Está en la página 1de 92

Normas ISO 27001 y 27002

Gerardo Humberto Pieros.


Miguel ngel Caldern Ayala.
Marlon Yesith Ferro.
Facultad de Ingeniera

Qu es ISO?
ISOsiglas en ingls TheInternational Organization for
Standardization, lo
cual quiere decirOrganizacin
Internacional de Normalizacin.
El origen del termino ISO deriva del Griego isos, cuyo
significado es igual o estndar.
La cual se trata de una federacin cuyo alcance es de carcter
mundial, ya que esta integrada por cuerpos de
estandarizacin de 162 pases. Esta organizacin se
establecien 1947,como un organismo no gubernamental,
cuyamisines promover a nivel mundial eldesarrollo de las
actividades de estandarizacin.

Qu es ISO?
La Organizacin Internacional de Normalizacin,sostiene que
sus estndares son producidos bajo los siguientes principios:

Consenso,quiere decir que serespeta las opiniones de todos,


siendo tomados cuenta los puntos de vistas de todos los
interesados, como a losvendedores,fabricantes, usuarios, grupos
de consumidores,laboratorios, especialistas y organizaciones que
requieren de una investigacin.

Aplicacin Industrial Global, consiste en brindar soluciones


globales, con el fin de satisfacer a todo tipo de industrias, as
como a los clientes en todo el mundo.

Voluntario,es decir este tipo de estandarizacin de carcter


internacional, es de carcter voluntario por parte de todos los
interesados, quienes si desean adquirir un reconocimiento,
debern ceirse a los requisitos establecidos por estas normas .

Qu es IEC?
IEC
siglas
en
ingls
International
Electrotechnical Commission, lo cual quiere
decir Comisin Electrotcnica Internacional.
Es una organizacin denormalizacin en los
campos:elctrico,electrnicoy
tecnologas
La IEC fue fundada en 1906, siguiendo una resolucin del ao
relacionadas.
1904 aprobada en el Congreso Internacional Elctrico en San
Luis (Misuri).
La IEC est integrada por los organismos nacionales de
normalizacin, en las reas indicadas, de los pases miembros.
En 2003, a la IEC pertenecan ms de 60 pases miembros. En
2015, son 83 miembros, cada uno de ellos representando a un
pas: son 60 los Miembros Plenos, y 23 los Miembros
Asociados.

Qu es IEC?
A la CEI se le debe el desarrollo y difusin de los estndares
para algunas unidades de medida, particularmente el gauss,
hercio y weber; as como la primera propuesta de un sistema
de unidades estndar.
El Sistema Giorgi, que con el tiempo
se
convertira
en
el
Sistema
Internacional de Unidades.
Numerosas normas se desarrollan
conjuntamente con la Organizacin
Internacional
de
Normalizacin
(International
Organization
for
Standardization,
ISO):
normas
ISO/IEC.

Alcance
Este Estndar Internacional establece los lineamientos y principios
generales para iniciar, implementar, mantener y mejorar la gestin
de la seguridad de la informacin en una organizacin. Los objetivos
delineados en este Estndar Internacional proporcionan un
lineamiento general sobre los objetivos de gestin de seguridad de la
informacin generalmente aceptados.
Los objetivos de control y los controles de este Estndar Internacional
son diseados para ser implementados para satisfacer los
requerimientos identificados por una evaluacin del riesgo. Este
Estndar Internacional puede servir como un lineamiento prctico
para desarrollar estndares de seguridad organizacional y prcticas
de gestin de seguridad efectivas y para ayudar a elaborar la
confianza en las actividades inter-organizacionales.

En que consiste la Norma


(27001)
La propuesta de esta norma, no
est orientada a despliegues
tecnolgicos
o
de
infraestructura, sino a aspectos
netamente organizativos, es
decir, la frase que podra definir
su propsito es Organizar la
seguridad de la informacin,
por ello propone toda una
secuencia
de
acciones
tendientes al establecimiento,
implementacin,
operacin,
monitorizacin,
revisin,
mantenimiento y mejora del
ISMS
(Information
Security
Management System) o SGSI,
es el punto fuerte de este
estndar.

Los detalles que conforman el


cuerpo de esta norma, se podran
agrupar en tres grandes lneas:
ISMS.

Valoracin de riegos (Risk


Assesment)
Controles

Introduccin
Esta norma ha sido elaborada para brindar un modelo para el establecimiento,
implementacin, operacin, seguimiento, revisin, mantenimiento y mejora de
un sistema de gestin de la seguridad de la informacin (SGSI). La
adopcin
de
un
SGSI
debera
ser
una
decisin
estratgica para una organizacin. El diseo e implementacin del SGSI de
una organizacin estn influenciados por las necesidades y objetivos, los
requisitos de seguridad, los procesos empleados y el tamao y estructura de la
organizacin. Se espera que estos aspectos y sus sistemas de apoyo cambien
con el tiempo. Se espera que la implementacin de un SGSI se
ajuste de acuerdo con las necesidades de la organizacin, por ejemplo, una
situacin simple requiere una solucin de SGSI simple. Esta norma se puede
usar para evaluar la conformidad, por las partes interesadas, tanto internas
como externas.

Enfoque Basado En
Procesos

La Nueva Estructura De La ISO


27001

ISO 27001:2005/2013

1. Objeto
Esta norma cubre todo tipo de organizaciones (por ejemplo: empresas
comerciales, agencias gubernamentales, organizaciones si nimo de lucro).
Esta norma especifica los requisitos para establecer, implementar, operar,
hacer seguimiento, revisar, mantener y mejorar un SGSI documentado dentro
del contexto de los riesgos globales del negocio de la organizacin.
Especifica los requisitos para la implementacin de controles de seguridad
adaptados a las necesidades de las organizaciones individuales o a partes de
ellas.
El SGSI est diseado para asegurar controles de seguridad suficientes y
proporcionales que protejan los activos de informacin y brinden confianza a
las partes interesadas.

1. Objeto
APLICACIN
Los requisitos establecidos en esta norma son genricos y estn previstos
para ser aplicables a todas las organizaciones, independientemente de su
tipo, tamao y naturaleza. No es aceptable la exclusin de cualquiera de
los requisitos especificados en los numerales 4, 5, 6, 7 y 8 cuando una
organizacin declara conformidad con la presente norma.

2. Referencia Normativa
El siguiente documento referenciado es indispensable para la aplicacin
de esta norma. Para referencias fechadas, slo se aplica la edicin
citada. Para referencias no fechadas, se aplica la ltima edicin del
documento referenciado (incluida cualquier correccin).

