Ejercicio 06 - Controles

ANÁLISIS DE BRECHAS
NTP ISO 27001:2014 - ANEXO A
Anexo A de la NTP Título de dominio/ objetivo de control /

Descripción del objetivo de control / control Calificación Control a implementar / actividades
ISO/IEC 27001:2014 control
A.5 Políticas de seguridad de la información
Proporcionar dirección y apoyo de la gerencia para la seguridad de la información
Dirección de la gerencia para la
A.5.1 en concordancia con los requisitos del negocio y las leyes y regulaciones
seguridad de la información
relevantes.
Definición de politicas
Un conjunto de políticas para la seguridad de la información debe ser Aprobación de la Gerencia
Políticas para la seguridad de la
A.5.1.1 definido, aprobado por la gerencia, publicado y comunicado a los NA PUblicación y Acceso
información
empleados y a las partes externas relevantes. Comuniación a Empleados
Comunicación a Partes Externas
Revisión Integral
Las políticas para la seguridad de la información deben ser revisadas Aprobación y Publicación
Revisión de las políticas para la
A.5.1.2 a intervalos planificados o si se producen cambios significativos para NA Comunicación
asegurar su conveniencia, adecuación y efectividad continua. Auditoría y Cumplimiento
Registro de Revisiones
A.6 Organización de la seguridad de la información
Establecer un marco de referenci de gestión para inicir y controlar la
A.6.1 Organización Interna
implementación y operación de la seguridad de la información dentro de la
Identificación de Roles y Responsabilidades
Definición de Funciones
Aprobación de la Gerencia
Roles y responsabilidades para la Asignación de Responsabilidades
Todas las responsabilidades de seguridad de la información deben
A.6.1.1 seguridad de la información NA Comunicación
ser definidas y asignadas.
Capacitación y Sensibilización
Monitoreo y Cumplimiento
Actualización Continua
Registro de Roles y Responsabilidades
Identificación de Funciones Críticas
Análisis de Conflictos Potenciales
Definición de Separación
Las funciones y áreas de responsabilidad en conflicto deben ser Implementación de Roles y Responsabilidades
A.6.1.2 Segregación de funciones segregadas para reducir oportunidades de modificación no autorizada NA Sistemas de Autorización
o no intencional o mal uso de los activos de la organización. Supervisión y Monitoreo
Revisión Regular
Auditoría y Cumplimiento
Capacitación y Concientización
Identificación de Autoridades Relevantes
Establecimiento de Contactos
Actualización de Información de Contacto
Procedimientos de Notificación
Contactos apropiados con autoridades relevantes deben ser
A.6.1.3 Contacto con autoridades NA Simulacros y Ejercicios de Comunicación
mantenidos.
Cumplimiento Normativo
Registro de Comunicaciones
Concientización del Personal
Relaciones de Colaboración
Xerox Internal Use Only Ejercicio 06 - Controles Page 1 of 42

Identificación de Grupos y Asociaciones Relevantes
Establecimiento de Contactos
Participación Activa
Contactos apropiados con grupos especiales de interés u otros Intercambio de Información
Contacto con grupos especiales de
A.6.1.4 foros deespecialistas en seguridad y asociaciones profesionales NA Actualización de Recursos
interés
deben ser mantenidos. Colaboración en Proyectos
Promoción de la Concientización
Mantenimiento de Redes
Registro de Participación
Incorporación en la Planificación
Definición de Requisitos de Seguridad
Diseño y Desarrollo Seguro
Gestión de Riesgos
Seguridad de la información en la gestión La seguridad de la información debe ser tratada en la gestión de
A.6.1.5 NA Implementación de Controles
de proyectos proyectos, sin importar el tipo de proyecto.
Pruebas de Seguridad
Capacitación del Personal
Supervisión y Revisión Continua
Auditoría de Proyectos
Documentación y Lecciones Aprendidas
Mantener una política y medidas de seguridad de soporte para gestionar los riesgos
A6.2 Dispositivos móviles y teletrabajo
asociados con el uso de dispositivos móviles
Establecer medidas para proteger la información confidencial y
los datos de la organización en dispositivos móviles.
Mantener un registro actualizado de los dispositivos móviles
utilizados y los usuarios autorizados.
Una política y medidas de seguridad de soporte deben ser adoptadas Fomentar el uso de conexiones seguras, como VPN, cuando se
A.6.2.1 Política de dispositivos móviles para gestionar los riesgos introducidos por el uso de dispositivos NA acceda a recursos corporativos.
móviles. Definir las pautas para la instalación y el uso de aplicaciones
en dispositivos móviles, incluyendo la descarga de fuentes
confiables.
Realizar auditorías periódicas para verificar el cumplimiento de
la política de seguridad de dispositivos móviles.
Definir cómo se accederá a los sistemas y recursos de la
organización desde sitios de teletrabajo.
Establecer medidas para proteger la información confidencial y
Una política y medidas de seguridad de apoyo deben ser los datos de la organización en sitios de teletrabajo.
A.6.2.2 Teletrabajo mplementadas para proteger información a la que se accede, se NA Establecer las sanciones y consecuencias en caso de
procesa o almacena en sitios de teletrabajo. incumplimiento de la política de seguridad de teletrabajo.
Definir los procedimientos para eliminar adecuadamente la
información de los dispositivos utilizados para el teletrabajo
cuando ya no sea necesaria.
A.7 Seguridad de los recursos humanos
Asegurar que los empleados y contratistas entienden sus responsabilidades y son

A.7.1 Antes del empleo
convenientes para los roles para los que se les considera.

