Riesgo: Efecto de la incertidumbre sobre la consecución de los objetivos.

El propósito de la identificación del riesgo es determinar que podría suceder que cause una perdida potencial,
donde, y por qué podría ocurrir está perdida, las siguientes etapas deberían recolectar datos de entrada para

NOTA 1: Un efecto es una desviación, positiva y/o negativa, respecto a lo provisto.

NOTA 2: La incertidumbre es el estado, incluso parcial, de deficiencia en la información relativa a la comprens
suceso (3.25), de sus consecuencias (3.14) o de su probabilidad (3.45).
NOTA 3: Con frecuencia, el riesgo se caracteriza por referencia a sucesos (3.25) potenciales y a sus consecu
combinación de ambos.
NOTA 4: Con frecuencia, el riesgo se expresa en términos de combinación de las consecuencias (3.14) de un
cambios en las circunstancias) y de su probabilidad (3.45).
NOTA 5: En el contexto de sistema de gestión de la seguridad de la información, los riesgos de seguridad de
expresar como el efecto de la incertidumbre sobre los objetivos de seguridad de la información.
NOTA 6: El riesgo de seguridad de la información se relaciona con la posibilidad de que las amenazas (3.83)
de un activo o grupo de activos de información y causen daño a una organización.

Tipo de riesgo Código

R1
R2
R3
R4
R5
R6
Datos
R7

R8

R9
R10
R11

R12
Operaciones
R13
R14
R15
R16
R17
R18
Infraestructura
R19
R20
R21
Legal y reglamentario R22
R23
R24
R25

Aplicaciones y base de datos

 R26
Aplicaciones y base de datos R27
R28
R29
R30
R31
Proveedores de Tecnología
R32
R33
R34
R35
R36
R37
Seguridad y Privacidad de la información
R38

R39
R40
R41
R42
Administración de programas de software
R43
R44
ecución de los objetivos.

minar que podría suceder que cause una perdida potencial, y llegar a comprender el cómo,
iguientes etapas deberían recolectar datos de entrada para esta actividad.

o negativa, respecto a lo provisto.

arcial, de deficiencia en la información relativa a la comprensión o al conocimiento de un
su probabilidad (3.45).
por referencia a sucesos (3.25) potenciales y a sus consecuencias (3.14) o una

términos de combinación de las consecuencias (3.14) de un suceso (incluyendo los

d (3.45).
la seguridad de la información, los riesgos de seguridad de la información se pueden
los objetivos de seguridad de la información.
se relaciona con la posibilidad de que las amenazas (3.83) exploten vulnerabilidades (3.89)
ausen daño a una organización.

Descripción del riesgo

Acceso a los sistemas de información o recursos tecnológicos por usuarios no
autorizados.
Conflicto de segregación de funciones.
Error en la calidad e integridad de la información.
Daños en la información por accesos no autorizados.
Falla durante la migración de la información.
Fuga de Información.
Modificación de información sin autorización por funcionarios que no pertenecen
al área o proceso.
Modificaciones no autorizadas de los parámetros de las bases de datos y/o
sistemas de información.
Operaciones realizadas a datos de producción con usuarios genéricos y/o súper
usuarios.
Revelación de datos sensibles de los clientes.
Afectación de la continuidad de la operación por fallas en los sistemas de
información.
Errores operativos durante el respaldo o mantenimiento de los sistemas de
información.
Error o fallas en los procesos operativos.
Fallas en la configuración de parámetros en los sistemas de información.
Fallas en los procesos tecnológicos.
Fallas en la supervisión, control y gestión administrativa.
Tecnología y/o arquitectura obsoleta.
Daño al centro de procesamiento de datos y/o servidores.
Indisponibilidad del servidor de base de datos y/o aplicaciones.
Limitaciones en la operación y servicios por falta de conectividad.
Demandas y/o sanciones por divulgación de información a terceros no
autorizados.
Demandas y/o sanciones por uso de software no licenciado.
Incumplimiento en los contratos de licenciamiento de software.
Incumplimiento de políticas, normas y/o procedimientos.
Aplicaciones y base de datos sin soporte técnico.
Errores en la configuración y/o parametrización de las aplicaciones y base de
datos.
Fallas críticas en los sistemas de información.
Incapacidad para manejar la carga transaccional de los sistemas de información.
Pérdidas económicas por desarrollos de software sin calidad y seguridad.
Falta de aseguramiento en los entregables de TI.
Nivel de servicio bajo en los entregables de TI.
Retrasos Importantes en los entregables de TI.
Soporte inadecuado.
Ataques a sitios o aplicaciones web.
Ataques de virus.
Fallas en la actualización de parches de los sistemas.
Intrusión de software malicioso.
No se asignan recursos financieros suficientes para la seguridad de la
información y ciberseguridad.
Pérdida de información confidencial y/o sensible por accesos no autorizados y/o
ausencia de controles.
Propagación de código malicioso en la red por falta de aseguramiento.
Baja calidad en los entregables de TI.
Excedentes presupuestales por falta de especificaciones y/o definiciones.
Reprocesos operativos por control de cambios inefectivos.
Retrasos importantes en las entregas definidas a las áreas usuarias.
Amenaza: Causa potencial de un incidente no deseado, el cual puede ocasionar daño a un sistema o a una
organización.

a. Una amenaza tiene el potencial de causar daños a activos tales como información, procesos y sistemas y,
entidad.
b. Las amenazas pueden ser de origen natural o humano y podrían ser accidentales o deliberadas es recome
todos los orígenes de las amenazas accidentales como deliberadas.
c. Las amenazas se deberían identificar genéricamente y por tipo (ej. Acciones no autorizadas, daño físico, fa
d. Algunas amenazas pueden afectar a más de un activo y en tales casos pueden causar diferentes impactos
activos que se vean afectados.

(D): Deliberadas --> Tienen como objetivo los activos de información.

(A): Accidentales --> Acciones humanas que pueden dañar accidentalmente los activos de información.
(E): Ambientales --> Todos los inicidentes que no se basan en las acciones humanas.

ANEXO C (INFORMATIVO)
Tipo de Amenaza Código
A1
A2
A3
Daño Físico
A4
A5
A6
A7
A8
Eventos Naturales A9
A10
A11
A12
Pérdida de los servicios esenciales A13
A14
A15
Perturbación debida a la radiación A16
A17
A18
A19
A20
A21
A22
Compromiso de la información A23
A24
A25
A26
A27
A28
A29
A30
Fallas técnicas A31
A32
A33
A34

Acciones no autorizadas
 A35
Acciones no autorizadas A36
A37
A38
A39
A40
Compromiso de las funciones A41
A42
A43
A44
A45
A46
A47
Aplicaciones y/o sistemas de información A48
A49
A50
A51
A52
A53
A54
A55
Red
A56
A57
A58
A59
A60
A61
A62
A63
Servidores (Host) A64
A65
A66
A67
A68
Proyectos A69
deseado, el cual puede ocasionar daño a un sistema o a una

ños a activos tales como información, procesos y sistemas y, por lo tanto, a la

o humano y podrían ser accidentales o deliberadas es recomendable identificar

es como deliberadas.
camente y por tipo (ej. Acciones no autorizadas, daño físico, fallas técnicas)
un activo y en tales casos pueden causar diferentes impactos dependiendo de los

activos de información.
ueden dañar accidentalmente los activos de información.
no se basan en las acciones humanas.

ANEXO C (INFORMATIVO)
Descripción de la amenaza Origen
Fuego A, D, E
Daño por agua A, D, E
Contaminación A, D, E
Accidente importante A, D, E
Destrucción del equipo o los medios A, D, E
Polvo, corrosión, congelamiento A, D, E
Fenómenos climáticos E
Fenómenos sísmicos E
Fenómenos volcánicos E
Fenómenos meteorológicos E
Inundación E
Falla en el sistema de suministro de agua o de aire acondicionado A, D
Pérdida de suministro de energía A, D, E
Falla en el equipo de telecomunicaciones A, D
Radiación electromagnética A, D, E
Radiación térmica A, D, E
Impulsos electromagnéticos A, D, E
Interceptación de señales de interferencia comprometedoras D
Espionaje remoto D
Escucha encubierta D
Hurto de medios o documentos D
Hurto de equipo D
Recuperación de medios reciclados o desechados D
Divulgación A, D
Datos provenientes de fuentes no confiables A, D
Manipulación con hardware D
Manipulación con software A, D
Detección de la posición D
Falla del equipo A
Mal funcionamiento del equipo A
Saturación del sistema de información A, D
Mal funcionamiento del software A
Incumplimiento en el mantenimiento del sistema de información A, D
Uso no autorizado del equipo D
Copia fraudulenta del software D
Uso de software falso o copiado A, D
Corrupción de los datos D
Procesamiento ilegal de los datos D
Error en el uso A
Abuso de derechos A, D
Falsificación de derechos D
Negación de acciones D
Incumplimiento en la disponibilidad del personal A, D, E
Ataques de identificación y autenticación de usuarios.
Ataques a las llaves criptográficas.
Inadecuada configuración de la aplicación y/o sistemas.
Interrupción continua de sesiones de trabajo.
Desbordamiento de buffer de memoria.
Inyección SQL a las aplicaciones web.
Configuración incorrecta en los mensajes de error.
Revelación de datos sensibles originados por eventos de SQL
Inyección.
Ataques a las contraseñas de la red.
Ataques de denegación de servicios.
Ataques a los sistemas de detección de intrusos (IDS) y Firewalls.
Envenenamiento de la caché del servidor de nombres de dominio
(DNS).
Escucha de puertos abiertos (Fingerprinting).
Secuestro de sesión realizados por Hijacking y Man in the middle.
Spoofing (Suplantación de identidad).
Recolección de información a través de fuentes abiertas.
Acceso no autorizado a los equipos de cómputo y/o servidores.
Ataques a contraseñas de los equipos de cómputo y/o servidores.
Ataques de denegación de servicios.
Ataques de ejecución de código.
Ataques de Footprinting.
Ataques de Malware.
Ataques de puerta trasera (Backdoors).
Ataques de seguridad física.
Escalamiento de privilegios.
Ausencia de definiciones de seguridad de la información y
ciberseguridad en el ciclo de vida de los proyectos.
 Las amenazas tienen fuentes de amenazas humanas, motivación y acciones amenazantes.
Fuente de la Amenaza Motivación
• Reto
• Ego
Pirata Informatico, Intruso Ilegal • Rebelión
• Estatus
• Dinero