3. TRMINOS Y
Para los propsitos de esta norma, se aplican los siguientes trminos y
DEFINICIONES
definiciones:

aceptacin del riesgo

Activo
anlisis de riesgo

Confidencialidad

declaracin de aplicabilidad
Disponibilidad
evaluacin del riesgo
evento de seguridad de la informacin
gestin del riesgo
incidente de seguridad de la informacin
Integridad
riesgo residual

seguridad de la informacin
sistema de gestin de la seguridad
de la informacin
tratamiento del riesgo
valoracin del riesgo

4.Sistema de gestin de la
seguridad de la informacin
Requisitos Generales:
La organizacin debe establecer, implementar, operar,
hacer seguimiento, revisar, mantener y mejorar un
SGSI documentado, en el contexto de las actividades
globales del negocio de la organizacin y de los
riesgos que enfrenta. Para los propsitos de esta
norma, el proceso usado se basa en el modelo PHVA

4.Sistema de gestin de la
seguridad de la informacin
Establecimiento Y Gestin Del SGSI

La Organizacin Debe:
A. Definir el alcance y lmites del SGSI en trminos de las caractersticas del
negocio, la organizacin, su ubicacin, sus activos, tecnologa, e incluir los
detalles y justificacin de cualquier exclusin del alcance.
B. Definir una poltica de SGSI en trminos de las caractersticas del negocio, la
organizacin, su ubicacin, sus activos y tecnologa.
C. Definir el enfoque organizacional para la valoracin del riesgo.
D. Identificar los riesgos
E. Analizar y evaluar los riesgos.
F. Identificar y evaluar las opciones para el tratamiento de los riesgos.
G. Seleccionar los objetivos de control y los controles para el tratamiento de los
riesgos.
H. Obtener la aprobacin de la direccin sobre los riesgos residuales propuestos.
I. Obtener autorizacin de la direccin para implementar y operar el SGSI.
J. Elaborar una declaracin de aplicabilidad.

5. Responsabilidad
de la direccin
COMPROMISO DE LA DIRECCIN:
La direccin debe brindar evidencia de su compromiso con el establecimiento,
implementacin, operacin, seguimiento, revisin, mantenimiento y mejora del
SGSI:
a) mediante el establecimiento de una poltica del SGSI.
b) asegurando que se establezcan los objetivos y planes del SGSI.
c) estableciendo funciones y responsabilidades de seguridad de la informacin.
d) comunicando a la organizacin la importancia de cumplir los objetivos de
seguridad de la informacin y de la conformidad con la poltica de seguridad de la
informacin, sus responsabilidades bajo la ley, y la necesidad de la mejora continua.
e) brindando los recursos suficientes para establecer, implementar, operar, hacer
seguimiento, revisar, mantener y mejorar un SGSI.

5. Responsabilidad
de la direccin
GESTIN DE RECURSOS:
La organizacin debe determinar y suministrar los recursos necesarios para:
a) establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar
un SGSI.
b) asegurar que los procedimientos de seguridad de la informacin brindan apoyo a
los requisitos del negocio.
c) identificar y atender los requisitos legales y reglamentarios, as como las
obligaciones de seguridad contractuales.
d) mantener la seguridad suficiente mediante la aplicacin correcta de todos los
controles implementados.
e) llevar a cabo revisiones cuando sea necesario, y reaccionar apropiadamente a
los resultados de estas revisiones.
f) en donde se requiera, mejorar la eficacia del SGSI.

6. AUDITORIAS
INTERNAS DEL SGSI
La organizacin debe llevar a cabo auditoras internas del SGSI a intervalos
planificados, para determinar si los objetivos de control, controles, procesos y
procedimientos de su SGSI:
a) cumplen los requisitos de la presente norma y de la legislacin o
reglamentaciones pertinentes.
b) cumplen los requisitos identificados de seguridad de la informacin.
c) estn implementados y se mantienen eficazmente.
d) tienen un desempeo acorde con lo esperado.

7. REVISIN DEL SGSI POR LA


DIRECCIN
La direccin debe revisar el SGSI de la organizacin a intervalos
planificados(por lo menos una vez al ao), para asegurar su conveniencia,
suficiencia y eficacia continuas. Esta revisin debe incluir la evaluacin de
las oportunidades de mejora y la necesidad de cambios del SGSI,
incluidos la poltica de seguridad y los objetivos de seguridad. Los
resultados de las revisiones se deben documentar claramente y se deben
llevar registros.

7. REVISIN DEL SGSI POR


LA DIRECCIN
INFORMACIN PARA LA REVISIN
Las entradas para la revisin por la direccin deben incluir:
a) resultados de las auditoras y revisiones del SGSI.
b) retroalimentacin de las partes interesadas.
c) tcnicas, productos o procedimientos que se pueden usar en la organizacin
para mejorar el desempeo y eficacia del SGSI.
d) estado de las acciones correctivas y preventivas.
e) vulnerabilidades o amenazas no tratadas adecuadamente en la valoracin
previa de los riesgos.
f) resultados de las mediciones de eficacia.
g) acciones de seguimiento resultantes de revisiones anteriores por la direccin;
h) cualquier cambio que pueda afectar el SGSI.
i) recomendaciones para mejoras.

7. REVISIN DEL SGSI POR


LA DIRECCIN

RESULTADOS DE LA REVISIN

Los resultados de la revisin por la direccin deben incluir cualquier decisin y


accin relacionada con:
a) la mejora de la eficacia del SGSI.
b) la actualizacin de la evaluacin de riesgos y del plan de tratamiento de riesgos.
c) La modificacin de los procedimientos y controles que afectan la seguridad de la
informacin, segn sea necesario, para responder a eventos internos o externos
que pueden tener impacto en el SGSI.
d) los recursos necesarios.
e) la mejora a la manera en que se mide la eficacia de los controles.

8. MEJORA DEL SGSI


MEJORA CONTINUA
La organizacin debe mejorar continuamente la eficacia del SGSI mediante el
uso de la poltica de seguridad de la informacin, los objetivos de seguridad de
la informacin, los resultados de la auditora, el anlisis de los eventos a los
que se les ha hecho seguimiento, las acciones correctivas y preventivas y la
revisin por la direccin.
ACCIN CORRECTIVA
a) identificar las no conformidades;
b) determinar las causas de las no conformidades.
c) evaluar la necesidad de acciones que aseguren que las no conformidades no
vuelven a ocurrir.
d) determinar e implementar la accin correctiva necesaria.
e) registrar los resultados de la accin tomada.
f) revisar la accin correctiva tomada.

8. MEJORA DEL SGSI


ACCIN PREVENTIVA
a) identificar no conformidades potenciales y sus causas;
b) evaluar la necesidad de acciones para impedir que las no conformidades
ocurran.
c) determinar e implementar la accin preventiva necesaria;
d) registrar los resultados de la accin tomada (vase el numeral 4.3.3), y
e) revisar la accin preventiva tomada.
La organizacin debe identificar los cambios en los riesgos e identificar los
requisitos en cuanto acciones preventivas, concentrando la atencin en los riesgos
que han cambiado significativamente.

OBJETIVOS DE CONTROL Y
CONTROLES
ANEXO A
INTRODUCCIN
Los objetivos de control y los controles enumerados en la Tabla A.1 se han
obtenido directamente de los de la NTC-ISO/IEC 17799:2005, numerales 5 a
15, y estn alineados con ellos. Las listas de estas tablas no son
exhaustivas, y la organizacin puede considerar que se necesitan objetivos
de control y controles adicionales. Los objetivos de control y controles de
estas tablas se deben seleccionar como parte del proceso de SGSI
especificado en el numeral

OBJETIVOS DE CONTROL Y
CONTROLES
ANEXO B
(Informativo)
PRINCIPIOS DE LA OCDE Y DE ESTA NORMA
Los principios presentados en la Directrices de la OCDE para la Seguridad de
Sistemas y Redes de Informacin se aplican a todos los niveles de poltica y
operacionales que controlan la seguridad de los sistemas y redes de informacin. Esta
norma internacional brinda una estructura del sistema de gestin de la seguridad de la
informacin para implementar algunos principios de la OCDE usando el modelo PHVA
y los procesos descritos en los numerales 4, 5, 6 y 8,

OBJETIVOS DE CONTROL Y
CONTROLES

ANEXO C
(Informativo)

CORRESPONDENCIA ENTRE LA NTC-ISO 9001:2000, LA


NTC-ISO 14001:2004, Y LA PRESENTE NORMA
La Tabla C.1 muestra la correspondencia entre la NTC ISO 9001:2000,
la NTC-ISO 14001:2004 y la presente norma internacional.

