Documentos de Académico
Documentos de Profesional
Documentos de Cultura
NMX-I-27002-NYCE-2015
PREFACIO
- INTELI, S.C.
- NIELSEN.
2. Por otra parte, también fue aprobado por las instituciones y empresas que
a continuación se señalan y que conforman el Comité Técnico de
Normalización Nacional de Electrónica y Tecnologías de la Información y
Comunicación de NYCE.
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
21. REDIT.
22. SIEMON.
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
Páginas
0 Introducción 1
2 Referencias 4
3 Términos y definiciones 5
8 Administración de activos 21
9 Control de acceso 28
10 Criptografía 41
12 Operaciones de seguridad 54
18 Cumplimiento 102
19 Bibliografía 108
Apéndice A 109
(Informativo)
Normas que complementan a esta norma mexicana.
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NORMA MEXICANA
NMX-I-27002-NYCE-2015
0 INTRODUCCIÓN
Esta Norma Mexicana está diseñada para que las organizaciones la utilicen como
referencia para la selección de los controles en el proceso de implementación de un
Sistema de Gestión de Seguridad de la Información (SGSI) basado en la NMX-I-27001-
NYCE o como un documento de orientación para las organizaciones de desarrollo sobre
los controles de seguridad de la información comúnmente aceptados.
Esta norma también es destinada para el uso en el desarrollo de la industria y la
organización dando lineamientos específicos de gestión de seguridad de la información,
teniendo en cuenta sus entornos específicos de riesgo de seguridad de la información.
Los activos son objeto de amenazas, tanto deliberadas como accidentales, mientras
que los procesos relacionados, los sistemas, las redes y las personas tienen
vulnerabilidades inherentes. Los cambios en los procesos de negocio y sistemas u otros
cambios externos (por ejemplo, nuevas leyes y reglamentos) pueden crear nuevos
riesgos de seguridad de la información.
Por lo tanto, dada la multitud de formas en que las amenazas pueden tomar ventaja
de las vulnerabilidades para dañar a la organización, los riesgos de seguridad de la
información están siempre presentes. La seguridad de la información eficaz reduce
estos riesgos mediante la protección de la organización frente a las amenazas, las
vulnerabilidades y / o impactos a sus activos.
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
2/110
Es esencial que una organización identifique sus requisitos de seguridad. Existen tres
fuentes principales de requisitos de seguridad:
Los recursos utilizados en los controles de aplicación necesitan ser equilibrados con
el daño comercial que pueda resultar de los problemas de seguridad en la ausencia
de esos controles. Los resultados de una valoración de riesgos ayudan a guiar y
determinar las acciones y prioridades para la gestión de riesgos de seguridad de la
información y para la implementación de los controles seleccionados para
protegerse contra estos riesgos.
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
3/110
Los controles pueden ser seleccionados de Esta Norma Mexicana o de otros conjuntos
de control, o nuevos controles pueden ser diseñados para satisfacer las necesidades
específicas, según se requiera.
Esta Norma Mexicana puede ser considerada como un punto de partida para la
elaboración de lineamientos específicos de la organización. No todos los controles y la
orientación en este código de buenas prácticas pueden ser aplicables.
Además, los controles y lineamientos adicionales no incluidos en Esta Norma Mexicana
pueden ser requeridos. Cuando los documentos se elaboran con lineamientos o
controles adicionales, puede ser útil incluir referencias a los capítulos del presente
Proyecto de Norma Mexicana cuando corresponda, para facilitar la verificación del
cumplimiento por parte de los auditores y socios comerciales.
La información tiene un ciclo de vida natural, desde la creación y origen a través del
almacenamiento, procesamiento, uso y transmisión a su eventual destrucción o
deterioro. El valor y los riesgos para los activos puede variar en su vida (por ejemplo,
la divulgación no autorizada o el robo de las cuentas financieras de una empresa es
mucho menos significativo después de que hayan sido formalmente publicados), pero
la seguridad de la información sigue siendo importante hasta cierto punto, en todas las
etapas.
Los sistemas de información tienen ciclos de vida dentro de los cuales se conciben, se
especifican, son diseñados, desarrollados, probados, implementados y utilizados para
darles mantenimiento y eventualmente pueden ser retirados del servicio y ser
eliminados. La seguridad de la información debe tenerse en cuenta en todas las
etapas. Los nuevos desarrollos del sistema y los cambios a los sistemas existentes
presentan oportunidades a las organizaciones para actualizar y mejorar los controles
de seguridad, teniendo incidentes reales y los riesgos actuales de la seguridad de la
información ya proyectados para tomarse en cuenta.
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
4/110
Aunque Esta Norma Mexicana ofrece orientación sobre una amplia gama de controles
de seguridad de la información que normalmente se aplican en muchas organizaciones,
las partes restantes de la norma NMX-I-27000-NYCE y de la familia de normas
complementarias, asesoran sobre los requisitos de otros aspectos del proceso general
de administración de seguridad de la información.
Esta Norma Mexicana está diseñada para ser utilizado por las organizaciones que
pretenden:
2 REFERENCIAS
Para la correcta aplicación de Esta Norma Mexicana se requiere consultar las siguientes
Normas Mexicanas vigentes o las que las sustituyan:
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
5/110
3 TÉRMINOS Y DEFINICIONES
Para los propósitos de Esta Norma Mexicana se aplican las definiciones que se indican
en la NMX-I-27000-NYCE.
4.1 Capítulos
Cada capítulo define los controles de seguridad que contiene una serie de categorías
principales de seguridad.
b) Uno o más controles que se pueden aplicar para alcanzar el objetivo del control.
Control
Define la declaración del control específico, para satisfacer el objetivo de control.
Guía de implementación
Proporciona información más detallada para apoyar la implementación del control y el
cumplimiento de los objetivos de control. La guía puede no ser totalmente adecuada o
suficiente en todas las situaciones y puede no cumplir con los requisitos específicos de
control de la organización.
Otra información
Proporciona información adicional que puede ser necesario considerar, por ejemplo, las
consideraciones legales y referencias a otras normas. Si no hay ninguna otra
información que proporcione no se muestra esta parte.
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
6/110
Control
Se debe definir, aprobar por la dirección, publicar y comunicar a todos los empleados y
partes externas relevantes un conjunto de políticas para la seguridad de la
información.
Guía de implementación
Es recomendable que al más alto nivel, las organizaciones definan una "política de
seguridad de la información", que sea aprobada por la dirección y que establezca el
enfoque de la organización para la administración de los objetivos de seguridad de la
información.
a) La estrategia de negocios;
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
7/110
Otra información
La necesidad de políticas internas de seguridad de la información varía entre las
organizaciones. Las políticas internas son especialmente útiles en las organizaciones
más grandes y complejas, donde los que definen y aprueban los niveles esperados del
control están separados de los que implementan los controles o en situaciones en que
una política se aplica a muchas personas diferentes o funciones en la organización. Las
políticas de seguridad de la información se pueden emitir en un solo documento
llamado "política de seguridad de la información", o como un conjunto de documentos
individuales, pero relacionados.
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
8/110
Guía de implementación
Se recomienda que cada política tenga un propietario quien ha aprobado la
responsabilidad de gestión para el desarrollo, revisión y evaluación de las políticas. Se
sugiere que la revisión incluya la evaluación de oportunidades de mejora de las
políticas de la organización y el enfoque de la gestión de seguridad de la información
en respuesta a los cambios en el entorno organizacional, las circunstancias, las
condiciones legales del negocio o el entorno técnico.
6 ORGANIZACIÓN DE LA SEGURIDAD DE LA
INFORMACIÓN
Control
Todas las responsabilidades de seguridad de la información deben definirse y
asignarse.
Guía de implementación
Es recomendable que la asignación de las responsabilidades de seguridad de la
información se realice de acuerdo con las políticas de seguridad de la información (ver
subinciso 5.1.1). Es aconsejable que se identifiquen las responsabilidades para la
protección de los activos individuales, y para llevar a cabo procesos específicos de
seguridad. Se recomienda que se definan las responsabilidades para las actividades de
la gestión de riesgos de seguridad de la información y en particular para la aceptación
del riesgo residual. Es recomendable que estas responsabilidades se complementen,
cuando se requiera con una directriz más detallada para sitios específicos e
instalaciones de procesamiento de la información.
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
9/110
Se sugiere indicar las áreas en las cuales las personas son responsables. En particular,
se recomienda llevar a cabo lo siguiente:
d) Para poder cumplir con sus responsabilidades las personas asignadas en el área
de seguridad de la información se recomienda sean competentes en el área y
tener la oportunidad de mantenerse al día con los desarrollos;
Otra información
En muchas organizaciones, un gerente de seguridad de la información es designado
para asumir la responsabilidad general para el desarrollo y la implementación de la
seguridad de la información y para apoyar la identificación de los controles.
Control
Las tareas en conflicto y áreas de responsabilidad deben segregarse para reducir las
oportunidades de modificación no autorizada, no intencional o mal uso de los activos
de la organización.
Guía de implementación
Se recomienda tener cuidado de que ninguna persona pueda acceder, modificar o
utilizar los activos sin autorización o detección. Es aconsejable que el inicio de un
evento sea separado de su autorización. Es aconsejable se considere en el diseño de
los controles la posibilidad de confabulación. Las organizaciones pequeñas pueden
encontrar difícil conseguir la segregación de responsabilidades, pero el principio debe
aplicarse en la medida de lo posible y practicarse. Donde sea difícil segregar es
recomendable se consideren otros controles como el control de las actividades, pistas
de auditoría y supervisión de la gestión.
Otra información
La segregación de funciones es un método para reducir el riesgo de mal uso accidental
o deliberado de los activos de una organización.
Control
Se deben mantener contactos apropiados con las autoridades relevantes.
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
10/110
Guía de implementación
Se recomienda que las organizaciones cuenten con procedimientos que especifiquen
cuándo y por quién deben ser contactadas las autoridades (por ejemplo, la policía,
organismos reguladores, o las autoridades supervisoras) y cómo identificar los
incidentes de seguridad de la información y sean reportados de manera oportuna (por
ejemplo, si se sospecha que se pudo haber quebrantado la ley).
Otra información
Las organizaciones que hayan sido atacadas a través de internet pueden necesitar de
autoridades para tomar medidas en contra de la fuente de ataque.
Los contactos con otras autoridades incluyen servicios de emergencia, los proveedores
de electricidad, de salud y seguridad, por ejemplo, departamentos de bomberos (en
relación con la continuidad del negocio), proveedores de telecomunicaciones (en
relación con el enrutamiento de líneas y disponibilidad) y los proveedores de agua (en
relación con las instalaciones de equipos de acondicionamiento).
Control
Deben mantenerse los contactos apropiados con los grupos de interés especial u otros
foros de seguridad especializados y asociaciones profesionales.
Guía de implementación
Se recomienda la pertenencia a los grupos de intereses especiales o foros como un
medio para:
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
11/110
Otra información
Los acuerdos de intercambio de información se pueden establecer para mejorar la
cooperación y coordinación de las cuestiones de seguridad. Es recomendable que estos
acuerdos identifiquen requisitos para la protección de la información confidencial.
Control
La seguridad de la información debe incluirse en la administración de proyectos,
independientemente del tipo de proyecto.
Guía de implementación
Es aconsejable que la seguridad de la información se integre en los métodos de la
organización para la gestión del proyecto(s) para asegurar que los riesgos de
seguridad de la información son identificados y tratados como parte del proyecto. Esto
se aplica en general a cualquier proyecto independientemente de su fin, por ejemplo,
un proyecto para un proceso de negocio principal, TI, gestión de instalaciones y otros
procesos de apoyo.
