& icontec internacional GUIA TECNICA — GTC-ISO/IEC COLOMBIANA 27002 2015-07-22 TECNOLOGIA DE LA INFORMACION. _ TECNICAS DE SEGURIDAD. CODIGO DE PRACTICA PARA CONTROLES DE SEGURIDAD DE LA INFORMACION INFORMATION TECHNOLOGY. SECURITY TECHNIQUES- CODE OF PRACTICE FOR INFORMATION SECURITY CONTROLS CORRESPONDENCIA: esta norma es idéntica por traduccién (DT) de la norma ISOEC 27002:2013 + Technical Corrigendum 1: 2014 DESCRIPTORES: seguridad de la informacién, controles de seguridad, tecnologias de la informacién, gestién de la seguridad, sistemas de gestién. Les: 35.040 ‘Edtada por el instisto Colombiano de Normas Técnicas y Gariicacon (ICONTEO) patace 14237 Bogota, D.C. = Tel (S71) 6078888 - Fax (S71) 2221435 Prohibida su reproduccin tdtads 2015-07-20PROLOGO. El Instituto Colombiano de Normas Técnicas y Certificacién, ICONTEC, es ei organismo nacional de normalizacién, segiin el Decreto 2269 de 1993. ICONTEC es una entidad de caracter privado, sin animo de lucro, cuya Misién es fundamental para brindar soporte y desarrollo al productor y proteccién al consumidor. Colabora con el sector gubernamental y apoya al sector privado del pais, para lograr ventajas competitivas en los mercados interno y externo La representacién de todos los segf jos en el proceso de Normalizacién Técnica eriodo de Consulta Publica, este ultimo Esta guia esta sui todo momento a BANCO DE OCCIDENTE BANCO GNB SUDAMERIS CENET SA, COMPENSAR CROSS BORDER TECHNOLO L ETS PACIFIC RUBIALES ETICA Y TECNOLOGIA “ug” PROJECT ADVANCED MANAGEMENTE FLUIDSIGNAL GROUP S.A. QUALTIC S.A.S. GEMAS S.A, SCHLUMBERGER GEOCONSULT CS LTDA. SERVIENTREGA GESTION & ESTRATEGIA SAS. SOCIETAL SECURITY GOVERNATI THOMAS GREG & SONS HALLIBURTON LATINOAMERICA TOP FACTORY S.A, HELM BANK COLOMBIA ‘Ademds de las anteriores, en Consulta Publica el Proyecto se puso a consideracién de las siguientes empresas: A TODA HORA S.A. ASIBANCARIA ACDECC. ATLAS TRANSVALORES ALIANZA SINERTIC BANCO DE BOGOTADE ‘AS BIA dos. ‘ON PROLOGO 1SO (Organizacién Internacional de Normalizacién) e IEC (Comisién Electrotecnica Internacional) forman el sistema especializado para la estandarizacién a nivel mundial. Los organismos nacionales que son miembros de ISO o IEC participan en el desarrollo de normas: internacionales a través de los comités técnicos establecidos por la organizacién respectiva para tratar campos particulares de la actividad técnica. Los comités técnicos de ISO e IEC colaboran en los campos de mutuo interés. Otras organizaciones internacionales, gubernamentales y no gubernamentales, en coordinacién con ISO e IEC, también participan en el trabajo. En el campo de Tecnologia de la Informacién, ISO e IEC han establecido EL comite técnico conjunto ISONEC JTC 1 Las normas intemacionales se jg de las Directivas ISO/IEC. jentos de este documento responsabilidad por la a primera edicién seemplaza la norma N 102.2007, fa cual ha sido revisada y esinGUIA TECNICA COLOMBIANA GTC-ASONEC 27002 ot 0.2 0.3 0.4 05. 06 44 42 5.4 64 6.2 CONTENIDO Pagina INTRODUCCION. ANTECEDENTES Y CONTEXTO REQUISITOS DE SEGURIDAD DE LA INFORMACION. SELECCION DE CONTROLES.. DESARROLLO DE SUS PROPIAS DIRECTRICES CONSIDERACIONES SOBRE EL CICLO DE VIDA... NORMAS RELACIONADAS .. OBJETO Y CAMPO DE APLICACION.. REFERENCIAS NORMATIVAS TERMINOS Y DEFINICIONES ESTRUCTURA DE ESTA GUIA... NUMERALES CATEGORIAS DE CONTROL. POLITICAS DE LA SEGURIDAD DE LA INE DIRECTRICES ESTABLECIDAS POR LA PARA LA SEGURIDAD DE LA INFORMACI ORGANIZACION DE LA SEGURIDAD DE LA | ORGANIZACION INTERNA. DISPOSITIVOS MOVILES Y TELETRABAJCGUIA TECNICA COLOMBIANA GTC-ASONEC 27002 gina 7A 7.2 73 8 84 82 83 ot 9.2 93 94 10. 10.4 12, 424 12.2 Pagina SEGURIDAD DEL RECURSO HUMANO...... ANTES DE ASUMIR EL EMPLEO DURANTE LA EJECUCION DEL EMPLEO CRIPTOGRAFIA, CONTROLES CRIPTOGRAFI SEGURIDAD FISICA Y DEL ENTORNO.. AREAS SEGURAS. EQuIPos.. SEGURIDAD DE LAS OPERACIONES. PROCEDIMIENTOS OPERACIONALES Y RESPONSABILIDADES.. PROTECCION CONTRA CODIGOS MALICIOSOS.....GUIA TECNICA COLOMBIANA GTC-ASONEC 27002 123 124 125 12.6 12.7 13, 13.4 13.2 44, 4144 14.2 143 15. 15.4 15.2 16. 16.4 17. Pagina COPIAS DE RESPALDO. 56 57 REGISTRO (LOOGING) Y SEGUIMIENTO CONTROL DE SOFTWARE OPERACIONAL (Control of Operational Software). 60 GESTION DE LA VULNERABILIDAD TECNICA... 61 CONSIDERACIONES SOBRE AUDITORIAS DE SISTEMAS DE INFORMACION. 64 SEGURIDAD DE LAS COMUNICACIONES 65 GESTION DE LA SEGURIDAD DE LAS REDES ... 65 TRANSFERENCIA DE INFORMACION 67 ADQUISICION, DESARROLLO Y MANTENI 74 74 75 82 83 CON LOS PROVEEDORES. 83 GESTION DE LA PRESTACION DE SERVI 87 89 DE LA INFORMACION. 89 ASPECTOS DE SEGURIDAD DE LA INF LA GESTION DE CONTINUIDAD DE NEGOCIO.GUIA TECNICA COLOMBIANA GTC-4ISO/EC 27002 Pagina 147.4 CONTINUIDAD DE SEGURIDAD DE LA INFORMACION. 47.2. REDUNDANCIAS.. 48. CUMPLIMIENTO. 48.1. CUMPLIMIENTO DE REQ! 48.2 REVISIONES DE SEG} BIBLIOGRAFIAGUIA TECNICA COLOMBIANA GTC-ISONEC 27002 — 0. INTRODUCCION 0.1 ANTECEDENTES Y CONTEXTO La presente guia esté disefiada para uso por parte de las organizaciones, como referencia para la seleccién de controtes dentro del proceso de implementacién de un Sistema de Gestion de la Seguridad de la Informacién (SGSI} con base en la NTC-ISOEC 27001", 0 como un documento guia para organizaciones que implementan controles de seguridad de la informacién comunmente aceptados. Esta guia esta prevista para uso en el desarrollo de directrices de gestion de la seguridad de Ia informacién especificas para le industria y fas organizaciones, teniendo en cuenta su(s) entomno(s) especifico(s) de riesgo de seguridad de la informacion Las organizaciones de cualquier tipo y tamatio (incluido el sector publico y privado, comercial y sin animo de lucro) recolectan, procesan, almacenan y transmiten informacion en muchas formas, que incluyen los formatos electrénico, fisico y las comunicaciones verbales (por ejemplo, conversaciones y presentaciones). El valor de Ia informacién va mas alla de las palabras escritas, niimeros e imagenes: el conocimiento, los conceptos, las ideas y las marcas son ejemplos de formas de informacion intangibles. En un mundo interconectado. fa informacién y los procesos relacionados, os sistemas, las redes y el personal involucrado en su operacién, el manejo y Ia proteccion de los activos que, como cualquier otro activo importante del negocio, son valiosos para el negocio de una organizacién, y en consecuencia ameritan 0 fequieren proteccién contra diversos peligros. Los activos son objeto de amenazas tanto deliberadas como accidentales, mientras que los procesos, sistemas, redes y personas relacionadas tienen vulnerabilidades inherentes. Los cambios en los procesos y sistemas del negocio U otros cambios externos (como nuevas leyes y reglamentos) pueden crear nuevos riesgos de seguridad de Ia informacion. Por tanto, dada la multitud de formas en las que las amenazas pueden aprovecharse de las vulnerabilidades para Perjudicar la organizacién, siempre hay presencia de riesgos de seguridad de la informacion Una seguridad de la informacion eficaz reduce estos riesgos protegiendo a la organizacién contra amenazas y vulnerabilidades, y en consecuencia reduce los impactos en sus activos. La seguridad de la informacion se logra mediante fa implementacién de un conjunto adecuado de controles, incluidas las politicas, procesos, proceditnientos, estructuras organizacionales y las funciones del software y del hardware. Es necesario establecer, implementa, hacer seguimiento, revisar y mejorar estos controles en donde sea necesario, para asegurar que se cumplen los objetivos del negocio y de seguridad especificos de la organizacién. Un SGSI como el que se especifica en la norma NTC-ISO/IEC 27001" asume una vision holistica y coordinada de los riesgos de seguridad de la informacién para implementar un conjunto amplio de controles de seguridad de la informacién bajo el marco de referencia global de un sistema de gestion coherente. Muchos sistemas de informacién no han sido disefiados para ser seguros, en el sentido de la NTC-ISO/EC 27001" y de esta guia. La seguridad que se puede lograr por medios técnicos es limitada y deberia estar apoyada en gestion y procedimientos apropiados. La identificaciénGUIA TECNICA COLOMBIANA GTC-+SONEC 27002 de los controles con los que se deberia contar requiere una planificacién cuidadosa y atencion a los detalles. Un SGSI exitoso requiere el apoyo de todos los empleados de la organizacién También requiere ta participacién de los accicnistas, proveedores u otras partes externas Tambien puede ser necesaria asesoria especializada de las partes externas. En un sentido mas general, una seguridad de la informacién eficaz también asegura a la direccién y a otras partes interesadas, que los activos de la organizacién estan razonablemente seguiros y protegidos contra dafio, y de esta manera acta como un facilitador del negocio. 0.2 REQUISITOS DE SEGURIDAD DE LA INFORMACION Es esencial que una organizacién identifique sus requisitos de seguridad, Existen tres fuentes principales de requisitos de seguridad a) riesgos se identifican dle ais Betivos, se evaliia la vulnerabilidad y la posibilidad de que ocul Abaelo potencial, b) manejo, rmacién, que una °) implementacion de es de seguridad en Sgos ayudaran a guiar y gestidn de los riesgos de ontroles seleccionados para La norma ISOMEC 27005" stion de riesgos de seguridad de la informacién, e incluye asesOte J fatamiento, aceptacién, comunicacién seguimiento y revisién de riesgo: ue 0.3. SELECCION DE CONTROLES Los controles se pueden seleccionar de esta guia o de otros grupos de control, o se pueden disefiar nuevos controles para satisfacer necesidades especificas, La seleccién de controles depende de las decisiones organizacionales basadas en los criterios para la aceptacién de riesgos, las opciones pare tratamiento de riesgos y el enfoque general para la gestién de riesgos aplicado a la organizacion, y deberia estar sujeta a toda la legislacién y reglamentacion nacionales © internacionales pertinentes, La seleccién de los controles también depende de ta forma en la que los controles interactian para defender en profundidad Algunos de los controles de esta guia se pueden considerar como principios de orientacién para gestion de la seguridad de la informacién y aplicables a la mayoria de organizaciones. Los,GuiA TECNICA COLOMBIANA GTCASONEC 27002 Controles se explican con mas detalle mas adelante, junto con la guia de implementacién. En la norma ISO/IEC 27005") se puede encontrar més informacion acerca de la seleccién de controles y de otras opciones para tratamiento de riesgos. 