Untitled

NORMA MEXICANA
NMX-I-27002-NYCE-2015
TECNOLOGÍAS DE LA INFORMACIÓN - TÉCNICAS DE SEGURIDAD

- CÓDIGO DE BUENAS PRÁCTICAS PARA EL CONTROL DE LA
SEGURIDAD DE LA INFORMACIÓN
INFORMATION TECHNOLOGY — SECURITY TECHNIQUES — CODE OF PRACTICE FOR

INFORMATION SECURITY CONTROLS
ESTA NORMA MEXICANA CANCELA A LA NORMA NMX-I-27002-NYCE-2009

NMX-I-27002-NYCE-2015
PREFACIO
1. Esta Norma Mexicana fue elaborada en el seno del Subcomité de

Seguridad de TI de NYCE, con la participación de las siguientes
Instituciones y Empresas:
- AUREN IBEROAMERICA, S. DE R.L. DE C.V.
- BEST PRACTICES GURUS, S.A. DE C.V.
- CREATIVIDAD Y EXPERIENCIA EN TI A.C.
- G-BIZ, S.A. de C.V.
- INTELI, S.C.
- MANCERA S.C. (EY MÉXICO)
- NET AND COMPUTER SERVICES MÉXICO, S.A. DE C.V.
- NIELSEN.
- NORMALIZACIÓN Y CERTIFICACIÓN ELCTRÓNICA S.C.
- SERVICIOS DE VALOR DE TI S.A. DE C.V.
2. Por otra parte, también fue aprobado por las instituciones y empresas que
a continuación se señalan y que conforman el Comité Técnico de
Normalización Nacional de Electrónica y Tecnologías de la Información y
Comunicación de NYCE.
1. ASOCIACIÓN MEXICANA DE EMPRESAS DEL RAMO DE INSTALACIONES

PARA LA CONSTRUCCIÓN, A.C.
2. ASOCIACIÓN MEXICANA DE INTERNET, A.C.
3. ASOCIACIÓN NACIONAL DE INSTITUCIONES DE EDUCACIÓN EN

INFORMÁTICA.
4. ASOCIACIÓN NACIONAL DE TELECOMUNICACIONES.
5. ASOCIACIÓN DE PERMISIONARIOS, OPERADORES Y PROVEEDORES DE

LA INDUSTRIA DEL ENTRETENIMIENTO Y JUEGO DE APUESTA EN
MÉXICO, A.C.
6. AUREN IBEROAMERICA S. DE R.L. DE C.V.
7. BEST PRACTICES GURUS, S.A. DE C.V.
8. CÁMARA NACIONAL DE LA INDUSTRIA ELECTRÓNICA, DE

TELECOMUNICACIONES Y TECNOLOGÍAS DE LA INFORMACIÓN.
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE S.C.
NMX-I-27002-NYCE-2015
9. COLEGIO DE INGENIEROS EN COMUNICACIONES Y ELECTRÓNICA.
10. COMISIÓN NACIONAL PARA EL USO EFICIENTE DE LA ENERGÍA.
11. DIRECCIÓN GENERAL DE NORMAS.
12. ERICSSON TELECOM, S.A. DE C.V.
13. GRUPO ADO.
14. INSTITUTO POLITÉCNICO NACIONAL.
15. INSTITUTO MEXICANO DE NORMALIZACIÓN Y CERTIFICACIÓN, A.C.
16. INNOVACIONES TELEMÁTICAS, S.A. DE C.V.
17. INTELI, S.C.
18. LEGRAND S.A. DE C.V.
19. ORGANISMO NACIONAL DE NORMALIZACIÓN Y CERTIFICACIÓN DE LA

CONSTRUCCIÓN Y EDIFICACIÓN, S.C.
20. PROCURADURÍA FEDERAL DEL CONSUMIDOR.
21. REDIT.
22. SIEMON.
23. TELEMATICA INNOVO CONTINUO, S.A DE C.V.
24. UNIVERSIDAD AUTÓNOMA METROPOLITANA.
25. UNIVERSIDAD IBEROAMERICANA.
26. UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO.
3. “La entrada en vigor de esta norma mexicana será 60 días después de la

publicación de su Declaratoria de Vigencia en el Diario Oficial de la
Federación”.
4. La declaratoria de vigencia de esta Norma Mexicana, se publicó en el

Diario Oficial de la Federación el: 14 de abril de 2015.
NMX-I-27002-NYCE-2015
ÍNDICE DEL CONTENIDO
Páginas
0 Introducción 1
1 objetivo y campo de aplicación 4
2 Referencias 4
3 Términos y definiciones 5
4 Estructura de Esta Norma Mexicana 5
5 Políticas de seguridad de la información 6
6 Organización de la seguridad de la información 8
7 Seguridad de los recursos humanos 15
8 Administración de activos 21
9 Control de acceso 28
10 Criptografía 41
11 Seguridad física y ambiental 44
12 Operaciones de seguridad 54
13 Seguridad en las comunicaciones 68
14 Sistema de adquisición, desarrollo y mantenimiento 75
15 Relación con los proveedores 86
16 Gestión de incidentes de seguridad de la información 93
17 Aspectos de seguridad de la información de la gestión de la continuidad 98

del negocio
18 Cumplimiento 102
19 Bibliografía 108
20 Concordancia con normas internacionales 108
Apéndice A 109
(Informativo)
Normas que complementan a esta norma mexicana.
NORMA MEXICANA
NMX-I-27002-NYCE-2015
TECNOLOGÍAS DE LA INFORMACIÓN - TÉCNICAS DE SEGURIDAD

- CÓDIGO DE BUENAS PRÁCTICAS PARA EL CONTROL DE LA
SEGURIDAD DE LA INFORMACIÓN.
INFORMATION TECHNOLOGY — SECURITY TECHNIQUES — CODE OF PRACTICE FOR

INFORMATION SECURITY CONTROLS.
0 INTRODUCCIÓN
0.1 Antecedentes y contexto
Esta Norma Mexicana está diseñada para que las organizaciones la utilicen como
referencia para la selección de los controles en el proceso de implementación de un
Sistema de Gestión de Seguridad de la Información (SGSI) basado en la NMX-I-27001-
NYCE o como un documento de orientación para las organizaciones de desarrollo sobre
los controles de seguridad de la información comúnmente aceptados.
Esta norma también es destinada para el uso en el desarrollo de la industria y la
organización dando lineamientos específicos de gestión de seguridad de la información,
teniendo en cuenta sus entornos específicos de riesgo de seguridad de la información.
Las organizaciones de todos los tipos y tamaños (incluyendo el sector público y

privado, comercial y sin fines de lucro) recopilan, procesan, almacenan y transmiten
información de muchas formas, incluyendo la forma electrónica, física y verbal (por
ejemplo, conversaciones y presentaciones).
El valor de la información va más allá de las palabras escritas, números e imágenes:

conocimientos, conceptos, ideas y marcas son ejemplos de formas intangibles de la
información. En un mundo interconectado, la información y los procesos relacionados,
los sistemas, las redes y el personal que participan en la operación, el manejo y la
protección, son activos que, como otros activos comerciales importantes, son valiosos
pero no esenciales para los negocios de la organización y por lo tanto merecen o
requieren protección contra diversos peligros.
Los activos son objeto de amenazas, tanto deliberadas como accidentales, mientras
que los procesos relacionados, los sistemas, las redes y las personas tienen
vulnerabilidades inherentes. Los cambios en los procesos de negocio y sistemas u otros
cambios externos (por ejemplo, nuevas leyes y reglamentos) pueden crear nuevos
riesgos de seguridad de la información.
Por lo tanto, dada la multitud de formas en que las amenazas pueden tomar ventaja
de las vulnerabilidades para dañar a la organización, los riesgos de seguridad de la
información están siempre presentes. La seguridad de la información eficaz reduce
estos riesgos mediante la protección de la organización frente a las amenazas, las
vulnerabilidades y / o impactos a sus activos.
NMX-I-27002-NYCE-2015
2/110
La seguridad de la información se logra implementando un conjunto adecuado de

controles, incluidas las políticas, los procesos, los procedimientos, las estructuras,
organizacionales y las funciones del software y el hardware. Estos controles se deben
establecer, implementar, supervisar, revisar y mejorar, cuando sea necesario, para
asegurar que la seguridad y los objetivos específicos del negocio de la organización se
cumplan.
La seguridad de la información de un Sistema de Gestión de la Información (SGSI),

como el que se especifica en la NMX-I-27001-NYCE tiene un enfoque integral, una
visión coordinada de los riesgos de seguridad de la información de la organización para
implementar un conjunto más amplio de controles de seguridad de la información en el
marco general de un sistema de gestión coherente.
Algunos sistemas de información no se han diseñado para ser seguros en el sentido de

la NMX-I-27001-NYCE y este proyecto de norma. La seguridad que puede lograrse por
medios técnicos es limitada y debe ser apoyada por una adecuada gestión y
procedimientos.
La identificación de los controles requiere una cuidadosa planificación y atención a
detalle. Una exitosa gestión de seguridad del sistema de información requiere el apoyo
de todos los empleados de la organización. También puede requerir de la participación
de los accionistas, proveedores u otras partes externas. El asesoramiento de
especialistas de organizaciones externas también puede ser necesario.
En un sentido más general, la eficaz seguridad de la información también asegura la

gestión y las demás partes interesadas de la organización y que los activos son
razonablemente seguros y están protegidos contra daños, de forma que actúe como un
habilitador de negocios.
0.2 Requisitos de seguridad de la información
Es esencial que una organización identifique sus requisitos de seguridad. Existen tres
fuentes principales de requisitos de seguridad:
a) La valoración de riesgos para la organización, teniendo en cuenta la estrategia

de la organización general de la empresa y sus objetivos. A través de una
valoración de riesgos, identificación de amenazas a los activos, la vulnerabilidad
y probabilidad de ocurrencias y se evalúa el impacto potencial de su uso;
b) Los requisitos legales, estatutos reglamentarios y contractuales de una

organización, sus socios comerciales, contratistas y proveedores de servicios
tienen que satisfacer su entorno socio-cultural;
c) El conjunto de principios, objetivos y requisitos del negocio para el manejo de la

información, el procesamiento, el almacenamiento, la comunicación y el archivo
de la información que una organización ha desarrollado para apoyar sus
operaciones.
Los recursos utilizados en los controles de aplicación necesitan ser equilibrados con
el daño comercial que pueda resultar de los problemas de seguridad en la ausencia
de esos controles. Los resultados de una valoración de riesgos ayudan a guiar y
determinar las acciones y prioridades para la gestión de riesgos de seguridad de la
información y para la implementación de los controles seleccionados para
protegerse contra estos riesgos.
NMX-I-27002-NYCE-2015
3/110
La NMX-I-27005-NYCE proporciona orientación sobre la gestión de riesgos de

seguridad de la información, incluido el asesoramiento sobre la valoración de
riesgos, el tratamiento de riesgos, la aceptación de riesgos, la comunicación de
riesgos, el control de riesgos y la evaluación de riesgos.
0.3 Selección de los controles
Los controles pueden ser seleccionados de Esta Norma Mexicana o de otros conjuntos
de control, o nuevos controles pueden ser diseñados para satisfacer las necesidades
específicas, según se requiera.
La selección de controles de seguridad depende de decisiones de la organización sobre

la base de los criterios de aceptación del riesgo, las opciones de tratamiento del riesgo
y el enfoque general de gestión del riesgo que se aplica a la organización, y también
debe estar sujeto a la legislación nacional pertinente y los reglamentos.
La selección de controles también depende de la manera en que interactúan y así

proporcionarlos para una defensa profunda. Algunos de los controles en Esta Norma
Mexicana pueden ser considerados como principios rectores para la administración de
la seguridad de la información y aplicable para la mayoría de las organizaciones. Los
controles se explican a detalle a continuación junto con orientaciones de su aplicación.
Para más información sobre la selección de los controles y otras opciones de
tratamiento de riesgos se pueden encontrar en la NMX-I-27005-NYCE.
0.4 Desarrollo de sus propios lineamientos
Esta Norma Mexicana puede ser considerada como un punto de partida para la
elaboración de lineamientos específicos de la organización. No todos los controles y la
orientación en este código de buenas prácticas pueden ser aplicables.
Además, los controles y lineamientos adicionales no incluidos en Esta Norma Mexicana
pueden ser requeridos. Cuando los documentos se elaboran con lineamientos o
controles adicionales, puede ser útil incluir referencias a los capítulos del presente
Proyecto de Norma Mexicana cuando corresponda, para facilitar la verificación del
cumplimiento por parte de los auditores y socios comerciales.
0.5 Consideraciones del ciclo de vida
La información tiene un ciclo de vida natural, desde la creación y origen a través del
almacenamiento, procesamiento, uso y transmisión a su eventual destrucción o
deterioro. El valor y los riesgos para los activos puede variar en su vida (por ejemplo,
la divulgación no autorizada o el robo de las cuentas financieras de una empresa es
mucho menos significativo después de que hayan sido formalmente publicados), pero
la seguridad de la información sigue siendo importante hasta cierto punto, en todas las
etapas.
Los sistemas de información tienen ciclos de vida dentro de los cuales se conciben, se
especifican, son diseñados, desarrollados, probados, implementados y utilizados para
darles mantenimiento y eventualmente pueden ser retirados del servicio y ser
eliminados. La seguridad de la información debe tenerse en cuenta en todas las
etapas. Los nuevos desarrollos del sistema y los cambios a los sistemas existentes
presentan oportunidades a las organizaciones para actualizar y mejorar los controles
de seguridad, teniendo incidentes reales y los riesgos actuales de la seguridad de la
información ya proyectados para tomarse en cuenta.
NMX-I-27002-NYCE-2015
4/110
0.6 Normas relacionadas
Aunque Esta Norma Mexicana ofrece orientación sobre una amplia gama de controles
de seguridad de la información que normalmente se aplican en muchas organizaciones,
las partes restantes de la norma NMX-I-27000-NYCE y de la familia de normas
complementarias, asesoran sobre los requisitos de otros aspectos del proceso general
de administración de seguridad de la información.
Consulte a la NMX-I-27000-NYCE para una introducción general a los dos Sistemas de

Gestión de Seguridad de la Información y de la familia de normas. La NMX-I-27000-
NYCE proporciona un glosario, define formalmente la mayoría de los términos técnicos
utilizados en la familia de normas NMX-I-27000-NYCE, y describe el alcance y los
objetivos para cada miembro de la familia.
1 OBJETIVO Y CAMPO DE APLICACIÓN
Esta Norma Mexicana proporciona lineamientos para las normas de seguridad de la

información y prácticas de gestión de seguridad de la información, incluyendo la
selección, implementación y administración de los controles, teniendo en cuenta el(los)
entorno(s) de riesgos de seguridad de la información de la organización.
Esta Norma Mexicana está diseñada para ser utilizado por las organizaciones que
pretenden:
a) Seleccionar los controles dentro del proceso de implementación de un Sistema

de Gestión de Seguridad de la Información basado en la NMX-I-27001-NYCE;
b) Implementar controles de seguridad de la información generalmente aceptadas;

y
c) Desarrollar sus propios lineamientos de gestión seguridad de la información.
2 REFERENCIAS
Para la correcta aplicación de Esta Norma Mexicana se requiere consultar las siguientes
Normas Mexicanas vigentes o las que las sustituyan:
NMX-I-27000-NYCE-2014 Tecnologías de la información – Técnicas

de seguridad – Sistemas de gestión de la
seguridad de la información – Requisitos.

de seguridad – Sistemas de gestión de
seguridad de la información – Requisitos.

de seguridad – Gestión del riesgo en
seguridad de la información.
NMX-I-27002-NYCE-2015
5/110
3 TÉRMINOS Y DEFINICIONES
Para los propósitos de Esta Norma Mexicana se aplican las definiciones que se indican
en la NMX-I-27000-NYCE.
4 ESTRUCTURA DE ESTA NORMA MEXICANA
Esta Norma Mexicana contiene 14 capítulos de control de seguridad en conjunto con un

total de 35 categorías principales de seguridad y 113 controles.
4.1 Capítulos
Cada capítulo define los controles de seguridad que contiene una serie de categorías
principales de seguridad.
El orden de los capítulos del presente Proyecto de Norma Mexicana no implica su

importancia. Dependiendo de las circunstancias, los controles de seguridad de
cualquiera o de todos los capítulos pueden ser importantes, por lo tanto, cada
organización que aplique Esta Norma Mexicana debe identificar los controles aplicables,
lo importante que son y su aplicación a los procesos del negocio individuales. Además,
las listas de Esta Norma Mexicana no están en orden de prioridad.
4.2 Categorías de controles
Cada categoría principal de control de seguridad contiene:
a) Un objetivo de control que indica lo que se ha logrado; y
b) Uno o más controles que se pueden aplicar para alcanzar el objetivo del control.
Las descripciones de control están estructuradas de la siguiente manera:
Control
Define la declaración del control específico, para satisfacer el objetivo de control.
Guía de implementación
Proporciona información más detallada para apoyar la implementación del control y el
cumplimiento de los objetivos de control. La guía puede no ser totalmente adecuada o
suficiente en todas las situaciones y puede no cumplir con los requisitos específicos de
control de la organización.
Otra información
Proporciona información adicional que puede ser necesario considerar, por ejemplo, las
consideraciones legales y referencias a otras normas. Si no hay ninguna otra
información que proporcione no se muestra esta parte.
NMX-I-27002-NYCE-2015
6/110
5 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
5.1 Políticas de seguridad de la información
Objetivo: Proporcionar dirección gerencial y apoyo para la seguridad de la información

de acuerdo con los requisitos del negocio y las leyes y regulaciones relevantes.
5.1.1 Políticas de seguridad de la información
Control
Se debe definir, aprobar por la dirección, publicar y comunicar a todos los empleados y
partes externas relevantes un conjunto de políticas para la seguridad de la
información.
Es recomendable que al más alto nivel, las organizaciones definan una "política de
seguridad de la información", que sea aprobada por la dirección y que establezca el
enfoque de la organización para la administración de los objetivos de seguridad de la
información.
Se recomienda que las políticas de seguridad de la información aborden las

necesidades creadas por:
a) La estrategia de negocios;
b) El reglamento, la legislación y los contratos;
c) El entorno actual y pronóstico de las amenazas de seguridad de la información
Es conveniente que la política de seguridad de la información contenga declaraciones

relativas a:
a) La definición de seguridad de la información, objetivos y principios para orientar

todas las actividades relacionadas con la seguridad de la información;
b) Asignación de las responsabilidades generales y específicas para la gestión de

seguridad de la información a los roles definidos;
c) Procesos para manejar las desviaciones y excepciones.
En un nivel inferior, se sugiere que la política de seguridad de la información sea

apoyada por políticas de temas específicos, que además de exigir la implementación de
los controles de seguridad y estén comúnmente estructuradas para atender las
necesidades de determinados grupos dentro de una organización o para cubrir ciertos
temas.
Ejemplos de temas para esas políticas incluyen:
a) Control de acceso (véase capítulo 9);
b) Información de clasificación y manejo (véase el inciso 8.2);
NMX-I-27002-NYCE-2015
7/110
c) Seguridad física (véase el capítulo 11);
d) Temas orientados a los usuarios finales tales como:
1) Uso aceptable de los activos (véase el subinciso 8.1.3);
2) Escritorio y pantalla limpios (véase el subinciso 11.2.9);
3) Transferencia de información (véase el subinciso 13.2.1);
4) Dispositivos móviles y teletrabajo (véase el inciso 6.2);
5) Restricciones de instalación y uso de software (véase el subinciso 10.6.2);
e) Respaldos (véase inciso 12.3);
f) Transferencia de información (véase inciso 13.2);
g) Protección contra el malware (ver inciso 12.2);
h) Gestión de vulnerabilidades técnicas (véase el subinciso 12.6.1);
i) Controles criptográficos (ver el capítulo 10);
j) Comunicaciones de seguridad (ver el capítulo 13);
k) Privacidad y protección de la información de identificación personal (ver

subinciso 18.2.4);
l) Relaciones con los proveedores (véase capítulo 15).
Se recomienda que estas políticas se comuniquen a los empleados y partes externas

pertinentes de forma que sea relevante, accesible y comprensible para el lector, por
ejemplo, en el contexto de un "programa de capacitación, educación y concientización
de seguridad de la información" (ver subinciso 7.2.2).
Otra información
La necesidad de políticas internas de seguridad de la información varía entre las
organizaciones. Las políticas internas son especialmente útiles en las organizaciones
más grandes y complejas, donde los que definen y aprueban los niveles esperados del
control están separados de los que implementan los controles o en situaciones en que
una política se aplica a muchas personas diferentes o funciones en la organización. Las
políticas de seguridad de la información se pueden emitir en un solo documento
llamado "política de seguridad de la información", o como un conjunto de documentos
individuales, pero relacionados.
Si cualquiera de las políticas de seguridad de la información se distribuye fuera de la

organización, se recomienda tener cuidado de no revelar información confidencial.
Algunas organizaciones utilizan otros términos para estos documentos de política,
como son "normas", "lineamientos" o "reglas".
NMX-I-27002-NYCE-2015
8/110
5.1.2 Revisión de políticas de seguridad de la información
Las políticas de seguridad de la información deben revisarse a intervalos planeados o si

ocurren cambios significativos para garantizar su continua idoneidad, adecuación y
eficacia.
Se recomienda que cada política tenga un propietario quien ha aprobado la
responsabilidad de gestión para el desarrollo, revisión y evaluación de las políticas. Se
sugiere que la revisión incluya la evaluación de oportunidades de mejora de las
políticas de la organización y el enfoque de la gestión de seguridad de la información
en respuesta a los cambios en el entorno organizacional, las circunstancias, las
condiciones legales del negocio o el entorno técnico.
Es recomendable que la revisión de las políticas de seguridad de la información tomen

en cuenta los resultados de las revisiones por la dirección. Es aconsejable obtener la
aprobación de la dirección de una política revisada.
6 ORGANIZACIÓN DE LA SEGURIDAD DE LA
INFORMACIÓN
6.1 Organización interna
Objetivo: Establecer un marco de gestión para iniciar y controlar la implementación de

la seguridad de la información dentro de la organización.
6.1.1 Roles y responsabilidades de seguridad de la información
Control
Todas las responsabilidades de seguridad de la información deben definirse y
asignarse.
Es recomendable que la asignación de las responsabilidades de seguridad de la
información se realice de acuerdo con las políticas de seguridad de la información (ver
subinciso 5.1.1). Es aconsejable que se identifiquen las responsabilidades para la
protección de los activos individuales, y para llevar a cabo procesos específicos de
seguridad. Se recomienda que se definan las responsabilidades para las actividades de
la gestión de riesgos de seguridad de la información y en particular para la aceptación
del riesgo residual. Es recomendable que estas responsabilidades se complementen,
cuando se requiera con una directriz más detallada para sitios específicos e
instalaciones de procesamiento de la información.
Se recomienda definir las responsabilidades locales para la protección de los activos y

para llevar a cabo procesos específicos de seguridad.
Las personas con responsabilidades de seguridad de la información asignadas pueden

delegar tareas de seguridad a otros. Sin embargo siguen siendo responsables y es
aconsejable que determinen si las tareas delegadas se han realizado correctamente.
NMX-I-27002-NYCE-2015
9/110
Se sugiere indicar las áreas en las cuales las personas son responsables. En particular,
se recomienda llevar a cabo lo siguiente:
a) Identificar y definir los activos y procesos de seguridad de la información;
b) Asignar la entidad responsable de cada activo o proceso de seguridad y

documentar los detalles de esta responsabilidad (véase el subinciso 8.1.2);
c) Definir y documentar los niveles de autorización;
d) Para poder cumplir con sus responsabilidades las personas asignadas en el área
de seguridad de la información se recomienda sean competentes en el área y
tener la oportunidad de mantenerse al día con los desarrollos;
e) Identificar y documentar la coordinación y supervisión de los aspectos de

seguridad de la información de las relaciones con proveedores.
Otra información
En muchas organizaciones, un gerente de seguridad de la información es designado
para asumir la responsabilidad general para el desarrollo y la implementación de la
seguridad de la información y para apoyar la identificación de los controles.
Sin embargo, la responsabilidad de los recursos y la implementación de los

controles, frecuentemente permanecen con gerentes particulares. Una práctica
común es nombrar a un propietario para cada activo que se convierte en
responsable de su protección día a día.
6.1.2 Segregación de tareas
Control
Las tareas en conflicto y áreas de responsabilidad deben segregarse para reducir las
oportunidades de modificación no autorizada, no intencional o mal uso de los activos
de la organización.
Se recomienda tener cuidado de que ninguna persona pueda acceder, modificar o
utilizar los activos sin autorización o detección. Es aconsejable que el inicio de un
evento sea separado de su autorización. Es aconsejable se considere en el diseño de
los controles la posibilidad de confabulación. Las organizaciones pequeñas pueden
encontrar difícil conseguir la segregación de responsabilidades, pero el principio debe
aplicarse en la medida de lo posible y practicarse. Donde sea difícil segregar es
recomendable se consideren otros controles como el control de las actividades, pistas
de auditoría y supervisión de la gestión.
Otra información
La segregación de funciones es un método para reducir el riesgo de mal uso accidental
o deliberado de los activos de una organización.
6.1.3 Contacto con autoridades
Control
Se deben mantener contactos apropiados con las autoridades relevantes.
NMX-I-27002-NYCE-2015
10/110
Se recomienda que las organizaciones cuenten con procedimientos que especifiquen
cuándo y por quién deben ser contactadas las autoridades (por ejemplo, la policía,
organismos reguladores, o las autoridades supervisoras) y cómo identificar los
incidentes de seguridad de la información y sean reportados de manera oportuna (por
ejemplo, si se sospecha que se pudo haber quebrantado la ley).
Otra información
Las organizaciones que hayan sido atacadas a través de internet pueden necesitar de
autoridades para tomar medidas en contra de la fuente de ataque.
El mantenimiento de estos contactos puede ser un requisito para apoyar la gestión de

incidentes de seguridad de la información (véase el capítulo 16) o la continuidad del
negocio y el proceso de planificación de contingencia (ver capítulo 17). Los contactos
con los organismos reguladores también son útiles para anticipar y prepararse para los
cambios futuros en las leyes o reglamentos, que tienen que implementarse por la
organización.
Los contactos con otras autoridades incluyen servicios de emergencia, los proveedores
de electricidad, de salud y seguridad, por ejemplo, departamentos de bomberos (en
relación con la continuidad del negocio), proveedores de telecomunicaciones (en
relación con el enrutamiento de líneas y disponibilidad) y los proveedores de agua (en
relación con las instalaciones de equipos de acondicionamiento).
6.1.4 Contacto con grupos de especial interés
Control
Deben mantenerse los contactos apropiados con los grupos de interés especial u otros
foros de seguridad especializados y asociaciones profesionales.
Se recomienda la pertenencia a los grupos de intereses especiales o foros como un
medio para:
a) Acrecentar el conocimiento sobre las mejores prácticas y estar al día con la

información de seguridad pertinente;
b) Asegurar que la comprensión del ambiente de seguridad de la información es

actual y completo;
c) Recibir notificaciones oportunas de alertas, avisos y revisiones relativas a los

ataques y vulnerabilidades;
d) Tener acceso al asesoramiento experto en seguridad de la información;
e) Compartir e intercambiar información sobre las nuevas tecnologías, productos,

amenazas o vulnerabilidades,
f) Proporcionar puntos de enlace adecuados cuando se traten incidentes de

seguridad de la información (véase el capítulo 16).
NMX-I-27002-NYCE-2015
11/110
Otra información
Los acuerdos de intercambio de información se pueden establecer para mejorar la
cooperación y coordinación de las cuestiones de seguridad. Es recomendable que estos
acuerdos identifiquen requisitos para la protección de la información confidencial.
6.1.5 Seguridad de la información en la gestión de proyectos
Control
La seguridad de la información debe incluirse en la administración de proyectos,
independientemente del tipo de proyecto.
Es aconsejable que la seguridad de la información se integre en los métodos de la
organización para la gestión del proyecto(s) para asegurar que los riesgos de
seguridad de la información son identificados y tratados como parte del proyecto. Esto
se aplica en general a cualquier proyecto independientemente de su fin, por ejemplo,
un proyecto para un proceso de negocio principal, TI, gestión de instalaciones y otros
procesos de apoyo.
Se recomienda que los métodos de gestión de proyectos en uso exijan que:
a) Los objetivos de seguridad de la información se incluyan en los objetivos del

proyecto;
b) Una valoración de los riesgos de seguridad de la información se lleve a cabo en

una fase temprana del proyecto para identificar los controles necesarios;
c) La seguridad de la información sea parte de todas las fases de la metodología

del proyecto aplicada.
Es recomendable que las implicaciones de seguridad de la información sean tratadas y

revisadas periódicamente en todos los proyectos. Se sugiere que las responsabilidades
de seguridad de la información se definan y asignan para especificar los roles
declarados en los métodos de gestión de proyectos.
6.2 Dispositivos móviles y teletrabajo
Objetivo: Garantizar la seguridad del teletrabajo y el uso de dispositivos móviles
6.2.1 Política de dispositivos móviles
Control
Se debe adoptar una política y medidas de seguridad de soporte para gestionar los
riesgos introducidos por el uso de dispositivos móviles.
Se recomienda que cuando se utilizan dispositivos móviles, se tenga especial cuidado
para asegurarse de que la información de negocio no se vea comprometida. Es
recomendable que la política de dispositivos móviles tome en cuenta los riesgos de
trabajar con dispositivos móviles en entornos desprotegidos.
Se sugiere que la política de dispositivos móviles tome en cuenta:
a) El registro de dispositivos móviles;

