eimplementar las reglas para €1.uso aceptable de la informacion y de los activas relacionados a Ja informacion y a las instalaciones de procesamiento de la informacién. aaia Uso aceptable delos actives Control ‘Todos los trabajadores y usuarios internos y externas deberdn devolver todos los activos de la organizacién que estén en st posesién una vez terminado su empleo, contrato o acuerdo. L ‘82 Clasificacién dela informacion Objet dentro de la organizacién ‘arantizar que la Informacion reciba un nivel adecuado de proteccion de acuerdo a su Importancla [ag21 Clasificacién de la Contrat | Informacion La informacién debe ser clasificada en términos de los requisitos y valores legaes, siendo critica y sensible ante la divulgacién y ‘modificacién no autorizada, AB2E Etiquetado dela Control informacion | Se debe desarroliar e implementar una serie de procedimientos | adecuados para el etiquetado de la informacin, de acuerdo al ‘esquema de clasificacion de la informacién adoptado por la organizaci6n. Aas Manejo delosactivos | Control Se debe desarrollar e implementar procedimientos de manejo de Jos activos de acuerdo al esquema de clasificacion de la(AB3 Manejo de los medios de comunicacion [Tnformason adap por organic Objetivo: Prevenir la divulgacién, modificacién, retro o destruction no autorizada Ge Ia informacion almacenada en Jos medios de comunicacion [agar “Gestion de medios de ‘comunicacién removibles ou Taryle Contraor ‘Se debe implementar procedimientos para la gestién de los ‘medios de comunicacién removibles de acuerdo al esquema de clasficacién adoptado por la organizacién DisposiciOn de los medios comunicacién ‘Control Los medios comunicacién deben ser desechados de manera segura cuando ya no son necesarios, mediante procedimientos formales. “Transferencias fisica de los medios de ‘comunieacién Control Los medios de comunicacién que contienen informacién deben ser protegidos contra el acceso no autorizado, mal uso 0 corrupeidn durante su transporte, ‘A Control de acceso ‘A.9.1 Requisitos del ‘negocio sobre control del acceso servicios de las redes ASLI Politica de controlde | Control 7 acceso Se debe establecer, documentary revisar la politica de control del | acceso en base a los requisitos del negocio y de la seguridad de la | informacién, Vasaz ‘Aeceso ala redesyales | Contro! Los usuarios deben tener acceso tinicamente a la red o a los servicios de redes 2 los que han sido autorizados a usar. ‘A92 Gestion del acceso al usuario ‘Gbjetivo: Garantizar el acceso al usuario autorizado para evitar el acceso no autorizado alos sistemas y servicios Fag2t Registro y des-registra | Control del usuario Se debe implementar un proceso registro y des-registro del usuario para habilitar los derechos de acceso. ‘AS22 Provision de acceso al | Control Se debe implementar un proceso formal de provision de acceso al ‘usuario, para asignar 0 revocar los derechos de acceso a todos los tipos de usuarios a todos los sistemas y servicios. Aga3 derechos de acceso Gestion delos derechos | Control de acceso privilegiado | Se debe restringir y controlar la asignacin y uso de los derechos de acceso privilegiado, wana Gestion de informacion | Control de autenticacién secreta | Se debe controlar la asignacién de la informacion de autenticacién de usuarios secreta de usuarios mediante un proceso de gestién formal W525 Verificacion de os Control | derechos de acceso de las | Los propietarios de los acivos deben verificar los derechos de usuarios acceso de los usuarios a intervalos regulares. aa26 Retiro o juste delos | Control | Los derechos de acceso a todos ls trabajadores y terceros ala informacién y a las instalaciones de procesamiento de la | informacién deben ser retirados al término del empleo, contrato o | acuerdo, oajustado luego de un cambio. i ‘A.9.3 Responsabilidades del usuario ‘Objetivo: Hacer a los usuarios responsables de salvaguardar Ia autenticadion de su informacion Ag31 ‘Uso de informacién secreta de autenticacién Control Se debe solicit a los usuarios seguir las précticas dela lorganizacién sobre el uso de la informacién secreta de autenticacin, ‘ASA Control de acceso a sistemas y aplicaciones Objetivo: Evitar el ac 50 no autorizado a los sistemas y aplicaciones AgAL Restriccién delaccesoa | Control la informaciin Se debe restringir el acceso ala informacién y a las funciones de aplicacién del sistema de acuerdo ala politica de cantral de A942 