Iso Iec NTP-27002

PROYECTO DE NORMA ENTP-ISO/IEC 27002
TCNICA PERUANA 2016

Comisin de Normalizacin y de Fiscalizacin de Barreras Comerciales no Arancelarias- INDECOPI
Calle de La Prosa 138, San Borja (Lima 41) Apartado 145 Lima, Per
TECNOLOGA DE LA INFORMACIN. Tcnicas de

seguridad. Cdigo de prcticas para controles de
seguridad de la informacin
Information technology Security techniques Code of practice for
information security controls
2016-XX-XX
Este documento se encuentra en etapa de estudio, sujeto a posible cambio. No debe ser usado
como Norma Tcnica Peruana. Precio basado en 100 pginas
I.C.S.: 35.040 ESTA NORMA ES RECOMENDABLE
Descriptores: Tecnologa, informacin, tcnicas, seguridad, sistema de gestin, requisitos
i
NDICE
Pgina
INTRODUCCIN ............................................................................................................................................ iii

0.1 Antecedentes y contexto ................................................................................................................... iii
0.2 Requisitos de seguridad de la informacin........................................................................................ iv
0.3 Seleccionando controles .................................................................................................................... iv
0.4 Desarrollando sus propias directrices................................................................................................. v
0.5 Consideraciones del ciclo de vida ....................................................................................................... v
0.6 Normas relacionadas .......................................................................................................................... v
TECNOLOGA DE LA INFORMACIN Tcnicas de seguridad. Cdigo de prctica para los controles de
Seguridad de la informacin .............................................................................................................................. 7
1. ALCANCE ................................................................................................................................................ 7
2. REFERENCIAS NORMATIVAS .................................................................................................................. 7
3. TRMINOS Y DEFINICIONES ................................................................................................................... 7
4. ESTRUCTURA DE ESTA NORMA .............................................................................................................. 7
4.1 Clusulas ........................................................................................................................................ 8
4.2 Categoras de control ..................................................................................................................... 8
5. POLTICAS DE SEGURIDAD DE LA INFORMACIN .................................................................................. 8
5.1 Direccin de la gerencia para la seguridad de la informacin ....................................................... 8
6. ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN .................................................................. 11
6.1 Organizacin interna .................................................................................................................... 11
6.2 Dispositivos mviles y teletrabajo ............................................................................................... 15
7. SEGURIDAD DE LOS RECURSOS HUMANOS ......................................................................................... 18
7.1 Antes del empleo ......................................................................................................................... 18
7.2 Durante el empleo ....................................................................................................................... 21
7.3 Terminacin y cambio de empleo ................................................................................................ 24
8. GESTIN DE ACTIVOS .......................................................................................................................... 25
8.1 Responsabilidad por los activos................................................................................................... 25
8.2 Clasificacin de la informacin .................................................................................................... 28
8.3 Manejo de los medios.................................................................................................................. 30
9.1 Requisitos de la empresa para el control de acceso. ................................................................... 33
9.2. Gestin de acceso de usuario ...................................................................................................... 36
9.3. Responsabilidades de los usuarios .............................................................................................. 41
9.4. Responsabilidades de los usuarios .............................................................................................. 42
i
10. CRIPTOGRAFA ........................................................................................................................................47
10.1 Controles criptogrficos ................................................................................................................47
11. SEGURIDAD FSICA Y AMBIENTAL .................................................................................................... 50
11.1 reas seguras ........................................................................................................................... 50
11.2 Equipos .................................................................................................................................... 55
12. SEGURIDAD DE LAS OPERACIONES .................................................................................................. 62
12.1 Procedimientos y responsabilidades operativas...................................................................... 62
12.2 Proteccin contra cdigos maliciosos ...................................................................................... 66
12.3 Respaldo .................................................................................................................................. 68
12.4 Registros y monitoreo .............................................................................................................. 69
12.5 Control del software operacional .............................................................................................72
12.6 Gestin de vulnerabilidad tcnica ............................................................................................74
12.7 Consideraciones para la auditora de los sistemas de informacin ..........................................76
13 Seguridad de las Comunicaciones ................................................................................................... 77
13.1 Gestin de seguridad de la red ................................................................................................ 77
13.2 Transferencia de Informacin .................................................................................................. 80
14. ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS..................................................... 84
14.1 Requisitos de seguridad de los sistemas de informacin ........................................................ 85
14.2 Seguridad en los procesos de desarrollo y soporte ................................................................. 89
14.3 Datos de prueba ...................................................................................................................... 96
15. RELACIONES CON LOS PROVEEDORES ..............................................................................................97
15.1 Seguridad de la informacin en las relaciones con los proveedores ........................................97
15.2 Gestin de entrega de servicios del proveedor ..................................................................... 102
16. GESTIN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIN .................................................. 104
16.1 Gestin de incidentes de seguridad de la informacin y mejoras ......................................... 104
17. ASPECTOS DE SEGURIDAD DE LA INFORMACIN EN LA GESTIN DE CONTINUIDAD DEL NEGOCIO
110
17.1 Continuidad de seguridad de la informacin......................................................................... 110
17.2 Redundancias ......................................................................................................................... 113
18. CUMPLIMIENTO ............................................................................................................................. 113
18.1 Cumplimiento con requisitos legales y contractuales ........................................................... 113
18.2 Revisiones de seguridad de la informacin ........................................................................... 118
Bibliography............................................................................................................................................... 121
ii
INTRODUCCIN
0.1 Antecedentes y contexto
Este Esquema de Norma Tcnica Peruana est diseado para que las organizaciones lo
utilicen como referencia en la seleccin de controles dentro del proceso de
implementacin de un Sistema de Gestin de Seguridad de la Informacin (SGSI) basado
en la NTP-ISO/IEC 27001 o como un documento gua para las organizaciones que
implementen controles de seguridad de la informacin comnmente aceptados. Este
esquema de norma tcnica peruana tambin puede utilizarse en el desarrollo de
lineamientos de gestin de seguridad de la informacin en industria y organizacin-
especfica, tomando en consideracin su(s) entorno(s) de riesgo especficos de seguridad
de la informacin.
Las organizaciones de todos los tipos y tamaos (incluyendo al sector pblico y privado,
comercial y sin fines de lucro) recolectan, procesan, almacenan y transmiten informacin
de muchas formas, incluidas la electrnica, fsica y verbal (por ejemplo, conversaciones y
presentaciones).
El valor de la informacin va ms all de las palabras escritas, nmeros e imgenes: el

conocimiento, los conceptos, las ideas y las marcas son ejemplos de formas intangibles
de informacin. En un mundo interconectado, la informacin y los procesos relacionados,
los sistemas, redes, y personal que participan en su operacin, manejo y la proteccin son
activos que, al igual que otros activos importantes del negocio, son valiosos para el
negocio de una organizacin y por lo tanto merecen o requieren proteccin contra
diversos peligros.
Los activos son objeto de amenazas, tanto deliberadas como accidentales mientras que
los procesos, sistemas, redes y personas relacionados tienen vulnerabilidades inherentes.
Los cambios en los procesos y sistemas de negocios u otros cambios externos (tales
como nuevas leyes y regulaciones) pueden crear nuevos riesgos de seguridad de la
informacin. Por lo tanto, dada la multiplicidad de maneras en las que las amenazas
podran tomar ventaja de las vulnerabilidades para perjudicar la organizacin, los riesgos
de seguridad de la informacin siempre se encuentran presentes. La seguridad de la
informacin efectiva reduce estos riesgos mediante la proteccin de la organizacin frente
a amenazas y vulnerabilidades, y luego reduce los impactos a sus activos.
La seguridad de la informacin se logra mediante la implementacin de un conjunto

adecuado de controles, incluyendo polticas, procesos, procedimientos, estructuras
organizacionales y las funciones de software y hardware. Estos controles necesitan ser
establecidos, implementados, monitoreados, revisados y mejorados, donde sea
necesario, para garantizar que los objetivos especficos de seguridad y de negocios de la
organizacin son cumplidos. Un Sistema de Gestin de Seguridad de la Informacin
(SGSI) como el que es especificado en la NTP-ISO/IEC 27001 tiene una visin holstica y
coordinada de los riesgos de seguridad de la informacin de la organizacin a fin de
implementar un conjunto completo de controles de seguridad de la informacin en el
marco global de un sistema de gestin coherente.
Muchos sistemas de informacin no han sido diseados para ser seguros en el sentido de
iii
la NTP-ISO/IEC 27001 y de este esquema de norma tcnica peruana. La seguridad que
se puede lograr a travs de medios tcnicos es limitada y debera ser apoyada por una
gestin y procedimientos adecuados. Identificar qu controles deberan estar en su lugar
requiere una planificacin cuidadosa y atencin al detalle. Un sistema de gestin de
seguridad de la informacin (SGSI) exitoso requiere el apoyo de todos los empleados de
la organizacin. Puede requerir tambin la participacin de las partes interesadas, los
proveedores u otras partes externas. Asesora especializada de partes externas puede
tambin ser necesaria.
En un sentido ms general, la seguridad de la informacin efectiva asegura tambin a la

gestin y otros interesados que los activos organizacionales estn razonablemente
seguros y protegidos contra daos, actuando as como un habilitador del negocio.
0.2 Requisitos de seguridad de la informacin
Es esencial que la organizacin identifique sus requisitos de seguridad. Hay tres fuentes
principales de requisitos de seguridad:
a) la evaluacin del riesgo para la organizacin, tomando en cuenta su

estrategia global de negocios y sus objetivos. A travs de una evaluacin del
riesgo, son identificadas las amenazas a los activos, la vulnerabilidad y
probabilidad de ocurrencia son evaluadas y su impacto potencial es
estimado;
b) los requisitos legales, estatutarios, regulatorios y contractuales son

satisfechos por la organizacin, sus socios comerciales, contratistas,
proveedores de servicio, y su entorno socio-cultural;
c) el conjunto de principios, objetivos y requisitos de negocio para el manejo,

procesamiento, almacenamiento, comunicacin y archivo de informacin que
una organizacin ha desarrollado para apoyar sus operaciones.
Los recursos empleados en la implementacin de los controles necesitan ser equilibrados

con el dao comercial probablemente resultado de problemas de seguridad por ausencia
de estos controles. Los resultados de una evaluacin del riesgo ayudarn a orientar y a
determinar las acciones y prioridades de gestin apropiadas para la gestin de los riesgos
de seguridad de la informacin y para la implementacin de los controles seleccionados
para protegerse contra esos riesgos.
La NTP-ISO/IEC 27005 proporciona orientacin sobre la gestin del riesgo de seguridad

de la informacin, incluyendo el asesoramiento sobre la evaluacin del riesgo, el
tratamiento del riesgo, la aceptacin del riesgo, la comunicacin del riesgo, el monitoreo
del riesgo y la revisin del riesgo.
0.3 Seleccionando controles
Los controles pueden ser elegidos de este esquema de norma tcnica peruana o de otro
conjunto de controles, o nuevos controles pueden ser diseados para cubrir
adecuadamente necesidades especficas.
iv
La seleccin de los controles depende de las decisiones organizacionales basadas en los
criterios para la aceptacin del riesgo, las opciones para el tratamiento del riesgo y el
enfoque general a la gestin del riesgo aplicado a la organizacin, y debera tambin estar
conforme a toda la legislacin y regulaciones nacionales e internacionales relevantes. La
seleccin de controles depende tambin de la manera en que interactan los controles
para proporcionar defensa en profundidad.
Algunos de los controles de este esquema de norma tcnica peruana pueden

considerarse como principios gua para la gestin de la seguridad de la informacin y
aplicables para la mayora de las organizaciones. Los controles son explicados con ms
detalle a continuacin a lo largo de su gua de implementacin. Se puede encontrar ms
informacin sobre la seleccin de controles y otras opciones de tratamiento de riesgos en
la NTP-ISO/IEC 27005.
0.4 Desarrollando sus propias directrices
Este esquema de norma tcnica peruana puede ser considerado como un punto de
partida para desarrollar directrices especficas de la organizacin. Pueden no ser
aplicables todas las recomendaciones y controles de este cdigo de prctica. Incluso,
pueden requerirse controles y recomendaciones adicionales que este esquema de norma
tcnica peruana no incluye. Cuando sean desarrollados documentos que contengan
controles y recomendaciones adicionales, puede ser til incluir referencias cruzadas con
las clusulas de este esquema de norma tcnica peruana donde sea aplicable para
facilitar la verificacin del cumplimiento por los auditores y socios del negocio.
0.5 Consideraciones del ciclo de vida
La informacin tiene un ciclo de vida natural, desde su creacin y origen a travs del
almacenamiento, procesamiento, utilizacin y transmisin hasta su eventual destruccin o
deterioro. El valor y los riesgos para los activos pueden variar durante su vida (por
ejemplo, la divulgacin no autorizada o el robo de unas cuentas financieras de la empresa
es mucho menos significativo despus de que han sido publicadas oficialmente) pero la
seguridad de la informacin sigue siendo importante en alguna medida en todas las
etapas.
Los sistemas de informacin tienen ciclos de vida dentro de los que son concebidos,
especificados, diseados, desarrollados, testeados, implementados, utilizados,
mantenidos y eventualmente retirados del servicio y puestos a disposicin. La seguridad
de la informacin debera ser tomada en cuenta en cada etapa. Los nuevos sistemas
desarrollados y cambios a los sistemas existentes presentan oportunidades para que las
organizaciones actualicen y mejoren los controles de seguridad, tomando en cuenta los
incidentes actuales y comunes y los riesgos proyectados de seguridad de la informacin.
0.6 Normas relacionadas
Mientras que este esquema de norma tcnica peruana ofrece orientacin sobre un amplio
rango de controles de seguridad de la informacin que son comnmente aplicados en
muchas organizaciones diferentes, las partes restantes de la familia ISO/IEC 27000
proporcionan asesora complementaria o requisitos sobre otros aspectos del proceso
v
global de gestin de seguridad de la informacin.
Consulte la norma ISO/IEC 27000 para una introduccin general a los sistemas de gestin
de seguridad de la informacin (SGSI) y a la familia de normas. La norma ISO/IEC 27000
proporciona un glosario que define formalmente la mayor parte de los trminos utilizados
en la familia de normas ISO/IEC 27000, y describe el alcance y los objetivos para cada
miembro de la familia.
--- oooOooo ---
vi
PROYECTO DE NORMA PNTP-ISO/IEC 27001
TCNICA PERUANA 7 de 124
TECNOLOGA DE LA INFORMACIN Tcnicas de

seguridad. Cdigo de prctica para los controles de
Seguridad de la informacin
1. ALCANCE
Este esquema de norma tcnica peruana proporciona lineamientos para normas

organizacionales de seguridad de la informacin y prcticas de gestin de seguridad de la
informacin, incluyendo la seleccin, implementacin y gestin de controles tomando en
consideracin los riesgos del entorno de seguridad de la informacin de la organizacin.
Este esquema de norma tcnica peruana est diseado para ser utilizado por las
organizaciones que pretendan:
a) seleccionar los controles dentro del proceso de implementacin del Sistema

de Gestin de Seguridad de la Informacin basado en la NTP-ISO/IEC
27001;
b) implementar los controles de seguridad de la informacin comnmente

aceptados;
c) desarrollar sus propios lineamientos de gestin de seguridad de la

informacin.
2. REFERENCIAS NORMATIVAS
Los siguientes documentos, en su totalidad o en parte, son normativamente referenciados

en este esquema de norma tcnica peruana y son indispensables para su aplicacin. Para
las referencias fechadas, solo se aplica la edicin citada. Para las referencias sin fecha,
se aplica la ltima edicin del documento referenciado (incluyendo cualquier
modificacin).
ISO/IEC 27000, Information technology - Security techniques Information security