Definir los criterios para determinar qué tipos de antecedentes
se verificarán y los niveles de acceso a la información que
influirán en la profundidad de la verificación.
Asegurarse de que todas las verificaciones de antecedentes se
realicen en cumplimiento con las leyes y regulaciones
laborales, así como con los principios éticos.
Las verificaciones de los antecedentes de todos los candidatos a ser Obtener el consentimiento informado del candidato para llevar
empleados deben ser llevadas a cabo en concordancia con las leyes, a cabo verificaciones de antecedentes y acceder a la
A.7.1.1 Selección regulaciones y ética relevantes, y debe ser proporcional a los NA información necesaria.
requisitos del negocio, la clasificación de la información a la que se Contactar a las referencias laborales proporcionadas por el
tendrá acceso y los riesgos percibidos. candidato para obtener información sobre su experiencia y
desempeño laboral anterior.
Evaluar los riesgos percibidos asociados con el puesto y el
acceso a la información sensible.
Establecer un proceso de revisión por parte de la gerencia para
validar las verificaciones de antecedentes y tomar decisiones
de contratación informadas.
Identificar y definir los términos y condiciones específicos
relacionados con la seguridad de la información que deben
incluirse en los acuerdos contractuales.
Establecer las responsabilidades que los empleados y
contratistas deben cumplir en términos de protección de la
información, uso adecuado de sistemas y recursos, y
notificación de incidentes.
Incluir cláusulas que aborden la confidencialidad de la
Los acuerdos contractuales con los empleados y contratistas deben información y la propiedad intelectual de la organización,
A.7.1.2 Términos y condiciones del empleo estipular responsabilidades de éstos y de la organización respecto de NA estableciendo restricciones sobre la divulgación y el uso
la seguridad de la información. indebido.
Definir el uso aceptable de los recursos de la organización,
incluidos sistemas, datos y activos de información.
Incluir cláusulas que establezcan el cumplimiento con leyes y
regulaciones de seguridad de la información, así como
sanciones por incumplimiento.
Proporcionar entrenamiento y concientización a los empleados
y contratistas sobre los términos y condiciones de seguridad de
la información en sus acuerdos contractuales.
Asegurar que los empleados y contratistas sean conscientes y cumplan con sus
A.7.2 Durante el empleo
responsabilidades de seguridad de la información.

Establecer claramente las expectativas de la gerencia en
términos de aplicación y cumplimiento de las políticas de
seguridad de la información.
La alta gerencia debe mostrar un compromiso sólido con la
seguridad de la información a través de sus acciones y
comportamiento.
Asegurarse de que la gerencia participe en capacitaciones y
La gerencia debe requerir a todos los empleados y contratistas aplicar
sesiones de concientización sobre seguridad de la información.
A.7.2.1 Responsabilidades de la gerencia la seguridad de la información en concordancia con las políticas y NA
La gerencia debe aplicar las mismas políticas y procedimientos
procedimientos establecidos por la organización.
de seguridad de la información que se exigen a los empleados
y contratistas.
La gerencia debe revisar y aprobar las políticas y
procedimientos de seguridad de la información antes de su
implementación.
La gerencia debe comunicar los resultados positivos y logros
relacionados con la seguridad de la información.
Implementar pruebas o evaluaciones para medir la
comprensión de los empleados y contratistas después de
completar la educación y capacitación.
Asegurarse de que los empleados y contratistas estén al tanto
de la disponibilidad de programas de concientización y
Todos los empleados de la organización y, cuando fuera relevante,
capacitación.
los contratistas deben recibir educación y capacitación sobre la
Ofrecer incentivos o reconocimientos a los empleados y
Conciencia, educación y capacitación conciencia de la seguridad de la información, así como
A.7.2.2 NA contratistas que participen activamente y demuestren un
sobre la seguridad de la información actualizaciones regulares sobre políticas y procedimientos de la
compromiso destacado.
organización, según sea relevante para la función del trabajo que
Mantener un registro de la participación y el progreso de los
cumplen.
empleados y contratistas en el programa de concientización y
capacitación.
Crear un plan detallado que establezca los objetivos,
contenidos y métodos de entrega para la concientización,
educación y capacitación en seguridad de la información.
Definir claramente qué acciones o comportamientos se
considerarán infracciones de seguridad de la información
Establecer una escala de gravedad que clasifique las
infracciones en diferentes niveles en función del impacto y el
riesgo asociado.
Asegurarse de que los empleados tengan la oportunidad de
presentar su versión de los hechos y defenderse antes de que
Debe haber un proceso disciplinario formal y comunicado para tomar se tomen medidas disciplinarias.
A.7.2.3 Proceso disciplinario acción contra empleados que hayan cometido una infracción a la NA Establecer un proceso de revisión por parte de la gerencia para
seguridad de la información. garantizar que las medidas disciplinarias sean justas y
consistentes.
Mantener un registro detallado de las infracciones, las
investigaciones realizadas y las medidas disciplinarias
tomadas.
Evaluar periódicamente el proceso disciplinario y realizar
mejoras según sea necesario para garantizar su eficacia y
equidad.
Proteger los intereses de la organización como parte del proceso de cambio o
A.7.3 Terminación y cambio de empleo
terminación del empleo
Definir y comunicar al empleado o contratista sobre las
Terminación o cambio de responsabilidades y deberes de seguridad de la información que
A.7.3.1 NA
responsabilidades del empleo. siguen siendo válidos luego de la terminación o cambio de empleo y
forzar su cumplimiento.