NMX-I-27002-NYCE-2015
12/110
b) Los requisitos de protección física;
c) La restricción de la instalación de software;
d) Los requisitos para las versiones de software de dispositivos móviles y la

aplicación de parches;
e) La restricción de la conexión a los servicios de información;
f) Los controles de acceso;
g) Las técnicas criptográficas;
h) La protección contra el malware;
i) La desactivación remota, supresión o bloqueo;
j) Los respaldos;
k) El uso de los servicios y aplicaciones web.
Se sugiere tener cuidado al usar dispositivos móviles en lugares públicos, salas de

reuniones y otras áreas no protegidas. Se recomienda que la protección este
implementada para evitar el acceso no autorizado o la divulgación de la información
almacenada y procesada por estos dispositivos, por ejemplo, utilizar técnicas
criptográficas (véase el capítulo 10) y hacer cumplir el uso de la información de
autenticación secreta (ver el subinciso 9.2.3).
Es recomendable que los dispositivos móviles también estén físicamente protegidos

contra robo en especial cuando se dejen, por ejemplo, en los automóviles y otro tipo
de transportes, habitaciones del hotel, centros de conferencias y puntos de reunión. Se
sugiere establecer un procedimiento específico que tome en cuenta requisitos legales,
el seguro y otros requisitos de seguridad de la organización para casos de robo o
pérdida de los dispositivos móviles. Se recomienda que los dispositivos que lleven
información importante, de negocios crítica o sensible no se dejen desatendidos y,
cuando sea posible, deben estar físicamente bloqueados o con mecanismos de bloqueo
especiales que sean utilizados para asegurar los dispositivos.
Se sugiere se programe capacitación para personal que utiliza los dispositivos móviles
para aumentar su concienciación sobre los riesgos adicionales derivados de esta forma
de trabajo y de los controles que se necesitan implementar.
Cuando la política de dispositivos móviles permite el uso de dispositivos móviles de

propiedad privada, se recomienda que la política y las medidas relacionadas con la
seguridad consideren:
a) La separación de los dispositivos de uso privado y de negocios, incluyendo el

uso de software para apoyar dicha separación y proteger los datos
empresariales en un dispositivo privado;
b) Proporcionar el acceso a la información del negocio solo después de que los

usuarios han firmado un acuerdo de usuario final y han reconocido sus
obligaciones (protección física, actualización de software, etc.), renuncia a la
propiedad de los datos del negocio, permitiendo el borrado remoto de datos por
NMX-I-27002-NYCE-2015
13/110
la organización en caso de robo o pérdida del dispositivo o cuando ya no esté

autorizado a utilizar el servicio. Esta política necesita tomar en cuenta la
legislación de privacidad.
Otra información
Las conexiones inalámbricas de dispositivos móviles son similares a otros tipos de
conexión de red, pero tienen diferencias importantes que necesitan considerarse
cuando se identifican controles. Las diferencias típicas son:
a) Algunos protocolos de seguridad inalámbrica son inmaduros y tienen

debilidades conocidas;
b) La información almacenada en los dispositivos móviles pueden no estar

respaldados por el ancho de banda limitado y / o porque los dispositivos
móviles no se pueden conectar en los tiempos en que los respaldos son
programados.
Los dispositivos móviles generalmente comparten funciones comunes, por ejemplo,

redes, acceso a internet, correo electrónico y gestión de archivos, con los dispositivos
de uso fijos. Los controles de seguridad de la información de los dispositivos móviles
en general, constan de aquellos aprobados para los dispositivos de uso fijo y son esos
que atienden las amenazas que plantean su uso fuera de las instalaciones de la
organización.
6.2.2 Teletrabajo
Control
Se debe implementar una política y medidas de seguridad de soporte para proteger el
acceso, proceso o almacenamiento de la información en los sitios de teletrabajo.
Las organizaciones que permiten las actividades de teletrabajo se sugiere emitan una
política que defina las condiciones y restricciones de uso del teletrabajo. Cuando se
considere aplicable y lo permita la ley, se recomienda considerar los siguientes
aspectos:
a) Tener en cuenta la seguridad física existente del sitio de teletrabajo tomando en

cuenta la seguridad física del edificio y el entorno local.
b) Entorno físico propuesto para el teletrabajo;
c) Requisitos de seguridad para las comunicaciones, teniendo en cuenta la

necesidad de acceso remoto a los sistemas internos de la organización, la
sensibilidad de la información a la que se puede acceder y pasar sobre el enlace
de comunicación y la sensibilidad del sistema interno;
d) Proporcionar el acceso desde el escritorio virtual que prevenga el procesamiento

y almacenamiento de información sobre el equipo de propiedad privada;
e) La amenaza de acceso no autorizado a información o recursos de otras

personas que utilizan el espacio, por ejemplo, familia y amigos;
NMX-I-27002-NYCE-2015
14/110
f) Uso de redes domésticas y requisitos o restricciones para la configuración de

servicios de red inalámbrica;
g) Políticas y procedimientos para prevenir las controversias relativas a derechos

de propiedad intelectual desarrollada en los equipos de propiedad privada;
h) Acceso a los equipos de propiedad privada (para verificar la seguridad de la

máquina o durante la investigación), que puede ser prevenida por la legislación;
i) Acuerdos de licencia del software de aquellas que las organizaciones pueden

llegar a ser responsable del licenciamiento del software del cliente en las
estaciones de trabajo de propiedad privada de los empleados o los usuarios
externos;
j) Requisitos de protección de antivirus y firewall.
Se recomienda que los lineamientos y disposiciones considerados incluyan:
a) El suministro de equipo adecuado y dispositivos de almacenamiento para las

actividades de teletrabajo, donde el uso de los equipos de propiedad privada
que no están bajo el control de la organización no esté permitido;
b) Definición del trabajo permitido, horas de trabajo, clasificación de la

información que pueda llevarse a cabo y los sistemas internos y servicios que el
trabajador remoto esté autorizado a acceder;
c) Suministro adecuado de equipo de comunicación, incluyendo métodos para

asegurar el acceso remoto;
d) Seguridad física;
e) Normas y lineamientos sobre el acceso al grupo, al equipo visitante y a la

información;
f) Suministro y mantenimiento de hardware y software;
g) Provisión de seguros;
h) Procedimientos de respaldos y continuidad del negocio;
i) Auditoría y supervisión de la seguridad;
j) Revocación de los derechos de la autoridad y acceso, y la devolución del equipo

cuando se terminan las actividades del teletrabajo.
Otra información
El teletrabajo se refiere a todas las formas de trabajo fuera de la oficina, incluyendo
entornos de trabajo no tradicionales, tales como los denominados "trabajo remoto",
"lugar de trabajo flexible", "trabajo a distancia" y entornos "virtuales de trabajo".
NMX-I-27002-NYCE-2015
15/110
7 SEGURIDAD EN LOS RECURSOS HUMANOS
7.1 Previo al empleo
Objetivo: Asegurar que los empleados y contratistas comprendan sus

responsabilidades y son adecuados para los roles para los cuales son considerados.
7.1.1 Investigación
Control
Se deben llevar a cabo verificaciones de antecedentes a todos los candidatos al empleo
de acuerdo con las leyes, regulaciones relevantes y la ética, y deben ser
proporcionales a los requisitos del negocio, la clasificación de la información a la que se
accede y los riesgos percibidos.
Se sugiere que la verificación tome en cuenta toda la privacidad pertinente, la
protección de los datos personales y / o legislación basada en el empleo, y cuando esté
permitido, incluir los siguientes puntos:
a) Disponibilidad de referencias de carácter satisfactorio, por ejemplo, de trabajos

anteriores y personales;
b) Constatación (para la integridad y exactitud) del currículum vitae del

solicitante;
c) Confirmación de títulos académicos y profesionales;
d) Verificación de la identidad independiente (pasaporte o documento similar);
e) Verificación más detallada, como revisión de crédito o revisión de antecedentes

penales.
Cuando una persona es contratada para un rol específico de seguridad de la

información, es recomendable que las organizaciones se aseguren de que el candidato:
a) Tiene la competencia necesaria para desempeñar la función de seguridad;
b) Se puede confiar para asumir el rol, especialmente si el rol es crítico para la

organización.
Cuando un trabajo, en la entrevista inicial o bien en la promoción implique que la

persona tenga acceso a las instalaciones de procesamiento de la información, y, en
particular, si estos son de tratamiento de información confidencial, por ejemplo,
información financiera o información altamente confidencial, es recomendable que la
organización también considere además de lo anterior, una verificación más detallada.
Se recomienda que los procedimientos definan los criterios y limitaciones para las
verificaciones por ejemplo, quién es elegible para seleccionar cómo, cuándo y por qué
de las verificaciones sin llevaron a cabo.
NMX-I-27002-NYCE-2015
16/110
Se sugiere un proceso de selección también garantice la selección de contratistas. En

estos casos, el acuerdo entre la organización y la parte externa se recomienda
especifique las responsabilidades para llevar a cabo la selección y los procedimientos
de notificación que necesitan seguir si la selección no se ha terminado o si los
resultados son motivo de duda o preocupación.
Se recomienda que la información sobre todos los candidatos considerados para

puestos dentro de la organización se recopile y trate de acuerdo con la legislación
apropiada existente en la jurisdicción correspondiente. Dependiendo de la legislación
aplicable, se sugiere que los candidatos sean informados de antemano acerca de las
actividades de selección.
7.1.2 Términos y condiciones del empleo
Control
Los acuerdos contractuales con los empleados y contratistas deben indicar sus
responsabilidades y las de la organización para la seguridad de la información.
Es recomendable que las obligaciones contractuales de los empleados o contratistas
reflejen la política de seguridad de la organización, además de aclarar y declarar:
a) Que todos los empleados y contratistas que se les da acceso a la información

confidencial necesitan firmar un acuerdo de confidencialidad o de no divulgación
antes de que se les dé acceso al procesamiento de información (ver el subinciso
13.2.4);
b) Derechos y responsabilidades legales del contratista y empleado. Por ejemplo

Con respecto a las leyes de derechos de autor o de la legislación de protección
de datos (ver el subinciso 18.2.4);
c) Responsabilidades para la clasificación de la información y la gestión de los

activos de la organización relacionados con la información, instalaciones de
procesamiento de la información y servicios de información utilizados por el
empleado o contratista (ver el capítulo 8);
d) Las responsabilidades del empleado o contratista para el manejo de la

información recibida de otras empresas o partes externas;
e) Acciones a tomar si el empleado o contratista no toma en cuenta los requisitos

de seguridad de la organización (véase el subinciso 7.2.3).
Se sugiere que los roles y responsabilidades de seguridad de la información se

comuniquen a los candidatos durante el proceso de previo al empleo.
Se recomienda que la organización se asegure de que los empleados y usuarios
externos estén de acuerdo con los términos y condiciones en materia de seguridad de
la información de acuerdo a la naturaleza y grado de acceso que tienen a los activos de
la organización relacionados con los sistemas y servicios de información.
Donde sea apropiado, se sugiere que las responsabilidades contenidas dentro de los
términos y condiciones del empleo continúen durante un cierto periodo después del fin
del empleo (véase el inciso 7.3).
NMX-I-27002-NYCE-2015
17/110
Otra información
Un código de conducta puede ser utilizado para cubrir la responsabilidad del empleado
o del contratista respecto a la confidencialidad, protección de datos, ética, el uso
adecuado de los equipos de la empresa y las instalaciones, así como las prácticas de
buena reputación esperados por la empresa. La parte externa, con la que un contrista
está asociado, puede ser requerirse para celebrar acuerdos contractuales en
representación de la persona contratada.
7.2 Durante el empleo
Objetivo: Asegurar que los empleados y contratistas estén conscientes de y cumplan

con sus responsabilidades de seguridad de la información.
7.2.1 Responsabilidades de la Dirección
Control
La dirección debe exigir a todos los empleados y contratistas aplicar la seguridad de la
información de acuerdo con las políticas y procedimientos establecidos de la
organización.
Es recomendable que las responsabilidades de la dirección incluya la garantía de que
los empleados y contratistas:
a) Estén debidamente informados sobre sus roles y responsabilidades de

seguridad antes de ser concedido el acceso a la información confidencial o de
los sistemas de información;
b) Se les proporcionen los lineamientos de las expectativas de seguridad y de su

rol dentro de la organización;
c) Estén motivados para cumplir con las políticas de seguridad de la información

de la organización;
d) Lograr un nivel de conciencia en materia de seguridad relevante a sus roles y

responsabilidades dentro de la organización (véase el subinciso 7.2.2);
e) Cumplir con los términos y condiciones del empleo, que incluye la política de
información de seguridad de la empresa y los métodos adecuados de trabajo;
f) Mantener las habilidades y aptitudes apropiadas y sean capacitados de manera

regular;
g) Se les proporcionen un canal de denuncia anónima para reportar violaciones de

las políticas de seguridad de la información o procedimientos (“denuncia de
irregularidades”).
Se recomienda que la dirección demuestre el apoyo a las políticas de seguridad de la

información, procedimientos y controles y actúe como un modelo a seguir.
Otra información
Si los empleados y contratistas no son conscientes de sus responsabilidades en la
seguridad de la información, pueden causar un daño considerable a la organización.
NMX-I-27002-NYCE-2015
18/110
Personal motivado es igual a que sean más confiables y causen menos incidentes en la
Una dirección pobre puede provocar que el personal se sienta devaluado resultando en
un impacto negativo a la seguridad de la información de la organización. Por ejemplo,
una dirección pobre puede llevar a que la seguridad de la información se descuide o se
tenga un mal uso en los activos de la organización.
7.2.2 Concientización, educación y capacitación en seguridad de la

información
Control
Todos los empleados de la organización y, cuando sea relevante, contratistas deben
recibir concientización, educación y capacitación apropiada y actualizaciones regulares
de políticas y procedimientos organizacionales, como sea relevante para sus funciones
de trabajo.
Se recomienda un programa de concientización en seguridad de la información que
tenga como objetivo hacer que los empleados y, contratistas estén conscientes de sus
responsabilidades en materia de seguridad de la información y de los medios por los
que estas responsabilidades son dadas de alta.
El programa de concientización para la seguridad de la información es recomendable se

establezca en concordancia con las políticas de seguridad de la información de la
organización y los procedimientos pertinentes, teniendo en cuenta la información de la
organización que se protege y los controles que se han implementado para proteger la
información. El programa de concientización se sugiere incluya una serie de
actividades de concientización, tales como campañas (por ejemplo, un “día de
seguridad de la información”) y emisión de folletos y boletines.
Se recomienda que el programa de concientización se planifique teniendo en cuenta los

roles de los empleados de la organización, y, en donde sea relevante, las expectativas
de la organización para concientizar a los contratistas. Es recomendable que las
actividades del programa de concientización se programe con tiempo, de preferencia
con regularidad, de manera que las actividades se repitan y cubran a los nuevos
empleados y contratistas. Se sugiere que el programa de concientización también se
actualice regularmente para que se mantenga en concordancia con las políticas y
procedimientos de la organización, y se base en las lecciones aprendidas de incidentes
de seguridad de la información.
Es recomendable que la concientización se realice según lo requiera el programa de

seguridad de la información de la organización. La concientización puede utilizar
distintos medios de entrega, incluyendo capacitación presencial, a distancia, basada en
la web, de forma autodidacta y otros.
Se recomienda que la educación y capacitación en seguridad de la información, cubra

aspectos generales, tales como:
a) Afirmar el compromiso de la dirección de seguridad de la información en toda la

organización;
NMX-I-27002-NYCE-2015
19/110
b) La necesidad de conocer y cumplir con las reglas de seguridad de la información

y las obligaciones, tal como se definen en las políticas, normas, leyes,
reglamentos, contratos y acuerdos;
c) La rendición de cuentas del personal por sus acciones y omisiones, y las

responsabilidades generales hacia la seguridad o protección de la información
que pertenece a la organización y las partes externas;
d) Los procedimientos básicos de seguridad de la información (por ejemplo, la

notificación de incidentes de seguridad de la información) y los controles base
(como la contraseña de seguridad, controles para el software malicioso y
escritorios limpios);
e) Los puntos de contacto y recursos para obtener información adicional y

asesoramiento en materia de seguridad de la información, incluida mayor
capacitación sobre la información y materiales de la misma.
Es recomendable que la concientización y capacitación en seguridad de la información

se realice periódicamente. Se recomienda que la concientización inicial y la
capacitación se aplique a aquellos que se transfieren a nuevas posiciones o roles con
los requisitos de seguridad de la información sustancialmente distintos, no sólo a los
nuevos titulares sino antes de que el rol este activo.
Se recomienda que la organización desarrolle el programa de capacitación y educación

con el fin de llevar a cabo capacitación y educación eficaz. Se sugiere que el programa
este en concordancia con las políticas de seguridad de la organización de la
información y los procedimientos pertinentes, teniendo en cuenta la información de la
organización que se protege y los controles que se han implementado para proteger la
información. Es recomendable que el programa considere las diferentes formas de
capacitación y educación, por ejemplo, las conferencias o el auto-estudio.
Otra información
Al redactar un programa de concientización, es importante no sólo centrarse en el
"qué" y "cómo", sino también en el "por qué". Es importante que los empleados
entiendan el propósito de la seguridad de la información y el posible impacto, positivo
y negativo, sobre la organización de su propio comportamiento.
La concientización, la educación y la capacitación pueden ser parte de, o llevarse a

cabo en colaboración con otras actividades de capacitación, por ejemplo con
capacitación general de TI o capacitación general en seguridad. Se recomienda que las
actividades de concientización, educación y capacitación sean adecuadas y pertinentes
a las, responsabilidades y habilidades de los roles individuales (véase el subinciso
7.2.2).
Una evaluación de la comprensión de los empleados puede llevarse a cabo al final de

un curso de capacitación, concientización y educación para poner a prueba la
transferencia de conocimientos.
7.2.3 Proceso disciplinario
Control
Debe haber y comunicarse un proceso disciplinario formal para tomar acciones contra
empleados que hayan cometido una violación a la seguridad de información.
NMX-I-27002-NYCE-2015
20/110
Se recomienda que no se inicie el proceso disciplinario sin una verificación previa de
que ha ocurrido un violación de seguridad (véase el subinciso 16.1.7).
Es recomendable que el proceso disciplinario formal garantice un trato correcto y justo

para los empleados que son sospechosos de haber cometido violaciones de la
seguridad. Se recomienda que el proceso disciplinario formal proporcione una
respuesta gradual que tome en consideración factores tales como la naturaleza y
gravedad de la violación y su impacto sobre el negocio, independientemente si es o no
la primera o repetición de la infracción, si el infractor fue o no capacitado
adecuadamente, es necesario aplicar la legislación pertinente, contratos de negocios y
otros factores según se requiera.
Se recomienda que el proceso disciplinario también se utilice como un elemento de

disuasión para evitar que los empleados cometan una violación a las políticas y
procedimientos de seguridad de la organización y cualquier otra violación de seguridad.
Las violaciones deliberadas pueden requerir acciones inmediatas.
El proceso disciplinario puede convertirse también en una motivación o incentivo si las

sanciones están definidas positivamente para el comportamiento notable en lo que
respecta a la seguridad.
7.3 Terminación y cambio de empleo
Objetivo: Proteger los intereses de la organización como parte del proceso de cambio o
terminación del empleo.
7.3.1 Responsabilidades en la terminación o cambio de empleo
Control
Las responsabilidades de la seguridad de la información y deberes que permanezcan
validos después de la terminación o el cambio de empleo deben estar definidos, y
comunicados a los empleados o contratistas y deben hacerse cumplir.
Se recomienda que la comunicación de la terminación de las responsabilidades incluya
los requisitos en curso de seguridad y las responsabilidades legales y, cuando sea
apropiado, las responsabilidades contenidas dentro de cualquier acuerdo de
confidencialidad (véase el subinciso 13.2.4), los términos y condiciones del empleo
(véase el subinciso 7.1.2) continúen durante un período definido después del término
del empleo del empleado o contratista.
Es recomendable que las responsabilidades y deberes que sean válidos después de la

terminación del empleo estén dentro de los contratos del empleado o contratista en los
términos y condiciones de empleo (véase el subinciso 7.1.2).
Se recomienda que los cambios de responsabilidades o empleo se manejen como la

terminación de la responsabilidad actual o empleo combinado con el inicio del nuevo
empleo o responsabilidades.
Otra información
La función de recursos humanos es generalmente el responsable de todo el proceso de
terminación y trabaja en conjunto con el supervisor de la persona que deja de
NMX-I-27002-NYCE-2015
21/110
gestionar los aspectos de seguridad de la información de los procedimientos

pertinentes. En el caso de un contratista proporcionado a través de una parte externa,
este proceso de terminación se lleva a cabo con la parte externa, de conformidad con
el contrato entre la organización y la parte externa.
Puede que sea necesario informar a los empleados, clientes o contratistas de los
cambios de personal y acuerdos operativos.
8 GESTIÓN DE ACTIVOS
8.1 Responsabilidad sobre los activos
Objetivo: Identificar los activos organizacionales y definir las responsabilidades de

protección apropiadas.
8.1.1 Inventario de los activos
Control
Se deben identificar los activos asociados con información e instalaciones de
procesamiento de información y se debe elaborar y mantener un inventario de estos
activos.
Es recomendable que la organización identifique los activos relevantes en el ciclo de
vida de la información y documente su importancia. Se recomienda que el ciclo de vida
de la información incluya la creación, procesamiento, almacenamiento, transmisión,
eliminación y destrucción. Se sugiere que la documentación se mantenga en los
inventarios dedicados o existentes, según sea apropiado.
Se recomienda que el inventario de activos sea exacto, este actualizado, sea coherente
y este alineado con otros inventarios.
Para cada uno de los activos identificados, es necesario asignar un propietario, (véase
el subinciso 8.1.2) e identificar su clasificación (véase el inciso 8.2).
Otra información
Los inventarios de activos ayudan a garantizar que la protección eficaz se lleve a cabo,
y también pueden ser necesarios para otros propósitos, como la salud y la seguridad,
los seguros o fines financieras (gestión de activos).
La NMX-I-27005-NYCE proporciona ejemplos de activos que se pueden necesitar ser

considerados por la organización cuando se identifiquen activos. El proceso de
elaboración de un inventario de activos es un requisito importante previo de la gestión
de riesgos véanse las NMX-I-27000-NYCE y la NMX-I-27005-NYCE.
8.1.2 Propiedad de los activos
Control
Los activos incluidos en el inventario deben contar con un propietario.
NMX-I-27002-NYCE-2015
22/110
Los individuos, así como aquellas entidades que aprobaron la responsabilidad del ciclo
de vida del activo califican para ser asignados como propietarios del activo.
Normalmente se implementa un proceso para asegurar la oportuna asignación de

propiedad de los activos. Es recomendable que la propiedad se asigne cuando los
activos se crean o cuando los activos se transfieren a la organización. Se recomienda
que el propietario de los activos sea responsable de la correcta gestión de un activo a
lo largo del ciclo de vida del mismo.
Es recomendable que el propietario de los activos:
a) Asegure de que sus activos están inventariados;
b) Asegure de que los activos están debidamente clasificados y protegidos;
c) Defina y revise periódicamente las restricciones de acceso y clasificaciones a

los activos importantes, teniendo en cuenta las políticas aplicables de control de
acceso;
d) Asegure el manejo adecuado cuando el activo sea eliminado o destruido.
Otra información
El propietario identificado puede ser un individuo o una entidad que ha aprobado la
responsabilidad de gestión para controlar todo el ciclo de vida de un activo. El
propietario identificado no necesariamente tiene algún derecho de propiedad sobre el
activo.
Las tareas rutinarias pueden delegarse, por ejemplo, a un custodio se le otorga el

cuidado diario de los activos, pero la responsabilidad recae en el propietario.
En sistemas de información complejos, puede ser útil designar grupos de activos, que
actúan juntos para proporcionar un servicio particular. En este caso, el propietario de
este servicio es responsable de la prestación del servicio, incluyendo la operación de
sus activos.
8.1.3 Uso aceptable de los activos
Control
Se debe identificar, documentar e implementar reglas para el uso aceptable de la
información y de los activos asociados con la información y las instalaciones de
procesamiento de la información.
Se recomienda que los empleados y los usuarios externos utilizando o que tenga
acceso a los activos de la organización sean conscientes de los requisitos de seguridad
de la información de los activos de la organización asociados con las instalaciones y
recursos para el procesamiento de la información. Es recomendable que ellos sean
responsables del uso de cualquiera de los recursos de procesamiento de la información
y cualquier uso recae bajo su responsabilidad.
NMX-I-27002-NYCE-2015
23/110
8.1.4 Devolución de activos
Control
Todos los empleados y usuarios externos deben devolver todos los activos de la
organización en su posesión a la terminación de su empleo, contrato o acuerdo.
Se recomienda que el proceso de terminación se formalice para incluir la devolución de
todos los activos físicos y electrónicos entregados previamente pertenecientes o
confiados a la organización.
En los casos donde un empleado o grupo de usuarios externos compren equipos de la

organización o utilicen su propio equipo, es recomendable que se sigan procedimientos
que garanticen que toda la información pertinente se transfiere a la organización y
después se elimina de forma segura de ese equipo (véase subinciso 11.2.7).
En los casos donde un empleado o grupo de usuarios externos tenga conocimiento que
es importante para las operaciones actuales se recomienda se documente y se
transfiera la información a la organización.
Durante el período de notificación de terminación, la organización debe controlar la

copia no autorizada de la información relevante (por ejemplo, propiedad intelectual)
por los empleados despedidos.
8.2 Clasificación de información
Objetivo: Asegurar que la información reciba un nivel apropiado de protección, de

acuerdo con su importancia para la organización.
8.2.1 Clasificación de información
Control
La información debe ser clasificada en términos de su valor, requisitos legales,
sensibilidad o criticidad para la organización.
Se recomienda que las clasificaciones y controles asociados para la protección de
información tomen en cuenta las necesidades del negocio sobre compartir o restringir
la información, así como los requisitos legales. Distintos activos de información
también pueden ser clasificados de conformidad con la clasificación de la información
que está almacenada en, es procesada, manipulada por otra parte o protegida por el
activo.
Es recomendable que los propietarios de los activos de información sean responsables

de su clasificación.
Se recomienda que el esquema de clasificación incluya reglas para la clasificación y

criterios para la revisión de la clasificación a lo largo del tiempo (véase el subinciso
9.1.1). Es recomendable que el nivel de protección del esquema se evalué mediante el
análisis de la confidencialidad, integridad y disponibilidad y cualquier otro requisito que
se considere para la información. El sistema debe estar alineado con la política de
control de acceso (véase el subinciso 9.1.1).
NMX-I-27002-NYCE-2015
24/110
Es recomendable que cada nivel tenga un nombre, que tenga sentido en el contexto de
la aplicación del esquema de clasificación.
Se recomienda que el esquema sea consistente en toda la organización de forma que

todos clasifiquen la información y los activos relacionados de la misma manera, tengan
un entendimiento común de los requisitos de protección y apliquen la protección
adecuada.
Se recomienda que la clasificación sea consistente y coherente y este incluida en los

procesos de la organización. Es recomendable que los resultados de la clasificación
indiquen el valor de los activos en función de su sensibilidad y criticidad para la
organización, por ejemplo en términos de confidencialidad, integridad y disponibilidad.
Se recomienda que los resultados de la clasificación estén actualizados de acuerdo con
los cambios de su valor, sensibilidad y criticidad a través de su ciclo de vida.
Otra información
La clasificación ofrece una indicación concisa de cómo manejar y proteger la
información a las personas que hacen frete a ella. La creación de grupos de
información con las necesidades de protección similares, y la especificación de
procedimientos de seguridad de la información que apliquen a toda la información de
cada grupo facilita esto. Este enfoque reduce la necesidad de una valoración de riesgo
caso por caso y el diseño a la medida de los controles.
La información puede dejar de ser sensible o crítica después de un cierto período de

tiempo, por ejemplo, cuando la información se ha hecho pública. Es recomendable que
estos aspectos sean tomados en cuenta, porque el exceso de clasificación puede dar
lugar a la aplicación de los controles innecesarios que resulte en un gasto adicional o
por el contrario la sub-clasificación puede poner en peligro la consecución de los
objetivos de negocio.
Un ejemplo de esquema de clasificación de la información de la confidencialidad puede

estar basado en cuatro niveles de la siguiente manera:
a) La divulgación no causa ningún daño;
b) La divulgación provoca una complicación o inconveniente operacional menor;
c) La divulgación tiene un significativo impacto a corto plazo sobre las operaciones

o los objetivos tácticos;
d) La divulgación tiene un grave impacto sobre los objetivos estratégicos a largo

plazo o en la supervivencia de la organización ante el riesgo.
8.2.2 Etiquetado de información
Control
Se debe desarrollar e implementar un conjunto apropiado de procedimientos para el
etiquetado de la información de acuerdo con el esquema de clasificación de la
información adoptado por la organización.
Los procedimientos para el etiquetado de la información necesitan cubrir la información
y sus activos relacionados en formatos físicos y electrónicos. Es recomendable que el
NMX-I-27002-NYCE-2015
25/110
etiquetado refleje el esquema de clasificación establecido en el subinciso 8.2.1. Se

recomienda que las etiquetas sean fácilmente reconocibles. Se sugiere que los
procedimientos proporcionen una guía sobre dónde y cómo se colocan las etiquetas
tomando en consideración cómo se accede a la información o cómo se manejan los
activos dependiendo los tipos de medios de comunicación. Los procedimientos pueden
definir casos en donde se omite el etiquetado, por ejemplo, el etiquetado de
información no confidencial para reducir las cargas de trabajo. Se recomienda que los
empleados y contratistas estén al tanto de los procedimientos de etiquetado.
Es recomendable que la salida de los sistemas que contienen información que sea
clasificada como sensible o crítica lleve una etiqueta apropiada de clasificación.
Otra información
El etiquetado de la información clasificada es un requisito clave para los acuerdos de
intercambio de información. Las etiquetas físicas y metadatos son una forma común de
etiquetado.
El etiquetado de la información y sus activos relacionados a veces pueden tener

efectos negativos. Los activos clasificados son fáciles de identificar y en consecuencia
de robar por personas de la organización o atacantes externos.
8.2.3 Manejo de activos
Control
Se deben desarrollar e implementar procedimientos para el manejo de activos de
acuerdo con el esquema de clasificación de la información adoptada por la
organización.
Se recomienda establecer procedimientos para el manejo, procesamiento,
almacenamiento y transmisión de información de acuerdo con su clasificación (véase el
subinciso 8.2.1).
Es recomendable que se consideren los siguientes puntos:
a) Restricciones de acceso que soportan los requisitos de protección para cada

nivel de clasificación;
b) Mantenimiento de un registro formal de los receptores autorizados de los

activos;
c) Protección de las copias temporales o permanentes de información a un nivel

consistente con la protección de la información original;
d) Almacenamiento de los activos de TI de acuerdo con las especificaciones del

fabricante;
e) Borrar el marcado de todas las copias de los medios para la atención del
destinatario autorizado.
El esquema de clasificación utilizado dentro de la organización no puede ser

equivalente a los sistemas utilizados por otras organizaciones, incluso si los nombres
de los niveles son similares , además, la información que se mueve entre las
NMX-I-27002-NYCE-2015
26/110
organizaciones puede variar en función de su clasificación en el contexto de cada

organización, aunque sus esquemas de clasificación sean idénticos.
Los acuerdos con otras organizaciones que incluyan el intercambio de información, es

recomendable que incluyan procedimientos para identificar la clasificación de dicha
información y para interpretar las etiquetas de clasificación de otras organizaciones.
8.3 Manejo de medios
Objetivo: Prevenir la divulgación no autorizada, modificación, eliminación o destrucción

de información almacenada en medios.
8.3.1 Gestión de medios extraíbles
Control
Se deben implementar procedimientos para la gestión de medios removibles de
acuerdo con el esquema de clasificación adoptado por la organización.
Se recomienda que los siguientes puntos para la gestión de medios extraíbles sean
considerados:
a) Si ya no es necesario, los contenidos de cualquier medio reutilizable que sea

retirado de la organización es recomendable se hagan irrecuperables;
b) Cuando sea necesario y práctico, debe exigirse una autorización para los
medios fuera de la organización y mantener un registro de esos retiros con el
fin de conservar una evidencia de auditoría;
c) Todos los medios deben almacenarse en un entorno seguro, de acuerdo con las
especificaciones del fabricante;
d) Si la confidencialidad o la integridad de los datos son considerados importantes,

es recomendable utilizar técnicas criptográficas para proteger los datos de los
medios extraíbles;
e) Para mitigar el riesgo de la degradación de los medios mientras los datos

almacenados aún se necesiten, es recomendable que los datos sean
transferidos a un nuevo medio antes de que sean ilegibles;
f) Se recomienda que las copias múltiples de los datos importantes deben se

almacenen en medios separados para reducir aún más el riesgo de daño o
pérdida de datos coincidentes;
g) Es recomendable considerar el registro de los medios extraíbles para limitar la

posibilidad de pérdida de datos;
h) Se recomienda que las unidades de medios extraíbles sólo se habiliten si hay

una razón de negocios para hacerlo;
i) Es recomendable se monitoreen los medios donde exista la necesidad de usar

estos medios extraíbles para la transferencia de información.
NMX-I-27002-NYCE-2015
27/110
Es recomendable que se documenten los procedimientos y niveles de autorización.
8.3.2 Disposición medios
Control
Se deben disponer de manera segura los medios cuando ya no se requieran, utilizando
procedimientos formales.
Se recomiendan establecer procedimientos formales para la eliminación segura de los
medios para minimizar el riesgo de fuga de información confidencial a personas no
autorizadas. Es recomendable que los procedimientos para la eliminación segura de los
medios que contengan información confidencial de acuerdo con la sensibilidad de esa
información y se consideren los siguientes puntos:
a) Los medios que contengan información confidencial se almacenen y dispongan

de forma segura, por ejemplo, mediante incineración, trituración, o borrado de
datos para su uso por otra aplicación dentro de la organización;
b) Los procedimientos estén implementados para identificar los elementos que

puedan requerir la eliminación segura;
c) Puede resultar más fácil organizar todos los elementos multimedia hacer
recopilados y eliminados de forma segura, en lugar de tratar de separar los
elementos sensibles;
d) Muchas organizaciones ofrecen servicios de recolección y eliminación de

medios, pero se recomienda tener cuidado en la selección de una parte externa
idónea con experiencia y controles adecuados;
e) Se recomienda registrar la eliminación de los elementos sensibles siempre que

sea posible con el fin de mantener una evidencia de auditoría.
Cuando hay acumulación de medios a eliminar, es recomendable tener en cuenta el

efecto de acumulación, que puede causar que una gran cantidad de información no
sensible se vuelva sensible.
Otra información
Los dispositivos dañados que contengan datos sensibles pueden requerir una
valoración de riesgos para determinar si los elementos deben ser físicamente
destruidos en lugar de enviarse a reparar o tirarse (véase el subinciso 11.2.7).
8.3.3 Transferencia de medios físicos
Control
Se deben proteger los medios que contengan información contra acceso no autorizado,
mal uso o corrupción durante la transportación.
Se recomienda que los siguientes puntos sean considerados para proteger a los medios
que contenga información que sean transportados:
a) Utilizar transporte o mensajeros confiables;