Procediimienta segurode | Control logeo Siasilo requiere la politica de control del acceso, se debe controlar el acceso alos sistemas y a las aplicaciones, mediante un procedimiento seguro de logeo.aos Sistema de gestion dela Control utlitarios de privilegio clave Los sistemas de gestin de la clave deben ser interactivos y deben asegurar a calidad de las claves. [asa Uso de programas Control Se debe restringir y controlar severamente el uso de programas utllitarios que puedan controlar manualmente el sistema y los controles de la aplicacién, A945 Control del acceso para | Control programar el cédigo Se debe restringir el acceso al programa de cédigo fuente. fuente ‘AO Griptografia ‘A.10:1 Controles dela eriptogratia ‘ntegridad de la informacién Objetivo: Asegurar el uso adecuado y efectivo de la criptografia para proteger la confidenclalidad, autenticidad y/o ALOL4 Politica del uso de controles criptogréficos Control Se debe desarrollar e implementar una politica de uso de controles criptogrficos para proteger la informacién. wioiz Gestion delas daves Control Se debe desarrollar e implementar una politica para el uso, pproteccién y tiempo de vida de las claves criptograficas alo largo de todo su ciclo de vida. ‘Adi Seguridad fisica y medioamblental ‘ALLI Areas seguras Ja informacion de la organizacién. Objetivo: Evitar acceso fisico no autorizado, dafio e interferencla a la informacidn e Instalaciones de procesamiento de i ALLL Perimetro de seguridad | Control fisica Se debe determinar y utilizar los perimetros de seguridad para proteger las éreas que contienen informacién sensible y critica y las instalaciones de procesamiento de a informacién. Aanaz Controles fisicos delos | Control ingresos Se debe proteger las éreas seguras mediante controles adecuados de ingreso para garantizar el ingreso de s6lo personal autorizado, ATLIS “Seguridad de las oficinas, | Controi salas einstalaciones ‘Se debe disefiar y aplicar mecanismos de seguridad fisica a las salas, oficina instalaciones. ailia Proteccion contralas | Control amenazas externasy __| Se debe disefiar y aplicar mecanismos de control contra los desastes medioambientales naturales, alaques maliciosos 0 accidentes. Allis ‘Trabajo en dreas seguras | Control Se debe disefar y aplicar procedimientos para el trabajo en areas seguras. AiLie Distribucion de as zonas | Control de carga Los puntos de acceso, tales como las zonas de distribucién y carga ¥ otros puntos por los que podria ingresar personal no autorizado 2 las instalaciones deben ser controlados, y en la medida de lo posible, alejados de las instalaciones de procesamiento de la {informacion para evitar el acceso no autorizado, AAL2 Equipos de la organizacién, Objetivo: Evitar la pérdida, dafo, robo o actos en los que se comprometan actives y Ia interrupelbn de las operaciones ALLZI Ubicacion y proteccion de Jos equipos: Control Los equips deben ser ubicados y protegidos de tal forma que se reduzcan los riesgos como resultado de las amenazas y los, peligros del medio ambiente, y las oportunidades de acceso no autorizado, ‘AaLaz Servicios publicos de Soporte Contro? Los equipos deben ser protegidos contra las fallas de energiay ‘otras alteraciones causadas por las fallas en los servicios pilblicos de soporte AaiZs ] Seguridad en elcableado ‘Control Se debe proteger de cualquier interferencia, intercepcién o dao al cableado de energia o telecomunicaciones que transfiere datos ‘que sirve de apayo en los servicios de informacién, Ailza ‘Wantenimiento de los equipos Control Se debe mantener de manera correcta el mantenimiento de los‘equlpos para garantizar gu disponibilidad e integridad continuas. Baits Retiro de los actives Control El equipo la informacién o el software no puede ser retirado de su | lugar sin una previa autorizacién ize Seguridad de os equipos | Control ybienes fuera delas | Se debe aplicar medidas de seguridad para los activosutlizados Instalaciones fuera de las instalaiones, tomando en cuéntaos diferentes riesgos de trabajar fuera de las instalaciones dela organizaci. RiLaT Disposieign oreuso | Control eA Me incigat O Fefuredeloscquipes | Todeslos equips que conienen meds de chmuntacioh cela informacion deben ser revisados para garantizar que se hays ‘extraido o que se haya sobre-escrito la informacién sensible y la licencia del software antes de desechar 0 re-usar el mismo, aiiae Tsuario de equipo Control abandonado | « Los usuarios