A.8 Gestión de activos
Identificar los activos de la organización y definir responsabilidades de protección
A.8.1 Responsabilidad por los activos
apropiadas.
Información, otros activos asociados con información e instalaciones

A.8.1.1 Inventario de activos de procesamiento de información deben ser identificados y un NA
inventario de estos activos debe ser elaborado y mantenido.
A.8.1.2 Propiedad de los activos Los activos mantenidos en el inventario deben ser propios. NA
Las reglas para el uso aceptable de la información y activos
asociados con la información y con las instalaciones de
A.8.1.3 Uso aceptable de los activos NA
procesamiento de la información deben ser identificadas,
documentadas e implementadas.
Todos los empleados y usuarios de partes externas deben retornar
A.8.1.4 Retorno de los activos todos los activos de la organización en su posesión a la conclusión NA
de su empleo, contrato o acuerdo.
Asegurar que la información recibe un nivel apropiado de protección en
A.8.2 Clasificación de la información
concordancia con su importancia para la organización.
La información debe ser clasificada en términos de los requisitos
A.8.2.1 Clasificación de la información legales, valor, criticidad y sensibilidad respecto a una divulgación o NA
modificación no autorizada.
Un conjunto apropiado de procedimientos para el etiquetado de la
información debe ser desarrollado e implementado en concordancia
A.8.2.2 Etiquetado de la información NA
con el esquema de clasificación de la información adoptado por la
organización.
Los procedimientos para el manejo de activos deben ser
A.8.2.3 Manejo de activos desarrollados e implementados en concordancia con el esquema de NA
clasificación de la información adoptado por la organización.
Manejo de los medios de Prevenir la divulgación, modificación, remoción o destrucción no autorizada de
A.8.3
almacenamiento información almacenada en medios.
Se debe implementar procedimientos para la gestión de medios
A.8.3.1 Gestión de medios removibles removibles en concordancia con el esquema de clasificación NA
adoptado por la organización
Se debe poner a disposición los medios de manera segura cuando ya
A.8.3.2 Disposición de medios NA
no se requieran, utilizando procedimientos formales.
Los medios que contienen información deben ser protegidos contra el

A.8.3.3 Transferencia de medios físicos NA
acceso no autorizado, el mal uso o la corrupción durante el transporte.
A.9 Control de acceso

Requisitos de la empresa para el Limitar el acceso a la información y a las instalaciones de procesamiento de la
A.9.1
control de acceso información
Una política de control de acceso debe ser establecida, documentada
A.9.1.1 Política de control de acceso y revisada basada en requisitos del negocio y de seguridad de la NA
información.
Los usuarios deben tener acceso solamente a la red y a servicios de
A.9.1.2 Acceso a redes y servicios de red NA
red que hayan sido específicamente autorizados a usar.
Asegurar el acceso de usuarios autorizados y prevenir el acceso no autorizado a los
A.9.2 Gestión de acceso de usuario
sistemas y servicios.

