Anexo A (Normativo) Objetivos de control y controles Los objetivos de control y controles indicados en la tabla A.1 estén directamente derivados y alinea- dos con aquellos indicados en la IRAM-ISO/EC 27002, Capitulos 5 al 15. Los listados en la tabla A.1 no son exhaustivos y una organizacién puede considerar que son necesarios objetivos de control y controles adicionales. Los objetivos de control y controles de estas tablas deben ser seleccionados como parte del proceso de SGSI especificado en 4.2.1 IRAM-ISO/IEC 27002, Capitulos 5 al 15 provee consejos y guias de las mejores practicas de imple- mentacién para sustentar los controles especificados en A.5 a A.15. Tabla A.1 — Objetivos de control y controles ‘AS Politica de seguridad ‘ASA Politica de seguridad de la informacion ‘Objetivo: Proporcionar la direccién y el apoyo de la alta direccién para la seguridad de la informacién, de acuerdo con ls requerimientos del negocio y las leyes y regulaciones correspondientes. "A511 | Documentacion de la politica de se- | Control ‘guridad de la informacion Los responsables de Ja alta dreccion deben aprobar un documento ‘que contenga la poltica de seguridad de la Informacion, publicario y comunicarlo a todos los emplaadas y a terceras partes relevantes. ‘AS12 | Revision de ta polfica de seguridad | Control ia informacion La politica de seguridad de la informacion debe revisarse a interva- les planificados, 0 si ocuren cambios significativos para asegurat ue continila siendo conveniente, adecuada y efectva "AG Organizacion de la seguridad ‘AGA Organizacion interna ‘Objetivo: Gestionar la seguridad de la informacién dentro de la organizacion. ‘A6.1.1 | Compromiso gerencial hacia la se- | Control ‘guridad de fa Informacion La direccién debe dar soporte activo a la seguridad denivo de la or ‘ganizacion a través de una directva clara, compromiso demostrado, Asignacion explicta, y conocimientos de responsablidades de segu: Fidad de Ia informacion. ‘Coordinacion de la seguridad de la | Control informecien, Las actividades de seguridad de la informacién deben estar coordi Radas por representantes de diferentes partes de la organizacién con los roles y funciones de trabajo correspondientes. ‘A613 _| Asignacién de responsabilidades en | Control materia de seguridad de Ia informa: | Se deben defini claremente odes las responsabiades do la se- be {Guridad de la informacién. ‘AG.14 | Proceso de autorizacion para las | Controt | instalaciones de procesamiento de | se debe establecer e implementar un proceso para autorizar nuevas: ae Instalaciones de procesamiento de la informacién. ‘A618 _ | Acuerdos de confidencialidad Controt Se deben identifcar y revisar peri6dicamente los requerimientos de Confidencialidad o acuerdos de no divulgacion que refiejen las nece- sidades de proteccion de la informacion do la organizacion. (Continda) AB12Tabla A. (continuacién) ‘A6A1.6 | Contacto con autoridades Control ‘Se deben mantener los contactos aproplados con las autoridades portinentes, ‘6.1.7 | Contacto con grupos de interés Contr! especial ‘Se deben mantener los contactos adecuados con grupos de interés especial u otras asociaciones de profesionales y foros de especials- tas en seguridad. ‘AG.18 | Revision independiente de segurt | Control ‘Gad dee Informacsén, 1 enfoque de fa organizacion para la gestion de fa seguridad de la it {ormacién y su implementacién (por ejemplo: objetves de control, ‘coniroles, politica, procesos y procedimientos para la seguridad de la Informacién) debe’ ser revisado en forma independiente @ intorvalos planificados o cuando ocurran cambios signiicatves en la implemen- tacion de la seguridad. ‘A62 Partes externas CObjetivo: Mantener la seguridad de la informacion de la organizacion y las Instalaciones de procesamiento de Informa- clan que son accedidas, procesadag, comunicadas o gestionadas por partes extemas. ‘A621 Identificacion de riesgos relaciona- | Control dos con las partes extemes ‘Se deben Identificar los riesgos para la informacion de la organiza cién y para las intalciones de procesarsento dl Informacion de tos procesos de negocios que involucen partes externas, y se do- Ben Implementar los contoles apropiades antes de conceder el KE22 | Asigneciin de seguridad cuando se | Control fran cop clendes: ‘Se deben aclarar todos los requerimientos de seguridad identiica- os antes de olorgare alos clientes ol acceso ala informacion © @ fos actvos de la organizacin, .. [Rea3[Asignaciin dela seguridad en | Control ‘scuerdes con torcaras partes Los acuerdos con terceras patos que involucen el acceso, proce- Samiento, comunicacion 0 gestion dela informacion do. le ‘xganizacén ode ls Intalaciones do procesamianto de fa Informa. cin, 0 el agregado de productos o servicios a las instalaciones de Procesamiento de informacion, deben cubrir todos los requerimien- tos de seguridad inportantes. TAT Gestion de actives 'ATA Responsabllidad por los activos Objet: Alcanzar y mantener una