0.4 DESARROLLO DE SUS PROPIAS DIRECTRICES Esta guia se puede considerar como un punto de partida para el desarrollo de directrices especificas de la organizacion. No todos los controles y orientacién de este cédigo de practica pueden ser aplicables. Ademas, se pueden requerir controles y directrices adicionales que no estén incluidos en esta guia, Cuando los documentos que sé desarrolian contienen directrices © controles adicionales, puede ser util incluit referencias cruzadas a los numerales de esta guia, en donde sea aplicable, para facilitar la verificacién del cumplimiento por parte de los auditores y socios de negocios. 0.5 CONSIDERACIONES SOBRE EL CICLO DE VIDA La informacién tiene un ciclo de vida natural, desde su creacién y origen, pasando por el almacenamiento, procesamiento, uso y transmisiOn, hasta su deterioro o destruccién final. El valor de los activos y los riesgos para los activos pueden variar durante su ciclo de vida (por ejemplo, la divulgacién no autorizada 0 el robo de las cuentas financieras de una compania es mucho menos significativa después de que se han publicado formalmente). pero la seguridad de la informacion sigue siendo importante en todas las etapas, én alguna medida Los sistemas de informacién tienen ciclos de vida dentro de los cuales se lleva a cabo su concepcién, especificacién, disefio, desarrollo, pruebas. implementacién, uso, mantenimiento y finalmente el retiro de servicio y su disposicién. La seguridad de la informacion se deberia tener en cuenta en todas las etapas. Los nuevos desarrolios de sistemas y los cambios en los sistemas existentes presentan oportunidades para que las organizaciones actualicen y mejoren sus controles de seguridad, teniendo en cuenta los incidentes reales y los riesgos de seguridad de la informacion presentes y proyectados. 0.6 NORMAS RELACIONADAS Aunque esta guia offece orientacién sobre una amplia gama de controles de seguridad de la informacion que se aplican comunmente en muchas organizaciones, las otras normas de la familia ISOMEC 27000 brindan asesoria o requisites complementarios sobre otros aspectos del proceso total de gestion de seguridad de la informacion. Consulte la norma ISO/IEC 27000. que presenta una introduccién general al SGSI y a la familia de normas. La norma ISO/EC 27000 presenta un glosario que define formalmente la mayoria de términos usados en la familia de normas ISONEC 27000, y describe el objeto, campo de aplicacion y los objetivos de cada miembro de la familia,GUiA TECNICA COLOMBIANA GTC-+ASONEC 27002 TECNOLOGIA DE LA INFORMACION. TECNICAS DE SEGURIDAD. CODIGO DE PRACTICA PARA CONTROLES. DE SEGURIDAD DE LA INFORMACION La presente Guia proporcioii@ é Bérmas de seguridad de la informacién organizacional y las practicas S idad de la informacién, incluida ta seleccién, fa implemeg 4 en cuenta el(los) entorno(s) del istema de Gestion \se referencian normativamente en este fata referencias fechadas sdlo se aplica fa (Ca la edicién més reciente del documento referenciado (incluida cualquier en ISONEC 27000, Information Technology. Security Techniques. Information Security Management Systems. Overview and Vocabulary. 3. TERMINOS Y DEFINICIONES Para los propésitos de este documento se aplican los términos y definiciones presentados en la norma ISO/IEC 27000. 4, ESTRUCTURA DE ESTA GUIA Esta guia contiene 14 numerales de control de seguridad de la informacién que en su conjunto contienen mas de 35 categorias de seguridad principales y 114 controles. 4de 107GUIA TECNICA COLOMBIANA GTC-SONEC 27002 4.1 NUMERALES Cada numeral que define controles de seguridad contiene una o mas categorias de seguridad principales. El orden de los numerales en esta guia no tiene que ver con su importancia. Dependiendo de las circunstancias, los controles de seguridad de alguno o de todos los numerales pueden ser importantes: por tanto, cada organizacién que aplica esta guia deberia identificar los controles aplicables, su grado de importancia y su aplicacién a los procesos individuales del negocio. demas, las listas de esta guia no se presentan en orden de prioridad A2 CATEGORIAS DE CONTROL Cada categoria principal de control de la seguridad contiene: a) _ un objetivo de control que establece lo que se va a lograr, b) uno o mas controles que se pueden aplicar pata lograr el objetivo de control. Las descripciones de los controles estan estructuradas de la siguiente manera Control = Define la declaracién especifica del control para satisfacer el objetivo del control Gula de implementacién en todas las situaciones, y que no cumpla | organizacién. Informacién adicional consideraciones legales y referencias @ otras n suministrar, no se incluye esta parte. 5. 5A f LA SEGURIDAD DE LA INFORMACION ata la seguridad de la | leyes y reglamentos Objetivo: Brindar orientacién y apoyo por. informacion de acuerdo con los requisitos. pertinentes. Controt ‘Se deberia definir un conjunto de politicas pa nacién, aprobada por la| | 4 soem, GUIA TECNICA COLOMBIANA GTC-ASONEC 27002 Gula de implementacion Desde ef mas alto nivel, las organizaciones deberian definir una "politica de seguridad de la informacién” que sea aprobada por la direccién y que establezca el enfoque de fa organizacién para la gestion de sus objetivos de seguridad de la informacion. Las politicas de la seguridad de la informacion deberian abordar los requisitos creados por a) _estrategia de negocio, b) _reglamentaciones, legislacion y contratos; ©) elentomo actual y proyectado de amenazas a la seguridad de la informacién, eria contener declaraciones concernientes a La politica de la seguridad de la informa a) _ la definicion de seguridagdle actividades relacionad 0 b) de controles de er en cuenta las ra tener en cuenta a) ») °) 3) 1) uso aveptable de los activos (véase el numeral 8.1.3) 2) politica de eseritorio y pantalla limpia (véase el numeral 11.2.9) 3) iransferencia de informacién (véase el numeral 13.2.1) 4) dispositivos méviles y teletrabajo (véase el numeral 6.2) 5) _restricciones sobre instalaciones y uso del software (véase el numeral 12.6.2), ©) copias de respaldo (véase el numeral 12.3), 1) transferencia de informacion (véase el numeral 13.protecci6n contra cédigos maliciosos (véase el dD seguridad de las comunicaciones (vease el noe relaciones con los proveedores (véase el rumeral (5) stor previsto, por ejemplo, en una forma que sea pertinente. accesible y comprensibie: cin en la seguridad de el contexto de un “programa de toma de conciencia, educe la informacion” (véase el numeral 7.2.2) Informacién adicional organizaciones. Las politicas intemas S« ie -especialir snl i Fgahizaciones de mayor que: a ry eciuseen los niveles esperados de eae ituaciones en las que una para seguridad de la informacién se ee publicar : seguridad de la informacién’ © come un corjunto e relacionados. Z a a a Si alguna de las politicas de seguridad ae te nformacion se distribuye por fuera de ta organizacién, se deberia tener cuidado de no revel oo -confidencial — ae Contro} Las polticas para la seguridad de la informacién se deberian revisar a intervalos planificados 0 si curren cambios significatives, para asegurar su conveniencia, adecuacion y eficacia contindas. Guia de implementaci6s Cada politica deberia tener un propietario que tenga la responsabilidad aprobada por la direccion, para el desarrollo, revision y evaluacién de las politicas. La revision deberia incluir la valoracién de las oportunidades de mejora de las politicas de la organizacién y el enfoque para la gestion de la seguridad de fa informacién en respuesta a los cambios en el entorno organizacional, las circunstancias del negocio, las condiciones legales o el ambiente técnico. La revision de las politicas para seguridad de la informacion deberia tener en cuenta fos resultados de las revisiones por la direccién. Se deberia obtener la aprobacién de la direccién con relacion a una politica revisada.acces | GUIA TECNICA COLOMBIANA GTC-4SONEC 27002 6. ORGANIZACION DE LA SEGURIDAD DE LA INFORMACION 6.1 ORGANIZACION INTERNA Objetive: Establecer un marco de referencia de gestién para iniciar y controlar ta implementacién y la operacién de la seguridad de la informacion dentro de la organizacién. 6.1.1 Roles y responsabilidades para la seguridad de la informacion Control Se deberian definir y asignar todas las responsabilidades de la seguridad de a informacién. Guia de implementacion La asignacién de las responsabil acuerdo con las politicas para EW@binformacién (véase el numeral 5.1.1). Se ii Go fate |G pitleccion de los activos individuales y para llevar a cabo procesos de | especificos. Se deberian definir las responsabilidades para las actividad : go de la seguridad de la informacion, y en particular, per a de 4 Cuando sea necesaric, estas responsabilidades 4g Bi : gn detallada para sitios e instalaciones de é Se deberian definir las izacion de procesos de de Ia informacién inte, siguen siendo delegada idividuos. En particular. se deberian 16 informacién; rocesos de seguridad de la b) se deberia asignar la eit informacion, y se deberi numeral 8.1.2): ©) se deberian definir y documentar los niveles de autorizacién d) para tener la capacidad de cumplir las responsabilidades en el area de seguridad de la informacién, los individuos nombrados deberian ser competentes en el area y se les deberia brindar oportunidades de mantenerse actualizados con los avances en este tema: ) _se deberian identificar y documentar la coordinacién y la supervisién de los aspectos de seguridad de la informacién de las relaciones con los proveedores, Informaci6n adicional Muchas organizaciones nombran un gerente de seguridad de ta informacién que asuma la responsabilidad total por el desarrollo e implementacién de la seguridad de la informacién y que apoye la identificacién de los controles. 