• Destrucción de información
• Divulgación ilegal sw información
Criminal de la Computación
• Ganancia Monetaria
• Alteración no autorizada de los datos

• Chantaje
• Destrucción
• Explotación
Terrorista • Venganza
• Ganancia Política
• Cubrimiento de los medios de
comunicación

Espionaje industrial (Inteligencia,

• Ventaja competitiva
empresas, gobiernos extranjeros,
• Espionaje economico
otros intereses gubernamentales)

• Curiosidad
• Ego
Instrusos(empleados con
• Inteligencia
entrenamiento deficiente,
• Ganancia monetaria
descontentos,malintensionados,
• Venganza
negligentes, deshonestos o
• Errores y omisiones no intensionales
despedidos)
(Por ejemplo, error en el ingreso de los
datos, error de programación)
 • Inteligencia
entrenamiento deficiente,
• Ganancia monetaria
descontentos,malintensionados,
• Venganza
negligentes, deshonestos o
• Errores y omisiones no intensionales
despedidos)
(Por ejemplo, error en el ingreso de los
datos, error de programación)
s, motivación y acciones amenazantes.
Acciones Amenazantes

• Prateria
• Ingeniería social
• Intrusión Sistema, forzados al sistema
• Acceso no autorizado al sistema
espionaje cibernético)
• Acto fraudulento (por ejemplo,
repetición, personificación
interceptación)
• Soborno de la información
• Suplantación de identidad
• Bomba / Terrorismo
• Guerra de información
• Ataques contra el sistema (por
ejemplo negación distribuida del
servicio)
• Penetración en el sistema
• Manipulación del sistema
• Explotación económica
• Hurto de información
• Intrusión en la privacidad personal
• Ingeniería social
• Penetración en el sistema
• Acceso no autorizado al sistema
(acceso a información clasificada, de
propiedad y/o relacionados con la
tecnología)
• Asalto a un empleado
• Chantaje
• Observar información reservada
• Uso inadecuado de computador
• Fraude y hurto
• Soborno de información
• Ingreso de datos falsos o corruptos
• Interceptación
• Código malicioso (por ejemplo virus,
bomba lógica, troyano)
• Venta de información personal
• Errores en el sistema (bugs)
• Intrusión al sistema
• Sabotaje del sistema
• Acceso no autorizado al sistema
• Ingreso de datos falsos o corruptos
• Interceptación
• Código malicioso (por ejemplo virus,
bomba lógica, troyano)
• Venta de información personal
• Errores en el sistema (bugs)
• Intrusión al sistema
• Sabotaje del sistema
• Acceso no autorizado al sistema
Vulnerabilidad: Debilidad de un activo o de un control (3.16) que puede ser explotada por una o má
(3.83).

Para realizar una correcta identificación de vulnerabilidades es necesario conocer la lista de amenaz
lista de inventario de activos y el listado de controles existentes. Se pueden identificar vulnerabilidad
siguientes áreas:

* Organización.
* Procesos y procedimientos.
* Rutinas de gestión.
* Personal
* Ambiente físico
* Configuración del sistema de información.
* Hardware, software y equipos de comunicaciones.
* Dependencia de partes externas.

NOTA: La sola presencia de una vulnerabilidad no causa daños por si misma, dado que es necesari
amenaza presente para explotarla. Una vulnerabilidad que no tiene una amenaza puede no requerir
implementación de un control.

Tipo de Activo Código

V1
V2
V3
V4
V5
V6
Hardware
V7
V8

V9

V10
V11
V12
V13
V14
V15
V16
V17
V18
V19
V20
V21
V22
Software
V23
V24
Software

V25
V26
V27
V28
V29
V30
V31
V32
V33
V34
V35
V36
V37
V38
Red
V39
V40
V41
V42
V43
V44
V45
V46
V47
Personal
V48
V49
V50
V51
V52
V53
Lugar
V54
V55
V56

V57

V58

V59
V60
V61
V62

V63

V64
 V65

V66

V67

V68

V69
Organización V70
V71
V72
V73
V74
V75

V76

V77

V78

V79

V80

V81

V82
V83
V84

V85
d: Debilidad de un activo o de un control (3.16) que puede ser explotada por una o más amenazas

na correcta identificación de vulnerabilidades es necesario conocer la lista de amenazas comunes, la

rio de activos y el listado de controles existentes. Se pueden identificar vulnerabilidades en las
as:

.
ocedimientos.
estión.

co
n del sistema de información.
ftware y equipos de comunicaciones.
de partes externas.

presencia de una vulnerabilidad no causa daños por si misma, dado que es necesario que exista una
ente para explotarla. Una vulnerabilidad que no tiene una amenaza puede no requerir la
n de un control.

Descripción de la vulnerabilidad
Mantenimiento insuficiente / instalación defectuosa de medios de almacenamiento
La falta de planes de sustitución periódicas
La susceptibilidad a la humedad, el polvo, la suciedad
Sensibilidad a la radiación electromagnética
La falta de control de cambio de configuración eficiente
La susceptibilidad a las variaciones de voltaje
La susceptibilidad a las variaciones de temperatura
Almacenamiento sin protección

La falta de atención a la disposición

La copia no controlada
No hay pruebas de software o insuficiente
Defectos conocidos en el software
No 'Cerrar sesión' al salir de la estación de trabajo
Eliminación o reutilización de los medios de almacenamiento sin borrado adecuada
La falta de seguimiento de auditoría
La asignación de derechos de acceso incorrecto
Software distribuido ampliamente
En terminos de tiempo utilizacion de datos errados en los programas de aplicación
Interfaz de usuario complicada
La falta de documentación
Parámetro incorrecto configurado
Fechas incorrectas
La falta de mecanismos de identificación y autenticación como la autenticación de usuarios
Tablas de contraseñas no protegidas
La mala gestión de contraseñas
Servicios innecesarios habilitadas
Software inmadura o una nueva
Especificaciones confusas o incompletas para desarrolladores
La falta de control de cambio de efectivo
La descarga incontrolada y uso del software
La falta de copias de seguridad
La falta de protección física de los edificios, puertas y ventanas
Falta de presentación de informes de gestión
La falta de prueba de envío o recepción de un mensaje
Líneas de comunicación no protegidos
El tráfico sensible sin protección
Cableado deficiente conjunta
Punto único de fallo
La falta de identificación y autenticación de remitente y el receptor
Arquitectura de red insegura
Transferencia de contraseñas en claro
Inadequatenetworkmanagement (resiliencia de enrutamiento)
Conexiones de red pública no protegidos
Ausencia de personal
La insuficiencia de los procedimientos de contratación
Formación de seguridad insuficientes
El uso incorrecto de software y hardware
La falta de conciencia de seguridad
La falta de mecanismos de seguimiento
El trabajo no supervisado por el exterior o el personal de limpieza
La falta de políticas para el correcto uso de los medios de telecomunicaciones y mensajería
El uso inadecuado o negligente de control de acceso físico a los edificios y recintos
Ubicación en un área susceptible a las inundaciones
Red de energía inestable
La falta de protección física de los edificios, puertas y ventanas
Fallas o ausencia de un procedimiento establecido para la administración, registro, modificación y
retiro de usuarios.
Fallas o ausencia de un procedimiento o proceso establecido para la revisión y/o supervisión de los
derechos de acceso de los usuarios.
Ausencia de cláusulas de seguridad de la información y ciberseguridad en los contratos con los
colaboradores, proveedores, clientes y/o terceras partes.
Fallas o ausencia de procedimientos de monitoreo y/o seguimiento de los recursos de información.
Fallas o ausencia de auditorías periódicas.
Fallas o ausencia en los procedimientos de identificación y valoración de riesgos.
Fallas o ausencia de reportes que identifican las actividades realizadas por los administradores y
usuarios de los sistemas.
Nivel de servicio bajo en relación al mantenimiento de los sistemas de información.

Fallas o ausencia de acuerdos de nivel de servicio.

Fallas o ausencia de procedimientos de control de cambios en los sistemas.
Fallas o ausencia de un procedimiento establecido para el control de la documentación del SGSI y
ciberseguridad.
Fallas o ausencia de un procedimiento establecido para la supervisión del registro del SGSI y
ciberseguridad.
Fallas o ausencia de un procedimiento establecido para la autorización de la información que estará
disponible de manera pública.
Fallas o ausencia de la asignación adecuada de roles y responsabilidades en relación a la seguridad
de la información y ciberseguridad.
Fallas o ausencia en los planes de continuidad de negocio.
Fallas o ausencia de políticas sobre el uso de correo electrónico, clasificación y etiquetado de la
información.
Fallas o ausencia de procedimientos para la instalación del software en los sistemas operativos.
Fallas o ausencia de registro en las bitácoras (logs de administrador y operario).
Fallas o ausencia de procedimientos para el manejo de información sensible y/o confidencial.
Fallas o ausencia de responsabilidades de los cargos en relación a la seguridad de la información.
Fallas o ausencia en las disposiciones y/o cláusulas de los contratos de los colaboradores en
relación a temas de seguridad de la información y ciberseguridad.
Fallas o ausencia de procesos disciplinarios definidos en el caso de incidentes de seguridad de la
información y/o ciberseguridad.
Fallas o ausencia de políticas definidas sobre la utilización de computadores portátiles y/o
dispositivos móviles.
Fallas o ausencia de control en relación a los activos que se encuentran fuera de las instalaciones
de la organización.
Fallas o ausencia de políticas y/o procedimientos sobre la limpieza del escritorio o pantalla del
equipo de cómputo.
Fallas o ausencia de autorización en el procesamiento de la información.
Fallas o ausencia de mecanismos de monitoreo o seguimiento para brechas en seguridad de la
información y/o ciberseguridad.
Fallas o ausencia de verificaciones periódicas por parte de los dueños de los procesos.
Fallas o ausencia de procedimientos para la presentación de informes sobre las debilidades en la
seguridad de la información y/o ciberseguridad.
Fallas o ausencia de procedimientos del cumplimiento de las disposiciones legales relacionadas con
los derechos intelectuales y/o protección de datos personales.
 Amenazas
Incumplimiento en el mantenimiento del sistema
de información
La destrucción de los equipos o medios
El polvo, la corrosión, la congelación
Radiación electromagnética
Error en uso
La pérdida de la fuente de alimentación
Fenómeno meteorológico
El robo de los medios de comunicación o
documentos
El robo de los medios de comunicación o
documentos
El robo de los medios de comunicación o
documentos
Abuso de los derechos
Abuso de los derechos
Abuso de los derechos
Abuso de los derechos
Abuso de los derechos
Abuso de los derechos
La corrupción de los datos
La corrupción de los datos
Error en uso
Error en uso
Error en uso
Error en uso
Falsificacion de derechos
Falsificacion de derechos
Falsificacion de derechos
Procesamiento ilegal de datos
Mal funcionamiento de software
Mal funcionamiento de software
Mal funcionamiento de software
La manipulación de software
La manipulación de software
El robo de los medios de comunicación o
documentos
El uso no autorizado de equipos
La negación de las acciones
Escuchas ilegales
Escuchas ilegales
La falta de equipo de telecomunicaciones
La falta de equipo de telecomunicaciones
Falsificacion de derechos
Espionaje remoto
Espionaje remoto
La saturación del sistema de información
El uso no autorizado de equipos
El incumplimiento de la disponibilidad de personal
La destrucción de los equipos o medios
Error en uso
Error en uso
Error en uso
Procesamiento ilegal de datos
El robo de los medios de comunicación o
documentos
El uso no autorizado de equipos
La destrucción de los equipos o medios
Inundación
La pérdida de la fuente de alimentación
Robo de equipos
Abuso de los derechos