Control
Se debe adoptar una política y medidas de seguridad de soporte para gestionar los
riesgos introducidos por el uso de dispositivos móviles.
Guía de implementación
Se recomienda que cuando se utilizan dispositivos móviles, se tenga especial cuidado
para asegurarse de que la información de negocio no se vea comprometida. Es
recomendable que la política de dispositivos móviles tome en cuenta los riesgos de
trabajar con dispositivos móviles en entornos desprotegidos.
Se sugiere que la política de dispositivos móviles tome en cuenta:
j) Los respaldos;
Otra información
Las conexiones inalámbricas de dispositivos móviles son similares a otros tipos de
conexión de red, pero tienen diferencias importantes que necesitan considerarse
cuando se identifican controles. Las diferencias típicas son:
6.2.2 Teletrabajo
Control
Se debe implementar una política y medidas de seguridad de soporte para proteger el
acceso, proceso o almacenamiento de la información en los sitios de teletrabajo.
Guía de implementación
Las organizaciones que permiten las actividades de teletrabajo se sugiere emitan una
política que defina las condiciones y restricciones de uso del teletrabajo. Cuando se
considere aplicable y lo permita la ley, se recomienda considerar los siguientes
aspectos:
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
14/110
d) Seguridad física;
g) Provisión de seguros;
Otra información
El teletrabajo se refiere a todas las formas de trabajo fuera de la oficina, incluyendo
entornos de trabajo no tradicionales, tales como los denominados "trabajo remoto",
"lugar de trabajo flexible", "trabajo a distancia" y entornos "virtuales de trabajo".
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
15/110
7.1.1 Investigación
Control
Se deben llevar a cabo verificaciones de antecedentes a todos los candidatos al empleo
de acuerdo con las leyes, regulaciones relevantes y la ética, y deben ser
proporcionales a los requisitos del negocio, la clasificación de la información a la que se
accede y los riesgos percibidos.
Guía de implementación
Se sugiere que la verificación tome en cuenta toda la privacidad pertinente, la
protección de los datos personales y / o legislación basada en el empleo, y cuando esté
permitido, incluir los siguientes puntos:
Se recomienda que los procedimientos definan los criterios y limitaciones para las
verificaciones por ejemplo, quién es elegible para seleccionar cómo, cuándo y por qué
de las verificaciones sin llevaron a cabo.
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
16/110
Control
Los acuerdos contractuales con los empleados y contratistas deben indicar sus
responsabilidades y las de la organización para la seguridad de la información.
Guía de implementación
Es recomendable que las obligaciones contractuales de los empleados o contratistas
reflejen la política de seguridad de la organización, además de aclarar y declarar:
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
17/110
Otra información
Un código de conducta puede ser utilizado para cubrir la responsabilidad del empleado
o del contratista respecto a la confidencialidad, protección de datos, ética, el uso
adecuado de los equipos de la empresa y las instalaciones, así como las prácticas de
buena reputación esperados por la empresa. La parte externa, con la que un contrista
está asociado, puede ser requerirse para celebrar acuerdos contractuales en
representación de la persona contratada.
Control
La dirección debe exigir a todos los empleados y contratistas aplicar la seguridad de la
información de acuerdo con las políticas y procedimientos establecidos de la
organización.
Guía de implementación
Es recomendable que las responsabilidades de la dirección incluya la garantía de que
los empleados y contratistas:
e) Cumplir con los términos y condiciones del empleo, que incluye la política de
información de seguridad de la empresa y los métodos adecuados de trabajo;
Otra información
Si los empleados y contratistas no son conscientes de sus responsabilidades en la
seguridad de la información, pueden causar un daño considerable a la organización.
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
18/110
Personal motivado es igual a que sean más confiables y causen menos incidentes en la
seguridad de la información.
Una dirección pobre puede provocar que el personal se sienta devaluado resultando en
un impacto negativo a la seguridad de la información de la organización. Por ejemplo,
una dirección pobre puede llevar a que la seguridad de la información se descuide o se
tenga un mal uso en los activos de la organización.
Control
Todos los empleados de la organización y, cuando sea relevante, contratistas deben
recibir concientización, educación y capacitación apropiada y actualizaciones regulares
de políticas y procedimientos organizacionales, como sea relevante para sus funciones
de trabajo.
Guía de implementación
Se recomienda un programa de concientización en seguridad de la información que
tenga como objetivo hacer que los empleados y, contratistas estén conscientes de sus
responsabilidades en materia de seguridad de la información y de los medios por los
que estas responsabilidades son dadas de alta.
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
19/110
Otra información
Al redactar un programa de concientización, es importante no sólo centrarse en el
"qué" y "cómo", sino también en el "por qué". Es importante que los empleados
entiendan el propósito de la seguridad de la información y el posible impacto, positivo
y negativo, sobre la organización de su propio comportamiento.
Control
Debe haber y comunicarse un proceso disciplinario formal para tomar acciones contra
empleados que hayan cometido una violación a la seguridad de información.
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
20/110
Guía de implementación
Se recomienda que no se inicie el proceso disciplinario sin una verificación previa de
que ha ocurrido un violación de seguridad (véase el subinciso 16.1.7).
Objetivo: Proteger los intereses de la organización como parte del proceso de cambio o
terminación del empleo.
Control
Las responsabilidades de la seguridad de la información y deberes que permanezcan
validos después de la terminación o el cambio de empleo deben estar definidos, y
comunicados a los empleados o contratistas y deben hacerse cumplir.
Guía de implementación
Se recomienda que la comunicación de la terminación de las responsabilidades incluya
los requisitos en curso de seguridad y las responsabilidades legales y, cuando sea
apropiado, las responsabilidades contenidas dentro de cualquier acuerdo de
confidencialidad (véase el subinciso 13.2.4), los términos y condiciones del empleo
(véase el subinciso 7.1.2) continúen durante un período definido después del término
del empleo del empleado o contratista.
Otra información
La función de recursos humanos es generalmente el responsable de todo el proceso de
terminación y trabaja en conjunto con el supervisor de la persona que deja de
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
21/110
Puede que sea necesario informar a los empleados, clientes o contratistas de los
cambios de personal y acuerdos operativos.
8 GESTIÓN DE ACTIVOS
Control
Se deben identificar los activos asociados con información e instalaciones de
procesamiento de información y se debe elaborar y mantener un inventario de estos
activos.
Guía de implementación
Es recomendable que la organización identifique los activos relevantes en el ciclo de
vida de la información y documente su importancia. Se recomienda que el ciclo de vida
de la información incluya la creación, procesamiento, almacenamiento, transmisión,
eliminación y destrucción. Se sugiere que la documentación se mantenga en los
inventarios dedicados o existentes, según sea apropiado.
Se recomienda que el inventario de activos sea exacto, este actualizado, sea coherente
y este alineado con otros inventarios.
Para cada uno de los activos identificados, es necesario asignar un propietario, (véase
el subinciso 8.1.2) e identificar su clasificación (véase el inciso 8.2).
Otra información
Los inventarios de activos ayudan a garantizar que la protección eficaz se lleve a cabo,
y también pueden ser necesarios para otros propósitos, como la salud y la seguridad,
los seguros o fines financieras (gestión de activos).
Control
Los activos incluidos en el inventario deben contar con un propietario.
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
22/110
Guía de implementación
Los individuos, así como aquellas entidades que aprobaron la responsabilidad del ciclo
de vida del activo califican para ser asignados como propietarios del activo.
Otra información
El propietario identificado puede ser un individuo o una entidad que ha aprobado la
responsabilidad de gestión para controlar todo el ciclo de vida de un activo. El
propietario identificado no necesariamente tiene algún derecho de propiedad sobre el
activo.
En sistemas de información complejos, puede ser útil designar grupos de activos, que
actúan juntos para proporcionar un servicio particular. En este caso, el propietario de
este servicio es responsable de la prestación del servicio, incluyendo la operación de
sus activos.
Control
Se debe identificar, documentar e implementar reglas para el uso aceptable de la
información y de los activos asociados con la información y las instalaciones de
procesamiento de la información.
Guía de implementación
Se recomienda que los empleados y los usuarios externos utilizando o que tenga
acceso a los activos de la organización sean conscientes de los requisitos de seguridad
de la información de los activos de la organización asociados con las instalaciones y
recursos para el procesamiento de la información. Es recomendable que ellos sean
responsables del uso de cualquiera de los recursos de procesamiento de la información
y cualquier uso recae bajo su responsabilidad.
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
23/110
Control
Todos los empleados y usuarios externos deben devolver todos los activos de la
organización en su posesión a la terminación de su empleo, contrato o acuerdo.
Guía de implementación
Se recomienda que el proceso de terminación se formalice para incluir la devolución de
todos los activos físicos y electrónicos entregados previamente pertenecientes o
confiados a la organización.
Control
La información debe ser clasificada en términos de su valor, requisitos legales,
sensibilidad o criticidad para la organización.
Guía de implementación
Se recomienda que las clasificaciones y controles asociados para la protección de
información tomen en cuenta las necesidades del negocio sobre compartir o restringir
la información, así como los requisitos legales. Distintos activos de información
también pueden ser clasificados de conformidad con la clasificación de la información
que está almacenada en, es procesada, manipulada por otra parte o protegida por el
activo.
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
24/110
Es recomendable que cada nivel tenga un nombre, que tenga sentido en el contexto de
la aplicación del esquema de clasificación.
Otra información
La clasificación ofrece una indicación concisa de cómo manejar y proteger la
información a las personas que hacen frete a ella. La creación de grupos de
información con las necesidades de protección similares, y la especificación de
procedimientos de seguridad de la información que apliquen a toda la información de
cada grupo facilita esto. Este enfoque reduce la necesidad de una valoración de riesgo
caso por caso y el diseño a la medida de los controles.
Control
Se debe desarrollar e implementar un conjunto apropiado de procedimientos para el
etiquetado de la información de acuerdo con el esquema de clasificación de la
información adoptado por la organización.
Guía de implementación
Los procedimientos para el etiquetado de la información necesitan cubrir la información
y sus activos relacionados en formatos físicos y electrónicos. Es recomendable que el
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
25/110
Es recomendable que la salida de los sistemas que contienen información que sea
clasificada como sensible o crítica lleve una etiqueta apropiada de clasificación.
Otra información
El etiquetado de la información clasificada es un requisito clave para los acuerdos de
intercambio de información. Las etiquetas físicas y metadatos son una forma común de
etiquetado.
Control
Se deben desarrollar e implementar procedimientos para el manejo de activos de
acuerdo con el esquema de clasificación de la información adoptada por la
organización.
Guía de implementación
Se recomienda establecer procedimientos para el manejo, procesamiento,
almacenamiento y transmisión de información de acuerdo con su clasificación (véase el
subinciso 8.2.1).
e) Borrar el marcado de todas las copias de los medios para la atención del
destinatario autorizado.
Control
Se deben implementar procedimientos para la gestión de medios removibles de
acuerdo con el esquema de clasificación adoptado por la organización.
Guía de implementación
Se recomienda que los siguientes puntos para la gestión de medios extraíbles sean
considerados:
b) Cuando sea necesario y práctico, debe exigirse una autorización para los
medios fuera de la organización y mantener un registro de esos retiros con el
fin de conservar una evidencia de auditoría;
c) Todos los medios deben almacenarse en un entorno seguro, de acuerdo con las
especificaciones del fabricante;
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
27/110
Control
Se deben disponer de manera segura los medios cuando ya no se requieran, utilizando
procedimientos formales.