Un proceso formal de registro y baja de usuarios debe ser
A.9.2.1 Registro y baja de Usuarios NA
implementado para permitir la asignación de derechos de acceso.
Un proceso formal de aprovisionamiento de acceso a usuarios debe
ser implementado para asignar o revocar los derechos de acceso para
A.9.2.2 Aprovisionamiento de acceso a usuario NA
todos los tipos de usuarios a todos los sistemas y
servicios.
Gestión de derechos de accesos La asignación y uso de derechos de acceso privilegiado debe ser
A.9.2.3 NA
privilegiados restringida y controlada.
Gestión de información de autentificación La asignación de información de autentificación secreta debe ser
A.9.2.4 NA
secreta de usuarios controlada a través de un proceso de gestión formal.
Revisión de derechos de acceso de Los propietarios de los activos deben revisar los derechos de acceso
A.9.2.5 NA
usuarios de usuario a intervalos regulares.
Los derechos de acceso a información e instalaciones de
Remoción o ajuste de derechos de procesamientos de información de todos los empleados y de los
A.9.2.6 NA
acceso usuarios de partes externas deben removerse al término de su
empleo, contrato o acuerdo, o ajustarse según el cambio.
Hacer que los usuarios respondan por la salvaguarda de su información de
A.9.3 Responsabilidades de los usuarios
autentificación.
Uso de información autentificación Los usuarios deben ser exigidos a que sigan las prácticas de la
A.9.3.1 NA
secreta organización en el uso de información de autentificación secreta.
Control de acceso a sistema de
A.9.4 Prevenir el acceso no autorizado a los sistemas y aplicaciones.
aplicativos
El acceso a la información y a las funciones del sistema de aplicación
A.9.4.1 Restricción de acceso a la información debe ser restringido en concordancia con la política de control de NA
acceso.
Donde la política de control de acceso lo requiera, el acceso a los
A.9.4.2 Procedimientos de ingreso seguro sistemas y a las aplicaciones debe ser controlado por un NA
procedimiento de ingreso seguro.
Los sistemas de gestión de contraseñas deben ser interactivos y
A.9.4.3 Sistema de gestión de contraseñas NA
deben asegurar contraseñas de calidad.
El uso de programas utilitarios que podrían ser capaces de pasar por
A.9.4.4 Uso de programas utilitarios privilegiados alto los controles del sistema y de las aplicaciones debe ser NA
restringido y controlarse estrictamente.
Control de acceso al código fuente de los
A.9.4.5 El acceso al código fuente de los programas debe ser restringido. NA
programas
A.10 Criptografía
Asegurar el uso apropiado y efectivo de la criptografía para proteger la

A.10.1 Controles criptográficos
confidencialidad, autenticidad y/o integridad de la información.
Política sobre el uso de controles Una política sobre el uso de controles criptográficos para la protección
A.10.1.1 NA
criptográficos de la información debe ser desarrollada e implementada.
Una política sobre el uso, protección y tiempo de vida de las claves
A.10.1.2 Gestión de claves criptográficas debe ser desarrollada e implementada a través de todo NA
su ciclo de vida.
A.11 Seguridad física y ambiental
Impedir acceso físico no autorizado, daño e interferencia a la información y a las

A.11.1 Áreas Seguras
instalaciones de procesamiento de la información de la organización.
Perímetros de seguridad deben ser definidos y utilizados para
A.11.1.1 Perímetro de seguridad física proteger áreas que contienen información sensible o crítica e NA
instalaciones de procesamiento de la información.

Las áreas seguras deben ser protegidas por medio de controles
A.11.1.2 Controles de ingreso físico apropiados de ingreso para asegurar que se le permite el acceso sólo NA
al personal autorizado.
Seguridad física para oficinas, áreas e instalaciones debe ser
A.11.1.3 Asegurar oficinas, salas e instalaciones NA
diseñada e implementada.
Protección contra amenazas externas y Protección física contra desastres naturales, ataque malicioso o
A.11.1.4 NA
ambientales accidentes debe ser diseñada y aplicada.
Procedimientos para el trabajo en áreas seguras debe ser diseñado y
A.11.1.5 Trabajo en áreas seguras NA
aplicado.
Los puntos de acceso, como las áreas de despacho, carga y otros
puntos en donde personas no autorizadas pueden ingresar al local
A.11.1.6 Áreas de despacho y carga deben ser controlados, y si fuera posible, aislarlos de las instalaciones NA
de procesamiento de la información para evitar el acceso no
autorizado.
Prevenir la pérdida, daño, robo o compromiso de activos e interrupción de las
A.11.2 Equipos
operaciones de la organización.
Los equipos deben ser ubicados y protegidos para reducir los riesgos
Emplazamiento y protección de los
A.11.2.1 de amenazas y peligros ambientales, así como las oportunidades para NA
equipos
el acceso no autorizado.
Los equipos deben ser protegidos contra fallas de electricidad y otras
A.11.2.2 Servicios de suministro NA
alteraciones causadas por fallas en los servicios de suministro.
El cableado de energía y telecomunicaciones que llevan datos o
A.11.2.3 Seguridad del cableado servicios de información de soporte debe ser protegido de la NA
interceptación, interferencia o daño.
Los equipos deben mantenerse de manera correcta para asegurar su
A.11.2.4 Mantenimiento de equipos NA
continua disponibilidad e integridad.
Los equipos, la información o el software no deben ser retirados de su
A.11.2.5 Remoción de activos NA
lugar sin autorización previa.
La seguridad debe ser aplicada a los activos que están fuera de su
Seguridad de equipos y activos fuera de
A.11.2.6 lugar tomando en cuenta los distintos riesgos de trabajar fuera de las NA
las instalaciones
instalaciones de la organización.
Todos los elementos del equipo que contengan medios de
almacenamiento deben ser verificados para asegurar que cualquier
Disposición o reutilización segura de
A.11.2.7 dato sensible y software con licencia se haya eliminado o se haya NA
equipos
sobre escrito de manera segura antes de su disposición o
reutilización.
Los usuarios deben asegurarse de que el equipo desatendido tenga la
A.11.2.8 Equipos de usuarios desatendidos NA
protección apropiada.
Una política de escritorio limpio de papeles y de medios de