management systems - Overview and vocabulary
3. TRMINOS Y DEFINICIONES
Para los propsitos de este esquema de norma tcnica peruana, se aplican los trminos y
definiciones de la norma ISO/IEC 27000.
4. ESTRUCTURA DE ESTA NORMA
Este esquema de norma tcnica peruana contiene 14 clusulas de control de seguridad

que en su conjunto contienen un total de 35 categoras principales de seguridad y 114
controles.
7
4.1 Clusulas
Cada clusula define controles de seguridad conteniendo una o ms categoras

principales de seguridad.
El orden de las clusulas en este esquema de norma tcnica peruana no implica su

importancia. Dependiendo de las circunstancias, los controles de seguridad de cualquiera
o de todas las clusulas podran ser importantes, por lo tanto cada organizacin que
aplica este esquema de norma tcnica peruana debera identificar los controles
aplicables, qu tan importantes son y su aplicacin a los procesos individuales del
negocio. Adems, todas las listas en este esquema de norma tcnica peruana no estn en
orden de prioridad.
4.2 Categoras de control
Cada categora principal de control de seguridad contiene:
a) un objetivo de control que indica lo que se va a lograr;
b) uno o ms controles que pueden ser aplicados para alcanzar el objetivo de

control.
Las descripciones del control se estructuran de la siguiente manera:
Control
Define la declaracin especfica del control, para satisfacer el objetivo de control.
Gua de implementacin
Proporciona informacin ms detallada para apoyar la implementacin del control y el

cumplimiento del objetivo de control. La gua puede no ser del todo adecuada o suficiente
en todas las situaciones y puede no cumplir con los requisitos especficos de control de la
organizacin.
Otra informacin
Proporciona informacin adicional que puede ser necesario considerar, por ejemplo,
consideraciones legales y referencias a otras normas. Si no hay ms informacin para ser
proporcionada, esta parte no se muestra.
5. POLTICAS DE SEGURIDAD DE LA INFORMACIN
5.1 Direccin de la gerencia para la seguridad de la informacin
Objetivo: Proporcionar direccin y apoyo de la gerencia para la seguridad de la

informacin en concordancia con los requisitos del negocio y las leyes y regulaciones
relevantes.
8
5.1.1 Polticas para la seguridad de la informacin
Control
Un conjunto de polticas para la seguridad de la informacin debera ser definido,

aprobado por la gerencia, publicado y comunicado a los empleados y a las partes
externas relevantes.
Al ms alto nivel, las organizaciones deberan definir una poltica de seguridad de la

informacin, que es aprobada por la gerencia y que establece el enfoque de la
organizacin para gestionar los objetivos de seguridad de la informacin.
Las polticas de seguridad de la informacin deberan abordar los requisitos creados por:
a) la estrategia del negocio;
b) las regulaciones, leyes y contratos;
c) el entorno de amenazas de seguridad de la informacin actuales y previstas.
La poltica de seguridad de la informacin debera contener declaraciones respecto a:
a) definicin de la seguridad de la informacin, objetivos y principios para orientar

todas las actividades relacionadas con la seguridad de la informacin;
b) asignacin de responsabilidades generales y especficas para la gestin de

seguridad de la informacin en los roles definidos;
c) procesos para el manejo de desviaciones y excepciones.
En un nivel inferior, la poltica de seguridad de la informacin debera ser apoyada por las
polticas sobre temas especficos, las cuales exigen an ms la implementacin de los
controles de seguridad de la informacin y se estructuran normalmente para guiar las
necesidades de determinados grupos dentro de una organizacin o para cubrir ciertos
temas.
Algunos ejemplos de estos temas detallados en polticas son:
a) control de acceso (ver clusula 9);
b) clasificacin (y manejo) de la informacin (ver 8.2);
c) seguridad fsica y ambiental (ver clusula 11);
d) temas orientados al usuario final, tales como:
1.uso aceptable de activos (ver 8.1.3);

9
2.escritorio y pantalla limpios (ver 11.2.9);
3.transferencia de informacin (ver 13.2.1);
4.dispositivos mviles y teletrabajo (ver 6.2);
5.restricciones a las instalaciones y uso del software (ver 12.6.2);
e) respaldo (backup) (ver 12.3);
f) transferencia de informacin (ver 13.2);
g) proteccin contra cdigos maliciosos (ver 12.2);
h) gestin de vulnerabilidades tcnicas (ver 12.6.1);
i) controles criptogrficos (ver clusula 10);
j) seguridad de las comunicaciones (ver clusula 13);
k) privacidad y proteccin de datos personales (ver 18.1.4);
l) relaciones con los proveedores (ver clusula 15).
Estas polticas deberan comunicarse a los empleados y a las partes externas relevantes
de forma que sea pertinente, accesible y comprensible para el lector previsto, por ejemplo,
en el contexto de una creacin de conciencia de seguridad de la informacin, educacin
y programa de capacitacin (ver 7.2.2).
Otra informacin
La necesidad de polticas internas de seguridad de la informacin vara en las

organizaciones. Las polticas internas son especialmente tiles en las organizaciones ms
grandes y ms complejas, donde, los que definen y aprueban los niveles de control
esperados se encuentran separados de los que implementan los controles o en
situaciones en que una poltica aplica a muchas personas o funciones dentro de la
organizacin. Las polticas de seguridad de la informacin se pueden incluir en un solo
documento poltica de seguridad de la informacin, o como un conjunto de documentos
individuales pero relacionados.
Si alguna de las polticas de seguridad de la informacin es distribuida fuera de la

organizacin, se debera tener cuidado de no revelar informacin confidencial.
Algunas organizaciones utilizan otros trminos para estos documentos de polticas, tales
como Normas, Directivas o Reglas.
5.1.2 Revisin de las polticas para la seguridad de la informacin
Control
10
Las polticas para la seguridad de la informacin deberan ser revisadas a intervalos

planificados o si ocurren cambios significativos para asegurar su conveniencia,
adecuacin y efectividad continua.
Cada poltica debera tener un propietario con responsabilidad de gestin aprobada para
el desarrollo, la revisin y la evaluacin de las polticas. La revisin debera incluir la
evaluacin de las oportunidades de mejora de las polticas de la organizacin y el enfoque
a la gestin de seguridad de la informacin en respuesta a cambios en el ambiente de la
organizacin, a las circunstancias del negocio, a las condiciones legales o al ambiente
tcnico.
La revisin de las polticas de seguridad de la informacin debera tomar los resultados de

las revisiones de la gerencia.
Debera obtenerse la aprobacin de la gerencia para la poltica revisada.
6. ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN
6.1 Organizacin interna
Objetivo: establecer un marco de referencia de gestin para iniciar y controlar la

implementacin y operacin de la seguridad de la informacin dentro de la organizacin.
6.1.1 Roles y responsabilidades para la seguridad de la informacin
Control
Todas las responsabilidades de seguridad de la informacin deberan ser definidas y

asignadas.
La asignacin de las responsabilidades de seguridad de la informacin debera hacerse

de acuerdo con las polticas de seguridad de la informacin (ver 5.1.1). Debera
identificarse las responsabilidades para la proteccin de los activos individuales y para la
realizacin de procesos especficos de seguridad de la informacin. Debera definirse las
responsabilidades de las actividades de gestin de riesgos de seguridad de la
informacin, y en particular, la aceptacin de riesgos residuales. Estas responsabilidades
deberan complementarse, cuando sea necesario, con directrices ms detalladas para
sitios especficos e instalaciones de procesamiento de informacin. Debera definirse las
responsabilidades locales para la proteccin de activos y para llevar a cabo los procesos
especficos de seguridad.
Las personas con responsabilidades asignadas de seguridad de la informacin pueden

delegar tareas de seguridad a otras. Sin embargo, siguen siendo responsables y deberan
determinar que las tareas delegadas han sido correctamente realizadas.
11
Las reas en que las personas son responsables deberan establecerse. En particular,
debera ocurrir lo siguiente:
a) los activos y los procesos de seguridad de la informacin deberan

identificarse y definirse;
b) una entidad responsable de cada activo o proceso de seguridad de la

informacin debera asignarse y los detalles de esta responsabilidad
deberan ser documentados (ver 8.1.2);
c) los niveles de autorizacin deberan definirse y documentarse ;
d) para ser capaces de cumplir con las responsabilidades en el rea de

seguridad de la informacin, las personas designadas deberan ser
competentes en el rea y se les debera brindar oportunidades de estar
actualizados continuamente;
e) la coordinacin y supervisin de los aspectos de seguridad de la informacin

de las relaciones con los proveedores debera identificarse y documentarse.
Otra informacin
Muchas organizaciones designan un administrador de seguridad de la informacin para

asumir las responsabilidades globales del desarrollo y la implementacin de la seguridad
de la informacin y para apoyar la identificacin de los controles.
Sin embargo, la responsabilidad de proporcionar los recursos y de la implementacin de

los controles generalmente recae sobre los administradores. Una prctica comn es
designar un propietario para cada activo, que luego se convierte en responsable de su
proteccin en el da a da.
6.1.2 Segregacin de funciones
Control
Las funciones y reas de responsabilidad en conflicto deberan ser segregadas para

reducir oportunidades de modificacin no autorizada o no intencional o mal uso de los
activos de la organizacin.
Debera tenerse cuidado de que ninguna persona pueda acceder, modificar o utilizar
activos sin autorizacin o deteccin. El inicio de un evento debera separarse de su
autorizacin. La posibilidad de colusin debera considerarse en el diseo de los
controles.
Las organizaciones pequeas pueden encontrar la segregacin de funciones como algo

difcil de lograr, pero el principio debera ser aplicado en la medida de lo posible y
practicable. Siempre que sea difcil la segregacin, deberan considerarse otros controles
tales como el monitoreo de las actividades, los registros de auditora y la supervisin de la
12
gerencia.
Otra informacin
La segregacin de funciones es un mtodo para reducir el riesgo del mal uso accidental o
deliberado de los activos de la organizacin.
6.1.3 Contacto con autoridades
Control
Contactos apropiados con autoridades relevantes deberan ser mantenidos.
Las organizaciones deberan tener procedimientos vigentes que especifiquen cundo y

qu autoridades (por ejemplo, cumplimiento de leyes, organismos reguladores y
autoridades de supervisin) deberan contactarse, y cmo identificar los incidentes de
seguridad de la informacin que deberan reportarse en el momento oportuno (por
ejemplo, si se sospecha que se est incumpliendo la ley).
Otra informacin
Las organizaciones que estn siendo atacadas desde Internet pueden necesitar que las
autoridades tomen acciones contra el origen del ataque.
El mantenimiento de dichos contactos puede ser un requerimiento para apoyar la gestin

de incidentes de seguridad de la informacin (ver clusula 16) o el proceso de continuidad
del negocio o el plan de contingencia (ver clusula 17). Los contactos con instituciones
reguladoras son tambin tiles para anticiparse y prepararse para cambios prximos de la
ley o regulaciones, los cuales tienen que ser implementados por las organizaciones. Los
contactos con otras autoridades incluyen servicios pblicos, servicios de emergencia,
proveedores de electricidad, salud y seguridad, por ejemplo departamento de bomberos
(en relacin con la continuidad del negocio), los proveedores de telecomunicaciones (en
relacin con el ruteo de lneas y su disponibilidad) y los proveedores de agua (en relacin
con las instalaciones de refrigeracin para el equipamiento).
6.1.4 Contacto con grupos especiales de inters
Control
Contactos apropiados con grupos especiales de inters u otros foros de especialistas en

seguridad y asociaciones profesionales deberan ser mantenidos.
La membreca en foros o grupos de inters especial debera considerarse como un medio

para:
a) incrementar el conocimiento sobre las mejores prcticas y mantenerse al da

13
sobre seguridad de la informacin relevante;
b) garantizar que la comprensin del ambiente de seguridad de la informacin

es actual y completa;
c) recibir advertencias oportunas de alertas, avisos y parches referidos a

ataques y vulnerabilidades;
d) obtener acceso a asesora especializada sobre seguridad de la informacin;
e) compartir e intercambiar informacin sobre nuevas tecnologas, productos,

amenazas o vulnerabilidades;
f) proveer puntos de coordinacin adecuados para el manejo de incidentes de

seguridad de la informacin (ver clusula 16).
Otra informacin
Pueden establecerse acuerdos para compartir la informacin a manera de mejorar la

cooperacin y la coordinacin de temas de seguridad. Tales acuerdos deberan identificar
los requisitos para la proteccin de informacin confidencial.
6.1.5 Seguridad de la informacin en la gestin de proyectos
Control
La seguridad de la informacin debera ser tratada en la gestin de proyectos, sin importar

el tipo de proyecto.
La seguridad de la informacin debera integrarse en el mtodo de gestin de proyectos

de la organizacin para garantizar que los riesgos de seguridad de la informacin son
identificados y tratados como parte de un proyecto. Esto se aplica en general a cualquier
proyecto, independientemente de su carcter, por ejemplo, un proyecto para un proceso
clave de negocios, TI, gestin de instalaciones y otros procesos de apoyo. Los mtodos
de gestin de proyectos en uso deberan exigir que:
a) los objetivos de seguridad de la informacin sean incluidos en los objetivos

del proyecto;
b) una evaluacin de riesgos de seguridad de la informacin se lleve a cabo en

una etapa temprana del proyecto para identificar los controles necesarios;
c) la seguridad de la informacin es parte de todas las fases de la metodologa

del proyecto aplicada.
Las implicaciones de seguridad de la informacin deberan tratarse y revisarse

regularmente en todos los proyectos. Las responsabilidades de seguridad de la
informacin deberan definirse y asignarse a roles especficos definidos en los mtodos de
14
gestin de proyectos.
6.2 Dispositivos mviles y teletrabajo
Objetivo: Asegurar la seguridad del teletrabajo y el uso de los dispositivos mviles.
6.2.1 Poltica de dispositivos mviles
Control
Una poltica y medidas de seguridad de soporte deberan ser adoptadas para gestionar
los riesgos introducidos por el uso de dispositivos mviles.
Al utilizar dispositivos mviles, debera tenerse especial cuidado para garantizar que la
informacin del negocio no se vea comprometida. La poltica de dispositivos mviles
debera tener en cuenta los riesgos de trabajar con dispositivos mviles en entornos
desprotegidos.
La poltica de dispositivos mviles debera considerar:
a) el registro de los dispositivos mviles;
b) los requisitos de proteccin fsica;
c) la restriccin de instalacin de software;
d) los requisitos de las versiones de software de los dispositivos mviles y para

la aplicacin de parches;
e) la restriccin de la conexin a los servicios de informacin;
f) los controles de acceso,
g) tcnicas criptogrficas;
h) proteccin contra software malicioso;
i) desactivacin, eliminacin o bloqueo a distancia;
j) copias de seguridad;
k) uso de servicios web y aplicaciones web.
Debera tenerse cuidado al utilizar dispositivos mviles en lugares pblicos, salas de

reuniones y otras reas no protegidas. Para evitar el acceso no autorizado o la
divulgacin de la informacin almacenada y procesada por estos dispositivos debera
implantarse la proteccin, por ejemplo, utilizando tcnicas criptogrficas (ver clusula 10)
y forzando el uso de informacin secreta para la autenticacin (ver 9.2.4).
15
Los dispositivos mviles deberan protegerse tambin fsicamente contra el robo,

especialmente cuando se dejan, por ejemplo, en autos y otras formas de transporte,
habitaciones de hotel, centros de congresos y lugares de reunin. Debera establecerse
un procedimiento teniendo en cuenta requisitos legales, del seguro y otros requisitos de
seguridad de la organizacin para los casos de robo o prdida de dispositivos mviles.
Los dispositivos que llevan informacin importante, sensible o crtica de la empresa no
deberan dejarse desatendidos y, cuando sea posible, deberan ser fsicamente
bloqueados o deberan utilizarse bloqueos especiales para asegurar los dispositivos.
Debera proporcionarse capacitacin al personal que utiliza dispositivos mviles para