Abuso de los derechos

Abuso de los derechos

Abuso de los derechos

Abuso de los derechos
Abuso de los derechos
Abuso de los derechos
Incumplimiento en el mantenimiento del sistema
de información
Incumplimiento en el mantenimiento del sistema
de información
Incumplimiento en el mantenimiento del sistema
de información
La corrupción de los datos

La corrupción de los datos

Datos provenientes de fuentes no cinfiables

La negación de las acciones

Falla en el equipo
Error en uso
Error en uso
Error en uso
Error en uso
Error en uso

Procesamiento ilegal de datos

Robo de equipos

Robo de equipos

Robo de equipos
El robo de los medios de comunicación o
documentos
El robo de los medios de comunicación o
documentos
El robo de los medios de comunicación o
documentos
El uso no autorizado de equipos
El uso no autorizado de equipos

El uso de software falsificado o copiado

Control: Medida que modifica un riesgo (3.68).

Se debe realizar la identificación de los controles existentes para evitar trabajo o costos innecesarios, por ejemplo
duplicidad de controles, además de esto mientras se identifican los controles se recomienda hacer una verificació
garantizar que los existentes funcionan correctamente.

Los controles que se planifican para implementar de acuerdo con los planes de implementación de tratamiento de
deberían considerar en la misma forma que aquellos que ya están implementados.

NOTA 1: Los controles incluyen cualquier proceso, política, dispositivo, práctica, u otras acciones que
modifiquen un riesgo.
NOTA 2: Los controles no siempre pueden proporcionar el efecto de modificación previsto o asumido.

Nro.

10

11
12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27
28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44
45

46

47

48

49

50

51

52

53

54

55

56

57

58

59

60
61

62

63

64

65

66

67

68

69

70

71

72

73

74

75

76
77

78

79

80

81

82

83

84

85

86

87

88

89
90

91

92

93

94

95

96

97

98

99

100

101

102
103

104

105

106

107

108

109

110

111

112

113

114
Control: Medida que modifica un riesgo (3.68).

Se debe realizar la identificación de los controles existentes para evitar trabajo o costos innecesarios, por ejemplo la
duplicidad de controles, además de esto mientras se identifican los controles se recomienda hacer una verificación para
garantizar que los existentes funcionan correctamente.

Los controles que se planifican para implementar de acuerdo con los planes de implementación de tratamiento de riesgo, s
deberían considerar en la misma forma que aquellos que ya están implementados.

NOTA 1: Los controles incluyen cualquier proceso, política, dispositivo, práctica, u otras acciones que
modifiquen un riesgo.
NOTA 2: Los controles no siempre pueden proporcionar el efecto de modificación previsto o asumido.