Política de escritorio limpio y pantalla almacenamiento removibles, así como una política de pantalla limpia
A.11.2.9 NA
limpia para las instalaciones de procesamientos de la información debe ser
adoptada.
A.12 Seguridad en las operaciones de sistemas

Procedimientos y responsabilidades Asegurar que las operaciones de instalaciones de procesamiento de la información
A.12.1
operativas sean correctas y seguras.
Procedimientos operativos Los procedimientos operativos deben ser documentados y puestos a
A.12.1.1 NA
documentados disposición de todos los usuarios que los necesitan.
Los cambios en la organización, procesos de negocio, instalaciones
A.12.1.2 Gestión del cambio de procesamiento de la información y sistemas que afecten la NA
seguridad de la información deben ser controlados.

El uso de recursos debe ser monitoreado, afinado y se debe hacer
A.12.1.3 Gestión de la capacidad proyecciones de los futuros requisitos de capacidad para asegurar el NA
desempeño requerido del sistema.
Los entornos de desarrollo, pruebas y operaciones deben ser
Separación de los entornos de
A.12.1.4 separados para reducir los riesgos de acceso no autorizado o NA
desarrollo, pruebas y operaciones
cambios al entorno operativo.
Asegurar que la información y las instalaciones de procesamiento de la información
A.12.2 Protección contra códigos maliciosos
estén protegidas contra códigos maliciosos.
Controles de detección, prevención y recuperación para proteger
A.12.2.1 Controles contra códigos maliciosos contra códigos maliciosos deben ser implementados, en combinación NA
con una concientización apropiada de los usuarios.
A.12.3 Respaldo Proteger contra la pérdida de datos
Copias de respaldo de la información, del software y de las imágenes
A.12.3.1 Respaldo de información del sistema deben ser tomadas y probadas regularmente en NA
concordancia con una política de respaldo acordada.
A.12.4 Registros y monitoreo Registrar eventos y generar evidencia
Registros (logs) de eventos de actividades de usuarios, excepciones,
A.12.4.1 Registro de eventos fallas y eventos de seguridad de la información deben ser producidos, NA
mantenidos y regularmente revisados.
Las instalaciones para registros (logs) y la información de los registros
A.12.4.2 Protección de información de registros (logs) deben ser protegidas contra la adulteración y el acceso no NA
autorizado.
Las actividades del administrador del sistema y del operador del
Registros del administrador y del
A.12.4.3 sistema deben ser registradas y los registros (logs) deben ser NA
operador
protegidos y revisados regularmente.
Los relojes de todos los sistemas de procesamiento de la información
A.12.4.4 Sincronización de reloj relevantes dentro de una organización o dominio de seguridad deben NA
estar sincronizados a una fuente de tiempo de referencia única.
A.12.5 Control del software en producción Asegurar la integridad de los sistemas en producción
Instalación de software en sistemas Procedimientos deben ser implementados para controlar la instalación
A.12.5.1 NA
operacionales de software en sistemas operacionales.
A.12.6 Gestión de vulnerabilidades técnicas Prevenir la explotación de vulnerabilidades técnicas
Información sobre vulnerabilidades técnicas de los sistemas de

información utilizados debe ser obtenida de manera oportuna, la
A.12.6.1 Gestión de vulnerabilidades técnicas exposición de la organización a dichas vulnerabilidades debe ser NA
evaluada y las medidas apropiadas deben ser tomadas para resolver
el riesgo asociado.
Restricciones sobre la instalación de Reglas que gobiernen la instalación de software por parte de los
A.12.6.2 NA
software usuarios deben ser establecidas e implementadas.
Consideraciones para la auditoría de Minimizar el impacto de las actividades de auditoría en los
A.12.7
los sistemas de información sistemas operacionales.
Requisitos de las auditorías y las actividades que involucran la
Controles de auditoría de sistemas de verificación de sistemas operacionales deben ser cuidadosamente
A.12.7.1 NA
información planificados y acordados para minimizar la interrupción a los
procesos del negocio.
A.13 Seguridad de las comunicaciones
Asegurar la protección de la información en las redes y sus instalaciones de
A.13.1 Gestión de seguridad de la red
procesamiento de la información de apoyo.
Las redes deben ser gestionadas y controladas para proteger la
A.13.1.1 Controles de red NA
información en los sistemas y las aplicaciones.