Guía de implementación
Se recomiendan establecer procedimientos formales para la eliminación segura de los
medios para minimizar el riesgo de fuga de información confidencial a personas no
autorizadas. Es recomendable que los procedimientos para la eliminación segura de los
medios que contengan información confidencial de acuerdo con la sensibilidad de esa
información y se consideren los siguientes puntos:
c) Puede resultar más fácil organizar todos los elementos multimedia hacer
recopilados y eliminados de forma segura, en lugar de tratar de separar los
elementos sensibles;
Otra información
Los dispositivos dañados que contengan datos sensibles pueden requerir una
valoración de riesgos para determinar si los elementos deben ser físicamente
destruidos en lugar de enviarse a reparar o tirarse (véase el subinciso 11.2.7).
Control
Se deben proteger los medios que contengan información contra acceso no autorizado,
mal uso o corrupción durante la transportación.
Guía de implementación
Se recomienda que los siguientes puntos sean considerados para proteger a los medios
que contenga información que sean transportados:
Otra información
La información puede ser vulnerable al acceso no autorizado, mal uso o corrupción
durante el transporte físico, por ejemplo cuando se envían los medios a través del
servicio postal o por mensajería. En este control incluyen los documentos en papel.
9 CONTROL DE ACCESO
Control
Se debe establecer, documentar y revisar una política de control de acceso basada en
los requisitos del negocio y de la seguridad de la información.
Guía de implementación
Se recomienda que los propietarios de activos determinen las reglas de acceso,
privilegios y restricciones de acceso adecuados a los roles de usuarios específicos con
respecto a sus activos, con el nivel de detalle y rigor de los controles reflejando los
riesgos asociados a la seguridad de la información.
Los controles de acceso son lógicos y físicos (véase el capítulo 11) y es recomendable
considerarlos en conjunto. Se recomienda que los usuarios y los proveedores de
servicios tengan una declaración clara de los requisitos del negocio que deben cumplir
los controles de acceso.
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
29/110
j) Mantener los registros de todos los eventos importantes en relación con el uso y
gestión de las identidades de los usuarios y la información de autenticación
secreta;
Otra información
Se recomienda tener cuidado al especificar las reglas de control de acceso que
consideren:
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
30/110
El rol basado en el acceso es un enfoque utilizado con éxito por muchas organizaciones
para vincular los derechos de acceso a los roles de negocio.
Control
Se debe proporcionar a los usuarios únicamente el acceso a los servicios para los que
hayan sido específicamente autorizados.
Guía de implementación
Se recomienda formular una política sobre la utilización de redes y servicios de red. Se
recomienda que esta política abarque:
d) Medios utilizados para acceder a las redes y servicios de red (por ejemplo, el
uso de VPN o red inalámbrica);
Otra información
Las conexiones no autorizadas e inseguras para los servicios de red pueden afectar a
toda la organización. Este control es particularmente importante para las conexiones
de red con aplicaciones de negocios sensibles o críticas o para los usuarios en
ubicaciones de alto riesgo, por ejemplo, áreas públicas o externas que están fuera de
la gestión y control de seguridad de la organización.
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
31/110
Control
Se debe implementar un proceso formal de registro y cancelación de usuarios que
permita la asignación de derechos de acceso.
Guía de implementación
Se recomienda que el proceso para administrar los identificadores únicos (ID´s) de
usuario incluya:
a) El Uso de identificadores únicos de usuario para que los usuarios puedan estar
vinculados y ser responsables de sus acciones, se recomienda que el uso de
identificadores únicos compartidos sólo se permita cuando sea necesario por
razones de negocios o de operación y sean aprobados, y documentados;
Otra información
Proporcionar o revocar el acceso a las instalaciones de procesamiento de la
información o la información, por lo general es un procedimiento de dos pasos:
Control
Se debe implementar un proceso formal para la provisión de acceso a usuarios para
asignar o revocar derechos de acceso para todos los tipos de usuarios a todos los
sistemas y servicios.
Guía de implementación
Se recomienda que el proceso de suministro para asignar o revocar los derechos de
acceso concedidos a todos los tipos de usuario a los sistemas y servicios incluya:
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
32/110
c) Garantizar que los derechos de acceso no estén activados (por ejemplo, los
proveedores de servicios) antes de terminar los procedimientos de autorización;
e) Adaptar los derechos de acceso de los usuarios que han cambiado de roles o
trabajo y retirar o bloquear los derechos de acceso de los usuarios que han
abandonado la organización;
Otra información
Se recomienda considerar la posibilidad de establecer los roles de acceso a usuario
basado en los requisitos del negocio que resuman una serie de derechos de acceso en
perfiles típicos de acceso de usuario. Las solicitudes de acceso y reseñas (véase el
subinciso 9.2.4) son más fáciles de administrar a nivel de esos roles que a un nivel de
derechos particulares.
Control
La asignación y uso de los derechos de acceso privilegiado deben restringirse y
controlarse.
Guía de implementación
Se recomienda que la asignación de acceso privilegiado sea controlado a través de un
proceso de autorización formal de acuerdo con la política de control de acceso
correspondiente (véase el subinciso 9.1.1). Es recomendable que los siguientes pasos
se consideren:
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
33/110
Otra información
El uso inadecuado de los privilegios de la administración del sistema (cualquier
característica o instalación de un sistema de información que permite al usuario anular
los controles del sistema o aplicación) puede ser un factor importante que contribuye a
los errores o violaciones de los sistemas.
Control
La asignación de información secreta de autenticación debe controlarse a través de un
proceso de gestión formal. .
Guía de implementación
Se recomienda que el proceso incluya los siguientes requisitos:
Otra información
Las contraseñas son un tipo de información secreta de autenticación comúnmente
usadas y son un medio común para verificar la identidad de un usuario. Otros tipos de
información secreta de autenticación son las claves criptográficas y los datos
almacenados en otros hardware de autenticación (Tokens),- (por ejemplo, tarjetas
inteligentes) que producen los códigos de autenticación.
Control
Los propietarios de los activos deben revisar los derechos de acceso de los usuarios en
intervalos regulares.
Guía de implementación
La revisión de los derechos de acceso debe considerar lo siguiente:
b) Los derechos de acceso del usuario deben ser revisados y re-asignados al pasar
de un empleo a otro dentro de la misma organización;
e) Deben ser registrados los cambios de los privilegios en las cuentas para su
revisión periódica.
Otra información
Este control compensa las posibles deficiencias en la ejecución de los controles de los
subincisos 9.2.1, 9.2.2 y 9.2.6.
Control
Los derechos de acceso de todos los empleados y usuarios de partes externas a la
información e instalaciones de procesamiento de la información deben eliminarse
después de la terminación de su empleo, contrato o acuerdo, o adaptados a los
cambios producidos.
Guía de implementación
A la terminación, se recomienda retirar o suspender los derechos de acceso de un
individuo a la información y los activos asociados con las instalaciones de
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
35/110
Otra información
En determinadas circunstancias, los derechos de acceso pueden ser asignados con
base a estar disponibles a más personas a parte del empleado que abandona el empleo
o usuario de la parte externa, por ejemplo, ID´s de grupo. En tales circunstancias, se
recomienda que las personas que salen se retiren de las listas de acceso de grupos y
tomar medidas para avisar a todos los demás empleados y usuarios de partes externas
involucrados que ya no se comparta esta información con la persona que se retira.
Control
Se debe exigir a los usuarios que sigan las prácticas de la organización en el uso de su
información secreta de autenticación
Guía de implementación
Se recomienda informar a todos los usuarios de:
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
36/110
Otra información
Proporcionar un sistema centralizado de autenticación y autorización u otras
herramientas para la administración de la información secreta de autenticación
reducen la cantidad de información de autenticación secreta que los usuarios están
obligados a proteger y por lo tanto puede aumentar la eficacia de este control. Sin
embargo, estas herramientas también pueden aumentar el impacto de la divulgación
de la información secreta de autenticación.
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
37/110
Control
Se debe restringir el acceso a la información y a las funciones de las aplicaciones de los
sistemas de acuerdo con la política de control de acceso.
Guía de implementación
Se recomienda que las restricciones de acceso se basen en los requisitos de las de las
aplicaciones individuales de negocio y en concordancia con la política de control de
acceso definida.
c) Controlar los derechos de acceso de los usuarios, por ejemplo, leer, escribir,
borrar y ejecutar;
Control
Cuando se requiera por la política de control de acceso, el acceso a los sistemas y
aplicaciones debe controlarse por un procedimiento de inicio de sesión seguro
Guía de implementación
Se recomienda que se elija una técnica de autenticación adecuada para demostrar la
identidad de un usuario.
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
38/110
Otra información
Las contraseñas son una forma común para proporcionar la identificación y la
autenticación basada en un secreto que sólo el usuario conoce.
Control
Los sistemas de administración de contraseñas deben ser interactivos y deben
asegurar contraseñas de calidad.
Guía de implementación
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
39/110
Otra información
Algunas aplicaciones requieren contraseñas de los usuarios se asignen por una
autoridad independiente, en cuyo caso, los incisos b), d) y e) de la guía de arriba no se
aplican. En la mayoría de los casos, las contraseñas son seleccionadas y mantenidas
por los usuarios.
Control
El uso de los programas de utilidades del sistema principal y los controles del sistema y
de las aplicaciones debe estar restringido y estrechamente controlado.
Guía de implementación
Se recomienda que las siguientes directrices para el uso de las utilidades de los
programas que sean capaces de anular los controles del sistema y la aplicación:
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
40/110
i) No dejar disponibles las utilidades de los programas a los usuarios que tienen
acceso sobre los aplicaciones en sistemas donde se requiere la segregación de
tareas.
Otra información
La mayoría de las instalaciones en computadora tienen uno o más programas de
utilidades que pueden ser capaces de anular el sistema y los controles de aplicación.
Control
Se debe restringir el acceso al código fuente del programa.
Guía de implementación
El acceso al código fuente del programa y los elementos asociados (tales como planes
de los diseños, especificaciones, verificaciones, y planes de validación) es
recomendable que estén estrictamente controlados, con el fin de impedir la
introducción de funcionalidades no autorizadas y evitar cambios involuntarios, así
como mantener la confidencialidad de la propiedad intelectual valiosa. Para el código
fuente del programa, esto se puede lograr mediante el almacenamiento central
controlado de este código, preferentemente en las librerías de programas fuente. Es
recomendable que los siguientes lineamientos se tomen en consideración para
controlar el acceso a estas librerías de los programas fuente a fin de reducir las
posibilidades de corrupción de programas informáticos:
a) Cuando sea posible, es recomendable que las librerías de los programas fuente
no estén dentro de los sistemas operativos;
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
41/110
10 CRIPTOGRAFÍA
Control
Asegurar el uso apropiado y eficaz de la criptografía para proteger la confidencialidad,
autenticidad y/ o integridad de la información.
Guía de implementación
Se recomienda que en el desarrollo de una política criptográfica se consideren los
siguientes puntos:
d) El enfoque para la gestión de claves, incluidos los métodos para hacer frente a
la protección de las llaves de cifrado y la recuperación de la información cifrada
en caso de llaves pérdidas, comprometidas o dañadas;
1) La implementación de la política;
g) El impacto del uso de la información cifrada sobre los controles que confían en
la inspección de contenido (por ejemplo, detección de software malicioso).
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
42/110
Otra información
Tomar una decisión en cuanto a si una solución criptográfica es apropiada es
recomendable que sea vista como parte de un proceso más amplio de valoración de
riesgos y la selección de los controles. Esta valoración se puede utilizar para
determinar si un control criptográfico es apropiado, qué tipo de control es necesario
aplicar y con qué propósito y los procesos del negocio.