Anexo A
ISO/IEC
El AnexoA Referencia de objetivos y
controlescontina
formando parte
27001-2013
de este estndar, pero los anexos B
y C se han eliminado.

El nmero de dominios del anexo


aumenta de 11 a 14, de esta manera,
donde algunos controles se incluan
de forma artificial en ciertas reas
donde no encajaban perfectamente,
ahora se organizan mejor.

ISO/IEC 27002
Publicadadesde el 1 de Julio de 2007, es el nuevo nombre de
ISO 17799:2005, manteniendo 2005 como ao de edicin. Es
una gua de buenas prcticas que describe los objetivos
de control y controles recomendables en cuanto a
seguridad de la informacin. No es certificable. Contiene 39
objetivos de control y 133 controles, agrupados en 11 dominios.
Como se ha mencionado en su apartado correspondiente, la
norma ISO 27001 contiene un anexo que resume los controles
de ISO 27002:2005.
El objetivo es el de establecer un esquema directivo de gestin
para iniciar y controlar la implementacin y operativa de la
seguridad de la informacin en la organizacin.

27002:2005 Vs 27002:2013
5. POLTICA DE
SEGURIDAD.
6. ASPECTOS ORGANIZATIVOS DE LA SEG.
DE LA INF.
8. SEGURIDAD LIGADA A LOS RECURSOS
HUMANOS.
7. GESTIN DE ACTIVOS.
11. CONTROL DE ACCESO.
9. SEGURIDAD FSICA Y DEL
ENTORNO.
10. GESTIN DE COMUNICACIONES Y
OPERACIONES.
12. ADQUI, DESARROLLO Y MANT DE SIST
DE INF.
13. GESTIN DE INCIDENTES EN LA SEG
DE LA INF.
14. GESTIN DE LA CONTINUIDAD DEL
NEGOCIO.
15.
CUMPLIMIENTO.

5. POLTICAS DE SEGURIDAD.
6. ASPECTOS ORGANIZATIVOS DE LA
SEG. DE LA INF.
7. SEGURIDAD LIGADA A LOS RECURSOS
HUMANOS.
8. GESTIN DE
ACTIVOS.
9.
CONTROL DE

ACCESOS.
10.
CIFRADO.
11. SEGURIDAD FSICA Y
AMBIENTAL.
12. SEGURIDAD EN LA
OPERACIONES.
13. SEGURIDAD EN LAS
TELECOMUNICACIONES.
14. ADQUI, DESARRO Y MANT DE LOS
SIST DE INF.
15. RELACIONES CON
SUMINISTRADORES.
16. GESTIN DE INCIDENTES EN LA SEG
DE LA INF.
17. ASPECTOS DE SEGURIDAD DE LA
INFORMACION EN LA GESTIN DE LA
CONTINUIDAD DEL NEGOCIO.
18. CUMPLIMIENTO.

27002:2005 Vs 27002:2013

Domini
o

Estructura De La Norma
Objetos d
e
Control
Controles

5. Poltica De Seguridad.
Objetivo
Dirigir y dar soporte a la gestin de la seguridadde la informacin en
concordancia con los requerimientos del negocio, las leyes y las
regulaciones.
5.1 Directrices de la Direccin enSeguridadde la Informacin
La gerencia debera establecer de forma clara las lneas de las
polticas de actuacin y manifestar su apoyo y compromiso a la
seguridad de la informacin, publicando y manteniendo polticas de
seguridad en toda la organizacin.
Actividades de Control del Riesgo
5.1.1 Polticas para la seguridad de la informacin: Se debera definir un
conjunto de polticas para la seguridad de la informacin, aprobado por la direccin,
publicado y comunicado a los empleados as como a todas las partes externas
relevantes.
5.1.2 Revisin de las polticas para la seguridad de la informacin: Las
polticas para la seguridad de la informacin se deberan planificar y revisar con
regularidad o si ocurren cambios significativos para garantizar su idoneidad,
adecuacin y efectividad.

6. Aspectos Organizativos De La
Seguridad De La Informacin
Objetivo
Establecer la administracin de la seguridad de la informacin, como
parte fundamental de los objetivos y actividades de la organizacin.
Para ello se debera definir formalmente un mbito de gestin para
efectuar tareas tales como la aprobacin de las polticas de
seguridad, la coordinacin de la implementacin de la seguridad y la
asignacin de funciones y responsabilidades.
Para una actualizacin adecuada en materia de seguridad se debera
contemplar la necesidad de disponer de fuentes con conocimiento y
experimentadas para el asesoramiento, cooperacin y colaboracin
en materia de seguridad de la informacin.

6. Aspectos Organizativos De La
Seguridad De La Informacin
Objetivo
Establecer la administracin de la seguridad de la informacin, como
parte fundamental de los objetivos y actividades de la organizacin.
6.1 Organizacin interna
El objetivo es el de establecer un esquema directivo de gestin para
iniciar y controlar la implementacin y operativa de la seguridad de
la informacin en la organizacin.
Se debera establecer una estructura de gestin con objeto de iniciar
y controlar la implantacin de la seguridad de la informacin dentro
de la Organizacin.
El rgano de direccin debera aprobar la poltica de seguridad de la
informacin, asignar los roles de seguridad y coordinar y revisar la
implantacin de la seguridad en toda la Organizacin.

6. Aspectos Organizativos De La
Seguridad De La Informacin
6.1 Organizacin interna
6.1.1 Asignacin de responsabilidades para la Seguridad de la
informacin: Se deberan definir y asignar claramente todas las
responsabilidades para la seguridad de la informacin.
6.1.2 Segregacin de tareas: Se deberan segregar tareas y las reas de
responsabilidad ante posibles conflictos de inters con el fin de reducir las
oportunidades de una modificacin no autorizada o no intencionada, o el de
un mal uso de los activos de la organizacin.
6.1.3 Contacto con las autoridades: Se deberan mantener los contactos
apropiados con las autoridades pertinentes.
6.1.4 Contacto con grupos de inters especial: Se debera mantener el
contacto con grupos o foros de seguridad especializados y asociaciones
profesionales.
6.1.5 Seguridad de la informacin en la gestin de proyectos: Se
debera contemplar la seguridad de la informacin en la gestin de proyectos
e independientemente del tipo de proyecto a desarrollar por la organizacin.