Descripción Control
A.5.1.1 - Políticas para la seguridad de la información: Se debe definir un conjunto de políticas para la segurid
de la información, aprobada por la dirección, publicada y comunicada a los empleados y a las partes extern
pertinentes.
A.5.1.2 - Revisión de las políticas para la seguridad de la información: Las políticas para la seguridad de
información se deben revisar a intervalos planificados, o si ocurren cambios significativos, para asegurar
conveniencia, adecuación y eficacia continúas.
A.6.1.1 - Roles y responsabilidades para la seguridad de la información: Se deben definir y asignar todas l
responsabilidades de la seguridad de la información.
A.6.1.2 - Separación de deberes: Los deberes y áreas de responsabilidad en
conflicto se deben separar para reducir las posibilidades de modificación no
autorizada o no intencional, o el uso indebido de los activos de la organización.
A.6.1.3 - Contacto con las autoridades: Se debe mantener contactos apropiados
con las autoridades pertinentes.
A.6.1.4 - Contacto con grupos de interés especial: Se debe mantener contactos apropiados con grupos de inter
especial u otros foros y asociaciones
profesionales especializadas en seguridad.
A.6.1.5 - Seguridad de la información en la gestión de proyectos: La seguridad de la información se debe trat
en la gestión de proyectos, independientemente del tipo de proyecto.
A.6.2.1 - Política para dispositivos móviles: Se deben adoptar un política y unas
medidas de seguridad de soporte, para gestionar los riesgos introducidos por el
uso de dispositivos móviles.
A.6.2.2 - Teletrabajo: Se deben implementar una política y unas medidas de
seguridad de soporte, para proteger la información a la que se tiene acceso,
que es, procesada o almacenada en los lugares en los que se realiza teletrabajo.
A.7.1.1 - Selección: Las verificaciones de los antecedentes de todos los
candidatos a un empleo se deben llevar a cabo de acuerdo con las leyes,
reglamentaciones y ética pertinentes, y deben ser proporcionales a los requisitos
de negocio, a la clasificación de la información a que se va a tener acceso, y a
los riesgos percibidos.
A.7.1.2 - Términos y condiciones del empleo: Los acuerdos contractuales con
empleados y contratistas deben establecer sus responsabilidades y las de la
organización en cuanto a la seguridad de la información.
A.7.2.1 - Responsabilidades de la dirección: La dirección debe exigir a todos
los empleados y contratistas la aplicación de la seguridad de la información de
acuerdo con las políticas y procedimientos establecidos por la organización.
A.7.2.2 - Toma de conciencia, educación y formación en la seguridad de la
información: Todos los empleados de la organización, y en donde sea pertinente,
los contratistas, deben recibir la educación y la formación en toma de conciencia
apropiada, y actualizaciones regulares sobre las políticas y procedimientos de la
organización pertinentes para su cargo.
A.7.2.3 - Proceso disciplinario: Se debe contar con un proceso formal, el cual
debe ser comunicado, para emprender acciones contra empleados que hayan
cometido una violación a la seguridad de la información.
A.7.3.1 - Terminación o cambio de responsabilidades de empleo: Las
responsabilidades y los deberes de seguridad de la información que permanecen
validos después de la terminación o cambio de empleo se deben definir,
comunicar al empleado o contratista y se deben hacer cumplir
A.8.1.1 - Inventario de activos: Se deben identificar los activos asociados
con información e instalaciones de procesamiento de información, y se debe
elaborar y mantener un inventario de estos activos.
A.8.1.2 - Propiedad de los activos: Los activos mantenidos en el inventario
deben tener un propietario.
A.8.1.3 - Uso aceptable de los activos: Se deben identificar, documentar e
implementar reglas para el uso aceptable de información y de activos asociados
con información e instalaciones de procesamiento de información.
A.8.1.4 - Devolución de activos: Todos los empleados y usuarios de partes
externas deben devolver todos los activos de la organización que se encuentren
a su cargo, al terminar su empleo, contrato o acuerdo.
A.8.2.1 - Clasificación de la información: La información se debe clasificar en
función de los requisitos legales, valor, criticidad y susceptibilidad a divulgación
o a modificación no autorizada.
A.8.2.2 - Etiquetado de la información: Se debe desarrollar e implementar un
conjunto adecuado de procedimientos para el etiquetado de la información,
de acuerdo con el esquema de clasificación de información adoptado por la
organización.
A.8.2.3 - Manejo de activos: Se deben desarrollar e implementar procedimientos
para el manejo de activos, de acuerdo con el esquema de clasificación de
información adoptado por la organización.
A.8.3.1 - Gestión de medios removibles: Se deben implementar procedimientos
para la gestión de medios removibles, de acuerdo con el esquema de clasificación
adoptado por la organización.
A.8.3.2 - Disposición de los medios: Se debe disponer en forma segura de los
medios cuando ya no se requieran, utilizando procedimientos formales.
A.8.3.3 - Transferencia de medios físicos: Los medios que contienen información
se deben proteger contra acceso no autorizado, uso indebido o corrupción
durante el transporte.
A.9.1.1 - Política de control de acceso: Se debe establecer, documentar y revisar una política de control de acce
con base en los requisitos del negocio y de seguridad de la información.
A.9.1.2 - Acceso a redes y a servicios en red: Solo se debe permitir acceso de
los usuarios a la red, y a los servicios de red para los que hayan sido autorizados
específicamente.
A.9.2.1 - Registro y cancelación del registro de usuarios: Se debe implementar
un proceso formal de registro y de cancelación de registro de usuarios, para posibilitar la asignación de los derech
de acceso.
A.9.2.2 - Suministro de acceso de usuarios: Se debe implementar un proceso de
suministro de acceso formal de usuarios para asignar o revocar los derechos de
acceso para todo tipo de usuarios para todos los sistemas y servicios.
A.9.2.3 - Gestión de derechos de acceso privilegiado: Se debe restringir y
controlar la asignación y uso de derechos de acceso privilegiado.
A.9.2.4 - Gestión de información de autenticación secreta de usuarios: La
asignación de información de autenticación secreta se debe controlar por
medio de un proceso de gestión formal.
A.9.2.5 - Revisión de los derechos de acceso de usuarios: Los propietarios de
los activos deben revisar los derechos de acceso de los usuarios, a intervalos
regulares.
A.9.2.6 - Retiro o ajuste de los derechos de acceso: Los derechos de acceso de
todos los empleados y de usuarios externos a la información y a las instalaciones
de procesamientos de información se deben retirar al terminar su empleo,
contrato o acuerdo, o se deben ajustar cuando se hagan cambios.
A.9.3.1 - Uso de información de autenticación secreta: Se debe exigir a los
usuarios que cumplan las practicas de la organización para el uso de información
de autenticación secreta.
A.9.4.1 - Restricción de acceso a la información: El acceso a la información y a
las funciones de los sistemas de las aplicaciones se debe restringir de acuerdo
con la política de control de acceso.
A.9.4.2 - Procedimiento de ingreso seguro: Cuando lo requiere la política
de control de acceso, el acceso a sistemas y aplicaciones se debe controlar
mediante un proceso de ingreso seguro.
A.9.4.3 - Sistemas de gestión de contraseñas: Los sistemas de gestión de
contraseñas deben ser interactivos y deben asegurar la calidad de las contraseñas.
A.9.4.4 - Uso de programas utilitarios privilegiados: Se debe restringir y controlar
estrictamente el uso de programas utilitarios que podrían tener la capacidad de
anular el sistema y los controles de las aplicaciones.
A.9.4.5 - Control de acceso a códigos fuente de programas: Se debe restringir
el acceso a los códigos fuente de los programas.
A.10.1.1 - Política sobre el uso de controles criptográficos: Se debe desarrollar
e implementar una política sobre el uso de controles criptográficos para la
protección de la información.
A.10.1.2 - Gestión de llaves: Se debe desarrollar el implementar un política
sobre el uso, protección y tiempo de vida de las llaves criptográficas, durante
todo su ciclo de vida.
A.11.1.1 - Perímetro de seguridad física: Se deben definir y usar perímetros de
seguridad, y usarlos para proteger áreas que contengan información confidencial
o critica, e instalaciones de manejo de información.
A.11.1.2 - Controles de acceso físicos: Las áreas seguras se deben proteger
mediante controles de acceso apropiados para asegurar que solo se permite el
acceso a personal autorizado.
A.11.1.3 - Seguridad de oficinas, recintos e instalaciones: Se debe diseñar y
aplicar seguridad física a oficinas, recintos e instalaciones.
A.11.1.4 - Protección contra amenazas externas y ambientales: Se debe diseñar
y aplicar protección física contra desastres naturales, ataques maliciosos o
accidentales.
A.11.1.5 - Trabajo en áreas seguras: Se deben diseñar y aplicar procedimientos
para trabajo en áreas seguras.
A.11.1.6 - Áreas de despacho y carga: Se deben controlar los puntos de
acceso tales como áreas de despacho y de carga y otros puntos donde pueden
entrar personas no autorizadas, y si es posible, aislarlos de las instalaciones de
procesamiento de información para evitar el acceso no autorizado.
A.11.2.1 - Ubicación y protección de los equipos: Los equipos deben estar
ubicados y protegidos para reducir los riesgos de amenazas y peligros del
entorno, y las posibilidades de acceso no autorizado.
A.11.2.2 - Servicios de suministros: Los equipos se deben proteger contra
fallas de energía y otras interrupciones causadas por fallas en los servicios de
suministro.
A.11.2.3 - Seguridad del cableado: El cableado de energía eléctrica y de
telecomunicaciones que porta datos o brinda soporte a los servicios de
información se debe proteger contra interceptación, interferencia o daño.
A.11.2.4 - Mantenimiento de equipos: Los equipos se deben mantener
correctamente para asegurar su disponibilidad e integridad continuas.
A.11.2.5 - Retiro de activos: Los equipos, información o software no se deben
retirar de su sitio sin autorización previa.
A.11.2.6 - Seguridad de equipos y activos fuera de las instalaciones: Se deben
aplicar medidas de seguridad a los activos que se encuentren fuera de las
instalaciones de la organización, teniendo en cuenta los diferentes riesgos de
trabajar fuera de dichas instalaciones.
A.11.2.7 - Disposición segura o reutilización de equipos: Se deben verificar
todos los elementos de equipos que contengan medios de almacenamiento
para asegurar que cualquier dato confidencial o software licenciado haya sido
retirado o sobrescrito en forma segura antes de su disposición o reuso.
A.11.2.8 - Equipos de usuario desatendido: Los usuarios deben asegurarse de
que a los equipos desatendidos se les da protección apropiada.
A.11.2.9 - Política de escritorio limpio y pantalla limpia: Se debe adoptar una
política de escritorio limpio para los papeles y medios de almacenamiento
removibles, y una política de pantalla limpia en las instalaciones de procesamiento
de información.
A.12.1.1 - Procedimientos de operación documentados: Los procedimientos de
operación se deben documentar y poner a disposición de todos los usuarios
que los necesitan.
A.12.1.2 - Gestión de cambios: Se deben controlar los cambios en la
organización, en los procesos de negocio, en las instalaciones y en los sistemas
de procesamiento de información que afectan la seguridad de la información.
A.12.1.3 - Gestión de capacidad: Se debe hacer seguimiento al uso de recursos,
hacer los ajustes, y hacer proyecciones de los requisitos de capacidad futura,
para asegurar el desempeño requerido del sistema.
A.12.1.4 - Separación de los ambientes de desarrollo, pruebas y operación: Se
deben separar los ambientes de desarrollo, prueba y operación, para reducir los
riesgos de acceso o cambios no autorizados al ambiente de operación.
A.12.2.1 - Controles contra códigos maliciosos: Se deben implementar controles
de detección, de prevención y de recuperación, combinados con la toma de
conciencia apropiada de los usuarios, para proteger contra códigos maliciosos.
A.12.3.1 - Respaldo de la información: Se deben hacer copias de respaldo
de la información, software e imágenes de los sistemas, y ponerlas a prueba
regularmente de acuerdo con una política de copias de respaldo acordadas.
A.12.4.1 - Registro de eventos: Se deben elaborar, conservar y revisar
regularmente los registros acerca de actividades del usuario, excepciones, fallas
y eventos de seguridad de la información.
A.12.4.2 - Protección de la información de registro: Las instalaciones y la
información de registro se deben proteger contra alteración y acceso no
autorizado.
A.12.4.3 - Registros del administrador y del operador: Las actividades del
administrador y del operador del sistema se deben registrar, y los registros se
deben proteger y revisar con regularidad.
A.12.4.4 - Sincronización de relojes: Los relojes de todos los sistemas de
procesamiento de información pertinentes dentro de una organización o
ámbito de seguridad se deben sincronizar con una única fuente de referencia
de tiempo.
A.12.5.1 - Instalación de software en sistemas operativos: Se deben implementar
procedimientos para controlar la instalación de software en sistemas operativos.
A.12.6.1 - Gestión de las vulnerabilidades técnicas: Se debe obtener
oportunamente información acerca de las vulnerabilidades técnicas de los
sistemas de información que se usen; evaluar la exposición de la organización
a estas vulnerabilidades, y tomar las medidas apropiadas para tratar el riesgo
asociado.
A.12.6.2 - Restricciones sobre la instalación de software: Se debe establecer e
implementar las reglas para la instalación de software por parte de los usuarios.
A.12.7.1 - Controles de auditorías de sistemas de información: Los requisitos y