deben garantizar una adecuada proteccin alos Wester DO cequipos abandonados aLzs Politica de exeritorioy | Control pantalla impias Se debe adoptar la politica de escritoiolimpio de papeles y de ‘medios de almacenamlento removibles, y una politica de pantalla limpia en las instalaciones de procesamiento dela informacién, ‘Aiz Seguridad de as operaciones: "A.12:1 Procedimientos y responsabilidades operaciones AZ Documentacién delos | Control procedimientos Se debe documentar los procesos operacionales y ponerse a operacionales disposicién de todos los usuarios que lo necesiten. Ania ‘Cambios en la gerencia | Control Se debe mantener un control sobre los cambios en la lorganizacién, el negocio y los sistemas que afectan la seguridad de Jainformacién Riis Gestion dela capacidad | Control Debe ser monitoreado y mejorado el uso de recursos, asi como las pproyecciones hechas sobre los requisitos de capacidad del futuro, para garantiza el desempefio del sistema Riga ‘Separacion de ambientes | Control ‘de desarrollo, prueba y | Se debe separar los ambientes de desarrollo, prueba y de operaciones ‘operaciones para reducir los riesgos de acceso o cambiosno | autorizados dentro de ambiente de operaciones. ‘Aaiz.2 Proteccion contra el malware (programa malicioso) ‘Objetivor Garantizar que la informaci6n y las instalaciones de procesamiento de Ia informacion estén protegidos contra el malware A221 Controles contra el Contra? malware Se debe implementar mecanismos de control para la deteccién, prevencién y recuperacién, para proteger ala informacién contra tel malware, junto con una concientizaci6n adecuada al usuario. Aaa Backup / (Objetivo: Proteger la informacion contra la pérdida AlZ31 ‘Backup dela informacion | Contro? Se debe tomary poner a prueba de manera regular, el back up de copias de lainformacién, software e imégenes del sistema, de acuerdo ala politica de backup de la organizacién, ‘KAZ Logeo y monitoreo Objetivo: Registrar eventos y generar evidencias A121 Eventos de logeo Gontrot Se debe llevar a cabo y verificar regularmente eventos de logeo (que registren las actividades, excepciones faltas y cualquier evento de seguridad de la informacién. RAZAZ Proveccion dela Control informacion dellogeo | Se debe proteger contra la falsficacionyel acceso no autorizado | alos medias de logeo yal informacion dellogeo RiZas Togeo deladminisrador | Control yroperador Debelogears as actividades de! sistema del administrador y del aperador, los logs deben ser protegids yrevisados de manera regular. Riza Sincronlzadiin delos | Control | relojes Sedebe sincronizar a una sola fuente de tempo de referencia, los_|] elojes de todos los sistemas de procesamiento de la Informacion correspondientes dentro de la organizacién o del dominio de seguridad, ‘A11Z.5 Control del software operacional Objetivo: Garantizar la integridad de los sistemas operacionales A125. Instalaci6n del software | Control en los sistemas ‘Se debe implementar procedimientos para controlar la instalacién, ‘operacionales del software en los sistemas operacionales ‘A126 Gestion de las vulnerabilidades tenleas ‘Objetivo: Evitarla explotacion de las vulnerabilidades tenieas A264 Gestion de las Control vulnerabilidades téenicas | Se debe obtener, de manera oportuna, informacién sobre las vulnerabilidades técnicas de los sistemas de la informacion a ser utllizados; evaluar la exposicin de la organizacién a dichas vvulnerabilidades y tomar las medidas adecuadas para manejar los iesgos asociados, Aiz62 Restriceiones en Ta Control Instalacién de software | Se debe establecer implementar las reglas que gobiernen la instalacién de los softwares, | ‘A.12.7 Consideraciones de las auditorias sobre los sistemas de informacion, Objetivo: Minimizar el impacto de las actividades de las auditorfas en los sistemas operacionales ALDI Controles dela auditoria | Control sobrelos sistemas de | Se debe planificar cuidadosamente los requisites y actividades de informacion la auditorfa que involucren la verificacién de los sistemas ‘operacionales; y acordar minimizar las alteraciones a los procesos del negocio ‘Ai Seguridad de las comunicaciones ‘A.13.1 Gestion de la seguridad de las redes Objetivo: Garantizar Ia protecclén de la informacion en las redes y de sus instalaciones de procesamienta dela informacién AISL4 Controles enlasredes | Control Se debe administrar y controlar las redes para proteger la informacién de