6. Aspectos Organizativos De La
Seguridad De La Informacin
6.2 Dispositivos para movilidad y teletrabajo
El objetivo es el de garantizar la seguridad de la informacin en el
uso de recursos de informtica mvil y teletrabajo.
En el uso de la informtica mvil deberan considerarse los riesgos de
trabajar en entornos desprotegidos y aplicar la proteccin
conveniente. En el caso del teletrabajo, la Organizacin debera
aplicar las medidas de proteccin al lugar remoto y garantizar que las
disposiciones adecuadas estn disponibles para esta modalidad de
trabajo.
Debera disponer de polticas claramente definidas para la
proteccin, no slo de los propios equipos informticos porttiles (es
decir, laptops, PDAs, etc.), sino, en mayor medida, de la informacin
almacenada en ellos.

6. Aspectos Organizativos De La
Seguridad De La Informacin
6.2 Dispositivos para movilidad y teletrabajo
6.2.1 Poltica de uso de dispositivos para movilidad: Se debera
establecer una poltica formal y se deberan adoptar las medidas de
seguridad adecuadas para la proteccin contra los riesgos derivados
del uso de los recursos de informtica mvil y las
telecomunicaciones.
6.2.2 Teletrabajo: Se debera desarrollar e implantar una poltica y
medidas de seguridad de apoyo para proteger a la informacin
accedida, procesada o almacenada en ubicaciones destinadas al
teletrabajo.

7. Seguridad Ligada A Los Recursos


Humanos
Objetivo
La necesidad de educar e informar al personal desde su ingreso y en
forma continua, cualquiera sea su situacin de actividad, acerca de
las medidas de seguridad que afectan al desarrollo de sus funciones
y de las expectativas depositadas en ellos en materia de seguridad y
asuntos de confidencialidad.
El Responsable del rea Jurdica participa en la confeccin del
Compromiso de confidencialidad a firmar por los empleados y
terceros que desarrollen funciones en el organismo, en el
asesoramiento sobre las sanciones a ser aplicadas por
incumplimiento de las Polticas en seguridad y en el tratamiento de
incidentes de seguridad que requieran de su intervencin.

7. Seguridad Ligada A Los Recursos


Humanos
7.1 Antes de la contratacin
El objetivo es el de asegurar que los empleados, contratistas y
usuarios de terceras partes entiendan sus responsabilidades y sean
aptos para las funciones que desarrollen. Reducir el riesgo de robo,
fraude y mal uso de las instalaciones y medios.
7.1.1 Investigacin de antecedentes: Se deberan realizar
revisiones de verificacin de antecedentes de los candidatos al
empleo en concordancia con las regulaciones, tica y leyes
relevantes y deben ser proporcionales a los requerimientos del
negocio, la clasificacin de la informacin a la cual se va a tener
acceso y los riesgos percibidos.
7.1.2 Trminos y condiciones de contratacin: Como parte de su
obligacin contractual, empleados, contratistas y terceros deberan
aceptar y firmar los trminos y condiciones del contrato de empleo,
el cual establecer sus obligaciones y las obligaciones de la
organizacin para la seguridad de informacin.

7. Seguridad Ligada A Los Recursos


Humanos
7.2 Durante la contratacin
El objetivo es el de asegurarse de que los empleados y
contratistas estn en conocimiento y cumplen con sus
responsabilidades en seguridad de la informacin.
7.2.1 Responsabilidades de gestin: La Direccin debera
requerir a empleados, contratistas y usuarios de terceras partes
aplicar la seguridad en concordancia con las polticas y los
procedimientos.
7.2.2 Concienciacin, educacin y capacitacin en SI: Todos
los empleados de la organizacin y donde sea relevante,
contratistas y usuarios de terceros deberan recibir entrenamiento
apropiado del conocimiento y actualizaciones regulares en
polticas y procedimientos organizacionales como sean relevantes
para la funcin de su trabajo.
7.2.3 Proceso disciplinario: Debera existir un proceso formal
disciplinario comunicado a empleados que produzcan brechas en
la seguridad.

7. Seguridad Ligada A Los Recursos


Humanos
7.3 Cese o cambio de puesto de trabajo
El objetivo es el de proteger los intereses de la organizacin durante
el proceso de cambio o finalizacin de empleo por parte de
empleados y contratistas.

Los cambios en las responsabilidades y


organizacin.
La devolucin de los activos de la organizacin.
Examine qu accesos necesita revocar.

empleos

en

la

7.3.1 Cese o cambio de puesto de trabajo: Las responsabilidades


para ejecutar la finalizacin de un empleo o el cambio de ste
deberan estar claramente definidas, comunicadas a empleado o
contratista y asignadas efectivamente.

8. GESTIN ACTIVOS
Objetivo
Es que la organizacin tenga conocimiento preciso sobre los activos
que posee como parte importante de la administracin de riesgos.
8.1 Responsabilidad sobre los activos
El objetivo es identificar los activos en la organizacin y definir las
responsabilidades para una proteccin adecuada.
8.1.1 Inventario de activos: Todos los activos deberan estar
claramente identificados, confeccionando y manteniendo un
inventario con los ms importantes.

8. Gestin Activos
8.1 Responsabilidad sobre los activos
8.1.2 Propiedad de los activos: Toda la informacin y activos del
inventario asociados a los recursos para el tratamiento de la
informacin deberan pertenecer a una parte designada de la
Organizacin.
8.1.3 Uso aceptable de los activos: Se deberan identificar,
documentar e implantar regulaciones para el uso adecuado de la
informacin y los activos asociados a recursos de tratamiento de la
informacin.
8.1.4 Devolucin de activos: Todos los empleados y usuarios de
terceras partes deberan devolver todos los activos de la
organizacin que estn en su posesin/responsabilidad una vez
finalizado el acuerdo, contrato de prestacin de servicios o
actividades relacionadas con su contrato de empleo.

8. Gestin Activos
8.2 Clasificacin De La Informacin
el objetivo es el de asegurar que se aplica un nivel de proteccin
adecuado a la informacin.
8.2.1 directrices de clasificacin: la informacin debera
clasificarse en relacin a su valor, requisitos legales, sensibilidad y
criticidad para la organizacin.
8.2.2 etiquetado y manipulado de la informacin: se debera
desarrollar e implantar un conjunto apropiado de procedimientos
para el etiquetado y tratamiento de la informacin, de acuerdo con el
esquema de clasificacin adoptado por la organizacin.
8.2.3 manipulacin de activos: se deberan desarrollar e
implantar procedimientos para la manipulacin de los activos acordes
con el esquema de clasificacin de la informacin adoptado por la
organizacin.

8. Gestin Activos
8.3 Manejo de los soportes de almacenamiento
El objetivo es evitar la divulgacin, modificacin, retirada o
destruccin de activos no autorizada almacenada en soportes de
almacenamiento.
8.3.1 Gestin de soportes extrables: Se deberan establecer
procedimientos para la gestin de los medios informticos removibles
acordes con el esquema de clasificacin adoptado por la
organizacin.
8.3.2 Eliminacin de soportes: Se deberan eliminar los medios de
forma segura y sin riesgo cuando ya no sean requeridos, utilizando
procedimientos formales.
8.3.3 Soportes fsicos en trnsito: Se deberan proteger los
medios que contienen informacin contra acceso no autorizado, mal

9. Control De Accesos
Objetivo
Controlar el acceso por medio de un sistema de restricciones y
excepciones a la informacin como base de todo sistema
deseguridadinformtica.
9.1 Requisitos de negocio para el control de accesos
El objetivo es controlar los accesos a la informacin y las
instalaciones utilizadas para su procesamiento.
9.1.1 Poltica de control de accesos: Se debera establecer,
documentar y revisar una poltica de control de accesos en base a las
necesidades de seguridad y de negocio de la Organizacin.
9.1.2 Control de acceso a las redes y servicios asociados: Se
debera proveer a los usuarios de los accesos a redes y los servicios
de red para los que han sido expresamente autorizados a utilizar.