actividades de auditoría que involucran la verificación de los sistemas operativos
se deben planificar y acordar cuidadosamente para minimizar las interrupciones
en los procesos del negocio.
A.13.1.1 - Controles de redes: Las redes se deben gestionar y controlar para
proteger la información en sistemas y aplicaciones.
A.13.1.2 - Seguridad de los servicios de red: Se deben identificar los mecanismos
de seguridad, los niveles de servicio y los requisitos de gestión de todos los
servicios de red, e incluirlos en los acuerdos de servicio de red, ya sea que los
servicios se presten internamente o se contraten externamente.
A.13.1.3 - Separación en las redes: Los grupos de servicios de información,
usuarios y sistemas de información se deben separar en las redes.
A.13.2.1 - Políticas y procedimientos de transferencia de información: Se debe
contar con políticas, procedimientos y controles de transferencia formales
para proteger la transferencia de información mediante el uso de todo tipo de
instalaciones de comunicaciones.
A.13.2.2 - Acuerdos de confidencialidad o de no divulgación: Los acuerdos deben
tratar la transferencia segura de información del negocio entre la organización
y las partes externas.
A.13.2.3 - Mensajería electrónica: Se debe proteger adecuadamente la
información incluida en la mensajería electrónica.
A.13.2.4 - Acuerdos de confidencialidad o de no divulgación: Se deben
identificar, revisar regularmente y documentar los requisitos para los acuerdos
de confidencialidad o no divulgación que reflejen las necesidades de la
organización para la protección de la información.
A.14.1.1 - Análisis y especificación de requisitos de seguridad de la información:
Los requisitos relacionados con seguridad de la información se deben incluir
en los requisitos para nuevos sistemas de información o para mejoras a los
sistemas de información existentes.
A.14.1.2 - Seguridad de servicios de las aplicaciones en redes publicas:
La información involucrada en los servicios de las aplicaciones que pasan
sobre redes publicas se debe proteger de actividades fraudulentas, disputas
contractuales y divulgación y modificación no autorizadas.
A.14.1.3 - Protección de transacciones de los servicios de las aplicaciones: La
información involucrada en las transacciones de los servicios de las aplicaciones
se debe proteger para evitar la transmisión incompleta, el enrutamiento errado,
la alteración no autorizada de mensajes, la divulgación no autorizada, y la
duplicación o reproducción de mensajes no autorizada.
A.14.2.1 - Política de desarrollo seguro: Se deben establecer y aplicar reglas
para el desarrollo de software y de sistemas, a los desarrollos dentro de la
organización.
A.14.2.2 - Procedimientos de control de cambios en sistemas: Los cambios a los
sistemas dentro del ciclo de vida de desarrollo se deben controlar mediante el
uso de procedimientos formales de control de cambios.
A.14.2.3 - Revisión técnica de las aplicaciones después de cambios en la
plataforma de operación: Cuando se cambian las plataformas de operación,
se deben revisar las aplicaciones criticas del negocio, y someter a prueba para
asegurar que no haya impacto adverso en las operaciones o seguridad de la
organización.
A.14.2.4 - Restricciones en los cambios a los paquetes de software: Se deben
desalentar las modificaciones a los paquetes de software, los cuales se deben
limitar a los cambios necesarios, y todos los cambios se deben controlar
estrictamente.
A.14.2.5 - Principios de construcción de los sistemas seguros: Se deben
establecer, documentar y mantener principios para la construcción de sistemas
seguros, y aplicarlos a cualquier actividad de implementación de sistemas de
información.
A.14.2.6 - Ambiente de desarrollo seguro: Las organizaciones deben establecer
y proteger adecuadamente los ambientes de desarrollo seguros para las
actividades de desarrollo e integración de sistemas que comprendan todo el
ciclo de vida de desarrollo de sistemas.
A.14.2.7 - Desarrollo contratado externamente: La organización debe supervisar
y hacer seguimiento de la actividad de desarrollo de sistemas contratados
externamente.
A.14.2.8 - Pruebas de seguridad de sistemas: Durante el desarrollo se deben
llevar a cabo pruebas de funcionalidad de la seguridad.
A.14.2.9 - Pruebas de aceptación de sistemas: Para los sistemas de información
nuevos, actualizaciones y nuevas versiones, se deben establecer programas de
prueba para aceptación y criterios de aceptación relacionados.
A.14.3.1 - Protección de datos de prueba: Los datos de prueba se deben
seleccionar, proteger y controlar cuidadosamente.
A.15.1.1 - Política de seguridad de la información para las relaciones con
proveedores: Los requisitos de seguridad de la información para mitigar los
riesgos asociados con el acceso de proveedores a los activos de la organización
se deben acordar con estos y se deben documentar.
A.15.1.2 - Tratamiento de la seguridad dentro de los acuerdos con proveedores:
Se deben establecer y acordar todos los requisitos de seguridad de la
información pertinentes con cada proveedor que pueda tener acceso, procesar,
almacenar, comunicar o suministrar componentes de infraestructura de TI para
la información de la organización.
A.15.1.3 - Cadena de suministro de tecnología de información y comunicación:
Los acuerdos con proveedores deben incluir requisitos para tratar los riesgos de
seguridad de la información asociados con la cadena de suministro de productos
y servicios de tecnología de información y comunicación.
A.15.2.1 - Seguimiento y revisión de los servicios de los proveedores: Las
organizaciones deben hacer seguimiento, revisar y auditar con regularidad la
prestación de servicios de los proveedores.
A.15.2.2 - Gestión de cambios en los servicios de los proveedores: Se deben
gestionar los cambios en el suministro de servicios por parte de los proveedores,
incluido el mantenimiento y la mejora de las políticas, procedimientos y controles
de seguridad de la información existentes, teniendo en cuenta la criticidad de
la información, sistemas y procesos del negocio involucrados, y la reevaluación
de los riesgos.
A.16.1.1 - Responsabilidades y procedimientos: Se deben establecer las
responsabilidades y procedimientos de gestión para asegurar una respuesta
rápida, eficaz y ordenada a los incidentes de seguridad de la información.
A.16.1.2 - Reporte de eventos de seguridad de la información; Los eventos
de seguridad de la información se deben informar a través de los canales de
gestión apropiados, tan pronto como sea posible.
A.16.1.3 - Reporte de debilidades de seguridad de la información: Se debe
exigir a todos los empleados y contratistas que usan los servicios y sistemas de
información de la organización, que observen y reporten cualquier debilidad de
seguridad de la información observada o sospechada en los sistemas o servicios.
A.16.1.4 - Evaluación de eventos de seguridad de la información y decisiones
sobre ellos: Los eventos de seguridad de la información se deben evaluar y se
debe decidir si se van a clasificar como incidentes de seguridad de la información.
A.16.1.5 - Respuesta a incidentes de seguridad de la información: Se debe
dar respuesta a los incidentes de seguridad de la información de acuerdo con
procedimientos documentados.
A.16.1.6 - Aprendizaje obtenido de los incidentes de seguridad de la información:
El conocimiento adquirido al analizar y resolver incidentes de seguridad de la
información se debe usar para reducir la posibilidad o el impacto de incidentes
futuros.
A.16.1.7 - Recolección de evidencia: La organización debe definir y aplicar
procedimientos para la identificación, recolección, adquisición y preservación
de información que pueda servir como evidencia.
A.17.1.1 - Planificación de la continuidad de la seguridad de la información: La
organización debe determinar sus requisitos para la seguridad de la información
y la continuidad de la gestión de la seguridad de la información en situaciones
adversas, por ejemplo, durante una crisis o desastre.
A.17.1.2 - Implementación de la continuidad de la seguridad de la información:
La organización debe establecer, documentar, implementar y mantener
procesos, procedimientos y controles para asegurar el nivel de continuidad
requerido para la seguridad de la información durante una situación adversa.
A.17.1.3 - Verificación, revisión y evaluación de la continuidad de la seguridad
de la información.
A.17.2.1 - Disponibilidad de instalaciones de procesamiento de información:
Las instalaciones de procesamiento de información se deben implementar con
redundancia suficiente para cumplir los requisitos de disponibilidad.
A.18.1.1 - Identificación de la legislación aplicable y de los requisitos
contractuales: Todos los requisitos estatutarios, reglamentarios y contractuales
pertinentes y el enfoque d e la organización para cumplirlos, se deben identificar
y documentar explícitamente, y mantenerlos actualizados para cada sistema de
información y para la organización.
A.18.1.2 - Derechos de propiedad intelectual: Se deben implementar
procedimientos apropiados para asegurar el cumplimiento de los requisitos
legislativos, de reglamentación y contractuales relacionados con los derechos
de propiedad intelectual y el uso de productos de software patentados.
A.18.1.3 - Protección de registros: Los registros se deben proteger contra perdida,
destrucción, falsificación, acceso no autorizado y liberación no autorizada, de
acuerdo con los requisitos legislativos, de reglamentación, contractuales y de
negocio.
A.18.1.4 - Privacidad y protección de información de datos personales: Se deben
asegurar la privacidad y la protección de la información de datos personales,
como se exige en la legislación y la reglamentación pertinentes, cuando sea
aplicable.
A.18.1.5 - Reglamentación de controles criptográficos: Se deben usar
controles criptográficos, en cumplimiento de todos los acuerdos, legislación y
reglamentación pertinentes.
A.18.2.1 - Revisión independiente de la seguridad de la información: El enfoque
de la organización para la gestión de la seguridad de la información y su
implementación (es decir, los objetivos de control, los controles, las políticas,
los procesos y los procedimientos para seguridad de la información) se deben
revisar independientemente a intervalos planificados o cuando ocurran cambios
significativos.
A.18.2.2 - Cumplimiento con las políticas y normas de seguridad: Los
directores deben revisar con regularidad el cumplimiento del procesamiento
y procedimientos de información dentro de su área de responsabilidad, con
las políticas y normas de seguridad apropiadas, y cualquier otro requisito de
seguridad.
A.18.2.3 - Revisión del cumplimiento técnico: Los sistemas de información se
deben revisar periódicamente para determinar el cumplimiento con las políticas
y normas de seguridad de la información
ISO/IEC 27002:2022
ISO 27002:2013
Controles organizacionales
5.1 5.1.1 - 5.1.2
5.2 6.1.1
5.3 6.1.2
5.4 7.2.1
5.5 6.1.3
5.6 6.1.4
5.7 Nuevo
5.8 6.1.5 - 14.1.1
5.9 8.1.1 - 8.1.2
5.10 8.1.3 - 8.2.3
5.11 8.1.4
5.12 8.2.1
5.13 8.2.2
5.14 13.2.1, 13.2.2 - 13.2.3
5.15 9.1.1 - 9.1.2
5.16 9.2.1
5.17 9.2.4 - 9.3.1 - 9.4.3
5.18 9.2.2 - 9.2.5 - 9.2.6
5.19 15.1.1
5.20 15.1.2
5.21 15.1.3
5.22 15.2.1 - 15.2.2
5.23 Nuevo
5.24 16.1.1
5.25 16.1.4
5.26 16.1.5
5.27 16.1.6
5.28 16.1.7
5.29 17.1.1 - 17.1.2 - 17.1.3
5.30 Nuevo
5.31 18.1.1 - 18.1.5
5.32 18.1.2
5.33 18.1.3
5.34 18.1.4
5.35 18.2.1
5.36 18.2.2 - 18.2.3
5.37 12.1.1
Controles de personas
6.1 7.1.1
6.2 7.1.2
6.3 7.2.2
6.4 7.2.3
6.5 7.3.1
6.6 13.2.4
6.7 6.2.2
6.8 16.1.2 - 16.1.3
Controles físicos
7.1 11.1.1
7.2 11.1.2 - 11.1.6
7.3 11.1.3
7.4 Nuevo
7.5 11.1.4
7.6 11.1.5
7.7 11.2.9
7.8 11.2.1
7.9 11.2.6
7.10 8.3.1 - 8.3.2 - 8.3.3 - 11.2.5
7.11 11.2.2
7.12 11.2.3
7.13 11.2.4
7.14 11.2.7
Controles tecnológicos
8.1 6.2.1 - 11.2.8
8.2 9.2.3
8.3 9.4.1
8.4 9.4.5
8.5 9.4.2
8.6 12.1.3
8.7 12.2.1
8.8 12.6.1 - 18.2.3
8.9 Nuevo
8.10 Nuevo
8.11 Nuevo
8.12 Nuevo
8.13 12.3.1
8.14 17.2.1
8.15 12.4.1 - 12.4.2 - 12.4.3
8.16 Nuevo
8.17 12.4.4
8.18 9.4.4
8.19 12.5.1 - 12.6.2
8.20 13.1.1
8.21 13.1.2
8.22 13.1.3
8.23 Nuevo
8.24 10.1.1 - 10.1.2
8.25 14.2.1
8.26 14.1.2 - 14.1.3
8.27 14.2.5
8.28 Nuevo
8.29 14.2.8 - 14.2.9
8.30 14.2.7
8.31 12.1.4 - 14.2.6
8.32 12.1.2 - 14.2.2 - 14.2.3 - 14.2.4
8.33 14.3.1
8.34 12.7.1
 ISO 27002:2013
Politicas de seguridad de la información
Roles y responsabilidades de seguridad de la información
Segregación de funciones
Responsabilidades de la dirección
Contacto con las autoridades
Contacto con grupos de interés especial
Inteligencia de amenazas
Seguridad de la información en la gestión de proyectos
Inventario de información y otros activos asociados
Uso aceptable de la información y otros activos asociados
Devolución de bienes
Clasificación de la información
Etiquetado de la información
Transferencia de la información
Control de acceso
Gestión de identidad
Información de autenticación
Derechos de acceso
Seguridad de la información en las relaciones con los proveedores
Abordar la Seguridad de la información en los acuerdos con proveedores
Gestión de Seguridad de la información en la cadena de suministros de las TIC
Seguimiento, revisión y gestión de cambios de servicios de proveedores
Seguridad de la información para el uso de servicios en la nube
Planificación y preparación de la gestión de incidentes de seguridad de la información
Evaluación y decisión sobre eventos de seguridad de la información
Respuesta a incidentes de Seguridad de la información
Aprendiendo de los incidentes de Seguridad de la información
Recopilación de pruebas
Seguridad de la información durante la interrupción
Preparación de las TIC para la continuidad del negocio
Requisitos legales, estatutarios, reglamentarios y contractuales
Derechos de propiedad intelectual
Protección de registros
Privacidad y protección de PII
Revisión independiente de la seguridad de la información
Cumplimiento de políticas, normas y estándares de seguridad de la información
Procedimientos operativos documentados