NMX-I-27002-NYCE-2015
28/110
b) Acordar con la administración una lista de mensajeros autorizados;
c) Desarrollar procedimientos para verificar la identificación de mensajeros;
d) Un empaquetado puede ser suficiente para proteger el contenido de cualquier

daño físico que pueda producirse durante el traslado y considerando con las
especificaciones de cualquiera de los fabricantes, por ejemplo la protección
contra los factores ambientales que pueda reducir la eficacia de la restauración
del medio como la exposición al calor, la humedad o campos electromagnéticos;
e) Mantener registros, identificando el contenido de los medios, la protección

aplicada, así como el registro de los tiempos de transferencia a los custodios en
tránsito y la recepción en el destino.
Otra información
La información puede ser vulnerable al acceso no autorizado, mal uso o corrupción
durante el transporte físico, por ejemplo cuando se envían los medios a través del
servicio postal o por mensajería. En este control incluyen los documentos en papel.
Cuando la información confidencial sobre los medios no esté cifrada, se recomienda

considerar protección física adicional de los medios.
9 CONTROL DE ACCESO
9.1 Requisitos de negocio para el control de acceso
Objetivo: Limitar el acceso a la información y a las instalaciones de procesamiento de

la información.
9.1.1 Política de control de acceso
Control
Se debe establecer, documentar y revisar una política de control de acceso basada en
los requisitos del negocio y de la seguridad de la información.
Se recomienda que los propietarios de activos determinen las reglas de acceso,
privilegios y restricciones de acceso adecuados a los roles de usuarios específicos con
respecto a sus activos, con el nivel de detalle y rigor de los controles reflejando los
riesgos asociados a la seguridad de la información.
Los controles de acceso son lógicos y físicos (véase el capítulo 11) y es recomendable
considerarlos en conjunto. Se recomienda que los usuarios y los proveedores de
servicios tengan una declaración clara de los requisitos del negocio que deben cumplir
los controles de acceso.
Es recomendable que la política tome en cuenta lo siguiente:
a) Requisitos de seguridad de las aplicaciones de negocios;
NMX-I-27002-NYCE-2015
29/110
b) Políticas para la difusión y la autorización de la información, por ejemplo, la

necesidad de conocer los principios y los niveles de seguridad y clasificación de
la información (véase el inciso 8.2);
c) Coherencia entre los derechos de acceso y políticas de clasificación de la

información de los diferentes sistemas y redes;
d) Legislación pertinente y las obligaciones contractuales respecto a la limitación

del acceso a los datos o servicios (véase el inciso 18.1);
e) Gestión de los derechos de acceso en un entorno distribuido y en red, que

reconoce todos los tipos de conexiones disponibles;
f) Segregación de los roles para el control de acceso, por ejemplo, solicitud de

acceso, autorización de acceso, administración de acceso;
g) Requisitos para la autorización formal de las solicitudes de acceso (véase el

subinciso 9.2.1 y 9.2.2.);
h) Requisitos para la revisión periódica de controles de acceso (véase el subinciso

9.2.5);
i) Retiro de los derechos de acceso (véase el subinciso 9.2.6);
j) Mantener los registros de todos los eventos importantes en relación con el uso y
gestión de las identidades de los usuarios y la información de autenticación
secreta;
k) Roles con acceso privilegiado (véase el subinciso 9.2.3).
Otra información
Se recomienda tener cuidado al especificar las reglas de control de acceso que
consideren:
a) El establecimiento de reglas basadas en la premisa "todo está generalmente

prohibido a menos que esté expresamente permitido" y no la regla más débil
"todo está permitido generalmente a menos que esté expresamente prohibido";
b) Los cambios en las etiquetas de información (véase el subinciso 8.2.2) que se

inician automáticamente por las instalaciones de procesamiento de la
información y aquellos iniciados a discreción de un usuario;
c) Los cambios en los permisos de usuario que se inician automáticamente por el

sistema de información y aquellos iniciados por un administrador;
d) Las reglas que requieren aprobación específica antes de su promulgación, y

aquellas que no la requieren.
Es recomendable que las reglas de acceso de control cuenten con procedimientos

formales (véanse los incisos 9.2, 9.3, 9.4) y responsabilidades definidas (véanse los
subincisos 6.1.1, 9.3).
NMX-I-27002-NYCE-2015
30/110
El rol basado en el acceso es un enfoque utilizado con éxito por muchas organizaciones
para vincular los derechos de acceso a los roles de negocio.
Dos principios frecuentes que aborda la política de control de acceso son:
a) Se necesita saber: que sólo se le concede el acceso a la información que se

necesita para realizar sus tareas (diferentes tareas / roles significa que necesita
saber diferente información y por lo tanto el perfil de acceso es diferente);
b) Necesidad de uso: sólo se le concede el acceso a las instalaciones de

procesamiento de la información (equipos informáticos, aplicaciones,
procedimientos, instalaciones) que necesita para realizar su tarea / trabajo /
roles.
9.1.2 Acceso a las redes y los servicios de la red
Control
Se debe proporcionar a los usuarios únicamente el acceso a los servicios para los que
hayan sido específicamente autorizados.
Se recomienda formular una política sobre la utilización de redes y servicios de red. Se
recomienda que esta política abarque:
a) Las redes y los servicios de red que está permitido a acceder;
b) Procedimientos de autorización para determinar quién puede acceder a qué

redes y servicios de red;
c) Controles y procedimientos de gestión para proteger el acceso a las conexiones

de red y los servicios de red;
d) Medios utilizados para acceder a las redes y servicios de red (por ejemplo, el
uso de VPN o red inalámbrica);
e) Requisitos de autenticación de usuario para acceder a varios servicios de red;
f) Monitorear el uso de los servicios de red.
Otra información
Las conexiones no autorizadas e inseguras para los servicios de red pueden afectar a
toda la organización. Este control es particularmente importante para las conexiones
de red con aplicaciones de negocios sensibles o críticas o para los usuarios en
ubicaciones de alto riesgo, por ejemplo, áreas públicas o externas que están fuera de
la gestión y control de seguridad de la organización.
9.2 Gestión del acceso de usuarios
Objetivo: Garantizar el acceso de usuarios autorizados y prevenir acceso no autorizado

a sistemas y servicios.
NMX-I-27002-NYCE-2015
31/110
9.2.1 Registro y cancelación de usuarios
Control
Se debe implementar un proceso formal de registro y cancelación de usuarios que
permita la asignación de derechos de acceso.
Se recomienda que el proceso para administrar los identificadores únicos (ID´s) de
usuario incluya:
a) El Uso de identificadores únicos de usuario para que los usuarios puedan estar
vinculados y ser responsables de sus acciones, se recomienda que el uso de
identificadores únicos compartidos sólo se permita cuando sea necesario por
razones de negocios o de operación y sean aprobados, y documentados;
b) La Desactivación o retiro inmediato de los ID´s de usuario de los usuarios que

han abandonado la organización (véase el subinciso 9.2.5);
c) La identificación y retiro o desactivación periódicamente de los ID de usuario

redundantes;
d) Asegurar que los ID de usuario redundantes no se asignen a otros usuarios.
Otra información
Proporcionar o revocar el acceso a las instalaciones de procesamiento de la
información o la información, por lo general es un procedimiento de dos pasos:
a) La asignación y habilitación, o revocación de un ID de usuario;
b) Proporcionar o revocar los derechos de acceso a dicho ID (véase el subinciso

9.2.2).
9.2.2 Provisión de acceso de usuarios
Control
Se debe implementar un proceso formal para la provisión de acceso a usuarios para
asignar o revocar derechos de acceso para todos los tipos de usuarios a todos los
sistemas y servicios.
Se recomienda que el proceso de suministro para asignar o revocar los derechos de
acceso concedidos a todos los tipos de usuario a los sistemas y servicios incluya:
a) Obtener la autorización del propietario del sistema o servicio de información

para el uso del sistema o servicio de información (véase el subinciso 8.1.2),
también puede ser apropiada la aprobación por separado de derechos de acceso
de la dirección;
b) Verificar que el nivel de acceso otorgado es adecuado a las políticas de acceso

(véase el inciso 9.1) y es consistente con otros requisitos, como la separación
de actividades (véase el subinciso 6.1.2);
NMX-I-27002-NYCE-2015
32/110
c) Garantizar que los derechos de acceso no estén activados (por ejemplo, los
proveedores de servicios) antes de terminar los procedimientos de autorización;
d) Mantener de un registro central de los derechos de acceso concedidos a un ID

de usuario para acceder a los sistemas de información y servicios;
e) Adaptar los derechos de acceso de los usuarios que han cambiado de roles o
trabajo y retirar o bloquear los derechos de acceso de los usuarios que han
abandonado la organización;
f) Revisar periódicamente los derechos de acceso con los propietarios de los

sistemas y servicios de información (véase el subinciso 9.2.5).
Otra información
Se recomienda considerar la posibilidad de establecer los roles de acceso a usuario
basado en los requisitos del negocio que resuman una serie de derechos de acceso en
perfiles típicos de acceso de usuario. Las solicitudes de acceso y reseñas (véase el
subinciso 9.2.4) son más fáciles de administrar a nivel de esos roles que a un nivel de
derechos particulares.
Es recomendable considerar la posibilidad de incluir cláusulas en los contratos del

personal y de servicios que especifiquen sanciones si el acceso no autorizado es
realizado por el personal o contratistas (véanse los subincisos 7.1.2, 7.2.3, 13.2.4,
15.1.2).
9.2.3 Gestión de derechos de acceso privilegiado
Control
La asignación y uso de los derechos de acceso privilegiado deben restringirse y
controlarse.
Se recomienda que la asignación de acceso privilegiado sea controlado a través de un
proceso de autorización formal de acuerdo con la política de control de acceso
correspondiente (véase el subinciso 9.1.1). Es recomendable que los siguientes pasos
se consideren:
a) Se identifiquen los derechos de acceso privilegiado asociados con cada sistema

o proceso, por ejemplo, el sistema operativo, el sistema de gestión de base de
datos y cada aplicación, y los usuarios a los que deben asignarse.
b) Asignar derechos de acceso privilegiado a los usuarios con base en la necesidad

de uso y por evento en concordancia con la política de control de acceso (véase
el subinciso 9.1.1), por ejemplo, con base en el requisito mínimo para sus roles
funcionales;
c) Mantener un proceso de autorización y un registro de todos los privilegios

asignados. Se recomienda no conceder los privilegios de los derechos de
acceso hasta que el proceso de autorización se complete;
d) Definir los requisitos para la expiración de los derechos de acceso privilegiado ;
NMX-I-27002-NYCE-2015
33/110
e) Asignar los derechos de acceso privilegiado a un ID de usuario diferente a

aquellos utilizados para las actividades de negocio regulares. Se recomienda
que estas actividades regulares de negocio no se realicen con las cuentas
privilegiadas;
f) Revisar periódicamente la competencia de los usuarios con derechos de acceso

privilegiado para verificar si están en concordancia con sus actividades;
g) Establecer y mantener procedimientos específicos para evitar el uso de ID´s

genéricos de usuarios de administración, de acuerdo a las capacidades de
configuración de sistemas;
h) Mantener la confidencialidad de la información de autenticación secreta de

ID´s de usarais genéricos de administración cuando se comparten (por ejemplo
modificando con frecuencia y lo antes posible cuando se va un usuario
privilegiado abandona o cambia de empleo, comunicando a los usuarios
privilegiados con mecanismos adecuados).
Otra información
El uso inadecuado de los privilegios de la administración del sistema (cualquier
característica o instalación de un sistema de información que permite al usuario anular
los controles del sistema o aplicación) puede ser un factor importante que contribuye a
los errores o violaciones de los sistemas.
9.2.4 Gestión de la información secreta de autenticación de los usuarios
Control
La asignación de información secreta de autenticación debe controlarse a través de un
proceso de gestión formal. .
Se recomienda que el proceso incluya los siguientes requisitos:
a) Exigir a los usuarios la firma de una declaración para mantener confidencial la

información secreta de autenticación personal (por ejemplo compartir) la
información de autenticación secreta únicamente dentro de los miembros del
grupo; esta declaración firmada puede incluirse en los términos y condiciones
de empleo (véase el subinciso 7.1.2);
b) Cuando los usuarios están obligados a mantener su propia información secreta

de autenticación es recomendable que se les proporcione inicialmente
información secreta de autenticación segura temporalmente, la cual estén
obligados a modificar en su primer uso;
c) Establecer procedimientos para verificar la identidad de un usuario antes de

proporcionar nueva información secreta de autenticación temporal o reemplazo;
d) Proporcionar a los usuarios de forma segura la información secreta de

autenticación temporal , evitar el uso de agentes externos o mensajes de
correo electrónicos no protegidos (texto sin cifrar);
e) La información secreta de autenticación temporal sea única para cada individuo

y no sea fácil de adivinar;
NMX-I-27002-NYCE-2015
34/110
f) Tener un acuse de los usuarios sobre el conocimiento de la información secreta

de autenticación;
g) Modificar la información secreta de autenticación proporcionada por el

fabricante después de la instalación de sistemas o software.
Otra información
Las contraseñas son un tipo de información secreta de autenticación comúnmente
usadas y son un medio común para verificar la identidad de un usuario. Otros tipos de
información secreta de autenticación son las claves criptográficas y los datos
almacenados en otros hardware de autenticación (Tokens),- (por ejemplo, tarjetas
inteligentes) que producen los códigos de autenticación.
9.2.5 Revisión de los derechos de acceso de usuario
Control
Los propietarios de los activos deben revisar los derechos de acceso de los usuarios en
intervalos regulares.
La revisión de los derechos de acceso debe considerar lo siguiente:
a) Deben ser revisados en intervalos regulares los derechos de acceso de los

usuarios y después de cualquier cambio, como la promoción, degradación o
extinción de empleo (véase el capítulo 7);
b) Los derechos de acceso del usuario deben ser revisados y re-asignados al pasar
de un empleo a otro dentro de la misma organización;
c) Las autorizaciones de derechos de privilegios especiales de acceso debe ser

revisados en intervalos más frecuentes;
d) Las asignaciones de privilegios deben ser revisadas en intervalos regulares para

asegurar que los privilegios no autorizados no se han obtenido;
e) Deben ser registrados los cambios de los privilegios en las cuentas para su
revisión periódica.
Otra información
Este control compensa las posibles deficiencias en la ejecución de los controles de los
subincisos 9.2.1, 9.2.2 y 9.2.6.
9.2.6 Eliminación o ajuste de los derechos de acceso
Control
Los derechos de acceso de todos los empleados y usuarios de partes externas a la
información e instalaciones de procesamiento de la información deben eliminarse
después de la terminación de su empleo, contrato o acuerdo, o adaptados a los
cambios producidos.
A la terminación, se recomienda retirar o suspender los derechos de acceso de un
individuo a la información y los activos asociados con las instalaciones de
NMX-I-27002-NYCE-2015
35/110
procesamiento de la información y servicios. Esto determina si es necesario eliminar

los derechos de acceso. Es recomendable que los cambios de un empleo se reflejen en
el retiro de todos los derechos de acceso que no fueron aprobados para el nuevo
empleo. Se recomienda que los derechos de acceso que necesiten ser eliminados o
modificados incluyan el acceso físico y lógico, llaves, tarjetas de identificación,
instalaciones de procesamiento de información, las suscripciones. Se recomienda que
cualquier documentación que identifiquen los derechos de acceso de los empleados o
contratistas refleje el ajuste o retiro de los derechos de acceso. Si un empleado o
usuario de alguna parte externa que abandona el empleo conoce las contraseñas de las
cuentas usuarios activos restantes, es recomendable se modifiquen después de la
terminación o cambio de empleo, contrato o acuerdo.
Se recomienda que los derechos de acceso a la información y activos asociados a las

instalaciones de procesamiento de la información sean reducidos o eliminados antes de
que el empleo termine o cambie, dependiendo de los factores sobre la valoración de
riesgo, tales como:
a) Si la terminación o cambio es iniciado por el empleado, el usuario de la parte

externa o por la dirección, y el motivo de la rescisión;
b) Las responsabilidades actuales del empleado, el usuario de la parte externa o

cualquier otro usuario;
c) El valor de los activos actualmente accesibles.
Otra información
En determinadas circunstancias, los derechos de acceso pueden ser asignados con
base a estar disponibles a más personas a parte del empleado que abandona el empleo
o usuario de la parte externa, por ejemplo, ID´s de grupo. En tales circunstancias, se
recomienda que las personas que salen se retiren de las listas de acceso de grupos y
tomar medidas para avisar a todos los demás empleados y usuarios de partes externas
involucrados que ya no se comparta esta información con la persona que se retira.
En caso de gestiones iniciadas por despido, empleados descontentos o usuarios de

partes externas que puedan corromper deliberadamente la información o sabotaje de
las instalaciones de procesamiento de la información. En estos casos las personas que
renuncian, pueden tener la tentación de recopilar información para uso futuro.
9.3 Responsabilidades del usuario
Objetivo: Hacer responsables a los usuarios de salvaguardar su información de

autenticación.
9.3.1 Uso de la información secreta de autenticación
Control
Se debe exigir a los usuarios que sigan las prácticas de la organización en el uso de su
información secreta de autenticación
Se recomienda informar a todos los usuarios de:
NMX-I-27002-NYCE-2015
36/110
a) Mantener confidencial la información secreta de autenticación, asegurando que

no se divulgan a otras partes, incluidas las personas de autoridad;
b) Evitar mantener un registro (por ejemplo, en papel, dispositivos portátiles,

archivos de software) de la información secreta de autenticación, a menos que
ésta se pueda almacenar de forma segura y el método de almacenamiento haya
sido aprobado (por ejemplo, contraseña de caja fuerte);
c) Cambiar la información secreta de autenticación siempre que exista algún

indicio de que se encuentre posiblemente comprometida;
d) Cuando las contraseñas se utilizan como información secreta de autenticación,

es recomendable seleccionar contraseñas de calidad con longitud mínima
suficiente que:
1) Sea fácil de recordar;
2) No esté basada en nada que otra persona fácilmente pudiera adivinar u

obtener utilizando información relacionada con la persona, por ejemplo,
nombres, números de teléfono y fechas de nacimiento, etc.;
3) No sea vulnerable a ataques de diccionario (es decir, que no consista en

palabras que se incluyen en los diccionarios);
4) Este libre de caracteres consecutivos idénticos, todos numéricos o todos

alfabéticos;
5) Cambiar las contraseñas temporales en el primer inicio de sesión;
e) No compartir la información secreta de autenticación de usuario individual;
f) Garantizar la debida protección de las contraseñas cuando éstas se utilizan

como información secreta de autenticación en procedimientos de inicio de
sesión automático y se almacenen;
g) No utilizar la misma información secreta de autenticación para fines de negocio

como para aquellos que no lo sean.
Otra información
Proporcionar un sistema centralizado de autenticación y autorización u otras
herramientas para la administración de la información secreta de autenticación
reducen la cantidad de información de autenticación secreta que los usuarios están
obligados a proteger y por lo tanto puede aumentar la eficacia de este control. Sin
embargo, estas herramientas también pueden aumentar el impacto de la divulgación
de la información secreta de autenticación.
9.4 Control de acceso a sistemas y aplicaciones
Objetivo: Prevenir el acceso no autorizado a los sistemas y aplicaciones.
NMX-I-27002-NYCE-2015
37/110
9.4.1 Restricción de acceso a la información
Control
Se debe restringir el acceso a la información y a las funciones de las aplicaciones de los
sistemas de acuerdo con la política de control de acceso.
Se recomienda que las restricciones de acceso se basen en los requisitos de las de las
aplicaciones individuales de negocio y en concordancia con la política de control de
acceso definida.
Es recomendable considerar lo considerar lo siguiente para soportar los requisitos de

restricción de acceso:
a) Proporcionar menús para controlar el acceso a las funciones del sistema de

aplicación;
b) Controlar la manera en que un usuario particular puede acceder a los datos;
c) Controlar los derechos de acceso de los usuarios, por ejemplo, leer, escribir,
borrar y ejecutar;
d) Controlar los derechos de acceso de otras aplicaciones;
e) Limitar la información contenida en las salidas;
f) Proporcionar controles de acceso físico o lógico para el aislamiento de

aplicaciones sensibles, datos de aplicación, o sistemas.
9.4.2 Procedimientos de inicio de sesión seguros
Control
Cuando se requiera por la política de control de acceso, el acceso a los sistemas y
aplicaciones debe controlarse por un procedimiento de inicio de sesión seguro
Se recomienda que se elija una técnica de autenticación adecuada para demostrar la
identidad de un usuario.
Cuando se requiera una fuerte autenticación y una verificación de identidad, se

recomienda utilizar los métodos de autenticación alternativos para las contraseñas,
como medios criptográficos, tarjetas inteligentes, identificadoras biométricas.
Se recomienda que el procedimiento para iniciar sesión en un sistema o aplicación

diseñados para minimizar las oportunidades de acceso no autorizado. Por lo tanto es
recomendable que el procedimiento de inicio de sesión revele la mínima información
sobre el sistema o la aplicación, con el fin de evitar se proporcione a un usuario no
autorizado cualquier ayuda innecesaria. Un buen procedimiento de inicio de sesión:
a) No muestra identificadores del sistema o aplicación hasta que el proceso de

conexión se ha realizado correctamente;
NMX-I-27002-NYCE-2015
38/110
b) Muestra una notificación de advertencia general de que al equipo sólo deben

tener acceso los usuarios autorizados;
c) No proporciona mensajes de ayuda durante el proceso de inicio de sesión que

ayuden a un usuario no autorizado;
d) Valida la información de inicio de sesión únicamente hasta completar todos los

datos de entrada. Si surge una condición de error, se recomienda que el
sistema no indique qué parte de los datos son correctos o incorrectos;
e) Protege contra intentos forzados automáticos de inicio de sesión;
f) Registra los intentos fallidos y exitosos;
g) Incrementa un evento de seguridad si se detecta una posible violación o intento

exitoso sobre los controles de inicio de sesión;
h) Muestra la siguiente información sobre la finalización de un inicio de sesión

exitoso:
1) Fecha y hora del inicio de sesión exitoso previo ;
2) Detalles de los intentos fallidos de inicio de sesión desde el último inicio de

sesión exitoso ;
i) No muestra la contraseña introducida;
j) No transmite las contraseñas en texto plano a través de una red;
k) Finaliza las sesiones inactivas después de un periodo de inactividad,

especialmente en lugares de alto riesgo, tales como las áreas públicas o
externas fuera de la gestión de seguridad de la organización o en dispositivos
móviles;
l) Restringe los tiempos de conexión para proporcionar seguridad adicional para

aplicaciones de alto riesgo y reducir la ventana de oportunidades para el acceso
no autorizado.
Otra información
Las contraseñas son una forma común para proporcionar la identificación y la
autenticación basada en un secreto que sólo el usuario conoce.
Si las contraseñas se transmiten en texto plano durante el inicio de sesión a través de

la red, pueden ser capturadas mediante un programa espía de red (sniffer).
9.4.3 Sistema de administración de contraseñas
Control
Los sistemas de administración de contraseñas deben ser interactivos y deben
asegurar contraseñas de calidad.
NMX-I-27002-NYCE-2015
39/110
Se recomienda que un sistema de administración de contraseñas:
a) Obligue el uso de identificadores de usuarios (ID´s) y contraseñas individuales

para mantener la rendición de cuentas;
b) Permita a los usuarios seleccionar y cambiar sus propias contraseñas e incluir
un procedimiento de confirmación que reconozca errores de entrada;
c) Obligue una selección de contraseñas de calidad;
d) Obligue los usuarios a cambiar sus contraseñas en el primer inicio de sesión;
e) Ejecute cambios regulares de contraseñas según sea necesario;
f) Mantenga un registro de las contraseñas anteriores y prevenga su reutilización;
g) No muestre las contraseñas en la pantalla cuando se esté introduciendo;
h) Separe los archivos de almacenamiento de la contraseña de los datos del

sistema de aplicación;
i) Almacene y transmita contraseñas de forma protegida.
Otra información
Algunas aplicaciones requieren contraseñas de los usuarios se asignen por una
autoridad independiente, en cuyo caso, los incisos b), d) y e) de la guía de arriba no se
aplican. En la mayoría de los casos, las contraseñas son seleccionadas y mantenidas
por los usuarios.
9.4.4 Uso de privilegios de los programas de utilidades
Control
El uso de los programas de utilidades del sistema principal y los controles del sistema y
de las aplicaciones debe estar restringido y estrechamente controlado.
Se recomienda que las siguientes directrices para el uso de las utilidades de los
programas que sean capaces de anular los controles del sistema y la aplicación:
a) Utilizar los procedimientos de identificación, autenticación y autorización de uso

las utilidades de los programas ;
b) Segregar las utilidades de los programas del software de aplicaciones;
c) Limitar el uso de las utilidades de los programa a número mínimo necesario de

usuarios de confianza autorizados (véase el subinciso 9.2.2);
d) La autorización para el uso adecuado de las utilidades de los programas;
e) Limitar la disponibilidad de las utilidades de los programas, por ejemplo, para la

duración de una autorización de cambio;
f) Registrar todo el uso de las utilidades de los programas;
NMX-I-27002-NYCE-2015
40/110
g) Definir y documentar los niveles de autorización para las utilidades de los

programa;
h) Retiro o desactivación de todas las utilidades de los programa de servicios

públicos innecesarios;
i) No dejar disponibles las utilidades de los programas a los usuarios que tienen
acceso sobre los aplicaciones en sistemas donde se requiere la segregación de
tareas.
Otra información
La mayoría de las instalaciones en computadora tienen uno o más programas de
utilidades que pueden ser capaces de anular el sistema y los controles de aplicación.
9.4.5 Control de acceso al código fuente del programa
Control
Se debe restringir el acceso al código fuente del programa.
El acceso al código fuente del programa y los elementos asociados (tales como planes
de los diseños, especificaciones, verificaciones, y planes de validación) es
recomendable que estén estrictamente controlados, con el fin de impedir la
introducción de funcionalidades no autorizadas y evitar cambios involuntarios, así
como mantener la confidencialidad de la propiedad intelectual valiosa. Para el código
fuente del programa, esto se puede lograr mediante el almacenamiento central
controlado de este código, preferentemente en las librerías de programas fuente. Es
recomendable que los siguientes lineamientos se tomen en consideración para
controlar el acceso a estas librerías de los programas fuente a fin de reducir las
posibilidades de corrupción de programas informáticos:
a) Cuando sea posible, es recomendable que las librerías de los programas fuente
no estén dentro de los sistemas operativos;
b) El código fuente del programa y las librería de los programas fuente se

gestionen de acuerdo con los procedimientos establecidos;
c) Se recomienda que el personal de apoyo no tenga acceso irrestricto a las

librerías de los programas fuente;
d) La actualización de las librerías de los programas fuente, los elementos

asociados y la emisión de fuentes del programa a los programadores se realice
después de que haya sido recibida la autorización apropiada;
e) Las listas de líneas de código de programas estén en un entorno seguro;
f) Se debe mantener un registro de auditoría de todos los accesos a las librerías

de los programas fuente;
g) El mantenimiento y la copia de las librerías de programas fuente estén sujetos

a estrictos procedimientos de control de cambios (véase el subinciso 14.2.2).
NMX-I-27002-NYCE-2015
41/110
Si se tiene la intención de que el código fuente del programa sea público, es

recomendable que se consideren controles adicionales que ayuden a conseguir el
aseguramiento de su integridad (por ejemplo, una firma digital).
10 CRIPTOGRAFÍA
10.1 Controles criptográficos
Objetivo: Asegurar el uso adecuado y eficaz de la criptografía para proteger la

confidencialidad, autenticidad y/e integridad de la información.
10.1.1 Política sobre el uso de controles criptográficos
Control
Asegurar el uso apropiado y eficaz de la criptografía para proteger la confidencialidad,
autenticidad y/ o integridad de la información.
Se recomienda que en el desarrollo de una política criptográfica se consideren los
siguientes puntos:
a) El enfoque de gestión hacia el uso de controles criptográficos en toda la

organización, incluyendo los principios generales bajo los cuales se debe
proteger la información del negocio;
b) Basada en una evaluación del riesgo, se recomienda identificar el nivel

requerido teniendo en cuenta el tipo, fortaleza y calidad del algoritmo de
cifrado necesario;
c) El uso de cifrado para proteger la información confidencial se recomienda se

instalen en dispositivos móviles y medios extraíbles, o a través de líneas de
comunicación;
d) El enfoque para la gestión de claves, incluidos los métodos para hacer frente a
la protección de las llaves de cifrado y la recuperación de la información cifrada
en caso de llaves pérdidas, comprometidas o dañadas;
e) Los roles y responsabilidades, por ejemplo, quién es responsable de:
1) La implementación de la política;
2) La gestión de llaves, incluyendo la generación de llaves (véase el subinciso