concientizarlos sobre los riesgos adicionales derivados de esta forma de trabajo y los
controles que deberan implementarse.
Cuando la poltica de dispositivos mviles permite el uso de dispositivos mviles de

propiedad privada, la poltica y las medidas de seguridad relacionadas deberan
considerar tambin:
a) la separacin del uso privado y de negocios de los dispositivos, incluido el

uso de software para apoyar dicha separacin y proteger los datos de
negocios en un dispositivo privado;
b) proveer acceso a la informacin de negocios, solo despus de que los

usuarios han firmado un acuerdo de usuario final, reconociendo sus
obligaciones (proteccin fsica, actualizacin de software, etc.), renunciando
a la propiedad de los datos de negocios, lo que permite la eliminacin
remota de los datos por parte de la organizacin en caso de robo o prdida
del dispositivo o cuando ya no se encuentran autorizados a utilizar el
servicio. Esta poltica debera tener en cuenta la legislacin sobre privacidad.
Otra informacin
Las conexiones inalmbricas de los dispositivos mviles son similares a otros tipos de
conexin de red, pero tienen diferencias importantes que deberan tenerse en cuenta al
identificar los controles.
Las diferencias tpicas son:
a) algunos protocolos de seguridad inalmbrica son inmaduros y tienen

debilidades conocidas;
b) la informacin almacenada en los dispositivos mviles puede que no sea

respaldada debido a la banda ancha limitada o a que los dispositivos mviles
no se encuentren conectados en los momentos en que se programan los
respaldos.
Generalmente, los dispositivos mviles comparten funciones comunes, por ejemplo,

redes, acceso a Internet, correo electrnico y manejo de archivos, con los dispositivos de
uso fijo. Los controles de seguridad de la informacin consisten generalmente, en los
adoptados por los dispositivos de uso fijo y en los que abordan las amenazas planteadas
16
por su uso fuera de los locales de la organizacin.
6.2.2 Teletrabajo
Control
Una poltica y medidas de seguridad de apoyo deberan ser implementadas para proteger
informacin a la que se accede, se procesa o almacena en sitios de teletrabajo.
Las organizaciones que permiten las actividades de teletrabajo deberan elaborar y

publicar una poltica que defina las condiciones y las restricciones para el uso del
teletrabajo. Cuando se considere aplicable y sea permitido por la ley, deberan
considerarse los siguientes aspectos:
a) la seguridad fsica existente en el sitio de teletrabajo, considerando la

seguridad fsica del edificio y del entorno local;
b) el entorno fsico de teletrabajo propuesto;
c) los requisitos de seguridad de las comunicaciones, teniendo en cuenta la

necesidad de acceso remoto a los sistemas internos de la organizacin, la
sensibilidad de la informacin a ser accedida y pasada sobre el enlace de
comunicacin y la sensibilidad del sistema interno;
d) la provisin de acceso al escritorio virtual que impide el procesamiento y el

almacenamiento de informacin sobre el equipo de propiedad privada;
e) la amenaza de acceso no autorizado a la informacin o a los recursos por

parte de otras personas que utilizan el ambiente, por ejemplo, acceso por
familiares y amigos;
f) el uso de redes domsticas y requisitos o restricciones de la configuracin

de los servicios de red inalmbricos;
g) las polticas y los procedimientos para evitar conflictos relativos a los

derechos de propiedad intelectual desarrollados en los equipos de propiedad
privada;
h) el acceso a los equipos de propiedad privada (para verificar la seguridad del

equipo o durante la investigacin), que puede ser impedido por la legislacin;
i) los acuerdos de licencia de software son tales que las organizaciones

pueden ser responsables de la concesin de licencias de software cliente en
estaciones de trabajo de propiedad privada de los empleados o de usuarios
de terceras partes;
j) la proteccin ante software malicioso y los requisitos de firewall.
17
Las directrices y las disposiciones a considerar deberan incluir:
a) el suministro de equipo adecuado y mobiliario de almacenamiento para las

actividades de teletrabajo, donde no se permite el uso de equipo de
propiedad privada, que no se encuentra bajo control de la organizacin;
b) una definicin del trabajo permitido, las horas de trabajo, la clasificacin de

la informacin que se puede realizar y los sistemas y servicios internos a los
que el teletrabajador se encuentra autorizado a acceder;
c) el suministro de equipo adecuado de comunicacin, incluyendo los mtodos

para asegurar el acceso remoto;
d) la seguridad fsica;
e) las reglas y directrices del acceso de la familia y visitas al equipo y la

informacin;
f) el suministro de soporte y mantenimiento de hardware y software;
g) la provisin de seguros;
h) los procedimientos para el respaldo y la continuidad del negocio;
i) la auditora y el monitoreo de la seguridad;
j) la revocacin de la autoridad y de los derechos de acceso, y la devolucin

de los equipos cuando las actividades de teletrabajo finalizan.
Otra informacin
El teletrabajo se refiere a todas las formas de trabajo fuera de la oficina, incluyendo los
ambientes de trabajo no tradicionales, tales como los ambientes denominados trabajo a
distancia, trabajo flexible, trabajo remoto y trabajo virtual.
7. SEGURIDAD DE LOS RECURSOS HUMANOS
7.1 Antes del empleo
Objetivo: Asegurar que los empleados y contratistas entienden sus responsabilidades y

son convenientes para los roles para los que se les considera.
7.1.1 Seleccin
Control
Las verificaciones de los antecedentes de todos los candidatos a ser empleados deberan
ser llevadas a cabo en concordancia con las leyes, regulaciones y tica relevantes, y
debera ser proporcional a los requisitos del negocio, la clasificacin de la informacin a la
18
que se tendr acceso y los riesgos percibidos.
La verificacin debera tener en cuenta toda la legislacin relevante sobre privacidad,

proteccin de datos personales y/o relativa al empleo y, debera, donde sea permitido,
incluir lo siguiente:
a) disponibilidad de referencias satisfactorias, por ejemplo, una de negocios y

una personal;
b) una verificacin (para integridad y exactitud) del currculum vitae del

postulante;
c) confirmacin de las calificaciones acadmicas y profesionales declaradas;
d) verificacin independiente de identidad (pasaporte o documento similar);
e) verificaciones ms detalladas, tales como revisin de crdito o antecedentes

criminales.
Cuando una persona es contratada para un rol especfico en seguridad de la informacin,

las organizaciones deberan asegurarse que el candidato:
a) tenga las competencias necesarias para desempear el rol de seguridad;
b) pueda ser confiable para asumir el rol, especialmente si el rol es crtico para
la organizacin.
Cuando una tarea, tanto en un nombramiento inicial o en un ascenso, involucre que la

persona tenga acceso a instalaciones de procesamiento de informacin, y, en particular, si
stas estn manejando informacin confidencial, por ejemplo, informacin financiera o
altamente confidencial, la organizacin debera tambin considerar verificaciones
adicionales ms detalladas.
Los procedimientos deberan definir criterios y limitaciones para revisiones de verificacin,

por ejemplo, quin es elegible para seleccionar personal, y cmo, cundo y por qu se
han de realizar las revisiones de verificacin.
Debera tambin realizarse un proceso de seleccin para contratistas. En estos casos, el

acuerdo entre la organizacin y el contratista debera especificar las responsabilidades
para conducir la seleccin y los procedimientos de notificacin que necesitan seguir si la
seleccin no ha sido completada o si los resultados ocasionan duda o preocupacin.
Debera recopilarse la informacin de todos los candidatos a ser considerados para

posiciones dentro de la organizacin y debera manejarse de acuerdo con la legislacin
apropiada existente en la jurisdiccin relevante. Dependiendo de la legislacin aplicable,
los candidatos deberan informarse con antelacin sobre las actividades de seleccin.
7.1.2 Trminos y condiciones del empleo

19
Control
Los acuerdos contractuales con los empleados y contratistas deberan estipular

responsabilidades de estos y de la organizacin respecto de la seguridad de la
informacin.
Las obligaciones contractuales de los empleados o contratistas deberan reflejar las

polticas de la organizacin para seguridad de la informacin, adems de aclarar y
enunciar:
a) que todos los empleados y contratistas a los cuales se les da acceso a

informacin confidencial deberan firmar un acuerdo de confidencialidad o de
no-divulgacin previamente a ser otorgado el acceso a las instalaciones de
procesamiento de informacin (ver 13.2.4);
b) las responsabilidades y derechos legales de los empleados y contratistas,

como por ejemplo, relativas a derecho de copia o legislacin de proteccin
de datos (ver 18.1.4);
c) responsabilidades para la clasificacin de informacin y gestin de activos

de la organizacin asociados con la informacin, las instalaciones de
procesamiento de informacin y los servicios de informacin manejados por
el empleado o contratista (ver clusula 8);
d) responsabilidades del empleado o contratista por el manejo de informacin

recibida de otras organizaciones o partes externas;
e) acciones a ser tomadas si el empleado o contratista desatiende los

requisitos de seguridad de la organizacin (ver 7.2.3);
Los roles y responsabilidades en seguridad de la informacin deberan comunicarse a los

candidatos durante el proceso de pre-empleo.
La organizacin debera garantizar que los empleados y contratistas acuerden en los

trminos y condiciones concernientes a la seguridad de la informacin, apropiada a la
naturaleza y extensin de acceso que ellos tendrn a los activos de la organizacin
asociados con los sistemas y servicios de informacin.
Cuando sea apropiado, las responsabilidades contenidas dentro de los trminos y

condiciones de empleo deberan continuar por un perodo definido luego de la finalizacin
del empleo (ver 7.3).
Otra informacin
Se puede usar un cdigo de conducta para cubrir las responsabilidades de seguridad de

la informacin de los empleados o contratistas referentes a confidencialidad, proteccin
de datos, normas ticas, uso apropiado de los equipos e instalaciones de la organizacin,
20
adems de prcticas honestas esperadas por la organizacin. La parte externa, con la

que el contratista esta asociado, puede requerir ingresar en acuerdos contractuales en
nombre del individuo contratado.
7.2 Durante el empleo
Objetivo: Asegurar que los empleados y contratistas sean conscientes y cumplan con sus
responsabilidades de seguridad de la informacin.
7.2.1 Responsabilidades de la gerencia
Control
La gerencia debera requerir a todos los empleados y contratistas aplicar la seguridad de

la informacin en concordancia con las polticas y procedimientos establecidos por la
organizacin.
Las responsabilidades de la gerencia deberan incluir el asegurar que los empleados y

contratistas:
a) sean apropiadamente instruidos sobre sus roles y responsabilidades de

seguridad antes de que se les otorgue acceso a informacin confidencial o a
sistemas de informacin;
b) se les proporcione orientaciones para hacer constar las expectativas sobre la

seguridad de su rol dentro de la organizacin;
c) sean motivados a cumplir con las polticas de seguridad de la organizacin;
d) logren un nivel de conciencia sobre seguridad relevante a sus roles y

responsabilidades dentro de la organizacin (ver 7.2.2);
e) se ajusten a los trminos y condiciones del empleo, lo cual incluye la poltica

de seguridad de la informacin de la organizacin y mtodos apropiados de
trabajo;
f) continen teniendo habilidades y calificaciones apropiadas y sean

capacitados de manera regular;
g) estn provistos con un canal de reportes annimos para reportar violaciones

de polticas o procedimientos de seguridad de la informacin (alerta de
irregularidades).
La gerencia debera demostrar el apoyo a las polticas, los procedimientos y controles de

seguridad de la informacin, y actuar como un modelo a seguir.
Otra informacin
21
Si los empleados y contratistas no son concientizados de sus responsabilidades de

seguridad, pueden causar un dao considerable a la organizacin. El personal motivado
es probable que sea ms confiable y ocasione menos incidentes de seguridad de la
informacin.
Una gestin pobre puede causar que el personal se sienta subvaluado resultando en un
impacto negativo en la seguridad para la organizacin. Por ejemplo, una gestin pobre
puede conducir a negligencias en la seguridad o mal uso potencial de los activos de la
organizacin.
7.2.2 Conciencia, educacin y capacitacin sobre la seguridad de la

informacin
Control
Todos los empleados de la organizacin y, cuando fuera relevante, los contratistas

deberan recibir educacin y capacitacin sobre la conciencia de la seguridad de la
informacin, as como actualizaciones regulares sobre polticas y procedimientos de la
organizacin, segn sea relevante para la funcin del trabajo que cumplen.
Un programa de concienciacin en seguridad de la informacin debera tener como

objetivo que los empleados, y cuando sea relevante, los contratistas sean conscientes de
sus responsabilidades en seguridad de la informacin y los medios para que esas
responsabilidades sean liberadas.
Debera establecerse un programa de concienciacin en seguridad de la informacin de

acuerdo con las polticas de seguridad de la informacin de la organizacin y los
procedimientos relevantes, tomando en consideracin la informacin de la organizacin a
ser protegida, y los controles que han sido implementados para proteger la informacin. El
programa de concienciacin debera incluir un nmero de actividades de sensibilizacin,
tales como campaas (por ejemplo, da de seguridad de la informacin) y los folletos o
boletines informativos.
Debera planificarse el programa de concienciacin tomando en consideracin los roles de

los empleados en la organizacin, y, cuando sea relevante, las expectativas de la
organizacin en la concienciacin de los contratistas. Las actividades en el programa de
concienciacin deberan planificarse en el tiempo, de preferencia con regularidad, por lo
que las actividades se repiten y abarcan los nuevos empleados y contratistas. El
programa de concienciacin tambin debera actualizarse regularmente de acuerdo con
las polticas y los procedimientos organizacionales, y debera basarse en las lecciones
aprendidas de los incidentes de seguridad de la informacin.
La creacin de conciencia debera realizarse segn lo requiera el programa de

concienciacin en seguridad de la informacin de la organizacin. Se pueden utilizar
diferentes medios para la creacin de conciencia, incluyendo presencial, educacin a
distancia, basado en la web, auto-aprendizaje a su propio ritmo y otros.
La educacin y la capacitacin en seguridad de la informacin debera abarcar tambin

22
aspectos generales, tales como:
a) declaracin del compromiso de la gerencia con la seguridad de la

informacin en toda la organizacin;
b) la necesidad de familiarizarse y cumplir con las reglas y obligaciones

aplicables en seguridad de la informacin, segn se define en las polticas,
normas, leyes, regulaciones, contratos y acuerdos;
c) la responsabilidad personal por las propias acciones y omisiones, y las

responsabilidades generales hacia garantizar o proteger la informacin que
pertenece a la organizacin y a las partes externas;
d) los procedimientos bsicos de seguridad de la informacin (tales como el

reporte de incidentes de seguridad de la informacin) y los controles bsicos
(tales como la contrasea de seguridad, los controles ante software
malicioso y los escritorios limpios);
e) los puntos de contacto y los recursos de informacin y asesoramiento en

materia de seguridad de la informacin, incluyendo otros materiales de
educacin y capacitacin en seguridad de la informacin .
La educacin y capacitacin en seguridad de la informacin debera tener lugar

peridicamente. La educacin y capacitacin inicial se aplica a quienes son transferidos a
nuevas posiciones o roles con requisitos sustancialmente diferentes en seguridad de la
informacin, no solo a los nuevos empleados y debera llevarse a cabo antes de que el rol
este activo.
La organizacin debera desarrollar un programa de educacin y capacitacin con el fin

de llevar a cabo la educacin y capacitacin de manera efectiva. El programa debera
estar alineado con las polticas de seguridad de la informacin de la organizacin y los
procedimientos relevantes, tomando en consideracin la informacin de la organizacin a
ser protegida y los controles que han sido implementados para proteger la informacin. El
programa debera considerar las diferentes formas de educacin y capacitacin, por
ejemplo, lecturas o auto-estudio.
Otra informacin
Al redactar un programa de concienciacin, es importante no solo centrarse en el qu y

cmo, sino tambin en el por qu. Es importante que los empleados comprendan el
objetivo de la seguridad de la informacin y el impacto potencial, positivo y negativo,
sobre la organizacin de su propio comportamiento.
La concienciacin, la educacin y la capacitacin pueden ser parte de, o llevarse a cabo

con la colaboracin de otras actividades de capacitacin, por ejemplo, TI en general o
capacitacin general en seguridad. Las actividades de concienciacin, educacin y
capacitacin deberan adecuarse y ser relevantes a los roles individuales, las
responsabilidades y las habilidades .
Debera llevarse a cabo una evaluacin de la comprensin de los empleados al final de un