Poner en Pantalla
Términos y condiciones de empleo
Concientización, educación y capacitación en seguridad de la información
Proceso disciplinario
Responsabilidades después de la terminación o cambio de empleo
Acuerdos de confidencialidad o no divulgación
Trabajo a distancia
Reporte de eventos de seguridad de la información

Perímetros de seguridad física

Entrada física
Aseguramiento de oficinas, salas e instalaciones
Supervisión de la seguridad física
Protección contra amenazas físicas y ambientales
Trabajar en áreas seguras
Escritorio despejado y pantalla despejada
Ubicación y protección del equipo
Seguridad de los activos fuera de las instalaciones
Medios de almacenamiento
Utilidades de apoyo
Seguridad del cableado
Mantenimiento de equipos
Eliminación segura o reutilización de equipos

Dispositivos de punto final de usuario

Derechos de acceso privilegiado
Restricción de acceso a la información
Acceso al código fuente
Autenticación segura
Gestión de la capacidad
Protección contra malware
Gestión de vulnerabilidades técnicas
Gestión de la configuración
Eliminación de información
Enmascaramiento de datos
Prevención de fuga de datos
Copia de seguridad de la información
Redundancia de las instalaciones de procesamiento de información
Registro
Actividades de seguimiento
Sincronización del reloj
Uso de programas utilidad privilegiados
Instalación de software en sistemas operativos
Seguridad de redes
Seguridad de los servicios de redes
Segregación de redes
Filtrado web
Uso de criptografía
Ciclo de vida de desarrollo seguro
Requisitos de seguridad de la aplicación
Arquitectura del sistema seguro y principios de ingeniería
Codificación segura
Pruebas de seguridad en desarrollo y aceptación
Desarrollo subcontratado
Separación de los entornos de desarrollo, prueba y producción
Gestión de cambios
Información de prueba
Protección de los sistemas de información durante las pruebas de auditoria
 ISO/IEC 27002:2013
A.5.1.1 - Políticas para la seguridad de la información: Se debe definir un conjunto
de políticas para la seguridad de la información, aprobada por la dirección, publicada y
comunicada a los empleados y a las partes externas pertinentes.
A.5.1.2 - Revisión de las políticas para la seguridad de la información: Las políticas
para la seguridad de la información se deben revisar a intervalos planificados, o si
ocurren cambios significativos, para asegurar su conveniencia, adecuación y eficacia
continúas.

A.6.1.1 - Roles y responsabilidades para la seguridad de la información: Se deben

definir y asignar todas las responsabilidades de la seguridad de la información.

A.6.1.2 - Separación de deberes: Los deberes y áreas de responsabilidad en

conflicto se deben separar para reducir las posibilidades de modificación no
autorizada o no intencional, o el uso indebido de los activos de la organización.
A.6.1.3 - Contacto con las autoridades: Se debe mantener contactos apropiados
con las autoridades pertinentes.
A.6.1.4 - Contacto con grupos de interés especial: Se debe mantener contactos
apropiados con grupos de interés especial u otros foros y asociaciones
profesionales especializadas en seguridad.
A.6.1.5 - Seguridad de la información en la gestión de proyectos: La seguridad de la
información se debe tratar en la gestión de proyectos, independientemente del tipo de
proyecto.
A.6.2.1 - Política para dispositivos móviles: Se deben adoptar un política y unas
medidas de seguridad de soporte, para gestionar los riesgos introducidos por el
uso de dispositivos móviles.
A.6.2.2 - Teletrabajo: Se deben implementar una política y unas medidas de
seguridad de soporte, para proteger la información a la que se tiene acceso,
que es, procesada o almacenada en los lugares en los que se realiza teletrabajo.
A.7.1.1 - Selección: Las verificaciones de los antecedentes de todos los
candidatos a un empleo se deben llevar a cabo de acuerdo con las leyes,
reglamentaciones y ética pertinentes, y deben ser proporcionales a los requisitos
de negocio, a la clasificación de la información a que se va a tener acceso, y a
los riesgos percibidos.
A.7.1.2 - Terminos y condiciones del empleo: Los acuerdos contractuales con
empleados y contratistas deben establecer sus responsabilidades y las de la
organización en cuanto a la seguridad de la información.
A.7.2.1 - Responsabilidades de la dirección: La dirección debe exigir a todos
los empleados y contratistas la aplicación de la seguridad de la información de
acuerdo con las políticas y procedimientos establecidos por la organización.
A.7.2.2 - Toma de conciencia, educación y formación en la seguridad de la
información: Todos los empleados de la organización, y en donde sea pertinente,
los contratistas, deben recibir la educación y la formación en toma de conciencia
apropiada, y actualizaciones regulares sobre las políticas y procedimientos de la
organización pertinentes para su cargo.
A.7.2.3 - Proceso disciplinario: Se debe contar con un proceso formal, el cual
debe ser comunicado, para emprender acciones contra empleados que hayan
cometido una violación a la seguridad de la información.
A.7.3.1 - Terminación o cambio de responsabilidades de empleo: Las
responsabilidades y los deberes de seguridad de la información que permanecen
validos después de la terminación o cambio de empleo se deben definir,
comunicar al empleado o contratista y se deben hacer cumplir
A.8.1.1 - Inventario de activos: Se deben identificar los activos asociados
con información e instalaciones de procesamiento de información, y se debe
elaborar y mantener un inventario de estos activos.
A.8.1.2 - Propiedad de los activos: Los activos mantenidos en el inventario
deben tener un propietario.
A.8.1.3 - Uso aceptable de los activos: Se deben identificar, documentar e
implementar reglas para el uso aceptable de información y de activos asociados
con información e instalaciones de procesamiento de información.
A.8.1.4 - Devolución de activos: Todos los empleados y usuarios de partes
externas deben devolver todos los activos de la organización que se encuentren
a su cargo, al terminar su empleo, contrato o acuerdo.
A.8.2.1 - Clasificación de la información: La información se debe clasificar en
función de los requisitos legales, valor, criticidad y susceptibilidad a divulgación
o a modificación no autorizada.
A.8.2.2 - Etiquetado de la información: Se debe desarrollar e implementar un
conjunto adecuado de procedimientos para el etiquetado de la información,
de acuerdo con el esquema de clasificación de información adoptado por la
organización.
A.8.2.3 - Manejo de activos: Se deben desarrollar e implementar procedimientos
para el manejo de activos, de acuerdo con el esquema de clasificación de
información adoptado por la organización.
A.8.3.1 - Gestión de medios removibles: Se deben implementar procedimientos
para la gestión de medios removibles, de acuerdo con el esquema de clasificación
adoptado por la organización.
A.8.3.2 - Disposición de los medios: Se debe disponer en forma segura de los
medios cuando ya no se requieran, utilizando procedimientos formales.
A.8.3.3 - Transferencia de medios físicos: Los medios que contienen información
se deben proteger contra acceso no autorizado, uso indebido o corrupción
durante el transporte.
A.9.1.1 - Política de control de acceso: Se debe establecer, documentar y revisar una
política de control de acceso con base en los requisitos del negocio y de seguridad de la
información.
A.9.1.2 - Acceso a redes y a servicios en red: Solo se debe permitir acceso de
los usuarios a la red, y a los servicios de red para los que hayan sido autorizados
específicamente.
A.9.2.1 - Registro y cancelación del registro de usuarios: Se debe implementar
un proceso formal de registro y de cancelación de registro de usuarios, para posibilitar
la asignación de los derechos de acceso.
A.9.2.2 - Suministro de acceso de usuarios: Se debe implementar un proceso de
suministro de acceso formal de usuarios para asignar o revocar los derechos de
acceso para todo tipo de usuarios para todos los sistemas y servicios.
A.9.2.3 - Gestión de derechos de acceso privilegiado: Se debe restringir y
controlar la asignación y uso de derechos de acceso privilegiado.
A.9.2.4 - Gestión de información de autenticación secreta de usuarios: La
asignación de información de autenticación secreta se debe controlar por
medio de un proceso de gestión formal.
A.9.2.5 - Revisión de los derechos de acceso de usuarios: Los propietarios de
los activos deben revisar los derechos de acceso de los usuarios, a intervalos
regulares.
A.9.2.6 - Retiro o ajuste de los derechos de acceso: Los derechos de acceso de
todos los empleados y de usuarios externos a la información y a las instalaciones
de procesamientos de información se deben retirar al terminar su empleo,
contrato o acuerdo, o se deben ajustar cuando se hagan cambios.
A.9.3.1 - Uso de información de autenticación secreta: Se debe exigir a los
usuarios que cumplan las practicas de la organización para el uso de información
de autenticación secreta.
A.9.4.1 - Restricción de acceso a la información: El acceso a la información y a
las funciones de los sistemas de las aplicaciones se debe restringir de acuerdo
con la política de control de acceso.
A.9.4.2 - Procedimiento de ingreso seguro: Cuando lo requiere la política
de control de acceso, el acceso a sistemas y aplicaciones se debe controlar
mediante un proceso de ingreso seguro.
A.9.4.3 - Sistemas de gestión de contraseñas: Los sistemas de gestión de
contraseñas deben ser interactivos y deben asegurar la calidad de las contraseñas.

A.9.4.4 - Uso de programas utilitarios privilegiados: Se debe restringir y controlar

estrictamente el uso de programas utilitarios que podrían tener la capacidad de
anular el sistema y los controles de las aplicaciones.