adecuada proteccién de os actives de la orgenizacion ATA. | lventaro de os actvos contol Se deben idenncar claramente todos los sctvos, elaborando y mantoriendo un ivenaro dels actives mas impoteies. ATA | Propledad de os acivos onto oda a informacion y los acivos esocedos con las istalaciones de procesaminto de a informacion dan ser propedad de una pate Sela organzacion designada para oe ATA | Uso acoplabie dees actives onto ‘Se deben Kdenticr, documentare implementa raglas pare ol uso acoplabe oe la nformactn yt acvos esocados con las instal cones de procesamento de in nfomacn, (Continia) * i término propietaro identifica a un individuo 0 entidad que tiene aprobada responsabilidad de gestion para controlar la produccién, desarrolio, mantenimiento, uso y seguridad del activo, El término propietario no se refiere a que la persona realmente tiene algun derecho de propiedad sobre el activo. :Tabla A.A (continuacion) ‘A7.2 Clasificacion de ta Informacion (Objetivo: Garantizar que la informacion reciba un apropiado nivel de proteccion. ‘AT24 _] Directrices parala casificacion Contror La informacion se debe clasificar en términos de su valor, requert- Iientos legales, sensibiidad, y enticidad para la organizacién ‘A722 | Rotuledo y manejo de la informacion | Control z ‘Se debe desarrolar e implementar un apropiado conjunto de proce- ‘imientos para rotular y manipular la informacion, en concordancia ‘con o! esquema de clasticacin adoptado por la organizacién. ‘AB Seguridad de los Recursos Humanos ‘ABA Antes de emplear* ‘Objet: Asegurar que los empleados, contretistas y usuarios de terera parte enlendan sus responsablidades, sean _adecuados para los roles para los cuales son conskierados, y para reducir el riesgo de hurto, traude o el mal uso de as Instalaciones. ‘AB.1.1 | Roles yresponsablidades Control | * ‘Se deben defiir y documentar los roles y responsablidades de la | Seguridad de los empleados, contratistas y usuarios de tercera parte | fen concordancia con le politica de seguridad de fa informacion de la organizacion. ‘Ka.12 | Seleccion Control La verificacion de antecedentes do los candidatos para el puesto, coniratistas, y usuarios de tercera parte, debe ser registrada y leva da a cabo en concordancia con las leyes correspondientes, regula- clones y regias éticas, y deben ser proporcionales a los requerimien- tos dol negocio, ala clasficacion de la informacion a ser accedida, y los riesgos detectados, ‘A813 | Términos y condiciones de empleo | Controt ‘Como parte de sus obligaciones contractuales, los empleados, con- tratistas y los usuarios de tercera parte deben estar de acuerdo y firmar los términos y condiciones de sus contratos de empleo, 10s ‘cuales deben reflejar sus responsabilidades y las de la organizacién para con la seguridad de la informacién. ‘A.82 Durante el empleo ‘Objetivo: Asegurar que los empleados, contratisas y usuarios de terceras partes sean conscientes de las amenazas y preocupaciones de |a seguridad de la informacion, sus responsabilidades y obligaciones, y estén preparados para res- paldar las politicas de seguridad organizacional en e} curso de su trabajo normal, y para reducir el riesgo de error humano. és ) [821 [Responsabllidades de la direccién | Control La direccion debe requerir a fos empleados, contratistas y usuarios de tercera parte que apliquen la seguridad en concordancia con fas | politicas y procedimientos establecidos por ia organizacion, ‘B22 | Condiencacion, eaucadion y Contr | entrenamionto en seguridad de | Todos tos empleadios dela organizacén y, cuando sea pertnento, Jos contratistas y usuarios de fercera parte deben recbir una apro- | pada concientizacion y actualizaciones regulares en las poilicas y procedimientos organizacionaies, que sean importantes para su ta ‘A823 _| Proceso discipinario Control Debe existir un procaso iscipinario formal para los empleados que hhayan generado un incidente de seguridad. (Continia) “ Explleacion: a palabra emplcar se uiiza aqui para cubris todas las stuaciones siguientes: EEmplea a gente (temporaria o permanente), nombramiontos de personal (cambio de roles Ge trabajo, asignacion de contra- tos) oa terminacion de cualquiera de estas situacones.Tabla A.1 (continuacion) ‘AB3 Desvinulacién o cambio de puesto ‘Objetivo: Asegurar que los empleados, contratistas y usuarios de tercera parte abandonen la organizacién o cambien de empleo de una manera ordenada. ‘A831, | Responsablidades de ia finalizacién | Control Las responsabllidades para realizar la desvinculacién 0 cambio de puesto deben estar claramente definidas y asignadas. ‘AB32 - | Retomo de actives ‘Control ‘Todos los empleados, contratstas y usuarios de tercera parte debon evolver todos los activos de la organizacién en su poder tras la terminacién de su empleo, contrato, 0 acuerdo. ‘A833 | Remocién de derechos de acceso | Control ‘Se deben revisar los derechos de acceso de todos los empleadas, Contratistas y usuarios de tercera parte