5GUIA TECNICA COLOMBIANA GTC. _practica comuin es nombrar un propia Para cada activo, quien entonces se cor ‘80 el responsable de su proteccion diaria 6.1.2. Segregacién de funciones Control Las funciones y areas de responsabilidad en conflico se debetian separar para reducir las posibilidades de modificacién no autorizada 0 no infencional, 6 6! uso indebido de los activos de {a organizacién. Guia de implementacion Es conveniente prestar atencién a que ninguna persona pueda acceder, modificar 0 usar activos sin autorizacién ni deteccién. El inicio de un evento deberia estar separado de su autorizacién, Al disefiar los controles se deberia considerar la posibilidad de confabulacion Para las organizaciones pequetias la segregacién de funciones puede ser dificil de lograr, pero el principio se deberia aplicar en tanto sea posible y viable. Siempre que resulte dificil hacer fa segregacién, se deberian considerar otros controles, tales comio el seguimiento de actividades, los rastros de auditoria (Audit Trails) y la supervision de la direccion. Informaci6n adicional La segregacion de funciones es un método para reducir el uso indebido, accidental o deliberado, de los activos de una organizacién, 6.1.3 Contacto con las autoridades Control Se deberian mantener contactos apropiados con las autoridades pertinentes. Gula de implementaci Las organizaciones deberian tener procedimientos establecidos que especifiuen cuando y a través de que autoridades se deberia contactar a las autoridades (por ejemplo, las encargadas de hacer cumplir la ley, los organismos de regulacién y las autoridades de supervision), y como se deberian reportar de una manera oportuna los incidentes de seguridad de la informacion {dentificados (por ejemplo, si se sospecha una violacién de la ley) Informacién adicional Las organizaciones que son atacadas por Intemet pueden necesitar que las autoridades emprendan acciones contra Ia fuente del ataque. EI mantenimiento de estos contactos puede ser un requisite para apoyar la gestion de incidentes de seguridad de la informacién (véase el numeral 16) 0 el proceso de continuidad de negocio, o el proceso de planificacién de contingencias (véase el numeral 17). Los contactos con organismos de regulacién son utiles para anticiparse y prepararse para los cambios inminentes en las leyes o reglamentaciones que la organizacion ha de implementar. Los contactos con otras autoridades incluyen las empresas de servicio publicos. los servicios de emergencia, los proveedores de electricidad y de salud y seguridad, por ejemplo, osGUIA TECNICA COLOMBIANA GTC-SONEC 27002 departamentos de bomberos (en relacién con fa continuidad de negocio), los proveedores de telecomunicaciones (en relacién con Ia disponihilidad y enrutamiento de lineas) y los proveedores de agua (en relacion-con las instalaciones de entriamiento de equipos). 6.1.4 Contacto con grupos de interés especial Gontrai Se deberia mantener contactos apropiados con grupos de interés especial u olvos foros y asociaciones profesionales especializadas en seguridad. Guia de implementacién La membrecia en grupos © foros de interés especial se deberia considerar como un medio para: a) mejorar el conocimiento practicas y permanecer al dia con la informacién de seg by asequrar que la comy uridad de la informacién sea actual y ©) recibir hes acerca de ataques y vuilner d) ny, jas, productos cuando se trata ntes de seguridad de la de informacion para mejorar ta cooperacién y coordinacion F Estos acuerdos deberian identificar los requisites para la proteccién de 1. 64.5. Seguridad de ta informacié: ‘Control La seguridad de la informacién se daberia tratar en la gestion de proyectos, independientemente del tipo de proyecto, Guia de implementacion La seguridad de fa informacién se deberia integrar ai(los) método(s) de. gestién de proyectos de la organizacion, para asegurar que los riesgos de seguridad de la informacién se identifiquen y tralen como parte de. un proyecto, Esto se aplica generaimente a cualquier proyecto, independientemente de su naturaleza, por ejemplo, un proyecto pare un proceso de! negocio. principal, TI. gestion de instalaciones y otros procesos de soporte. Los métodos de gestion de proyectos que se usen deberian requerir que:Ferree eerernmerreen ' | | | E GUIA TECNICA COLOMBIANA ~__ GTC-ISOVIEC 27002 2) _ los objetivos de la seguridad de la informacién se incluyan en los objetivos del proyecto; | b) la Valoracién de los riesgos de seguridad de la informacion se lleva a cabo en una tap: temprana del proyecto, para identificar ios controles necesarios; c) la seguridad de la informacién sea parte de todas las fases de le metodologia del proyecte aplicada, Las implicaciones de la seguridad de {a informacién se deberfan tener en cuenta y revisar forme regular en todos los proyectos. Se deberian defiir las responssabilidades para seguri de la informacion, y asignarlas a roles especificados definidos en los métados de gestién d proyectos. 6.2 DISPOSITIVOS MOVILES Y TELETRABAJO Objetivo: Garantizar la seguridad del teletrabajo y el uso de dispositivos méviles, 6.2.1 Politica para dispositives méviles Control Se deberian adoptar una politica y unas medidas de seguridad de soporte, para gestionar los) riesgos iniroducides por el uso de dispositivos méviles. 4 ‘Guia de implementacion Cuando se usan dispositives méviles, se debetia prestar atencién especial a asegurar que se comprometa la informacion del negocio. La politica de disposttivos méviles deberia tener ef cuenta los riesgos de trabajar con dispositivos mSviles en entomos no protegides. La politica de dispositivos méviles deberia considerar: a) el registro de Ics dispositivos méviles; b) fos requisitos de fa proteccién fisica; ©) las restricciones para la instatacion de software; 1) los requisitos para las versiones de software de dispositivos méviles y para apli ‘parches; 8) _ [a festriccién de la conexién a servicios de informacion: f) _controles de acceso; 9) —_técnicas criptograficas; bh) proteccion contra software malicioso, deshabilitacién remota, borrado 0 cierre = D—_copias de respalio; ky uso de servicios y aplicaciones web.GUIA TECNICA COLOMBIANA GTC-4SONEC 27002 Se daberia tener cuidado cuando se usan dispositivos méviles en lugares publicos, salas de reuniones y otras areas no protegidas. Se deberia contar con proteccién para evitar el acceso 0 la divuigacion no autorizada de la informacion almacenada y procesada por estos dispositivos, por ejemplo, usando técnicas criplograficas (véase el numeral 10) e imponiendo el uso de informacién secreta para la autenticacién (yéase el numeral 9.2.4), Los dispositivos méviles también deberian estar protegides tisicamente contra robo, especiaimente cuando se dejan en automaviles y otras formas de transporte, habitaciones de hotel, centras de conferencias y lugares de reuniones. Se deberia establecer un procedimiento especifice teniendo en cuenta los requisitos legales, de seguros y otros requisitos de seguridad de la organizacién, para los casos de robo o pérdida de dispositivos méviles. Los dispositives que contienen informacién importante, sensible o critica para el negocio no se deberian dejar sin supervisin, y donde sea posible, deberian estar encerrados bajo llave o se deberian usar ceraduras especiales pare aseguratios. Se deberia disponer de entres ‘onal que usa dispositives méviles, para incrementar el nivel de concie 108 adicionales que resultan de este tipo de trabajo, y los controles qu Cuando la politica de dispositi de dispositivos moviles de propiedad personal, la politica y, eqocio en un dispositive hayan firmado un (proteccién fisica, ‘datos del negocio, en caso de robo o Las conexiones inalambrica on similares a otros tipos de conexién de red, pero tienen diferenci ian considerar cuando se identifican controles. Las diferencias ti a) algunos protocolos de seguri ricos no estan desarrollados suficientemente, y tienen debilidades conocidas >) es posible que la informacién almacenada en los dispositivos moviles no esté copiada en discos de tespaldo debido a limitaciones en el ancho de banda o porque los dispositivas méviles no estén conectados. en los tiempos en que se programa la elaboracién de copias de respaldo. Los dispositives méviles generalmente comparten funciones comunes con los tispositives de uso fijo, por ejemplo, trabajo en red, acceso a internet, correo electrénico y manejo de archivos. Les controles de seguridad de la informacién para los dispositivos méviles ceneralmente consisten en los controles adoptados en jos dispositivos de uso fijo, y en los controles para tratar las amenazas que surgen por su uso fuera de las instalaciones de la organizacién.i i E GUIA TECNICA COLOMBIANA 6.2.2 Teletrabajo Gontrot se deherian implementar una poliiea y unas medidas de seguridad de sop. Pore protege Ae eomacisn a la que se tiene acceso, que es procesada 0 almacenada °n Jos lugares en que se realiza teletrabalo. Guta de implementacion que permiten actividades de teletrabajo deberian