los sistemas y las aplicaciones ‘Aisi2 Seguridad de los Control | servicios delasredes | Se debe identificar los mecanismos de seguridad, os niveles del servicio y los requisitos de todos los servicios de redes e incluirios en los acuerdos de servicios de redes, ya sea que los servicios sean pproporcionados por la misma organizacién o por un tercero. ABTS ‘Segregacion en las redes | Control Se debe segregar grupos de servicios de informacién, usuarios y sistemas de informacién ‘Aa3.2, Transferencia de a Informacion ‘Objetivo: Mantener la seguridad de la informacion transferida dentro de la organizacion y con cualquier entidad externa Ais24 Foliicasy Control procedimientosdela | Se debe dar lugar alas politica, procedimientos ycontroles transferencia dela formales de transferencia através del uso de todo tip de equipos informacion de comunicacion aisa2 | Acuerdos sobrela Control vansferencias dela, > | Los acuerdos deberén sefalar la transferencia segura dela informacién snformaciin del negocio entre la organizaciény terceros. aisa3 Mensajes elecrGnicos | Control 3° | Se debe proteger adecuadamente la informacion enviada vi" _| mediante mensajes electrnieos. aia Confidendialidado Controt acuerdos no divulgados | Se debe identificar,revisar regularmente y documentar los requisites para la confidencialidad o acuerdos no divulgados que reflejan las necesidades de la organizacién sabre la proteccién de la informacién. ‘Ai4 tAdqusicién, desarrollo y mantenimiento del sistema ‘A.14.1 Requisitos de seguridad de los sistemas de informacion Objetivo: Garantizar que la seguridad de la informacidn forme parte integral de los sistemas de informacion alo largo de todo el ciclo de vida. Esto incluye también los requisitas del sistema de la informacion que proveen servicios mediante las redes puiblicas AIGA TAnalisisy [conal‘especificaciones de los requisites dela seguridad de la informacion Se debe inchir la seguridad de la informacion relacionada alos requisitos en los requerimientos de nuevos sistemas de informacién o en el mejoramiento de los sistemas de informacién existentes. ‘Seguridad de los servicios de aplicacién en Jas redes publicas Cantrol ‘Se debe proteger la informacién que pasa a través de las redes, piiblicas de las actividades fraudulentas, controversias Proteccion de las sransacciones de los servicios de aplicacién ‘contractuales y divulgacién y modificaciones no autorizadas. Control ‘Se debe proteger la informacién que provenga de las ‘transacciones se los servicios de aplicacin, para evitar las transmisiones incompletas, desvios, duplicado o reproduccién no autorizados de mensajes. ‘Riaz Seguridad en Tos procesos del programa de desarrollo y soporte Objetivo: Garantizar que se disefie e impiemente la seguridad de la informacion dentro del ciclo del programa de desarrollo de los sistemas de la informacion rere Police del programa de] Conrof desarrollo seguro Se debe establecery aplicar regis de desarrollo de software y Sistemas alos programas de desarrllo dentro dela ergenizacén zz Frocedimiento de contr | Control delos cambios de Se debe controlar los cambios dentro de clo de vide de os sistemas programas de desarrollo, mediante el use de procedimientos formales de contol de cambios aaa Revista lence dela] Coro! aplicaciones luego delos | Lucgo del cambio delasplataormas operatonales, se debe Clmblosdelaplataforma | revsary verter ls aplicaciones eras de! negocio, pars operacional garantizar que no haya un impacto adverso sobre las operaciones Gla seguidad onganzaconal Aa Renvitonesatos —] Control Cambios delos paquetes | Nose facltard la modificai6n dels paquete de sistemas; pore de software Contaro se leslinitaré alos cambios necesarios y todos es Cambios deberin ser estrictamentecontrolados. aisas Prinapiosdelamvema de] Control seguridad para la Se debe establecer,documentar, mantener aplicar los principios ingenterta desstemas de seguridad paralaingenlera,a todos los esfueraos de implementacén dl sistema. aiazs “ambiente seguro del | Control programa de desarrollo Las organizaciones deben establecer y proteger adecuadamente Jos ambientes seguros de desarrollo de los sistemas de desarrollo ya integracion de los esfuerzos a lo largo del ciclo de vida det ‘programa de desarrollo del sistema, aiaa7 Programa de desarrollo | Control | subcontratado La organizacién debe supervisar y monitorear las actividades de desarrollo del sistema del ente