a las instalaciones de proce- ‘samiento de la informacién tras la finalizacion de su empleo, ccontrato 0 acuerdo, o deben ser adaptados tras algin cambio, ‘AS Proteccién fisica y ambiental "ASA Areas seguras Objetivo: imped accesos fisicos no autorizados, dat os ¢ interferencia las instalaciones e informacién de la organizacién, ASa4 Perimetro de seguridad fisica Control Se deben usar perimetros de seguridad (barreras tales como pare- des, puertas de entrada coniroladas por tarjotas 0 escritorios do recepcion atendidos por personas), para proteger areas que conten- {gan informacion @ instalaciones del procesamiento de informacién, AS12 ‘Controles de acceso fisico ‘Control Las reas soguras deben ser resguardadas por controles de acceso ‘adecuados que garanticen que sélo se permite ol acceso a personal autorizado, ASA3 Toogurariario de ofshas, rechiae ¢ rulacones we ‘Control ‘Se debe disofiar y aplicar seguridad fisica para oficinas, recintos & instalaciones. Agta Proteccibn contra amenazas exter- ras y del ambiente Control ‘Se debe designar y aplicar la proteccién fisica contra dafios poten- Clales causados por fuego, inundacién, terremoto, explosion, isturblos civiles y otras formas de desastré natural o desastre pro- vocado por el hombre, ASAS “Trabajo en areas protegidas Control Se debe disefiar y aplicar proteccion fisica y las directrices para ol trabajo on areas protegidas. AS16 ‘Areas de acceso piblico, de enirega y de carga ‘Control ‘Se deben controlar os puntos de acceso, como las areas de entre- {92 y carga y olros puntos donde personas sin autorizacién pueden llegar a entrar alas instalaciones y, de ser posible, se deben aislar de las instalaciones de procesamiento de informacion para evitar el acceso no autorizado. ‘A92 Soguridad del equipamiento CObjetivo: Impedir pérdidas, dafios, robos 0 exposiciones al riesgo de fos actives asi como impedir la interupcién de las actividades dela empresa. AS24 Ubieacion y proteccién del equipa- rmiento Contror 1 equipamianto debe ser ubicado y protegido de tal manera que se reduzcan los riesgos ocasionados por amenazas y peligtos ambien- tales y oportunidades de accesos no autorizados. (Continda)Tabla A.4 (continuacién) ‘A922 | Elementos de soporte Control El equipamiento debe encontrarse protegido con respecto a falas en el suministro de energia u otras fallas en elementos de soporte, A923 _| Seguridad del cableado Control EI cableado de energia y el de telecomunicaciones que transporta alos © ds soporte & servicios de informacion deben ser protegides de intercopciones o dafis, A924 | Mantenimiento del equipo Control Ei equipo debe recibir el correcto mantenimiento para asegurar su { lsponiblidad e integridad continua | ‘AS25 | Seguridad del equipamiento fuera | Control 5 ol ambito de la organizacion Se debe apiicar seguridad al equipamiento que esté fuera det ambi- to de la organizacion teniendo en cuenta los diferentes riesgos de trabajar fuera dl terreno de la organizacion. ‘A326 | Baja segura o reutlizacion de equi | Control Pamiento : ‘Todas las partes de equipamiento que contengan un medio de at- macenamiento deben ser verifcadas para asegurar que se ha ) uitado © sobreescrito, previo a la baja, cuslquier dato sensible y licencia de software. A927 | Retiro de bienes Control ! equipamiento, la informacion o el software no deben ser sacados del prodio sin previa autorizacién. ‘Ax10 Gestion de las comunicaciones y operaciones ‘A10.1 Procedimientos operatives y responsabilidades Objetivo: Garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de a informacion. ‘A10.1.1 | Documentacin de los procedimien- | Controt ee Los procedimientos operatives se deben documentar, mantener y ‘encontrar dispénibles para todos los usuarios que los necesiten. ‘10.12 | Gestion de cambios ‘contol Se daben contra os cambios en orate @ nstalactones | procesamiento de informacion. i043 | Seareguclon dence Cone Las incons ls srs de responsbitad debon ncaa 2o- paras are reduc las oporunedes co modieacones. an ‘Etercactnonolenconatss,o una aia zacon gobs eos ela ogaizacn “i014 | Soperscon de ls halacionos de | Conta sarod pres operacone- | ys ntalncines de desaolo, de pruebas y operaciones dabon es -encontrarse separadas para reducir los riesgos de accesos no auto- Tadoso cats enioe sama operaciones, "A101 Gosin do a otroga de sarviio por ooeras partes bjt: implementa y mantng nivel adecundo de saguiad de informactn ya prow de servi on ne con fs auoroe de entege do soc po lercores pres, 71021 | Proveln de enico conta Se debe asosirar quo ls contol de soguiad, ns dercones do sen y le de envoy ncico n ciergo Go provi de savco doa iors pare sean mpamentedos.opeaco, Y mantenios por la tercera part. ‘10.22 | Sequimiento y revision de los seni | Control ios de terceras partes Los servicios, reportes y registros provistos por terceras partes de- ben ser seguidos, controlades y revisados de manera regular, asi ‘como también se deben llevar a cabo auditorias