10.1.2);
f) Las normas que se adopten para la implementación eficaz en toda la

organización (qué se utilizan para la solución de procesos del negocio);
g) El impacto del uso de la información cifrada sobre los controles que confían en
la inspección de contenido (por ejemplo, detección de software malicioso).
NMX-I-27002-NYCE-2015
42/110
En la aplicación de la política criptográfica de la organización, es recomendable se

consideren las regulaciones y restricciones nacionales que pueden aplicarse para el
uso de técnicas criptográficas en diferentes partes del mundo y para problemas de
flujo transfronterizo de información cifrada (véase el subinciso 18.1.5).
Los controles criptográficos se pueden utilizar para alcanzar diferentes objetivos de

seguridad, por ejemplo:
a) Confidencialidad: utilizando el cifrado de la información para proteger la

información sensible o crítica, ya sea almacenada o transmitida;
b) Integridad / autenticidad: utilizado firmas digitales o códigos de autenticación

de mensajes para proteger la autenticidad o la integridad de la información
sensible o crítica almacenada o transmitida;
c) El no repudio: utilizando técnicas criptográficas con el objetivo para mostrar

evidencia de la ocurrencia o no ocurrencia de un evento o acción;
d) Autenticación: utilizando técnicas criptográficas para autenticar usuarios y otras

entidades del sistema que soliciten el acceso o que realicen transacciones con
los usuarios del sistema, entidades y recursos.
Otra información
Tomar una decisión en cuanto a si una solución criptográfica es apropiada es
recomendable que sea vista como parte de un proceso más amplio de valoración de
riesgos y la selección de los controles. Esta valoración se puede utilizar para
determinar si un control criptográfico es apropiado, qué tipo de control es necesario
aplicar y con qué propósito y los procesos del negocio.
Una política sobre el uso de controles criptográficos es necesaria para maximizar los
beneficios y minimizar los riesgos del uso de técnicas criptográficas y para evitar el uso
inadecuado o incorrecto.
Se recomienda buscar el asesoramiento especializado en la selección de controles

criptográficos apropiados para cumplir los objetivos de la política de seguridad de la
información.
10.1.2 Gestión de llaves
Control
Se debe desarrollar e implementar una política sobre el uso, protección y tiempo de
vida de las llaves criptográficas a través de todo su ciclo de vida
Se recomienda que la política incluya los requisitos para la gestión de llaves
criptográficas en todo su ciclo de vida, incluida la generación, almacenamiento,
retención, recuperación, distribución y retiro y la destrucción de las llaves.
Es recomendable que los algoritmos criptográficos, longitudes de las llaves y prácticas

de uso deben ser seleccionados de acuerdo a las mejores prácticas. La gestión de
llaves adecuada requiere procesos seguros para la generación, retención,
almacenamiento, recuperación, distribución, retiro y destrucción de llaves
criptográficos.
NMX-I-27002-NYCE-2015
43/110
Se recomienda que todas las claves criptográficas se protejan contra toda alteración y
pérdida. Además, las claves secretas y privadas necesitan protección contra el uso no
autorizado, así como la divulgación. Es recomendable que el equipo utilizado para
generar, almacenar y archivar llaves este físicamente protegido.
Se recomienda que un sistema de gestión de llaves se base en un conjunto de normas,
procedimientos y métodos seguros para:
a) Generar llaves para diferentes sistemas criptográficos y diferentes aplicaciones;
b) Emitir y obtener certificados de llaves públicas;
c) Distribuir llaves a las entidades previstas, incluyendo el cómo deben activarse

las llaves cuando se reciban;
d) Almacenar llaves, incluyendo cómo los usuarios autorizados obtienen acceso a

las llaves;
e) Cambiar o actualizar las llaves incluyendo reglas sobre cuándo y cómo se deben
cambiar las llaves;
f) Tratar con llaves comprometidas;
g) Revocar llaves incluyendo cómo retirar o desactivar las llaves, por ejemplo,
cuando las llaves han sido comprometidas o cuando un usuario deja una
organización (en qué caso las llaves también necesitan ser archivadas);
h) Recuperar las llaves que se han perdido o dañado;
i) Realizar respaldos y archivar las llaves;
j) La destrucción de llaves;
k) Registrar y auditar las actividades relacionadas a la gestión de llaves.
Con el fin de reducir la probabilidad del uso inapropiado, es recomendable que se

defina el periodo de la activación y desactivación de llaves de manera que las llaves
sólo se puedan utilizar durante un periodo limitado de tiempo definido en la política
asociada a la gestión de llaves.
Además es recomendable que se considere la gestión segura de llaves secretas y

privadas, y la autenticidad de las llaves públicas. Este proceso de autenticación se
puede hacer utilizando certificados de llaves pública, que normalmente son emitidos
por una autoridad de certificación, la cual se recomienda sea una organización
reconocida con controles y procedimientos adecuados implementados para
proporcionar el grado necesario de confianza.
El contenido de los acuerdos del nivel de servicio o contratos con proveedores externos
de servicios criptográficos, por ejemplo, con una autoridad de certificación, se sugiere
abarque temas de responsabilidad, fiabilidad de los servicios y tiempos de respuesta
para la prestación de servicios (véase el inciso 15.2).
Otra información
NMX-I-27002-NYCE-2015
44/110
La gestión de llaves criptográficas es esencial para el uso eficaz de técnicas

criptográficas. Las normas que se indican en los incisos A.1, A.2 y A.3 del apéndice A
proporcionan más información sobre la gestión de llaves.
Las técnicas criptográficas también pueden ser utilizadas para proteger las llaves de
cifrado. Los procedimientos podrían considerar para el manejo de solicitudes legales el
acceso a las llaves criptográficas, por ejemplo, se puede necesitar sea puesta a
disposición la información en forma no cifrada como prueba en un juicio.
11 SEGURIDAD FÍSICA Y AMBIENTAL
11.1 Áreas seguras
Objetivo: Prevenir el acceso físico no autorizado, daños e interferencia a la información

e instalaciones de procesamiento de la información de la organización.
11.1.1 Perímetro de seguridad física
Control
Se deben definir y utilizar perímetros de seguridad para proteger las áreas que
contienen información ya sea sensible o crítica y las instalaciones de procesamiento de
la información.
Se recomienda que las siguientes directrices se consideren e implementen en los
perímetros de seguridad física cuando sea apropiado:
a) Definir, establecer y fortalecer cada uno de los perímetros de seguridad

dependiendo de los requisitos de seguridad de los activos dentro del perímetro
y los resultados de una valoración de riesgos;
b) Asegurar físicamente los perímetros de un edificio o un sitio que contengan

instalaciones de procesamiento de la información (es decir, no es recomendable
que existan brechas en el perímetro o áreas en donde puede ocurrir un robo),se
recomienda que el techo exterior, las paredes y el piso del sitio sea de
construcción sólida y todas las puertas exteriores estén adecuadamente
protegidas contra el acceso no autorizado con mecanismos de control, (por
ejemplo, barras, alarmas, cerraduras, etc.), es recomendable que las puertas y
las ventanas estén aseguradas cuando estén desatendida se recomienda que la
protección externa sea considerada para las ventanas particularmente a nivel
del suelo;
c) Implementar un área de recepción y otros medios para el control de acceso

físico al sitio o al edificio, permitir sólo al personal autorizado el acceso a los
sitios y edificios;
d) Donde sea aplicable, construir barreras físicas para prevenir el acceso físico no
autorizado y la contaminación del medio ambiente;
e) Monitorear, contar con alarmas y probar todas las puertas contra incendio
dentro del perímetro de seguridad en conjunto con paredes para establecer el
NMX-I-27002-NYCE-2015
45/110
nivel requerido de resistencia en concordancia con las normas nacionales

pertinentes, y operar de acuerdo con el código local de bomberos de una
manera coordinada;
f) Instalar sistemas adecuados de detección de intrusos siguiendo las normas

nacionales, y evaluarlos regularmente para cubrir todas las puertas exteriores
y ventanas accesibles, es recomendable que las áreas desocupadas tengan
activado su sistema de alarma en todo momento; es recomendable que esta
protección incluya otras áreas como el cuarto de cómputo o comunicaciones;
g) Las instalaciones de procesamiento de la información gestionadas por la

organización es recomendable que estén físicamente separadas de las
gestionadas por las entidades externas.
Otra información
La protección física se puede lograr mediante la creación de una o más barreras físicas
alrededor de las instalaciones de la organización y las instalaciones de procesamiento
de la información. El uso de barreras múltiples ofrece una protección adicional, en
donde la falla de una sola barrera no significa que la seguridad está comprometida
inmediatamente.
Un área segura puede ser una oficina con llave o varias habitaciones rodeadas por una
barrera continua interna de seguridad física. Las barreras y perímetros adicionales para
controlar el acceso físico pueden ser necesarios entre áreas con diferentes requisitos
de seguridad dentro del perímetro de seguridad. Se recomienda especial atención a la
seguridad de acceso físico en el caso de edificios que resguarden activos para múltiples
organizaciones.
Se recomienda adaptar la aplicación de controles físicos, especialmente para las áreas

de seguridad, de acuerdo a las circunstancias técnicas y económicas de la
organización, como se expone en la valoración del riesgo.
11.1.2 Controles físicos de entrada
Control
Se deben proteger las áreas seguras mediante controles de entrada apropiados para
garantizar que sólo el personal autorizado tenga acceso permitido.
Se recomienda considerar los siguientes puntos:
Registrar la fecha y hora de entrada y salida de los visitantes, y supervisar a

todos los visitantes a menos que su acceso haya sido previamente aprobado
sólo conceder el acceso con fines específicos y autorizados y emir dicha
autorización con base en los requisitos de seguridad del área y procedimientos
de emergencia. Autenticar la identidad de los visitantes por un medio adecuado;
a) Restringir a las personas autorizadas el acceso a las áreas donde se procesa o

almacena información confidencial mediante la implementación de controles de
acceso adecuados, por ejemplo, implementando un mecanismo con dos factores
de autenticación, tales como una tarjeta de acceso y el PIN secreto;
NMX-I-27002-NYCE-2015
46/110
b) Mantener y monitorear de forma segura las pistas de auditoría de los registros

de un libro electrónico o físicos de todos los accesos;
c) Exigir a los empleados y visitantes portar algún tipo de identificación visible y

notificar inmediatamente al personal de seguridad si detectan visitantes sin
acompañante y sin identificación visible;
d) Asignar el acceso a personal de servicios de soporte de partes externas a áreas

seguras que contengan información confidencial sólo cuando sea necesario; se
recomienda que este acceso sea autorizado y supervisado;
e) Revisar con regularidad, actualizar y revocar cuando sea necesario los derechos
de acceso a áreas seguras (véanse los subincisos 9.2.5 y 9.2.6).
11.1.3 Aseguramiento de oficinas, salas e instalaciones
Control
Se debe diseñar y aplicar seguridad física para oficinas, salas e instalaciones. .
Se recomienda considerar las siguientes directrices para asegurar las oficinas, las salas
e instalaciones:
a) Situar las instalaciones clave en un lugar donde se evite el acceso público;
b) Cuando sea aplicable es recomendable que los edificios sean desapercibidos y

dar un indicio mínimo de su propósito, sin señalamientos obvios, fuera o dentro
del edificio que identifique la presencia de las actividades de procesamiento de
la información;
c) Diseñar las instalaciones para evitar que la información confidencial y / o

actividades puedan ser vistas o escuchadas desde el exterior. Cuando sea
apropiado es recomendable considerar un escudo electromagnético;
d) No tener accesible los directorios y guías telefónicas internas que identifiquen la

ubicación de las instalaciones de tratamiento de la información confidencial a
personal no autorizado.
11.1.4 Protección contra amenazas externas y ambientales
Control
Se debe diseñar y aplicar protección física contra desastres naturales, ataques
maliciosos o accidentes.
Se recomienda obtener asesoramiento especializado sobre cómo evitar daños
derivados de incendios, inundación, terremoto, explosión, disturbios civiles y otras
formas de desastre natural o causadas por el hombre;
11.1.5 Trabajo en áreas seguras
Control
NMX-I-27002-NYCE-2015
47/110
Se deben diseñar y aplicar procedimientos para trabajar en áreas seguras.
Se recomienda considerar las siguientes directrices:
a) Concientizar al personal de la existencia de, actividades dentro de áreas
seguras sólo si es estrictamente necesario hacerlo de su conocimiento;
b) Evitar el trabajo sin supervisión en un área segura por razones de seguridad y

para prevenir las oportunidades de actividades maliciosas;
c) Bloquear físicamente y revisar periódicamente las áreas seguras desocupadas;
d) No permitir el uso de equipo fotográfico, de audio y video a menos que éste sea
autorizado.
Las medidas necesarias para trabajar en áreas seguras incluye el control de los
empleados, y usuarios de partes externas que trabajen en áreas seguras, y es
recomendable que ellos cubran todas las actividades que se lleven a cabo en dichas
áreas.
11.1.6 Áreas de entrega y carga
Control
Los puntos de acceso, tales como las áreas de entrega y carga y otros puntos en los
que personas no autorizadas puedan entrar en las instalaciones deben ser controlados
y, si es posible, aislados de las instalaciones de procesamiento de la información para
evitar acceso no autorizado.
Se recomienda que las siguientes directrices se consideren:
a) Restringir e identificar al personal autorizado el acceso al área de carga y

descarga desde afuera del edificio;
b) Diseñar el área de carga y descarga de tal forma que los suministros puedan
ser cargados y descargados sin que el personal de la entrega tenga acceso a
otras partes del edificio;
c) Cerrar las puertas externas del área de carga y descarga en el momento que se
abran las puertas internas;
d) Inspeccionar y examinar los materiales que ingresen de que no contengan

explosivos, químicos u otros materiales peligrosos, antes de moverlos del área
de carga y descarga;
e) Registrar el material entrante de acuerdo con los procedimientos de gestión de

activos (véase el capítulo 8) al entrar al sitio;
f) Segregar físicamente los envíos entrantes y salientes, donde sea posible;
g) Inspeccionar el material entrante para tener evidencia de que no haya sido

manipulado durante el traslado. Si tal manipulación es descubierta es
recomendable repórtalo inmediatamente al personal de seguridad.
NMX-I-27002-NYCE-2015
48/110
11.2 Equipo
Objetivo: Prevenir la pérdida, daño, robo o comprometer los activos e interrupción de

las operaciones de la organización.
11.2.1 Ubicación y protección del equipo
Control
El equipo debe estar situado y protegido para reducir los riesgos de amenazas
ambientales y peligros, y las oportunidades para el acceso no autorizado.
a) Ubicar el equipo para minimizar el acceso innecesario dentro las áreas de

trabajo;
b) Ubicar cuidadosamente las instalaciones de procesamiento de la información y

de manejo de datos sensibles para reducir el riesgo de que la información sea
vista por personas no autorizadas durante su uso;
c) Asegurar las instalaciones de almacenamiento para evitar el acceso no

autorizado;
d) Salvaguardar los elementos que requieren protección especial para reducir el

nivel general de protección requerido;
e) Adoptar los controles para minimizar el riesgo de posibles amenazas físicas y

ambientales, por ejemplo, robo, incendio, explosivos, humo, agua (o la falta de
suministro de agua), polvo, vibraciones, efectos químicos, interferencia
eléctrica, interferencia de comunicaciones, radiación electromagnética y actos
de vandalismo;
f) Establecer lineamientos para comer, beber y fumar cerca de las instalaciones de

procesamiento de la información;
g) Supervisar las condiciones ambientales, como la temperatura y la humedad,

para detectar condiciones que puedan afectar negativamente la operación de
las instalaciones de procesamiento de la información;
h) Aplicar protección contra los rayos a todos los edificios e instalar filtros de
protección contra rayos en todas las líneas entrantes de comunicaciones y de
alimentación;
i) Considerar el uso de métodos de protección especiales, como las membranas

de teclado, para el equipo en entornos industriales;
j) Proteger el equipo de procesamiento de la información confidencial para

minimizar el riesgo de fuga de información debido a la emanación
electromagnética.
NMX-I-27002-NYCE-2015
49/110
11.2.2 Servicios públicos
Control
El equipo debe estar protegido contra fallas de energía y otras interrupciones causadas
por fallas en los servicios públicos.
Se recomienda que las utilidades de soporte (por ejemplo, el suministro de
electricidad, telecomunicaciones, agua, gas natural, alcantarillado, calefacción,
ventilación y aire acondicionado):
a) Cumplan con las especificaciones del fabricante del equipo y los requisitos
legales locales;
b) Se evalúen regularmente su capacidad para cumplir con el crecimiento del

negocio y las interacciones con otros servicios de apoyo;
c) Se inspeccionen y prueben con regularidad para asegurar su buen

funcionamiento;
d) Si es necesario, cuenten con sistemas de monitoreo para detectar fallas de

funcionamiento;
e) Si es necesario que tengan múltiples canales con diversos enrutamientos

físicos.
Es recomendable que se proporcione iluminación y comunicación de emergencia.

También se recomienda que los interruptores de emergencia y las válvulas para cortar
el suministro de energía, agua, gas natural u otros servicios públicos estén ubicados
cerca de las salidas de emergencia y / o cuartos de equipamientos.
Otra información
La redundancia adicional para la conectividad de red puede ser obtenerse por medio de
múltiples rutas de más de un proveedor de servicios públicos.
11.2.3 Seguridad del cableado
Control
El cableado de energía y telecomunicaciones que transporten datos o soporten los
servicios de la información debe protegerse de intercepción, interferencia y daño.
Se recomienda que las siguientes directrices del cableado se consideren:
a) Cuando sea posible, estén bajo tierra las líneas de suministro de energía y
telecomunicaciones dentro de las instalaciones de procesamiento de la
información, o sujetas a una protección alternativa adecuada;
b) Separar los cables de alimentación estén separados de los cables de

comunicaciones para prevenir interferencias;
c) Para sistemas sensibles o críticos considerar más controles que incluyan:
NMX-I-27002-NYCE-2015
50/110
1) La instalación de conductos blindados y sitios o cajas asegurados en puntos

de inspección y terminación;
2) El uso de blindaje electromagnético para proteger los cables;
3) El inicio de barridos técnicos e inspecciones físicas para los dispositivos no

autorizados que están conectados a los cables;
4) El acceso controlado a los paneles de conexión y cableado de los sitios.
11.2.4 Mantenimiento de equipo
Control
El equipo debe mantenerse correctamente para asegurar su continua disponibilidad e
integridad.
Se recomienda que las siguientes directrices para el mantenimiento del equipo se
consideren:
a) Proporcionar el mantenimiento del equipo de acuerdo con los intervalos de

mantenimiento recomendados por el proveedor y sus especificaciones;
b) Sólo el personal de mantenimiento autorizado lleve a cabo las reparaciones y

servicio a los equipos;
c) Mantener registros de todas las fallas reales o presuntas, y de todo el

mantenimiento preventivo y correctivo;
d) Aplicar los controles adecuados cuando el equipo esté programado para el

mantenimiento, teniendo en cuenta si este mantenimiento se lleva a cabo por
el personal en el sitio o es externo a la organización, en su caso, se recomienda
que la información confidencial se elimine del equipo o el personal de
mantenimiento debe ser lo suficientemente transparente;
e) Cumplir con todos los requisitos de mantenimiento impuestos por las pólizas de
seguro;
f) Antes de regresar el equipo dentro de la operación después de su

mantenimiento asegurarse de que el equipo no ha sido manipulado y no
funcione.
11.2.5 Retiro de activos
Control
No se debe sacar del sitio sin autorización previa el equipo, información o software.
a) Identificar a los empleados y usuarios de partes externas que tienen la

autoridad de permitir el retiro de los activos fuera de las instalaciones;
NMX-I-27002-NYCE-2015
51/110
b) Establecer los plazos para el retiro del equipo y regresar verificados por
cumplimiento;
c) Cuando sea necesario y apropiado, registrar por qué fue retirado fuera del sitio
el activo y registrar cuándo regresó;
d) Documentar la identidad, roles y la afiliación de cualquier persona que manipule

o utilice equipos, información o software y esta documentación regrese con el
equipo, información o software.
Otra información
Realizar verificaciones del sitio, para detectar el retiro no autorizado del activo,
también se pueden realizar para detectar dispositivos de grabación no autorizados,
armas, etc., y para prevenir su entrada y salida del sitio. Se recomienda que estas
verificaciones se lleven a cabo de conformidad con la legislación y los reglamentos
pertinentes. Es recomendable que las personas sean conscientes de que las
verificaciones se deben realizar con la debida autorización de los requisitos legales y
reglamentarios.
11.2.6 Seguridad de los equipos y activos fuera de las instalaciones
Control
Se debe aplicar seguridad a los activos fuera de las instalaciones tomando en cuenta
los diferentes riesgos de trabajar fuera de las instalaciones de la organización.
Se recomienda que el uso de cualquier equipo de almacenamiento de información y
procesamiento fuera de las instalaciones de la organización sea autorizado por la
dirección. Esto se aplica a los equipos propiedad de la organización y aquellos equipos
de propiedad privada y utilizados en representación de la organización.
Se recomienda que las siguientes directrices sean consideradas para la protección de

los equipos fuera de las instalaciones:
a) No dejar desatendido el equipo y medios sacados fuera de las instalaciones en

lugares públicos;
b) Observar en todo momento las instrucciones del fabricante para la protección

de equipos, por ejemplo, protección contra la exposición a los campos
electromagnéticos fuertes;
c) Determinar por una valoración de riesgos los controles de lugares fuera de las
instalaciones, tales como el trabajo en casa, teletrabajo y sitios temporales y
aplicar los controles donde sean apropiados, por ejemplo, archiveros con llave,
la política de escritorio limpio, controles de acceso para computadoras y la
comunicación segura con la oficina, para más información véanse las normas
que se indican en los incisos A.10, A.11, A.12, A.13 y A.14 del apéndice A;
d) Cuando el equipo fuera de las instalaciones se transfiere entre diferentes

individuos o partes externas, es recomendable mantener el registro para definir
la cadena de custodia del equipo que incluya al menos los nombres y las
organizaciones de aquellas quiénes sean responsables de los equipos.
NMX-I-27002-NYCE-2015
52/110
Los riesgos, por ejemplo, de daños, robo o espionaje, pueden variar

considerablemente entre un lugar y otro y es recomendable se tengan en cuenta para
determinar los controles más adecuados.
Otra información
El equipamiento para el almacenamiento y procesamiento de información incluye
todas las formas de computadoras personales, organizadores, teléfonos móviles,
tarjetas inteligentes, papel o de otro tipo, que se utilice para el trabajo en casa o que
sea transportado, lejos del lugar de trabajo habitual.
Más información sobre otros aspectos de la protección de los equipos móviles se puede
encontrar en el inciso 6.2.
Puede ser apropiado evitar el riesgo desalentando a ciertos empleados a trabajar fuera
de las instalaciones o restringiendo el uso de equipos informáticos portátiles.
11.2.7 Disposición o reutilización segura del equipo
Control
Todos los elementos del equipo que contiene medios de almacenamiento deben ser
verificados para garantizar que cualquier dato sensible y software licenciado ha sido
eliminado o sobrescrito de manera segura previo a su disposición o reutilización.
Se recomienda verificar si el equipo contiene o no medios de almacenamiento antes de
su eliminación o reutilización.
Es recomendable que los medios de almacenamiento que contengan información

confidencial sean destruidos físicamente o la información sea destruida, eliminada o
sobrescrita con técnicas para hacer que la información original no sea recuperable, en
lugar de utilizar la función de borrado estándar o formateo.
Otra información
El medio de almacenamiento contenido en el equipo dañado puede requerir una
valoración de riesgos para determinar si los elementos deben ser físicamente
destruidos en lugar de enviarse para su reparación o disposición. La información puede
verse comprometida por la eliminación descuidada o reutilización de los equipos.
Además del borrado seguro del disco, la encriptación de todo el disco reduce el riesgo
de divulgación de información confidencial cuando el equipo es eliminado o se
redistribuido, siempre que:
a) El proceso de cifrado es suficientemente fuerte y cubre todo el disco

(incluyendo el espacio perdido o sobrante, archivos de intercambio, etc.);
b) Las llaves de cifrado son lo suficientemente largas para resistir ataques

forzados automáticos;
c) Las llaves de cifrado mantienen su propia confidencialidad (por ejemplo, nunca

se almacena en el mismo disco).
Para obtener más consejos acerca del cifrado, véase el capítulo 10.
NMX-I-27002-NYCE-2015
53/110
Las técnicas para la sobre escritura segura de los medios de almacenamiento difieren
de acuerdo a la tecnología de medios de almacenamiento. Se recomienda revisar las
herramientas de sobre escritura para asegurarse de que son aplicables a la tecnología
de los medios de almacenamiento.
11.2.8 Equipo de usuario desatendido
Control
Los usuarios deben garantizar que el equipo desatendido tenga la protección
adecuada.
Se recomienda que todos los usuarios sean conscientes de los requisitos y
procedimientos de seguridad para la protección de equipos desatendidos, así como sus
responsabilidades para la implementación de dicha protección. Es recomendable que
los usuarios sean asesorados sobre:
a) Terminar las sesiones activas cuando hayan terminado, a menos que ellos
puedan asegurarla mediante un mecanismo de bloqueo apropiado, por ejemplo
un protector de pantalla protegido por contraseña;
b) Desconectarse de aplicaciones o servicios de la red cuando no se necesiten;
c) Asegurar las computadoras o dispositivos móviles del uso no autorizado

mediante el bloqueo de teclas o un control equivalente, por ejemplo, un acceso
mediante contraseña, cuando no está en uso.
11.2.9 Política de pantalla y escritorio limpio
Control
Se debe adoptar una política de escritorio limpio de papeles y medios de
almacenamiento removibles y una política de pantalla limpia para las instalaciones de
Se recomienda que la política de escritorio y pantalla limpia tenga en cuenta la
clasificación de la información (véase el inciso 8.2), los requisitos legales y
contractuales (véase el inciso 18.1), los riesgos correspondientes y los aspectos
culturales de la organización. Es recomendable que las siguientes directrices se
consideren:
a) Guardar la información sensible o crítica del negocio, por ejemplo en medios de

almacenamiento electrónicos o de papel, (idealmente en una forma segura,
gabinete u otro mueble de seguridad) especialmente cuando no se requiera,
especialmente cuando la oficina esté desocupada;
b) Desconectar o proteger los equipos y terminales con un protector pantalla y un

mecanismo de bloqueo de teclas, controlado por una contraseña, un
identificador o mecanismo similar de autenticación de usuario cuando estén y
protegerse por bloqueo de teclas, contraseñas u otros controles cuando no esté
en uso;
NMX-I-27002-NYCE-2015
54/110
c) Prevenir el uso no autorizado de las fotocopiadoras y otra tecnología de

reproducción (por ejemplo, escáneres, cámaras digitales);
d) Retirar inmediatamente de impresoras medios que contienen información

sensible o clasificada.
Otra información
Una política de escritorio y pantalla limpia reduce los riesgos derivados del acceso no
autorizado, pérdida o el daño a la información durante y fuera de las horas normales
de trabajo. Las cajas de seguridad u otras formas seguras de almacenamiento de las
instalaciones también pueden proteger la información almacenada en el mismo contra
desastres como incendio, terremoto, inundación o explosión.
Considere el uso de las impresoras con función de código PIN, por lo que los autores
son los únicos que pueden obtener sus impresiones y sólo cuando está de pie junto a
la impresora.
12 SEGURIDAD EN LAS OPERACIONES
12.1 Procedimientos y responsabilidades operativas
Objetivo: Garantizar la operación correcta y segura de las instalaciones de