9. Control De Accesos
9.2 Gestin de acceso de usuario
El objetivo es el de garantizar el acceso a los usuarios autorizados e
impedir los accesos no autorizados a los sistemas de informacin y
servicios.
9.2.1 Gestin de altas/bajas en el registro de usuarios:
Debera existir un procedimiento formal de alta y baja de usuarios
con objeto de habilitar la asignacin de derechos de acceso.
9.2.2 Gestin de los derechos de acceso asignados a
usuarios: Se debera de implantar un proceso formal de
aprovisionamiento de accesos a los usuarios para asignar o revocar
derechos de acceso a todos los tipos de usuarios y para todos los
sistemas y servicios.
9.2.3 Gestin de los derechos de acceso con privilegios
especiales: La asignacin y uso de derechos de acceso con
privilegios especiales debera ser restringido y controlado.

9. Control De Accesos
9.2 Gestin de acceso de usuario
9.2.4 Gestin de informacin confidencial de autenticacin de
usuarios: La asignacin de informacin confidencial para la
autenticacin debera ser controlada mediante un proceso de gestin
controlado.
9.2.5 Revisin de los derechos de acceso de los usuarios: Los
propietarios de los activos deberan revisar con regularidad los
derechos de acceso de los usuarios.
9.2.6 Retirada o adaptacin de los derechos de acceso: Se
deberan retirar los derechos de acceso para todos los empleados,
contratistas o usuarios de terceros a la informacin y a las
instalaciones del procesamiento de informacin a la finalizacin del
empleo, contrato o acuerdo, o ser revisados en caso de cambio.

9. Control De Accesos
9.3 Responsabilidades del usuario
El objetivo es hacer que los usuarios sean responsables de la
proteccin de la informacin para su identificacin.
9.3.1 Uso de informacin confidencial para la autenticacin:
Se debera exigir a los usuarios el uso de las buenas prcticas de
seguridad de la organizacin en el uso de informacin confidencial
para la autenticacin.

9. Control De Accesos
9.4 Control de acceso a sistemas y aplicaciones
El objetivo es impedir el acceso no autorizado a la informacin
mantenida por los sistemas y aplicaciones.
9.4.1 Restriccin del acceso a la informacin: Se debera
restringir el acceso de los usuarios y el personal de mantenimiento a
la informacin y funciones de los sistemas de aplicaciones, en
relacin a la poltica de control de accesos definida.
9.4.2 Procedimientos seguros de inicio de sesin: Cuando sea
requerido por la poltica de control de accesos se debera controlar el
acceso a los sistemas y aplicaciones mediante un procedimiento
seguro de log-on
9.4.3 Gestin de contraseas de usuario: Los sistemas de
gestin de contraseas deberan ser interactivos y asegurar

9. Control De Accesos
9.4 Control de acceso a sistemas y aplicaciones
9.4.4 Uso de herramientas de administracin de sistemas: El
uso de utilidades software que podran ser capaces de anular o evitar
controles en aplicaciones y sistemas deberan estar restringidos y
estrechamente controlados.
9.4.5 Control de acceso al cdigo fuente de los programas: Se
debera restringir el acceso al cdigo fuente de las aplicaciones
software.

10. Cifrado
Objetivo
El objetivo es garantizar un uso adecuado y eficaz de la criptografa
para proteger la confidencialidad, la autenticidad y/o la integridad de
la
informacin.
10.1 Controles criptogrficos
El objetivo es garantizar un uso adecuado y eficaz de la criptografa
para proteger la confidencialidad, la autenticidad y/o la integridad de
la informacin.
10.1.1 Poltica de uso de los controles criptogrficos: Se
debera desarrollar e implementar una poltica que regule el uso de
controles criptogrficos para la proteccin de la informacin.
10.1.2 Gestin de claves: Se debera desarrollar e implementar
una poltica sobre el uso, la proteccin y el ciclo de vida de las claves
criptogrficas a travs de todo su ciclo de vida.

11.SeguridadFsica Y
Ambiental

Objetivo

Es minimizar los riesgos de daos e interferencias a la informacin y


a las operaciones de la organizacin.
11.1 reas seguras
El objetivo es evitar el acceso fsico no autorizado, los daos e
interferencias a la informacin de la organizacin y las instalaciones
de procesamiento de la informacin.
11.1.1 Permetro de seguridad fsica: Se deberan definir y
utilizar permetros de seguridad para la proteccin de las reas que
contienen informacin y las instalaciones de procesamiento de
informacin sensible o crtica.

11.SeguridadFsica Y
Ambiental

11.1 reas seguras

11.1.2 Controles fsicos de entrada: Las reas seguras deberan estar


protegidas mediante controles de entrada adecuados para garantizar que solo
el personal autorizado dispone de permiso de acceso.
11.1.3 Seguridad de oficinas, despachos y recursos: Se debera disear
y aplicar un sistema de seguridad fsica a las oficinas, salas e instalaciones de
la organizacin.
11.1.4 Proteccin contra las amenazas externas y ambientales: Se
debera disear y aplicar una proteccin fsica contra desastres naturales,
ataques maliciosos o accidentes.
11.1.5 El trabajo en reas seguras: Se deberan disear y aplicar
procedimientos para el desarrollo de trabajos y actividades en reas seguras.
11.1.6 reas de acceso pblico, carga y descarga: Se deberan controlar
puntos de acceso a la organizacin como las reas de entrega y
carga/descarga (entre otros) para evitar el ingreso de personas no autorizadas
a las dependencias aislando estos puntos, en la medida de lo posible, de las
instalaciones de procesamiento de informacin.

11.SeguridadFsica Y
Ambiental

11.1 reas seguras

11.1.6 reas de acceso pblico, carga y descarga: Se deberan


controlar puntos de acceso a la organizacin como las reas de
entrega y carga/descarga (entre otros) para evitar el ingreso de
personas no autorizadas a las dependencias aislando estos puntos,
en la medida de lo posible, de las instalaciones de procesamiento de
informacin.

11.SEGURIDADFSICA Y
AMBIENTAL

11.2 SEGURIDAD DE LOS EQUIPOS

El objetivo es evitar la prdida, los daos, el robo o el compromiso de


activos y la interrupcin a las operaciones de la organizacin.
11.2.1 Emplazamiento y proteccin de equipos: Los equipos se
deberan emplazar y proteger para reducir los riesgos de las
amenazas y peligros ambientales y de oportunidades de acceso no
autorizado.
11.2.2 Instalaciones de suministro: Los equipos deberan estar
protegidos contra cortes de luz y otras interrupciones provocadas por
fallas en los suministros bsicos de apoyo.
11.2.3 Seguridad del cableado: Los cables elctricos y de
telecomunicaciones que transportan datos o apoyan a los servicios
de informacin se deberan proteger contra la intercepcin,

11.SeguridadFsica Y
Ambiental

11.2 Seguridad de los equipos

11.2.4 Mantenimiento de los equipos: Los equipos deberan


mantenerse adecuamente con el objeto de garantizar su
disponibilidad e integridad continuas.
11.2.5 Salida de activos fuera de las dependencias de la
empresa: Los equipos, la informacin o el software no se deberan
retirar del sitio sin previa autorizacin.
11.2.6 Seguridad de los equipos y activos fuera de las
instalaciones: Se debera aplicar la seguridad a los activos
requeridos para actividades fuera de las dependencias de la
organizacin y en consideracin de los distintos riesgos.