de manera reguier. (Continia) 24.Tabla At ( (continuacién) AM023 de terceras partes Gestion del cambio de fos servicios | Control Los cambios en la provision de jos servicios, incluyendo el mante- nimiento y las mejoras a las poltcas, procedimientos y controles de ‘Seguridad de la informacion existentes, deben ser gestionados te- nilendo en cuenta la crtcidad de los sistemas y procesos del egocio Involucrados y a reevaluacion del riesgo. ‘A103 Planificacion y aceptacion de sistemas bjetivo: Minimizar el riesgo de fallas de los sistemas, ‘A10.3.1 | Gestion de a capacidad Control El uso de recursos debe ser controlado y alustado, y se deben reali Zzar proyecciones de futuros requerimlentos de capacidad para ‘asogurar el desempefio requerido de ls sistemas. ‘A10.32 | Aprobacién del sistoma ‘Control ‘Se deben establecer criterios de aceptacion de nuevos sistemas de Informacién, actualizaciones y nuevas versiones, asi como también pruebas adecuadas para los sisiomas, levadas a cabo durante el desarrollo, y previas a la aceptacion, 'A10.4 Protecci6n contra cédigo malicioso y ‘eédigo movil Objetivo: Proteger la intogridad del software y la Informacién. ‘A10.4.1 | Controles contra cédigo malicioso | Control wae Se deben impiomentar los controles de detoccion y prevencién para la-proteccién contra software malicioso, y procedimientos adecua- dos de concientizacién de los usuarios. ‘10.42 | Controles contra codigo movil Control Cuando el codigo movil esté autorizado, la configuracion debe ase- {gurar que ol cédigo mévil autorizado opere de acuerdo a una politica de seguridad claramente definida, y se debe prevenir la ejecucion e cédigo mévil no autorizado. formacién, ‘A10.5 Resguardo ‘Objetivo: Mantener Ia intogridad la disponibildad de la informacion y de las instalaciones del procesamiento de la in- ANOS. Resguardo de la Informacion ‘Control ‘Se deben tomar copias de resguardo de la informacién y del softwa- re y se deben probar regularmente en concordancia con la politica acordada de resguardo. ‘AAO.6 Gestion de la seguridad de lared Objetivo: Garantizar la seguridad de la informacion en las redes y la protéccion de la infraestructura de soporte. ‘A106.1 | Controles de redes Control Las redes deben estar adecuadamente administradas y controladas, Con la intencién de protegerias de amenazas, y para mantener ia ‘seguridad para los sistemas y las aplicaciones que las utlizan,in- ‘cuyendo la informacién en transite, ‘10.62 | Seguridad de los servicios de red | Control ‘Se deben identiicar e incluir en cualquier acuerdo de servicios de Tedes las caracteristicas de seguridad, niveles de servicio y reque- Timientos de gestion de todos los servicios de redes, ya sean servicios provisios por la organizacion 0 tercerizados.. ‘A107 Mangjo de los medios de comunicacion Cbjetivo: Prevenir la divuigacion, modifcacién, remocién o destruccién no autorizada de los activos, y la interrupclén de las actividades comerciales. ‘A10.7.1 | Gestion de medios removibles Contra Deben existr procedimientos para la gestion de medios informaticos b&b removibies. Fi (Continéa)Tabla A.A (continuacién) A10.7.2._| Eliminacion de medios intormaticos Control ‘Se deben eliminar los medios de forma segura y protegida ulizando procedimientos formales cuando no continuen siendo requeridos. A107.3 | Procedimlentos del manejo de In- formacion { Control ‘Se deben establecer procedimiontos para el mangjo y almacena- rmiento de fa Informacion para protegeria contra su uso inadecuado 2 divulgacion no autorizada, 107.4 | Seguridad do la ‘documentaclen det sistema F Control La documentacion del sistema debe ser protagida contra accesos No autorizados, oe $10.8 Intercambio de informacion CObjetvo: Mantener ia seguridad de la informacion, uier entidad externa. Jy @l software Intercambiados dentro de una organizacion y con cual- "A10.8.1 | Pollticas y procedimientos de inter- ‘cambio de la Informacion Controt Se deben establecer poliicas, procedimientos y controles formales para proteger el intercambio de informacién a través del uso de to- 405 los tipos de as instalaciones de comunicacién, ‘A1082 | Acuerde de intercambio Contror ‘Se deben establecer acuerdos de intercambio de la Informacién y del sofware ent la organizacion y las terceras partes. ‘A108.3 | Medio fisico en transifo Control = ‘Se deben proteger los medios que contengan informacion contra ‘accesos no autorizados, mal uso o corrupcién durante el transporte mas alld de los limites fisicos de la organizacion. = ‘1084 | Mensajeria electronica Control ‘Se debe proteger de forma adecuada la informacion involucrada en los mensajes electronicos. ‘A10.85 | Sistemas de informacion del negocio Control ‘Se deben desarrollar ¢ implementar poltcas y procodimientos para proteger la Informacion asociada con a interconexién de los sisto- ‘mas de informacion del negocio, ‘A109 Servicios de comercio electrénico Objetivo: Garantizar la seguridad de fos servicios de comercio