expedir una politica Las organizaciones: Seine las condiciones y resiiciones para al uso del teletabale ‘Cuando se cor alicable y o permite [a ley, 5e deberian considerar los siguientes asuntos: 2) _ [a seguridad fisica existente en el sitio. del teletrabajo, teniendo-en cuenta la seguridad fisica de [a edificacién y del entorno focal: 4 b)_elentomno fisico de teletrabajo propuesto; c} Jos requisitos de seguridad de las ‘comunicaciones, teniendo en cuenta la necesidad dey 1 ee ee oa Ws. sistomas intemos de ta organizacion la senspaan o© WMormaciin 2 la que se tendra acceso y que pasard & traves del enlace d ‘comunicacién y la sensibilidad del sistema interno, q 3) ‘el cuministo de ecceso al escftoro vitual, que impide el procesaionto | Simacenamiento de informacién en equipo de propiedad privada; 4 e) Ie amenaza de acceso no autorizado @ informacion 9 @ Tecurson. por parte de ott persones que usan el mismo alojamiento, por ejemplo, famiia y argos: fel uso de redes domésticas y requisites 9 restieciones sobre fa configuracion servicios de red inalambrica, g) _ fas politicas y_ procedimientos pare evitar conflictos yelacionadds con los derechos propiedad intelectual sobre desarrolies realizados en equips de propiedad privada; hy el acceso # equipo de propiedad privada (para veriice’ o seguridad 0 come parte cr iwestigacisn), el cUal puede ser prohibido por la legistaciOn: 5 acuetdos de licenclamiento de software de tal forma que las organizaciones pue llegar 2 ser responsables pore! leenciariento de software de los clientes en estaci detrabajo de propiedad de los empleades 0 de usuarios extemnos; |) Tequisitos de firewall y de preteccién contra software malicioso. Las directrices y acuerdos que se consideren deberian incl a) el suministro de equipo edecuado y de muséies 26 almacenamiento para ‘potividades de teletrabajo, cuando no Se permite el uso: del equipo de propiedad pr que no esté bajo el control de la organizacions by una definicion del trabajo permitido, jas horas, de taba, la dlasificacisn de Ie jinforriacion que se puede mantener. ¥ jos sistemas y servicios internos & los que teletrabejador esta autorizado 2 acceder, 4GUIA TECNICA COLOMBIANA GTCASONEC 27002 a ay e) el suministro de equipos de comunicacién adecuados, incluidos los métodos para asegurar el acceso remota; seguridad fisica; [as regias y orientacion sobre el acceso de la familia y los visitantes a los equipos y a ta informacion; et suministro de soporte y mantenimiento del hardware y e! software; el suministro de seguros; os procedimientos para copias de respaldo y continuidad del negocio; auditoria y seguimiento de ta hos de acceso, y la devolucién de los licen. Elteletrabajo ncia a todas: i de {a oficina, inciuidos tos entornos de. tra tradicionales, jo 2 distancia", "ugar de ‘trabajo flexibl Objetivo: responsabiidades y son idéneos en ios . TAA Seleccion andidatos.@ un empleo se deberian llevar tos y ética pertinentes, y deberian. ser proporcionales a los requisites de clasificacién de la informacién a que se va a tener acceso. y 2 los rlesgos percibides. Guia de Implemeniacion La verificacion deberia tener en cuenta todo lo relacionado con la privacidad, la proteccion de la informacién de datos personales y la legislacién laboral, y cuando se permita, deberia incluir lo siguiente: ay » o} la disponibilidad de referencias satistactorias, por ejemplo, yna comercial y una personal; una verificacién (completa y precisa) de la hoja de vida de! solicitante; confirmacion de las calificaciones académicas y profesionales declaradas; a4i i | E £ L E GUIA TECNICA COLOMBIANA GTCASONEC 27002 @) una verificacién de identidad independiente (pasaporle o documento similar); 2) una Verificacién mas detallada, como fa de Ia informacion crediticia 0 de antecedentes penales. Cuando un individuo es contratado para un rol de seguridad de la informacion especifico, fa corganizaciones deberian asegurar que e! candidate: a) tenga la competencia necesaria para desempefiar el rol de seguridad; b) sea confiable para desempefar el rol, especialmente si es critico para la organizacién. Cuando un trabajo, ya sea por nombramiento 0 promocién, implique que la persona tenga: ‘acceso @ las instalaciones de procesamiento de informacion, y en perticular, si ahi se maneja informacién confidencial, por ejemplo, informacién financiera o informacién muy confidencial, ‘organizacién deberia también considerar venificacianes adicionales mas cetalladas. Los procedimientos deberian definir los criterios y limitantes para las revisiones de verificacié 4 por ejemplo, quién es elegible para seleccionar a las personas, y cémo, cuando y por qué llevan a cabo revisiones de verificacién. ‘También sé deberia asegurar un proceso de seleccién para contratistas. En estos casos, él ‘acuerdo entre la organizacién y el contratista deberia especificar las responsabilidades por realizacién de la seleccion, y los procedimientos de notificacién que es Necesario seguir si seleccién no se ha finalizado, 0 silos resultados son motivo de duda o inquietud, La informacién de todos los candidatos que se consideran para cargos dentro de ‘organizacién, se deberia recolectar y manejar apropiadamente de acuerdo con la legislacié existent, Dependiendo de Ia legislacién aplicable, se deberia informar de antemano a los! candidatos acerca de las actividacies de seleccién. 4 7.4.2 Términos y condiciones del empleo Control Los acuerdos contractuales ‘con empleados y contratistas deberian establecer si responsabilidades y las de la organizecién en cuanto a la seguridad de la informacion. Gul de implementacion Las obligaciones contractuales para empleados o contratistas, deberian reflejar las politicas la organizacién en cuanto a seguridad de la informacién, y ademas deberien actarar establecer: 2) que todos los empleados y contratistas a los que se brinde acceso a i confidencial deberian firmar un acuerdo de confidencialidad y no divuigacién, antes tener acceso a las instalaciones de procesamiento de informacién (véase el numer 13.2.4); § b) _las responsabilidades y derechos legales de empleados o contratistas, por ejemplo, felacion a leyes sobre derecho de autor 0 legislacién sobre proteccién de datos (véa los numerales 18.1.2 y 18.1.4); 49GUIA TECNICA COLOMBIANA. GTC-ISONEC 27002 ©) las responsabilidades para la clasificacién de la informacién y la gestidn de informacién ‘organizacional_y otros actives asociados con informacion, instalaciones de procesamiento de informacion y servicios de informacién mangjados por ei empleado o contratista (véase el numeral 8); d) las responsabifidades del empleado 0 contralista para el manejo de la informacion recibida de otras compatias 0 partes externas: 2) las acciones por tomar, si el empleado 0 contratista no tiene en cuenta los requisitos de seguridad de la organizacién (véase el numeral 7.2.3). Los roles y responsabilidades de seguridad de la informacién se deberian comunicar a los ccandidatos al empleo, durante el proceso previo a la vinculacién. La organizacion se deberfa asegurar, empleados y contratistas acepten los términos y condiciones relatives a la seguri cién, referente a la naluraleza y al alcance del acceso que tendran a los. n asociados con los sistemas y servicios de informacién, Cuando sea apropiado, las r dentro de los térmninos y condiciones spuds de finalizado e| empleo de seguridad de la cién dé datos, j, al igual que las | con la cual esta del individu 7.2 DURANTE Objetivo Asegurarse de ratistas tomen conclencia de sus Tesponsabilidades de segur La direccién deberia exigir a todos los empleados y contfatistas la aplicacién de la seguridad de la informacién de acuerdo con las politicas y procedimientos establecidos por la organizacion. Gulia de implementacion Las responsabilidades de la direccién deberian incluir asegurarse de que los empleados y contratistas: a) _ estén debidamente informados sobre sus roles y resporisabilidades de seguritiad de la informacién, antes de que se les otorgue el acceso a informacién o sistemas de informacién confidenciales; b) se Jes suministren las directrices que establecen las expectatives de seguridad de la Informacién de sus roles dentro de la organizacién: 49GUIA TECNICA COLOMBIANA GTCASOMEC 27002 ©) estén motivados. pare cumplir tas poticas de seguridad de la informacion de | conganizacion; snciengla sobre seguridad de la informacion pertinent 6 4) tegren un nivel de toma de ° Sontro de fa organizacién (véase el numeral 7.2.2); ‘sus roles y responsabilidades: 2) cumplan jos términos y las condiciones de} ‘empleo, que incluyen |e politica de $2 Sele informacion y los métados de trabajo apropiades: ) __tengan continuamente tas habilldades ¥ calificaciones apropiadas y reciban capacita ‘en forma regular, 6) quenten on un canal para reporte andnimo de incumplimiento. de las -politicas: procedimientes de seguridad de ta informacién (‘denuncias internas"). ; La direcci6n deberia demosirar apoyo a fas polticas, prosedimientos y controles de sea ‘Ge la informacién, y actuar como un madelo Segui Informacion adicional Si jos empleados y contratistas no toman conclencia de sus responsabilidades de seguridad Ia informacién, pueden causar un dao onsiderable 2 una organizacion. El personal ‘moti (ae a ser mas conviable y a causar menos incicentes ‘de seguridad de Ie informacién. Una gestion deficiente puede hacer que el personal se sienta subvalorade, lo que 42 et Teaultado un impacto negative de la seguridad de fa informacion sobre la organizack ‘ejemplo, una gestion deficiente ‘onducir a que se descuide la seguridad de tormacién 0 aque se usen en forma indebida los actives de la organizacion. 