12.1.1 Procedimientos operativos documentados
Control
Deben documentarse los procedimientos operativos y estar disponibles para todos los
usuarios que los necesiten.
Se recomienda que los procedimientos documentados estén preparados para las
actividades operativas asociadas con las instalaciones del procesamiento de
información y comunicación, tales como los procedimientos poner en marcha y apagar
los equipos, respaldos, mantenimiento de equipos, manejo de medios, gestión y
seguridad y uso de salas de informática y correo.
Es recomendable que los procedimientos de operación especifiquen las instrucciones

operativas, incluyendo:
a) Instalación y configuración de los sistemas;
b) Procesamiento y manejo de información automatizada y manual;
c) Respaldos (véase el inciso 12.3);
d) Requisitos de programación, incluyendo las interdependencias con otros

sistemas, tiempos para iniciar el trabajo y finalizar el último trabajo;
NMX-I-27002-NYCE-2015
55/110
e) Instrucciones para el manejo de errores u otras condiciones excepcionales que

puedan surgir durante la ejecución del trabajo, incluidas las restricciones sobre
el uso de las utilidades del sistema (véase el subinciso 9.4.4);
f) Contactos de soporte técnico y escalamiento incluidos los contactos de soporte

externos en caso de un evento de dificultades inesperadas operativas o
técnicas;
g) Instrucciones para la salida especial y manejo de medios, tales como el uso de

papelería especial o la gestión de producción confidencial, incluidos los
procedimientos para la disposición segura de la producción de trabajos con
errores (véase el inciso 8.3 y el subinciso 11.2.7);
h) Procedimientos de reinicio y recuperación del sistema para su uso en caso de

falla del sistema;
i) Gestión de la información de registros de eventos del sistema y pistas (véase el

inciso 12.4);
j) Procedimientos de monitoreo (véase el inciso 12.4).
Es recomendable que los procedimientos de operación y los procedimientos

documentados para las actividades del sistema sean tratados como documentos
formales y los cambios sean autorizados por la dirección. Cuando sea técnicamente
factible, se recomienda que los sistemas de información sean administrados
sistemáticamente, utilizando los mismos procedimientos, herramientas y utilidades.
12.1.2 Gestión del cambio
Control
Se deben controlar los cambios en la organización, procesos de negocio, instalaciones
de procesamiento de la información y sistemas que afecten a la seguridad de la
información.
En particular, es recomendable que los siguientes elementos sean considerados:
a) Identificación y registro de los cambios significativos;
b) Planificación y pruebas de los cambios;
c) Evaluación de los impactos potenciales, incluyendo los impactos de seguridad,

de tales cambios;
d) Procedimiento formal para la aprobación de los cambios propuestos;
e) Verificación de que los requisitos de seguridad se han cumplido;
f) Comunicación de los detalles del cambio a todas las personas relevantes;
g) Procedimientos de retorno, incluidos los procedimientos y responsabilidades

para abortar y recuperación de los cambios fallidos y eventos imprevistos;
NMX-I-27002-NYCE-2015
56/110
h) Provisión de un proceso de cambio de emergencia para disponer de una

implementación rápida y controlada de los cambios necesarios para resolver un
incidente (véase el inciso 16.1).
Es recomendable que las responsabilidades y procedimientos de gestión formales sean

aplicados para asegurar un control satisfactorio de todos los cambios. Cuando se
realizan cambios, se recomienda conservar un registro de eventos (log) de auditoría
que contenga toda la información relevante.
Otra información
El control inadecuado de cambios en las instalaciones de procesamiento de la
información y sistemas es una causa común de fallas del sistema o de seguridad. Los
cambios en el entorno operativo, especialmente cuando se transfiere un sistema del
entorno de desarrollo al entorno de operación, puede tener un impacto sobre la
confiabilidad de las aplicaciones (véase el subinciso 14.2.2).
12.1.3 Gestión de capacidad
Control
El uso de recursos debe monitorearse, afinarse para realizar proyecciones de los
requisitos futuros de la capacidad para garantizar el desempeño requerido de los
sistemas.
Se recomienda que los requisitos de capacidad sean identificados, teniendo en cuenta
lo critico del negocio del sistema en cuestión. Es recomendable que el ajuste y
monitoreo del sistema se aplique para garantizar y, cuando sea necesario, mejorar la
disponibilidad y eficiencia de los sistemas. Es recomendable que se implementen
controles de detección para indicar los problemas en el momento oportuno. Es
recomendable que las proyecciones de los requisitos de capacidad futura se tomen en
cuenta en los requisitos de negocio y sistemas nuevos y las tendencias actuales y
pronosticadas de la capacidad del procesamiento de la información de la organización.
Necesita prestarse particular atención a cualquier recurso con tiempos largos para su
contratación o entrega, o costos altos, por lo tanto, es recomendable que los gerentes
supervisen el uso de los recursos clave del sistema. Se recomienda que ellos
identifiquen las tendencias en el uso, especialmente en relación con las aplicaciones del
negocio o herramientas de administración de sistemas de información.
Es recomendable que los gerentes utilicen esta información para identificar y evitar
posibles cuellos de botella y la dependencia del personal clave que pueden presentar
una amenaza a la seguridad del sistema o de servicios, y planificar las medidas
oportunas.
Proporcionar capacidad suficiente puede lograrse mediante el aumento de la capacidad

o mediante la reducción de la demanda. Ejemplos de gestión de la demanda de
capacidad son:
a) La eliminación de datos obsoletos (espacio en disco);
b) La clausura de aplicaciones, sistemas, bases de datos o entornos;
c) La optimización de los procesos, lotes y programaciones;

NMX-I-27002-NYCE-2015
57/110
d) La optimización de la lógica de la aplicación y consultas de bases de datos;
e) La negación o restricción del ancho de banda para los servicios ávidos de

recursos si estos no son críticos para el negocio (por ejemplo, la transmisión de
vídeo).
Se recomienda que un plan de gestión de capacidad documentado sea considerado

para los sistemas de misión crítica.
Otra información
Este control también se refiere a la capacidad de los recursos humanos, así como las
oficinas e instalaciones.
12.1.4 Separación de entornos de desarrollo, pruebas y operación
Control
Se deben separar los entornos de desarrollo, pruebas y operación para reducir los
riesgos de acceso no autorizado o cambios en el entorno de operación.
Se recomienda identificar y aplicar el nivel de separación entre los entornos de
operación, pruebas y desarrollo que sea necesario para prevenir problemas de
operativos.
Es recomendable que los siguientes elementos sean considerados:
a) Definir y documentar las reglas para la transferencia de software desde el

estado de desarrollo al estado operativo;
b) Ejecutar en diferentes sistemas o procesadores de computadores y en

diferentes dominios o directorios el software de desarrollo y operativo;
c) Probar en un entorno de pruebas los cambios en los sistemas y aplicaciones

operativos antes de ser aplicados a los sistemas operativos;
d) Salvo en circunstancias excepcionales, no realizar pruebas en los sistemas

operativos;
e) No estar accesibles los compiladores, editores y otras herramientas de

desarrollo o utilidades del sistema de los sistemas operativos cuando no sea
necesario;
f) Exigir a los usuarios utilizar diferentes perfiles de usuario para la operación y

prueba a los sistemas, y que los menús muestren mensajes de identificación
apropiados para reducir el riesgo de error;
g) No copiar los datos sensibles dentro del entorno de las pruebas del sistema a
menos que se disponga de controles equivalentes para los sistemas de pruebas
(véase el inciso 14.3).
Otra información
Las actividades de desarrollo y las pruebas pueden causar serios problemas, por
ejemplo, la modificación no deseada de archivos o falla del entorno del sistema o del
NMX-I-27002-NYCE-2015
58/110
sistema. Existe la necesidad de mantener un entorno conocido y estable en el que se

realizan pruebas significativas y prevenir el acceso inapropiado del desarrollador en el
entorno operativo.
Cuando el personal de desarrollo y pruebas tenga acceso al sistema operativo y su

información, pueden ser capaces de introducir código no autorizado y no probado o
alterar los datos operativos. En algunos sistemas, esta capacidad puede ser utilizada
para cometer fraude o introducir código malicioso o no probado, que puede causar
serios problemas operacionales.
El personal de desarrollo y pruebo también pueden representar una amenaza a la

confidencialidad de la información operativa. Las actividades de desarrollo y prueba
pueden causar cambios no deseados en el software o la información si comparten el
mismo entorno informático. La separación de los entornos tanto de desarrollo, como de
pruebas y de operación, es conveniente para reducir el riesgo de un cambio accidental
o acceso no autorizado a los datos del negocio y software operativo (véase el inciso
14.3 para la protección de los datos).
12.2 Protección contra el software malicioso (malware)
Objetivo: Garantizar que la información y las instalaciones de procesamiento de la

información estén protegidas contra malware.
12.2.1 Controles contra el malware
Control
Se deben implementar controles de detección, prevención y recuperación para
protegerse contra malware y combinarse con una apropiada concientización a usuarios.
Es recomendable que la protección contra el malware se base en la detección del
malware y reparación del software, la concientización de seguridad y controles para el
acceso al sistema, y gestión del cambio apropiado. Se recomienda que las siguientes
directrices se consideren:
a) El establecimiento de una política formal que prohíba el uso de software no

autorizado (véase el subinciso 12.6.2 y el inciso 14.2);
b) La aplicación de controles que prevengan o detecten el uso de software no

autorizado (por ejemplo, listas blancas de aplicaciones);
c) La implementación de controles que prevengan o detecten el uso de sitios web

maliciosos, conocidos o sospechosos (por ejemplo, listas negras);
d) Establecimiento de una política formal de protección contra los riesgos

asociados con la obtención de archivos y software ya sea desde o a través de
redes externas o en cualquier otro medio, indicando qué medidas de protección
se deben tomar;
e) Reducción de las vulnerabilidades que pueden ser explotadas por ejemplo, el

malware a través de la gestión de vulnerabilidades técnicas (véase el inciso
12.6);
NMX-I-27002-NYCE-2015
59/110
f) Llevar a cabo revisiones periódicas del contenido de software y los datos de los
sistemas de soporte a los procesos críticos del negocio, investigar formalmente
la presencia de los archivos no autorizados o modificaciones no autorizadas;
g) Instalación y actualización periódica de la detección de malware y reparación

del software para examinar los equipos y medios como un control preventivo, o
en forma rutinaria, se recomienda que las revisiones incluyan:
1) Escanear todos los archivos recibidos a través de redes o por medio de

cualquier tipo de medio de almacenamiento, en busca de malware antes de
su uso;
2) Escanear los archivos adjuntos de correo electrónico y descargas en busca de

malware antes de su uso; se recomienda que este escaneo se lleve a cabo en
diferentes lugares, por ejemplo, en servidores de correo electrónico,
computadoras de escritorio y cuando se ingrese en la red de la organización;
3) Escanear las páginas web en busca de malware;
h) La definición de procedimientos y responsabilidades para hacer frente a la

protección contra el malware en los sistemas, la capacitación en su uso, la
presentación de informes y la recuperación de los ataques de malware;
i) Preparación de planes de continuidad del negocio apropiados para recuperarse

de los ataques de malware, incluyendo todos los datos necesarios de respaldo
del software y acuerdos de recuperación (véase el inciso 12.3);
j) Implementación de procedimientos para recopilar regularmente información,

tales como la suscripción a listas de correo y / o verificación de sitios web que
proporcionan información sobre el nuevo malware;
k) Implementación de procedimientos para verificar la información relativa al

software malicioso (malware), y asegurar que los boletines de alerta son
precisos e informativos; se recomienda que los gerentes se aseguren que
fuentes calificadas , por ejemplo, revistas prestigiosa, sitios de Internet o
proveedores confiables que producen software, protejan contra el malware , se
utilizan para diferenciar malware real o engaños, es recomendable que todos los
usuarios sean conscientes del problema de los engaños y qué hacer al recibir
alguno de ellos;
l) El aislamiento de entornos donde pueda resultar en impactos catastróficos.
Otra información
El uso de dos o más productos de software de protección contra el malware en todo el
entorno del procesamiento de la información de diferentes proveedores y la tecnología
puede mejorar la eficacia de la protección del malware.
Es recomendable tener cuidado para protegerse contra la introducción de malware

durante los procedimientos de mantenimiento y de emergencia, que pueden pasar por
alto los controles normales de protección contra el malware
Bajo ciertas condiciones, la protección contra el malware puede causar disturbios en

las operaciones.
NMX-I-27002-NYCE-2015
60/110
El uso de software para la detección de un malware y reparación solo como un control

de malware no suele ser suficiente y normalmente es acompañada por procedimientos
operativos que prevengan la introducción del malware.
12.3 Respaldos
Objetivo: Evitar la pérdida de datos.
12.3.1 Respaldos de la información
Control
Copias de respaldos de la información, software e imágenes de sistemas deben
realizarse y probarse regularmente de acuerdo con la política de respaldos acordada.
Se recomienda establecer una política de respaldos para definir los requisitos de la
organización para los respaldos de la información, del software y los sistemas.
Es recomendable que la política de respaldos defina la los requisitos de conservación y

protección.
Se recomienda proporcionar instalaciones adecuadas para los respaldos para asegurar

que toda la información esencial y el software se pueden recuperar después de un
desastre o un error del medio.
Cuando se diseña un plan de respaldos, es recomendable que los siguientes puntos se

tengan en cuenta:
a) Producir registros exactos y completos de las copias de respaldo y producir

procedimientos de restauración documentados;
b) La medida (por ejemplo, respaldo completo o diferencial) y la frecuencia de los

respaldos reflejen los requisitos del negocio de la organización, los requisitos de
seguridad de la información involucrada y la criticidad de la información para la
continuidad de la operación de la organización;
c) Almacenar en una ubicación aislada los respaldos, a una distancia suficiente

para escapar de cualquier daño de un desastre en el sitio principal;
d) Proporcionar un nivel apropiado de protección física y ambiental a la

información de los respaldos (véase el capítulo 11) en conformidad con las
normas aplicadas en el sitio principal;
e) Probar regularmente los medios de respaldos para asegurarse que se puede

confiar en ellos, en caso de una emergencia cuando sea necesario, es
recomendable que esto se combine con una prueba de los procedimientos de
verificación y restauración contra el tiempo de restauración requerido. Realizar
en medios de prueba dedicados, las pruebas de capacidad de restaurar los
datos respaldados, no sobrescribiendo el medio original en caso de que el
proceso de respaldo o restauración falle y cause un daño irreparable o pérdida
de datos;
NMX-I-27002-NYCE-2015
61/110
f) Proteger mediante medios de cifrado los respaldos, en situaciones donde la

confidencialidad es de importancia.
Es recomendable que los procedimientos operativos supervisen la ejecución de

respaldos y tratamiento de las fallas de respaldos programados para garantizar la
integridad de éstos con la política de respaldos.
Se recomienda que los arreglos de respaldos para sistemas y servicios individuales

sean sometidos regularmente a pruebas para garantizar que cumplen los requisitos de
los planes de continuidad del negocio En el caso de los sistemas y servicios críticos, los
arreglos de respaldos cubran todos los sistemas de información, las aplicaciones y los
datos necesarios para recuperar el sistema completo en caso de un desastre.
Determinar el período de retención de la información de negocio esencial teniendo en

cuenta cualquier requisito para las copias archivadas de forma permanente.
12.4 Registro y monitoreo
Objetivo: Registrar los eventos y generar evidencia.
12.4.1 Registro de eventos
Se deben generar, mantener y revisar regularmente los registros de eventos (logs) de

las actividades de usuarios, excepciones, fallas y eventos de seguridad de la
información.
Se recomienda que los registros de eventos deban incluir, cuando sea pertinente:
a) ID´s de los usuarios;
b) Actividades del sistema;
c) Fechas, horarios y detalles de los eventos clave, por ejemplo, de inicio de

sesión y cierre de sesión;
d) Identidad o ubicación del dispositivo si es posible y el identificador del sistema);
e) Registro de los intentos de acceso rechazados por el sistema y exitosos;
f) Registros de datos exitosos y rechazados, y otros intentos de acceso a

recursos;
g) Cambios en la configuración del sistema;
h) Uso de privilegios;
i) Uso de utilidades del sistema y las aplicaciones;
j) Archivos accedidos y el tipo de acceso;
k) Direcciones de red y protocolos;
NMX-I-27002-NYCE-2015
62/110
l) Alarmas activadas por el sistema de control de acceso;
m) Activación y desactivación de los sistemas de protección, como los sistemas de

antivirus y sistemas de detección de intrusos;
n) Registros de las transacciones realizadas por los usuarios en las aplicaciones.
El registro de eventos establece una base para los sistemas de monitoreo

automatizados, que son capaces de generar informes consolidados y alertas sobre la
seguridad del sistema.
Otra información
Los registros de eventos pueden contener datos sensibles e información de
identificación personal. Es recomendable que se adopten las medidas adecuadas de
protección de la privacidad (véase el subinciso 18.1.4).
Cuando sea posible, es recomendable que los administradores de los sistemas no

tengan permiso para borrar registros o desactivar los registros de eventos de sus
propias actividades (véase el subinciso 12.4.3).
12.4.2 Protección del registro de la información
Control
Se deben proteger contra acceso no autorizado y manipulación la información del
registro (logs) e infraestructura para el registro.
Se recomienda que los controles estén dirigidos a proteger contra cambios no
autorizados y problemas operacionales con los servicios de registros de eventos
incluyendo:
a) Alteraciones de los tipos de mensajes que se registran;
b) Se editen o eliminen archivos de registro de eventos;
c) Se exceda la capacidad de almacenamiento de los medios de archivos de

registro de eventos, resultando tanto en la falta de registro de eventos o sobre-
escritura de los últimos eventos registrados.
Algunos registros de auditoría pueden requerir ser archivados como parte de la política
de retención de registros o debido a los requisitos para reunir y conservar las pruebas
(véase el subinciso 16.1.7).
Otra información
Los registros de eventos del sistema a menudo contienen una gran cantidad de
información, mucha de la cual es ajena al monitoreo de la seguridad. Para ayudar a
identificar los eventos significativos para fines de monitoreo de seguridad, se
recomienda considerar la copia de los tipos de mensajes apropiados registrados
automáticamente a un segundo registro de evento (log) o el uso de las utilidades del
sistema o herramientas de auditorías adecuadas para ejecutar archivos de
interrogación o racionalización.
NMX-I-27002-NYCE-2015
63/110
Los registros de eventos del sistema necesitan estar protegidos, ya que si los datos en
ellos pueden ser modificados o borrados, su existencia puede crear una falsa sensación
de seguridad. La copia en tiempo real de los registros de eventos a un sistema fuera
del control de un administrador u operador del sistema puede ser utilizada para
salvaguardar los registros de eventos.
12.4.3 Registros (logs) del administrador y operador
Control
Se deben registrar, proteger y revisar los registros de eventos (logs) de las actividades
del administrador y del operador de sistemas
Las cuentas de usuarios privilegiados pueden ser capaces de manipular los registros de
eventos de las instalaciones de procesamiento de la información bajo su control
directo, por lo que es necesario proteger y revisar la información del registro de
eventos para mantener la rendición de cuentas para los usuarios privilegiados.
Otra información
Un sistema de detección de intrusión administrada fuera del control del sistema y los
administradores de red se puede utilizar para supervisar el sistema y de las actividades
de administración de red para cumplimiento.
12.4.4 Sincronización del reloj
Control
Los relojes de todos los sistemas de procesamiento de la información relevantes dentro
de la organización o dominio de seguridad deben estar sincronizados con una sola
fuente de tiempo de referencia.
Se recomienda que los requisitos externos e internos para la representación, la
sincronización y la precisión del tiempo estén documentados. Estos requisitos pueden
ser legales, los reglamentarios, contractuales, por cumplimiento de normas o
requisitos del monitoreo interno. Es recomendable se defina un tiempo de referencia
estándar para el uso dentro de la organización.
Es recomendable documentar e implementar el enfoque de la organización para

obtener un tiempo de referencia de una o varias fuentes externas y cómo se
sincronizan los relojes internos de manera fiable.
Otra información
El ajuste correcto de los relojes de los equipos es importante para asegurar la
exactitud de los registros de eventos de auditoría, que pueden ser necesarios para
investigaciones o como evidencias en casos legales o disciplinarios. Los registros
inexactos de registro de eventos de auditoría pueden obstaculizar las investigaciones y
dañar la credibilidad de esas evidencias. Un reloj vinculado a una emisión de tiempo
por radio desde un reloj atómico nacional se puede utilizar como el reloj maestro para
los sistemas de registro de eventos. Un protocolo de tiempo de red se puede utilizar
para mantener todos los servidores en sincronización con el reloj maestro.
NMX-I-27002-NYCE-2015
64/110
12.5 Control de software operacional
Objetivo: Garantizar la integridad de los sistemas operacionales.
12.5.1 Instalación de software en los sistemas operacionales
Control
Se deben implementar procedimientos para controlar la instalación de software en
sistemas operacionales.
Se recomienda considerar las siguientes directrices para el control de cambios de
software en los sistemas operativos:
a) Actualización del software operativo, las aplicaciones y las librerías de los

programas es recomendable que solo sean ejecutadas por los administradores
capacitados con la autorización administrativa adecuada (véase el subinciso
9.4.5);
b) Los sistemas operativos sólo contengan el código ejecutable aprobado y no

código de desarrollo o compiladores;
c) Las aplicaciones y el software del sistema operativo sólo se implementen

después de extensas pruebas exitosas; se recomienda que las pruebas incluyan
pruebas de usabilidad, seguridad, efectos sobre otros sistemas y facilidad de
uso y llevarse a cabo en sistemas separados (véase el inciso 12.14). Garantizar
que todas las librerías de los programas fuente correspondientes han sido
actualizados;
d) Utilizar un sistema de control de configuración para mantener el control de todo

el software implementado, así como la documentación del sistema;
e) Aplicar una estrategia de retorno (rollback) antes de que los cambios se

implementen;
f) Mantener un registro de eventos de auditorías de todas las actualizaciones a las

librerías de programas operativos;
g) Las versiones antiguas del software de aplicación deben mantenerse como una
medida de contingencia;
h) Archivar las versiones anteriores de software, junto con toda la información

requerida y los parámetros, procedimientos, y detalles de la configuración y el
software de soporte durante el tiempo que los datos se conserven en el archivo.
Es recomendable que el vendedor del suministro de software utilizado en los sistemas

operativos mantenga un nivel soporte por el proveedor. Con el tiempo, los vendedores
de software dejan de dar soporte a las versiones antiguas de software. Se recomienda
que la organización considere los riesgos de confiar en el software sin soporte.
Se recomienda que cualquier decisión de actualizar a una nueva versión tenga en

cuenta los requisitos del negocio para el cambio y la seguridad de liberación, por
ejemplo, la introducción de la nueva funcionalidad de seguridad o el número y la
NMX-I-27002-NYCE-2015
65/110
gravedad de los problemas de seguridad que afectan a esta versión. Es recomendable

que los parches de software se apliquen cuando puedan ayudar a eliminar o reducir las
debilidades de seguridad (véase el inciso 12.6).
Es recomendable que el acceso físico o lógico sólo se proporcione a los proveedores
con fines de soporte cuando sea necesario y con la aprobación de la dirección. Se
recomienda que las actividades del proveedor sean supervisadas (véase el subinciso
15.2.1).
Las aplicaciones informáticas pueden confiar en el software y los módulos de

suministrados externamente, el cual es recomendable sea monitoreado y controlado
para evitar cambios no autorizados, que puedan introducir debilidades de seguridad.
12.6 Gestión de vulnerabilidades técnicas
Objetivo: Prevenir la explotación de las vulnerabilidades técnicas.
12.6.1 Gestión de las vulnerabilidades técnicas
Control
Se debe obtener información acerca de las vulnerabilidades técnicas de los sistemas de
información que están siendo utilizados de manera oportuna, evaluar la exposición de
la organización a tales vulnerabilidades y tomar medidas apropiadas para tratar los
riesgos asociados.
Un inventario actualizado y completo de los activos (véase el capítulo 8) es un
requisito previo para una gestión eficaz de vulnerabilidades técnicas. La información
específica necesaria para apoyar la gestión de vulnerabilidades técnicas incluye el
proveedor de software, números de versión, el estado actual del despliegue (por
ejemplo, qué software está instalado en qué sistemas) y la(s) persona(s) dentro de la
organización responsable(s) del software.
Se recomienda que la acción apropiada y oportuna se tome en respuesta a la

identificación de posibles vulnerabilidades técnicas. Es recomendable que las siguientes
directrices se sigan para establecer un proceso eficaz de gestión de vulnerabilidades
técnicas:
a) Es recomendable que la organización defina y establezca las funciones y

responsabilidades asociadas con la gestión de vulnerabilidades técnicas,
incluyendo el monitoreo de la vulnerabilidad, la valoración de riesgos de
vulnerabilidades, los parches, el rastreo de activos y las responsabilidades de
coordinación necesarias;
b) Facilitar los recursos necesarios para identificar vulnerabilidades técnicas y para

mantener la concientización sobre aquellas que necesitan identificarse sobre el
software y otro tipo de tecnología (basada en la lista de inventario de activos,
véase el subinciso 8.1.1); es recomendable que estos recursos de información
sean actualizados con base a cambios en el inventario, o cuando se encuentren
otros recursos nuevos o útiles;
c) Definir una línea de tiempo para responder a las notificaciones de

vulnerabilidades técnicas potencialmente relevantes;
NMX-I-27002-NYCE-2015
66/110
d) Una vez que la vulnerabilidad técnica potencial ha sido identificada, es

recomendable que la organización identifique los riesgos asociados y las
medidas que deben adoptarse; estas acciones pueden implicar el parcheo de los
sistemas vulnerables y / o la aplicación de otros controles;
e) Atender en función de la urgencia de una vulnerabilidad técnica por ser tratada,

realizar acciones de acuerdo con los controles relacionados con la gestión del
cambio (véase el subinciso 12.1.2) o siguiendo los procedimientos de seguridad
de la información de respuesta a incidentes (véase el subinciso 16.1.5);
f) Si un parche está disponible a partir de una fuente legítima, los riesgos

asociados con la instalación del parche es recomendable se valoren (es
recomendable que los riesgos derivados de la vulnerabilidad se compare con el
riesgo de instalar el parche);
g) Probar y evaluar los parches antes de instalarlos para asegurar que sean
eficaces y no causen efectos secundarios que no se puedan tolerar, si no hay un
parche disponible, es recomendable que se consideren otros controles, tales
como:
1) Desactivar servicios o capacidades relacionadas con la vulnerabilidad;
2) Adaptar o agregar controles de acceso, por ejemplo, corta fuegos (firewalls),

en las fronteras de la red (véase el inciso 13.1);
3) Aumentar el monitoreo para detectar ataques reales;
4) Aumentar la concientización de la vulnerabilidad;
h) Mantener un registro de eventos de auditoría para todos los procedimientos

realizados;
i) Supervisar y evaluar el proceso de gestión de vulnerabilidades técnicas con el

fin de garantizar su eficacia y eficiencia;
j) Tratar en primer lugar los sistemas de alto riesgo;
k) Un proceso eficaz de gestión de vulnerabilidades técnicas está alineado con las

actividades de manejo de incidentes, para comunicar los datos sobre las
vulnerabilidades a la función de respuesta a incidentes y proporcionar los
procedimientos técnicos que se lleven a cabo en caso de incidente;
l) Definir un procedimiento para tratar la situación dónde se ha identificado una

vulnerabilidad pero no hay ninguna contramedida adecuada. En esta situación,
es recomendable que la organización evalúe los riesgos relacionados con la
vulnerabilidad conocida y define las acciones correctivas y preventivas
apropiadas.
Otra información
La gestión de la vulnerabilidad técnica puede ser vista como una sub-función de la
gestión del cambio y, como tal, puede tomar ventaja de los procesos y procedimientos
de gestión de cambio (véanse los subincisos 12.1.2 y 14.2.2).
NMX-I-27002-NYCE-2015
67/110
Los vendedores están a menudo bajo una gran presión para liberar parches tan pronto
como sea posible. Por lo tanto, el parche puede no tratar el problema de manera
adecuada y puede tener efectos secundarios negativos. También, en algunos casos, la
desinstalación de un parche puede no lograrse fácilmente una vez que éste se ha
aplicado.
Si la prueba adecuada de los parches no es posible, por ejemplo, debido a los costos o
la falta de recursos, se puede considerar un retraso en la aplicación de parches para
evaluar los riesgos asociados, basados en la experiencia reportada por otros usuarios.
El uso de la norma que se indica en el inciso A.9 del apéndice A puede ser beneficioso.
12.6.2 Restricciones en la instalación de software
Control
Se debe establecer e implementar reglas que gobiernen la instalación de software por
los usuarios
Se recomienda que la organización defina y aplique una política estricta a los usuarios
sobre los tipos de software que pueden instalar.
Es recomendable aplicar el principio de privilegios mínimos. Si se conceden ciertos

privilegios, los usuarios pueden tener la capacidad de instalar software. Es aconsejable
que la organización identifique los tipos de instalaciones de software que se permiten
(por ejemplo, las actualizaciones y parches de seguridad para el software existente) y
qué tipo de instalaciones están prohibidas (por ejemplo, un software que es sólo para
uso personal y software cuyo genealogía con respecto a ser potencialmente dañino es
desconocido o sospechoso). Es recomendable que estos privilegios se concedan
teniendo en cuenta las funciones de los usuarios afectados.
Otra información
La instalación descontrolada de software en plataformas informáticas puede conducir a
la introducción de vulnerabilidades y luego a la fuga de información, pérdida de
integridad o de otros incidentes de seguridad de la información, o violación de los
derechos de propiedad intelectual.
12.7 Consideraciones de auditoría a sistemas de información
Objetivo: Minimizar el impacto de las actividades de auditoría en los sistemas

operacionales.
12.7.1 Controles de auditoría a los sistemas de información
Control
Los requisitos de la auditoría y las actividades que implican la verificación de los
sistemas operacionales deben planearse y acordarse cuidadosamente para minimizar
las interrupciones a los procesos del negocio.
a) Acordar con la dirección apropiada los requisitos de una auditoría de acceso a

los sistemas y datos;
NMX-I-27002-NYCE-2015
68/110
b) Acordar y controlar el alcance de las pruebas técnicas de una auditoría;
c) Limitar al acceso de sólo lectura a los programas y datos de las pruebas de una
auditoría;
d) El acceso que no sea de sólo lectura sólo debe permitirse para copias aisladas
de los archivos del sistema, los cuales es recomendable que sean borrados
cuando se complete la auditoría, o reciban protección adecuada si existe una
obligación de mantener estos archivos en los requisitos de la documentación de
la auditoría;
e) Identificar y acordar los requisitos de procesamiento especial o adicional;
f) Ejecutar fuera del horario las pruebas de auditoría que pueden afectar a la
disponibilidad del sistema;
g) Monitorear y registrar el acceso para producir un rastro de referencia.
13 SEGURIDAD EN LAS COMUNICACIONES
13.1 Gestión de seguridad en la red
Objetivo: Garantizar la protección de la información en las redes e infraestructura de

apoyo para el procesamiento de información.
13.1.1 Controles de red
Control
Las redes deben gestionarse y controlarse para proteger la información en los sistemas
y aplicaciones.
Se recomienda implementar controles para garantizar la seguridad de la información
en las redes y la protección de los servicios conectados de accesos no autorizados. En
particular es recomendable que las siguientes directrices se consideren:
a) Establecer las responsabilidades y los procedimientos para la administración de

equipos de red;
b) Separar la responsabilidad operativa de las redes de las operaciones

computacionales, (véase el subinciso 6.1.2);
c) Establecer controles especiales para garantizar la confidencialidad e integridad

de los datos que pasan a través de las redes públicas o sobre las redes
inalámbricas y para proteger los sistemas y las aplicaciones conectados (véase
el capítulo 10 y el inciso 13.2); los controles especiales también pueden ser
necesarios para mantener la disponibilidad de los servicios de red y de las
computadoras conectadas;
NMX-I-27002-NYCE-2015
69/110
d) Registro eventos y monitoreo adecuado para permitir la grabación y detección

de acciones que pueden afectar o son relevantes para la seguridad de la
información;
e) Es recomendable que las actividades de gestión estén estrechamente