electrénicos, y su uso seguro. ‘A10.9.1 | Comercio electranico ‘Control La informacion involucrada en el comercio electrénico que pasa por las redes publicas se debe encontrar protegida de actividades frau- dulentas, disputas de contrato, y divulgaciones y modificaciones no autorizadas. ‘A1092_ | Transacciones en linea ‘Control La Informacién involucrada en las transacciones en linea se debe encontrar protegida para prevenir transacciones incompletas, que sean erréneamente direccionadas, alteraciones no autorizadas de ‘mensajes, divulgaciones no autorizades, duplicacion o repeticion no autorizada de mensajes. ‘A10.93 | Informacion publicamente disponible ‘Conti ‘Se debe proteger la integridad de fa Informacion que esta disponible ppablicamente para prevenir modificaciones no autorizades. (A10.10 Seguimiento y control Objetivo: Detectar las actividades no autorizadas de procesamiento de informacion. (Continaa)‘Tabla A.4 (continuacién) ‘10.10.41 Registro de auditoria Control ‘Se daben producir y mantener registros de auciiorias en jos cuales se registren las actividades, excepciones, y eventos de seguridad de los usuarios, por un periodo acordado para ayudar en futuras inves- tigaciones y el seguimiento del control de acceso. A10.102 ‘Saguimiento del uso del sistema ‘Contrar ‘Se deben establecer procedimientos para el uso de las instalaciones de procesamiento de Informacion y se deben revisar de forma regu- Jar los resultados de las actividades de seguimiento. 10.103 Proteccién de la informacion de los registros de actividad ‘Control Las instalaciones de registro y la informacion de registro deben es- tar protegidas contra la maniputacion y procesos no autorizados. ‘Ai0104 Registios de la actividad de adminis- trador y operador ‘Control ‘Se debe levar registro de las actividades del administrador del sis- tema y del operador del sistema. ‘A10.105 Registro de acciones falidas Control ‘Se debe levar un registro de las fellas, las mismas deben ser anall- zadas y se deben tomar las acciones apropiadas. ‘A10.106 ‘At Conti ‘Sincronizacién del relo] rol de accesos Control Dentro de una organizacion o dominio de seguridad los relojes de todos los sistemas de procesamiento de informacion se deben en- ccontrar sincronizados de acuerdo @ una fuente de tempo precisa, previamente convenida. ‘A114 Requerimientos para el control de accesos Objetivo: Controlar el acceso a la informacion. AMAA Polfica de control de accesos ‘Control ‘Se debe establecer, documentary revisar una politica de controt de ‘accesos basada en los requerimienios de acceso, de seguridad y del negocio. A112 Administracion de accesos de usuarios CObjetivo: Asegurar el acceso a los usuarios autotizados y prevenir el acceso no autorizado a los sistemas de Informa- ion. ‘A112. | Registro de usuarios ‘Control Debe exist un procedimiento formal de registro de alta y baja de registros para otorgar y revocar el acceso a todos los sistemas y servicios de informacion. ‘A1122 | Administracién de privlegios ‘Control La asignacion y el uso de los privlegios debe ser restringide y con- trotado. ‘A11.23 | Administracion de las contrasefias | Control se unuerto, La asignacién de contrasefias debe ser controlada mediante un pro- eso format de gestion. A1124_ | Revisiin de los derechos de acceso | Control La alta direccién debe revisar los derechos de acceso de los usua- Fos a intervaios reguiares ultlizando un proceso formal "A113 Responsabilidades del usuario Objetivo: P ‘acceso de usuarios no autorizados de modo que la Informacion y las instalaciones de procesamien- to de la informacion, no sean comprometidas o sustraidas, Ansa Uso de contrasefias Control ‘Se debe solctar a Jos usuarios que sigan las buenas practicas de Seguridad en la seleccion y uso de cohtrasefias. (Continéa)Tabla A.t (continuacién) ‘A1132 | Equipamiento de usuario que so do- ja desatandido Controt Los usuarios se deben asegurar que ol equipamiento desatendido tenga proteccién adecuada. ‘A1133 | Politica de pantalla y escritorio tim- los: Control ‘Se debe adoptar une poltca de escritorio impio para los papeles y medias de aimacenamiento removibles y una politica de pantalla limpia para las instalaciones de procesamiento de la informacién. A114 Control de acceso a la red Cbjetivo: Prevenir ef acceso no autorizado a los servicios de red. ‘A114 | Politica do utlizacién de los serve los de red Control Se debe proveer a los usuarios solo el acceso a los servicios para los cuales han sido especiticamente autorizados. ‘Atta2 | Autenticacion de usuarios para co- nrexiones extemas, Controt Se deben utlizar métodes de autenticacién apropiados para el con- {ol de acceso de usuarios remotos. ‘Ait4s | Wentiicacion del equipamiento en redes Control ‘Se debe considerar la identficacion automatica de equipemiento ‘como un medio para autenticar canexiones de ubicaciones y equ pamiento especies. ‘A1144 | Proteccién de los puertos de diag- éstico y configuracion remotos ‘Cont ‘Se debe controlar