11.SeguridadFsica Y
Ambiental
11.2 Seguridad de los equipos
11.2.7 Reutilizacin o retirada segura de dispositivos de
almacenamiento: Se deberan verificar todos los equipos que
contengan medios de almacenamiento para garantizar que cualquier
tipo de datos sensibles y software con licencia se hayan extrado o se
hayan sobrescrito de manera segura antes de su eliminacin o
reutilizacin.
11.2.8 Equipo informtico de usuario desatendido: Los usuarios
se deberan asegurar de que los equipos no supervisados cuentan
con la proteccin adecuada.
11.2.9 Poltica de puesto de trabajo despejado y bloqueo de
pantalla: Se debera adoptar una poltica de puesto de trabajo
despejado para documentacin en papel y para medios de
almacenamiento extrables y una poltica de monitores sin
informacin para las instalaciones de procesamiento de informacin.

12.SeguridadEn La Operativa
12.1 Responsabilidades y procedimientos de operacin
El objetivo es evitar el acceso fsico no autorizado, los daos e
interferencias a la informacin de la organizacin y las instalaciones
de procesamiento de la informacin.
12.1.1 Documentacin de procedimientos de operacin: Se
deberan documentar los procedimientos operativos y dejar a
disposicin de todos los usuarios que los necesiten.
12.1.2 Gestin de cambios: Se deberan controlar los cambios que
afectan a la seguridad de la informacin en la organizacin y
procesos de negocio, las instalaciones y sistemas de procesamiento
de informacin.
12.1.3 Gestin de capacidades: Se debera monitorear y ajustar el
uso de los recursos junto a proyecciones necesarias de requisitos de
capacidad en el futuro con el objetivo de garantizar el rendimiento
adecuado en los sistemas.

12.SeguridadEn La Operativa
12.1
RESPONSABILIDADES
OPERACIN

PROCEDIMIENTOS

DE

12.1.4 Separacin de entornos de desarrollo, prueba y


produccin: Los entornos de desarrollo, pruebas y operacionales
deberan permanecer separados para reducir los riesgos de acceso o
de cambios no autorizados en el entorno operacional.

12.SeguridadEn La Operativa
12.2 Proteccin contra cdigo malicioso
El objetivo es garantizar que la informacin y las instalaciones de
procesamiento de informacin estn protegidas contra el malware.
12.2.1 Controles contra el cdigo malicioso: Se deberan
implementar controles para la deteccin, prevencin y recuperacin
ante afectaciones de malware en combinacin con la concientizacin
adecuada de los usuarios.
12.3 Copias de seguridad
El objetivo es alcanzar un grado de proteccin deseado contra la
prdida de datos.
12.3.1 Copias de seguridad de la informacin: Se deberan
realizar y pruebas regulares de las copias de la informacin, del
software y de las imgenes del sistema en relacin a una poltica de
respaldo (Backup) convenida.

12.SeguridadEn La Operativa
12.4 Registro de actividad y supervisin
El objetivo es registrar los eventos relacionados con la seguridad de
la informacin y generar evidencias.
12.4.1 Registro y gestin de eventos de actividad: Se deberan
producir, mantener y revisar peridicamente los registros
relacionados con eventos de actividad del usuario, excepciones,
fallas y eventos de seguridad de la informacin.
12.4.2 Proteccin de los registros de informacin: Se debera
proteger contra posibles alteraciones y accesos no autorizados la
informacin de los registros.
12.4.3 Registros de actividad del administrador y operador
del sistema: Se deberan registrar las actividades del administrador
y del operador del sistema y los registros asociados se deberan

12.SeguridadEn La Operativa
12.4 Registro de actividad y supervisin
12.4.4 Sincronizacin de relojes: Se deberan sincronizar los
relojes de todos los sistemas de procesamiento de informacin
pertinentes dentro de una organizacin o de un dominio de seguridad
y en relacin a una fuente de sincronizacin nica de referencia.
12.5 Control del software en explotacin
El objetivo es garantizar la integridad de los sistemas operacionales
para la organizacin.
12.5.1 Instalacin del software en sistemas en produccin: Se
deberan implementar procedimientos para controlar la instalacin de
software en sistemas operacionales.

12.SeguridadEn La Operativa
12.6 Gestin de la vulnerabilidad tcnica
El objetivo es evitar la explotacin de vulnerabilidades tcnicas.
12.6.1 Gestin de las vulnerabilidades tcnicas: Se debera
obtener informacin sobre las vulnerabilidades tcnicas de los
sistemas de informacin de manera oportuna para evaluar el grado
de exposicin de la organizacin y tomar las medidas necesarias para
abordar los riesgos asociados.
12.6.2 Restricciones en la instalacin de software: Se deberan
establecer e implementar las reglas que rigen la instalacin de
software por parte de los usuarios.

12.SeguridadEn La Operativa
12.7 Consideraciones De Las Auditoras De Los Sistemas De
Informacin
El Objetivo Es Minimizar El Impacto De Actividades De Auditora En
Los Sistemas Operacionales.
12.7.1 Controles De Auditora De Los Sistemas
Informacin: Se Deberan Planificar Y Acordar Los Requisitos Y
Actividades De Auditora Que Involucran La Verificacin De
Sistemas Operacionales Con El Objetivo De Minimizar
Interrupciones En Los Procesos Relacionados Con El Negocio.

De
Las
Los
Las

13. Seguridad En Las


Telecomunicaciones
Objetivo
Asegurar la proteccin de la informacin que se comunica por redes
telemticas y la proteccin de la infraestructura de soporte.
13.1 Gestin de la seguridad en las redes
El objetivo es evitar el acceso fsico no autorizado, los daos e
interferencias a la informacin de la organizacin y las instalaciones
de procesamiento de la informacin.
13.1.1 Controles de red: Se deberan administrar y controlar las
redes para proteger la informacin en sistemas y aplicaciones.

13. Seguridad En Las


Telecomunicaciones
13.1 Gestin de la seguridad en las redes
13.1.2 Mecanismos de seguridad asociados a servicios en red:
Se deberan identificar e incluir en los acuerdos de servicio (SLA) los
mecanismos de seguridad, los niveles de servicio y los requisitos de
administracin de todos los servicios de red, independientemente de
si estos servicios se entregan de manera interna o estn
externalizados.
13.1.3 Segregacin de redes: Se deberan segregar las redes en
funcin de los grupos de servicios, usuarios y sistemas de
informacin.