Una política sobre el uso de controles criptográficos es necesaria para maximizar los
beneficios y minimizar los riesgos del uso de técnicas criptográficas y para evitar el uso
inadecuado o incorrecto.
Control
Se debe desarrollar e implementar una política sobre el uso, protección y tiempo de
vida de las llaves criptográficas a través de todo su ciclo de vida
Guía de implementación
Se recomienda que la política incluya los requisitos para la gestión de llaves
criptográficas en todo su ciclo de vida, incluida la generación, almacenamiento,
retención, recuperación, distribución y retiro y la destrucción de las llaves.
Se recomienda que todas las claves criptográficas se protejan contra toda alteración y
pérdida. Además, las claves secretas y privadas necesitan protección contra el uso no
autorizado, así como la divulgación. Es recomendable que el equipo utilizado para
generar, almacenar y archivar llaves este físicamente protegido.
Se recomienda que un sistema de gestión de llaves se base en un conjunto de normas,
procedimientos y métodos seguros para:
e) Cambiar o actualizar las llaves incluyendo reglas sobre cuándo y cómo se deben
cambiar las llaves;
g) Revocar llaves incluyendo cómo retirar o desactivar las llaves, por ejemplo,
cuando las llaves han sido comprometidas o cuando un usuario deja una
organización (en qué caso las llaves también necesitan ser archivadas);
j) La destrucción de llaves;
El contenido de los acuerdos del nivel de servicio o contratos con proveedores externos
de servicios criptográficos, por ejemplo, con una autoridad de certificación, se sugiere
abarque temas de responsabilidad, fiabilidad de los servicios y tiempos de respuesta
para la prestación de servicios (véase el inciso 15.2).
Otra información
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
44/110
Las técnicas criptográficas también pueden ser utilizadas para proteger las llaves de
cifrado. Los procedimientos podrían considerar para el manejo de solicitudes legales el
acceso a las llaves criptográficas, por ejemplo, se puede necesitar sea puesta a
disposición la información en forma no cifrada como prueba en un juicio.
Control
Se deben definir y utilizar perímetros de seguridad para proteger las áreas que
contienen información ya sea sensible o crítica y las instalaciones de procesamiento de
la información.
Guía de implementación
Se recomienda que las siguientes directrices se consideren e implementen en los
perímetros de seguridad física cuando sea apropiado:
d) Donde sea aplicable, construir barreras físicas para prevenir el acceso físico no
autorizado y la contaminación del medio ambiente;
e) Monitorear, contar con alarmas y probar todas las puertas contra incendio
dentro del perímetro de seguridad en conjunto con paredes para establecer el
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
45/110
Otra información
La protección física se puede lograr mediante la creación de una o más barreras físicas
alrededor de las instalaciones de la organización y las instalaciones de procesamiento
de la información. El uso de barreras múltiples ofrece una protección adicional, en
donde la falla de una sola barrera no significa que la seguridad está comprometida
inmediatamente.
Un área segura puede ser una oficina con llave o varias habitaciones rodeadas por una
barrera continua interna de seguridad física. Las barreras y perímetros adicionales para
controlar el acceso físico pueden ser necesarios entre áreas con diferentes requisitos
de seguridad dentro del perímetro de seguridad. Se recomienda especial atención a la
seguridad de acceso físico en el caso de edificios que resguarden activos para múltiples
organizaciones.
Control
Se deben proteger las áreas seguras mediante controles de entrada apropiados para
garantizar que sólo el personal autorizado tenga acceso permitido.
Guía de implementación
Se recomienda considerar los siguientes puntos:
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
46/110
e) Revisar con regularidad, actualizar y revocar cuando sea necesario los derechos
de acceso a áreas seguras (véanse los subincisos 9.2.5 y 9.2.6).
Control
Se debe diseñar y aplicar seguridad física para oficinas, salas e instalaciones. .
Guía de implementación
Se recomienda considerar las siguientes directrices para asegurar las oficinas, las salas
e instalaciones:
Control
Se debe diseñar y aplicar protección física contra desastres naturales, ataques
maliciosos o accidentes.
Guía de implementación
Se recomienda obtener asesoramiento especializado sobre cómo evitar daños
derivados de incendios, inundación, terremoto, explosión, disturbios civiles y otras
formas de desastre natural o causadas por el hombre;
Control
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
47/110
Guía de implementación
Se recomienda considerar las siguientes directrices:
a) Concientizar al personal de la existencia de, actividades dentro de áreas
seguras sólo si es estrictamente necesario hacerlo de su conocimiento;
d) No permitir el uso de equipo fotográfico, de audio y video a menos que éste sea
autorizado.
Las medidas necesarias para trabajar en áreas seguras incluye el control de los
empleados, y usuarios de partes externas que trabajen en áreas seguras, y es
recomendable que ellos cubran todas las actividades que se lleven a cabo en dichas
áreas.
Control
Los puntos de acceso, tales como las áreas de entrega y carga y otros puntos en los
que personas no autorizadas puedan entrar en las instalaciones deben ser controlados
y, si es posible, aislados de las instalaciones de procesamiento de la información para
evitar acceso no autorizado.
Guía de implementación
Se recomienda que las siguientes directrices se consideren:
b) Diseñar el área de carga y descarga de tal forma que los suministros puedan
ser cargados y descargados sin que el personal de la entrega tenga acceso a
otras partes del edificio;
c) Cerrar las puertas externas del área de carga y descarga en el momento que se
abran las puertas internas;
11.2 Equipo
Control
El equipo debe estar situado y protegido para reducir los riesgos de amenazas
ambientales y peligros, y las oportunidades para el acceso no autorizado.
Guía de implementación
Se recomienda que las siguientes directrices se consideren:
h) Aplicar protección contra los rayos a todos los edificios e instalar filtros de
protección contra rayos en todas las líneas entrantes de comunicaciones y de
alimentación;
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
49/110
Control
El equipo debe estar protegido contra fallas de energía y otras interrupciones causadas
por fallas en los servicios públicos.
Guía de implementación
Se recomienda que las utilidades de soporte (por ejemplo, el suministro de
electricidad, telecomunicaciones, agua, gas natural, alcantarillado, calefacción,
ventilación y aire acondicionado):
a) Cumplan con las especificaciones del fabricante del equipo y los requisitos
legales locales;
Otra información
La redundancia adicional para la conectividad de red puede ser obtenerse por medio de
múltiples rutas de más de un proveedor de servicios públicos.
Control
El cableado de energía y telecomunicaciones que transporten datos o soporten los
servicios de la información debe protegerse de intercepción, interferencia y daño.
Guía de implementación
Se recomienda que las siguientes directrices del cableado se consideren:
a) Cuando sea posible, estén bajo tierra las líneas de suministro de energía y
telecomunicaciones dentro de las instalaciones de procesamiento de la
información, o sujetas a una protección alternativa adecuada;
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
50/110
Control
El equipo debe mantenerse correctamente para asegurar su continua disponibilidad e
integridad.
Guía de implementación
Se recomienda que las siguientes directrices para el mantenimiento del equipo se
consideren:
e) Cumplir con todos los requisitos de mantenimiento impuestos por las pólizas de
seguro;
Control
No se debe sacar del sitio sin autorización previa el equipo, información o software.
Guía de implementación
Se recomienda que las siguientes directrices se consideren:
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
51/110
b) Establecer los plazos para el retiro del equipo y regresar verificados por
cumplimiento;
c) Cuando sea necesario y apropiado, registrar por qué fue retirado fuera del sitio
el activo y registrar cuándo regresó;
Otra información
Realizar verificaciones del sitio, para detectar el retiro no autorizado del activo,
también se pueden realizar para detectar dispositivos de grabación no autorizados,
armas, etc., y para prevenir su entrada y salida del sitio. Se recomienda que estas
verificaciones se lleven a cabo de conformidad con la legislación y los reglamentos
pertinentes. Es recomendable que las personas sean conscientes de que las
verificaciones se deben realizar con la debida autorización de los requisitos legales y
reglamentarios.
Control
Se debe aplicar seguridad a los activos fuera de las instalaciones tomando en cuenta
los diferentes riesgos de trabajar fuera de las instalaciones de la organización.
Guía de implementación
Se recomienda que el uso de cualquier equipo de almacenamiento de información y
procesamiento fuera de las instalaciones de la organización sea autorizado por la
dirección. Esto se aplica a los equipos propiedad de la organización y aquellos equipos
de propiedad privada y utilizados en representación de la organización.
c) Determinar por una valoración de riesgos los controles de lugares fuera de las
instalaciones, tales como el trabajo en casa, teletrabajo y sitios temporales y
aplicar los controles donde sean apropiados, por ejemplo, archiveros con llave,
la política de escritorio limpio, controles de acceso para computadoras y la
comunicación segura con la oficina, para más información véanse las normas
que se indican en los incisos A.10, A.11, A.12, A.13 y A.14 del apéndice A;
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
52/110
Otra información
El equipamiento para el almacenamiento y procesamiento de información incluye
todas las formas de computadoras personales, organizadores, teléfonos móviles,
tarjetas inteligentes, papel o de otro tipo, que se utilice para el trabajo en casa o que
sea transportado, lejos del lugar de trabajo habitual.
Más información sobre otros aspectos de la protección de los equipos móviles se puede
encontrar en el inciso 6.2.
Puede ser apropiado evitar el riesgo desalentando a ciertos empleados a trabajar fuera
de las instalaciones o restringiendo el uso de equipos informáticos portátiles.
Control
Todos los elementos del equipo que contiene medios de almacenamiento deben ser
verificados para garantizar que cualquier dato sensible y software licenciado ha sido
eliminado o sobrescrito de manera segura previo a su disposición o reutilización.
Guía de implementación
Se recomienda verificar si el equipo contiene o no medios de almacenamiento antes de
su eliminación o reutilización.
Otra información
El medio de almacenamiento contenido en el equipo dañado puede requerir una
valoración de riesgos para determinar si los elementos deben ser físicamente
destruidos en lugar de enviarse para su reparación o disposición. La información puede
verse comprometida por la eliminación descuidada o reutilización de los equipos.
Además del borrado seguro del disco, la encriptación de todo el disco reduce el riesgo
de divulgación de información confidencial cuando el equipo es eliminado o se
redistribuido, siempre que:
Para obtener más consejos acerca del cifrado, véase el capítulo 10.
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
53/110
Las técnicas para la sobre escritura segura de los medios de almacenamiento difieren
de acuerdo a la tecnología de medios de almacenamiento. Se recomienda revisar las
herramientas de sobre escritura para asegurarse de que son aplicables a la tecnología
de los medios de almacenamiento.
Control
Los usuarios deben garantizar que el equipo desatendido tenga la protección
adecuada.
Guía de implementación
Se recomienda que todos los usuarios sean conscientes de los requisitos y
procedimientos de seguridad para la protección de equipos desatendidos, así como sus
responsabilidades para la implementación de dicha protección. Es recomendable que
los usuarios sean asesorados sobre:
a) Terminar las sesiones activas cuando hayan terminado, a menos que ellos
puedan asegurarla mediante un mecanismo de bloqueo apropiado, por ejemplo
un protector de pantalla protegido por contraseña;
Control
Se debe adoptar una política de escritorio limpio de papeles y medios de
almacenamiento removibles y una política de pantalla limpia para las instalaciones de
procesamiento de la información.