coordinadas tanto para optimizar el servicio a la organización y asegurar que los
controles se aplican consistentemente a través de la infraestructura de
procesamiento de la información;
f) Autenticar sistemas sobre la red;
g) Restringir la conexión a los sistemas en la red.
Otra información
Información adicional sobre la seguridad de la red se puede encontrar en las normas
que se indican en los incisos A.10, A.11, A.12, A.13 y A.14 del apéndice A.
13.1.2 Seguridad en los servicios de red
Control
Los mecanismos de seguridad, niveles de servicio y los requisitos de gestión para
todos los servicios de la red deben identificarse e incluirse en los acuerdos de servicios
de red, ya sea que estos servicios sean provistos internamente o se subcontraten.
Se recomienda que la capacidad del proveedor del servicio de red para administrar los
servicios acordados de forma se determine y controle con regularidad, y se acuerde el
derecho a auditar.
Es recomendable los acuerdos de seguridad necesarios para los servicios particulares,

como las características de seguridad, los niveles de servicio y la administración de
requisitos, se identifiquen. Se recomienda que la organización asegure que los
proveedores de servicios de red implementen estas medidas.
Otra información
Los servicios de red incluyen la provisión de conexiones, servicios de redes privadas y
redes de valor adicional y soluciones para la administración de seguridad de red como
cortafuegos (firewalls) y sistemas de detección de intrusos. Estos servicios pueden ir
desde una simple banda ancha no administrada hasta ofertas de valor añadido
complejos.
Las características de seguridad de los servicios de red pueden ser:
a) La tecnología aplicada a la seguridad de los servicios de red, como controles de

autenticación, encriptación y conexión de red;
b) Parámetros técnicos necesarios para la conexión segura con los servicios de red
de acuerdo con las reglas de seguridad y de conexión de red;
c) Los procedimientos para el uso de servicios de red para restringir el acceso a

los servicios de red o aplicaciones cuando sea necesario.
NMX-I-27002-NYCE-2015
70/110
13.1.3 Segregación en redes
Control
Los grupos de servicios de información, usuarios y sistemas de información deben
estar segregados en las redes.
Un método de administración de la seguridad en las redes de gran tamaño es dividirlas
en dominios de red independientes. Los dominios pueden ser elegidos con base a los
niveles de confianza (por ejemplo, dominio de acceso público, el dominio de escritorio,
servidor de dominio), así como por unidades de organización (por ejemplo, recursos
humanos, finanzas, comercialización) o una combinación (por ejemplo, el dominio del
servidor se conecta a varias unidades organizativas). La segregación puede hacerse
utilizando redes físicamente diferentes o mediante el uso de diferentes redes lógicas
(por ejemplo, una red virtual privada).
Se recomienda que el perímetro de cada dominio este bien definido. El acceso entre
dominios de la red está permitido, pero se recomienda que esté controlado en el
perímetro utilizando una puerta de enlace (por ejemplo, cortafuegos, enrutador de
filtrado). Los criterios para la segregación de las redes dentro de los dominios, y el
acceso permitido a través de las puertas de enlace, se recomiendan este basado sobre
una evaluación de los requisitos de seguridad de cada dominio.
Es recomendable que la evaluación se realice de acuerdo con la política de control de

acceso (véase el subinciso 9.1.1), los requisitos de acceso, el valor y la clasificación de
la información procesada y también tenga en cuenta el impacto relativo de costo y el
impacto de desempeño de la incorporación de la tecnología de puerta de enlace
adecuada.
Las redes inalámbricas requieren un tratamiento especial debido a un perímetro de la

red pobremente definido. Es recomendable tratar el acceso inalámbrico como una
conexión externa y segregar este acceso de las redes internas hasta que el acceso
haya pasado a través de una puerta de entrada en concordancia con la política de
control de red (véase el subinciso 13.1.1) antes de conceder el acceso a los sistemas
internos.
Las tecnologías de control acceso a la red a nivel de usuario, autenticación y cifrado de

estándares modernos basados en redes inalámbricas pueden ser suficientes para la
conexión directa a la red interna de la organización cuando se implementa
correctamente.
Otra información
Las redes a menudo se extienden más allá de los límites organizativos, y por como las
asociaciones de negocio están conformadas pueden requerir la interconexión o el uso
compartido de las instalaciones red y procesamiento de la información.
Tales extensiones pueden aumentar el riesgo de acceso no autorizado a los sistemas

de información de la organización que utilizan la red, algunas de las cuales pueden
requerir protección de otros usuarios de la red debido a su sensibilidad o criticidad.
NMX-I-27002-NYCE-2015
71/110
13.2 Transferencia de información
Objetivo: Mantener la seguridad de la información transferida dentro de una

organización y cualquier entidad externa.
13.2.1 Políticas y procedimientos de transferencia de información
Control
Deben existir políticas formales de transferencia, procedimientos y controles para
proteger la transferencia de información a través del uso de cualquier tipo de medio de
comunicación.
Los procedimientos y controles a seguir cuando se utilizan los servicios de
comunicaciones para la transferencia de información es recomendable consideren los
siguientes elementos:
a) Procedimientos diseñados para proteger la información transferida de la

intercepción, copia, modificación, mal enrutamiento y la destrucción;
b) Procedimientos para la detección y protección contra software malicioso

(malware) que puede transmitirse a través del uso de las comunicaciones
electrónicas (véase el subinciso 12.2.1);
c) Procedimientos para la protección de la información sensible comunicada de

manera electrónica que está en forma de un archivo adjunto;
d) Políticas o lineamientos que describan el uso aceptable de los servicios de

comunicación (véase el subinciso 8.1.3);
e) Las responsabilidades del personal, parte externa y cualquier otro usuario no

comprometan la organización, por ejemplo, a través de la difamación, el acoso,
la suplantación, el reenvío de mensajes en cadena, compras no autorizadas,
etc.;
f) Uso de técnicas criptográficas por ejemplo, para proteger la confidencialidad,

integridad y autenticidad de la información (véase el capítulo 10);
g) Retención y eliminación de lineamientos para toda la correspondencia de

negocio, incluidos los mensajes, de acuerdo con la legislación nacional y local y
sus regulaciones;
h) Los controles y las restricciones asociadas con el uso de los servicios de

comunicación, por ejemplo, reenvío automático de correo electrónico a
direcciones de correo externas;
i) Asesorar al personal de tomar las precauciones adecuadas para no revelar

información confidencial;
j) No dejar mensajes que contienen información confidencial sobre las

contestadoras automáticas ya que pueden ser reproducidos por personas no
autorizadas, almacenados en los sistemas comunales o almacenados
incorrectamente como resultado de mal marcaje /configuración;
NMX-I-27002-NYCE-2015
72/110
k) Asesorar al personal acerca de los problemas del uso de máquinas o servicios

de fax, para lo cual necesitan saber:
1) El acceso no autorizado a los almacenes de mensajes existentes para

recuperar los mismos;
2) Programación deliberada o accidental de las máquinas para enviar mensajes

a números específicos;
3) Envío de documentos y mensajes a un número equivocado, ya sea por mal

marcaje o por estar utilizando un número equivocado almacenado.
Además, es recomendable que el personal recuerde no tener conversaciones

confidenciales en lugares públicos o en canales de comunicación no seguros, oficinas
abiertas y lugares de reunión.
Es recomendable que los servicios de transferencia de información se ajusten a los

requisitos legales pertinentes (véase el inciso 18.1).
Otra información
La transferencia de información puede ocurrir mediante el uso de un número de
diferentes tipos de servicios de comunicación, incluyendo el correo electrónico, voz, fax
y vídeo.
La transferencia de información puede ocurrir a través de una serie de diferentes

medios, incluyendo la descarga de internet y el adquirir productos con vendedores
fuera de la plataforma.
Es recomendable se consideren implicaciones de negocio, legales y de seguridad

asociadas con el intercambio electrónico de datos, el comercio electrónico y las
comunicaciones electrónicas, y los requisitos para los controles.
13.2.2 Acuerdos de transferencia de información
Control
Los acuerdos deben abordar la transferencia segura de la información del negocio
entre la organización y las partes externas.
Se recomienda que los acuerdos de transferencia de información incluyan lo siguiente:
a) Gestión de responsabilidades para el control y la notificación de la transmisión,

envío y recepción;
b) Procedimientos para garantizar la trazabilidad y el no repudio;
c) Normas técnicas mínimas para el empaquetado y transmisión;
d) Acuerdos de custodia;
e) Normas de identificación del mensajero;
NMX-I-27002-NYCE-2015
73/110
f) Responsabilidades y obligaciones en caso de incidentes de seguridad de la

información, tales como la pérdida de datos;
g) Uso de un sistema de etiquetado para la información sensible o crítica,

asegurando que el significado de las etiquetas se entienda inmediatamente y
que la información esté protegida adecuadamente (véase el inciso 8.2);
h) Normas técnicas para el registro y lectura de la información y software;

i) Todos los controles especiales que se requieran para proteger los elementos
sensibles, tales como la criptografía (véase el capítulo 10);
j) Mantener una cadena de custodia para la información mientras está en tránsito;
k) Niveles aceptables de control de acceso.
Es recomendable establecer y mantener políticas, procedimientos y normas para

proteger la información y los medios físicos en tránsito (véase el subinciso 8.3.3), y
referenciarlos en los acuerdos de transferencia.
El contenido de seguridad de la información de cualquier acuerdo es recomendable

refleje la sensibilidad de la información de negocio involucrada.
Otra información
Los acuerdos pueden ser en electrónico o manuales, y pueden ser parte de contratos
formales. Para la información confidencial, se recomienda que los mecanismos
específicos que se utilizan para la transferencia de información de ese tipo de
información sean consistentes con todas las organizaciones y tipos de acuerdos.
13.2.3 Mensajería electrónica
Control
La información involucrada en mensajes electrónicos debe estar protegida
apropiadamente.
Se recomienda que las consideraciones de seguridad para la mensajería electrónica
incluyan lo siguiente:
a) Proteger los mensajes del acceso no autorizado, modificación o denegación del

servicio acorde con el esquema de clasificación adoptado por la organización;
b) Asegurar el correcto direccionamiento y transporte del mensaje;
c) La confiabilidad y la disponibilidad del servicio;
d) Consideraciones legales, por ejemplo, la obligación de la firma electrónica;
e) Obtener la previa aprobación para la utilización de los servicios públicos

externos, como la mensajería instantánea, redes sociales o el uso compartido
de archivos;
f) Niveles más fuertes de autenticación de acceso de control de redes de acceso

público.
NMX-I-27002-NYCE-2015
74/110
Otra información
Existen muchos tipos de mensajería electrónica como el correo electrónico, el
intercambio electrónico de datos y las redes sociales los cuales juegan un papel
importante en las comunicaciones de negocio.
13.2.4 Acuerdos de confidencialidad o no divulgación
Control
Se deben identificar, revisar regularmente y documentar los requisitos para los
acuerdos de confidencialidad o no divulgación reflejando las necesidades de la
organización para la protección de la información.
Se recomienda que los acuerdos de confidencialidad o no divulgación aborden la
necesidad de proteger la información confidencial utilizando términos legalmente
exigibles. Los acuerdos de confidencialidad o no divulgación son aplicables a terceros o
empleados de la organización. Es recomendable que los elementos sean seleccionados
o incluidos en consideración del tipo de la otra parte y su acceso o la manipulación de
la información confidencial aceptable. Para identificar los requisitos de los acuerdos de
confidencialidad o no divulgación, es recomendable que los siguientes elementos sean
considerados:
a) Definir la información a proteger (por ejemplo, información confidencial);
b) Duración esperada del acuerdo, incluyendo casos dónde la confidencialidad

pueda necesitarse se mantenga indefinidamente;
c) Acciones requeridas un acuerdo se termine;
d) Responsabilidades y acciones de los firmantes para evitar la divulgación de

información no autorizada;
e) Propiedad de la información, secretos comerciales y propiedad intelectual, y

cómo se relaciona con la protección de la información confidencial;
f) El uso permitido de la información confidencial y los derechos del firmante de

utilizar la información;
g) El derecho a auditar y supervisar las actividades que involucran información

confidencial;
h) Proceso para la notificación e informe de la divulgación no autorizada o fuga de

información confidencial;
i) Términos para destruir o devolver información en la cesación del acuerdo;
j) Acciones esperadas que deben adoptarse en caso de incumplimiento de este

acuerdo.
Con base en los requisitos de seguridad de la organización, pueden ser necesarios

otros elementos en un acuerdo de confidencialidad o no divulgación.
NMX-I-27002-NYCE-2015
75/110
Es recomendable que los acuerdos de confidencialidad y no divulgación cumplan con

todas las leyes y regulaciones de la jurisdicción a la que se aplica (véase el inciso
18.1).
Se recomienda que los requisitos para los acuerdos de confidencialidad y no

divulgación deben ser revisase revisen periódicamente y cuando se produzcan cambios
que influyan en estos requisitos.
Otra información
Los acuerdos de confidencialidad y no divulgación protegen la información de la
organización e informan a los signatarios de su responsabilidad de proteger, utilizar y
divulgar la información de una manera responsable y autorizada.
Puede existir la necesidad de una organización para utilizar diferentes formas de

acuerdos de confidencialidad o no divulgación en diferentes circunstancias.
14 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE

SISTEMAS
14.1 Requisitos de seguridad para los sistemas de información
Objetivo: Garantizar que la seguridad de la información es una parte integral de los

sistemas de información a través de todo el ciclo de vida. Esto también incluye los
requisitos para los sistemas de información que proporcionan servicios sobre redes
públicas.
14.1.1 Análisis y especificación de requisitos de seguridad de la información
Control
Los requisitos relacionados con la seguridad de la información deben estar incluidos en
los requisitos para los nuevos sistemas de información o mejoras a los sistemas de
información existentes.
Se recomienda que los requisitos de seguridad de la información se identifiquen
usando diversos métodos, tales como los derivados de requisitos de cumplimiento de
políticas y regulaciones, modelos de amenaza revisiones de incidentes o uso de
umbrales de vulnerabilidad. Es recomendable documentarlos los resultados de la
identificación y revisarlos con todas las partes interesadas.
Es aconsejable que los requisitos de seguridad de la información y controles reflejen el

valor de negocio de la información involucrada (véase el inciso 8.2) y el impacto
negativo potencial al negocio que pudiera derivarse de la falta de la seguridad
adecuada.
La identificación y gestión de los requisitos de la seguridad de la información y los

procesos asociados es recomendable sean integrados en las primeras fases de los
proyectos de los sistemas información. Es recomendable consideraciones tempranas de
los requisitos de seguridad de la información, por ejemplo, en la fase de diseño puede
dar lugar a soluciones de costo más eficaces y eficientes. Se recomienda que los
requisitos de seguridad de la información también tengan en cuenta:
NMX-I-27002-NYCE-2015
76/110
a) El nivel de confianza requerida hacia la identidad demandada de los usuarios,

con el fin de establecer los requisitos de autenticación de usuario;
b) Provisión de acceso y los procesos de autorización, para los usuarios de

negocios, así como para usuarios privilegiados o técnicos;
c) Informar a los usuarios y operadores de sus funciones y responsabilidades;
d) Las necesidades de protección requerida a los activos involucrados, en

particular en relación con la disponibilidad ,la confidencialidad y la integridad;
e) Los requisitos derivados de los procesos del negocio, tales como el registro de
transacciones, monitoreo y requisitos de no repudio;
f) Los requisitos mandatorios por otros controles de seguridad, por ejemplo,

interfaces para el registro y monitoreo o sistemas de detección de fugas de
datos.
Para las aplicaciones que ofrecen servicios a través de redes públicas o implementan
transacciones, es recomendable considerar los controles dedicados en los subincisos
14.1.2 y 14.1.3.
Si los productos se adquieren, se recomienda seguir un proceso formal de adquisición

y pruebas. Es recomendable que los contratos con el proveedor contengan los
requisitos de seguridad identificados. Cuando las funcionalidades de seguridad en un
producto propuesto no cumplen con el requisito especificado, es recomendable se
considere el riesgo presentado y controles asociados antes de comprar el producto.
Es recomendable evaluar e implementar la orientación disponible para la configuración

de seguridad del producto alineado con el software final / servicio principal del sistema.
Se recomienda que los criterios para la aceptación de los productos sean definidos por
ejemplo, en términos de su funcionalidad, que den garantía de que los requisitos de
seguridad identificados se cumplen. Es recomendable que los productos sean
evaluados en relación con estos criterios antes de la adquisición. Se recomienda que
cualquier funcionalidad adicional sea revisada para asegurarse de que no presenta
riesgos adicionales inaceptables.
Otra información
La NMX-I-27005-NYCE y la norma que se indica en el inciso A.21 del apéndice A
proporcionan orientación sobre el uso de los procesos de la gestión de riesgos para
cumplir con los requisitos de seguridad de la información.
14.1.2 Servicios de aplicaciones seguras en redes públicas
Control
La información involucrada en servicios de aplicaciones que pasan sobre redes públicas
debe estar protegida de actividades fraudulentas, disputas contractuales y exposición
no autorizada y modificación.
Se recomienda que las consideraciones de seguridad de la información para los
servicios de aplicaciones en redes incluyan lo siguiente:
NMX-I-27002-NYCE-2015
77/110
a) El nivel de confianza que cada parte requiere en cada una de la identidad del
otro, por ejemplo, a través de la autenticación;
b) Procesos de autorización asociados con quiénes pueden aprobar el contenidos,

emitir o firmar documentos transaccionales clave;
c) Garantizar que la comunicación de los socios sea plenamente informada de sus

autorizaciones para la prestación o uso del servicio;
d) Determinar y cumplir los requisitos de confidencialidad, integridad, de prueba

de envío y recepción de documentos clave y el no repudio de los contratos, por
ejemplo, asociados a los procesos de licitación y contratación;
e) El nivel de confianza requerido en la integridad de los documentos clave;
f) Requisitos de protección de cualquier información confidencial
g) Confidencialidad e integridad de cualquier orden de transacción, información de

pago, detalles de la dirección de la entrega y confirmación de ingresos;
h) El grado de verificación apropiado para verificar la información de pago

proporcionada por un cliente;
i) La selección de la forma más adecuada el asentamiento del pago para evitar el

fraude;
j) El nivel de protección requerido para mantener la confidencialidad y la

integridad de la orden de información;
k) Evitar la pérdida o duplicación de información de la transacción;
l) Responsabilidad asociada con cualquier transacción fraudulenta;
m) Requisitos de aseguradoras;
Muchas de las consideraciones anteriores pueden ser abordadas por la aplicación de

controles criptográficos (véase el capítulo 10), teniendo en cuenta el cumplimiento de
los requisitos legales (véase el capítulo 18, sobre todo ver el subinciso 18.1.5 para
legislación criptográfica).
Es recomendable que los acuerdos de servicios de aplicaciones entre los socios estén
apoyados por un acuerdo documentado que comprometa a ambas partes en los
términos acordados en los servicios, incluyendo los detalles de autorización (véase el
inciso “b” anterior).
Se recomienda considerar requisitos para la resistencia contra ataques que pueden

incluir requisitos para proteger los servidores de aplicación involucrados o para
garantizar la disponibilidad de la interconexión de la red requerida para la entrega del
servicio.
Otra información
Las aplicaciones accesibles a través de redes públicas están sujetas a una serie de
amenazas relacionadas con la red, como las actividades fraudulentas, disputas
NMX-I-27002-NYCE-2015
78/110
contractuales o divulgación de la información al público. Por lo tanto, las valoraciones

detalladas del riesgo y la selección adecuada de los controles son indispensables. Los
controles necesarios a menudo incluyen métodos criptográficos para la autenticación y
seguridad de la transferencia de datos.
Los servicios de aplicaciones pueden hacer uso de los métodos de autenticación

seguros, por ejemplo, utilizando criptografía de llave pública y firmas digitales (véase
el capítulo 10) para reducir los riesgos. Además, las terceras partes de confianza
pueden usarse, cuando dichos servicios sean necesarios.
14.1.3 Protección de aplicación de servicios de transacciones
Control
La información involucrada en transacciones de servicios de aplicación debe estar
protegida para prevenir transmisión incompleta, errores de enrutamiento, alteración de
mensajes no autorizados, divulgación no autorizada, duplicación del mensaje no
autorizado o reproducción.
Se recomienda que las consideraciones de seguridad de la información para los
servicios de aplicación de transacciones incluyan lo siguiente:
a) El uso de la firma electrónica por cada una de las partes involucradas en la

transacción;
b) Todos los aspectos de la transacción, por ejemplo, garantizar que:
1) La Información de autenticación secreta del usuario en todas las partes es

válida y verificada;
2) La transacción es confidencial;
3) Se mantiene la privacidad asociada con todas las partes involucradas;
c) Se encriptan los protocoles utilizados para comunicarse entre todas las partes
involucrados;
d) Son seguros los protocolos utilizados para la comunicación entre todas las
partes involucradas;
e) Asegurar que el almacenamiento de los detalles de la transacción se encuentran

fuera de cualquier entorno de acceso público, por ejemplo, en una plataforma
de almacenamiento existente en la intranet de la organización, y no están
retenidos y no se expusieron en un medio de almacenamiento accesible
directamente desde la internet;
f) Cuando se utiliza una autoridad de confianza (por ejemplo, para efectos de la

expedición y el mantenimiento de las firmas digitales y / o certificados
digitales). La seguridad está integrada de extremo a extremo de todo el proceso
de gestión de la firma o certificado.
NMX-I-27002-NYCE-2015
79/110
Otra información
La extensión de los controles adoptados necesita ser acorde con el nivel de riesgo
asociado con cada forma de transacción del servicio de aplicación.
Las transacciones pueden necesitar cumplir con requisitos legales y regulatorios de la

jurisdicción desde la cual se genera la transacción, su medio de procesado, dónde se
termina y / o almacena.
14.2 Seguridad en desarrollo y procesos de soporte
Objetivo: Garantizar que la seguridad de la información se diseña e implementa en el

ciclo de vida del desarrollo de los sistemas de información.
14.2.1 Política de desarrollo seguro
Control
Deben establecerse y aplicarse reglas para el desarrollo de software y sistemas en los
desarrollos dentro de la organización.
El desarrollo seguro es un requisito para construir un servicio seguro, la arquitectura,
el software y el sistema. Dentro de una política de desarrollo seguro, los siguientes
aspectos se recomienda sean sometidos a su consideración:
a) Seguridad del entorno de desarrollo;
b) Orientación sobre la seguridad en el ciclo de vida del desarrollo de software:
1) Seguridad en la metodología del desarrollo de software;
2) Asegurar directrices de codificación para cada lenguaje de programación

utilizado;
c) Requisitos de seguridad en la fase de diseño;
d) Controles de seguridad dentro de los hitos del proyecto;
e) Repositorios seguros;
f) La seguridad en el control de versiones;
g) Conocimiento de las aplicaciones de seguridad requeridas;
h) La capacidad de los desarrolladores para evitar, encontrar y corregir

vulnerabilidades.
Es recomendable que técnicas seguras de programación se utilicen tanto para nuevos

desarrollos y en la reutilización de escenarios de código en donde las normas
aplicadas al desarrollo pueden no conocerse o no eran consistentes con las mejores
prácticas actuales. Se recomienda considerar las normas de codificación segura y
cuando sea relevante exigir su uso. Es recomendable que los desarrolladores sean
capacitados en su uso y se recomiendan revisiones de código y prueba para verificar
su uso.
NMX-I-27002-NYCE-2015
80/110
Si el desarrollo se subcontrata, es recomendable que la organización obtenga garantías

de que la parte externa cumple con estas normas de desarrollo seguro (véase el
subinciso 14.2.7).
Otra información
El desarrollo también puede implementarse dentro de aplicaciones, como las de
oficina, navegadores, scripts y bases de datos.
14.2.2 Procedimientos de control de cambios al sistema
Control
Los cambios a los sistemas dentro del ciclo de vida del desarrollo deben estar
controlados mediante el uso de procedimientos formales de control de cambios.
Documentar y aplicar los procedimientos formales para asegurar la integridad de los
sistemas, las aplicaciones y los productos, desde las etapas iniciales del diseño a
través de todos los esfuerzos de mantenimiento posteriores. Es recomendable que la
introducción de nuevos sistemas y cambios importantes en los sistemas existentes siga
un proceso formal para la documentación, especificación, pruebas, control de calidad e
implementación gestionada
Se recomienda que este proceso incluya una valoración de riesgos, el análisis de los
impactos de los cambios y la especificación de los controles de seguridad necesarios.
Es recomendable que este proceso también garantice que la seguridad y los
procedimientos existentes de control no estén comprometidos, que a los
programadores de soporte se les proporcione el acceso a sólo aquellas partes del
sistema necesarios para su trabajo, y que se obtiene de acuerdo formal y la
aprobación de cualquier cambio.
Siempre que sea posible, es recomendable que se integren los procedimientos

operativos de control de cambios de aplicación y operacionales (véase el subinciso
12.1.2). Es recomendable que los procedimientos de cambios incluyan lo siguiente, sin
embargo no se limitan a:
a) Mantener un registro de los niveles de autorización acordados;
b) Asegurar que los cambios son enviados por usuarios autorizados;
c) Revisión de los controles y procedimientos de integridad para asegurar que ésta

no se ve afectada por los cambios;
d) Identificar todo el software, información, entidades de base de datos y del

hardware que requieran alguna modificación;
e) Identificar y verificar el código crítico de seguridad para minimizar la

probabilidad de fallas de seguridad conocidos;
f) Obtener la aprobación formal de propuestas detalladas antes de comenzar el

trabajo;
g) Garantizar por usuarios autorizados la aceptación de los cambios antes de la

aplicación;
NMX-I-27002-NYCE-2015
81/110
h) Garantizar que el conjunto de documentación del sistema se actualiza a la

finalización de cada cambio y que la documentación antigua se archiva o se
elimina;
i) Mantener un control de versiones para todas las actualizaciones del software;
j) Mantener un registro de auditoría de todas las solicitudes de cambio;
k) Asegurar que la documentación operativa (véase el subinciso 12.1.1) y los

procedimientos de usuario se cambian según sea necesario para que
permanezcan adecuados;
l) Asegurar que la aplicación de los cambios se realiza en el tiempo adecuado y no

perturba los procesos de negocio involucrados.
Otra información
El cambio de software puede afectar el entorno operativo, y viceversa.
La buena práctica incluye la prueba de software nuevo en un entorno separado de los
entornos de producción y desarrollo (véase el subinciso 12.1.4). Esto proporciona un
medio de control sobre el nuevo software y permite protección adicional de la
información operativa que se utiliza para propósitos de prueba. Es recomendable se
incluyan las actualizaciones de parches, paquetes de servicios y otras actualizaciones.
Cuando se consideren actualizaciones automáticas, es recomendable ponderar el

riesgo para la integridad y la disponibilidad del sistema contra el beneficio del
despliegue rápido de las actualizaciones. Se recomienda que no se utilicen las
actualizaciones automáticas en sistemas críticos debido a que algunas actualizaciones
pueden causar fallas a las aplicaciones críticas.
14.2.3 Revisión técnica de aplicaciones después de cambios en la

plataforma de operación
Control
Cuando cambian las plataformas operativas, las aplicaciones críticas del negocio deben
revisarse y probarse para garantizar que no hay un impacto adverso en las
operaciones de la organización o en la seguridad.
Se recomienda que este proceso incluya:
a) Revisar del control de aplicaciones y procedimientos de integridad para

asegurar que no han sido comprometidos por los cambios en la plataforma de
operación;
b) Asegurar que la notificación de cambios en la plataforma de operación se

proporciona a tiempo para permitir las pruebas y revisiones adecuadas las
cuales se realizan antes de la implementación ;
c) Asegurar que los cambios necesarios se hacen a los planes de continuidad del
negocio (véase el capítulo 17).
Otra información
Las plataformas operativas incluyen sistemas operativos, bases de datos y plataformas
que asisten a una aplicación para interactuar o comunicarse con otras aplicaciones
NMX-I-27002-NYCE-2015
82/110
(middleware). El control también es recomendable se aplique a los cambios de las

aplicaciones.
14.2.4 Restricciones a los cambios en los paquetes de software
Control
Se deben disuadir las modificaciones a los paquetes de software, limitar a los cambios
necesarios y todos los cambios deben estar estrictamente controlados.
Siempre que sea posible y factible, es recomendable que los paquetes de software
suministrados por los vendedores se utilicen sin modificación. Cuando un paquete de
software requiera modificación, se recomienda que los siguientes puntos sean
considerados:
a) Los riesgos de la implementación controles y los procesos de integridad sean

comprometidos;
b) Obtener el consentimiento del vendedor;
c) La posibilidad de obtener los cambios necesarios del vendedor como las

actualizaciones del programa estándar;
d) El impacto si la organización se hace responsable por el mantenimiento futuro

del software como resultado de los cambios;
e) La compatibilidad con otro software en uso.
Si los cambios son necesarios es recomendable conservar el software original y los

cambios sean aplicados en una copia designada. Implementar una actualización de
software de gestión de procesos para asegurar que los parches aprobados estén
actualizados y las actualizaciones de la aplicación estén instalados para todo el
software autorizado (véase el subinciso 12.6.1). Probar y documentar todos los
cambios, de modo que se puede volver a aplicar si es necesario para futuras
actualizaciones de software. Si es necesario, las modificaciones pueden ser probadas y
validadas por un organismo independiente de evaluación.
14.2.5 Principios de ingeniería en sistemas seguros
Control
Se deben establecer, documentar, mantener y aplicar principios de ingeniería para
sistemas seguros a cualquier esfuerzo de implementación de sistemas de información.
Es recomendable que los procedimientos de ingeniería de sistemas de información
seguros, basados en principios de ingeniería se establezcan, documenten y apliquen a
actividades internas de ingeniería de sistemas de información. Se recomienda que la
seguridad sea diseñada en todas las capas de la arquitectura (de negocio, datos,
aplicaciones y tecnología) equilibrando la necesidad de seguridad de la información con
la necesidad de la accesibilidad. Es recomendable que las nuevas tecnologías sean
analizadas con respecto a los riesgos de seguridad y el diseño sea revisado contra los
patrones de ataque conocidos.
NMX-I-27002-NYCE-2015
83/110
Se recomienda que estos principios y los procedimientos de ingeniería establecidos

sean revisados regularmente para asegurar que están contribuyendo eficazmente a en
la perfección de las normas de seguridad dentro del proceso de ingeniería. También se
recomienda revisarlos periódicamente para asegurar que se mantienen al día en
cuanto a la lucha contra las posibles nuevas amenazas y que siguen siendo aplicables a
los avances en las tecnologías y soluciones aplicables. Es recomendable que la
organización confirme si ese rigor de los principios de ingeniería de seguridad de los
proveedores es comparable con el propio.
Otra información
Es recomendable que los procedimientos de desarrollo de aplicaciones apliquen
técnicas de ingeniería seguras en el desarrollo de aplicaciones con interfaces de
entrada y salida. Las técnicas de ingeniería segura proporcionan orientación sobre
técnicas de autenticación de usuarios, control de sesión segura y validación de datos,
desinfección y eliminación de códigos de depuración.
14.2.6 Entorno de desarrollo seguro
Control
Las organizaciones deben establecer y proteger apropiadamente los entornos de
desarrollo seguro para el desarrollo del sistema y los esfuerzos de integración que
cubran todo el ciclo de vida del desarrollo del sistema.
Un entorno de desarrollo seguro incluye las personas, los procesos y la tecnología
relacionados con el desarrollo e integración de sistemas.
Se recomienda que las organizaciones evalué los riesgos asociados con cada uno de los
esfuerzos individuales del desarrollo del sistema y establezca entornos seguros de
desarrollo para los esfuerzos de desarrollo del sistema específico.
a) Sensibilidad de los datos a ser procesados, almacenados y transmitidos por el

sistema;
b) Los requisitos externos e internos aplicables, por ejemplo, de las regulaciones o

políticas;
c) Controles de seguridad ya implementados por la organización que apoyan el

desarrollo del sistema;
d) Fiabilidad del personal que trabaja en el entorno (véase subinciso 7.1.1.;
e) El grado de externalización asociado con entornos de desarrollo del sistema;
f) La necesidad de una segregación entre los diferentes entornos de desarrollo;
g) Control del acceso al entorno de desarrollo;
h) Monitoreo de los cambios en el entorno y en el código almacenado en el mismo;
i) Los respaldos estén almacenados en lugares fuera de las instalaciones seguras;
j) Control sobre el movimiento de datos desde y hacia el entorno.