13. Seguridad En Las


Telecomunicaciones
13.2 Intercambio de informacin con partes externas
El objetivo es mantener la seguridad de la informacin que transfiere
un organizacin internamente o con entidades externas.
13.2.1 Polticas y procedimientos de intercambio de
informacin: Deberan existir polticas, procedimientos y controles
formales de transferencia para proteger la informacin que viaja a
travs del uso de todo tipo de instalaciones de comunicacin.
13.2.2 Acuerdos de intercambio: Los acuerdos deberan abordar
la transferencia segura de informacin comercial entre la
organizacin y las partes externas.
13.2.3
Mensajera
electrnica:
Se
debera
proteger
adecuadamente la informacin referida en la mensajera electrnica.

13. Seguridad En Las


Telecomunicaciones
13.2 Intercambio de informacin con partes externas
13.2.4 Acuerdos de confidencialidad y secreto: se deberan
identificar, revisar y documentar de manera regular los requisitos
para los acuerdos de confidencialidad y "no divulgacin" que reflejan
las necesidades de la organizacin para la proteccin de informacin.

14. Aquisicin, Desarrollo Y


Mantenimiento De Los Sistemas De
Objetivo
Informacin
El objetivo es asegurar la inclusin de controles deseguridady
validacin de datos en la adquisicin y el desarrollo de los sistemas
de informacin.
14.1 Requisitos de seguridad de los sistemas de informacin
El objetivo es garantizar que la seguridadde la informacin sea una
parte integral de los sistemas de informacin en todo el ciclo de vida,
incluyendo los requisitos para aquellos que proporcionan servicios en
redes pblicas.
14.1.1 Anlisis y especificacin de los requisitos de
seguridad: Los requisitos relacionados con la seguridad de la
informacin se deberan incluir en los requisitos para los nuevos
sistemas o en las mejoras a los sistemas de informacin ya
existentes.

14. Aquisicin, Desarrollo Y


Mantenimiento De Los Sistemas De
14.1 Requisitos de seguridad de los sistemas de informacin
Informacin
14.1.2 Seguridad de las comunicaciones en servicios
accesibles por redes pblicas: La informacin de los servicios de
aplicacin que pasan a travs de redes pblicas se deberan proteger
contra actividades fraudulentas, de disputa de contratos y/o de
modificacin no autorizada.
14.1.3 Proteccin de las transacciones por redes telemticas:
La informacin en transacciones de servicios de aplicacin se debera
proteger para evitar la transmisin y enrutamiento incorrecto y la
alteracin, divulgacin y/o duplicacin no autorizada de mensajes o
su reproduccin.

14. Aquisicin, Desarrollo Y


Mantenimiento De Los Sistemas De
14.2 Seguridad en los procesos de desarrollo y soporte
Informacin
El objetivo es garantizar que la seguridad de la informacin se disee
e implemente dentro del ciclo de vida de desarrollo de los sistemas
de informacin.
14.2.1 Poltica de desarrollo seguro de software: Se deberan
establecer y aplicar reglas para el desarrollo de software y sistemas
dentro de la organizacin.
14.2.2 Procedimientos de control de cambios en los sistemas:
En el ciclo de vida de desarrollo se deberan hacer uso de
procedimientos formales de control de cambios.
14.2.3 Revisin tcnica de las aplicaciones tras efectuar
cambios en el sistema operativo: Las aplicaciones crticas para el
negocio se deberan revisar y probar para garantizar que no se han
generado impactos adversos en las operaciones o en la seguridad de
la organizacin.

14. Aquisicin, Desarrollo Y


Mantenimiento De Los Sistemas De
14.2 Seguridad en los procesos de desarrollo y soporte
Informacin
14.2.4 Restricciones a los cambios en los paquetes de
software: Se deberan evitar modificaciones en los paquetes de
software suministrados por terceros, limitndose a cambios
realmente necesarios. Todos los cambios se deberan controlar
estrictamente.
14.2.5 Uso de principios de ingeniera en proteccin de
sistemas: Se deberan establecer, documentar, mantener y aplicar
los principios de seguridad en ingeniera de sistemas para cualquier
labor de implementacin en el sistema de informacin.
14.2.6 Seguridad en entornos de desarrollo: Las organizaciones
deberan establecer y proteger adecuadamente los entornos para las
labores de desarrollo e integracin de sistemas que abarcan todo el
ciclo de vida de desarrollo del sistema.
14.2.7 Externalizacin del desarrollo de software: La
organizacin debera supervisar y monitorear las actividades de
desarrollo del sistema que se hayan externalizado.

14. Aquisicin, Desarrollo Y


Mantenimiento De Los Sistemas De
14.2 Seguridad en los procesos de desarrollo y soporte
Informacin
14.2.8 Pruebas de funcionalidad durante el desarrollo de los
sistemas: Se deberan realizar pruebas de funcionalidad en aspectos
de seguridad durante las etapas del desarrollo.
14.2.9 Pruebas de aceptacin: Se deberan establecer programas
de prueba y criterios relacionados para la aceptacin de nuevos
sistemas de informacin, actualizaciones y/o nuevas versiones.

14. Aquisicin, desarrollo y


Mantenimiento de los sistemas de
14.3 DATOS DE PRUEBA
informacin
El objetivo es garantizar la proteccin de los datos que se utilizan
para procesos de pruebas.
14.3.1 Proteccin de los datos utilizados en prueba: Los datos
de pruebas se deberan seleccionar cuidadosamente y se deberan
proteger y controlar.

15. Relaciones con


Suministradores
Objetivo
El objetivo es implementar y mantener el nivel apropiado de
seguridad de la informacin y la entrega de los servicios contratados
en lnea con los acuerdos de entrega de servicios de terceros.
15.1 Seguridad de la informacin en las relaciones con
suministradores
El objetivo es garantizar la proteccin de los activos de la
organizacin que son accesibles a proveedores.
15.1.1 Poltica de seguridad de la informacin para
suministradores:
Se
deberan
acordar
y
documentar
adecuadamente los requisitos de seguridad de la informacin
requeridos por los activos de la organizacin con el objetivo de
mitigar los riesgos asociados al acceso por parte de proveedores y
terceras personas.

15. Relaciones con


Suministradores
15.1 Seguridad de la informacin en las relaciones con
suministradores
15.1.2 Tratamiento del riesgo dentro de acuerdos de
suministradores: Se deberan establecer y acordar todos los
requisitos de seguridad de la informacin pertinentes a cada
proveedor que puede acceder, procesar, almacenar, comunicar o
proporcionar componentes de infraestructura de TI que dan soporte a
la informacin de la organizacin.
15.1.3 Cadena de suministro en tecnologas de la informacin
y comunicaciones: Los acuerdos con los proveedores deberan
incluir los requisitos para abordar los riesgos de seguridad de la
informacin asociados con la cadena de suministro de los servicios y
productos de tecnologa de informacin y comunicaciones.

15. Relaciones con


Suministradores
15.2 GESTIN DE
SUMINISTRADORES

LA

PRESTACIN

DEL

SERVICIO

POR

El objetivo es mantener el nivel en la prestacin de servicios


conforme a los acuerdos con el proveedor en materia de seguridad
de informacin.
15.2.1 Supervisin y revisin de los servicios prestados por
terceros: Las organizaciones deberan monitorear, revisar y auditar
la presentacin de servicios del proveedor regularmente.
15.2.2 Gestin de cambios en los servicios prestados por
terceros: Se deberan administrar los cambios a la provisin de
servicios que realizan los proveedores manteniendo y mejorando: las
polticas de seguridad de la informacin, los procedimientos y
controles especficos. Se debera considerar la criticidad de la
informacin comercial, los sistemas y procesos involucrados en el
proceso de reevaluacin de riesgos.