7.2.2 Toma de conciencia, educacion y formacién en la seguridad de la informacion Control! Todos los empleados de fa ‘organizacion, y en donde sea pertinente, los contratistas, det Jesibir te educacion y la formacion en toma de ‘conciencia apropiada, y actualizaciones regulares sobre las politicas y procedimientos de ta ‘organizacion pertinentes para sui cargo. Guia de implementecién Un programa de toma de conciencia en segutidad de la informacion, deberia apuntar 2 ave ‘empleados, y en donde sea pertinente, los contratistas, tomen conciencia de fesponsabilidades de seguridad de 1a ‘informacion, ¥ de los medios por los cuales se CUMP! estas responsabilidades. se deberia establever un programa de toma de concienel® 27 seguridad de la informacion, Pes een as politicas y provedimientos pertinentes de ‘seguridad de la informacion de oraanizacién, teniendo en cuenta la informacién ce 12 organizacion que se ve proteger. y I coxtroles que se ian implementado para proteger 1a informacion. El programa de toma 4 sno lgeberia incur varias actividades pare toma ds ‘conciencia, tales como campane (por ejemplo, el ‘dia de la seguridad de fa informacion’) y la elaboracién de folletos y bo de noticias, El programa de toma de conciencia se deberia planificar teniendo en cuenta los roles de | Srvpleados on la organizacion, y en donde sea pertinentc, la expectativa de [a organizacion coGUIA TECNICA COLOMBIANA GTC-ISOMEC 27002 relacién a la toma de conciencia de los contratistas, Las actividades del programa de toma de conciencia se deberian programar en el tiempo, de preferencia con regularidad, de manera que las actividades se repitan y abarquen a nuevos empleados y contratistas. Et programa de toma de conciencia también se deberia actualizar reguiarmente, de manera que permanezca en linea con las politicas y procedimientos organizacionales, y se deberia construit con base en las lecciones aprendidas de incidentes de seguridad de la informacion. La formacién en toma de conciencia se deberia llevar a cabo segiin lo requiera él programa de toma de conciencia en seguridad de la informacion de la organizacidn, Para la formacion en toma de conciencia se pueden usar diferentes medios, incluyendo clase en aula, aprendizaje & distancia, aprendizaje basado enla web, aprendizaje auténomo, y otros. La educacién y ta formacién én seguridad de la informacién también deberian comprender aspectos generales tales como: a) Ja declaracion del compror cién con la seguridad de la informacién en toda fa organizacion; b) la necesidad de con S y obligaciones de seguridad de ta informacion aplicables, politicas, normas, leyes, reglamentos, ° isiones propies, y las y la proteccién de la # como el reporte de jase (tales como ta 0, y los escritorios ®) icional y asesoria sobre: materiales de educacion y La éducacién y la formaci macién se deberian llevar a cabo periddicamente. La educé fuavos cargos o roles con re de la informacion considerablemente diferentes, no solo para los nuev se deberian llevar a cabo antes de que se active el rol. La organizacién deberia desarrollar el programa de educacién y de formacién para impartir la educacién y ta formacién eficazmente. Ef programa deberia estar en linea con las politicas y procedimientos pertinentes de seguridad de |a informacién de la organizacién, teniendo en cuenta la informacién de la organizacién que se va a proteger. y los controjes que se, han implementado para proteger fa informacion. El programa deberia considerar diferentes formas de educacién y formacién, por ejemplo, conferencias o estudio auténomo. informacién adicional Cuendo se prepara un programa de toma de conciencia es importante enfocarse no solamente en el “qué” y en el “como” sino también en el “por qué", Es importante que los empleados comprendan el objetivo de fa seguridad de la informacién y ef impacto potencial, positive negativo, que tiene su propio comportamiento pare la organizacion,UIA TECNICA COLOMBIANA _GTC-ISOMIEC. 27002 La toma de conciencia, la edueacion y 'a formacion pueden ser parte de otras actividades de formacién, por ejemplo, formacién general en "seguridad o en TI, 0 se pueden llevar a cabo en tilgboracien con ellas. Las actividades de toma de ‘coneiencia, educacién y formacion deberian ger adecuadas y pertinentes 2 los roles, responsabilidades y habilidades de los individuos. vata ters de forsee, eaten yma do cancensa, 9UegE HR EU aluacion de la comprensin de los empleados pare ‘comprobar {a transferencia 48) conocimiento. 7.2.3 Proceso disciplinario Control Se deberia contar con un proceso disciplinaye formal el cual deberia set comunicado, para. Emprender aceiones contra empleados que hayan ‘cometido una violacién a fa seguridad de informacion. Gula de implementacion El proceso disciplinario no se daberie iniciar S antes verificar que ha eourrido uns violacion, ‘a seguridad de la informacion {vease el numeral 16.1.7) El proceso disciplinario formal deberia asegurar 6} tratamiento comecto © imparcial Emblcados de quienes se sospecka que en cometie violaciones @ ta de is aoe eeesbn. E| proceso disciplinaro formal deberis proves’ 108, respuesta gradual que tenge: itermosn El roc sa rulee gates & 2 a negocio; si es 0 no su primera infracck YS at infractor tenia la formacion apropiads: | feaistacion pertinent; los contratos del negocio yy otros factores, segiin se reauiera Et proceso disciplinario también se deberia usar come Ut elemento disuasive pare prevent qU8 | Toe Sapleados violen las poltieas y provedimientas, 4s seguridad de la informacion de lay organizacion, y de cualauier otra violacion 1a seguridad de [a informacién, Las vielaciones! Galberadas pueden requerir acciones inmediatas. Informacion adicional El proceso disciplnario también se puede convertion AT motivacién, o en. un incentive, st cepreeSeaciones positivas para un comportamiento dastacaso co? relacion a la la informacion. 7.3. TERMINACION Y CAMBIO DE EMPLEO Objetivo: Protéger los intereses de [a ‘organizaci6n come parte del proceso de cambio jerminacién del empleo. 7A Responsabilidades en fa Terminacion o cambio del empleo Gontrot Las regponsabilidades y los deberss de seguridad de la informacién clue perenanecen Valdas ors tsminacién o cambio de empleo ée deberian defini, ‘comunicar al empleado G ‘contratista y Se deberian hacer cumplit. 4GUIA TECNICA COLOMBIANA GTC-ISONEC 27002 Guia de implementacion La comunicacién de las responsabilidades en la terminacién deberia inchuir los requisitos dé seguridad de la informacion y las. responsabilidades legales vigentes, y en donde sea apropiado, las responsabilidades contenidas en cualquier acuerdo de confidencialidad (véase si numeral 13.2.4) y los té&minos y condiciones del empleo (véase el numeral 7.1.2) que continian después de un periode definido, luego de finalizar el empleo del contratista 0 del ‘empleado, Las responsabilidades y deberes que siguen siendo validos después de la terminacion det empleo, deberian estar contenidos en los tétmines y condiciones del empleo del empleado o del contratista (véase el numeral 7.1.2). Los cambios de responsabilidad o de empleo se deberian manejar como la terminacién de la responsabilidad o empleo actual, on el inicio de una nueve responsabilidad 0 empleo. Ipformecion adicional Generalmente, Recursos Humat 1ces0 total de terminacién del empleo ue se retira, para gestionar los elevantes, En ei caso de un de terminacién fo lleva @ on y la parte externa. los empleados, dé los cambios de. erative. Objetivo: Identificar ponsabilidades de proteccién apropiadas. 1.1 Inventario de activos Controt Se deberian identificar fa informacién, otros activos asaciados con fa informacion y las instalaciones de procesamiento de informacién, y se deberia elaborar y mantener un inventario de estos actives. Guia de implementacién Una organizacién deberia identificar los activos pertinentes en el ciclo de vida de le informacién, y documentar su importancia. El ciclo de vida de la informacién deberia incluir su creation, procesamisnto, almacenamiento, transmisién, eliminacién y destruccion. La documentacién se deberia mantener en inventarios dedicados o exisientes, segin sea apropiado. El inventarto de activos deberia ser exacto, actualizado, consistente y aliesdo con otros inventarios. 7GUIA TECNICACOLOMBIANA —_GTC-ASO/IEC 27002 Para cada uno de los actives identificados, se deberla asignar la propiedad del activo (véase: ‘numeral 8.1.2) y se deberia identificar ta clasificacién (véase el numeral 8.2). Jnformacién adicional Los inventarios de. actives ayudan a asegurar que se cuenta con una proteccién efectiva, también pueden ser neceserios para otros propésites, como por ejemplo razones de salud “seguridad, seguros o asuntos financieros (gestion de activos). La norma ISO/IEC 27005!" proporciona ejemplos de actives que la organizacién podria tere qué considerar cuando se identificen los activos. E! proceso de elaborar un inventario actives es un prertequisito importante de la gestién del riesgo (véanse también las norma ISONEC 27000 e ISOMEC 27005" ") 8.1.2 Propiedad de los activos Lontrot Los actives mantenidos en el inventario deberian tener un propietaric, Guia de implementacion Los individuos, asi como otras entidades con {a responsabilidad delegada sobre la gestion dt activo dentro de su ciclo de vida, califican para ser asignados como propistarios de los acti Usuaimente se implementa un procese para asegurar la asignacién oportuna de la propiedd de los actives, La propiedad se deberia asignar cuando los activos se crean o cuando & transferidos a la organizacion. EI propietario de un activo deberia ser responsable de su apropiadia durante todo su ciclo de vida. El propietario del activo deberia: a) _asegurarse de que los activos estan inventariados; b) _asegurarse de que los actives estan clasificados y protegidos apropiadamente; ©) definir y revisar periédicamente las restricciones y clasificaciones de acceso a importantes, teniendo en