el acceso fisico y l6gico a los pusrios de diagnés- tico y de configuracion. AAAS | Separacion en redes ‘Control Los grupos de servicios de la informacion, usuarios y sistemas de informacion se deben subdividr en redes. ‘A1146 | Control de conexién 2 la red Control 1 Para redes compartidas, especialmente aqualias que se exis través de los limites de ia organizacion, se debe restringir'a © dad de los usuarios para conectarse a la red, alineadas con ia politica de control de acceso y con los requerimientos de las aplica- clones comerciales (ver 11.1). ‘A114,7 | Control de ennitamiento de red Controh Los controles de enrutamiento se deben implementar en redes para erantizar que las conexiones informaticas y os fujos de informa- cién no vioien la politica de control de acceso de las aplicaciones, comerciales. ‘AAT Control de acceso al sistema operative Objetivo: Provenir ol acceso no autorizado a los sistemas operatvs. ‘A11.84 | Procedimientos soguros de inicio de sesién (log-on") Control ! acceso a los sistemas operatives debe ser controlado por un pro- ccadimionto seguro de inicio de sesion, A152 | Weniifcadion y autenticadén de Contror “Todos los usuarios deben tener un Gnico identficador (identicador de usuario) para su uso personal, y se debe elogir una técnica ade- cuada de autenticacion para sustanciar la identidad dectarada por el usuario, A1153 | Sistema de adminisacion de con ‘wasefias Control Los sistemas que administan contrasefias deben ser interactives y deben garantizar contrasefias de calidad, (Continaa)Tabla AA (continuacion) ‘A1154 | Uso de utiitarios de sistema ‘Control El uso de programas utltarios que podrian ser capaces de pasar por alto los controles de las aplicaciones o del sistema debe ser res- tringido y controlado de cerca, ‘A1155_ | Expiracion dea sesion ‘Control i Las sesiones inactivas se deben cerrar luego de un periodo defnido de inactividad ‘A11.56 | Limitaciones del tiempo de conexién | Control ‘Se deben utlizar restricciones acerca del tiempo de conexién para brindar seguridad adicional para las aplicaciones de alto riesgo. ‘A116 Control de acceso a las aplicaciones y a la informacion ‘Objetivo: Prevenir el acceso no autorizado a la informacion contenida en los sistemas de aplicacién. ‘A116.1 | Restriccion de acceso a la Informa- | Control ¢ en Se debe restringir el acceso a la Informacién y alas funcions de los sistemas de aplicacion a los usuarios y al personal de soporte de Z acuerdo con una politica de control de acceso definida, ‘1162 | Aislamiento de sistemas sensibies | Control Los sistemas sensibles se deben encontrar en un ambiente informé- tico dedicado (alstado). ‘AA17 Computacion movil y teletrabajo Objetivo: Garantizar la seguridad de la informacion miontras se utiliza computacién movil ¢ instalaciones de teletrabajo, ANqA ‘Computacion y comunicaciones mo- viles Control ‘Se debe establecer una politica formal y se deben adoptar medidas de seguridad adecuadas para protegerse contra los rlesgos del uso ‘de dspostives de computacion @ instalaciones de comunicacién moviles. Teletrabajo Control Se debe desarrolar © implementar una politica, planes y proced- rmientos operacionales para las actividades de tolatrabajo, ‘A12 Adquisici6n, desarrollo y mantenimlento de Sistemas de Informacion ‘A121 Requerimientos de seguridad de los sistemas de informacion Objetivo: Garantizar que la seguridad sea una parte Integral de los sistemas de Informactén. ‘A12.1.1 [Analisis y especificaciones de os | Control requerimientos de seguridad Las declaraciones de requerimientos comerciales para nuevos sis- temas de informacién,'o majoras de los sistemas de informacion ‘existentes, deben especficar las necesidades de controles de segu- ridad, ‘A122 Correcto procesamiento en las aplicaciones Objetivo: Prevenir erores, pérdidas, mociiicaciones 5 no autorizadas 0 mal uso de la informacion en las aplicaciones. ANZ24 \Validacion de entrada de datos: Control La entrada de datos a las aplicaciones deben ser validados para asogurar que estos datos son correctos y apropiados. A122. Controles de procesamiento interno Contror ‘Se deben incorporar las verificaciones de validacion a las aplicacio- nes para detectar cualquier caso de corupcién de la informacion a través det procesamiento de errores 0 actos deliberados. A1223 Integridad del mensaje ‘Control Se deben idantiicar los requerimientos para asegurar Ja autentlc- ‘dad y para proteger la integridad del mensaje de las aplicaciones, y ‘se deben identifica e implementar controles apropiados. (Continia)“Tabla A (continuacién) rereyy Validacion de tos datos de salida ‘Control ‘Se debe validar Ia salida de datos de una aplicacion para garantizar {que 0 procesamiento de la informacion almacenada es corracto y adecuado a las crcunstancias. ‘A123 Controles criptograficos (Odjetivo: Proteger la confidenciaidad, autenticidad, ya integridad de la informacion por medios criptograicos. ‘A1231 | Pollica de utlizacion de