10.

8 Intercambio de informacin
Objetivo: Mantener la seguridad en el intercambio de informacin y software dentro de la organizacin y con cualquier otra entidad externa. Los intercambios de informacin y software dentro de la universidad se debern basar en una poltica formal de intercambio, seguida en lnea con los acuerdos de intercambio, y debiera cumplir con cualquier legislacin relevante Se deben establecer los procedimientos y estndares para proteger la informacin y los medios fsicos que contiene la informacin en-trnsito.

Numeral Control
10.8.1 Polticas y procedimientos de intercambio de informacin

Descripcin
Se debe establecer polticas, procedimientos y controles de intercambio formales para proteger el intercambio de informacin a travs del uso de todos los tipos de medios de comunicacin.

Lineamientos
Procedimientos para proteccin de intercambio de informacin Procedimientos para deteccin y proteccin contra cdigo maliciosos Procedimiento para proteger informacin comunicada atreves de adjuntos Procedimiento de medidas disciplinarias para empelados

10.8.2

Acuerdos de intercambio

El acuerdo de intercambio debiera considerar condiciones de seguridad

Manejo de las responsabilidades para el control y notificacin de la transmisin despacho y recepcin. Calves criptogrficas

10.8.3

Medios fsicos en trnsito

Los medios que contienen informacin debe ser protegidos contra accesos no-autorizados, mal uso o corrupcin durante el transporte ms all de los lmites fsicos de universidad.

Procedimiento de chequeo de mensajeros

Numeral 10.8.4

Control Mensajes electrnicos

Descripcin Se debiera proteger adecuadamente la informacin involucrada en mensajes electrnicos

Lineamientos Usuario y contrasea

10.8.5

Sistemas de informacin comercial

Se debe desarrollar e implementar polticas y procedimientos para proteger la informacin asociada con la interconexin de los sistemas de informacin comercial dentro de la institucin.

Categorizar empelados

10.9 Servicio de comercio electrnico

Objetivo: Asegurar la seguridad de los servicios de comercio electrnico y su uso seguro. Se debe considerar las implicancias de seguridad asociadas con el uso de servicios de comercio electrnico, incluyendo las transacciones enlnea, y los requerimientos de controles. Tambin se debe considerar la integridad y la disponibilidad de la informacin publica da electrnicamente a travs de los sistemas pblicamente disponibles

Numeral
10.9.1

Control
Comercio electrnico

Descripcin
La informacin involucrada en el comercio electrnico que pasa a travs de redes pblicas debiera protegerse de la actividad fraudulenta, disputas de contratos, divulgacin no-autoriza da y modificacin.

Lineamientos
Procedimientos para ventas de productos y servicios La confidencialidad de cualquier data o informacin confidencial

10.9.2

Transacciones en-lnea

Se debiera proteger la informacin involucrada en las transacciones en-lnea para evitar una transmisin incompleta, routing equivocado, alteracin no-autorizada del mensaje, divulgacin noautorizada, duplicacin o repeticin no-autoriza da del mensaje.

Firma electrnica de las empresas

El camino de las comunicaciones entre las partes involucradas debiera ser codificado
Asegurar el almacenaje de los detalles de la transaccin todos los aspectos de la transaccin: Las credenciales de usuario de todas las partes sean vlidas y verificadas; Que la transaccin permanezca confidencial Que se mantenga la privacidad asociada con todas las partes involucradas

Numeral
10.9.1

Control
Comercio electrnico

Descripcin
La informacin involucrada en el comercio electrnico que pasa a travs de redes pblicas debiera protegerse de la actividad fraudulenta, disputas de contratos, divulgacin no-autoriza da y modificacin.

Lineamientos
Procedimientos para ventas de productos y servicios La confidencialidad de cualquier data o informacin confidencial

10.9.2

Transacciones en-lnea

Se debiera proteger la informacin involucrada en las transacciones en-lnea para evitar una transmisin incompleta, routing equivocado, alteracin no-autorizada del mensaje, divulgacin noautorizada, duplicacin o repeticin no-autoriza da del mensaje.

Firma electrnica de las empresas

El camino de las comunicaciones entre las partes involucradas debiera ser codificado
Asegurar el almacenaje de los detalles de la transaccin todos los aspectos de la transaccin: Las credenciales de usuario de todas las partes sean vlidas y verificadas Que la transaccin permanezca confidencial Que se mantenga la privacidad asociada con todas las partes involucradas

10.10 Monitoreo
Objetivo: Detectar las actividades de procesamiento de informacin no autorizadas. Se debe monitorear los sistemas y se debe reportar los eventos de seguridad de la informacin. Se debe utilizar bitcoras de operador y se debe registrar las fallas para asegurar que se identifiquen los problemas en los sistemas de informacin.

Numeral
10.10.1

Control
Registro de auditora

Descripcin
Se debe producir y mantener registros de auditora de las actividades, excepciones y eventos de seguridad de la informacin durante un perodo acordado para ayudar en investigaciones futuras y monitorear el control de acceso.

Lineamientos
Registros diarios de ingreso y salida

Identidad o ubicacin de la identidad, si es posible

Registros de intentos de acceso fallidos y rechazados al sistema Registros de intentos de acceso fallidos y rechazados a la data y otros recursos;

10.10.2 Uso del sistema de monitoreo Se debe establecer procedimientos para el monitoreo del uso de los medios de procesamiento de la informacin y se debe revisar regularmente los resultados de las actividades de monitoreo.

Cambios en la configuracin del sistema

Uso de privilegios

Acceso autorizado Todas las operaciones privilegiadas Intentos de acceso no autorizado

Numeral
10.10.3

Control
Proteccin del registro de informacin

Descripcin
Se debe proteger los medios de registro y la informacin del registro para evitar la alteracin y el acceso no autorizado

Lineamientos
Las alteraciones registradas a los tipos de mensajes

Los archivos de registro que se editan o borran

10.10 4

Registros del administrador y operador

Se debe registrar las actividades del administrador del sistema y el operador del sistema

La hora en la cual ocurre un evento

La informacin sobre el evento (por ejemplo, archivos manejados) o falla. Cul cuenta y cul operador o administrador est involucrado;

Cules procesos estn involucrados.

10.10.5 Registro de fallas Se debieran registrar y analizar las fallas, y se debieran tomar las acciones necesarias Revisin de los registros de fallas para asegurar que las fallas se hayan resuelto satisfactoriamente; Revisin de las medidas correctivas para asegurar que los controles no se hayan visto comprometidos, y que la accin tomada haya sido completamente autorizada.