NMX-I-27002-NYCE-2015
84/110
Una vez que el nivel de protección se determina para un entorno de desarrollo

específico, se recomienda que las organizaciones documenten los procesos
correspondientes en procedimientos de desarrollo seguros y proporcionarlos a todas
las personas que los necesiten.
14.2.7 Desarrollo de sistemas subcontratado
Control
La organización debe supervisar y monitorear la actividad del desarrollo de sistemas
subcontratados (outsourcing).
Cuando el desarrollo del sistema es subcontratado, se recomienda que los siguientes
puntos sean considerados a través de toda la cadena de suministro externo de la
organización:
a) Acuerdos de licenciamiento, la propiedad de código y derechos de propiedad

intelectual relacionados con el contenido de terceros (véase el subinciso
18.1.2);
b) Requisitos contractuales para las prácticas de diseño seguro, codificación y

pruebas (véase el subinciso 14.2.1);
c) Provisión del modelo de amenaza aprobado para el desarrollador externo;
d) Pruebas de aceptación sobre la calidad y adecuación de los entregables;
e) Presentación de evidencias respecto a que los umbrales de seguridad se utilizan

para establecer los niveles mínimos aceptables de seguridad y calidad de la
privacidad;
f) Presentación de evidencias respecto a que se aplicaron suficientes pruebas para

proteger contra la falta de contenido malicioso tanto intencional como no
intencional hasta su entrega;
g) Presentación de evidencias respecto a que se aplicaron suficientes pruebas para

proteger contra la presencia de vulnerabilidades conocidas;
h) Acuerdos de garantía, por ejemplo, si el código fuente ya no está disponible;
i) Derecho contractual para auditar los procesos y controles de desarrollo;
j) Documentación eficaz de la construcción del entorno utilizado para crear

productos finales
k) La organización sigue siendo responsable del cumplimiento de las leyes y de la

verificación de la eficiencia del control.
Otra información
Para más información sobre las relaciones con proveedores se puede encontrar en las
normas que se indican en los incisos A.16 y A.17 del apéndice A.
NMX-I-27002-NYCE-2015
85/110
14.2.8 Pruebas de seguridad a los sistema
Control
Se deben llevar a cabo pruebas de la funcionalidad de seguridad durante el desarrollo
Los sistemas nuevos y actualizados requieren pruebas exhaustivas y verificación
durante los procesos de desarrollo incluyendo la preparación de un programa detallado
de actividades, entradas de prueba y los resultados esperados bajo una serie de
condiciones. En cuanto al desarrollo interno, se recomienda que estas pruebas
inicialmente sean realizadas por el equipo de desarrollo. Es recomendable que después
se realicen pruebas independientes (tanto internas como para los desarrollos externos)
para asegurar que el sistema funciona como se esperaba (véanse los subincisos 14.1.1
y 14.1.9). Es recomendable que el alcance de las pruebas sea proporcional a la
importancia y la naturaleza del sistema.
14.2.9 Pruebas de aceptación del sistema
Control
Se deben establecer programas de pruebas de aceptación y criterios relacionados para
los nuevos sistemas de información, actualizaciones y nuevas versiones.
Se recomienda que las pruebas del sistema incluyan pruebas de los requisitos de
seguridad de la información (véanse los subincisos 14.1.1 y 14.1.2) y la adherencia
para asegurar prácticas del desarrollo seguro del sistema (véase el subinciso 14.2.1).
Es recomendable que la prueba también se lleve a cabo sobre los componentes
recibidos y en los sistemas integrados. Las organizaciones pueden aprovechar las
herramientas automatizadas, como las herramientas de análisis de vulnerabilidad de
código o escáneres, y verificar la corrección de los defectos relacionados con la
seguridad.
Es recomendable que las pruebas se realicen en un entorno de prueba realista para

asegurar que el sistema no va a introducir vulnerabilidades al entorno de la
organización y que las pruebas son confiables.
14.3 Datos de prueba
Objetivo: Garantizar la protección de los datos usados para las pruebas.
14.3.1 Protección de los datos de prueba
Control
Los datos de prueba deben seleccionarse, protegerse y controlarse cuidadosamente.-
Se recomienda evitar el uso de datos operacionales que contengan información
personal o cualquier otra información confidencial con fines de prueba. Si la
información de identificación personal o información de confidencial se utiliza para
propósitos de prueba, es recomendable que todos los datos sensibles y el contenido se
proteja contra la eliminación o modificación para más información véase la norma que
se indica en el inciso A.20 del apéndice A.
NMX-I-27002-NYCE-2015
86/110
Se recomienda que las siguientes directrices se apliquen para proteger los datos
operacionales, cuando se utilizan con fines de prueba:
a) Los procedimientos de control de acceso, que se aplican a los sistemas

operaciones y las aplicaciones es recomendable se utilicen también a los
sistemas de aplicación de prueba;
b) Es recomendable exista una autorización por separado cada vez que la

información operacional se copia en un entorno de prueba;
c) La información operacional sea borrada de un entorno de prueba

inmediatamente después de que la prueba esté completa;
d) Se registre la copia y uso de la información operacional para proporcionar una

pista de auditoría.
Otra información
Las pruebas de aceptación y del sistema usualmente requieren grandes volúmenes
substánciales de datos de prueba que estén lo más cerca posible a los datos
operacionales.
15 RELACIÓN CON PROVEEDORES
15.1 Seguridad de la información en relación con proveedores
Objetivo: Garantizar la protección de los activos de la organización que sea accesible

por los proveedores.
15.1.1 Política de Seguridad de la información para la relación con

proveedores
Control
Se deben acordar con los proveedores y documentarse los requisitos de seguridad de
la información para la mitigación de los riesgos asociados con el acceso de proveedores
a los activos de la organización.
Se recomienda la organización identifique y establezca controles de seguridad para
tratar específicamente el acceso a la información del proveedor de la organización en
una política. Es recomendable que estos controles traten procesos y procedimientos a
ser implementados por la organización, así como los procesos y procedimientos que la
organización va a solicitar al proveedor implementar, incluyendo:
a) Identificación y documentación de los tipos de proveedores por ejemplo,

servicios de TI, servicios de logística, servicios financieros, componentes de
infraestructura de TI a quienes la organización va permitir el acceso a su
información;
b) Un proceso estandarizado y ciclo de vida para gestionar las relaciones con

múltiples proveedores;
NMX-I-27002-NYCE-2015
87/110
c) Definir los tipos de acceso a la información que a los diferentes tipos de

proveedores va permitirse, y monitorear y controlar el acceso;
d) Los requisitos mínimos de seguridad para cada tipo de información y el tipo de

acceso que sirva como base para acuerdos individuales con proveedores
basados en las necesidades del negocio de la organización, los requisitos y el
perfil de riesgo;
e) Procesos y procedimientos para controlar la adherencia de los requisitos de

seguridad establecidos para cada tipo de proveedor y tipo de acceso, incluyendo
la revisión a terceras partes y validación del producto;
f) Precisión y exactitud de los controles para asegurar la integridad de la

información o procesamiento de la información proporcionada por cualquiera de
las partes;
g) Tipos de obligaciones aplicables a los proveedores para proteger la información

de la organización;
h) Manejo de incidentes y contingencias relacionados con el acceso del proveedor

incluyendo las responsabilidades de la organización y los proveedores;
i) Capacidad, y si es necesario acuerdos de contingencia y recuperación para

garantizar la disponibilidad de la información o procesamiento de la información
proporcionada por cualquiera de las partes;
j) Capacitación para la concientización del personal de la organización involucrado

en la consecución con respecto a las políticas aplicables, procesos y
procedimientos;
k) Capacitación para la concientización del personal de la organización que

interactúan con el personal de los proveedores con respecto a las reglas
adecuadas de participación y compromiso en función del tipo de proveedor y el
nivel de acceso de los proveedores a los sistemas y a la información de la
organización;
l) Las condiciones bajo las cuales los requisitos de seguridad y los controles van a
documentarse en un acuerdo firmado por ambas partes;
m) Gestión de las transiciones necesarias de información, instalaciones de

procesamiento de la información y cualquier otra cosa que moverse, y asegurar
que la seguridad de la información se mantiene durante todo el período de
transición.
Otra información
La información puede ponerse en peligro por los proveedores con una gestión
inadecuada de seguridad de la información. Es recomendable que los controles se
identifiquen y apliquen para administrar el acceso a las instalaciones de procesamiento
de la información. Por ejemplo, se pueden utilizar acuerdos de no divulgación, si existe
una necesidad especial para la confidencialidad de la información, Otro ejemplo son los
riesgos de protección de datos, cuando el acuerdo del proveedor implica la
transferencia de, o el acceso a la información a través de las fronteras. La organización
NMX-I-27002-NYCE-2015
88/110
necesita ser consciente de la responsabilidad legal o contractual para proteger la

información que permanezca en la organización.
15.1.2 Abordar la seguridad dentro los acuerdos con proveedores
Control
Todos los requisitos de seguridad de la información relevantes deben establecerse y
acordarse con cada proveedor que pueda acceder, procesar, almacenar, comunicar, o
proporcionar componentes de la infraestructura de TI de la información de la
organización. .
Se recomienda establecer y documentar los acuerdos con proveedores para asegurar
que no existan malentendidos entre la organización y el proveedor con respecto a las
obligaciones de ambas partes de cumplir con los requisitos de seguridad pertinentes.
Es recomendable que los siguientes términos se consideren para su inclusión en los

acuerdos con el fin de satisfacer los requisitos de seguridad identificados:
a) Descripción de la información que se va proporcionar o facilitar el acceso y los

métodos para proporcionar o acceder a la información;
b) Clasificación de la información de acuerdo con el esquema de clasificación de la

organización (véase el inciso 8.2), si es necesario también el mapeo entre el
esquema de clasificación propio de la organización y el esquema de clasificación
del proveedor;
c) Los requisitos legales y regulatorios incluyendo la protección de datos, la

propiedad intelectual y los derechos de autor y la descripción de cómo se va a
garantizar que se cumplan;
d) La obligación de cada parte contractual para implementar un conjunto acordado

de controles incluyendo el control de acceso, evaluación de desempeño,
monitoreo, reporte y auditoría;
e) Reglas de uso aceptable de la información, incluyendo el uso inaceptable si

necesario;
f) Cualquier lista explícita del personal autorizado del proveedor para recibir o
acceder a la información, procedimientos de la organización o condiciones para
la autorización, y retiro de la autorización para el acceso a, o recibir la
información de la organización por el personal del proveedor;
g) Políticas de seguridad de la información relevantes para el contrato específico;
h) Requisitos y procedimientos de manejo de incidentes (especialmente

notificaciones y colaboraciones durante la remediación de los incidentes);
i) Requisitos de capacitación y concientización para los procedimientos y

requisitos específicos de seguridad de la información, por ejemplo, de respuesta
a incidentes y de procedimientos de autorización;
NMX-I-27002-NYCE-2015
89/110
j) Regulaciones relevantes para la subcontratación, incluyendo los controles que

necesitan aplicarse en caso de subcontratación;
k) Asociados en el acuerdo pertinente, incluyendo una persona de contacto para

temas de seguridad de información;
l) Requisitos de investigación, si los hay para los usuarios de los proveedores,

incluyendo responsabilidades para realizar investigaciones y notificación de
procedimientos si la investigación no se ha terminado o si los resultados son
motivo de duda o preocupación;
m) Derecho a auditar los procesos de los proveedores y los controles relacionados

con el acuerdo;
n) Procesos para la resolución de defectos y resolución de conflictos;
o) Obligación del proveedor para entregar periódicamente un informe l

independiente sobre la eficacia de los controles y el acuerdo sobre la corrección
a tiempo de temas relevantes derivados del informe;
p) Las obligaciones de los proveedores para cumplir con los requisitos de

seguridad de la organización.
Otra información
Los acuerdos pueden variar considerablemente para las diferentes organizaciones y
entre los diferentes tipos de proveedores. Por lo tanto, es recomendable tener cuidado
de incluir todos los riesgos y requisitos relevantes de seguridad de la información. Los
acuerdos con los proveedores también pueden involucrar a otras partes (por ejemplo,
sub-proveedores).
Los procedimientos para continuar el procesamiento en caso de que el proveedor se

vuelva incapaz de suministrar sus productos y servicios necesitan ser considerados en
el acuerdo para evitar cualquier retraso en los servicios o productos sustituidos en la
organización.
15.1.3 Cadena de suministro en tecnologías de la información y

comunicaciones
Control
Los acuerdos con proveedores deben incluir los requisitos para tratar los riesgos de
seguridad de la información asociados con la información y los servicios de tecnología
de las comunicaciones, y la cadena de suministro de productos.
Se recomienda que los siguientes temas sean considerados para su inclusión en
acuerdos con proveedores con respecto a la cadena de suministro:
a) Definición de los requisitos de seguridad que se aplican a los productos o

adquisición de servicios de tecnologías de la información y comunicación,
además de los requisitos generales de seguridad para las relaciones con los
proveedores;
NMX-I-27002-NYCE-2015
90/110
b) Para los servicios de tecnologías de la información y comunicación requieren

que los proveedores propaguen los requisitos de seguridad de la organización a
través de la cadena de suministro si los proveedores subcontratan para las
partes del servicio de tecnologías de la información y comunicación que se
proporciona a la organización;
c) Para los productos de tecnologías de la información y la comunicación,

requieren que los proveedores propaguen las prácticas apropiadas de la
seguridad a través de la cadena de suministro si estos productos incluyen
componentes comprados a otros proveedores;
d) Implementación de un proceso de monitoreo y los métodos aceptables para la

validación de que productos y servicios de tecnología de la información y
comunicación se adhieren a los requisitos de seguridad establecidos;
e) Implementación de un proceso para la identificación de los componentes del

producto o servicio que son críticos para el mantenimiento de la funcionalidad y
por lo tanto requieren mayor atención y escrutinio cuando se construya fuera
de la organización, especialmente si el proveedor de nivel superior subcontrata
los aspectos de los componentes del servicio o producto de otros proveedores;
f) Obtención de garantías de que los componentes críticos y su origen puede

rastrearse a lo largo de la cadena de suministro;
g) Obtención de garantías de que la información entregada y de los productos de

tecnologías de la información y comunicación están funcionando como se
esperaba, sin ninguna característica inesperada o no deseada;
h) Definir las reglas para el intercambio de información sobre la cadena de

suministro y los posibles problemas y compromisos entre la organización y los
proveedores;
i) Implementación de procesos específicos para el manejo de información y ciclo

de vida de los componentes de tecnologías de comunicación, la disponibilidad y
los riesgos asociados a la seguridad. Esto incluye que la gestión de los riesgos
de los componentes ya no estén disponibles debido a que los proveedores ya
no están en el negocio o los proveedores ya no proporcionen estos
componentes debido a los avances tecnológicos.
Otra información
Las prácticas específicas de gestión del riesgo de las tecnologías de la información y
comunicación de la cadena de suministro se realizan en la parte superior de la
seguridad de la información en general, prácticas de la calidad, gestión de proyectos e
ingeniería del sistema pero esto no los reemplaza.
En las organizaciones se asesora el trabajo con los proveedores para entender la

cadena de suministro de tecnologías de la información y comunicación y todos los
asuntos que tienen un impacto importante sobre los productos y servicios que se
proporcionan. Las organizaciones pueden influir en las prácticas de la seguridad de la
información de la cadena de suministro de las tecnologías de la información y
comunicación, dejando claro en los acuerdos con sus proveedores los asuntos que
necesitan tratarse por otros proveedores en la cadena de suministro de las tecnologías
de la información y comunicación.
NMX-I-27002-NYCE-2015
91/110
La tecnología de la información y la comunicación de la cadena de suministro que se

tratan aquí incluyen los servicios de cómputo en la nube.
15.2 Administración de entrega de servicios del proveedor
Objetivo: Mantener un nivel acordado de seguridad de la información y la entrega de

servicios alineados con los acuerdos de proveedores.
15.2.1 Monitoreo y revisión de los servicios de proveedores
Control
Las organizaciones deben monitorear, revisar y auditar regularmente la entrega del
servicio de proveedores
Se recomienda que el monitoreo y revisión de los servicios de los proveedores asegure
que los términos y las condiciones de la seguridad de la información de los acuerdos se
están cumpliendo y que los incidentes y los problemas de seguridad de la información
se manejan adecuadamente.
Es recomendable que esto implique un proceso de gestión de servicios relacionados

entre la organización y el proveedor para:
a) Monitorear los niveles de desempeño del servicio para verificar el cumplimiento

de los acuerdos;
b) Revisar los informes de servicios producidos por el proveedor y organizar

reuniones periódicas de progreso como sea requerido por los acuerdos;
c) Llevar a cabo auditorías a los proveedores, en conjunto con la revisión de los

informes de auditores independiente, si están disponible, y el seguimiento de
los problemas identificados;
d) Proporcionar información sobre los incidentes de la seguridad de la información

y la revisión de esta información como sea requerido por los acuerdos y por
cualquier directriz de soporte y procedimientos;
e) Revisar las evidencias de la auditoría de los proveedores y los registros de

eventos de seguridad de la información, problemas de operación, fallas de
trazabilidad de fallas e interrupciones relacionadas con el servicio prestado;
f) Resolver y gestionar los problemas identificados;
g) Revisar aspectos de seguridad de la información de las relaciones con los

proveedores, con sus propios proveedores;
h) Asegurarse de que el proveedor mantiene suficiente capacidad de servicio,

junto con los planes viables diseñados para asegurar que los niveles de
continuidad del servicio acordados se mantienen después de fallas mayores o
desastres en el servicio (véase el capítulo 17).
Es recomendable que la responsabilidad de la gestión de las relaciones con los

proveedores se asigne a una persona designada o al equipo de gestión del servicio.
NMX-I-27002-NYCE-2015
92/110
Además, se recomienda que la organización se asegure de que los proveedores

asignen responsabilidades para la revisión del cumplimiento y la aplicación de los
requisitos de los acuerdos. Es recomendable que estén disponibles suficientes recursos
y conocimientos técnicos para monitorear que los requisitos del acuerdo, en particular,
los requisitos de la seguridad de la información, se estén cumpliendo. Se recomienda
tomar medidas adecuadas cuando se observen las deficiencias en la entrega de
servicio.
Se recomienda que la organización mantenga un control global suficiente y visibilidad

dentro de todos los aspectos de información sensible o crítica o instalaciones de
procesamiento de la información accesible, procesados o gestionados por un
proveedor. Es recomendable que la organización se asegure de mantener la visibilidad
dentro de las actividades de seguridad, tales como la gestión del cambio, la
identificación de las vulnerabilidades, presentación de informes y respuesta de
incidentes de seguridad de la información a través de un proceso definido de informes.
15.2.2 Gestión de cambios a los servicios de proveedores
Control
Los cambios en la provisión de servicios por parte de proveedores, incluyendo el
mantenimiento y la mejora de las políticas de seguridad de la información existentes,
procedimientos y controles, deben ser administrados, tomando en cuenta la criticidad
de la información del negocio, sistemas y procesos involucrados y la re-valoración de
los riesgos.
Se recomienda que los siguientes aspectos se tomen en consideración:
a) Cambios en los acuerdos con los proveedores;
b) Cambios realizados por la organización para implementar:
1) Mejoras en los servicios actuales ofrecidos;
2) Desarrollo de nuevas aplicaciones y sistemas;
3) Modificación o actualización de las políticas y los procedimientos de la

organización;
4) Controles nuevos o modificados para resolver incidentes de seguridad de la

información y para mejorar la seguridad;
c) Cambios a implementar en los servicios de los proveedores:
1) Cambios y mejoras a las redes;
2) Uso de nuevas tecnologías;
3) Adopción de nuevos productos o nuevas versiones / entregas;
4) Nuevas herramientas y entornos de desarrollo;
5) Cambios de ubicación física de las instalaciones del servicio;

NMX-I-27002-NYCE-2015
93/110
6) Cambio de proveedores;
7) Subcontratación a otro proveedor.
16 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA

INFORMACIÓN
16.1 Gestión de incidentes de seguridad de la información y mejora
Objetivo: Garantizar un enfoque consistente y eficaz para la gestión de incidentes de

seguridad de la información, incluyendo la comunicación de eventos de seguridad y
debilidades.
16.1.1 Responsabilidades y procedimientos
Control
La gestión de responsabilidades y de los procedimientos deben ser establecidos para
asegurar una respuesta rápida, eficaz y ordenada a los incidentes de la seguridad de la
información.
Se recomienda considerar los siguientes puntos para la gestión de responsabilidades y
procedimientos para la gestión incidentes de la seguridad de la información:
a) Establecer la gestión de responsabilidades para asegurar que los siguientes

procedimientos se han desarrollado y comunicado adecuadamente dentro de la
organización:
1) Los procedimientos para la planificación y preparación de respuesta a

incidentes;
2) Los procedimientos para el monitoreo, detección, análisis y reporte de

eventos e incidentes de seguridad de la información;
3) Los procedimientos para las actividades de registro de gestión de incidentes;
4) Procedimientos para el manejo de la evidencia forense;
5) Los procedimientos para la evaluación y decisión sobre los eventos de la

seguridad de la información y la evaluación de debilidades de seguridad de la
información;
6) Los procedimientos de respuesta incluyendo aquellos para la escalación,

recuperación controlada de un incidente y la comunicación a las personas
internas y externas u organizaciones;
b) Es recomendable que los procedimientos establecidos aseguren que:
1) Personal competente trate los temas relacionados con los incidentes de la

seguridad de la información dentro de la organización;
NMX-I-27002-NYCE-2015
94/110
2) Se implemente un punto de contacto para la detección de incidentes de

seguridad de la información;
3) Se mantienen los contactos apropiados con las autoridades, grupos de

interés externo o foros que manejan temas relacionados con incidentes de la
c) Es recomendable que los procedimientos de informes establecidos incluyan:
1) Preparación de formularios para informar eventos de seguridad de la

información para soportar las acciones reportadas y para ayudar a la persona
a recordar todas las acciones necesarias en caso de un evento de la
seguridad de la información;
2) El procedimiento a realizar en caso de un evento de seguridad de la

información, por ejemplo, tomando nota de todos los detalles como, el tipo
de incumplimiento o violación, mal funcionamiento existente, los mensajes
que aparecen en pantalla, inmediatamente, e informar inmediatamente al
punto de contacto y tomar sólo las acciones coordinadas;
3) Referencia a un proceso disciplinario formal establecido para tratar con los

empleados, quienes cometen violaciones de la seguridad;
4) Procesos adecuados de retroalimentación para asegurar que aquellas

personas que informaron sobre eventos de seguridad de la información son
notificados de los resultados después de que el problema ha sido tratado y
cerrado.
Es recomendable que los objetivos para la gestión de incidentes de seguridad de la

información sean acordados con la dirección, y asegurar que los responsables de la
gestión de incidentes de seguridad de la información entiendan las prioridades de la
organización para el manejo de incidentes de la seguridad de la información.
Otra información
Los incidentes de seguridad de la información pueden trascender las fronteras
organizacionales y nacionales. Para responder a estos incidentes existe una creciente
necesidad de coordinar la respuesta y compartir información sobre estos incidentes con
organizaciones externas, según sea apropiado.
Una orientación detallada sobre la gestión de incidentes de seguridad de la información

se proporciona en la norma que se indica en el inciso A.15 del apéndice A.
16.1.2 Reporte de eventos de seguridad de la información
Control
Los eventos de seguridad de la información deben reportarse a través de canales de
gestión apropiados tan rápido como sea posible.
Se recomienda que todos los empleados y usuarios externos sean conscientes de su
responsabilidad de reportar cualquier evento de seguridad de la información lo más
rápidamente posible. Es recomendable que ellos sean conscientes del procedimiento
NMX-I-27002-NYCE-2015
95/110
para informar sobre los eventos de seguridad de la información y el punto de contacto

en el cual los eventos son reportados.
Es recomendable que las situaciones a ser consideradas para el reporte de eventos de
seguridad de la información incluyan:
a) Control de seguridad ineficaz;
b) Violación de las expectativas de la integridad, confidencialidad o disponibilidad

de la información;
c) Errores humanos;
d) Incumplimiento de las políticas o lineamientos;
e) Violaciones de las medidas de seguridad física;
f) Cambios no controlados del sistema;
g) Mal funcionamiento de software o hardware;
h) Violaciones de acceso.
Otra información
Un mal funcionamiento u otro comportamiento extraño del sistema puede ser un
indicador de un ataque de seguridad o violación de la seguridad real y por lo tanto es
recomendable que siempre sea reportado como un evento de seguridad de la
información.
16.1.3 Reporte de debilidades de seguridad de la información
Control
Se debe exigir a los empleados y contratistas que utilizan los sistemas y servicios de
información de la organización anotar e informar cualquier debilidad de seguridad de la
información percibida o sospechosa en los sistemas y servicios.
Se recomienda que todos los empleados y contratistas reporten estos asuntos al punto
de contacto lo más pronto posible con el fin de prevenir incidentes de seguridad de la
información. Es recomendable que el mecanismo de información sea lo más fácil y
accesible posible.
Otra información
Los empleados, contratistas y usuarios externos necesitan ser asesorados respecto a
no intentar probar presuntas debilidades de seguridad. Las pruebas a las debilidades
pueden ser interpretadas como un posible mal uso del sistema, y también pueden
causar daños en el sistema o servicio de información y resultar en una responsabilidad
legal para la persona que realiza la prueba.
NMX-I-27002-NYCE-2015
96/110
16.1.4 Evaluación y decisión sobre los eventos de seguridad de la

información
Control
Los eventos de seguridad de la información deben ser evaluados y se debe decidir si
son clasificados como incidentes de seguridad de la información.
Se recomienda que el punto de contacto evalúe los eventos de la seguridad de la
información utilizando la información acordada de eventos de seguridad y la escala de
clasificación de incidentes y decidir si los acontecimientos son clasificados como
incidentes de seguridad de la información. La clasificación y priorización de incidentes
puede ayudar a identificar el impacto y el alcance de un incidente.
En caso donde la organización cuente con un equipo de respuesta de incidentes de

seguridad de la información, la evaluación y la decisión pueden remitirse a ellos para la
confirmación o reevaluación.
Es recomendable que los resultados de la evaluación y la decisión se registre a detalle

con el propósito de una referencia y verificación futura.
16.1.5 Respuesta a incidentes de seguridad de la información
Control
Se debe responder a los incidentes de seguridad de la información de acuerdo con los
procedimientos documentados.
Se recomienda que los incidentes de seguridad de la información sean respondidos por
personal del punto de contacto y otras personas relevantes de la organización o por las
partes externas (véase el subinciso 16.1.1).
Es recomendable que la respuesta incluya lo siguiente:
a) Recopilación de evidencia tan pronto como sea posible después de la

ocurrencia;
b) Realización del análisis forense de seguridad, según sea necesario (véase el

subinciso 16.1.7);
c) La escalación, según sea necesario;
d) Garantizar que todas las actividades de respuesta involucradas se registran

adecuadamente para su posterior análisis;
e) Se comunica la existencia de los incidentes de seguridad de la información o

cualquier detalle relevante del mismo a personas internas y externas u
organizaciones con una necesidad de saber;
f) Tratar las debilidad(es) de la seguridad de la información encontradas para

encontrar la causa o contribuir al incidente;
NMX-I-27002-NYCE-2015
97/110
g) Una vez que el incidente ha sido tratado con éxito, se dé el cierre formal y se
registra.
Se recomienda realizar el análisis posterior al incidente, como sea necesario, para

identificar el origen del incidente.
Otra información
El primer objetivo de la respuesta a incidentes es reanudar "un nivel de seguridad
normal " y después iniciar la recuperación necesaria.
16.1.6 Aprendizaje de incidentes de seguridad de la información
Control
El conocimiento obtenido a partir del análisis y la resolución de incidentes de seguridad
de la información debe utilizarse para reducir la probabilidad o el impacto de futuros
incidentes.
Se recomienda que existan mecanismos implementados para permitir la cuantificación
y monitoreo de los tipos, volúmenes y costos de los incidentes de seguridad de la
información. Es recomendable que la información obtenida de la evaluación de
incidentes de seguridad de la información se utilice para identificar los incidentes de
impacto alto o recurrente.
Otra información
La evaluación de los incidentes de seguridad de la información puede indicar la
necesidad de mejorar o adicionar controles para limitar la frecuencia, el daño y el costo
de futuras ocurrencias, o para tomarse en cuenta en el proceso de la revisión de la
política de seguridad (véase el subinciso 5.1.2).
Con el debido cuidado de los aspectos de confidencialidad, las anécdotas de incidentes

reales de seguridad de la información se pueden utilizar en la capacitación de
concientización a los usuarios (véase el subinciso 7.2.2) como ejemplos de lo que
puede suceder, cómo responder a estos incidentes y cómo evitarlos en el futuro.
16.1.7 Recopilación de evidencia
Control
La organización debe definir y aplicar procedimientos para la identificación,
recopilación, adquisición y preservación de la información que puede servir como
evidencia.
Se recomienda que los procedimientos internos sean desarrollados y seguidos cuando
se trata de evidencias para propósitos disciplinarios y acciones legales.
En general, estos procedimientos para evidencias se recomiendan proporcionen

procesos de identificación, recopilación, adquisición y conservación en concordancia
con los diferentes tipos de medios, dispositivos y el estado de los dispositivos, por
ejemplo, encendido o apagado. Se recomienda que los procedimientos tomen en
cuenta:
NMX-I-27002-NYCE-2015
98/110
a) La cadena de custodia;
b) La seguridad de las pruebas;
c) La seguridad del personal;
d) Los roles y responsabilidades del personal involucrado;
e) La competencia del personal;
f) La documentación;
g) Reuniones informativas.
Es recomendable buscar cuando estén disponibles, la certificación u otros medios

relevantes para la calificación del personal y las herramientas, con el fin de fortalecer
el valor de la evidencia preservada.
La evidencia forense puede trascender los límites organizacionales y jurisdiccionales.