controles | Contro! riptograficos ‘Se debe desarrollar e implementar una politica para el uso de con- {roles criptograticos para la proteccion de la informacién. ‘1232 | Administracion de caves ‘Contr! ‘Se dobe establecer la gestion de claves para dar soporte al uso of- {ganizacional de técnicas criptograficas. "A124 Seguridad de los archivos de sistema Objetivo: Garantizar la seguridad de los archivos de sistema. ‘A12.4.4 | Control del software operacional | Control . . ‘Deben existr procedimientes para controlar la instalacion de sofware ‘en sistemas operacionales. yi ‘12.42 | Proteccién de los datos-de prueba | Control al sieiemma. Los datos de prueba deben ser seleccionatios cuidadosamente, pro- é tegidos y controlados. ‘Ai243 | Conitol de acceso al codigo Twente | Control de programa» Se debe restringir el acceso al cédigo fuente de programa. "A125 Seguridad en los procesos de desarrollo y soporte djetivo: Mantener la seguridad del software y la informacién del sisterna de aplicacién, "A1254 | Procedimientos de coniol de cam | Control Mon La implementacion de cambios debe ser controlada mediante e! uso de procedimiontos formes de control de cambios. ‘A252 | Revslones tenieas de laa aplica | Control clones luego de cambios en el | Cuando se cambian los sist ypérativos, se deben 0 cam sistemas opératvos, s revisar y sistema operatvo probar las aplicaciones crfleas del negocio pare garantizar quo no | Se produzca un impacto adverso en las operaciones o en la segur- | ad organizacional A1253 | Restriccién ‘del cambio en jos pa- | Control quotes de sofware ‘Las modificaciones a los paquotes de software deben ser desalen- | fadas, liitadas 2 fos cambios necesarios, ¥ todos los cambios eben ser estictamente conrotados Aa254 | Fuge dela informacion Contr | Se deven prevenirlas oportunidades de fuga del informacion. AT2ES | Desarolo tercerzado do sofware | Control El desarrollo extemo de software debe ser supervisado, seguido y Controlado por parte de la organizacién. AAZ6 Gestion de las vuinerabilidades técnicas Objetivo: Reducir el riesgo resultante de la explotacion de vulnerablidades técnicas publicadas. A1264 ] Control de las vulnerablidades téc- Control ‘Se debe obtener informacion oportuna acerca de las vulnerablida- des técnleas de fos sistemas de informacion que son utlizados, © debe evaluar la exposicion de la organizacion a tales vulnerablida- des, y 82 deben tomar las medidas adecuadas para tratar los Flesgos asociados. . (Continga)Tabla At (continuacién) ‘AAS. Gestién de los incidentes de la seguridad de la informacion "13.4 Informe de los eventos y debilidades de la seguridad de I CObjetivo: Garantizar que los eventos de seguridad de la informacion y las debilidades asociados a los sistemas de in- formacién sean comunicadas de forma tal que se apliquen las acciones correctivas en el tiempo correcto. informacion “A13.1-1__| Reporte de los eventos de la sagurt- | Control ie da ba recensione Los eventos de seguridad de la informacion deben ser reportados: ‘mediante canales de gestion apropiados tan pronto como sea posibe, ‘A13.1.2 | Reporte de las debilidades de ta se- | Controi guridad ‘Se debe requerir que todos Jos empleados, contratistas y usuarios de tercera parte de los sistemas y servicios de informacion tomen nota y reporien cualquier accién sospechosa que observen 0 consi- deren que est relacionada con las deblidades de seguridad de los, sistemas 0 de los servicios, "A132 Gestion de los incidentos y mejoras de la seguridad de la informacion ‘Objetivo: Asegurar que se aplique un enfoque consistente y efectivo a la gestion de incidentes de seguridad de Ia infor- macion, ‘13.2.1 | Responsabilidades y procedimientos | Control ‘Se deben establecer los procedimientos y gestion do las responsa- blidades para garantizar una respuesta rapida, ofectva y ordenada, de los incidentes de seguridad de la informacion. ‘A13.22 | Aprendiendo a partir de fos inciden- | Control {es de la seguridad de la informacion | neben existir mecanismos para permitir que se cuantifiquen y su= pervisen los tipos, volimenes, y costos de los Incidentes de la ‘Seguridad de la informacion. ‘A1323 | Recoleccién de la evidencia ‘Contro! ‘equerimientos legales en la jursdiccion que corresponda. ‘A.14 Geatién de la continuldad del negocio ‘Cuando se Hove @ cabo un seguimiento sobre una persona u organi zacién después de que haya ocurrido un incidente de seguridad de la informacion que involucre acciones legales (ya sea civl o criminal). se debe recolectar, rotener y presentar evidencia para curplr con Tos "A144 Aspectos de la seguridad de la informacion en la gestion de la continuldad del negocio planes que incluyen la seguridad de la informacion ‘Objetivo: Contrarrestar las interrupciones de las actividades de la organizacién y proteger los procesos criticos del nego- io de los efecios de las fellas significativas de los sistemas de Informacién o desastes y para asegurar su reanudacién portuna. At41.1 | indusién de la seguridad de la in- | Control formacion en el proceso de gestion | Se debe desarrollar e yy mantener un proceso de gestién que dirja los. de la continuidad del negocio Tequerimientos de seguridad de fa informacién necesarios para la Ccontinuldad del negocio de la organizacion. ‘A14.1.2 | Continuidad del negocio y evalua | Control l6n de los rlesgos ‘Se deben identificar los eventos que pueden causar interrupciones @ los procesos del negocio, junto con la probabilidad y ol impacto de tales interrupeiones y sus consecuencias a la seguridad de la infor- macion, ‘A141.3 | Elaboracién © implementacion de | Control Los planes deben ser desarrollades @ implementados para mante- ner 0 restablecer las operaciones y asegurar la disponibllidad de informacion al nivel requeride y en las escalas de tiempo requeridas: luego de la interrupci6n o fala de los procesas criticos dal negocio. (Continaa)“Tabla At (continuacién) ‘At4.14 | Marco para la planiicacién de la continuidad del negocio Control Se debe mantener un marco tnico de planes para la:continuidad det ‘negocio, para garantizar que todos los planes son consistentes, pa- +3 cumplr con los requerimientos de seguridad de la informacion en forma consistente, y para identiicar las prioridades de las pruebas y ‘el mantenimiento. ‘A141.5 | Pruebas, mantenimiento y reevalua- én de los planes de continuidad de | los negocios: ‘A15 Cumplimiento z ‘Control Los planes de continuidad de los negocios deben ser probados y ac- tualizados periédicamente para garantizar que se encuentran al dia y-contindan siendo efectivos. ‘A151 Cumplimiento de requerimientos legales, cualquier requerimiento de seguridad. CObjetvo: Impedirinfracciones y violaciones de cualquier obligacién legal, reglamentaria, reguladora contractual, y de ‘A15.1.1 | Identiicacion de la legislacion api- cable Control “Todos as requerimientos legales, normativos y contractuales pert ‘nentes, asi como el enfoque de la organizacién para cumplir con ‘estos requerimlentos, deben estar definidos y documentados y se deben mantener actualizados para cada sistema de informacion, y para la organizacion "A16.1.2 | Derechos de propiedad intelectual PR) : NOTA IRAM. Por sus sigias en Inglés (Infallectual property righis) ‘Cont ‘Se deben Implementar los procedimientos apropiados para garant- Zar el cumplimienio con los requerimientos legisativos, reguiatorios ¥ contractuales referidos at uso dol matorial sobre el cual puede ‘exist un derecho de propiedad intelectual y sobre el uso de produc- tos de software propictario. ‘A15.1.3 | Proteccion de los registros de la or- sganizacion Controt Los registros importantes deben ser protegidos contra pérdida, des- ‘ruccion y falsificacion, en concordancia con los. requerimientos legales, regulatorios, contractuales y comerciales. ‘A16.1.4 | Proteccion de los datos y privacidad de la informacion personal ‘Contr! La proteccion y privacidad de los datos debe estar garantizada so- ‘gun se requiera en las legislaciones y regulaciones relevantes, y si 28 el caso, en las clausulas contractuales. ‘A16.4.5 | Prevencién contra el mal uso de las Instalaciones de procesamionto de Control Se debe disuadir a los usuarios de utlizar las instalaciones de pro- Valntornacién ‘cesamiento de la informacion para propésitos no autorizados, » TAA5A.6 | Regulacién de controles criptograt- | Control cos Los controles criptogratices deben ser utitzados en cumplimienio ‘con todos los acuerddos,leyes. y regulaclones vigentes. ‘A152 Cumplimiento con las politicas y normas de seguridad, y el cumplimiento técnico Objetivo: Garantizar el cumplimiento de los sistema 5 con las politcas y normas de seguridad de la organizacién. ‘A152.1 | Cumplimiento de las polftcas y nor- mas de seguridad Contror Los responsables deben garantizar que se leven a cabo correct mente todos los procedimientos de seguridad dentro de su area de responsabilidad para alcanzar el cumplimiento con las polticas y normas de seguridad, A1622 | Verifeacion det cumplimienio técnk Ey Control Los sistemas de informacion deben ser verticados periédicamente para garantizar que cumplen con las normas de Implementacion de la seguridad, f (Continia)Tabla A.4 (fin) "A153 Consideraciones de auditorias de sistemas de informacion CObjetivo: Maximizar la efectividad y minimizar la Interferencia hacia y desde el proceso de aucitoria de sistemas de in- {foxmacién. ‘A153.1, | Controles de auditoia de sistemas | Control 4 “de weormecion Las requerimientos y las actividades de auxitoria que Involucran vert- ‘icaciones de los sistemas operacionales deben ser cuidadosamente Planificados y acordados @ fin de minimizar el riesgo de interupclén de los procesos de negocio. ‘A1632 | Proteccion de las herramientas de | Control 3 auditoria de los sistemas de infor- ‘macion ‘Se debe proteger el acceso a las herramientas de auditoria de los ‘sistomas de Informacién a fin de evitar cualquier mal uso o el com- promiso de elias.