16. Gestin De Incidentes


Objetivo
El objetivo es garantizar que los eventos deseguridadde la
informacin y las debilidades asociados a los sistemas de informacin
sean comunicados de forma tal que se apliquen las acciones
correctivas en el tiempo oportuno.
16.1 Gestin de incidentes de seguridad de la informacin y
mejoras
El objetivo es garantizar una administracin de incidentes de
seguridad de la informacin coherente y eficaz en base a un enfoque
de comunicacin de los eventos y las debilidades de seguridad.
16.1.1 Responsabilidades y procedimientos: Se deberan
establecer las responsabilidades y procedimientos de gestin para
garantizar una respuesta rpida, eficaz y ordenada a los incidentes
de seguridad de la informacin.

16. Gestin De Incidentes


16.1 GESTIN DE INCIDENTES
INFORMACIN Y MEJORAS

DE

SEGURIDAD

DE

LA

16.1.2 Notificacin de los eventos de seguridad de la


informacin: Los eventos de seguridad de la informacin se
deberan informar lo antes posible utilizando los canales de
administracin adecuados.
16.1.3 Notificacin de puntos dbiles de la seguridad: Se
debera requerir anotar e informar sobre cualquier debilidad
sospechosa en la seguridad de la informacin en los sistemas o
servicios tanto a los empleados como a contratistas que utilizan los
sistemas y servicios de informacin de la organizacin.
16.1.4 Valoracin de eventos de seguridad de la informacin
y toma de decisiones: Se deberan evaluar los eventos de
seguridad de la informacin y decidir su clasificacin como
incidentes.

16. Gestin De Incidentes


16.1 GESTIN DE INCIDENTES
INFORMACIN Y MEJORAS

DE

SEGURIDAD

DE

LA

16.1.5 Respuesta a los incidentes de seguridad: Se debera


responder ante los incidentes de seguridad de la informacin en
atencin a los procedimientos documentados.
16.1.6 Aprendizaje de los incidentes de seguridad de la
informacin: Se debera utilizar el conocimiento obtenido del
anlisis y la resolucin de incidentes de seguridad de la informacin
para reducir la probabilidad y/o impacto de incidentes en el futuro.
16.1.7 Recopilacin de evidencias: La organizacin debera
definir y aplicar los procedimientos necesarios para la identificacin,
recopilacin, adquisicin y preservacin de la informacin que puede
servir de evidencia.

17. Aspectos De La Si En La Gestin


De La Continuidad De Negocio
Objetivo
El objetivo es preservar laseguridadde lainformacindurante las
fases de activacin, de desarrollo de procesos, procedimientos y
planes para la continuidad de negocio y de vuelta a la normalidad.
17.1 Continuidad de la seguridad de la informacin
El objetivo es mantener la seguridad de la informacin integrada en
los sistemas de gestin de continuidad del negocio de la
organizacin.
17.1.1 Planificacin de la continuidad de la seguridad de la
informacin: La organizacin debera determinar los requisitos para
la seguridad de la informacin y su gestin durante situaciones
adversas como situaciones de crisis o de desastre.

17. Aspectos De La Si En La Gestin


De La Continuidad De Negocio
17.1 Continuidad de la seguridad de la informacin
17.1.2 Implantacin de la continuidad de la seguridad de la
informacin: La organizacin debera establecer, documentar,
implementar y mantener los procesos, procedimientos y controles
para garantizar el mantenimiento del nivel necesario de seguridad de
la informacin durante situaciones adversas.
17.1.3 Verificacin, revisin y evaluacin de la continuidad de
la seguridad de la informacin: La organizacin debera verificar
regularmente los controles de continuidad de seguridad de la
informacin establecidos e implementados para poder garantizar su
validez y eficacia ante situaciones adversas.

17. Aspectos De La Si En La Gestin


De La Continuidad De Negocio
17.2 REDUNDANCIAS
El objetivo es garantizar la disponibilidad de las instalaciones de
procesamiento de informacin.
17.2.1 Disponibilidad de instalaciones para el procesamiento
de la informacin: Se debera implementar la suficiente
redundancia en las instalaciones de procesamiento de la informacin
y en correspondencia con los requisitos de disponibilidad.

18. Cumplimiento
Objetivo
El diseo, operacin, uso y administracin de los sistemas de
informacin
estn
regulados
por
disposiciones
legales
y
contractuales.
18.1 Cumplimiento de los requisitos legales y contractuales
El objetivo es evitar incumplimientos a requisitos relacionados con la
seguridad de la informacin de cualquier tipo especialmente a las
obligaciones legales, estatutarias, normativas o contractuales.
18.1.1 Identificacin de la legislacin aplicable: Se deberan
identificar, documentar y mantener al da de manera explcita para
cada sistema de informacin y para la organizacin todos los
requisitos estatutarios, normativos y contractuales legislativos junto
al enfoque de la organizacin para cumplir con estos requisitos.

18. Cumplimiento
18.1 Cumplimiento de los requisitos legales y contractuales
18.1.2 Derechos de propiedad intelectual (DPI): Se deberan
implementar procedimientos adecuados para garantizar el
cumplimiento con los requisitos legislativos, normativos y
contractuales relacionados con los derechos de propiedad intelectual
y utilizar productos software originales.
18.1.3 Proteccin de los registros de la organizacin: Los
registros se deberan proteger contra prdidas, destruccin,
falsificacin, accesos y publicacin no autorizados de acuerdo con los
requisitos legislativos, normativos, contractuales y comerciales.
18.1.4 Proteccin de datos y privacidad de la informacin
personal: Se debera garantizar la privacidad y la proteccin de la
informacin personal identificable segn requiere la legislacin y las
normativas pertinentes aplicables que correspondan.

18. Cumplimiento
18.1 Cumplimiento de los requisitos legales y contractuales
18.1.5 Regulacin de los controles criptogrficos: Se deberan
utilizar controles de cifrado de la informacin en cumplimiento con
todos los acuerdos, la legislacin y las normativas pertinentes.

18. Cumplimiento
18.2 Revisiones de la seguridad de la informacin
El objetivo es garantizar que se implementa y opera la seguridad de
la informacin de acuerdo a las polticas y procedimientos
organizacionales.
18.2.1 Revisin independiente de la seguridad de la
informacin: Se debera revisar el enfoque de la organizacin para
la implementacin (los objetivos de control, los controles, las
polticas, los procesos y procedimientos para la seguridad de la
informacin) y gestin de la seguridad de la informacin en base a
revisiones independientes e intervalos planificados o cuando tengan
lugar cambios significativos en la organizacin.
18.2.2 Cumplimiento de las polticas y normas de seguridad:
Los gerentes deberan revisar regularmente el cumplimiento del
procesamiento y los procedimientos de informacin dentro de su rea
de responsabilidad respecto a las polticas, normas y cualquier otro
tipo de requisito de seguridad correspondiente.

18. Cumplimiento
18.2 Revisiones de la seguridad de la informacin
18.2.3 Comprobacin del cumplimiento: Los sistemas de
informacin se deberan revisar regularmente para verificar su
cumplimiento con las polticas y normas de seguridad dispuestas por
la informacin de la organizacin.

Gracias