En tales casos, es recomendable asegurar que la organización tiene derecho a recopilar
la información requerida como evidencia forense. Los requisitos de las distintas
jurisdicciones también necesitan considerarse para maximizar las posibilidades de
admisión en todas las jurisdicciones pertinentes.
Otra información
La identificación es el proceso que implica la búsqueda de reconocimiento y
documentación de posibles evidencias. La recopilación es el proceso de reunir los
elementos físicos que pueden contener las posibles evidencias. La adquisición es el
proceso de crear una copia de los datos dentro de un conjunto definido. La
preservación es el proceso de mantener y salvaguardar la integridad y el estado
original de la evidencia potencial.
Cuando se detecta por primera vez un evento de seguridad de la información, puede

no ser obvio si el evento puede resultar en una acción judicial o no. Por lo tanto, existe
el peligro de que las pruebas necesarias se destruyan intencionalmente o
accidentalmente antes de identificar la gravedad del incidente. Es conveniente
involucrar a un abogado o a la policía al inicio de cualquier acción legal contemplada y
buscar asesoramiento sobre las evidencias necesarias.
En la norma que se indica en el inciso A.18 del apéndice A proporciona lineamientos

para la identificación, recopilación, adquisición y preservación de evidencia digital.
17 ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN EN

LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
17.1 Continuidad de la seguridad de la información
Objetivo: Se debe integrar la continuidad de la seguridad de la información en los

sistemas de gestión de continuidad del negocio de la organización.
NMX-I-27002-NYCE-2015
99/110
17.1.1 Planeación de la continuidad de la seguridad de la información
Control
La organización debe determinar sus requisitos de seguridad de la información y la
continuidad de la gestión de seguridad de la información en situaciones adversas, por
ejemplo, durante una crisis o desastre.
Se recomienda que la organización determine si la continuidad de la seguridad de la
información es capturada dentro del proceso de gestión de la continuidad del negocio o
en el proceso de gestión de recuperación de desastres. Es recomendable que los
requisitos de seguridad de la información se determinen cuando se planifiquen para la
continuidad del negocio y la recuperación ante desastres.
Ante la falta de planificación formal de la continuidad de negocios y de recuperación de
desastres, es recomendable que la gestión de la seguridad de la información asuma
que los requisitos de seguridad de la información siguen siendo los mismos en
situaciones adversas, en comparación con las condiciones operacionales normales.
Alternativamente, una organización puede realizar un análisis de impacto en el negocio
para los aspectos de seguridad de la información para determinar los requisitos de
seguridad de la información aplicables a las situaciones adversas.
Otra información
Con el fin de reducir el tiempo y el esfuerzo de un análisis de impacto "adicional" de
negocios para la seguridad de la información, se recomienda capturar los aspectos de
seguridad de la información dentro de la gestión de la continuidad del negocio o
análisis del impacto al negocio de la gestión de recuperación de desastres. Esto implica
que los requisitos de la continuidad de seguridad de la información se formulen de
manera explícita, en los procesos de gestión de continuidad de negocio y gestión de
recuperación de desastres.
La información sobre la gestión de la continuidad del negocio se puede encontrar en las

normas que se indican en los incisos A.5, A.6 y A.9 del apéndice A.
17.1.2 Implementación de la continuidad de seguridad de la información
Control
La organización debe establecer, documentar, implementar y mantener procesos,
procedimientos y controles para garantizar el nivel requerido de continuidad para la
seguridad de la información durante una situación adversa.
Se recomienda que una organización se asegure que:
a) Una estructura de gestión adecuada implementada para preparar, mitigar y

responder ante un evento perturbador utilizando el personal con la autoridad
necesaria, experiencia y competencia;
b) Se designe el personal con la responsabilidad, autoridad y competencia

necesarias para gestionar un incidente y mantener la seguridad de la
información;
c) Los procedimientos de recuperación, respuesta y planes son desarrollados y

aprobados, detallando cómo la organización se encarga de un evento
NMX-I-27002-NYCE-2015
100/110
perturbador y mantiene la seguridad de la información a un nivel

predeterminado, basado en los objetivos de la continuidad de seguridad de la
información aprobado por la dirección (véase el subinciso 17.1.1).
De acuerdo con los requisitos de la continuidad de seguridad de la información, es

recomendable que la organización establezca, documente, implemente y mantenga:
a) Los controles de la seguridad de la información dentro de los procesos,

procedimientos de recuperación de desastres y continuidad del negocio,
sistemas de apoyo y herramientas;
b) Los procesos, los procedimientos e implementación de los cambios para

mantener los controles de seguridad de la información existentes durante una
situación adversa;
c) Los controles de compensación para los controles de seguridad de la

información que no se pueden mantener durante una situación adversa.
Otra información
Dentro del contexto de la continuidad del negocio o la recuperación de desastres, los
procesos y los procedimientos específicos pueden ser definidos. Es recomendable que
se proteja la información que se maneja dentro de estos procesos y procedimientos o
dentro de los sistemas de información dedicados para apoyar estos. Por lo tanto, se
recomienda que una organización involucre a especialistas en seguridad de la
información, cuando establezca, implemente y mantenga los procesos y
procedimientos de la continuidad del negocio o de recuperación de desastres.
Se recomienda que los controles de seguridad de la información que se han

implementado continúen operando durante una situación adversa. Si los controles de
seguridad no son capaces de seguir protegiendo la información, es recomendable que
otros controles se establezcan, implementen y mantengan para tener un nivel
aceptable de la seguridad de la información.
17.1.3 Verificación, revisión y evaluación de la continuidad de seguridad de

la información
Control
La organización debe verificar los controles de la continuidad de la seguridad de la
información establecidos y aplicados a intervalos regulares con el fin de asegurarse de
que son válidos y eficaces en situaciones adversas.
Los cambios a procedimiento y proceso, técnicos u operacionales ya sea en un
contexto operacional o de continuidad pueden dar lugar a cambios en los requisitos de
la continuidad de seguridad de la información. En tales casos, la continuidad de los
procesos, procedimientos y controles para la seguridad de la información es
recomendable sean revisados contra esos requisitos modificados.
Se recomienda que las organizaciones verifiquen su gestión de continuidad de la

seguridad de la información a través de:
a) El ejercicio y prueba de la funcionalidad de los procesos, procedimientos y

controles de continuidad de la seguridad de la información, para asegurarse de
NMX-I-27002-NYCE-2015
101/110
que son consistentes con los objetivos de la continuidad de seguridad de la

información;
b) El ejercicio y prueba de conocimiento y de la rutina para operar los procesos,

los procedimientos y los controles de la continuidad de seguridad de la
información, para asegurar que su desempeño es consistente con los objetivos
de la continuidad de seguridad de la información;
c) Revisión de la validez y eficacia de las medidas de continuidad de seguridad de

la información cuando los sistemas de información, los procesos de seguridad
de la información, los procedimientos y controles de la gestión continuidad de
la seguridad de la información / gestión de recuperación de desastres y
soluciones para el cambio.
Otra información
La verificación de los controles de la continuidad de seguridad de la información es
diferente de las pruebas de seguridad de la información general y es recomendable
que la verificación se realice fuera de las pruebas de los cambios. Si es posible, es
preferible integrar la verificación de los controles de continuidad de la seguridad de la
información de la organización con las pruebas de continuidad del negocio y las
pruebas de recuperación de desastres.
17.2 Redundancias
Objetivo: Garantizar la disponibilidad de las instalaciones de procesamiento de la

información.
17.2.1 Disponibilidad de las instalaciones de procesamiento de la

información
Control
Las instalaciones de procesamiento de la información deben implementarse con
suficiente redundancia para cumplir con los requisitos de disponibilidad.
Se recomienda que las organizaciones identifiquen los requisitos de negocio para la
disponibilidad de los sistemas de información. Cuando la disponibilidad no puede ser
garantizada utilizando la arquitectura de los sistemas existentes, es recomendable que
se consideren componentes o arquitecturas redundantes.
Donde sea aplicable, es recomendable que los sistemas de información redundantes

sean probados para asegurar que el sistema de contingencia de un componente a otro
componente trabaje como se esperaba.
Otra información
La aplicación de redundancias puede presentar riesgos para la integridad o la
confidencialidad de los sistemas de información y la información, que necesitan
considerarse cuando se diseña los sistemas de información.
NMX-I-27002-NYCE-2015
102/110
18 CUMPLIMIENTO
18.1 Cumplimiento con los requisitos legales y contractuales
Objetivo: Evitar brechas de obligaciones legales, estatutarias, regulatorias o

contractuales relacionadas con la seguridad de la información y cualquier requisito de
seguridad.
18.1.1 Determinación de la legislación aplicable y los requisitos

contractuales
Control
Todos los requisitos legislativos, regulatorios, contractuales relevantes y el enfoque de
la organización para cumplir con estos requisitos deben estar explícitamente
identificados, documentados y mantenerse actualizados para cada sistema de
información y para la organización.
Se recomienda que los controles específicos y las responsabilidades individuales para
cumplir con estos requisitos se definan y documenten.
Es recomendable que los gerentes identifiquen todas las leyes aplicables a su

organización con el fin de cumplir con los requisitos para su tipo de negocio. Si la
organización realiza negocios en otros países, es recomendable que los gerentes
consideren el cumplimiento en todos los países pertinentes.
18.1.2 Derechos de propiedad intelectual
Control
Se deben implementar procedimientos apropiados para garantizar el cumplimiento con
los requisitos legislativos, regulatorios y contractuales relacionados con los derechos de
propiedad intelectual y el uso de productos de software patentado.
Se recomienda que las siguientes directrices sean consideradas para proteger cualquier
material que pueda ser considerado propiedad intelectual:
a) Publicar una política de cumplimiento de los derechos de propiedad intelectual

que defina el uso legal del software y la información de los productos;
b) Adquirir el software sólo a través de fuentes conocidas y de buena reputación,

para asegurar que no se violan los derechos de autor;
c) Mantener la conciencia de las políticas para proteger los derechos de propiedad

intelectual y dando aviso de la intención de tomar acciones disciplinarias contra
el personal que las viole;
d) Mantener registros de activos apropiados e identificar todos los activos con los
requisitos para proteger los derechos de propiedad intelectual;
e) Mantener prueba y evidencia de la titularidad de las licencias, discos maestros,

manuales, etc.;
NMX-I-27002-NYCE-2015
103/110
f) Implementar controles para asegurar que no se exceda el número máximo de

usuarios permitidos dentro de la licencia;
g) Llevar a cabo revisiones que sólo el software autorizado y productos

licenciados están instalados;
h) Proporcionar una política de mantenimiento de condiciones de licencia

apropiada;
i) Proporcionar una política para la eliminación o la transferencia de software a

otros;
j) Cumplir con los términos y condiciones para el software y la información

obtenida de redes públicas;
k) No duplicar, convertir a otro formato o extraer grabaciones comerciales

(películas, audio) que no sean permitidos por la ley de derechos de autor;
l) No copiar en su totalidad o en parte, los libros, artículos, informes y otros

documentos, que no sean permitidos por la ley de derechos de autor.
Otra información
Los derechos de propiedad intelectual incluyen las licencias de código fuente del
software, documentos de derechos de autor, derechos de diseño, marcas y patentes.
Los productos de software de propiedad exclusiva se suelen proporcionar bajo un

acuerdo de licencia que especifica los términos y condiciones de la licencia, por
ejemplo, la limitación del uso de los productos en máquinas específicas o limitan el
copiado solamente a la creación de copias de respaldos. Es recomendable que la
concientización y la importancia de derechos de propiedad intelectual se comuniquen al
personal para el software desarrollado por la organización.
Los requisitos legales, regulatorios y contractuales pueden imponer restricciones a la

copia del material patentado. En particular, pueden exigir que sólo el material que es
desarrollado por la organización, que tiene licencia o es proporcionado por el
desarrollador a la organización, se pueda utilizar. La infracción de los derechos de
autor puede conducir a acciones legales, lo que puede implicar multas y procesos
penales.
18.1.3 Protección de registros
Control
Los registros deben estar protegidos contra pérdida, destrucción, falsificación, acceso
no autorizado y divulgación no autorizada, de acuerdo con los requisitos legales,
regulatorios, contractuales y de negocios
Al decidir sobre la protección de los registros específicos de la organización, es
recomendable que su clasificación correspondiente, con base en el esquema de
clasificación adoptado por la organización sea considerado. Se recomienda que los
registros sean categorizados dentro de los tipos de registro, por ejemplo, registros
contables, registros de bases de datos, registros de eventos de transacciones, registros
eventos de auditoría y los procedimientos operativos, cada uno con los detalles de los
NMX-I-27002-NYCE-2015
104/110
períodos de retención y el tipo de medio de almacenamiento permitido, por ejemplo,

papel, microfichas, magnético, óptico. Cualquier material de llaves relacionadas con la
criptografía y los programas asociados con los archivos cifrados o firmas digitales
(véase el capítulo 10), también se recomiendan sean almacenados para permitir el
descifrado de los registros y mantener los registros en un período de tiempo.
Se recomienda considerar la posibilidad de deterioro de los medios utilizados para el

almacenamiento de registros. Es recomendable que procedimientos de
almacenamiento y manipulación se apliquen en concordancia con las recomendaciones
del fabricante.
Cuando se eligen los medios de almacenamiento electrónico, es recomendable

establecer los procedimientos para asegurar la capacidad de acceso a los datos (tanto
a los medios de comunicación y formatos de legibilidad) durante todo el período de
retención para proteger contra la pérdida debido a un cambio tecnológico futuro.
Es recomendable que los sistemas de almacenamiento de datos sean elegidos de tal

manera que los datos requeridos pueden ser recuperados en un plazo de tiempo y
formato aceptable, en función de los requisitos que necesitan cumplirse.
El sistema de almacenamiento y manipulación se recomiendan garanticen la

identificación de los registros y de su período de retención como se define en la
legislación o regulación nacional o regional, si aplica. Es recomendable que este
sistema permita la adecuada destrucción de los registros después de dicho plazo, si no
son necesarios para la organización.
Para cumplir con estos objetivos de protección de registros, es recomendable que los
siguientes pasos se consideren dentro de una organización:
a) Emitir directrices sobre la retención, el almacenamiento, la manipulación y

eliminación de los registros y la información;
b) Elaborar los programas de retención identificando los registros y el período de

tiempo durante el cual necesitan retenerse;
c) Mantener un inventario de las fuentes de información clave.
Otra información
Alguno registros pueden necesitar mantenerse de forma segura para cumplir con los
requisitos legales, regulatorios, reglamentarios o contractuales, así como para apoyar
las actividades esenciales del negocio. Los ejemplos incluyen los registros que puedan
ser necesarios como evidencias de que una organización opera dentro de las normas
legales o regulatorias, para garantizar la defensa adecuada contra posibles acciones
civiles o penales o para confirmar la situación financiera de una organización a los
accionistas, las partes externas y los auditores. La legislación nacional o regulación
pueden establecer el período de tiempo y contenido de los datos para la retención de
información.
Más información sobre la administración de registros de la organización se puede

encontrar en la norma que se indica en el inciso A.4 del apéndice A.
NMX-I-27002-NYCE-2015
105/110
18.1.4 Privacidad y protección de información de identificación personal
Control
Se debe asegurar la privacidad y protección de la información de identificación
personal conforme sea requerido en la legislación y regulación relevante aplicable
Se recomienda desarrollar e implementar una política de datos de una organización
para la privacidad y protección de la información identificable personal. Esta política
necesita ser comunicada a todas las personas involucradas en el procesamiento de la
información personal identificable.
El cumplimiento con esta política, la legislación relevante y las normas relativas a la

protección de la privacidad de las personas y la protección de la información personal
identificable requiere una estructura y control adecuada de la gestión. A menudo esto
se logra mejor mediante la designación de una persona responsable, como un oficial
de la privacidad, que sirva de guía a los administradores, a los usuarios y a los
proveedores de servicios sobre sus responsabilidades individuales y los procedimientos
específicos que se deben seguir. Se recomienda tratar con responsabilidad para el
manejo de la información de la identificación de personal y asegurar la concientización
de los principios de privacidad en concordancia con las legislaciones y regulaciones
pertinentes. Es recomendable implementar medidas organizacionales y técnicas
apropiadas para proteger la información de identificación personal.
Otra información
La norma que se indica en el inciso A.19 del apéndice A proporciona un marco de alto
nivel para la protección información de identificación personal dentro de los sistemas
de información, tecnología y comunicación. Una serie de países han introducido
legislación implementado controles en la recopilación, procesamiento y transmisión de
la información de identificación personal (por lo general la información sobre personas
vivas que pueden ser identificados a partir de esa información). Dependiendo de la
legislación nacional respectiva, esos controles pueden imponer obligaciones sobre la
información personal recogen, procesan y difunden, y también pueden restringir la
capacidad de transferir la información de identificación personal a otros países.
18.1.5 Regulación de controles criptográficos
Control
Los controles criptográficos deben ser usados en cumplimiento con todos los acuerdos,
legislación y regulaciones relevantes.
Es recomendable que los siguientes elementos sean considerados para el cumplimiento
de los acuerdos, leyes y regulaciones relevantes:
a) Restricciones sobre la importación y / o exportación de hardware y software

para realizar funciones criptográficas;
b) Restricciones sobre la importación y / o exportación de hardware y software que

está diseñado para tener funciones criptográficas añadidas a él;
c) Restricciones sobre el uso de cifrado;
NMX-I-27002-NYCE-2015
106/110
d) Métodos obligatorios o discretos de acceso por las autoridades de los países a la

información cifrada por hardware o software para proporcionar la
confidencialidad de los contenidos.
Se recomienda buscar asesoramiento jurídico para asegurar el cumplimiento con las

regulaciones y legislaciones relevantes. También es recomendable tomar asesoría
jurídica antes de trasladar información cifrada o controles criptográficos a través de los
límites jurisdiccionales.
18.2 Revisión de seguridad de la información
Objetivo: Garantizar que la seguridad de la información es implementada y operada de

acuerdo con las políticas y procedimientos de la organización.
18.2.1 Revisión independiente de la seguridad de la información
Control
El enfoque de la organización para la gestión de la seguridad de la información y su
implementación (es decir, objetivos de control, controles, políticas, procesos y
procedimientos para la seguridad de la información) deben ser revisados
independientemente a intervalos planeados o cuando se ocurran cambios significativos.
Se recomienda que la dirección inicie la revisión independiente. Tal revisión
independiente es necesaria para asegurar la continua idoneidad y eficacia del enfoque
de la organización para la gestión de seguridad de la información. Es recomendable
que la revisión incluya la evaluación de oportunidades de mejora y la necesidad de
cambios en el enfoque de la seguridad, incluidos los objetivos de control y política.
Dicha revisión debe llevarse a cabo por personas físicas independientes del área que
se examina, por ejemplo, la función de auditoría interna, un administrador
independiente o una organización de una parte externa especializada en este tipo de
revisiones. Las personas que realizan estas revisiones tengan las habilidades y
experiencia apropiadas.
Los resultados de la revisión independiente es recomendable sean registrados y

comunicados a la dirección que inició la revisión. Se recomienda que estos registros
deben mantenerse.
Si la revisión independiente identifica que el enfoque e implementación para manejar

la gestión de seguridad de la información de la organización no es adecuada, por
ejemplo, los objetivos y requisitos documentados no se cumplen o no cumplen con la
dirección de seguridad de la información establecida en las políticas de seguridad de la
información (véase el subinciso 5.1.1), es recomendable que la dirección considere
acciones correctivas.
Otra información
Las normas que se indican en los incisos A.7 y A.8 del apéndice A proporcionan una
guía para llevar a cabo la revisión independiente.
NMX-I-27002-NYCE-2015
107/110
18.2.2 Cumplimiento de las políticas y normas de seguridad
Control
Los gerentes deben revisar regularmente el cumplimiento del procesamiento de la
información y procedimientos dentro de su área de responsabilidad con las políticas de
seguridad apropiadas, normas y cualquier otro requisito de seguridad.
Se recomienda que los gerentes deben identifiquen la forma de revisar el cumplimiento
de los requisitos de seguridad de la información definidos en las políticas, normas y
demás regulaciones aplicable. Es recomendable la medición automática y herramientas
de informes para una eficiente revisión periódica.
Si se determina cualquier incumplimiento como resultado de la revisión, los gerentes
deben:
a) Identificar las causas del incumplimiento;
b) Evaluar la necesidad de acciones para alcanzar el cumplimiento
c) Implementar las acciones correctivas apropiadas;
d) Revisar las acciones correctivas realizadas para verificar su eficacia e identificar

cualquier deficiencia o debilidades.
Se recomienda que los resultados de las revisiones y las acciones correctivas llevadas
a cabo por los gerentes sean registrados y estos registros se mantengan. Es
recomendable que los gerentes reporten los resultados a las personas que llevan a
cabo revisiones independientes (véase el subinciso 18.1.1), cuando un revisión
independiente se lleva a cabo en el área de su responsabilidad.
Otra información
El control operativo de la utilización del sistema se trata en el inciso 12.4.
18.2.3 Revisión del cumplimiento técnico
Control
Los sistemas de información deben ser revisados regularmente para su cumplimiento
con las políticas y normas de seguridad de la información de la organización.
Se recomienda que la revisión del cumplimiento técnico se realice preferentemente con
la ayuda de herramientas automatizadas que generan informes técnicos para una
interpretación posterior por parte de un técnico especialista. Alternativamente, se
puede realizar la revisión manual (con el apoyo de herramientas de software
apropiadas, si es necesario) por un ingeniero del sistema experimentado.
Si se utilizan pruebas de penetración o evaluaciones de vulnerabilidad, es

recomendable tener precaución ya que tales actividades pueden llevar a comprometer
la seguridad del sistema. Es recomendable que estas pruebas sean planificadas,
documentadas y repetibles.
NMX-I-27002-NYCE-2015
108/110
Otra información
La revisión del cumplimiento técnico implica la examinación de los sistemas
operacionales para asegurar que los controles de hardware y software se han
implementado correctamente. Este tipo de revisión de cumplimiento requiere de
conocimientos técnicos especializados.
La revisión de cumplimiento también abarca, por ejemplo, pruebas de penetración y

evaluaciones de vulnerabilidad, que pueden ser llevadas a cabo por expertos
independientes contratados específicamente para este propósito. Esto puede ser útil en
la detección de vulnerabilidades en el sistema y para la inspección de qué tan eficaz
son los controles en la prevención del acceso no autorizado debido a estas
vulnerabilidades.
Las pruebas de penetración y evaluaciones de vulnerabilidad proporcionan una foto de

un sistema en un estado específico en un momento específico. La foto se limita a
aquellas partes del sistema probadas realmente durante el o los intentos de
penetración. Las pruebas de penetración y evaluaciones de vulnerabilidad no son un
sustituto para la valoración de riesgos.
La norma que se indica en el inciso A.8 del apéndice A proporciona orientación

específica sobre la inspección del cumplimiento técnico.
19 BIBLIOGRAFÍA
ISO/IEC Directives, Part 2
NMX-I-20000-1-NYCE-2012 Tecnologías de la información – Gestión

del servicio – Parte 1: Requisitos del
sistema de gestión del servicio.
NMX-I-20000/02-NYCE-2014 Tecnologías de la información – Gestión

del servicio – Parte 2: Guía en la
aplicación de los sistemas de gestión del
servicio.
20 CONCORDANCIA CON NORMAS INTERNACIONALES
Esta norma coincide totalmente con la norma internacional ISO/IEC 27002:2013

“Information Technology — Security Techniques — Code of Practice for Information
Security Controls”.
NMX-I-27002-NYCE-2015
109/110
APÉNDICE A
(Informativo)
NORMAS QUE COMPLEMENTAN A ESTA NORMA MEXICANA
En tanto no se elaboren las Normas Mexicanas, se debe usar de manera supletoria las
siguientes normas:
A.1 ISO/IEC 11770-1:2010 Information Technology Security Techniques —

Key Management — Part 1: Framework.
A.2 ISO/IEC 11770-2:2008 Information Technology — Security Techniques

— Key Management — Part 2: Mechanisms
Using Symmetric Techniques.

— Key Management — Part 3: Mechanisms
Using Asymmetric Techniques.
A.4 ISO 15489-1:2001 Information and Documentation — Records

Management — Part 1: General.
A.5 ISO 22301:2012 Societal Security — Business Continuity

Management Systems — Requirements.
A.6 ISO 22313:2012 Societal Security — Business Continuity

Management Systems — Guidance.
A.7 ISO/IEC 27007:2011 Information Technology — Security Techniques

— Guidelines for Information Security
Management Systems Auditing.
A.8 ISO/IEC TR 27008:2011 Information Technology — Security Techniques

— Guidelines for Auditors on Information
Security Controls.

— Guidelines for Information and
Communication Technology Readiness for
Business Continuity.

— Network Security — Part 1: Overview and
Concepts.

— Network Security — Part 2: Guidelines for the
Design and Implementation of Network
Security.

— Network Security — Part 3: Reference
NMX-I-27002-NYCE-2015
110/110
Networking Scenarios — Threats, Design

Techniques and Control Issues.

— Network Security — Part 4: Securing
Communications Between Networks Using
Security Gateways.

— Network Security — Part 5: Securing
Communications Across Networks Using Virtual
Private Network (VPNs).

— Information Security Incident Management.

— Information Security for Supplier
Relationships — Part 1: Overview and Concepts.

— Information Security for Supplier
Relationships — Part 3: Guidelines for ICT
Supply Chain Security.

— Guidelines for Identification, Collection,
Acquisition and Preservation of Digital Evidence.

— Privacy Framework.

— Privacy Architecture Framework.
A.21 ISO 31000:2009 Risk Management — Principles and Guidelines.

Untitled

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Untitled

Cargado por

Copyright:

Formatos disponibles

NORMA MEXICANA

TECNOLOGÍAS DE LA INFORMACIÓN - TÉCNICAS DE SEGURIDAD

INFORMATION TECHNOLOGY — SECURITY TECHNIQUES — CODE OF PRACTICE FOR

ESTA NORMA MEXICANA CANCELA A LA NORMA NMX-I-27002-NYCE-2009

1. Esta Norma Mexicana fue elaborada en el seno del Subcomité de

- AUREN IBEROAMERICA, S. DE R.L. DE C.V.

- BEST PRACTICES GURUS, S.A. DE C.V.

- CREATIVIDAD Y EXPERIENCIA EN TI A.C.

- G-BIZ, S.A. de C.V.

- MANCERA S.C. (EY MÉXICO)

- NET AND COMPUTER SERVICES MÉXICO, S.A. DE C.V.

- NORMALIZACIÓN Y CERTIFICACIÓN ELCTRÓNICA S.C.

- SERVICIOS DE VALOR DE TI S.A. DE C.V.

1. ASOCIACIÓN MEXICANA DE EMPRESAS DEL RAMO DE INSTALACIONES

2. ASOCIACIÓN MEXICANA DE INTERNET, A.C.

3. ASOCIACIÓN NACIONAL DE INSTITUCIONES DE EDUCACIÓN EN

4. ASOCIACIÓN NACIONAL DE TELECOMUNICACIONES.

5. ASOCIACIÓN DE PERMISIONARIOS, OPERADORES Y PROVEEDORES DE

6. AUREN IBEROAMERICA S. DE R.L. DE C.V.

7. BEST PRACTICES GURUS, S.A. DE C.V.

8. CÁMARA NACIONAL DE LA INDUSTRIA ELECTRÓNICA, DE

9. COLEGIO DE INGENIEROS EN COMUNICACIONES Y ELECTRÓNICA.

10. COMISIÓN NACIONAL PARA EL USO EFICIENTE DE LA ENERGÍA.

11. DIRECCIÓN GENERAL DE NORMAS.

12. ERICSSON TELECOM, S.A. DE C.V.

13. GRUPO ADO.

14. INSTITUTO POLITÉCNICO NACIONAL.

15. INSTITUTO MEXICANO DE NORMALIZACIÓN Y CERTIFICACIÓN, A.C.

16. INNOVACIONES TELEMÁTICAS, S.A. DE C.V.

17. INTELI, S.C.

18. LEGRAND S.A. DE C.V.

19. ORGANISMO NACIONAL DE NORMALIZACIÓN Y CERTIFICACIÓN DE LA

20. PROCURADURÍA FEDERAL DEL CONSUMIDOR.

23. TELEMATICA INNOVO CONTINUO, S.A DE C.V.

24. UNIVERSIDAD AUTÓNOMA METROPOLITANA.

25. UNIVERSIDAD IBEROAMERICANA.

26. UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO.

3. “La entrada en vigor de esta norma mexicana será 60 días después de la

4. La declaratoria de vigencia de esta Norma Mexicana, se publicó en el

ÍNDICE DEL CONTENIDO

1 objetivo y campo de aplicación 4

4 Estructura de Esta Norma Mexicana 5

5 Políticas de seguridad de la información 6

6 Organización de la seguridad de la información 8

7 Seguridad de los recursos humanos 15

11 Seguridad física y ambiental 44

13 Seguridad en las comunicaciones 68

14 Sistema de adquisición, desarrollo y mantenimiento 75

15 Relación con los proveedores 86

16 Gestión de incidentes de seguridad de la información 93

17 Aspectos de seguridad de la información de la gestión de la continuidad 98

20 Concordancia con normas internacionales 108

TECNOLOGÍAS DE LA INFORMACIÓN - TÉCNICAS DE SEGURIDAD

INFORMATION TECHNOLOGY — SECURITY TECHNIQUES — CODE OF PRACTICE FOR

0.1 Antecedentes y contexto

Las organizaciones de todos los tipos y tamaños (incluyendo el sector público y

El valor de la información va más allá de las palabras escritas, números e imágenes:

La seguridad de la información se logra implementando un conjunto adecuado de

La seguridad de la información de un Sistema de Gestión de la Información (SGSI),

Algunos sistemas de información no se han diseñado para ser seguros en el sentido de

En un sentido más general, la eficaz seguridad de la información también asegura la

0.2 Requisitos de seguridad de la información

a) La valoración de riesgos para la organización, teniendo en cuenta la estrategia

b) Los requisitos legales, estatutos reglamentarios y contractuales de una