A.9.4.5 - Control de acceso a códigos fuente de programas: Se debe restringir

el acceso a los códigos fuente de los programas.
A.10.1.1 - Política sobre el uso de controles criptográficos: Se debe desarrollar
e implementar una política sobre el uso de controles criptográficos para la
protección de la información.
A.10.1.2 - Gestión de llaves: Se debe desarrollar el implementar un política
sobre el uso, protección y tiempo de vida de las llaves criptográficas, durante
todo su ciclo de vida.
A.11.1.1 - Perímetro de seguridad física: Se deben definir y usar perímetros de
seguridad, y usarlos para proteger áreas que contengan información confidencial
o critica, e instalaciones de manejo de información.
A.11.1.2 - Controles de acceso físicos: Las áreas seguras se deben proteger
mediante controles de acceso apropiados para asegurar que solo se permite el
acceso a personal autorizado.
A.11.1.3 - Seguridad de oficinas, recintos e instalaciones: Se debe diseñar y
aplicar seguridad física a oficinas, recintos e instalaciones.

A.11.1.4 - Protección contra amenazas externas y ambientales: Se debe diseñar

y aplicar protección física contra desastres naturales, ataques maliciosos o
accidentales.

A.11.1.5 - Trabajo en áreas seguras: Se deben diseñar y aplicar procedimientos

para trabajo en áreas seguras.
A.11.1.6 - Áreas de despacho y carga: Se deben controlar los puntos de
acceso tales como áreas de despacho y de carga y otros puntos donde pueden
entrar personas no autorizadas, y si es posible, aislarlos de las instalaciones de
procesamiento de información para evitar el acceso no autorizado.
A.11.2.1 - Ubicación y protección de los equipos: Los equipos deben estar
ubicados y protegidos para reducir los riesgos de amenazas y peligros del
entorno, y las posibilidades de acceso no autorizado.
A.11.2.2 - Servicios de suministros: Los equipos se deben proteger contra
fallas de energía y otras interrupciones causadas por fallas en los servicios de
suministro.
A.11.2.3 - Seguridad del cableado: El cableado de energía eléctrica y de
telecomunicaciones que porta datos o brinda soporte a los servicios de
información se debe proteger contra interceptación, interferencia o daño.
A.11.2.4 - Mantenimiento de equipos: Los equipos se deben mantener
correctamente para asegurar su disponibilidad e integridad continuas.
A.11.2.5 - Retiro de activos: Los equipos, información o software no se deben
retirar de su sitio sin autorización previa.
A.11.2.6 - Seguridad de equipos y activos fuera de las instalaciones: Se deben
aplicar medidas de seguridad a los activos que se encuentren fuera de las
instalaciones de la organización, teniendo en cuenta los diferentes riesgos de
trabajar fuera de dichas instalaciones.
A.11.2.7 - Disposición segura o reutilización de equipos: Se deben verificar
todos los elementos de equipos que contengan medios de almacenamiento
para asegurar que cualquier dato confidencial o software licenciado haya sido
retirado o sobreescrito en forma segura antes de su disposición o reuso.
A.11.2.8 - Equipos de usuario desatendido: Los usuarios deben asegurarse de
que a los equipos desatendidos se les da protección apropiada.
A.11.2.9 - Política de escritorio limpio y pantalla limpia: Se debe adoptar una
política de escritorio limpio para los papeles y medios de almacenamiento
removibles, y una política de pantalla limpia en las instalaciones de procesamiento
de información.
A.12.1.1 - Procedimientos de operación documentados: Los procedimientos de
operación se deben documentar y poner a disposición de todos los usuarios
que los necesitan.
A.12.1.2 - Gestión de cambios: Se deben controlar los cambios en la
organización, en los procesos de negocio, en las instalaciones y en los sistemas
de procesamiento de información que afectan la seguridad de la información.
A.12.1.3 - Gestión de capacidad: Se debe hacer seguimiento al uso de recursos,
hacer los ajustes, y hacer proyecciones de los requisitos de capacidad futura,
para asegurar el desempeño requerido del sistema.
A.12.1.4 - Separación de los ambientes de desarrollo, pruebas y operación: Se
deben separar los ambientes de desarrollo, prueba y operación, para reducir los
riesgos de acceso o cambios no autorizados al ambiente de operación.
A.12.2.1 - Controles contra códigos maliciosos: Se deben implementar controles
de detección, de prevención y de recuperación, combinados con la toma de
conciencia apropiada de los usuarios, para proteger contra códigos maliciosos.
A.12.3.1 - Respaldo de la información: Se deben hacer copias de respaldo
de la información, software e imágenes de los sistemas, y ponerlas a prueba
regularmente de acuerdo con una política de copias de respaldo acordadas.
A.12.4.1 - Registro de eventos: Se deben elaborar, conservar y revisar
regularmente los registros acerca de actividades del usuario, excepciones, fallas
y eventos de seguridad de la información.
A.12.4.2 - Protección de la información de registro: Las instalaciones y la
información de registro se deben proteger contra alteración y acceso no
autorizado.
A.12.4.3 - Registros del administrador y del operador: Las actividades del
administrador y del operador del sistema se deben registrar, y los registros se
deben proteger y revisar con regularidad.
A.12.4.4 - Sincronización de relojes: Los relojes de todos los sistemas de
procesamiento de información pertinentes dentro de una organización o
ámbito de seguridad se deben sincronizar con una única fuente de referencia
de tiempo.

A.12.5.1 - Instalación de software en sistemas operativos: Se deben implementar

procedimientos para controlar la instalación de software en sistemas operativos.

A.12.6.1 - Gestión de las vulnerabilidades técnicas: Se debe obtener

oportunamente información acerca de las vulnerabilidades técnicas de los
sistemas de información que se usen; evaluar la exposición de la organización
a estas vulnerabilidades, y tomar las medidas apropiadas para tratar el riesgo
asociado.
A.12.6.2 - Restricciones sobre la instalación de software: Se debe establecer e
implementar las reglas para la instalación de software por parte de los usuarios.
A.12.7.1 - Controles de auditorías de sistemas de información: Los requisitos y
actividades de auditoría que involucran la verificación de los sistemas operativos
se deben planificar y acordar cuidadosamente para minimizar las interrupciones
en los procesos del negocio.
A.13.1.1 - Controles de redes: Las redes se deben gestionar y controlar para
proteger la información en sistemas y aplicaciones.
A.13.1.2 - Seguridad de los servicios de red: Se deben identificar los mecanismos
de seguridad, los niveles de servicio y los requisitos de gestión de todos los
servicios de red, e incluirlos en los acuerdos de servicio de red, ya sea que los
servicios se presten internamente o se contraten externamente.
A.13.1.3 - Separación en las redes: Los grupos de servicios de información,
usuarios y sistemas de información se deben separar en las redes.
A.13.2.1 - Políticas y procedimientos de transferencia de información: Se debe
contar con políticas, procedimientos y controles de transferencia formales
para proteger la transferencia de información mediante el uso de todo tipo de
instalaciones de comunicaciones.

A.13.2.2 - Acuerdos de confidencialidad o de no divulgación: Los acuerdos deben

tratar la transferencia segura de información del negocio entre la organización
y las partes externas.

A.13.2.3 - Mensajería electrónica: Se debe proteger adecuadamente la

información incluida en la mensajería electrónica.
A.13.2.4 - Acuerdos de confidencialidad o de no divulgación: Se deben
identificar, revisar regularmente y documentar los requisitos para los acuerdos
de confidencialidad o no divulgación que reflejen las necesidades de la
organización para la protección de la información.

A.14.1.1 - Análisis y especificación de requisitos de seguridad de la información:

Los requisitos relacionados con seguridad de la información se deben incluir
en los requisitos para nuevos sistemas de información o para mejoras a los
sistemas de información existentes.

A.14.1.2 - Seguridad de servicios de las aplicaciones en redes publicas:

La información involucrada en los servicios de las aplicaciones que pasan
sobre redes publicas se debe proteger de actividades fraudulentas, disputas
contractuales y divulgación y modificación no autorizadas.
A.14.1.3 - Protección de transacciones de los servicios de las aplicaciones: La
información involucrada en las transacciones de los servicios de las aplicaciones
se debe proteger para evitar la transmisión incompleta, el enrutamiento errado,
la alteración no autorizada de mensajes, la divulgación no autorizada, y la
duplicación o reproducción de mensajes no autorizada.
A.14.2.1 - Política de desarrollo seguro: Se deben establecer y aplicar reglas
para el desarrollo de software y de sistemas, a los desarrollos dentro de la
organización.

A.14.2.2 - Procedimientos de control de cambios en sistemas: Los cambios a los

sistemas dentro del ciclo de vida de desarrollo se deben controlar mediante el
uso de procedimientos formales de control de cambios.

A.14.2.3 - Revisión técnica de las aplicaciones después de cambios en la

plataforma de operación: Cuando se cambian las plataformas de operación,
se deben revisar las aplicaciones criticas del negocio, y someter a prueba para
asegurar que no haya impacto adverso en las operaciones o seguridad de la
organización.
A.14.2.4 - Restricciones en los cambios a los paquetes de software: Se deben
desalentar las modificaciones a los paquetes de software, los cuales se deben
limitar a los cambios necesarios, y todos los cambios se deben controlar
estrictamente.
A.14.2.5 - Principios de construcción de los sistemas seguros: Se deben
establecer, documentar y mantener principios para la construcción de sistemas
seguros, y aplicarlos a cualquier actividad de implementación de sistemas de
información.
A.14.2.6 - Ambiente de desarrollo seguro: Las organizaciones deben establecer
y proteger adecuadamente los ambientes de desarrollo seguros para las
actividades de desarrollo e integración de sistemas que comprendan todo el
ciclo de vida de desarrollo de sistemas.
A.14.2.7 - Desarrollo contratado externamente: La organización debe supervisar
y hacer seguimiento de la actividad de desarrollo de sistemas contratados
externamente.
A.14.2.8 - Pruebas de seguridad de sistemas: Durante el desarrollo se deben
llevar a cabo pruebas de funcionalidad de la seguridad.
A.14.2.9 - Pruebas de aceptación de sistemas: Para los sistemas de información
nuevos, actualizaciones y nuevas versiones, se deben establecer programas de
prueba para aceptación y criterios de aceptación relacionados.
A.14.3.1 - Protección de datos de prueba: Los datos de prueba se deben
seleccionar, proteger y controlar cuidadosamente.
A.15.1.1 - Política de seguridad de la información para las relaciones con
proveedores: Los requisitos de seguridad de la información para mitigar los
riesgos asociados con el acceso de proveedores a los activos de la organización
se deben acordar con estos y se deben documentar.

