Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CATEDRÁTICO
GRUPO 6
PAOLA JIMENA CANALES OSEGUERA 20161005002
DANIA GABRIELA AVILA LAGOS 20131017145
10.- Criptografía
10.1 Controles criptográficos
Objetivo: asegurar el uso apropiado y efectivo de la
criptografía para proteger la confidencialidad, autenticidad
y/o integridad de la información.
10.1.1 Política sobre el uso de controles
criptográficos
Control
Una política sobre el uso de controles criptográficos para la
protección de la información debería ser desarrollada e
implementada.
Guía de Implementación
Control
Una política sobre el uso, protección y tiempo de vida de
las claves criptográficas debería ser desarrollada e
implementada a través de todo su ciclo de vida.
Guía de Implementación
debería existir un área de recepción atendida por personal u otros medios de control de acceso
físico al área o edificio; dicho acceso debería restringirse sólo al personal autorizado;
11.1.2 Controles de Ingreso Físico
Control
Las áreas seguras deberían estar protegidas por medio de controles apropiados de
ingreso para asegurar que se le permite el acceso sólo al personal autorizado.
Guía de implementación
Deberían considerarse las siguientes recomendaciones:
La fecha y hora de entrada y salida de visitantes deberían restringirse y todos los
visitantes deberían supervisarse a menos que su acceso se haya aprobado
previamente.
El acceso a las áreas donde se procesa o se almacena la información sensible
debería estar restringido sólo a las personas autorizadas mediante la
implementación de controles de autentificación.
Debería mantenerse y supervisarse de manera segura una bitácora de
registro físico o registro electrónico de auditoría;
11.1.3 Asegurar Oficinas, áreas e Instalaciones
Control
La seguridad física para oficinas, áreas e instalaciones debería ser
diseñada e implementada.
Guía de implementación
a) las instalaciones claves deberían situarse de manera que evite el
acceso público.
b) cuando corresponda, los edificios deberían ser discretos y dar el
mínimo indicio de su propósito, cuando sea posible, sin dar
muestras obvias, fuera o dentro del edificio, que identifiquen la
presencia de las actividades de procesamiento de la información.
c) las instalaciones deberían estar configuradas para evitar que la
información confidencial o las actividades sean visibles y audibles
desde el exterior.
11.1.4 Protección contra amenazas externas y ambientales
control
La protección física contra desastres naturales, ataque malicioso o accidentes debería
estar diseñada y aplicada.
Guía de implementación
Debería obtenerse asesoramiento especializado sobre cómo evitar los daños causados por
incendios, inundaciones, terremotos, explosiones, disturbios civiles y otras formas de
desastres naturales o producido por el hombre.
11.1.5 Trabajo en áreas seguras
Control
Los procedimientos para el trabajo en áreas seguras deberían estar diseñados y aplicados.
Guía de implementación
a.- el personal debería conocer la existencia de un área segura o de sus actividades,
únicamente en el caso de que sea necesario para su trabajo.
b.- debería evitarse el trabajo no supervisado en áreas seguras tanto por motivos de
seguridad como para evitar ocasiones de actividades maliciosas;
c.- las áreas seguras desocupadas deberían cerrarse y controlarse periódicamente;
11.1.6 Áreas de despacho y carga
Control
Los puntos de acceso, como las áreas de despacho, carga y otros puntos en donde personas no
autorizadas pueden ingresar al local deberían estar controlados y si fuera posible, aislarlos de
las instalaciones de procesamiento de la información para evitar el acceso no autorizado.
Guía de implementación
debería restringirse el acceso al área de entrega y carga desde el exterior únicamente al
personal autorizado e identificado;
el área de entrega y carga debería diseñarse para que los suministros puedan cargarse y
descargarse sin que el personal de depósito tenga acceso a otras zonas del edificio;
las puertas externas del área de entrega y carga deberían cerrarse cuando las internas estén
abiertas
11.2 Equipos
el equipamiento debería situarse de manera que minimice el acceso innecesario a las áreas de
trabajo;
b) las instalaciones de procesamiento de la información que manejan datos sensibles deberían
colocarse cuidadosamente para reducir el riesgo de que la información sea vista por personas
no autorizadas durante su uso;
c) las instalaciones de almacenamiento deberían asegurarse para evitar el acceso no
autorizado;
deberían adoptarse controles para reducir al mínimo el riesgo de amenazas físicas potenciales,
como: hurto, fuego, explosivos, humo, inundaciones (o falta de suministro de agua), polvo,
vibraciones, efectos químicos, interferencias en el suministro eléctrico, interferencia de las
comunicaciones, radiación electromagnética y vandalismo;
11.2.2 Servicios de suministro
Control
Los equipos deberían estar protegidos contra fallas de electricidad y otras alteraciones
causadas por fallas en los servicios de suministro.