cuenta las politicas de control de acceso aplicables; d) _ asegurarse del manejo apropiado del activo cuando es eliminado 0 destruido, Las tareas de rutina pueden ser delegadas, por ejemplo, a un custodio que vela por los iariamente; pero la responsabilidad sigue siendo de! propietario. En sistemas de informacion complejos, puede ser util designar grupos de activos que conjuntamente para brindar un servicio particular. En este caso, el propietario de este servi finde cuentas por la prestacion del servicio, incluida ta operacion de sus activos.GUIA TECNICA COLOMBIANA GTC-ASOMEC 27002 8.1.3 Uso aceptable de los actives Control Se deberian identificar, decumentar ¢ implementar reglas para el uso aceptable de informacién y de activos asociades con informacién e instalaciones de procesamiento de informacién. Guia de implementacién Los empleados y usuarios de partes extemas que usan activas de [a organizacién @ tienen acceso a ellos deberian tomar conciencia de los requisitos de seguridad de la informacion de la organizacion, de los actives de la organizacién asociados con informacion y con instalaciones y recutsos de procesamiento de informacin. Deberien ser responsables del uso que hacen de ‘cualquier recurso de pracesamiento de Ia informacion, y de cualquier uso ejecutado bajo su responsabilidad, 8.1.4 Devolucién de activos jevolver todos los actives de la contrato 9 acuerdo, todos fos activos nizacién o que se externa compre el ir procedimi ‘asegurer que toda la anizacion yb equipo en forma segura (véase e! numeral En los casos en que un empt rte externa tenga conocimientos que son importantes para las operaci cién se deberia documentary transferir ala organizacién. Durante ef perioto de notificaci faclon, la organizacién deberia controlar el ccopiado no autorizatio de la informa te {por ejemplo, la propiedad intelectual) por parte de los empleados o contratistas que han finalizado el empleo. 8.2 CLASIFICACION DE LA INFORMACION Objotivo: Asegurar que la informacién recibe un nivel apropiado de proteccion, de acuerdo con su importancia para la organizacion. 8.2.1 Clasificacién de la informacion Control La informacién se deberia clasifiear en funcién de tos requisites legales, valor, criicidad y susceptibilidad a divulgacién 0 a modificacién no autorizada,GUIA TECNICA COLOMBIANA GTC-ASONEC 27002 Guia de implementacion Las clasificaciones y controles de proteccién de informacién asoclados deberian tener ‘cuenta las necesidades del negocio en cuanto a intercambio o restriccién de informacion, igual que los requisitos legales. Los activos diferentes de informacién también se pue clasificer de conformidad con la clasificacién de la informacion que sé almacena. pro maneja 0 protege el activo. Los propietarios de os actives de informacién deberian rendir cuentas por su clasificacion. El esquema de clasificacién deberla incluir las convenciones para la clasificacién y los ci para fa revisién de la clasificacién en el tiempo. EI nivel de proteccién en el esquema deberla evaluar analizando la confidencialidad, la integridad y la disponibllidad, y cualquier requisito para la informacién considerada. El esquema se deberia alinear con la politica control de acceso (véase el numeral 9.1.1). 4 Cada nivel daberia recibir un nombre que tenga sentido en ef contexto de la aplicacién ‘esquema de clasificacién. a El esquema deberfa ser consistente a lo largo y ancho de fa organizaci6n, de manera. ‘todos clasifiquen la informacién y los activos relacionados de la misma manera, tengan comprension comin de los requisites de proteccién, y apliquen la proteccion apropiada, La clasificacién se deberia incluir en los procesos de la organizacion, y deberia ser consi y coherente en toda {a organizacién. Los resultados dé la clasificacion deberian indicar el vale de los actives dependiendo de su sensibilidad y criticidad para la organizacién,.por ejemplo, sérminos de confidencialidad, integridad y disponibilidad. Los resultados de fa siasificacién #4 deberian actualizar de acuerdo con los cambios en su valor, sensibilidad y ciiticidad durante € ciclo de vida. Informaci i ‘La clasificacién brinda a las personas que tratan con informacion, una indicacién coneis como manejaria y protegerla. Esto se facilta mediante la creacién de grupos de info con necesidades de proteccion similares, y la especificacién de procedimientos que se apliq a toda la informacién en cada grupo. Este enfogue reduce la necesidad de valorar los ri caso por caso. y de disefiar controles a a medida, La informacion puede dejar de ser sensible o critica después de cierto periodo de tiempo, ejemplo, cuando la informacién se ha hecho publica. Estos aspectos se deberian tener cuenta, ya que la clasificacion excesiva puede conducir a la implementacion de control innecesatios que generan gastos adicionales, 0 por el contrario, clasificacién deficiente qug pone en peligro el logro de los objetivo del negocio. ‘ Un ejemplo del esquema de clasificacién de ta confidencialided de la informacién se pi basar en los cuatro niveles siguientes: @) la divulgacién no causa dato; b) _la-divulgacién causa algo de vergienze o un inconveniente operative menor; ° Ja divulgacién tiene un impacto significative a corto plazo en las operaciones u obj tacticos:GUIA TECNICA COLOMBIANA GTCASOMEG 27002 3) la divulgacion tiene un serio impacto en los objetivos estratégicos a largo plazo, 0 pone en riesgo la supervivencia de Ia organizacion. 8.2.2 Etiquetado de la informacion Gontrot ‘Se deberia desarroliar ¢ implementar un conjunto adecuado de procedimientos para el etiquetado de la informacion, de acuerdo con el esquema de clasificacién de informacion adoptado por la organizacién. Guta de implementacion Los procedimientos. para el etiquetado de informacién necesitan abarcar la informacion y sus activos relacionados en formatos lectiénicos, EI stiquetado deberia reflejar el esquema de clasificacién estable 1, Las etiquetas se deberian poder reconocer fécilmente, Los pro: brindar orientacion acerca de dénde y cémo se colocan las etiquet Mma en que se obtiene el acceso a la informacién 0 se manejan los tipos de medio. Los procedimientos pueden definir casos en ios ido, por ejemplo, el. etiquetado de informacién no configghci baie, Los empleados y contratistas como sensible 0 critica isposiciones sobre ina forma comin de ‘algunas veces tiene efectos negatives. Los activo! fear, y en consecuencia, mas faciles de ser hurtados por at 8.2.3 Manejo de activos Control Se deberian desarrollar e implementar procecimientos para el manejo de actives, de acuerdo con el esquama de clasificacién de informacion adoptado por la organizacién, Guia de implementacion Se deberian elaborar procedimientos para el manejo, procesemiento, almacenamiento y ‘comunicacién de informacion de conformidad con su clasificacién (véase el numeral 8.2.1). Se deberian considerar los siguientes asuntos: a) _ las restricciones de acceso que soportan los requisites de proteccién para cada nivel de dlasificacion, b) ef mantenimiento de un registro formal de los receptores autorizados de ios actives; 2tGUIA TECNICA COLOMBIANA GTCASONEC 27002 ) la proteccién de copias temporales 0 permanentes d= informacién a un nivel coher con la proteccién de la informacién original; 4) el almacenamiento de los actives de TI de acuerdo con las especificaciones de fabricantes; 2) elmarcado olaro de todas las conias de medios pare et cuidedo de! receptor autorizadd Es posible que el esquema de clasificacién usado en la organizacion no 06 equivalente a cequemas usados por otfas organizaciones, aunque sus nombres seo? similares; ademas | Trarmacion que se transfiere entre las organizaciones puede vatiat 6°. Se clasificaci Gepenciendo de su contexto en cada organizacion, aun cuando sus esquemes de clasificad sean idénticos. Los acuerdos con otras organizaciones que incluyen intercambio de informacién deberia inciuir procedimientos para identificar ta clasificacién de esa informacion y para intespretar: etiquetas de clasificacion de otras organizaciones. 8.3 MANEJO DE MEDIOS CObjetivo: Evitar la divuigacion, ta modifcacién, el retio 0 la destruacion no autorizedos informacion almacenada en los medios. 8.3.1. Gestion de medios removibles Control Se deverian implementar procedimientos para la gestion de medios removibles, de act: con el esquema de clasificacién adoptado por fa organizacion 6 femer ‘Se deberian considerar las siguientes directrices para la gestion de medics removibies: a) Si ya no se requiere, el contenido de cualquier medio reusable que se vaya a retire ia organizacion se deberia remover deforma que no sea recuperable: 5) cuando resuite necesario y practica, se deberia solciar a izacion para retirar I medios de la organizacién, y se deberia Wevar un 12 dichos retiros con el if mantener un rastro de auditoria (Auch Trail} todos los medios se deberian almacenar en un ambiente protegice y seguto, 9 ‘acuerdo con las especificaciones de los fabricamtes; g) Sila confidencialidad o integridad de tos datos se consideran importantes, se det ae comicas criptograficas para proteger los datos que se encuentran en [0s i removibles: 2) para mitigar ef riesgo de degradacién de los medios mientras Stn $e necesitan los da cae rnados, los datos se deberian transferir a medios diferentes antes de ue: ‘yuelvan ilegibles; a 4) se deberlani quardar varias copias de los dates yaliosos 60 medios separados, feducit ain mas el risego de daha 0 perdida simultanea de los datos, 20GUIA TECNICA COLOMBIANA GTCASONEC 27002 9) se deberia considerar el registro. de los medios removibles para reducir la oportunidad de pérdida de datos; h) _s6lo se deberian habilitar unidades de medios removibles si hay una razén de negocio para hacerlo; i) en donde hay necesidad de usar medios removibles, se deberia hacer sequimiento ala transferencia de informacion a estos medios, Los procedimientos y niveles de autorizacion se deberian documentar. 