Guía de implementación
Se recomienda que la política de escritorio y pantalla limpia tenga en cuenta la
clasificación de la información (véase el inciso 8.2), los requisitos legales y
contractuales (véase el inciso 18.1), los riesgos correspondientes y los aspectos
culturales de la organización. Es recomendable que las siguientes directrices se
consideren:
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
54/110
Otra información
Una política de escritorio y pantalla limpia reduce los riesgos derivados del acceso no
autorizado, pérdida o el daño a la información durante y fuera de las horas normales
de trabajo. Las cajas de seguridad u otras formas seguras de almacenamiento de las
instalaciones también pueden proteger la información almacenada en el mismo contra
desastres como incendio, terremoto, inundación o explosión.
Considere el uso de las impresoras con función de código PIN, por lo que los autores
son los únicos que pueden obtener sus impresiones y sólo cuando está de pie junto a
la impresora.
Control
Deben documentarse los procedimientos operativos y estar disponibles para todos los
usuarios que los necesiten.
Guía de implementación
Se recomienda que los procedimientos documentados estén preparados para las
actividades operativas asociadas con las instalaciones del procesamiento de
información y comunicación, tales como los procedimientos poner en marcha y apagar
los equipos, respaldos, mantenimiento de equipos, manejo de medios, gestión y
seguridad y uso de salas de informática y correo.
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
55/110
Control
Se deben controlar los cambios en la organización, procesos de negocio, instalaciones
de procesamiento de la información y sistemas que afecten a la seguridad de la
información.
Guía de implementación
En particular, es recomendable que los siguientes elementos sean considerados:
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
56/110
Otra información
El control inadecuado de cambios en las instalaciones de procesamiento de la
información y sistemas es una causa común de fallas del sistema o de seguridad. Los
cambios en el entorno operativo, especialmente cuando se transfiere un sistema del
entorno de desarrollo al entorno de operación, puede tener un impacto sobre la
confiabilidad de las aplicaciones (véase el subinciso 14.2.2).
Control
El uso de recursos debe monitorearse, afinarse para realizar proyecciones de los
requisitos futuros de la capacidad para garantizar el desempeño requerido de los
sistemas.
Guía de implementación
Se recomienda que los requisitos de capacidad sean identificados, teniendo en cuenta
lo critico del negocio del sistema en cuestión. Es recomendable que el ajuste y
monitoreo del sistema se aplique para garantizar y, cuando sea necesario, mejorar la
disponibilidad y eficiencia de los sistemas. Es recomendable que se implementen
controles de detección para indicar los problemas en el momento oportuno. Es
recomendable que las proyecciones de los requisitos de capacidad futura se tomen en
cuenta en los requisitos de negocio y sistemas nuevos y las tendencias actuales y
pronosticadas de la capacidad del procesamiento de la información de la organización.
Necesita prestarse particular atención a cualquier recurso con tiempos largos para su
contratación o entrega, o costos altos, por lo tanto, es recomendable que los gerentes
supervisen el uso de los recursos clave del sistema. Se recomienda que ellos
identifiquen las tendencias en el uso, especialmente en relación con las aplicaciones del
negocio o herramientas de administración de sistemas de información.
Es recomendable que los gerentes utilicen esta información para identificar y evitar
posibles cuellos de botella y la dependencia del personal clave que pueden presentar
una amenaza a la seguridad del sistema o de servicios, y planificar las medidas
oportunas.
Otra información
Este control también se refiere a la capacidad de los recursos humanos, así como las
oficinas e instalaciones.
Control
Se deben separar los entornos de desarrollo, pruebas y operación para reducir los
riesgos de acceso no autorizado o cambios en el entorno de operación.
Guía de implementación
Se recomienda identificar y aplicar el nivel de separación entre los entornos de
operación, pruebas y desarrollo que sea necesario para prevenir problemas de
operativos.
g) No copiar los datos sensibles dentro del entorno de las pruebas del sistema a
menos que se disponga de controles equivalentes para los sistemas de pruebas
(véase el inciso 14.3).
Otra información
Las actividades de desarrollo y las pruebas pueden causar serios problemas, por
ejemplo, la modificación no deseada de archivos o falla del entorno del sistema o del
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
58/110
Control
Se deben implementar controles de detección, prevención y recuperación para
protegerse contra malware y combinarse con una apropiada concientización a usuarios.
Guía de implementación
Es recomendable que la protección contra el malware se base en la detección del
malware y reparación del software, la concientización de seguridad y controles para el
acceso al sistema, y gestión del cambio apropiado. Se recomienda que las siguientes
directrices se consideren:
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
59/110
f) Llevar a cabo revisiones periódicas del contenido de software y los datos de los
sistemas de soporte a los procesos críticos del negocio, investigar formalmente
la presencia de los archivos no autorizados o modificaciones no autorizadas;
Otra información
El uso de dos o más productos de software de protección contra el malware en todo el
entorno del procesamiento de la información de diferentes proveedores y la tecnología
puede mejorar la eficacia de la protección del malware.
12.3 Respaldos
Control
Copias de respaldos de la información, software e imágenes de sistemas deben
realizarse y probarse regularmente de acuerdo con la política de respaldos acordada.
Guía de implementación
Se recomienda establecer una política de respaldos para definir los requisitos de la
organización para los respaldos de la información, del software y los sistemas.
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
61/110
Guía de implementación
Se recomienda que los registros de eventos deban incluir, cuando sea pertinente:
h) Uso de privilegios;
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
62/110
Otra información
Los registros de eventos pueden contener datos sensibles e información de
identificación personal. Es recomendable que se adopten las medidas adecuadas de
protección de la privacidad (véase el subinciso 18.1.4).
Control
Se deben proteger contra acceso no autorizado y manipulación la información del
registro (logs) e infraestructura para el registro.
Guía de implementación
Se recomienda que los controles estén dirigidos a proteger contra cambios no
autorizados y problemas operacionales con los servicios de registros de eventos
incluyendo:
Algunos registros de auditoría pueden requerir ser archivados como parte de la política
de retención de registros o debido a los requisitos para reunir y conservar las pruebas
(véase el subinciso 16.1.7).
Otra información
Los registros de eventos del sistema a menudo contienen una gran cantidad de
información, mucha de la cual es ajena al monitoreo de la seguridad. Para ayudar a
identificar los eventos significativos para fines de monitoreo de seguridad, se
recomienda considerar la copia de los tipos de mensajes apropiados registrados
automáticamente a un segundo registro de evento (log) o el uso de las utilidades del
sistema o herramientas de auditorías adecuadas para ejecutar archivos de
interrogación o racionalización.
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
63/110
Los registros de eventos del sistema necesitan estar protegidos, ya que si los datos en
ellos pueden ser modificados o borrados, su existencia puede crear una falsa sensación
de seguridad. La copia en tiempo real de los registros de eventos a un sistema fuera
del control de un administrador u operador del sistema puede ser utilizada para
salvaguardar los registros de eventos.
Control
Se deben registrar, proteger y revisar los registros de eventos (logs) de las actividades
del administrador y del operador de sistemas
Guía de implementación
Las cuentas de usuarios privilegiados pueden ser capaces de manipular los registros de
eventos de las instalaciones de procesamiento de la información bajo su control
directo, por lo que es necesario proteger y revisar la información del registro de
eventos para mantener la rendición de cuentas para los usuarios privilegiados.
Otra información
Un sistema de detección de intrusión administrada fuera del control del sistema y los
administradores de red se puede utilizar para supervisar el sistema y de las actividades
de administración de red para cumplimiento.
Control
Los relojes de todos los sistemas de procesamiento de la información relevantes dentro
de la organización o dominio de seguridad deben estar sincronizados con una sola
fuente de tiempo de referencia.
Guía de implementación
Se recomienda que los requisitos externos e internos para la representación, la
sincronización y la precisión del tiempo estén documentados. Estos requisitos pueden
ser legales, los reglamentarios, contractuales, por cumplimiento de normas o
requisitos del monitoreo interno. Es recomendable se defina un tiempo de referencia
estándar para el uso dentro de la organización.
Otra información
El ajuste correcto de los relojes de los equipos es importante para asegurar la
exactitud de los registros de eventos de auditoría, que pueden ser necesarios para
investigaciones o como evidencias en casos legales o disciplinarios. Los registros
inexactos de registro de eventos de auditoría pueden obstaculizar las investigaciones y
dañar la credibilidad de esas evidencias. Un reloj vinculado a una emisión de tiempo
por radio desde un reloj atómico nacional se puede utilizar como el reloj maestro para
los sistemas de registro de eventos. Un protocolo de tiempo de red se puede utilizar
para mantener todos los servidores en sincronización con el reloj maestro.
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
64/110
Control
Se deben implementar procedimientos para controlar la instalación de software en
sistemas operacionales.
Guía de implementación
Se recomienda considerar las siguientes directrices para el control de cambios de
software en los sistemas operativos:
g) Las versiones antiguas del software de aplicación deben mantenerse como una
medida de contingencia;
Control
Se debe obtener información acerca de las vulnerabilidades técnicas de los sistemas de
información que están siendo utilizados de manera oportuna, evaluar la exposición de
la organización a tales vulnerabilidades y tomar medidas apropiadas para tratar los
riesgos asociados.
Guía de implementación
Un inventario actualizado y completo de los activos (véase el capítulo 8) es un
requisito previo para una gestión eficaz de vulnerabilidades técnicas. La información
específica necesaria para apoyar la gestión de vulnerabilidades técnicas incluye el
proveedor de software, números de versión, el estado actual del despliegue (por
ejemplo, qué software está instalado en qué sistemas) y la(s) persona(s) dentro de la
organización responsable(s) del software.
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
66/110
g) Probar y evaluar los parches antes de instalarlos para asegurar que sean
eficaces y no causen efectos secundarios que no se puedan tolerar, si no hay un
parche disponible, es recomendable que se consideren otros controles, tales
como:
Otra información
La gestión de la vulnerabilidad técnica puede ser vista como una sub-función de la
gestión del cambio y, como tal, puede tomar ventaja de los procesos y procedimientos
de gestión de cambio (véanse los subincisos 12.1.2 y 14.2.2).
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
67/110
Los vendedores están a menudo bajo una gran presión para liberar parches tan pronto
como sea posible. Por lo tanto, el parche puede no tratar el problema de manera
adecuada y puede tener efectos secundarios negativos. También, en algunos casos, la
desinstalación de un parche puede no lograrse fácilmente una vez que éste se ha
aplicado.
Si la prueba adecuada de los parches no es posible, por ejemplo, debido a los costos o
la falta de recursos, se puede considerar un retraso en la aplicación de parches para
evaluar los riesgos asociados, basados en la experiencia reportada por otros usuarios.
El uso de la norma que se indica en el inciso A.9 del apéndice A puede ser beneficioso.
Control
Se debe establecer e implementar reglas que gobiernen la instalación de software por
los usuarios
Guía de implementación
Se recomienda que la organización defina y aplique una política estricta a los usuarios
sobre los tipos de software que pueden instalar.
Otra información
La instalación descontrolada de software en plataformas informáticas puede conducir a
la introducción de vulnerabilidades y luego a la fuga de información, pérdida de
integridad o de otros incidentes de seguridad de la información, o violación de los
derechos de propiedad intelectual.
Control
Los requisitos de la auditoría y las actividades que implican la verificación de los
sistemas operacionales deben planearse y acordarse cuidadosamente para minimizar
las interrupciones a los procesos del negocio.
Guía de implementación
Se recomienda que las siguientes directrices se consideren:
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
68/110
c) Limitar al acceso de sólo lectura a los programas y datos de las pruebas de una
auditoría;
d) El acceso que no sea de sólo lectura sólo debe permitirse para copias aisladas
de los archivos del sistema, los cuales es recomendable que sean borrados
cuando se complete la auditoría, o reciban protección adecuada si existe una
obligación de mantener estos archivos en los requisitos de la documentación de
la auditoría;
f) Ejecutar fuera del horario las pruebas de auditoría que pueden afectar a la
disponibilidad del sistema;
Control
Las redes deben gestionarse y controlarse para proteger la información en los sistemas
y aplicaciones.