Mecanismos de seguridad, niveles de servicio y requisitos de gestión
de todos los servicios de red deben ser identificados e incluidos en
A.13.1.2 Seguridad de servicios de red NA
acuerdos de servicios de red, ya sea que estos servicios se provean
internamente o sean tercerizados.
Grupos de servicios de información, usuarios y sistemas de
A.13.1.3 Segregación en redes NA
información deben ser segregados en redes.
Mantener la seguridad de la información transferida dentro de una organización y
A.13.2 Transferencia de información
con cualquier entidad externa.
Políticas, procedimientos y controles de transferencia formales deben
Políticas y procedimientos de
A.13.2.1 aplicarse para proteger la transferencia de información a través del NA
transferencia de la información
uso de todo tipo de instalaciones de comunicación.
Acuerdo sobre transferencia de Los acuerdos deben dirigir la transferencia segura de información del
A.13.2.2 NA
información negocio entre la organización y partes externas.
La informacióninvolucrada en mensajería electrónica debe ser
A.13.2.3 Mensajes electrónicos NA
protegida apropiadamente.
Requisitos para los acuerdos de confidencialidad o no divulgación que
Acuerdos de confidencialidad o no reflejan las necesidades de la organización para la protección de la
A.13.2.4 NA
divulgación información deben ser identificados, revisados regularmente y
documentados.
A.14 Adquisición, desarrollo y mantenimiento de sistemas
Garantizar que la seguridad de la información es una parte integral de los sistemas
Requerimientos de seguridad en los de información a través del ciclo de vida completo. Esto también incluye los
A.14.1
sistemas de información requisitos para sistemas de información que proporcionen servicios sobre redes
públicas.
Requisitos relacionados a la seguridad de la información deben ser
Análisis y especificación de requisitos de
A.14.1.1 incluidos dentro de los requisitos para nuevos sistemas de NA
información o mejoras a los sistemas de información existentes.
La información involucrada en servicios de aplicaciones que pasa
Aseguramiento de servicios de
A.14.1.2 sobre redes públicas debe ser protegida de actividad fraudulenta, NA
aplicaciones sobre redes públicas
disputa de contratos o divulgación no autorizada y modificación.
La información involucrada en las transacciones de servicios de
Protección de transacciones en servicios aplicación debe ser protegida para prevenir transmisión incompleta,
A.14.1.3 NA
de aplicación ruteo incorrecto, alteración no autorizada de mensajes, divulgación no
autorizada, duplicación o respuesta no autorizada de mensajes.
Seguridad en los procesos de Garantizar que la seguridad de la información esté diseñada e implementada dentro
A.14.2
desarrollo y soporte del ciclo de vida de desarrollo de los sistemas de información.
Reglas para el desarrollo de software y sistemas deben ser
A.14.2.1 Política de desarrollo seguro NA
establecidas y aplicadas a desarrollos dentro de la organización.
Cambios a los sistemas dentro del ciclo de vida del desarrollo deben
Procedimientos de control del cambio del
A.14.2.2 ser controlados por medio del uso de procedimientos formales de NA
sistema
control de cambios.
Cuando se cambian las plataformas operativas, las aplicaciones
Revisión técnica de aplicaciones
críticas para el negocio deben ser revisadas y probadas para asegurar
A.14.2.3 después de cambios a la plataforma NA
que no haya impacto adverso en las operaciones o en la seguridad de
operativa
la organización.
Modificaciones a los paquetes de software deben ser disuadidas,
Restricciones sobre cambios a los
A.14.2.4 limitadas a los cambios necesarios y todos los cambios deben ser NA
paquetes de software
estrictamente controlados.
Principios para la ingeniería de sistemas seguros deben ser
Principios de ingeniería de sistemas
A.14.2.5 establecidos, documentados, mantenidos y aplicados a cualquier NA
seguros
esfuerzo de implementación de sistemas de información.