83.2 Disposicién de los medios Control Se deberia disponer en forma procedimientos formales. Guia de implementacién ios cuando ya no se requieren, utilizando jci6n segura de los medios, para procedimientos contienen informacion confidencial ymacién, Se deberian nat y disponer en borrada de-datos que-se van a recolectar y disponerlos en forma: ratios de ios elementos criticos. muchas organizaciot ‘oleccién y disposicién de medios; es conveniente seleccionar parte externa adecuada, con controles y experiencia adecuados; ©) la disposicién de los elementos. criticos se deberia registrar (Logged) con el fin de: mantener un rastro de auditoria (Audit Trail), Cuando se acumulan los medios para su disposicion, se deberia tener én cuenta el efecto de agregacién, que puede hacer que una gran cantidad de informacién no sensible se vuelva sensible. lnformacién adicional Los dispositivos dafiados que contienen datos sensibles pueden requerir una valoracién de riesgos para determinar si los elementos se deberian destruir fisicamente en vez de enviarlos a reparaciin o desecharios (véase ef numeral 11.2.7). 23\ i GUiA TECNICA COLOMBIANA GTC-SONEC 27002 8.3.3 Transferencia de medios fisicos Control ‘Los medios gue contienen informacion se deberian proteger contra acceso no autarizado, indebido 0 corrupcién durante el transporte. Guta-de implementacion Las siguientes directrices se deberien considerar para |@ proteccién de medios que contin informacién, durante el transporte: d a) se deberia usar un ransporte 0 servicios 6& mensajeria confiobles; 5) se deberia acordar con lacireccién una lista de servicios de mensajeria autorizados: c) se deberian desarrollar procedimientos para verificar la identificacién de los serviciot ‘mensajeria: 4) ab embolaje deberia ser suficiente para protege: ‘el contenido contra cualquier fisico que pudiera presentarse durante el transito, ¥ de acuerdo con fas espe* ‘fica cio Te oe fabricantes, por ejemplo, proteccion contra ‘sualquier factor ambiental que reducir la eficacia dela restauracién del medio, tal como exposicion al calor, ‘campos electromagnéticos: e) ‘se deberla Hevar un registro (Logs) que identifique el contenido de los zt los. proteccién aplicada, ab ‘igual que los tiempos de transferencia & respor Sorante el transports. y et recibo en su destino, Jnformecién adicional La informacién puede ser vulnerable al acceso De autorizado, al uso indebido © bo a ate ol transporte fisico, por ejemplo, cuando, $5 envia pot el servicio postal © P sericio de mensajetia, En este control, los medios ineluyen documentos en papel, Cuando la informacién confidencial en tos medios no esta cifrada, se deberia cons ‘proteccién fisica adicional de los medios. 8, _ CONTROL DE AGCESO a4 REQUISITOS DEL NEGOCIO PARA CONTROL DE ACCESO objetivo: Limitar el acceso a informacion y 2instaleciones de procesamiento de informa 9.1.4 Politica de controt de acceso Controt Se deberia establecer, documenter y reviser We politica de control de acceso con base ef equistos del negocio y de seguridad de la informacion.GUIA TECNICA COLOMBIANA GTC-SOMEC 27002 Guta de implementacién Los propietarios de los activos deberian detefminar las reglas de contro! de acceso apropiadas, los derechos de acceso y las restricciones para los roles de usuario especificos con relacion a sus actives, con la cantidad de detalle y severidad de los controles, qué refiejen los rlesgos de seguridad de la informacion asociados. Los controles de acceso son tanto légicos come fisicos (véase el numeral 11).y se deberlan considerar en conjunto, Se deberia dar a los usuarios y a los proveedores de servicios una indicacién clara de los requisites del negocio que deben cumplir los controles de acceso, La politica deberia tener en cuenta lo siguiente: 8} _ los requisitos de seguridad para tas aplicaciones de! negocio, b) fas politicas para la divulga jin de la informacion, oor ejemplo, el principio de lo que se necesita de seguridad de la informacién y de ©) la coherencia entre to: y las politicas de clasificacién de a) ncemniente a la timitacién 8 red, que reconoce i ‘olicitud de acceso, 9) Is de acceso (véansé los numerales h) los requisitos pare ta} derechos de acceso (véase el numeral 9.25); i) elretiro de los derechos i) el almacenamiento de los reg! dos los eventos significatives eohcemientes al uso y gestion de identificacin de los usuarios, © informacin secreta para ta autenticaci6n k) los roles de acceso privilegiado (véase el numeral 9.2.3); Inf Tel ‘Cuando se especifican las reglas de control de acceso se deberia considerar: a) establecer reglas basadas en la premisa ‘En general, todo est prohibido, a menos que € permita expresamente”, y no en la menos estricta: "En general, todo esté permitido, a menos que se prohiba expresamente’;GUIA TECNICA COLOMBIANA GTCASONEC 27002 b) los cambios en las etiquetas de informacion (vease el numeral 8.2.2) aue son iniciados - isutomaticamente por las instalaciones de procesamiento de informacion, y los que se | inician adiscrecién del usuario. ¢) 9s cambios en los permisos de usuario que son iniciados automaticamente por el sistema de informacién, y los iniciados por un administrador: ’ d) las reglas que requieren aprobacién especifica antes de su promulgacién, y las que no tequieren én, ; Las reglas de control de acceso deberian ir soportadas en procedimientos formales (véanse los cae eats 92 9.3, 9.4) y en responsabilidades definidas (véanse los numerales 6.1.1, ¥ 93) El control de acceso basado en roles es un enfoque usado con éxito por muchas | Drgonizaciones para establacer un vinculo entre los derechos de acceso y [os roles del negocio. Dos de los principios frecuentes que dirigen a politica de control de acceso son: Jo que necesita conocer: solamente se concede acceso a la informacion que la persona | eSita pare la realaacion de cus tareas (iferentes tareas/roles significan diferentes cosas que se necesita saber, y en. consecuencia, diferentes perfiles de acceso}; q a) b) lo que necesita usar: solamente se le concede acceso & las instalaciones de 4 procasamiento de informacion (equipos de TI, aplicaciones, procedimientos, recintos) ‘Que la persona necesita para la realizacion de su tareafrabajo/rol. 9.1.2 Acceso a redes y aservicios en red Contr! Solo s@ deberia permitir acceso de los usuarios a la red y a los servicios de red para los que | hayan sido autorizados especificamente. Guie de implementacion Se deberla formular una politica acerca del uso de redes y de servicios de red, Esta polit deberia cubrir: 2) _ las tedesy servicios de red a los que se permite el acceso; b) los procedimientos de autorizacién para determinar @ quién se permite el acceso @ qué redes y servicios de red 2) tos controlas y procedimientes de gestién para proteger el acceso @ las. conexiones de red y a los servicios de red; d) los medios usados pera acceder a las redes y servicios de red (por ejemplo, el uso de. \PN 0 redes inaldmbricas); q e) es requisites de autenticacién de usuarios para acceder @ diversas servicios de red; ) el monitereo del uso de servicios de redGUIA TECNICA COLOMBIANA GTC-ISONEC 27002 La politica sobre el uso de los servicios de red deberia ser coherente con ta politica de control de acceso de ia organizacién (véase el numeral 9.1.1}. Informacién adiciona) Las conexiones no autorizadas y no seguras a lo8 servicios de red pueden afectar a toda la organiizacién. Este control es particularmente importante para conexiones de red o aplicaciones de negocios criticas 0 sensibles 0 para usuarios en sitios de alto riesgo. por ejemplo, areas piiblicas 0 externas que se encuentran por fuera de la gestién y control de seguridad de la informacion de la organizacién. 9.2 GESTION DE ACCESO DE USUARIOS Objetiva: Asegurar el acceso de los usuarios autorizados y evitar el acceso no autorizado & sistemas y servicios. Control Se deberia imple para posibilitar la, ‘sus actividades y deshabiltar 8 la organizacié identificar_y eliminar redundantes; d) — asegurer que las identific’ Be Geuario redundantes no se asignen a otros Informacion adicional ‘Suministrar 0 revocar el acceso a la informacion © a las instalaciones de procesamiento de informacion es habitualente un procedimiento de dos pasos: 2) —_asignar y habiltar o revocar una identificacion de usuario; b) __suministrar o revocat los derechos de acceso a esta identificacién de usuario (véase el numeral 9.2.2), 2TT GUIA TECNICA COLOMBIANA GTCASONEC 27002 9.2.2 Suministro de acceso de usuarios Gantrol Se debetia implementar un proceso de suministro de acceso: formal de usuarios para asignar Se aoe derechos de aceese para iodo tipo de usuarios para todos fos sistemas y servicios. Guia de implementacion Ei proceso de suministro para asignar 0 revocar I identificaciones de usuario deberia inclu: los derechos de acceso otorgatios a las | 2) obtener autorizacisn del propietario del sistema de informacién 0 servicio para et uso del cetera de informacién 0 servicio (vease el contol 8.1.2); también puede ser apropiada faprobacién separacia de os derechos de acceso por parte de le direccion; apropiado a las politicas de acceso (vease ») __veriicar que el nivel de acceso otorgado €8 tales como la segregacién de _ Sh numeral 8.1) y es coherente con otros requisites, funciones (vease el numeral 6.1.2): no estén activados (por ejemplo. por proveedores “| c) _asegurar que los derechos de acceso Sree ricio) antes de que los procedimientos de autorizacion esten ‘completes; 4) mantener un registro central de fos derechos o¢ arteee suministrados a una rariticacion de usuario para accedet a sistemas de informacion y servicios; 2) adaptar los derechos de acceso de usuarios ave Nan cambiado de roles o'de empleo, y soot Gioquear inmediataments los derechos de acceso de los usuarios que han dejado la organizacion: revisar periédicamente los derechos de acceso con Io propietarios de los sisternas de. informacion o servicios (véase el numeral 9.2.6). Informacion adiicions! a Ge deheria considerar el establecimiento de fos roles de acceso de usuarios con base en lo: Tequisitos dal negocio que resumen varios derechos: de acceso en pertiles tipicos de acceso de | seas no. Las solicitudes y. revisiones. de acceso (véase el numeral 9.2.4) se gestionan mas Jeeimente al nivel de estos roles que al nivel de derechos parliculares, personal y en los contratos de servicio, ‘Se deberia considerar la inclusién, en los contractos del Fumerales que especiquen sanciones si miembros del personal 0 contralistas intentan acce a mqutorizade (veanse los numerales 7.1.2, 7.2.3, 13.24, 15.1.2). 