23
curso de concienciacin, educacin y capacitacin para poner a prueba la transferencia

de conocimientos.
7.2.3 Proceso disciplinario
Control
Debera haber un proceso disciplinario formal y comunicado para tomar accin contra
empleados que hayan cometido una infraccin a la seguridad de la informacin.
El proceso disciplinario no debera comenzar sin una verificacin previa de que una
infraccin a la seguridad de la informacin ha ocurrido (ver 16.1.7).
El proceso disciplinario formal debera garantizar un tratamiento correcto y justo para los
empleados de quienes se sospecha que han cometido infraccin a la seguridad de la
informacin. El proceso disciplinario formal debera proveer una respuesta gradual que
tome en consideracin factores tales como la naturaleza y gravedad de la infraccin y su
impacto en el negocio, si fue la primera ofensa o una repeticin, si el violador fue o no
apropiadamente capacitado, legislacin relevante, contratos de negocio y otros factores
que se requieran.
El proceso disciplinario tambin debera usarse como disuasin para prevenir que los
empleados violen las polticas y procedimientos de seguridad de la informacin
organizacionales, y cualquier otra infraccin a la seguridad de la informacin. Las
infracciones deliberadas pueden requerir acciones inmediatas.
Otra informacin
El proceso disciplinario tambin puede convertirse en una motivacin o incentivo si las

sanciones positivas son definidas para el comportamiento destacable con respecto a la
seguridad de la informacin.
7.3 Terminacin y cambio de empleo
Objetivo: Proteger los intereses de la organizacin como parte del proceso de cambio o
terminacin de empleo.
7.3.1 Terminacin o cambio de responsabilidades del empleo.
Control
Las responsabilidades y deberes de seguridad de la informacin que siguen siendo

vlidos luego de la terminacin o cambio de empleo deberan ser definidos, comunicados
al empleado o contratista y forzar su cumplimiento.
La comunicacin de las responsabilidades en la desvinculacin debera incluir los

24
requisitos de seguridad de la informacin y las responsabilidades legales en curso y,

cuando sea apropiado, las responsabilidades contenidas dentro de cualquier acuerdo de
confidencialidad (ver 13.2.4), y los trminos y condiciones de empleo (ver 7.1.2) deberan
continuar por un perodo de tiempo definido luego de la desvinculacin del empleado o el
empleado del contratista.
El contrato del empleado o contratista debera contener las responsabilidades y deberes

que permanecen vlidos an luego de la desvinculacin (ver 7.1.2).
Deberan gestionarse los cambios en las responsabilidades o en la relacin laboral y la

desvinculacin de la nueva responsabilidad o relacin laboral, combinada con el inicio de
la nueva responsabilidad o empleo.
Otra informacin
La funcin de recursos humanos generalmente es responsable por el proceso completo

de desvinculacin laboral y trabaja junto con el supervisor de la persona desvinculada
para gestionar los aspectos de seguridad de la informacin de los procedimientos
relevantes. En el caso de un contratista, proporcionado a travs de un tercero, este
proceso de desvinculacin puede ser llevado a cabo por el tercero en conformidad con el
contrato entre la organizacin y este tercero.
Puede ser necesario informar a los empleados, clientes, o contratistas de los cambios en
los acuerdos operativos y de personal.
8. GESTIN DE ACTIVOS
8.1 Responsabilidad por los activos
Objetivo: Identificar los activos de la organizacin y definir las responsabilidades de

proteccin apropiadas.
8.1.1 Inventario de activos
Control
La informacin, otros activos asociados con la informacin y las instalaciones de

procesamiento de la informacin deberan ser identificados y un inventario de estos
debera ser realizado y mantenido.
Una organizacin debera identificar los activos relevantes en el ciclo de vida de la

informacin y documentar su importancia. El ciclo de vida de la informacin debera incluir
la creacin, elaboracin, almacenamiento, transmisin, eliminacin y destruccin. La
documentacin debera mantenerse en inventarios dedicados o existentes, segn
corresponda.
El inventario de activos debera ser preciso, actualizado, consistente y alineado con otros
25
inventarios.
Para cada uno de los activos identificados, debera asignarse un propietario (ver 8.1.2) y
debera identificarse la clasificacin (ver 8.2).
Otra informacin
Los inventarios de activos ayudan a garantizar que se logre la proteccin eficaz, pero
tambin pueden ser requeridos para otros propsitos, como por ejemplo por razones de
salud y salubridad, financieras o de seguros (gestin de activos).
La Norma ISO/IEC 27005 proporciona ejemplos de activos que podran necesitar ser
considerados por la organizacin cuando se identifican los activos. El proceso de
compilacin de un inventario de los activos es un prerrequisito importante de la gestin de
riesgos (ver tambin la Norma ISO/IEC 27000 e ISO/IEC 27005).
8.1.2 Propiedad de los activos
Control
Los activos mantenidos en el inventario deberan tener un propietario.
Las personas, as como otras entidades que hayan aprobado la responsabilidad de

gestin del ciclo de vida de los activos, califican para ser asignadas como propietarias de
activos.
Generalmente, se implementa un proceso para garantizar la asignacin oportuna de la

propiedad de los activos. La propiedad debera asignarse cuando los activos son creados
o cuando son transferidos a la organizacin. El propietario de los activos debera ser
responsable de la correcta gestin de un activo durante todo el ciclo de vida de ese activo.
El propietario del activo debera:
a) garantizar que los activos son inventariados;
b) garantizar que los activos son clasificados y protegidos adecuadamente;
c) definir y revisar peridicamente las restricciones de acceso y las

clasificaciones de activos importantes, teniendo en cuenta las polticas
aplicables de control de acceso;
d) garantizar el manejo adecuado cuando el activo es eliminado o destruido.
Otra informacin
El propietario identificado puede ser un individuo o una entidad que tiene aprobada la
responsabilidad por la gerencia para el control de todo el ciclo de vida de un activo. El
propietario identificado no necesariamente tiene derecho de propiedad sobre el activo.
26
Las tareas rutinarias pueden ser delegadas, por ejemplo, a un guardia que vigile el activo
diariamente, pero la responsabilidad contina siendo del propietario.
En sistemas de informacin complejos, puede resultar til designar un grupo de activos,

los cuales actan en forma conjunta para proveer un servicio particular. En este caso, el
propietario del servicio es responsable por la entrega del mismo, incluyendo la operacin
de sus activos.
8.1.3 Uso aceptable de los activos
Control
Las reglas para el uso aceptable de la informacin y activos asociados con la informacin
y con las instalaciones de procesamiento de la informacin deberan ser identificadas,
documentadas e implementadas.
Los empleados y los usuarios de la parte externa que utilizan o tienen acceso a los
activos de la organizacin deberan ser conscientes de los requisitos de la seguridad de la
informacin de la organizacin, otros activos asociados a la informacin y con los
recursos e instalaciones de procesamiento de la informacin. Deberan responsabilizarse
del uso de los recursos de procesamiento de la informacin y de cualquier uso llevados a
cabo bajo su responsabilidad.
8.1.4 Retorno de activos
Control
Todos los empleados y usuarios de terceras partes deberan retornar todos los activos de
la organizacin en su posesin a la conclusin de su empleo, contrato o acuerdo.
El proceso de finalizacin debera formalizarse para incluir la devolucin de todos los

activos fsicos y electrnicos previamente emitidos pertenecientes o confiados a la
organizacin.
En los casos en que un empleado o usuario de parte externa adquiere equipos de la

organizacin o utiliza su propio equipo, deberan seguirse los procedimientos para
garantizar que toda la informacin pertinente sea transferida a la organizacin y borrada
de forma segura del equipo (ver 11.2.7).
En los casos en que un empleado o usuario de parte externa tenga conocimiento que es
importante para las operaciones en curso, la informacin debera documentarse y
transferirse a la organizacin.
Durante el perodo de aviso de finalizacin, la organizacin debera controlar la copia no

autorizada de la informacin pertinente (por ejemplo, propiedad intelectual) por los
27
empleados y contratistas que desean renunciar.
8.2 Clasificacin de la informacin
Objetivo: Asegurar que la informacin recibe el nivel apropiado de proteccin en

concordancia con su importancia para la organizacin.
8.2.1 Clasificacin de la informacin
Control
La informacin debera ser clasificada en trminos de los requisitos legales, valor,

criticidad y sensibilidad respecto a una divulgacin o modificacin no autorizada.
La clasificacin y los controles de proteccin asociados a la informacin deberan tener en

cuenta que el negocio necesita compartir o restringir la informacin, as como los
requisitos legales. Los activos que no son de informacin se pueden clasificar de
conformidad con la clasificacin de informacin que es almacenada, procesada o
manipulada o protegida por el activo.
Los propietarios de los activos de informacin son responsables de su clasificacin.
El esquema de clasificacin debera incluir las convenciones para la clasificacin y los

criterios para la revisin de la clasificacin en el tiempo. El nivel de proteccin en el
esquema debera evaluarse mediante el anlisis de la confidencialidad, integridad y
disponibilidad y cualquier otro requisito para la informacin considerada. El esquema
debera estar alineado con la poltica de control de acceso (ver 9.1.1).
Cada nivel debera tener un nombre que tenga sentido en el contexto de la aplicacin del
esquema de clasificacin.
El esquema debera ser consistente en toda la organizacin para que todos clasifiquen la
informacin y los activos relacionados de la misma manera, tengan un entendimiento
comn de los requisitos de proteccin y apliquen la proteccin adecuada.
La clasificacin debera incluirse en los procesos de la organizacin y debera ser

consistente y coherente en toda la organizacin. Los resultados de la clasificacin
deberan indicar el valor de los activos en funcin de su sensibilidad y criticidad para la
organizacin, por ejemplo, en trminos de confidencialidad, integridad y disponibilidad.
Los resultados de la clasificacin deberan actualizarse de acuerdo con los cambios de su
valor, sensibilidad y criticidad durante su ciclo de vida.
Otra informacin
La clasificacin les ofrece a las personas que tratan con informacin, una indicacin
concisa de cmo manejarla y protegerla. La creacin de grupos de informacin con
necesidades de proteccin similares y la especificacin de los procedimientos de
seguridad de la informacin que se aplican a toda la informacin en cada grupo, facilitan
28
esto. Este enfoque reduce la necesidad de una evaluacin de riesgos caso por caso y el
diseo personalizado de los controles.
La informacin suele dejar de tener importancia o criticidad tras cierto tiempo, por
ejemplo, cuando se ha hecho pblica. Estos aspectos deberan considerarse, puesto que
una sobre-clasificacin conllevara a la implementacin de controles innecesarios que
resultan en gastos adicionales o, por el contrario, en una clasificacin insuficiente, que
puede poner en peligro el logro de los objetivos del negocio.
Un ejemplo de un esquema de clasificacin de confidencialidad de la informacin se

podra basar en cuatro niveles, de la siguiente manera:
a) la divulgacin no causa ningn dao;
b) la divulgacin causa menor incomodidad o inconveniencia operativa menor;
c) la divulgacin tiene un impacto significativo por un corto plazo en las

operaciones o en los objetivos tcticos;
d) la divulgacin tiene un grave impacto en los objetivos estratgicos a largo

plazo o pone en riesgo la supervivencia de la organizacin.
8.2.2 Etiquetado de la informacin
Control
Un conjunto apropiado de procedimientos para el etiquetado de la informacin debera ser

desarrollado e implementado en concordancia con el esquema de clasificacin de la
informacin adoptado por la organizacin.
Los procedimientos para el etiquetado de la informacin necesitan cubrir la informacin y

sus activos relacionados en formato fsico y electrnico. El etiquetado debera reflejar el
esquema de clasificacin establecido en 8.2.1. Las etiquetas deberan reconocerse
fcilmente. Los procedimientos deberan proporcionar orientacin sobre dnde y cmo se
adjuntan las etiquetas, considerando cmo se accede a la informacin o se manipulan los
activos, en funcin de los tipos de medios. Los procedimientos pueden definir casos en
los que se omite el etiquetado, por ejemplo, el etiquetado de informacin no confidencial
para reducir las cargas de trabajo. Los empleados y los contratistas deberan estar al
tanto de los procedimientos del etiquetado.
La salida de los sistemas que contienen informacin clasificada como sensible o crtica
debera llevar una etiqueta adecuada de clasificacin.
Otra informacin
El etiquetado de la informacin clasificada es un requisito clave para acuerdos que

impliquen compartir informacin. Las etiquetas fsicas y los metadatos suelen ser las
formas ms comunes de etiquetado.
29
El etiquetado de la informacin y sus activos relacionados, a veces, pueden tener efectos

negativos. Los activos clasificados son fciles de identificar y por lo tanto ser objeto de
robo por parte de los atacantes internos o externos.
8.2.3 Manejo de activos
Control
Los procedimientos para el manejo de activos deberan ser desarrollados e

implementados en concordancia con el esquema de clasificacin de la informacin
adoptado por la organizacin.
Deberan elaborarse procedimientos para el manejo, procesamiento, almacenamiento y

comunicacin de la informacin, de acuerdo con su clasificacin (ver 8.2.1).
Deberan considerarse los siguientes elementos:
a) las restricciones de acceso que soportan los requisitos de proteccin para

cada nivel de clasificacin;
b) el mantenimiento de un registro formal de los destinatarios autorizados de

los activos;
c) la proteccin de las copias temporales o permanentes de informacin a un

nivel consistente con la proteccin de la informacin original;
d) el almacenamiento de los activos de TI de acuerdo con las especificaciones

del fabricante;
e) borrar el etiquetado de todas las copias de los medios para la atencin del
destinario autorizado.
El esquema de clasificacin utilizado en la organizacin puede no ser equivalente a los

utilizados por otras organizaciones, incluso si los nombres de los niveles son similares;
adems, la informacin que se mueve entre organizaciones puede variar en su
clasificacin dependiendo de su contexto en cada organizacin, incluso si los esquemas
de clasificacin son idnticos.
Los acuerdos con otras organizaciones que incluyen el intercambio de informacin

deberan incluir procedimientos para identificar la clasificacin de la informacin y para
interpretar las etiquetas de clasificacin de otras organizaciones.
8.3 Manejo de los medios
Objetivo: Prevenir la divulgacin no autorizada, modificacin, eliminacin o destruccin de

la informacin almacenada en medios.
30
8.3.1 Gestin de medios removibles
Control
Se debera implementar procedimientos para la gestin de medios removibles de acuerdo

con el esquema de clasificacin adoptado por la organizacin.
Deberan considerarse las siguientes directrices para la gestin de medios removibles:
a) si ya no son requeridos, los contenidos de los medios reutilizables que

deberan removerse de la organizacin, deberan hacerse irrecuperables;
b) cuando sea necesario y prctico, debera requerirse autorizacin para

remover los medios de la organizacin y debera mantenerse un registro de
dichas remociones, a fin de mantener un registro de auditora;
c) todos los medios deberan almacenarse en un ambiente protegido y seguro,

de acuerdo con las especificaciones del fabricante;
d) si la confidencialidad o la integridad de los datos son consideraciones