Las organizaciones deben establecer y proteger propiadamente los
ambientes de desarrollo seguros para los esfuerzos de desarrollo e
A.14.2.6 Ambiente de desarrollo seguro NA
integración de sistemas que cubren todo el ciclo de vida del desarrollo
del sistema.
La organización debe supervisar y monitorear la actividad de
A.14.2.7 Desarrollo contratado externamente NA
desarrollo de sistemas contratado externamente.
Pruebas de funcionalidad de la seguridad deben ser llevadas a cabo
A.14.2.8 Pruebas de seguridad del sistema NA
durante el desarrollo.
Programas de pruebas de aceptación y criterios relacionados deben
A.14.2.9 Pruebas de aceptación del sistema ser establecidos para nuevos sistemas de información, NA
actualizaciones y nuevas versiones.
A.14.3 Datos de prueba Asegurar la protección de datos utilizados para las pruebas.
Los datos de prueba deben ser seleccionados cuidadosamente,
A.14.3.1 Protección de datos de prueba NA
protegidos y controlados.
A.15 Relaciones con los proveedores
Seguridad de la información en las Asegurar protección a los activos de la organización que son accesibles por los
A.15.1
relaciones con los proveedores proveedores.
Requisitos de seguridad de la información para mitigar los riesgos
Política de seguridad de la información
A.15.1.1 asociados con el acceso por parte del proveedor a los activos de la NA
para las relaciones con los proveedores
organización deben ser acordados con el proveedor y documentados.
Todos los requisitos relevantes de seguridad de la información
Abordar la seguridad dentro de los deben ser establecidos y acordados con cada proveedor que pueda
A.15.1.2 NA
acuerdos con proveedores acceder, procesar, almacenar, comunicar, o proveer componentes de
infraestructura de TI para la información de la organización.
Los acuerdos con proveedores deben incluir requisitos para abordar
Cadena de suministro de tecnología de los riesgos de seguridad de la información asociados con los
A.15.1.3 NA
información y comunicación servicios de tecnología de la información y comunicaciones y la
cadena de suministro de productos.
Gestión de entrega de servicios del Mantener un nivel de seguridad de la información y entrega de servicios acordado
A.15.2
proveedor en línea con los acuerdos con proveedores
Monitoreo y revisión de servicios de los Las organizaciones deben monitorear, revisar y auditar regularmente
A.15.2.1 NA
proveedores la entrega de servicios por parte de los proveedores.
Los cambios a la provisión de servicios por parte de proveedores,
incluyendo el mantenimiento y mejoramiento de políticas,
Gestión de cambios a los servicios de procedimientos y controles existentes de seguridad de la información
A.15.2.2 NA
proveedores deben ser gestionados tomando en cuenta la criticidad de la
información del negocio, sistemas y procesos involucrados y una
reevaluación de riesgos.
A.16 Gestión de incidentes de seguridad de la información
Asegurar un enfoque consistente y efectivo a la gestión de
Gestión de incidentes de seguridad de
A.16.1 incidentes de seguridad de la información, incluyendo la
la información y mejoras
comunicación sobre eventos de seguridad y debilidades.
Las responsabilidades de gestión y los procedimientos deben ser
A.16.1.1 Responsabilidades y procedimientos establecidos para asegurar una respuesta rápida, efectiva y ordenada NA
a los incidentes de seguridad de la información.
Reporte de eventos de seguridad de la Los eventos de seguridad de la información deben ser reportados a
A.16.1.2 NA
información través de canales de gestión apropiados tan rápido como sea posible.

Empleados y contratistas que usan los sistemas y servicios de
Reporte de debilidades de seguridad de información de la organización deben ser exigidos a advertir y reportar
A.16.1.3 NA
la información cualquier debilidad observada o de la que se sospecha en cuanto a
seguridad de la información en los sistemas o servicios.
Los eventos de seguridad de la información deben ser evaluados y
Evaluación y decisión sobre eventos de
A.16.1.4 debe decidirse si son clasificados como incidentes de seguridad de la NA
información.
Respuesta a incidentes de seguridad de Los incidentes de seguridad de la información deben ser respondidos
A.16.1.5 NA
la información de acuerdo con los procedimientos documentados.
El conocimiento adquirido a partir de analizar y resolver los incidentes
Aprendizaje de los incidentes de
A.16.1.6 de seguridad de la información debe ser utilizado para reducir la NA
probabilidad o el impacto de incidentes futuros.
La organización debe definir y aplicar procedimientos para la
A.16.1.7 Recolección de evidencia identificación, recolección, adquisición y preservación de información NA
que pueda servir como evidencia.
A.17 Aspectos de seguridad de la información en la gestión de continuidad del negocio
Continuidad de seguridad de la La continuidad de seguridad de la información debe estar embebida en los sistemas
A.17.1
información de gestión de continuidad del negocio de la organización.
La organización debe determinar sus requisitos de seguridad de la

Planificación de continuidad de
A.17.1.1 información y continuidad de la gestión de seguridad de la información NA
en situaciones adversas, por ejemplo durante una crisis o desastre.
La organización debe establecer, documentar, implementar y
Implementación de continuidad de mantener procesos, procedimientos y controles para asegurar el nivel
A.17.1.2 NA
seguridad de la información requerido de continuidad de seguridad de la información durante una
situación adversa.
La organización debe verificar los controles de continuidad de
Verificación, revisión y evaluación de seguridad de la información que han establecido e implementado a
A.17.1.3 NA
continuidad de seguridad de información intervalos regulares para asegurarse que son válidos y efectivos
durante situaciones adversas.
A.17.2 Redundancias Asegurar la disponibilidad de las instalaciones y procesamiento de la información.
Las instalaciones de procesamiento de la información deben ser