A.15.1.2 - Tratamiento de la seguridad dentro de los acuerdos con proveedores:

Se deben establecer y acordar todos los requisitos de seguridad de la
información pertinentes con cada proveedor que pueda tener acceso, procesar,
almacenar, comunicar o suministrar componentes de infraestructura de TI para
la información de la organización.

A.15.1.3 - Cadena de suministro de tecnología de información y comunicación:

Los acuerdos con proveedores deben incluir requisitos para tratar los riesgos de
seguridad de la información asociados con la cadena de suministro de productos
y servicios de tecnología de información y comunicación.
A.15.2.1 - Seguimiento y revisión de los servicios de los proveedores: Las
organizaciones deben hacer seguimiento, revisar y auditar con regularidad la
prestación de servicios de los proveedores.
A.15.2.2 - Gestión de cambios en los servicios de los proveedores: Se deben
gestionar los cambios en el suministro de servicios por parte de los proveedores,
incluido el mantenimiento y la mejora de las políticas, procedimientos y controles
de seguridad de la información existentes, teniendo en cuenta la criticidad de
la información, sistemas y procesos del negocio involucrados, y la reevaluación
de los riesgos.
A.16.1.1 - Responsabilidades y procedimientos: Se deben establecer las
responsabilidades y procedimientos de gestión para asegurar una respuesta
rápida, eficaz y ordenada a los incidentes de seguridad de la información.
A.16.1.2 - Reporte de eventos de seguridad de la información; Los eventos
de seguridad de la información se deben informar a través de los canales de
gestión apropiados, tan pronto como sea posible.
A.16.1.3 - Reporte de debilidades de seguridad de la información: Se debe
exigir a todos los empleados y contratistas que usan los servicios y sistemas de
información de la organización, que observen y reporten cualquier debilidad de
seguridad de la información observada o sospechada en los sistemas o servicios.
A.16.1.4 - Evaluación de eventos de seguridad de la información y decisiones
sobre ellos: Los eventos de seguridad de la información se deben evaluar y se
debe decidir si se van a clasificar como incidentes de seguridad de la información.
A.16.1.5 - Respuesta a incidentes de seguridad de la información: Se debe
dar respuesta a los incidentes de seguridad de la información de acuerdo con
procedimientos documentados.

A.16.1.6 - Aprendizaje obtenido de los incidentes de seguridad de la información:

El conocimiento adquirido al analizar y resolver incidentes de seguridad de la
información se debe usar para reducir la posibilidad o el impacto de incidentes
futuros.

A.16.1.7 - Recolección de evidencia: La organización debe definir y aplicar

procedimientos para la identificación, recolección, adquisición y preservación
de información que pueda servir como evidencia.
A.17.1.1 - Planificación de la continuidad de la seguridad de la información: La
organización debe determinar sus requisitos para la seguridad de la información
y la continuidad de la gestión de la seguridad de la información en situaciones
adversas, por ejemplo, durante una crisis o desastre.
A.17.1.2 - Implementación de la continuidad de la seguridad de la información:
La organización debe establecer, documentar, implementar y mantener
procesos, procedimientos y controles para asegurar el nivel de continuidad
requerido para la seguridad de la información durante una situación adversa.
A.17.1.3 - Verificación, revisión y evaluación de la continuidad de la seguridad
de la información.
A.17.2.1 - Disponibilidad de instalaciones de procesamiento de información:
Las instalaciones de procesamiento de información se deben implementar con
redundancia suficiente para cumplir los requisitos de disponibilidad.
A.18.1.1 - Identificación de la legislación aplicable y de los requisitos
contractuales: Todos los requisitos estatutarios, reglamentarios y contractuales
pertinentes y el enfoque d e la organización para cumplirlos, se deben identificar
y documentar explícitamente, y mantenerlos actualizados para cada sistema de
información y para la organización.
A.18.1.2 - Derechos de propiedad intelectual: Se deben implementar
procedimientos apropiados para asegurar el cumplimiento de los requisitos
legislativos, de reglamentación y contractuales relacionados con los derechos
de propiedad intelectual y el uso de productos de software patentados.

A.18.1.3 - Protección de registros: Los registros se deben proteger contra perdida,

destrucción, falsificación, acceso no autorizado y liberación no autorizada, de
acuerdo con los requisitos legislativos, de reglamentación, contractuales y de
negocio.

A.18.1.4 - Privacidad y protección de información de datos personales: Se deben

asegurar la privacidad y la protección de la información de datos personales,
como se exige en la legislación y la reglamentación pertinentes, cuando sea
aplicable.

A.18.1.5 - Reglamentación de controles criptográficos: Se deben usar

controles criptográficos, en cumplimiento de todos los acuerdos, legislación y
reglamentación pertinentes.
A.18.2.1 - Revisión independiente de la seguridad de la información: El enfoque
de la organización para la gestión de la seguridad de la información y su
implementación (es decir, los objetivos de control, los controles, las políticas,
los procesos y los procedimientos para seguridad de la información) se deben
revisar independientemente a intervalos planificados o cuando ocurran cambios
significativos.
A.18.2.2 - Cumplimiento con las políticas y normas de seguridad: Los
directores deben revisar con regularidad el cumplimiento del procesamiento
y procedimientos de información dentro de su área de responsabilidad, con
las políticas y normas de seguridad apropiadas, y cualquier otro requisito de
seguridad.
A.18.2.3 - Revisión del cumplimiento técnico: Los sistemas de información se
deben revisar periódicamente para determinar el cumplimiento con las políticas
y normas de seguridad de la información
ISO 27002:2022

5.1

5.1

5.2

5.3

5.5

5.6

5.8

8.1

6.7

6.1

6.2

5.4

6.3
6.4

6.5

5.9

5.9

5.10

5.11

5.12

5.13

5.10

7.10

7.10

7.10

5.15

5.15

5.16
5.18

8.2

5.17

5.18

5.18

5.17

8.3

8.5

5.17

8.18

8.4

8.24

8.24

7.1

7.2
7.3

7.5

7.6

7.2

7.8

7.11

7.12

7.13

7.10

7.9

7.14

8.1

7.7

5.37

8.32
8.6

8.31

8.7

8.13

8.15

8.15

8.15

8.17

8.19

8.8

8.19

8.34

8.20

8.21
8.22

5.14

5.14

5.14

6.6

5.8

8.26

8.26

8.25

8.32

8.32
8.32

8.27

8.31

8.30

8.29

8.29

8.33

5.19

5.20

5.21

5.22

5.22
5.24

6.8

6.8

5.25

5.26

5.27

5.28

5.29

5.29

5.29

8.14

5.31
 5.32

5.33

5.34

5.31

5.35

5.36

5.36 - 8.8
 Probabilidad
1 - Raro El evento puede ocurrir solo en circunstancias excepcionales.
2 - Improbable El evento puede ocurrir solo en algún momento.
3 - Posible El evento podría ocurrir en algún momento. Al menos una vez en los último
4 - Probable El evento probablemente ocurriría en la mayoría de las circunstancias.
5 - Casi Seguro Se espera que el evento ocurra en la mayoría de las circunstancias.

Impacto / Consecuencia
1 - Insignificante Si el hecho llegara a presentarse, tendría consecuencias o efectos mínimos sobr
2 - Menor Si el hecho llegara a presentarse, tendría bajo impacto o efecto sobre la entidad
3 - Dañino Si el hecho llegara a presentarse, tendría medianas consecuencias o efectos sob
4 - Severo Si el hecho llegara a presentarse, tendría altas consecuencias o efectos sobre la
5 - Critico Si el hecho llegara a presentarse, tendría desastrosas consecuencias o efectos s

Nivel de riesgo (Probabilidad x Impacto/Consecuencia)

B Zona de riesgo baja (1 - 2)
M Zona de riesgo moderada (3 - 4 - 5 - 6 - 8)
A Zona de riesgo alta (9 - 10 - 12 - 15 - 16)
E Zona de riesgo extrema (20 - 25)

TABLA DE MATRIZ DE CALIFICACION, EVALUACION Y RESPUESTA D

(MAPA DE CALOR)

*----------------------------------------- Impacto / Consecuencia -------

Insignificante (1) Menor (2)
Raro (1) B(1) B(2)
Probabilidad

Improbable (2) B(2) M(4)

Posible (3) M(3) M(6)

Probable (4) M(4) M(8)

Casi Seguro (5) M(5) A(10)

*----------------------------------------- Impacto / Consecuencia -------

Insignificante (1) Menor (2)

Casi Seguro (5)

Probable (4)
Probabilidad

Posible (3)
Probabilidad
Improbable (2)

Raro (1)
 Probabilidad
nstancias excepcionales. No se ha presentado en los últimos 3 años
momento. Al menos una vez en los últimos 3 años
mento. Al menos una vez en los últimos 2 años.
la mayoría de las circunstancias. Al menos una vez en el ultimo año
mayoría de las circunstancias. Mas de una vez al año.

mpacto / Consecuencia
dría consecuencias o efectos mínimos sobre la entidad.
dría bajo impacto o efecto sobre la entidad.
dría medianas consecuencias o efectos sobre la entidad.
dría altas consecuencias o efectos sobre la entidad.
dría desastrosas consecuencias o efectos sobre la entidad.

Estrategia (Asumir, Mitigar, Trasnferir,

o/Consecuencia)
Eliminar)
Asumir el riesgo
5 - 6 - 8) Asumir el riesgo, evaluar, reducir el riesgo.
15 - 16) Reducir el riesgo, evitar, compartir o transferir.
Reducir el riesgo, evitar, compartir o transferir.

ACION, EVALUACION Y RESPUESTA DE LOS RIESGOS

(MAPA DE CALOR)

------- Impacto / Consecuencia ----------------------------------------------*

Dañino (3) Severo (4) Critico (5)
M(3) M(4) M(5)

M(6) M(8) A(10)

A(9) 1 A(12) A(15)

A(12) A(16) E(20)

A(15) E(20) E(25)

------- Impacto / Consecuencia ----------------------------------------------*

Dañino (3) Severo (4) Critico (5)