Documentos de Académico
Documentos de Profesional
Documentos de Cultura
TESR08 - Controles AnexoA ISO 270012013
TESR08 - Controles AnexoA ISO 270012013
27001:2013
Ingeniería en Ciberseguridad
Normas y estándares de Seguridad TI
Índice
1. Políticas de SI.................................................................................................................................... 4
1.1. Orientación de la dirección para la SI.............................................................................................................................4
2. Organización de la SI......................................................................................................................... 4
2.1. Organización interna....................................................................................................................................................... 4
2.2. Dispositivos móviles y trabajo remoto............................................................................................................................. 4
3. Seguridad ligada a los recursos humanos.........................................................................................5
3.1. Previo al empleo............................................................................................................................................................. 5
3.2. Durante el empleo........................................................................................................................................................... 5
3.3. Desvinculación y cambio de empleo...............................................................................................................................6
4. Administración de activos..................................................................................................................6
4.1. Responsabilidad por los activos...................................................................................................................................... 6
4.2. Clasificación de la información........................................................................................................................................ 6
4.3. Manejo de los medios..................................................................................................................................................... 7
5. Control de acceso.............................................................................................................................. 7
5.1. Requisitos de negocio para el control de acceso............................................................................................................7
5.2. Gestión de acceso del usuario........................................................................................................................................ 7
5.3. Responsabilidades del usuario....................................................................................................................................... 8
5.4. Control de acceso al sistemas y aplicaciones.................................................................................................................8
6. Criptografía........................................................................................................................................ 9
6.1. Controles criptográficos.................................................................................................................................................. 9
7. Seguridad física y del ambiente......................................................................................................... 9
7.1. Áreas seguras................................................................................................................................................................. 9
7.2. Equipamiento................................................................................................................................................................ 10
8. Seguridad de las operaciones..........................................................................................................11
8.1. Procedimientos operacionales y responsabilidades.....................................................................................................11
8.2. Protección contra código malicioso............................................................................................................................... 11
8.3. Respaldo....................................................................................................................................................................... 11
8.4. Registro y monitoreo..................................................................................................................................................... 11
8.5. Control del software de operación................................................................................................................................ 12
8.6. Gestión de la vulnerabilidad técnica.............................................................................................................................12
8.7. Consideraciones de la auditoría de los SI..................................................................................................................... 12
9. Seguridad de las comunicaciones...................................................................................................13
9.1. Gestión de la seguridad de la red................................................................................................................................. 13
9.2. Transferencia de información........................................................................................................................................ 13
10. Adquisición, desarrollo y mantenimiento de sistemas....................................................................14
10.1. Requisitos de seguridad de los SI...............................................................................................................................14
10.2. Seguridad en procesos de desarrollo y soporte..........................................................................................................14
10.3. Datos de prueba.......................................................................................................................................................... 15
11. Relación con el proveedor.............................................................................................................. 15
11.1. SI en las relaciones con el proveedor......................................................................................................................... 15
11.2. Gestión de entrega del servicio del proveedor............................................................................................................16
12. Gestión de incidentes de SI........................................................................................................... 16
12.1. Gestión de incidentes de SI y mejoras........................................................................................................................16
13. Aspectos de SI en la gestión de la continuidad del negocio...........................................................17
13.1. Continuidad de la SI.................................................................................................................................................... 17
2. Organización de la SI
4. Administración de activos
5. Control de acceso
6. Criptografía
7.2. Equipamiento
Objetivo: Prevenir pérdidas, daños, hurtos o el compromiso de los activos así como la
interrupción de las actividades de la organización.
Controles:
a. Ubicación y protección del equipamiento: El equipamiento se debe ubicar y
proteger para reducir los riesgos ocasionados por amenazas y peligros ambientales, y
oportunidades de acceso no autorizado.
b. Elementos de soporte: Se debe proteger el equipamiento contra fallas en el
suministro de energía y otras interrupciones causadas por fallas en elementos de
soporte.
c. Seguridad en el cableado: Se debe proteger el cableado de energía y de
telecomunicaciones que transporta datos o brinda soporte a servicios de información
contra interceptación, interferencia o daños.
d. Mantenimiento del equipamiento: El equipamiento debe recibir el mantenimiento
correcto para asegurar su permanente disponibilidad e integridad.
e. Retiro de activos: El equipamiento, la información o el software no se deben retirar
del local de la organización sin previa autorización.
f. Seguridad del equipamiento y los activos fuera de las instalaciones: Se deben
asegurar todos los activos fuera de las instalaciones, teniendo en cuenta los diferentes
riesgos de trabajar fuera de las instalaciones de la organización.
g. Seguridad en la reutilización o descarte de equipos: Todos los elementos del
equipamiento que contenga medios de almacenamiento deben ser revisados para
asegurar que todos los datos sensibles y software licenciado se hayan removido o se
haya sobrescrito con seguridad antes de su descarte o reutilización.
h. Equipo de usuario desatendido: Los usuarios se deben asegurar de que a los
equipos desatendidos se les da protección apropiada.
i. Política de escritorio y pantalla limpios: Se debe adoptar una política de escritorio
limpio para papeles y medios de almacenamiento removibles y una política de pantalla
limpia para las instalaciones de procesamiento de información.
8.3. Respaldo
Objetivo: Proteger en contra de la pérdida de datos.
Controles:
a. Respaldo de la información: Se deben hacer copias de respaldo y pruebas de la
información, del software y de las imágenes del sistema con regularidad, de acuerdo
con la política de respaldo acordada.
13.1. Continuidad de la SI
Objetivo: Incorporar la continuidad de la seguridad de la información en los sistemas de
gestión de continuidad de negocio de la organización.
Controles:
a. Planificación de la continuidad de la SI: La organización debe determinar sus
requerimientos de seguridad de la información y la continuidad de la gestión de la
seguridad de la información en situaciones adversas, por ejemplo durante una crisis o
desastre.
b. Implementación de la continuidad de la SI: La organización debe establecer,
documentar, implementar y mantener procesos, procedimientos y controles para
asegurar el nivel necesario de continuidad para la seguridad de la información durante
una situación adversa.
c. Verificación, revisión y evaluación de la continuidad de la SI: La organización
debe verificar, de manera periódica, los controles de continuidad de la seguridad de la
información definida e implementada para asegurar que son válidos y eficaces durante
situaciones adversas.
13.2. Redundancias
Objetivo: Asegurar la disponibilidad de las instalaciones de procesamiento de la información.
Controles:
a. Disponibilidad de las instalaciones de procesamiento de la información: Las
instalaciones de procesamiento de la información deben ser implementadas con la
redundancia suficiente para cumplir con los requisitos de disponibilidad.
14.2. Revisiones de SI
Objetivo: Asegurar que la seguridad de la información se implemente y funcione de acuerdo
a las políticas y procedimientos de la organización.
Controles:
a. Revisión independiente de la SI: El enfoque de la organización para la gestión de la
seguridad de la información y su implementación (es decir, objetivos de control,
controles, políticas, procesos y procedimientos para seguridad de la información) se
debe revisar en forma independiente, a intervalos planificados, o cuando ocurran
cambios significativos.
b. Cumplimiento con las políticas y normas de seguridad: Los gerentes deben
revisar con regularidad el cumplimiento del procesamiento y los procedimientos de
seguridad que están dentro de su área de responsabilidad, de acuerdo con las
políticas de seguridad, normas y otros requisitos de seguridad pertinentes.