importantes, deberan utilizarse tcnicas criptogrficas para proteger los
datos en los medios removibles;
e) para mitigar el riesgo de degradacin de los medios mientras se necesiten

los datos almacenados, los datos deberan transferirse a medios nuevos
antes de convertirse en ilegibles;
f) deberan almacenarse varias copias de los datos valiosos en un medio

independiente para reducir an ms el riesgo del dao o prdida de los
datos coincidentes;
g) debera considerarse el registro de los medios removibles para limitar la

posibilidad de prdida de datos;
h) las unidades de medios removibles solo deberan habilitarse si hay una

razn comercial para hacerlo;
i) cuando existe la necesidad de utilizar los medios removibles, la transferencia

de informacin a tales medios debera ser monitoreada.
Deberan documentarse los procedimientos y los niveles de autorizacin.
8.3.2 Disposicin de medios
Control
Se debera poner a disposicin los medios de manera segura cuando ya no se requieran,

utilizando procedimientos formales.
31
Deberan establecerse procedimientos formales para la disposicin segura de los medios

para minimizar el riesgo de fuga de informacin confidencial a personas no autorizadas.
Los procedimientos para la disposicin segura de los medios que contienen informacin
confidencial deberan ser proporcionales a la sensibilidad de esa informacin. Deberan
considerarse los siguientes elementos:
a) los medios que contienen informacin confidencial deberan almacenarse y

disponerse de forma segura, por ejemplo, mediante incineracin o
trituracin, o el borrado de datos para su uso por otra aplicacin dentro de la
organizacin;
b) establecer procedimientos para identificar los elementos que puedan requerir

la disposicin segura;
c) puede ser ms fcil organizar que todos los elementos de los medios sean
recopilados y dispuestos de forma segura, en lugar de tratar de separar los
elementos sensibles;
d) muchas organizaciones ofrecen servicios de recopilacin y disposicin de los

medios; se debera tener cuidado en la seleccin de una parte externa
apropiada con los controles y experiencia adecuados;
e) los elementos sensibles puestos a disposicin deberan registrarse a fin de

mantener una pista de auditora.
Cuando se acumulan medios para la disposicin, debera tenerse en cuenta el efecto de

agregacin, que puede causar que una gran cantidad de informacin no sensible se
convierta en sensible.
Otra informacin
Los dispositivos daados que contienen datos sensibles pueden requerir una evaluacin
de riesgos para determinar si los elementos deberan ser destruidos fsicamente en lugar
de ser enviados para su reparacin o descarte (ver 11.2.7).
8.3.3 Transferencia de medios fsicos
Control
Los medios que contienen informacin deberan ser protegidos contra el acceso no
autorizado, el mal uso o la corrupcin durante el transporte.
Deberan considerarse las siguientes directrices para proteger a los medios que contienen
informacin que es transportada:
32
a) deberan utilizarse transporte o servicio de mensajera confiable;
b) debera acordarse con la gerencia una lista de servicios de mensajera

autorizados;
c) deberan desarrollarse procedimientos para verificar la identificacin de los

servicios de mensajera;
d) el embalaje debera ser suficiente para proteger el contenido de cualquier

dao fsico que pueda producirse durante el trnsito y de acuerdo con las
especificaciones del fabricante, por ejemplo, la proteccin contra los factores
ambientales que puede reducir la eficacia de restauracin de los medios,
tales como la exposicin al calor, humedad o campos electromagnticos;
e) deberan mantenerse registros para identificar el contenido de los medios, la

proteccin aplicada as como el registro de los tiempos de transferencia a los
custodios y la recepcin en el destino.
Otra informacin
La informacin puede ser vulnerable al acceso no autorizado, mal uso o corrupcin

durante el transporte fsico, por ejemplo, al enviar los medios a travs del servicio postal o
de mensajera. En este control, los medios incluyen los documentos en papel.
Cuando la informacin confidencial en los medios no se encuentra cifrada, debera

considerarse la proteccin fsica adicional de los medios.
9. CONTROL DE ACCESO
9.1 Requisitos de la empresa para el control de acceso.
Objetivo: Limitar el acceso a la informacin y a las instalaciones de procesamiento de la

informacin.
9.1.1 Poltica de control de acceso
Control
Una poltica de control de acceso debera ser establecida, documentada y revisada

basada en requisitos del negocio y de seguridad de la informacin.
Gua de implantacin
Los propietarios de activos deberan determinar las reglas de control de acceso, los
derechos de acceso y restricciones apropiados para los roles especficos de los usuarios
con respecto a sus activos, con el nivel de detalle y el rigor de los controles que reflejen
los riesgos de seguridad de informacin asociados.
Los controles de acceso son lgicos y fsicos (vase la clusula 11) y estos deberan ser
33
considerados en conjunto. Los usuarios y los proveedores de servicios deberan tener una
declaracin clara de los requisitos del negocio que deberan cumplir los controles de
acceso.
La poltica debera tener en cuenta lo siguiente:

a) los requisitos de seguridad de las aplicaciones de negocio;
b) polticas para la difusin y autorizacin de la informacin, por ejemplo, la

necesidad de conocer los principios y niveles de seguridad de la informacin
y clasificacin de la informacin (vase 8.2);
c) la consistencia entre los derechos de acceso y polticas de clasificacin de la

informacin de los sistemas y redes;
d) la legislacin relevante y cualquier obligacin contractual respecto a la

limitacin de acceso a datos o servicios (vase 18.1);
e) la gestin de los derechos de acceso en un ambiente distribuido y en red

que reconoce todos los tipos de conexiones disponibles;
f) la segregacin de roles de control de acceso, por ejemplo peticin de

acceso, la autorizacin de acceso, administracin de acceso;
g) los requisitos para la autorizacin formal de las solicitudes de acceso (vase

9.2.1 y 9.2.2);
h) los requisitos para la revisin peridica de los derechos de acceso (ver

9.2.5);
i) la eliminacin de los derechos de acceso (vase 9.2.6);
j) el archivo de los expedientes de todos los eventos importantes

concernientes al uso y la gestin de identidades de los usuarios y la
informacin de autenticacin secreta;
k) los roles con acceso privilegiado (ver 9.2.3).
Otra informacin
Se debera tener cuidado cuando se especifica las reglas de control de acceso a

considerar:
a) el establecimiento de reglas basadas en la premisa "Todo est generalmente

prohibido a menos que sea expresamente permitido" y no la regla ms dbil
"Todo est generalmente permitido a menos que sea expresamente
prohibido";
b) cambios en las etiquetas de informacin (vase 8.2.2) que son iniciadas

automticamente por las instalaciones de procesamiento de la informacin y
aquellas iniciadas a discrecin de un usuario;
34
c) los cambios en los permisos del usuario que son iniciados automticamente
por el sistema de informacin y aquellos iniciados por un administrador;
d) las reglas que requieren la aprobacin especfica antes de la promulgacin y

las que no lo requieren.
Reglas de control de acceso deberan ser soportadas por procedimientos formales (ver
9.2, 9.3, 9.4) y definir responsabilidades (ver 6.1.1, 9.3).
Control de acceso basado en roles es un enfoque utilizado con xito por muchas
organizaciones para vincular los derechos de acceso con los roles en el negocio.
Dos de los principios frecuentes que dirigen la poltica de control de acceso son:
a) Necesidad de conocer: slo se le concede acceso a la informacin que

necesita para llevar a cabo sus tareas (diferentes tareas / roles significan
diferente necesidad de conocimiento y por lo tanto diferente perfil de
acceso);
b) Necesidad de usar: slo se le concede acceso a las instalaciones de

procesamiento de informacin (equipos informticos, aplicaciones,
procedimientos, ambientes) que necesita para llevar a cabo su tarea / trabajo
/ rol.
9.1.2 Acceso a redes y servicios de red.
Control
Los usuarios deberan tener acceso solamente a la red y a servicios de red que hayan
sido especficamente autorizados a usar.
Una poltica debera ser formulada en relacin con el uso de redes y servicios de red. Esta
poltica debera cubrir:
a) las redes y los servicios de red que estn permitidos a ser accedidos;
b) los procedimientos de autorizacin para determinar quin est permitido a

acceder a que redes y a que servicios en red;
c) los controles de gestin y procedimientos para proteger el acceso a las

conexiones de red y servicios de red;
d) los medios utilizados para acceder a las redes y servicios de red (por
ejemplo, uso de VPN o red inalmbrica);
e) requisitos de autenticacin del usuario para acceder a varios servicios de

35
red;
f) el monitoreo del uso de los servicios de red.
La poltica sobre el uso de los servicios de red debera ser consistente con la poltica de
control de acceso de la organizacin (ver 9.1.1).
Otra informacin
Conexiones no autorizadas e inseguras a servicios de red pueden afectar a toda la

organizacin. Este control es particularmente importante para las conexiones de red a las
aplicaciones de negocio sensibles o crticos, o para los usuarios en lugares de alto riesgo,
por ejemplo, zonas pblicas o externas que estn fuera del control y gestin de seguridad
de la informacin de la organizacin.
9.2. Gestin de acceso de usuario
Objetivo: Asegurar el acceso de usuarios autorizados y prevenir el acceso no autorizado a

los sistemas y servicios.
9.2.1 Registro y baja de usuarios
Control
Un proceso formal de registro y baja de usuarios debera ser implementado para permitir
la asignacin de derechos de acceso.
El proceso de gestin de los ID de los usuarios debera incluir:

a) utilizar la identificacin nica de usuario (ID) para que los usuarios puedan
estar vinculados y sean responsables de sus acciones; el uso de los ID
compartidos debera slo ser permitido cuando sean necesarios por razones
de negocios o de funcionamiento y deberan ser aprobados y documentados;
b) deshabilitar o remover inmediatamente los ID de los usuarios que han

dejado la organizacin (vase 9.2.6);
c) peridicamente identificar y eliminar o desactivar los ID redundantes;
d) asegurarse de que los ID redundantes no se otorguen a otros usuarios.
Otra informacin
Proporcionar o revocar el acceso a la informacin o a las instalaciones de procesamiento

de informacin, usualmente es un procedimiento de dos pasos:
a) asignacin y habilitacin, o revocacin, de un ID de usuario;
b) proporcionar, o revocar derechos de acceso a dicho ID de usuario (vase

36
9.2.2).
9.2.2 Aprovisionamiento de acceso a usuario
Control
Un proceso formal de aprovisionamiento de acceso a usuarios debera ser implementado

para asignar o revocar los derechos de acceso para todos los tipos de usuarios a todos
los sistemas y servicios.
El proceso de aprovisionamiento para asignar o revocar los derechos de accesos

concedidos a un ID de usuario debera incluir:
a) la obtencin de la autorizacin del propietario del sistema o servicio de
informacin para su uso (vase el control 8.1.2); la aprobacin por separado
de los derechos de acceso para la administracin tambin puede ser
apropiada;
b) la verificacin de que el nivel de acceso concedido es apropiado a las

polticas de acceso (vase 9.1) y es consistente con otros requisitos, tales
como la segregacin de funciones (vase 6.1.2);
c) el aseguramiento de que los derechos de acceso no estn activados (por

ejemplo, por los proveedores de servicios) antes de que se completen los
procedimientos de autorizacin;
d) el mantenimiento de un registro central de los derechos de acceso

concedidos a un ID de usuario para acceder a los sistemas y servicios de
informacin;
e) la adaptacin de los derechos de acceso de los usuarios que han cambiado

roles o trabajo y la inmediata remocin o bloqueo de los derechos de acceso
de los usuarios que dejaron la organizacin;
f) la revisin peridica de los derechos de acceso con los propietarios de los

sistemas o servicios de informacin (vase 9.2.5).
Otra informacin
Se debera considerar la posibilidad de establecer los roles de acceso de usuario basado

en los requerimientos del negocio que resumen un nmero de derechos de acceso en
perfiles tpicos de acceso de usuario. Las solicitudes de acceso y las revisiones (vase
9.2.4) son ms fcil de gestionar a nivel de esos roles que a nivel de los derechos
particulares.
Se debera considerar la posibilidad de incluir clusulas en los contratos de personal y

contratos de servicio que especifiquen sanciones, si se intenta el acceso no autorizado
por personal o contratistas (ver 7.1.2, 7.2.3, 13.2.4, 15.1.2).
37
9.2.3 Gestin de derechos de acceso privilegiados
Control
La asignacin y uso de derechos de acceso privilegiado debera ser restringida y

controlada.
La asignacin de derechos de acceso privilegiado debera ser controlada a travs de un

proceso formal de autorizacin, de acuerdo con la poltica de control de acceso
correspondiente (vase el control 9.1.1). Los siguientes pasos deberan ser considerados:
a) los derechos de acceso privilegiados asociados con cada sistema o proceso;

por ejemplo, sistema operativo, sistema de gestin de base de datos y cada
aplicacin; y los usuarios a los que necesitan ser asignados deberan ser
identificados;
b) los derechos de acceso privilegiados deberan ser asignados a los usuarios

en base a la necesidad de uso y sobre una base de caso por caso en lnea
con la poltica de control de acceso (ver 9.1.1), es decir, basado en el
requisito mnimo para sus roles funcionales;
c) un proceso y registro de autorizacin de todos los privilegios asignados

debera ser mantenido. Los derechos de acceso privilegiados no deberan
concederse hasta que el proceso de autorizacin se ha completado;
d) los requisitos para expiracin de los derechos de acceso privilegiados

deberan ser definidos;
e) los derechos de acceso privilegiados deberan ser asignados a un ID de

usuario diferente de las usadas para las actividades de trabajo regulares.
Actividades de trabajo regulares no deberan ser desempeadas desde un
ID privilegiado;
f) las competencias de los usuarios con derechos de acceso privilegiados

deberan ser revisadas peridicamente a fin de verificar si estn alineadas
con sus funciones;
g) los procedimientos especficos deberan establecerse y mantenerse para

evitar el uso no autorizado de ID de usuario de administracin genricos, de
acuerdo a las capacidades de configuracin de los sistemas;
h) para los ID de usuario de administracin genricos, la confidencialidad de la

informacin de autenticacin secreta debera mantenerse cuando se
comparte (por ejemplo, cambiar las contraseas con frecuencia y tan pronto
como sea posible cuando un usuario privilegiado deja o cambia de trabajo,
comunicando entre ellos a los usuarios privilegiados con mecanismos
adecuados).
38
Otra informacin
El uso inadecuado de los privilegios de administracin del sistema (cualquier

caracterstica o instalacin de un sistema de informacin que habilite al usuario anular
sistemas o controles de aplicaciones) es un importante factor de contribucin a las fallas o
infracciones a los sistemas.
9.2.4 Gestin de informacin de autentificacin secreta de usuarios
Control
La asignacin de informacin de autentificacin secreta debera ser controlada a travs de

un proceso de gestin formal.
El proceso debera incluir los siguientes requisitos:

a) a los usuarios se les debera requerir firmar una declaracin personal para
mantener confidencial la informacin de autenticacin secreta y para
mantener la informacin del grupo (es decir, compartida) nicamente con los
miembros del grupo; esta declaracin firmada se puede incluir en los
trminos y condiciones de empleo (vase 7.1.2);
b) cuando los usuarios estn requeridos a mantener su propia informacin de

autenticacin secreta se les debera proporcionar inicialmente la informacin
de autenticacin secreta temporal, que se ven obligados a cambiar en el
primer uso;
c) se debera establecer procedimientos para verificar la identidad de un

usuario antes de proporcionar informacin de autenticacin secreta nueva,
reemplazo o temporal;
d) la informacin de autenticacin secreta temporal se debera dar a los

usuarios de manera segura; el uso de terceros o mensajes de correo
electrnico sin proteccin (texto claro) debera evitarse;
e) la informacin de autenticacin secreta temporal debera ser nica para un