Guía de implementación
cumplir con las especificaciones del fabricante de los equipamientos y con los requisitos
legales locales;
ser evaluados regularmente por su capacidad para cumplir con el crecimiento del negocio y
las interacciones con otros elementos de soporte;
ser inspeccionados y probados regularmente para asegurar su buen funcionamiento
si es necesario, contar con alarmas, para detectar fallos de funcionamiento;
11.2.3 Seguridad del Cableado
Control
El cableado de energía y telecomunicaciones que llevan datos o servicios de información de
soporte debería ser protegido de la interceptación, interferencia o daño.
Guía para la Implementación
las líneas de energía y telecomunicaciones en instalaciones de procesamiento de la
información deberían ser subterráneas, siempre que sea posible o sujetas a una adecuada
protección alternativa.
los cables de energía deberían separarse de los cables de comunicaciones para evitar
interferencias;
11.2.4 Mantenimiento de equipos
Control
Los equipos deberían mantenerse de manera correcta para asegurar su continua disponibilidad
e integridad.
Guía de implementación
el equipamiento debería mantenerse de acuerdo a las recomendaciones de intervalos y
especificaciones de servicio del proveedor;
sólo el personal de mantenimiento debidamente autorizado debería realizar reparaciones y
realizar el mantenimiento a los equipos;
se debería mantener registros de todos los fallos, reales o sospechados, así como de todo el
mantenimiento preventivo y correctivo;
se debería cumplir con todos los requisitos impuestos por pólizas de seguros.
11.2.5 Retiro de activos
Control
Los equipos, la información o el software no deberían ser retirados de su lugar sin autorización
previa.
Guía de implementación
se debería identificar aquellos empleados y usuarios de terceras partes que tengan
autoridad para permitir el retiro de activos fuera de los locales de la organización
se debería fijar los límites de tiempo para el retiro del equipamiento y verificar el
cumplimiento del retorno;
cuando sea necesario y procedente, debería registrarse tanto la salida del equipamiento
del local, como el retorno del mismo;
11.2.6 Seguridad de equipos y activos fuera de las instalaciones
Control
La seguridad debería ser aplicada a los activos que están fuera
de su lugar tomando en cuenta los distintos riesgos de trabajar
fuera de las instalaciones de la organización.
Guía de implementación
los equipos y soportes que contengan datos con información y
sean sacados de su entorno habitual no deberían dejarse
desatendidos en sitios públicos;
se deberían observar siempre las instrucciones del fabricante
para proteger los equipos, por ejemplo, contra exposiciones a
campos electromagnéticos intensos;
11.2.7 Disposición o reutilización segura de equipos
Control
Todos los elementos del equipo que contengan medios de
almacenamiento deberían ser verificados para asegurar que cualquier
dato sensible y software con licencia se haya eliminado o se haya
sobre escrito de manera segura antes de su disposición o reutilización.
Guía de implementación
Los equipamientos deberían revisarse para asegurar que los medios
de almacenamiento estén contenidos antes de su puesta a
disposición o reutilización.
Los dispositivos de almacenamiento con información sensible o
con derechos de autor deberían destruirse físicamente o la
información debería destruirse, suprimirse o sobrescribirse usando
técnicas para hacer que la información original no sea recuperable,
en lugar de utilizar las funciones de borrado o formateado estándar
11.2.8 Equipos de usuario desatendidos
Control
Los usuarios deberían asegurarse de que el equipo desatendido tenga la protección apropiada.
Guía de implementación
a) terminar sesiones activas cuando son finalizadas, salvo que se les pueda asegurar por un
mecanismo de bloqueo apropiado, por ejemplo, un protector de pantalla protegido con
contraseña;
b) desconectarse de aplicaciones o de servicios de red cuando ya no sea necesario
c) asegurar a las computadoras o dispositivos móviles de uso no autorizado mediante una
clave de bloqueo o un control equivalente, por ejemplo, contraseña de acceso cuando no se
encuentra en uso.
11.2.9 Política de escritorio limpio y pantalla
limpia
Control
Una política de escritorio limpio de papeles y de medios de almacenamiento
removibles, así como una política de pantalla limpia para las instalaciones
de procesamientos de la información debería ser adoptada.
a) cuando no se requiere la información sensible o crítica del negocio,
contenida por ejemplo en medios de almacenamiento electrónicos o en
papel, debería asegurarse bajo llave (idealmente una caja fuerte, un gabinete
u otro mueble de seguridad), especialmente cuando la oficina está vacía;
b) las computadoras y terminales deberían desconectarse o protegerse con
un mecanismo de bloqueo de pantalla y teclado controlado por contraseña,
un token o mecanismo de autentificación de usuario similar cuando está
desatendida y debería protegerse por claves de bloqueo o contraseñas u
otros controles cuando no está en uso;
c) debería prevenirse el uso no autorizado de fotocopiadoras y otras
tecnologías de reproducción (por ejemplo cámaras digitales);