Guía de implementación
Se recomienda implementar controles para garantizar la seguridad de la información
en las redes y la protección de los servicios conectados de accesos no autorizados. En
particular es recomendable que las siguientes directrices se consideren:
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
69/110
Otra información
Información adicional sobre la seguridad de la red se puede encontrar en las normas
que se indican en los incisos A.10, A.11, A.12, A.13 y A.14 del apéndice A.
Control
Los mecanismos de seguridad, niveles de servicio y los requisitos de gestión para
todos los servicios de la red deben identificarse e incluirse en los acuerdos de servicios
de red, ya sea que estos servicios sean provistos internamente o se subcontraten.
Guía de implementación
Se recomienda que la capacidad del proveedor del servicio de red para administrar los
servicios acordados de forma se determine y controle con regularidad, y se acuerde el
derecho a auditar.
Otra información
Los servicios de red incluyen la provisión de conexiones, servicios de redes privadas y
redes de valor adicional y soluciones para la administración de seguridad de red como
cortafuegos (firewalls) y sistemas de detección de intrusos. Estos servicios pueden ir
desde una simple banda ancha no administrada hasta ofertas de valor añadido
complejos.
b) Parámetros técnicos necesarios para la conexión segura con los servicios de red
de acuerdo con las reglas de seguridad y de conexión de red;
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
70/110
Control
Los grupos de servicios de información, usuarios y sistemas de información deben
estar segregados en las redes.
Guía de implementación
Un método de administración de la seguridad en las redes de gran tamaño es dividirlas
en dominios de red independientes. Los dominios pueden ser elegidos con base a los
niveles de confianza (por ejemplo, dominio de acceso público, el dominio de escritorio,
servidor de dominio), así como por unidades de organización (por ejemplo, recursos
humanos, finanzas, comercialización) o una combinación (por ejemplo, el dominio del
servidor se conecta a varias unidades organizativas). La segregación puede hacerse
utilizando redes físicamente diferentes o mediante el uso de diferentes redes lógicas
(por ejemplo, una red virtual privada).
Se recomienda que el perímetro de cada dominio este bien definido. El acceso entre
dominios de la red está permitido, pero se recomienda que esté controlado en el
perímetro utilizando una puerta de enlace (por ejemplo, cortafuegos, enrutador de
filtrado). Los criterios para la segregación de las redes dentro de los dominios, y el
acceso permitido a través de las puertas de enlace, se recomiendan este basado sobre
una evaluación de los requisitos de seguridad de cada dominio.
Otra información
Las redes a menudo se extienden más allá de los límites organizativos, y por como las
asociaciones de negocio están conformadas pueden requerir la interconexión o el uso
compartido de las instalaciones red y procesamiento de la información.
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
71/110
Control
Deben existir políticas formales de transferencia, procedimientos y controles para
proteger la transferencia de información a través del uso de cualquier tipo de medio de
comunicación.
Guía de implementación
Los procedimientos y controles a seguir cuando se utilizan los servicios de
comunicaciones para la transferencia de información es recomendable consideren los
siguientes elementos:
Otra información
La transferencia de información puede ocurrir mediante el uso de un número de
diferentes tipos de servicios de comunicación, incluyendo el correo electrónico, voz, fax
y vídeo.
Control
Los acuerdos deben abordar la transferencia segura de la información del negocio
entre la organización y las partes externas.
Guía de implementación
Se recomienda que los acuerdos de transferencia de información incluyan lo siguiente:
d) Acuerdos de custodia;
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
73/110
Otra información
Los acuerdos pueden ser en electrónico o manuales, y pueden ser parte de contratos
formales. Para la información confidencial, se recomienda que los mecanismos
específicos que se utilizan para la transferencia de información de ese tipo de
información sean consistentes con todas las organizaciones y tipos de acuerdos.
Control
La información involucrada en mensajes electrónicos debe estar protegida
apropiadamente.
Guía de implementación
Se recomienda que las consideraciones de seguridad para la mensajería electrónica
incluyan lo siguiente:
Otra información
Existen muchos tipos de mensajería electrónica como el correo electrónico, el
intercambio electrónico de datos y las redes sociales los cuales juegan un papel
importante en las comunicaciones de negocio.
Control
Se deben identificar, revisar regularmente y documentar los requisitos para los
acuerdos de confidencialidad o no divulgación reflejando las necesidades de la
organización para la protección de la información.
Guía de implementación
Se recomienda que los acuerdos de confidencialidad o no divulgación aborden la
necesidad de proteger la información confidencial utilizando términos legalmente
exigibles. Los acuerdos de confidencialidad o no divulgación son aplicables a terceros o
empleados de la organización. Es recomendable que los elementos sean seleccionados
o incluidos en consideración del tipo de la otra parte y su acceso o la manipulación de
la información confidencial aceptable. Para identificar los requisitos de los acuerdos de
confidencialidad o no divulgación, es recomendable que los siguientes elementos sean
considerados:
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
75/110
Otra información
Los acuerdos de confidencialidad y no divulgación protegen la información de la
organización e informan a los signatarios de su responsabilidad de proteger, utilizar y
divulgar la información de una manera responsable y autorizada.
Control
Los requisitos relacionados con la seguridad de la información deben estar incluidos en
los requisitos para los nuevos sistemas de información o mejoras a los sistemas de
información existentes.
Guía de implementación
Se recomienda que los requisitos de seguridad de la información se identifiquen
usando diversos métodos, tales como los derivados de requisitos de cumplimiento de
políticas y regulaciones, modelos de amenaza revisiones de incidentes o uso de
umbrales de vulnerabilidad. Es recomendable documentarlos los resultados de la
identificación y revisarlos con todas las partes interesadas.
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
76/110
e) Los requisitos derivados de los procesos del negocio, tales como el registro de
transacciones, monitoreo y requisitos de no repudio;
Para las aplicaciones que ofrecen servicios a través de redes públicas o implementan
transacciones, es recomendable considerar los controles dedicados en los subincisos
14.1.2 y 14.1.3.
Se recomienda que los criterios para la aceptación de los productos sean definidos por
ejemplo, en términos de su funcionalidad, que den garantía de que los requisitos de
seguridad identificados se cumplen. Es recomendable que los productos sean
evaluados en relación con estos criterios antes de la adquisición. Se recomienda que
cualquier funcionalidad adicional sea revisada para asegurarse de que no presenta
riesgos adicionales inaceptables.
Otra información
La NMX-I-27005-NYCE y la norma que se indica en el inciso A.21 del apéndice A
proporcionan orientación sobre el uso de los procesos de la gestión de riesgos para
cumplir con los requisitos de seguridad de la información.
Control
La información involucrada en servicios de aplicaciones que pasan sobre redes públicas
debe estar protegida de actividades fraudulentas, disputas contractuales y exposición
no autorizada y modificación.
Guía de implementación
Se recomienda que las consideraciones de seguridad de la información para los
servicios de aplicaciones en redes incluyan lo siguiente:
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
77/110
a) El nivel de confianza que cada parte requiere en cada una de la identidad del
otro, por ejemplo, a través de la autenticación;
m) Requisitos de aseguradoras;
Es recomendable que los acuerdos de servicios de aplicaciones entre los socios estén
apoyados por un acuerdo documentado que comprometa a ambas partes en los
términos acordados en los servicios, incluyendo los detalles de autorización (véase el
inciso “b” anterior).
Otra información
Las aplicaciones accesibles a través de redes públicas están sujetas a una serie de
amenazas relacionadas con la red, como las actividades fraudulentas, disputas
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
78/110
Control
La información involucrada en transacciones de servicios de aplicación debe estar
protegida para prevenir transmisión incompleta, errores de enrutamiento, alteración de
mensajes no autorizados, divulgación no autorizada, duplicación del mensaje no
autorizado o reproducción.
Guía de implementación
Se recomienda que las consideraciones de seguridad de la información para los
servicios de aplicación de transacciones incluyan lo siguiente:
2) La transacción es confidencial;
c) Se encriptan los protocoles utilizados para comunicarse entre todas las partes
involucrados;
d) Son seguros los protocolos utilizados para la comunicación entre todas las
partes involucradas;
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
79/110
Otra información
La extensión de los controles adoptados necesita ser acorde con el nivel de riesgo
asociado con cada forma de transacción del servicio de aplicación.
Control
Deben establecerse y aplicarse reglas para el desarrollo de software y sistemas en los
desarrollos dentro de la organización.
Guía de implementación
El desarrollo seguro es un requisito para construir un servicio seguro, la arquitectura,
el software y el sistema. Dentro de una política de desarrollo seguro, los siguientes
aspectos se recomienda sean sometidos a su consideración:
e) Repositorios seguros;
Otra información
El desarrollo también puede implementarse dentro de aplicaciones, como las de
oficina, navegadores, scripts y bases de datos.
Control
Los cambios a los sistemas dentro del ciclo de vida del desarrollo deben estar
controlados mediante el uso de procedimientos formales de control de cambios.
Guía de implementación
Documentar y aplicar los procedimientos formales para asegurar la integridad de los
sistemas, las aplicaciones y los productos, desde las etapas iniciales del diseño a
través de todos los esfuerzos de mantenimiento posteriores. Es recomendable que la
introducción de nuevos sistemas y cambios importantes en los sistemas existentes siga
un proceso formal para la documentación, especificación, pruebas, control de calidad e
implementación gestionada
Se recomienda que este proceso incluya una valoración de riesgos, el análisis de los
impactos de los cambios y la especificación de los controles de seguridad necesarios.
Es recomendable que este proceso también garantice que la seguridad y los
procedimientos existentes de control no estén comprometidos, que a los
programadores de soporte se les proporcione el acceso a sólo aquellas partes del
sistema necesarios para su trabajo, y que se obtiene de acuerdo formal y la
aprobación de cualquier cambio.
Otra información
El cambio de software puede afectar el entorno operativo, y viceversa.
La buena práctica incluye la prueba de software nuevo en un entorno separado de los
entornos de producción y desarrollo (véase el subinciso 12.1.4). Esto proporciona un
medio de control sobre el nuevo software y permite protección adicional de la
información operativa que se utiliza para propósitos de prueba. Es recomendable se
incluyan las actualizaciones de parches, paquetes de servicios y otras actualizaciones.
Control
Cuando cambian las plataformas operativas, las aplicaciones críticas del negocio deben
revisarse y probarse para garantizar que no hay un impacto adverso en las
operaciones de la organización o en la seguridad.
c) Asegurar que los cambios necesarios se hacen a los planes de continuidad del
negocio (véase el capítulo 17).
Otra información
Las plataformas operativas incluyen sistemas operativos, bases de datos y plataformas
que asisten a una aplicación para interactuar o comunicarse con otras aplicaciones
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
82/110
Control
Se deben disuadir las modificaciones a los paquetes de software, limitar a los cambios
necesarios y todos los cambios deben estar estrictamente controlados.
Guía de implementación
Siempre que sea posible y factible, es recomendable que los paquetes de software
suministrados por los vendedores se utilicen sin modificación. Cuando un paquete de
software requiera modificación, se recomienda que los siguientes puntos sean
considerados:
Control
Se deben establecer, documentar, mantener y aplicar principios de ingeniería para
sistemas seguros a cualquier esfuerzo de implementación de sistemas de información.