0.2.3. Gestidn de derechos de acceso privilegiado ‘Sontrol Ge deberia restringiry controlar fa asignacion y uso de derechos de acceso privilegiado,GUIA TECNICA COLOMBIANA GTC-ASONEC 27002 ‘Guia de implementaciin: La asignacién de derechos de acceso privilegiado se deberia controlar mediante un proceso de ‘aulorizacién formal de acuerdo con la politica de control de acceso pertinente (véase el control 9.1.1). Se deberian considerar los siguientes pasos: @) Se deberian identificar los derechos dé acceso privilegiado asociados con cada sistema © proceso, por ejemplo, sistema operativa, sistema de gestion de bases de datos. y cada aplicacién y los usuarios a los que es necesario asignar, b) los derechos de acceso privilegiado $e deberian asignar a usuarios con base en la necesitiad de uso y caso por caso, en linea con la politica de control de acceso (véase el numeral 9.1.1), es decir, con base en el requisite minima para sus roles funcionales: se deberia mantener un pro rizacién y un registro de todos los privilegios asignados. Solo se deber| echos de acceso cuando el proceso de se deberian definic de los derechos de acceso privilegiado; Jos derecho, una identificacion de usuario negocio. Las actividades privilegiada: giado se deberlan ica, se deberia mantener la ntieacién cuando se comparta ecuencia, y tan pronto como sea posible pajo 0 cambia de trabajo, comunicarlas 108 apropiados). El uso inapropiada de los privilegios del sistema de administracién (cualquier caracteristica 0 funcién de un sistema de informacion que posibiita que ef usuario anule el sistema o los controles de aplicacién) es un factor que contribuye a las fallas 0 violaciones a los sistemas. 9.2.4 Gestion de informacién secreta para la autenticacion de usuarios (Management of ‘Secret Authentication Information of Users) Controt La asignacién de informacién de aulenticacin secrete se deberia controlar por medio de un proceso de gestién formalGUIA TECNICA COLOMBIANA GTCASOMNEC 27002 Guia de im plementacion ; Este proceso deberia incluir los siguientes requisites: 2) se deberia peti @ los usuarios que rman we declaracion para mantener confidencial * ciprmacion secreta para la autenticacién personaly ‘mantener a informacion secret para ia autenticacion del arupo (es deci, Compartida) Snicamente dentro de los Pembros del grupo: esta daciarecion firmada se puede incluir en tos terminos ¥ Condiciones del empleo (vease el numeral 7.1.2): by cuando se les pide a los usuarios mantener eu propia informacion secreta para 2 - Gutenticacién, inicialmente se les deberia suministtor informacion secreta y Segura, GUE fea temporal para dicha autentificacion, ¥ 5° deberia obligarles @ cambiar dicha informacion, al usasla por primera vez: 1c) se deberfan establecer procedimientos par verificar la identidad de un usuario antes 8 reemplazar la informacién secreta para la ‘autenticacién © proporcionar une nueva 0 7 2) la informacién secreta para '@ ‘autenticacion temporal se le deberia suministrar @ Ics usuarios de una manera segura; Se deberia evitar el uso de partes ‘externas 0 de mensajes de correo electronica no protegidos (texto claro); @) Ia informacion secreta para la autenticacién temporal deberia ser nica para un : individuio y no deberia ser facil de adivinar: 1 los usuarios deberian acuser recibo de la informacion secreta para le autenticacion; 9g) fa informacion secreta para la autenticacién por defecto, del fabricante, se deberia modificar después de la jinstalacion de tos sistemas 0 software. 2 Informacién adicional Las contrasefiae son un tipo de informacion secrsta pare la autenticacion Yeon un medio comun para vericar [a dentist idol usuario, Otros tipos de informacion secrets. para Ia autenticacion son las Haves criptograficas y otros datos almacenados en tokens de hardware (por ejemplo. tarjetas inteligentes} que produce” cédigos.de autenticacion: 9.25 Revision de los derechos de acceso de usuarios Control, Los propietarios de los actives deberian revisar tos derechos de acceso de Jos usuarios, 2 intervalos regulares. Guia de implementacion La revision de los derechos de acceso deberia considerar lo siguiente: a) _ los derechos de acceso ‘de los usuarios se deberian revisal 2 intervalos regulares ¥__ Gespues se cualquier cambio, promocion, cambi @ Un ‘cargo @ un nivel inferior, 6” ‘terminacién del empleo (vase el numeral 7);i | , | } | } 2 GUIA TECNICA COLOMBIANA GTCASONEC 27002 b) Ios derechos de acceso de usuario se deberian revisar y reasignar cuando pasan de un rola otro dentro de la misma organizacion; ©) las autorizaciones para los derechos de acceso privilegiado se deberian revisar a intervalos mas frecuentes; @) las asignaciones de privilegios se deberian verificar a intervalos reguleres para asegurar que no se hayan obtenido privilegios no autorizados, e) los cambios a las cuentas privilegiadas se deberian registrar (Logged) para revision periddica, Informacién adicional Este control compensa las posibles en la ejecuicién de los controles 912.1, 9.2.2 y 926. 9.2.6 Retiro o ajuste de I entrot ternos a la Informacion y 2 las instalacione: at al terminar su empleo, asociados con las rar o Suspender. deberian refle} nuevo empleo, i ‘0 ajustar incluyen los de acceso fisico y 16 jante él retiro, revocacién © reemplazo de liaves, ‘ocesamienta dé informacién 0 suscripciones, Cualquier doc los derechos de acceso de empleados y contratistas deberia reflej jerechos de acceso. Si un empleado 0 usuario de una parte externa ‘contrasetias conocidas de usuarios que continuan activos, se deberian cambiar de cargo 0 empieo, contrato 0 acuerdo. Los derechos de acceso a la informacion y a los actives asociados con instalaciones de procesamients de informacién se deberian reducir o retirar antes de que el empleo termine o camibie, dependiendo de la evaluacién de factores de riesgo tales como: a) ‘si Ja terminacién o cambio {o inicia el empleado. e! usuario de 4a parte externa o la direccién, y le razon de la terminacién; b) las responsabilidades actualés de! empleado, el usuatio de la parte externa 6 cualquier otro usuario; ©) elvelor de los activos accesibles en la actualidad 31UIA TECNICA COLOMBIANA __GTCASOMEC 27008 Jnformacién adicional En algunas circunstancias, los derechos de acceso sé pueden asignar con base en la os requisitos de seguridad de los actives - 12 valoracin de riesgos;GUIA TECNICA COLOMBIANA GTC-ISONEC 27002 b) _ los perimetros de una edificacién o sitio que contenga instalaciones de procesamiento de la informacién deberian ser fisicamente seguros (es decir, ne deberia haber brechas en el perimetro 0 areas donde facilmente pueda ocurrir una intrusion ; el techo exterior, las paredes y los pisos del sitio deberian ser de construccién sélida, y todas las puertas externas deberian estar protegidas adecuadamente contra acceso no auterizado con mecanismos de control (por ejemplo, barras, alamas, cerraduras): a8 puertas y ventanas deberian estar cerradas con lave cuando no hay supervisién, y se deberia considerar proteccién externa para ventanas, partioularmente al nivel del suelo; ©) deberia haber un area de recepci6n con vigilancia u otro medio para controlar el acceso fisico al sitio 0 edificacién; el acceso a los sitios y edificaciones deberia estar restringido Unicamente para personal autorizado; d) ent donde sea aplicable, se deberian construir barreras fisicas para impedir e! acceso fisico no autorizado y la contal todas las puertas contra ietro de seguridad deberian tener alarmas, estar monitoreadas y jes, para establecer el nivel requerido de resistencia de a nales, nacionales = internacionales adecuadas; deberian ura de acuerdo al cédigo local de intrusos de acuerdo con les, regionales ian poner a prueba ra abarcar todas las accesibles; las areas rian abarcar otras si iento de informacion Ja organizacién nte de las gestion La proteccion fisica rerae fisicas alrededor de ios predios y de las instalacion formacién de ta organizacién. El uso de miitiples barreras brinda prot Ja falla de una sola bartera no significa que la seguridad se vea comp Un drea segura puede ser una oficl cerrar con lave, 0 varios recintos rodeados por una barrera de seguridad fisi ‘Se pueden necesitar perimetros y barreras adicionales para controlar el acceso fisico entre las areas con diferentes requisites de seguridad dentro del perimetro de seguridad. Se deberia prestar especial atencién a la seguridad del acceso fisico, en el caso de edificaciones que albergan actives para miltiples organizaciones. La aplicacion de los controles fisicos, especialmente para las areas seguras, se deberia adaptar a las circunstancias técnicas y econémicas de la organizacion, como se establece en la valoracién de riesgos. 14.1.2 Controles de acceso fisicos Las areas seguras se deberian proteger mediante controles de acceso apropiados para asegurar que solo se permite el ingreso @ personal autorizado, at