individuo y no debera ser adivinable;
f) los usuarios deberan reconocer la recepcin de la informacin de

autenticacin secreta;
g) la informacin de autenticacin secreta por defecto del proveedor debera

ser modificada despus de la instalacin de los sistemas o aplicaciones.
Otra informacin
Las contraseas son un tipo de informacin de autenticacin secreta comnmente

utilizadas y son un medio comn para verificar la identidad de un usuario. Otros tipos de
informacin de autenticacin secreta son claves criptogrficas y otros datos almacenados
39
en dispositivos tokens (por ejemplo, tarjetas inteligentes) que producen cdigos de

autenticacin.
9.2.5 Revisin de derechos de acceso de usuarios
Control
Los propietarios de los activos deberan revisar los derechos de acceso de usuario a
intervalos regulares.
La revisin de los derechos de acceso debera considerar lo siguiente:

a) los derechos de acceso de los usuarios deberan ser revisados en intervalos
regulares y despus de cualquier cambio, tal como el ascenso, el descenso
o la terminacin del empleo (vase la clusula 7);
b) los derechos de acceso de usuario deberan ser revisados y reasignados al

pasar de un rol a otro dentro de la misma organizacin;
c) las autorizaciones de los derechos de acceso privilegiados deberan

revisarse a intervalos ms frecuentes;
d) las asignaciones de privilegios deberan ser chequeados en intervalos

regulares para garantizar que no se han obtenido privilegios no autorizados;
e) cambios en las cuentas privilegiadas deberan ser registrados para su

revisin peridica.
Otra informacin
Este control compensa las posibles debilidades en la ejecucin de los controles 9.2.1,
9.2.2 y 9.2.6.
9.2.6 Remocin o ajuste de derechos de acceso
Control
Los derechos de acceso a informacin e instalaciones de procesamientos de informacin

de todos los empleados y de los usuarios de partes externas deberan removerse al
trmino de su empleo, contrato o acuerdo, o ajustarse segn el cambio.
Tras la desvinculacin, los derechos de acceso de un individuo a la informacin y los

activos asociados a las instalaciones y servicios de procesamiento de informacin
deberan ser removidos o suspendidos. Esto determinar si es necesario eliminar los
derechos de acceso. Los cambios de empleo deberan reflejarse en la remocin de todos
los derechos de acceso que no fueron aprobados para el nuevo empleo. Los derechos de
acceso que deberan ser removidos o ajustados incluyen los de acceso fsico y lgico. La
40
remocin o el ajuste se pueden hacer mediante la remocin, la revocacin o reemplazo de

las claves, tarjetas de identificacin, instalaciones de procesamiento de informacin o
suscripciones. Cualquier documentacin que identifique los derechos de acceso de los
empleados y contratistas debera reflejar la remocin y el ajuste de los derechos de
acceso. Si un empleado o usuario externo que se marcha conoce contraseas para ID de
usuario que permanecen activas, stas se deberan cambiar a la terminacin o cambio de
empleo, contrato o acuerdo.
Los derechos de acceso para la informacin y los activos asociados a las instalaciones de
procesamiento de informacin deberan ser reducidos o removidos antes del cambio o
trmino del empleo, dependiendo de la evaluacin de factores de riesgo tales como:
a) si la desvinculacin o el cambio se inicia por el empleado, el usuario externo

o la administracin, y la razn de la terminacin;
b) las responsabilidades actuales del empleado, usuario externo o cualquier

otro usuario;
c) el valor de los activos actualmente accesibles.
Otra informacin
En determinadas circunstancias, los derechos de acceso pueden ser asignados sobre la

base de estar disponible a ms gente que el empleado o usuario externo que sale, por
ejemplo, ID de grupo. En tales circunstancias, las personas que salen deberan ser
retiradas de las listas de acceso de grupo y debera hacer una recomendacin a todos los
dems empleados y usuarios externos involucrados a no compartir esta informacin con
la persona que sale.
En los casos de terminacin de la gestin iniciada, empleados descontentos o usuarios

externos pueden deliberadamente corromper informacin o sabotear las instalaciones de
procesamiento de informacin. En los casos de personas que renuncian o son
despedidos, ellos pueden tener la tentacin de recopilar informacin para su uso futuro.
9.3. Responsabilidades de los usuarios
Objetivo: Hacer que los usuarios respondan por la salvaguarda de su informacin de

autentificacin.
9.3.1 Uso de informacin de autentificacin secreta
Control
Los usuarios deberan ser exigidos a que sigan las prcticas de la organizacin en el uso
de informacin de autentificacin secreta.
Todos los usuarios deberan ser advertidos de:
41
a) mantener la confidencialidad de la informacin secreta de autenticacin,

asegurando que no sea divulgada a otras partes, incluidas las autoridades;
b) evitar se mantenga registros (por ejemplo, en papel, archivo digital o

dispositivo mvil) de informacin de autenticacin secreta, a menos que
pueda ser almacenada de forma segura y el mtodo de almacenamiento
haya sido aprobado (por ejemplo repositorio de contraseas);
c) cambiar la informacin de autenticacin secreta siempre que exista cualquier

indicio de su posible compromiso;
d) cuando las contraseas son usadas como informacin de autenticacin

secreta, seleccione contraseas de calidad con longitud mnima suficiente
que sean:
1) fcil de recordar;
2) no basado en cualquier cosa que alguien ms podra adivinar

fcilmente u obtener utilizando informacin personal relacionada, por
ejemplo, nombres, nmeros de telfono y fecha de nacimiento, etc.
3) no vulnerable a ataques de diccionario (es decir, no consistan en

palabras incluidas en los diccionarios);
4) libre de caracteres idnticos consecutivos, totalmente numrica o

totalmente alfabtica;
5) si es temporal, cambiado en el primer inicio de sesin;
e) no compartir informacin de autenticacin secreta de usuario individual;
f) garantizar una apropiada proteccin de las contraseas cuando las

contraseas se utilizan como informacin de autenticacin secreta en
procedimientos de inicio de sesin automatizado y son almacenados;
g) No utilizar la misma informacin secreta de autenticacin para propsitos

comerciales y no comerciales.
Otra informacin
La disposicin de la Autenticacin nica (Single Sign On (SSO)) u otras herramientas de

gestin de informacin de autenticacin secretos, reduce la cantidad de informacin de
autenticacin secreta que los usuarios estn requeridos a proteger y por lo tanto puede
aumentar la eficacia de este control. Sin embargo, estas herramientas tambin pueden
aumentar el impacto de la divulgacin de informacin de autenticacin secreta.
9.4. Responsabilidades de los usuarios
Objetivo: Prevenir el acceso no autorizado a los sistemas y aplicaciones.
9.4.1 Restriccin de acceso a la informacin

42
Control
El acceso a la informacin y a las funciones del sistema de aplicacin debera ser

restringido en concordancia con la poltica de control de acceso.
Las restricciones de acceso deberan basarse en los requisitos individuales de

aplicaciones de negocio y de acuerdo con la poltica de control de acceso definida.
Debera considerarse lo siguiente para dar soporte a los requisitos de restriccin de
acceso:
a) proporcionar mens para controlar el acceso a las funciones del sistema de
aplicacin;
b) controlar los datos que pueden ser accedidos por un usuario en particular;
c) controlar los derechos de acceso de los usuarios, por ejemplo, leer, escribir,
borrar y ejecutar;
d) controlar los derechos de acceso de otras aplicaciones;
e) limitar la informacin contenida en las salidas;
f) proporcionar controles de acceso fsicos o lgicos para el aislamiento de

aplicaciones sensibles, datos de aplicacin, o sistemas.
9.4.2 Procedimientos de ingreso seguro
Control
Donde la poltica de control de acceso lo requiera, el acceso a los sistemas y a las

aplicaciones debera ser controlado por un procedimiento de ingreso seguro.
Una tcnica de autenticacin adecuada debera ser elegida para justificar la identidad
reclamada de un usuario.
Cuando se requiere una fuerte autenticacin y verificacin de identidad, deberan utilizar

mtodos de autenticacin alternativa a las contraseas, tales como medios de cifrado,
tarjetas inteligentes, tokens o medios biomtricos.
El procedimiento para iniciar sesin en un sistema o aplicacin debera estar diseado

para minimizar la oportunidad de un acceso no autorizado. Por tanto, el procedimiento de
conexin debera revelar el mnimo de informacin sobre el sistema o aplicacin, con el fin
de evitar el proporcionar un usuario no autorizado con cualquier asistencia innecesaria.
Un buen procedimiento de ingreso debera:
a) no mostrar identificadores de sistemas o aplicaciones hasta que el proceso
de entrada ha sido completado exitosamente;
43
b) mostrar un aviso general de advertencia de que el computador debera ser

accedido slo por usuarios autorizados;
c) no proveer mensajes de ayuda durante el procedimiento de ingreso que

facilite el acceso a un usuario no autorizado;
d) validar la informacin de inicio de sesin slo al completar todos los datos de

entrada. Si surge una condicin de error, el sistema no debera indicar que
parte de los datos son correctos o incorrectos;
e) proteger contra intentos de ingreso por fuerza bruta;
f) registrar los intentos fallidos y exitosos;
g) plantear un evento de seguridad si un intento potencial o infraccin exitosa

de ingreso es detectado por los controles;
h) muestra la siguiente informacin sobre al completar un ingreso con xito:
1) Fecha y hora del anterior ingreso con xito;
2) detalles de cualquier intento de ingreso sin xito desde el ltimo

ingreso con xito;
i) no mostrar una contrasea siendo introducida;
j) no transmitir las contraseas en texto claro (sin cifrar) a travs de una red;
k) terminar sesiones inactivas despus de un perodo definido de inactividad,

especialmente ubicaciones de alto riesgo, tales como reas pblicas o
externas fuera de la gestin de seguridad de la organizacin o en los
dispositivos mviles;
l) restringir los tiempos de conexin para proveer seguridad adicional para

aplicaciones de alto riesgo y reducir la ventana de oportunidad para accesos
no autorizados.
Otra informacin
Las contraseas son una forma comn de proveer identificacin y autenticacin basada
en un secreto que slo el usuario conoce. Lo mismo tambin se puede lograr con medios
criptogrficos y protocolos de autenticacin. La fortaleza de la autenticacin de usuario
debera ser apropiada para la clasificacin de la informacin a ser accedida.
Si las contraseas son transmitidas en texto claro durante el inicio de sesin a travs de
una red, pueden ser capturadas por un programa de red "sniffer".
9.4.3 Sistema de gestin de contraseas
Control
44
Los sistemas de gestin de contraseas deberan ser interactivos y deberan asegurar

contraseas de calidad.
Un sistema de gestin de contraseas debera:

a) imponer el uso de ID de usuario y contraseas individuales para mantener la
responsabilidad;
b) permitir a los usuarios seleccionar y cambiar sus propias contraseas e

incluir un procedimiento de confirmacin para permitir errores de entrada;
c) imponer la eleccin de contraseas de calidad;
d) Forzar a los usuarios a cambiar sus contraseas en el primer inicio de

sesin;
e) imponer los cambios regulares de contrasea y, segn sea necesario;
f) mantener un registro de las contraseas utilizadas anteriormente y evitar su

reutilizacin;
g) No mostrar las contraseas en la pantalla cuando son ingresadas;
h) almacenar archivos de contraseas separadamente de los datos del sistema

de aplicacin;
i) almacenar y transmitir las contraseas en forma protegida.
Otra informacin
Algunas aplicaciones requieren que las contraseas de usuario se asignen por una
autoridad independiente; en tales casos, los puntos b), d) y e) de la gua anterior no se
aplican. En la mayora de los casos las contraseas son seleccionadas y mantenidas por
los usuarios.
9.4.4 Uso de programas utilitarios Privilegiados
Control
El uso de programas utilitarios que podran ser capaces de pasar por alto los controles del
sistema y de las aplicaciones debera ser restringido y controlarse estrictamente.
Las siguientes pautas para el uso de programas utilitarios que podran ser capaces de
pasar por alto los controles del sistema y de las aplicaciones deberan considerarse:
a) el uso de identificacin, procedimientos de autenticacin y autorizacin de
los programas utilitarios;
45
b) segregacin de los programas utilitarios de los de aplicaciones;
c) Limitacin del uso de programas utilitarios a un nmero mnimo prctico de

confianza y de usuarios autorizados (vase 9.2.3);
d) autorizacin para el uso ad hoc de los programas utilitarios;
e) limitacin de la disponibilidad de programas utilitarios, por ejemplo, para la

duracin de un cambio autorizado;
f) registro de todo el uso de los programas utilitarios;
g) definicin y documentacin de los niveles de autorizacin para los

programas utilitarios;
h) remocin o desactivacin de todos los programas utilitarios innecesarios;
i) no habilitar programas utilitarios para usuarios que tienen acceso a

aplicaciones en sistemas donde se requiere la separacin de funciones.
Otra informacin
La mayora de instaladores de software tienen uno o ms programas utilitarios que

podran ser capaces de anular controles de sistemas y aplicaciones.
9.4.5 Control de acceso al cdigo fuente de los programas
Control
El acceso al cdigo fuente de los programas debera ser restringido.
El acceso al cdigo fuente de programas y elementos asociados (tales como diseos,

especificaciones, planes de verificacin y de validacin) deberan ser estrictamente
controlados, con el fin de prevenir la introduccin de funcionalidades no autorizadas y
evitar cambios no intencionales, as como para mantener la confidencialidad de la
propiedad intelectual valiosa. Para el cdigo fuente de programas, esto se puede lograr
por el almacenamiento centralizado y controlado de dicho cdigo, preferiblemente en las
bibliotecas fuentes de programas. Las siguientes guas debern tomarse en consideracin
para controlar el acceso a este tipo de bibliotecas fuentes de programas con el fin de
reducir las posibilidades de corrupcin de los programas del computador:
a) donde sea posible, las bibliotecas fuentes de programas no deberan ser

mantenidos en sistemas en produccin;
b) el cdigo y las bibliotecas fuentes de programas deberan ser gestionados

de acuerdo a los procedimientos establecidos;
c) El personal de soporte no debera tener acceso sin restricciones a las

bibliotecas fuentes de programas;
46
d) la actualizacin de las bibliotecas fuentes de programas y elementos

asociados y la entrega de programas fuentes a los programadores slo
debera realizarse despus de haberse recibido la autorizacin apropiada;
e) las listas de programas deberan mantenerse en un entorno seguro;
f) un registro de auditora debera mantenerse para todos los accesos a las

bibliotecas fuente de programas;
g) el mantenimiento y la copia de las bibliotecas fuentes de programas

deberan estar sujetos en estricto a procedimientos de control de cambios
(vase 14.2.2).
Si el cdigo fuente del programa est destinado a ser publicado, debera considerarse
controles adicionales para ayudar a conseguir garantas sobre su integridad (por ejemplo,
la firma digital).
10. CRIPTOGRAFA
10.1 Controles criptogrficos
Objetivo: Asegurar el uso apropiado y efectivo de la criptografa para proteger la

confidencialidad, autenticidad y/o integridad de la informacin.
10.1.1 Poltica sobre el uso de controles criptogrficos.
Control
Una poltica sobre el uso de controles criptogrficos para la proteccin de la informacin

debera ser desarrollada e implementada.
En el desarrollo de una poltica criptogrfica debera ser considerado lo siguiente:

a) el enfoque de gestin hacia el uso de controles criptogrficos en toda la
organizacin, incluyendo los principios generales bajo la cual la informacin
de negocio debera ser protegida;
b) Basado en una evaluacin de riesgos, el nivel requerido de proteccin

debera ser identificado tomando en cuenta el tipo, la fuerza y la calidad del
algoritmo de encriptacin requerido;
c) el uso de encriptacin para proteger la informacin transportada por los

dispositivos mviles o removibles o a travs de lneas de comunicacin;
d) el enfoque de la gestin de claves, incluyendo los mtodos para tratar con la

proteccin de claves criptogrficas y la recuperacin de la informacin
encriptada en el caso de prdida, compromiso o dao de las claves;
e) los roles y responsabilidades, por ejemplo, quien es responsable de:

47
1) la implementacin de la poltica;
2) la gestin de claves, incluyendo su generacin (ver 10.1.2);
f) los estndares a ser adoptados para la implementacin efectiva en toda la

organizacin (que solucin es utilizada para cada proceso de negocio);
g) el impacto de usar informacin codificada en los controles que se basan en

la inspeccin de contenido (por ejemplo, la deteccin de malware).
Cuando la organizacin implementa poltica criptogrfica, se debera considerar las

regulaciones y restricciones nacionales que podran aplicarse al uso de tcnicas
criptogrficas en diferentes partes del mundo y para los problemas de flujo transfronterizo
de informacin encriptada (ver 18.1.5).
Controles criptogrficos pueden ser usados para lograr diferentes objetivos de seguridad
de la informacin, por ejemplo:
a) confidencialidad: uso de encriptacin de la informacin para proteger la
informacin sensible o crtica, ya sea almacenada o transmitida;
b) integridad / autenticidad: uso de firmas digitales o cdigos de autenticacin

de mensajes para verificar la autenticidad o integridad de la informacin
sensible o crtica almacenada o transmitida;
c) no repudio: uso de tcnicas criptogrficas para proveer evidencia de la

ocurrencia o no ocurrencia de un evento o accin;
d) Autenticacin: uso de tcnicas criptogrficas para autenticar usuarios y otras

entidades del sistema que soliciten acceso o que realicen transacciones con
los usuarios, entidades y recursos del sistema.
Otra informacin
Tomar una decisin en cuanto a si una solucin criptogrfica es apropiada debera ser
visto como parte de un proceso ms amplio de evaluacin de riesgos y seleccin de
controles. Esta evaluacin puede ser utilizada para determinar si un control criptogrfico
es apropiado, qu tipo de control debera ser aplicado y para qu propsito y procesos de
negocio.
Una poltica sobre el uso de controles criptogrficos es necesaria para maximizar los
beneficios y minimizar los riesgos de usar tcnicas criptogrficas y para evitar el uso
inadecuado o incorrecto.
El asesoramiento especializado se debera buscar en la seleccin de controles

criptogrficos apropiados para cumplir los objetivos de la poltica de seguridad de la
informacin.
10.1.2 Gestin de claves
Control
48
Una poltica sobre el uso, proteccin y tiempo de vida de las claves criptogrficas
deberan ser desarrollada e implementada a travs de todo su ciclo de vida.
La poltica debera incluir los requisitos para la gestin de claves criptogrficas en todo su
ciclo de vida incluyendo la generacin, almacenamiento, archivamiento, recuperacin,
distribucin, retiro y destruccin de las claves.
Los algoritmos criptogrficos, longitudes de clave y prcticas de uso deberan ser

seleccionados de acuerdo a las mejores prcticas. La gestin de claves apropiada
requiere de procesos seguros para generar, almacenar, archivar, recuperar, distribuir,
retirar y destruir claves criptogrficas.
Todas las claves criptogrficas deberan ser protegidas contra la modificacin y prdida.
Adems, las claves secretas y privadas necesitan proteccin contra el uso no autorizado,
as como la divulgacin. El equipo utilizado para generar, almacenar y archivar claves
debera ser protegido fsicamente.
Un sistema de gestin de claves debera basarse en un conjunto establecido de

estndares, procedimientos y mtodos seguros para:
a) generacin de claves para los diferentes sistemas criptogrficos y diferentes
aplicaciones;
b) emisin y obtencin de certificados de clave pblica;
c) distribucin de claves para entidades destinadas, incluyendo cmo deberan

activarse las claves cuando se reciben;
d) almacenamiento de claves, incluyendo cmo los usuarios autorizados

obtienen acceso a las claves;
e) cambiar o actualizar las claves incluyendo reglas sobre cuando se deberan

cambiar y cmo se hara;
f) tratar con claves comprometidas;
g) revocar claves incluyendo cmo deberan ser retiradas o desactivadas las

claves, por ejemplo, cuando las claves han sido comprometidas o cuando un
usuario sale de una organizacin (en qu caso las claves deberan tambin
archivarse);
h) recuperacin de claves perdidas o corruptas;
i) copia de seguridad o archivamiento de claves;
j) destruccin de claves;
k) registro y auditora de las actividades relacionadas a la gestin de claves.

Con el fin de reducir la probabilidad de un uso inadecuado, fechas de activacin y
49
desactivacin de claves deberan ser definidas para que las claves se puedan utilizar
solamente para el perodo de tiempo definido en la poltica de gestin de claves asociada.
Adems de gestionar de forma segura las claves secretas y privadas, la autenticidad de

las claves pblicas tambin debera ser considerada. Este proceso de autenticacin se
puede hacer utilizando certificados de clave pblica, que normalmente son emitidos por
una autoridad certificadora, que debera ser una organizacin reconocida con controles y
procedimientos adecuados para proporcionar el grado necesario de confianza en el lugar.
El contenido de los acuerdos de nivel de servicio o contratos con proveedores externos de

servicios criptogrficos, por ejemplo, con una autoridad certificadora, debera abarcar
cuestiones de responsabilidad, fiabilidad y tiempos de respuesta para la prestacin de los
servicios (vase 15.2).
Otra informacin
La gestin de claves criptogrficas es esencial para el uso eficaz de tcnicas

criptogrficas. ISO/IEC 11770 [2] [3] [4] proporciona informacin adicional sobre la gestin
de claves.
Las tcnicas criptogrficas tambin pueden ser utilizadas para proteger las claves
criptogrficas. Puede ser necesario considerar procedimientos para manejar demandas
legales por el acceso a claves criptogrficas, por ejemplo informacin cifrada puede tener
que estar disponible en forma no cifrada como prueba en un caso judicial.
11. SEGURIDAD FSICA Y AMBIENTAL
11.1 reas seguras
Objetivo: Impedir el acceso fsico no autorizado, dao e interferencia a la informacin y a

las instalaciones de procesamiento de la informacin de la organizacin.
11.1.1 Permetro de seguridad fsica
Control
Los permetros de seguridad deberan ser definidos y utilizados para proteger reas que
contienen informacin sensible o crtica e instalaciones de procesamiento de la
informacin.
Las siguientes guas deberan ser consideradas e implementadas segn corresponda

para los permetros de seguridad fsica:
a) los permetros de seguridad deberan definirse, y la ubicacin y resistencia

de cada uno de los permetros deberan depender de los requisitos de
seguridad de los activos dentro del permetro y de los resultados de una
evaluacin de riesgos;
50
b) los permetros de un edificio o lugar que contenga instalaciones de

procesamiento de informacin deberan tener solidez fsica (por ejemplo no
tendr zonas que puedan vulnerarse fcilmente); los muros, paredes y pisos
externos del lugar deberan ser slidos y todas las puertas exteriores
deberan estar convenientemente protegidas contra accesos no autorizados
mediante mecanismos de control, (por ejemplo barras, alarmas, cerraduras);
puertas y ventanas deberan bloquearse cuando se encuentren sin vigilancia
y debera considerarse proteccin externa para las ventanas,
particularmente en niveles bajos;
c) debera existir un rea de recepcin atendida por personal u otros medios de

control de acceso fsico al rea o edificio; dicho acceso debera restringirse
slo al personal autorizado;
d) donde sea aplicable, deberan construirse barreras fsicas para evitar el

acceso fsico no autorizado y la contaminacin del entorno;
e) todas las puertas contra incendios del permetro de seguridad deberan tener
alarma, ser supervisadas y probadas conjuntamente con las paredes para
establecer el nivel requerido de resistencia de acuerdo a los estndares
regionales, nacionales, e internacionales apropiados; deberan funcionar de
acuerdo con las disposiciones locales de proteccin contra el fuego de modo
de garantizar la seguridad;
f) Deberan instalarse sistemas de deteccin de intrusos adecuados segn los

estndares nacional, regional o internacional y probarlos regularmente para
cubrir todas las puertas externas y ventanas accesibles; las reas no
ocupadas deberan alarmar siempre; tambin debera proporcionarse
proteccin para otras reas, por ejemplo, sala de computadoras o cuartos de
comunicaciones;
g) las instalaciones de procesamiento de informacin gestionadas por la

organizacin deberan separarse fsicamente de aquellas gestionadas por
terceros.
Otra informacin
La proteccin fsica puede ser alcanzada creando una o ms barreras fsicas alrededor
del local y de las instalaciones de procesamiento de informacin de la organizacin. El
uso de mltiples barreras brinda proteccin adicional, mientras que la falta de una barrera
no significa que la seguridad se vea comprometida inmediatamente.
Un rea segura puede ser una oficina bloqueable, o varios ambientes rodeados por una
barrera fsica continua interna de seguridad. Las barreras adicionales y los permetros
para controlar el acceso fsico pueden ser necesarios entre reas con diferentes requisitos
de seguridad dentro del permetro de seguridad. Deberan darse especial atencin a la
seguridad de acceso fsico en los edificios donde funcionan mltiples organizaciones.
La aplicacin de los controles fsicos, especialmente para las reas seguras, debera
adaptarse a las circunstancias tcnicas y econmicas de la organizacin, segn se
establece en la evaluacin de riesgos.
51
11.1.2 Controles de ingreso fsico
Control
Las reas seguras deberan ser protegidas por medio de controles apropiados de ingreso
para asegurar que se le permite el acceso slo al personal autorizado.
Deberan considerarse las siguientes recomendaciones:
a) la fecha y hora de entrada y salida de visitantes debera restringirse, y todos

los visitantes deberan supervisarse a menos que su acceso se haya
aprobado previamente; el acceso debera concederse slo para propsitos
especficos y autorizados, proporcionndoles instrucciones sobre los
requisitos de seguridad del rea y los procedimientos de emergencia. La
identidad de los visitantes debera ser autenticada por un medio adecuado;
b) el acceso a las reas donde se procesa o se almacena la informacin

sensible debera ser restringido slo a las personas autorizadas mediante la
implementacin de controles de acceso, por ejemplo, mediante la
implementacin de un mecanismo de autenticacin de dos factores, tales
como tarjetas de acceso o tarjetas con nmero de identificacin personal
(PIN);
c) debera mantenerse y supervisarse de manera segura una bitcora de

registro fsico o registro electrnico de auditora;
d) todos los empleados, contratistas y externos deberan ser obligados a utilizar

algn tipo de identificacin visible y deberan notificar inmediatamente al
personal de seguridad si encuentran a visitantes no acompaados y a
cualquier persona que no lleve la identificacin visible;
e) debera concederse el acceso restringido del personal de soporte externo a

las reas seguras o a las instalaciones de procesamiento de la informacin
sensible slo cuando sea requerido; este acceso debera ser autorizado y
monitoreado;
f) los derechos de acceso a las reas seguras deberan ser regularmente

revisados y actualizados, y revocados cuando sea necesario (ver 9.2.5 y
9.2.6).
11.1.3 Asegurar oficinas, reas e instalaciones
Control
Seguridad fsica para oficinas, reas e instalaciones debera ser diseada e

implementada.
52
Deberan considerarse las siguientes recomendaciones para asegurar oficinas, reas, e

instalaciones:
a) las instalaciones clave deberan situarse de manera de evitar el acceso

pblico;
b) cuando corresponda, los edificios deberan ser discretos y dar el mnimo

indicio de su propsito, cuando sea posible, sin dar muestras obvias, fuera o
dentro del edificio, que identifiquen la presencia de las actividades de
procesamiento de la informacin;
c) las instalaciones deberan estar configuradas para evitar que la informacin

confidencial o las actividades sean visibles y audibles desde el exterior.
Cuando sea apropiado, debera considerarse el blindaje electromagntico
como adecuado;
d) los directorios y libros de telfonos internos que identifican ubicaciones de

instalaciones de procesamiento de la informacin confidencial no deberan
ser fcilmente accesibles por el pblico.
11.1.4 Proteccin contra amenazas externas y ambientales
Control
Proteccin fsica contra desastres naturales, ataque malicioso o accidentes debera ser
diseada y aplicada.
Debera obtenerse asesoramiento especializado sobre cmo evitar los daos causados
por fuego, inundaciones, terremotos, explosiones, disturbios civiles y otras formas de
desastres naturales o artificiales.
11.1.5 Trabajo en reas seguras
Control
Procedimientos para el trabajo en reas seguras deberan ser diseados y aplicados.
a) el personal slo debera conocer la existencia de un rea segura, o de sus

actividades, si lo necesitara para su trabajo.
b) debera evitarse el trabajo no supervisado en reas seguras tanto por

motivos de seguridad como para evitar oportunidades de actividades
53
maliciosas;
c) las reas seguras desocupadas deberan cerrarse y revisarse

peridicamente;
d) no debera permitirse la presencia de equipos de fotografa, video, audio u

otras formas de registro, como cmaras en dispositivos mviles, sin
autorizacin.
Los acuerdos para trabajar en reas seguras incluyen controles para los empleados y los
usuarios de partes externas que trabajan en el rea segura, as como otras actividades
que ocurren all.
11.1.6 reas de despacho y carga
Control
Los puntos de acceso, como las reas de despacho, carga y otros puntos en donde
personas no autorizadas pueden ingresar al local deberan ser controlados, y si fuera
posible, aislarlos de las instalaciones de procesamiento de la informacin para evitar el
acceso no autorizado.
a) debera restringirse el acceso al rea de entrega y carga desde el exterior

del edificio nicamente al personal identificado y autorizado;
b) el rea de entrega y carga debera disearse para que los suministros

puedan cargarse y descargarse sin que el personal de entrega tenga acceso
a otras zonas del edificio;
c) las puertas externas del rea de entrega y carga deberan cerrarse cuando
las internas estn abiertas;
d) el material entrante debera inspeccionarse y examinarse en busca de

explosivos, qumicos u otros materiales peligrosos, antes de que se lleven al
rea de entrega y carga;
e) el material entrante debera registrarse de acuerdo con el procedimiento de

gestin de activos (ver 8) al entrar en el lugar;
f) cuando sea posible, los envos entrantes y salientes deberan segregarse

fsicamente;
g) el material entrante debera inspeccionarse para saber si hay pruebas de

manipulacin indebida en el trayecto. Si se descubre tal manipulacin, el
personal de seguridad debera ser inmediatamente notificado.
54
11.2 Equipos
Objetivo: Prevenir la prdida, dao, robo o compromiso de activos e interrupcin de las

operaciones de la organizacin.
11.2.1 Emplazamiento y proteccin de los equipos
Control
Los equipos deberan ser ubicados y protegidos para reducir los riesgos de amenazas y
peligros ambientales, as como las oportunidades para el acceso no autorizado.
Gua de implementacin.
Deberan considerarse las siguientes recomendaciones para proteger el equipamiento:
a) el equipamiento debera situarse de manera de minimizar el acceso

innecesario a las reas de trabajo;
b) las instalaciones de procesamiento de la informacin que manejan datos

sensibles deberan colocarse cuidadosamente para reducir el riesgo de que
la informacin sea vista por personas no autorizadas durante su uso;
c) las instalaciones de almacenamiento deberan asegurarse para evitar el

acceso no autorizado;
d) los elementos que requieran proteccin especial deberan resguardarse para

reducir el nivel general de proteccin requerida;
e) deberan adoptarse controles para reducir al mnimo el riesgo de amenazas

fsicas y ambientales potenciales, por ejemplo: hurto, fuego, explosivos,
humo, inundaciones (o falta de suministro de agua), polvo, vibraciones,
efectos qumicos, interferencias en el suministro elctrico, interferencia de
las comunicaciones, radiacin electromagntica, y vandalismo;
f) deberan establecerse pautas para comer, beber, y fumar en proximidad de

las instalaciones de procesamiento de la informacin;
g) las condiciones ambientales, tales como temperatura y humedad, deberan

supervisarse para verificar que las mismas no afectan negativamente el
funcionamiento de las instalaciones de procesamiento de la informacin;
h) deberan colocarse pararrayos sobre todos los edificios y deberan aplicarse

filtros de proteccin contra rayos a todas las lneas entrantes de energa y de
comunicaciones;
i) debera considerarse el uso de mtodos de proteccin especial, como las

cubiertas de teclados, para el equipamiento ubicado en ambientes
industriales;
j) debera protegerse el equipamiento que procese informacin confidencial