Guía de implementación
Es recomendable que los procedimientos de ingeniería de sistemas de información
seguros, basados en principios de ingeniería se establezcan, documenten y apliquen a
actividades internas de ingeniería de sistemas de información. Se recomienda que la
seguridad sea diseñada en todas las capas de la arquitectura (de negocio, datos,
aplicaciones y tecnología) equilibrando la necesidad de seguridad de la información con
la necesidad de la accesibilidad. Es recomendable que las nuevas tecnologías sean
analizadas con respecto a los riesgos de seguridad y el diseño sea revisado contra los
patrones de ataque conocidos.
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
83/110
Otra información
Es recomendable que los procedimientos de desarrollo de aplicaciones apliquen
técnicas de ingeniería seguras en el desarrollo de aplicaciones con interfaces de
entrada y salida. Las técnicas de ingeniería segura proporcionan orientación sobre
técnicas de autenticación de usuarios, control de sesión segura y validación de datos,
desinfección y eliminación de códigos de depuración.
Control
Las organizaciones deben establecer y proteger apropiadamente los entornos de
desarrollo seguro para el desarrollo del sistema y los esfuerzos de integración que
cubran todo el ciclo de vida del desarrollo del sistema.
Guía de implementación
Un entorno de desarrollo seguro incluye las personas, los procesos y la tecnología
relacionados con el desarrollo e integración de sistemas.
Se recomienda que las organizaciones evalué los riesgos asociados con cada uno de los
esfuerzos individuales del desarrollo del sistema y establezca entornos seguros de
desarrollo para los esfuerzos de desarrollo del sistema específico.
Control
La organización debe supervisar y monitorear la actividad del desarrollo de sistemas
subcontratados (outsourcing).
Guía de implementación
Cuando el desarrollo del sistema es subcontratado, se recomienda que los siguientes
puntos sean considerados a través de toda la cadena de suministro externo de la
organización:
Otra información
Para más información sobre las relaciones con proveedores se puede encontrar en las
normas que se indican en los incisos A.16 y A.17 del apéndice A.
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
85/110
Control
Se deben llevar a cabo pruebas de la funcionalidad de seguridad durante el desarrollo
Guía de implementación
Los sistemas nuevos y actualizados requieren pruebas exhaustivas y verificación
durante los procesos de desarrollo incluyendo la preparación de un programa detallado
de actividades, entradas de prueba y los resultados esperados bajo una serie de
condiciones. En cuanto al desarrollo interno, se recomienda que estas pruebas
inicialmente sean realizadas por el equipo de desarrollo. Es recomendable que después
se realicen pruebas independientes (tanto internas como para los desarrollos externos)
para asegurar que el sistema funciona como se esperaba (véanse los subincisos 14.1.1
y 14.1.9). Es recomendable que el alcance de las pruebas sea proporcional a la
importancia y la naturaleza del sistema.
Control
Se deben establecer programas de pruebas de aceptación y criterios relacionados para
los nuevos sistemas de información, actualizaciones y nuevas versiones.
Guía de implementación
Se recomienda que las pruebas del sistema incluyan pruebas de los requisitos de
seguridad de la información (véanse los subincisos 14.1.1 y 14.1.2) y la adherencia
para asegurar prácticas del desarrollo seguro del sistema (véase el subinciso 14.2.1).
Es recomendable que la prueba también se lleve a cabo sobre los componentes
recibidos y en los sistemas integrados. Las organizaciones pueden aprovechar las
herramientas automatizadas, como las herramientas de análisis de vulnerabilidad de
código o escáneres, y verificar la corrección de los defectos relacionados con la
seguridad.
Control
Los datos de prueba deben seleccionarse, protegerse y controlarse cuidadosamente.-
Guía de implementación
Se recomienda evitar el uso de datos operacionales que contengan información
personal o cualquier otra información confidencial con fines de prueba. Si la
información de identificación personal o información de confidencial se utiliza para
propósitos de prueba, es recomendable que todos los datos sensibles y el contenido se
proteja contra la eliminación o modificación para más información véase la norma que
se indica en el inciso A.20 del apéndice A.
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
86/110
Se recomienda que las siguientes directrices se apliquen para proteger los datos
operacionales, cuando se utilizan con fines de prueba:
Otra información
Las pruebas de aceptación y del sistema usualmente requieren grandes volúmenes
substánciales de datos de prueba que estén lo más cerca posible a los datos
operacionales.
Control
Se deben acordar con los proveedores y documentarse los requisitos de seguridad de
la información para la mitigación de los riesgos asociados con el acceso de proveedores
a los activos de la organización.
Guía de implementación
Se recomienda la organización identifique y establezca controles de seguridad para
tratar específicamente el acceso a la información del proveedor de la organización en
una política. Es recomendable que estos controles traten procesos y procedimientos a
ser implementados por la organización, así como los procesos y procedimientos que la
organización va a solicitar al proveedor implementar, incluyendo:
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
87/110
l) Las condiciones bajo las cuales los requisitos de seguridad y los controles van a
documentarse en un acuerdo firmado por ambas partes;
Otra información
La información puede ponerse en peligro por los proveedores con una gestión
inadecuada de seguridad de la información. Es recomendable que los controles se
identifiquen y apliquen para administrar el acceso a las instalaciones de procesamiento
de la información. Por ejemplo, se pueden utilizar acuerdos de no divulgación, si existe
una necesidad especial para la confidencialidad de la información, Otro ejemplo son los
riesgos de protección de datos, cuando el acuerdo del proveedor implica la
transferencia de, o el acceso a la información a través de las fronteras. La organización
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
88/110
Control
Todos los requisitos de seguridad de la información relevantes deben establecerse y
acordarse con cada proveedor que pueda acceder, procesar, almacenar, comunicar, o
proporcionar componentes de la infraestructura de TI de la información de la
organización. .
Guía de implementación
Se recomienda establecer y documentar los acuerdos con proveedores para asegurar
que no existan malentendidos entre la organización y el proveedor con respecto a las
obligaciones de ambas partes de cumplir con los requisitos de seguridad pertinentes.
f) Cualquier lista explícita del personal autorizado del proveedor para recibir o
acceder a la información, procedimientos de la organización o condiciones para
la autorización, y retiro de la autorización para el acceso a, o recibir la
información de la organización por el personal del proveedor;
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
89/110
Otra información
Los acuerdos pueden variar considerablemente para las diferentes organizaciones y
entre los diferentes tipos de proveedores. Por lo tanto, es recomendable tener cuidado
de incluir todos los riesgos y requisitos relevantes de seguridad de la información. Los
acuerdos con los proveedores también pueden involucrar a otras partes (por ejemplo,
sub-proveedores).
Control
Los acuerdos con proveedores deben incluir los requisitos para tratar los riesgos de
seguridad de la información asociados con la información y los servicios de tecnología
de las comunicaciones, y la cadena de suministro de productos.
Guía de implementación
Se recomienda que los siguientes temas sean considerados para su inclusión en
acuerdos con proveedores con respecto a la cadena de suministro:
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
90/110
Otra información
Las prácticas específicas de gestión del riesgo de las tecnologías de la información y
comunicación de la cadena de suministro se realizan en la parte superior de la
seguridad de la información en general, prácticas de la calidad, gestión de proyectos e
ingeniería del sistema pero esto no los reemplaza.
Control
Las organizaciones deben monitorear, revisar y auditar regularmente la entrega del
servicio de proveedores
Guía de implementación
Se recomienda que el monitoreo y revisión de los servicios de los proveedores asegure
que los términos y las condiciones de la seguridad de la información de los acuerdos se
están cumpliendo y que los incidentes y los problemas de seguridad de la información
se manejan adecuadamente.
Control
Los cambios en la provisión de servicios por parte de proveedores, incluyendo el
mantenimiento y la mejora de las políticas de seguridad de la información existentes,
procedimientos y controles, deben ser administrados, tomando en cuenta la criticidad
de la información del negocio, sistemas y procesos involucrados y la re-valoración de
los riesgos.
Guía de implementación
Se recomienda que los siguientes aspectos se tomen en consideración:
6) Cambio de proveedores;
Control
La gestión de responsabilidades y de los procedimientos deben ser establecidos para
asegurar una respuesta rápida, eficaz y ordenada a los incidentes de la seguridad de la
información.
Guía de implementación
Se recomienda considerar los siguientes puntos para la gestión de responsabilidades y
procedimientos para la gestión incidentes de la seguridad de la información:
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
94/110
Otra información
Los incidentes de seguridad de la información pueden trascender las fronteras
organizacionales y nacionales. Para responder a estos incidentes existe una creciente
necesidad de coordinar la respuesta y compartir información sobre estos incidentes con
organizaciones externas, según sea apropiado.
Control
Los eventos de seguridad de la información deben reportarse a través de canales de
gestión apropiados tan rápido como sea posible.
Guía de implementación
Se recomienda que todos los empleados y usuarios externos sean conscientes de su
responsabilidad de reportar cualquier evento de seguridad de la información lo más
rápidamente posible. Es recomendable que ellos sean conscientes del procedimiento
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
95/110
c) Errores humanos;
h) Violaciones de acceso.
Otra información
Un mal funcionamiento u otro comportamiento extraño del sistema puede ser un
indicador de un ataque de seguridad o violación de la seguridad real y por lo tanto es
recomendable que siempre sea reportado como un evento de seguridad de la
información.
Control
Se debe exigir a los empleados y contratistas que utilizan los sistemas y servicios de
información de la organización anotar e informar cualquier debilidad de seguridad de la
información percibida o sospechosa en los sistemas y servicios.
Guía de implementación
Se recomienda que todos los empleados y contratistas reporten estos asuntos al punto
de contacto lo más pronto posible con el fin de prevenir incidentes de seguridad de la
información. Es recomendable que el mecanismo de información sea lo más fácil y
accesible posible.
Otra información
Los empleados, contratistas y usuarios externos necesitan ser asesorados respecto a
no intentar probar presuntas debilidades de seguridad. Las pruebas a las debilidades
pueden ser interpretadas como un posible mal uso del sistema, y también pueden
causar daños en el sistema o servicio de información y resultar en una responsabilidad
legal para la persona que realiza la prueba.
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
96/110
Control
Los eventos de seguridad de la información deben ser evaluados y se debe decidir si
son clasificados como incidentes de seguridad de la información.
Guía de implementación
Se recomienda que el punto de contacto evalúe los eventos de la seguridad de la
información utilizando la información acordada de eventos de seguridad y la escala de
clasificación de incidentes y decidir si los acontecimientos son clasificados como
incidentes de seguridad de la información. La clasificación y priorización de incidentes
puede ayudar a identificar el impacto y el alcance de un incidente.
Control
Se debe responder a los incidentes de seguridad de la información de acuerdo con los
procedimientos documentados.
Guía de implementación
Se recomienda que los incidentes de seguridad de la información sean respondidos por
personal del punto de contacto y otras personas relevantes de la organización o por las
partes externas (véase el subinciso 16.1.1).
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
97/110
g) Una vez que el incidente ha sido tratado con éxito, se dé el cierre formal y se
registra.
Otra información
El primer objetivo de la respuesta a incidentes es reanudar "un nivel de seguridad
normal " y después iniciar la recuperación necesaria.
Control
El conocimiento obtenido a partir del análisis y la resolución de incidentes de seguridad
de la información debe utilizarse para reducir la probabilidad o el impacto de futuros
incidentes.
Guía de implementación
Se recomienda que existan mecanismos implementados para permitir la cuantificación
y monitoreo de los tipos, volúmenes y costos de los incidentes de seguridad de la
información. Es recomendable que la información obtenida de la evaluación de
incidentes de seguridad de la información se utilice para identificar los incidentes de
impacto alto o recurrente.