subcontratado. Aia28 Revision dela seguridad | Control del sistema Se debe llevar a cabo revisiones de la funcionalidad de la ‘seguridad durante el desarrollo Aia28 Revision dela aceptacion | Control el sistema Se debe establecer programas de verficacién de la aceptacién y de los criterios relacionados con respecto a los nuevos sistemas de informacién, renovaciones y nuevas versiones. ‘Asda Datos de prueba ‘Objetivor gerantizar la proteccion de los datos utllzados para la verifieacion A431 Proteccion de los datos de prueba ‘Control Los datas de prueba deben ser seleccionados, protegidos y | controlados culdadosamente. ‘Aas Relacién con os proveedores ‘A.15.1 Seguridad de a informacion en las Felaciones con los proveedores: (Objetivo: Garantizar la proteccién de los activos de la informacién a los que los proveedores fiene acceso ‘AISLI Poltca de seguridad de | Control | ainformacion sobre las | Se debe acordar y documentar los requistos de seguridad dela | relaciones con los informacion para mitigar ls riesgos asociados al acceso de los proveedores proveedores alos activos dela organtzacsn Risiz Consideracion del | Control seguridad en los Se debe establecer y acordar todos los requisitos relacionados ala| | | { ‘acuerdos con Tos proveedores ‘seguridad dela informacion con cada proveedor que pueda acceder, procesar, almacenar, comunicar o proveer con elementos 4e infraestructura tecnolégica,informacién de la organizacién Asia Cadena de suministro de | Contro! tecnologia dela Los acuerdos con los proveedores deben incluir los requisitos ‘informacién y para el manejo de los riesgos de seguridad de la informacion comunicacion Felacionados a los servicios de tecnologia de la informacion y la ‘comunicacién ya la cadena de suministro del producto ‘A15.2 Gestion de la presiacion del servicio por parte del proveedor acuerdos del proveed AL521 ior ‘Monitore y revision del servicio de los Objetivo: Mantener un nivel acordado de seguridad dela informacion y de la prestacion del servicio alineado a Tos Contra? Las organlzaciones deben monitorear, revisar y auditar proveedores regularmente la prestacidn de servicios del proveedor. Ais22 ‘Cambios en la gestion del | Control servicio de los Se debe gestionarlos cambios a a provisin de los servicios. proveedores prestados por los proveedores, incluyendo el mantenimiento y la ‘mejora de politicas, procedimientos y controles dela seguridad de Ja informacién, tomando en cuenta la sensibilidad de la informacion del negocio, los sistemas y os procesos involucrados asi como la re-evaluacién de los riesgos. ‘AxX6 Gestién de ios incidentes de seguridad de la informacion A.16.4 Gestidn de los incidentes de la seguridad de la Informacion yla mejora informacién, ineluyen: Objetivo: Garantizar una aproximacién consistente y efectiva ido la comunicacién sobre los la gestién de los incidentes de seguridad de la ‘eventos y debilidades de la seguridad A611 Responsabilidades y procedimientos Control ‘Se debe establecer responsabilidades de la gerencia y procedimientos para garantizar una respuesta répida, efectivay adecuada a los incidentes de seguridad de la Informacion ‘Aieia Reporte de os eventos de | Control seguridad dela ‘Se debe reportar los eventos de seguridad de la informacién a informacion través de canales adecuados lo mas pronto posible Rieis Reporte de las Control debilidades de la Se debe instar alos trabajadores y contratistas que hagan uso de seguridad dela los sistemas de informacién de la organizacién, a tomar nota e Informacion Informar acerca de cualquier debilidad que se observe o sospeche con respecto a los sistemas o servicios del sistema de seguridad dea informacién. Areas Evaluaciony decision | Control sobre los eventos de Se debe evaluar los eventos de seguridad de la informacién; y seguridad dela tomar una decisin sobre si deben ser clasificados como informacion incidentes de la seguridad de la informacion, ‘Aieis Respuesta alos Control incidentes de seguridad _| Se debe responder a los incidentes de seguridad de la informacién de ia informacién dde acuerdo a los procedimientos documentados, Aleis “Aprendizaje de los Control Incidentes de seguridad | Se debe usar el conocimlento obtenido del andlisisy resolucin de de ia informacién los incidentes de la seguridad de la informacién, con lafinalidad dde reducir la probabilidad o impacto de futuros incidentes. AI6I7 Recoleccign de evidencla | Control La