Instalaciones de procesamiento de la
A.17.2.1 implementadas con redundancia suficiente para cumplir con los NA
información
requisitos de disponibilidad.
A.18 Cumplimiento
Evitar infracciones de las obligaciones legales, estatutarias, regulatorias o
Cumplimiento con los requisitos
A.18.1 contractuales relacionadas a la seguridad de la información y a cualquier requisito
legales y contractuales
de seguridad.
Todos los requisitos legislativos, estatutarios, regulatorios y
contractuales relevantes así como el enfoque de la organización para
Identificación de requisitos contractuales
A.18.1.1 cumplir con estos requisitos deben ser explícitamente identificados, NA
y de legislación aplicables
documentados y mantenidos al día para cada sistema de información
y para la organización.
Procedimientos apropiados deben ser implementados para asegurar
el cumplimiento de requisitos legislativos, regulatorios y contractuales
A.18.1.2 Derechos de propiedad intelectual NA
relacionados a los derechos de propiedad intelectual y uso de
productos de software propietario.
Los registros deben ser protegidos de cualquier pérdida, destrucción,
falsificación, acceso no autorizado y divulgación no autorizada, de
A.18.1.3 Protección de registros NA
acuerdo con los requisitos legislativos, regulatorios, contractuales y
del negocio.

La privacidad y la protección de datos personales deben ser
Privacidad y protección de datos
A.18.1.4 aseguradas tal como se requiere en la legislación y regulación NA
personales
relevantes donde sea aplicable.
Controles criptográficos deben ser utilizados en cumplimiento con
A.18.1.5 Regulación de controles criptográficos NA
todos los acuerdos, legislación y regulación relevantes.
Revisiones de seguridad de la Asegurar que la seguridad de la información está implementada y es operada de
A.18.2
información acuerdo con las políticas y procedimientos organizativos.
El enfoque de la organización para manejar la seguridad de la
información y su implementación (por ejemplo objetivos de control,
Revisión independiente de la seguridad
A.18.2.1 controles, políticas, procesos y procedimientos para la seguridad de la NA
de la información
información) debe ser revisado independientemente a intervalos
planeados o cuando ocurran cambios significativos.
Los gerentes deben revisar regularmente el cumplimiento del
Cumplimento de políticas y normas de procesamiento de la información y de los procedimientos dentro de su
A.18.2.2 NA
seguridad área de responsabilidad con las políticas, normas y otros requisitos de
seguridad apropiados.
Los sistemas de información deben ser revisados regularmente
A.18.2.3 Revisión del cumplimiento técnico respecto al cumplimiento de las políticas y normas de seguridad de la NA
información de la organización.
Leyenda
Códigos de la
Cantidad Significado Contribución %
calificación

La organización está cumpliendo con los criterios asociados al requisito evaluado (está documentado, es
0 C 0%
conocido y aplicado por todos los involucrados en el SGSI).
La organización cumple parcialmente con los criterios asociados al requisito (no está documentado, se definió y
0 CP 0%
aprobó pero no se gestiona).
0 La organización no cumple con la mayoría de los criterios asociados al requisito evaluado. NC 0%
114 El control no es aplicable a la organización. NA 100%
114



Ejercicio 06 - Controles

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Ejercicio 06 - Controles

Cargado por

Copyright:

Formatos disponibles

ANÁLISIS DE BRECHAS

NTP ISO 27001:2014 - ANEXO A

Anexo A de la NTP Título de dominio/ objetivo de control /

Xerox Internal Use Only Ejercicio 06 - Controles Page 1 of 42

Asegurar que los empleados y contratistas entienden sus responsabilidades y son

Xerox Internal Use Only Ejercicio 06 - Controles Page 2 of 42

Xerox Internal Use Only Ejercicio 06 - Controles Page 3 of 42

Xerox Internal Use Only Ejercicio 06 - Controles Page 4 of 42

Información, otros activos asociados con información e instalaciones

Los medios que contienen información deben ser protegidos contra el

A.9 Control de acceso

Xerox Internal Use Only Ejercicio 06 - Controles Page 5 of 42

Asegurar el uso apropiado y efectivo de la criptografía para proteger la

Impedir acceso físico no autorizado, daño e interferencia a la información y a las

Xerox Internal Use Only Ejercicio 06 - Controles Page 6 of 42

Una política de escritorio limpio de papeles y de medios de

A.12 Seguridad en las operaciones de sistemas

Xerox Internal Use Only Ejercicio 06 - Controles Page 7 of 42

A.12.6 Gestión de vulnerabilidades técnicas Prevenir la explotación de vulnerabilidades técnicas

Información sobre vulnerabilidades técnicas de los sistemas de

Xerox Internal Use Only Ejercicio 06 - Controles Page 8 of 42

Xerox Internal Use Only Ejercicio 06 - Controles Page 9 of 42

Xerox Internal Use Only Ejercicio 06 - Controles Page 10 of 42

La organización debe determinar sus requisitos de seguridad de la

A.17.2 Redundancias Asegurar la disponibilidad de las instalaciones y procesamiento de la información.

Las instalaciones de procesamiento de la información deben ser

Xerox Internal Use Only Ejercicio 06 - Controles Page 11 of 42

Xerox Internal Use Only Ejercicio 06 - Controles Page 12 of 42

Xerox Internal Use Only Ejercicio 06 - Controles Page 13 of 42

Xerox Internal Use Only Ejercicio 06 - Controles Page 14 of 42

También podría gustarte