Otra información
La evaluación de los incidentes de seguridad de la información puede indicar la
necesidad de mejorar o adicionar controles para limitar la frecuencia, el daño y el costo
de futuras ocurrencias, o para tomarse en cuenta en el proceso de la revisión de la
política de seguridad (véase el subinciso 5.1.2).
Control
La organización debe definir y aplicar procedimientos para la identificación,
recopilación, adquisición y preservación de la información que puede servir como
evidencia.
Guía de implementación
Se recomienda que los procedimientos internos sean desarrollados y seguidos cuando
se trata de evidencias para propósitos disciplinarios y acciones legales.
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
98/110
a) La cadena de custodia;
f) La documentación;
g) Reuniones informativas.
Otra información
La identificación es el proceso que implica la búsqueda de reconocimiento y
documentación de posibles evidencias. La recopilación es el proceso de reunir los
elementos físicos que pueden contener las posibles evidencias. La adquisición es el
proceso de crear una copia de los datos dentro de un conjunto definido. La
preservación es el proceso de mantener y salvaguardar la integridad y el estado
original de la evidencia potencial.
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
99/110
Control
La organización debe determinar sus requisitos de seguridad de la información y la
continuidad de la gestión de seguridad de la información en situaciones adversas, por
ejemplo, durante una crisis o desastre.
Guía de implementación
Se recomienda que la organización determine si la continuidad de la seguridad de la
información es capturada dentro del proceso de gestión de la continuidad del negocio o
en el proceso de gestión de recuperación de desastres. Es recomendable que los
requisitos de seguridad de la información se determinen cuando se planifiquen para la
continuidad del negocio y la recuperación ante desastres.
Ante la falta de planificación formal de la continuidad de negocios y de recuperación de
desastres, es recomendable que la gestión de la seguridad de la información asuma
que los requisitos de seguridad de la información siguen siendo los mismos en
situaciones adversas, en comparación con las condiciones operacionales normales.
Alternativamente, una organización puede realizar un análisis de impacto en el negocio
para los aspectos de seguridad de la información para determinar los requisitos de
seguridad de la información aplicables a las situaciones adversas.
Otra información
Con el fin de reducir el tiempo y el esfuerzo de un análisis de impacto "adicional" de
negocios para la seguridad de la información, se recomienda capturar los aspectos de
seguridad de la información dentro de la gestión de la continuidad del negocio o
análisis del impacto al negocio de la gestión de recuperación de desastres. Esto implica
que los requisitos de la continuidad de seguridad de la información se formulen de
manera explícita, en los procesos de gestión de continuidad de negocio y gestión de
recuperación de desastres.
Control
La organización debe establecer, documentar, implementar y mantener procesos,
procedimientos y controles para garantizar el nivel requerido de continuidad para la
seguridad de la información durante una situación adversa.
Guía de implementación
Se recomienda que una organización se asegure que:
Otra información
Dentro del contexto de la continuidad del negocio o la recuperación de desastres, los
procesos y los procedimientos específicos pueden ser definidos. Es recomendable que
se proteja la información que se maneja dentro de estos procesos y procedimientos o
dentro de los sistemas de información dedicados para apoyar estos. Por lo tanto, se
recomienda que una organización involucre a especialistas en seguridad de la
información, cuando establezca, implemente y mantenga los procesos y
procedimientos de la continuidad del negocio o de recuperación de desastres.
Control
La organización debe verificar los controles de la continuidad de la seguridad de la
información establecidos y aplicados a intervalos regulares con el fin de asegurarse de
que son válidos y eficaces en situaciones adversas.
Guía de implementación
Los cambios a procedimiento y proceso, técnicos u operacionales ya sea en un
contexto operacional o de continuidad pueden dar lugar a cambios en los requisitos de
la continuidad de seguridad de la información. En tales casos, la continuidad de los
procesos, procedimientos y controles para la seguridad de la información es
recomendable sean revisados contra esos requisitos modificados.
Otra información
La verificación de los controles de la continuidad de seguridad de la información es
diferente de las pruebas de seguridad de la información general y es recomendable
que la verificación se realice fuera de las pruebas de los cambios. Si es posible, es
preferible integrar la verificación de los controles de continuidad de la seguridad de la
información de la organización con las pruebas de continuidad del negocio y las
pruebas de recuperación de desastres.
17.2 Redundancias
Control
Las instalaciones de procesamiento de la información deben implementarse con
suficiente redundancia para cumplir con los requisitos de disponibilidad.
Guía de implementación
Se recomienda que las organizaciones identifiquen los requisitos de negocio para la
disponibilidad de los sistemas de información. Cuando la disponibilidad no puede ser
garantizada utilizando la arquitectura de los sistemas existentes, es recomendable que
se consideren componentes o arquitecturas redundantes.
Otra información
La aplicación de redundancias puede presentar riesgos para la integridad o la
confidencialidad de los sistemas de información y la información, que necesitan
considerarse cuando se diseña los sistemas de información.
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
102/110
18 CUMPLIMIENTO
Control
Todos los requisitos legislativos, regulatorios, contractuales relevantes y el enfoque de
la organización para cumplir con estos requisitos deben estar explícitamente
identificados, documentados y mantenerse actualizados para cada sistema de
información y para la organización.
Guía de implementación
Se recomienda que los controles específicos y las responsabilidades individuales para
cumplir con estos requisitos se definan y documenten.
Control
Se deben implementar procedimientos apropiados para garantizar el cumplimiento con
los requisitos legislativos, regulatorios y contractuales relacionados con los derechos de
propiedad intelectual y el uso de productos de software patentado.
Guía de implementación
Se recomienda que las siguientes directrices sean consideradas para proteger cualquier
material que pueda ser considerado propiedad intelectual:
d) Mantener registros de activos apropiados e identificar todos los activos con los
requisitos para proteger los derechos de propiedad intelectual;
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
103/110
Otra información
Los derechos de propiedad intelectual incluyen las licencias de código fuente del
software, documentos de derechos de autor, derechos de diseño, marcas y patentes.
Control
Los registros deben estar protegidos contra pérdida, destrucción, falsificación, acceso
no autorizado y divulgación no autorizada, de acuerdo con los requisitos legales,
regulatorios, contractuales y de negocios
Guía de implementación
Al decidir sobre la protección de los registros específicos de la organización, es
recomendable que su clasificación correspondiente, con base en el esquema de
clasificación adoptado por la organización sea considerado. Se recomienda que los
registros sean categorizados dentro de los tipos de registro, por ejemplo, registros
contables, registros de bases de datos, registros de eventos de transacciones, registros
eventos de auditoría y los procedimientos operativos, cada uno con los detalles de los
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
104/110
Para cumplir con estos objetivos de protección de registros, es recomendable que los
siguientes pasos se consideren dentro de una organización:
Otra información
Alguno registros pueden necesitar mantenerse de forma segura para cumplir con los
requisitos legales, regulatorios, reglamentarios o contractuales, así como para apoyar
las actividades esenciales del negocio. Los ejemplos incluyen los registros que puedan
ser necesarios como evidencias de que una organización opera dentro de las normas
legales o regulatorias, para garantizar la defensa adecuada contra posibles acciones
civiles o penales o para confirmar la situación financiera de una organización a los
accionistas, las partes externas y los auditores. La legislación nacional o regulación
pueden establecer el período de tiempo y contenido de los datos para la retención de
información.
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
105/110
Control
Se debe asegurar la privacidad y protección de la información de identificación
personal conforme sea requerido en la legislación y regulación relevante aplicable
Guía de implementación
Se recomienda desarrollar e implementar una política de datos de una organización
para la privacidad y protección de la información identificable personal. Esta política
necesita ser comunicada a todas las personas involucradas en el procesamiento de la
información personal identificable.
Otra información
La norma que se indica en el inciso A.19 del apéndice A proporciona un marco de alto
nivel para la protección información de identificación personal dentro de los sistemas
de información, tecnología y comunicación. Una serie de países han introducido
legislación implementado controles en la recopilación, procesamiento y transmisión de
la información de identificación personal (por lo general la información sobre personas
vivas que pueden ser identificados a partir de esa información). Dependiendo de la
legislación nacional respectiva, esos controles pueden imponer obligaciones sobre la
información personal recogen, procesan y difunden, y también pueden restringir la
capacidad de transferir la información de identificación personal a otros países.
Control
Los controles criptográficos deben ser usados en cumplimiento con todos los acuerdos,
legislación y regulaciones relevantes.
Guía de implementación
Es recomendable que los siguientes elementos sean considerados para el cumplimiento
de los acuerdos, leyes y regulaciones relevantes:
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
106/110
Control
El enfoque de la organización para la gestión de la seguridad de la información y su
implementación (es decir, objetivos de control, controles, políticas, procesos y
procedimientos para la seguridad de la información) deben ser revisados
independientemente a intervalos planeados o cuando se ocurran cambios significativos.
Guía de implementación
Se recomienda que la dirección inicie la revisión independiente. Tal revisión
independiente es necesaria para asegurar la continua idoneidad y eficacia del enfoque
de la organización para la gestión de seguridad de la información. Es recomendable
que la revisión incluya la evaluación de oportunidades de mejora y la necesidad de
cambios en el enfoque de la seguridad, incluidos los objetivos de control y política.
Dicha revisión debe llevarse a cabo por personas físicas independientes del área que
se examina, por ejemplo, la función de auditoría interna, un administrador
independiente o una organización de una parte externa especializada en este tipo de
revisiones. Las personas que realizan estas revisiones tengan las habilidades y
experiencia apropiadas.
Otra información
Las normas que se indican en los incisos A.7 y A.8 del apéndice A proporcionan una
guía para llevar a cabo la revisión independiente.
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
107/110
Control
Los gerentes deben revisar regularmente el cumplimiento del procesamiento de la
información y procedimientos dentro de su área de responsabilidad con las políticas de
seguridad apropiadas, normas y cualquier otro requisito de seguridad.
Guía de implementación
Se recomienda que los gerentes deben identifiquen la forma de revisar el cumplimiento
de los requisitos de seguridad de la información definidos en las políticas, normas y
demás regulaciones aplicable. Es recomendable la medición automática y herramientas
de informes para una eficiente revisión periódica.
Si se determina cualquier incumplimiento como resultado de la revisión, los gerentes
deben:
Se recomienda que los resultados de las revisiones y las acciones correctivas llevadas
a cabo por los gerentes sean registrados y estos registros se mantengan. Es
recomendable que los gerentes reporten los resultados a las personas que llevan a
cabo revisiones independientes (véase el subinciso 18.1.1), cuando un revisión
independiente se lleva a cabo en el área de su responsabilidad.
Otra información
El control operativo de la utilización del sistema se trata en el inciso 12.4.
Control
Los sistemas de información deben ser revisados regularmente para su cumplimiento
con las políticas y normas de seguridad de la información de la organización.
Guía de implementación
Se recomienda que la revisión del cumplimiento técnico se realice preferentemente con
la ayuda de herramientas automatizadas que generan informes técnicos para una
interpretación posterior por parte de un técnico especialista. Alternativamente, se
puede realizar la revisión manual (con el apoyo de herramientas de software
apropiadas, si es necesario) por un ingeniero del sistema experimentado.
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
108/110
Otra información
La revisión del cumplimiento técnico implica la examinación de los sistemas
operacionales para asegurar que los controles de hardware y software se han
implementado correctamente. Este tipo de revisión de cumplimiento requiere de
conocimientos técnicos especializados.
19 BIBLIOGRAFÍA
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
109/110
APÉNDICE A
(Informativo)
En tanto no se elaboren las Normas Mexicanas, se debe usar de manera supletoria las
siguientes normas:
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
110/110
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.