organizacién debe definir y aplicar procedimientos para la identificacin, recoleccién, adguisicién y conservacion de la ‘informacion que puede servir como evidencia 17 GestiGn de los aspectos de Ta seguridad de la informacion para la continuidad del negocio 17.1 Continuidad de la seguridad de la informacion Objetivo: La continuidad de ls seguridad de la informaci6n debe estar Incrustada en los sistemas de gestiGn de la continuidad del negocio de la organizacién ‘continuidad de la seguridad de la AIA Continuidad de los planes | Control de seguridad dela La organizacién debe determinar sus requisites para la seguridad informacion de la informacién y para la continuidad de la gestién de seguridad de la informacién en situaciones adversas, eg durante una crisis 0 desastre, Airi2 TImplementacion dela | Control Ls organizacién deberd establecer, documentar, implementar y ‘mantener los procesos, procedimientas y controles parainformacion ‘garantizar el nivel requerido de continuldad dela seguridad dela informacién durante una situacién adversa, Aq7as Verificacion, revision y | Control evaluacion de la {La organizacién debe verificar los controles de la continuldad de continuidad de la la seguridad de la informacién establecidos e implementados, a seguridad dela intervalos regulares con la fnalidad de asegurar la su validez y {nformacién cfectividad durante situaciones adversa, ‘Ai72 Redundancas Objetivo: Garantizar la disponibilidad de las instalaciones de procesamiento de a Informacion A721 Disponibilidad de Control instalaciones de Se debe implementar las instalaciones de procesamiento de la procesamiento de la informacién con una capacidad adicional sufciente para cumplir {informacion con los requisitos de disponibilidad ‘A.i8 Camplimiento A.18.4 Cumplimiento de Tos requisites egales ycontTactuales Objetivo: Evita elincumplimiento de las obligaciones legals, regulators ocontractualesYlacanaday ala seguridad dea informacion al cualquier requsito de seguridad ‘AIBL Tdentficacién delaley | Conta? aplicable y de los ‘Se debe identificar de manera explicita, documentary mantener | Fequistoscontracuales | actalizados todos ls reqlsitoslevslaives regulatoros y contractuales as came el enfoque de la organizacion para carmplir con ests requisitos, con respecto a cada sistema de informacion ya la organizaion RiBaz Darechos de propiedad | Control inteleewales Se debe implementar procedimientos adecuados para garantizar el cumplimiento de los requsitos legislative, regulators y contractuales relacionados alos derecho de propiedad | Intelectuales yal uso de productos registrados de software. [xia Protecclon deo Control registros Los registros deben ser protegids conta la pérdida, destruecén, falsificacion, acceso no autorzado y lanzamiento no autorizado, de acuerdo alos requsitos legates, reguatoios, contractsles del mismo negocio, aieie Privacidad y proteccign | Control delainformacién que | Se debe garantizar la privacidad y la proteccién de a informacién Permite identificar alas | que permita identificar a las personas de acuerdo alo requerido personas on la legislaciny las regulaciones pertinentes si fuera aplicabe. Aigis Regulacion de los Control controes cripogréfcos | Se debe hacer uso de controls criptogrificos en cumplimiento _com os acuerds, as eyes ls repulaciones correspondiente ‘AcIR2 Revisiones de la seguridad de la informacion Objetivo: Garantizar qu a seguridad dea informacién sea mplementada operada de acuerdo sas policasy procedimientos organizaconsles ATB21 Revisién independiente | Control de la seguridad dela Se debe revisar, a intervalos planificados o cuando ocurre algin ‘informacion cambio significativo, el enfogue de la organizacién para gestionar la seguridad de la informacion y su implementacién (Le. objetivos de control, controles, politicas, procesos y procedimientos de la seguridad de la informacion) Aae22 ‘Cumpiimiento de las Control politicasynormasde | Los gerentes deben revisar regularmente e] cumplimiento de los seguridad dela pprocedimientos y del procesamiento de la informacion dentro de informacion su drea de responsabilidad, de acuerdo a las politcas, normas de seguridad adecuadas va los otros requisitos de seguridad, Aia23 Revision del Control cumplimiento técnico | Se debe revisar regularmente los sistemas de a informacién con | respecto al cumplimiento de as politicas y normas de seguridad de la informacién de le organizacién,