55
para reducir al mnimo el riesgo de fuga de informacin debido a la

emanacin electromagntica.
11.2.2 Servicios de suministro
Control
Los equipos deberan ser protegidos contra fallas de electricidad y otras alteraciones
causadas por fallas en los servicios de suministro.
Los servicios de suministro (por ejemplo, la electricidad, las telecomunicaciones, el agua

potable, el gas, el alcantarillado, la ventilacin y el aire acondicionado) deberan:
a) cumplir con las especificaciones del fabricante de los equipamientos y con

los requisitos legales locales;
b) ser evaluados regularmente por su capacidad para cumplir con el

crecimiento del negocio y las interacciones con otros servicios de suministro;
c) ser inspeccionados y probados regularmente para garantizar su buen

funcionamiento;
d) si es necesario, ser alarmados para detectar fallos de funcionamiento;
e) si es necesario, tener mltiples canales con diversos enrutamientos fsicos.
Debera proporcionarse alumbrado y comunicaciones de emergencia. Los interruptores y

las vlvulas de emergencia para cortar el suministro de energa, agua, gas u otros
servicios deberan ubicarse cerca de las salidas de emergencia o de las salas de
mquinas.
Otra informacin
Se puede obtener redundancia adicional para la conectividad de redes mediante mltiples

rutas de ms de un proveedor de servicios.
11.2.3 Seguridad del cableado
Control
El cableado de energa y telecomunicaciones que llevan datos o servicios de informacin

de soporte debera ser protegido de la interceptacin, interferencia o dao.
Deberan considerarse las siguientes recomendaciones para la seguridad en el cableado:
56
a) las lneas de energa y telecomunicaciones en instalaciones de

procesamiento de la informacin deberan ser subterrneas, siempre que
sea posible, o sujetas a una adecuada proteccin alternativa;
b) los cables de energa deberan separarse de los cables de comunicaciones

para evitar interferencias;
c) entre los controles adicionales a considerar para los sistemas sensibles o

crticos se incluyen:
1) instalacin de conductos blindados y recintos o cajas con cerradura en

los puntos terminales y de inspeccin;
2) uso de escudos electromagnticos para proteger los cables;
3) iniciar barridos tcnicos e inspecciones fsicas contra dispositivos no

autorizados conectados a los cables;
4) acceso controlado a los paneles de conexin (patch panel) y a las salas

de cableado.
11.2.4 Mantenimiento de equipos
Control
Los equipos deberan mantenerse de manera correcta para asegurar su continua

disponibilidad e integridad.
Deberan considerarse las siguientes recomendaciones para el mantenimiento del

equipamiento:
a) el equipamiento debera mantenerse de acuerdo a las recomendaciones de

intervalos de servicio y especificaciones del proveedor;
b) slo el personal de mantenimiento debidamente autorizado debera realizar

reparaciones y realizar el mantenimiento a los equipos;
c) deberan mantenerse registros de todos los fallos, reales o sospechados, as

como de todo el mantenimiento preventivo y correctivo;
d) deberan implantarse controles apropiados cuando el equipamiento sea

calendarizado para mantenimiento, considerando si este mantenimiento es
realizado por personal interno o externo a la organizacin; la informacin
sensible debera removerse del equipo, cuando sea necesario, o el personal
de mantenimiento debera ser suficientemente transparente;
e) debera cumplirse con todos los requisitos de mantenimiento impuestos por

plizas de seguros;
57
f) antes de poner el equipamiento nuevamente en operacin despus de su

mantenimiento, debera ser inspeccionado para garantizar que el
equipamiento no ha sido alterado y no tiene un mal funcionamiento.
11.2.5 Remocin de activos
Control
Los equipos, la informacin o el software no deberan ser retirados de su lugar sin

autorizacin previa.
a) deberan identificarse aquellos empleados y usuarios de partes externas que

tengan autoridad para permitir el retiro de activos fuera de los locales de la
organizacin;
b) debera fijarse los lmites de tiempo para el equipamiento retirado y verificar

el cumplimiento del retorno;
c) donde sea necesario y procedente, debera registrarse tanto la salida del

equipamiento del local, como el retorno del mismo;
d) debera documentarse la identidad, el rol y la afiliacin de cualquier persona

que gestiona o utiliza activos y esta documentacin debera devolverse junto
con el equipamiento, la informacin o el software.
Otra informacin
Las instancias de inspeccin, emprendidas para detectar el retiro de activos no

autorizados, se pueden tambin realizar para detectar y prevenir el ingreso y la salida no
autorizada a las instalaciones, de dispositivos de grabacin, armas, etc. Tales instancias
de inspeccin deberan realizarse de acuerdo con la legislacin y las regulaciones
relevantes. Los individuos deberan estar en conocimiento de que estas instancias de
inspeccin sern llevadas a cabo, y las mismas deberan realizarse solamente con la
autorizacin apropiada segn los requisitos legales y regulatorios.
11.2.6 Seguridad de equipos y activos fuera de las instalaciones
Control
La seguridad debera ser aplicada a los activos que estn fuera de su lugar tomando en
cuenta los distintos riesgos de trabajar fuera de las instalaciones de la organizacin.
El uso de cualquier equipamiento que almacene o procese informacin fuera de las
58
instalaciones de la organizacin, debera ser autorizado por la gerencia. Esto se aplica a

los equipamientos de la organizacin y al equipamiento de propiedad privada utilizado en
nombre de la organizacin.
Deberan considerarse las siguientes recomendaciones para la proteccin del
equipamiento fuera de los locales de la organizacin:
a) los equipos y medios que contengan datos con informacin y sean sacados
de su entorno habitual no deberan dejarse desatendidos en lugares
pblicos;
b) debera observarse siempre las instrucciones del fabricante para proteger los
equipos, por ejemplo, contra exposiciones a campos electromagnticos
intensos;
c) los controles para las ubicaciones fuera de los locales, tales como el trabajo
en el domicilio, el teletrabajo y los sitios temporales deberan determinarse
mediante una evaluacin de los riesgos y aplicarse los controles
convenientes segn sea apropiado, por ejemplo, gabinetes para archivos
con cerradura, una poltica de escritorios limpios, controles de acceso a las
computadoras y comunicaciones seguras con la oficina (ver la Norma
ISO/IEC 27033 Network Security [15][16][17][18][19]);
d) cuando el equipamiento fuera de las instalaciones es transferido entre

diferentes personas o partes externas, debera mantenerse un registro que
defina la cadena de custodia para el equipamiento, incluyendo como mnimo,
los nombres y las organizaciones de aquellos que son responsables del
equipamiento.
Los riesgos, por ejemplo, los daos, hurto o espionaje, pueden variar considerablemente
entre las locaciones y deberan tenerse en cuenta para determinar los controles ms
adecuados.
Otra informacin
El equipamiento de almacenamiento y procesamiento de la informacin comprende todo

tipo de computadoras personales, organizadores, telfonos mviles, tarjetas inteligentes,
papeles u otras formas, que se lleven al domicilio o fuera del lugar habitual de trabajo.
Puede encontrarse en 6.2 ms informacin sobre otros aspectos de la proteccin de

equipos mviles.
Puede ser apropiado para evitar el riesgo, disuadir a ciertos empleados de trabajar fuera
de las instalaciones o mediante la restriccin de uso de equipos informticos porttiles;
11.2.7 Disposicin o reutilizacin segura de equipos
Control
Todos los elementos del equipo que contengan medios de almacenamiento deberan ser
verificados para asegurar que cualquier dato sensible y software con licencia se haya
59
eliminado o se haya sobre escrito de manera segura antes de su disposicin o

reutilizacin.
Los equipamientos deberan ser verificados para asegurar si contienen o no medios de

almacenamiento antes de su eliminacin o reutilizacin.
Los dispositivos de almacenamiento que contienen informacin confidencial o con

derechos de autor deberan destruirse fsicamente o la informacin debera destruirse,
suprimirse o sobrescribirse usando tcnicas para hacer que la informacin original no sea
recuperable, en lugar de utilizar las funciones de borrado o formateado estndar.
Otra informacin
El equipamiento daado que contenga medios de almacenamiento pueden requerir una

evaluacin de riesgo para determinar si estos deberan destruirse fsicamente, en lugar de
ser enviados para su reparacin o desecho. La informacin puede verse comprometida si
la reutilizacin o eliminacin de los equipos se realiza de manera descuidada.
Adems del borrado seguro del disco, todo el cifrado del disco reduce el riesgo de
divulgacin de informacin confidencial cuando los equipamientos son eliminados o
redistribuidos, siempre que:
a) el proceso de encriptacin sea lo suficientemente fuerte y cubra todo el disco

(incluyendo el espacio libre, rea de intercambio (swap), etc.);
b) las llaves de encriptacin sean suficientemente largas como para resistir los
ataques de fuerza bruta;
c) las llaves de encriptacin sean mantenidas confidenciales (por ejemplo,

nunca sean almacenadas en el mismo disco).
Para ms recomendaciones sobre encriptacin, ver 10.
Las tcnicas de sobre escritura segura para los medios de almacenamiento difieren de
acuerdo a la tecnologa de los medios de almacenamiento. Las herramientas de sobre
escritura deberan revisarse para garantizar que son aplicables a la tecnologa de los
medios de almacenamiento.
11.2.8 Equipos de usuario desatendidos
Control
Los usuarios deberan asegurarse de que el equipo desatendido tenga la proteccin

apropiada.
Todos los usuarios deberan ser advertidos de los requisitos y procedimientos de

60
seguridad para proteger equipamiento desatendido, as como de su responsabilidad de

implementar tal proteccin. Debera recomendarse a los usuarios:
a) terminar sesiones activas al finalizar, salvo que se les pueda asegurar por un
mecanismo de bloqueo apropiado, por ejemplo un protector de pantalla
protegido con contrasea;
b) cerrar aplicaciones o servicios de red cuando ya no sean necesarios;
c) asegurar a las computadoras o dispositivos mviles contra uso no autorizado

mediante una clave de bloqueo o un control equivalente, por ejemplo
contrasea de acceso, cuando no se encuentra en uso.
11.2.9 Poltica de escritorio limpio y pantalla limpia
Control
Una poltica de escritorio limpio de papeles y de medios de almacenamiento removibles,

as como una poltica de pantalla limpia para las instalaciones de procesamientos de la
informacin debera ser adoptada.
Una poltica de escritorio limpio y pantalla limpia debera tener en cuenta la clasificacin
de la informacin (ver 8.2), requisitos legales y contractuales (ver 18.1), y los aspectos
culturales y de riesgo de la organizacin correspondientes. Deberan considerarse las
siguientes recomendaciones:
a) cuando no se requiere la informacin sensible o crtica del negocio,

contenida por ejemplo en medios de almacenamiento electrnicos o en
papel, debera asegurarse bajo llave (idealmente una caja fuerte, un
gabinete u otro mueble de seguridad), especialmente cuando la oficina est
vaca;
b) las computadoras y terminales deberan desconectarse o protegerse con un

mecanismo de bloqueo de pantalla y teclado controlado por contrasea, una
seal (token), o mecanismo de autenticacin de usuario similar cuando est
desatendida, y debera protegerse por claves de bloqueo, o contraseas u
otros controles cuando no est en uso;
c) debera prevenirse el uso no autorizado de fotocopiadoras y otras

tecnologas de reproduccin (por ejemplo escner, cmaras digitales);
d) medios conteniendo informacin clasificada o sensible debera retirarse de

las impresoras inmediatamente.
Otra informacin
Una poltica de escritorio y pantalla limpios, reduce los riesgos de acceso no autorizado,
61
prdida o dao a la informacin durante y fuera de las horas normales de trabajo. Cajas
fuertes u otras formas de almacenamiento seguro pueden tambin proteger informacin
almacenada dentro de ellas contra desastres tales como incendios, terremotos,
inundaciones o explosiones.
Considerar el uso de impresoras con una funcin de cdigo de uso (PIN), de modo que
los generadores sean los nicos que puedan obtener sus impresos y solamente estando
parados al lado de la impresora.
12. SEGURIDAD DE LAS OPERACIONES
12.1 Procedimientos y responsabilidades operativas
Objetivo: Asegurar que las operaciones de instalaciones de procesamiento de la

informacin sean correctas y seguras.
12.1.1 Procedimientos operativos documentados
Control
Los procedimientos operativos deberan ser documentados y puestos a disposicin de

todos los usuarios que los necesitan.
Deberan elaborarse procedimientos documentados para las actividades del sistema

asociadas con las instalaciones de comunicaciones y de procesamiento de informacin,
tales como procedimientos de arranque y apagado del computador, respaldo,
mantenimiento de equipos, manejo de medios, gestin y seguridad de la sala de cmputo
y el manejo del correo.
Los procedimientos operacionales deberan especificar las instrucciones de

funcionamiento, incluyendo:
a) la instalacin y configuracin de los sistemas;
b) el procesamiento y manejo de la informacin, tanto automatizada como

manual;
c) respaldo (ver 12.3);
d) programacin de requerimientos, incluyendo interdependencias con otros

sistemas, tareas con tiempos de inicio temprano y finalizacin tarda;
e) instrucciones para el manejo de errores u otras condiciones excepcionales,

que pudieran presentarse durante la ejecucin de tareas, incluyendo
restricciones en el uso de las utilidades del sistema (ver 9.4.4);
f) contactos de soporte y escalamiento incluyendo soporte externo en caso de

dificultades operacionales o tcnicas inesperadas;
62
g) instrucciones especiales para salida y manejo de medios, tales como la

utilizacin de papelera especial o la gestin de salidas confidenciales
incluyendo los procedimientos para la disposicin segura de la salida de
trabajos fallidos (ver 8.3 y 11.2.7);
h) procedimientos de reinicio y recuperacin para usar en caso de un evento o

fallo del sistema;
i) la gestin de las pistas de auditora y de la informacin del registro del

sistema (ver 12.4);
j) procedimientos de monitoreo.
Los procedimientos de operacin, y los procedimientos documentados para las

actividades del sistema, deberan ser tratados como documentos formales y sus cambios
autorizados por la gerencia. Cuando sea tcnicamente posible, los sistemas de
informacin deberan gestionarse de forma consistente, usando los mismos
procedimientos, herramientas, y utilidades.
12.1.2 Gestin del cambio
Control
Los cambios en la organizacin, procesos de negocio, instalaciones de procesamiento de

la informacin y sistemas que afecten la seguridad de la informacin deberan ser
controlados.
En particular deberan considerarse los siguientes elementos:
a) identificacin y registro de cambios significativos;
b) planificacin y pruebas de los cambios;
c) evaluacin de los impactos potenciales, incluyendo los impactos en la

seguridad de la informacin de tales cambios;
d) procedimiento formal de aprobacin para los cambios propuestos;
e) verificacin de que se han cumplido los requisitos de seguridad de la

informacin;
f) comunicacin de los detalles del cambio a todas las personas relevantes;
g) procedimientos de retorno (fall-back), incluyendo procedimientos y

responsabilidades para abortar y recuperarse de los cambios sin xito y
eventos imprevistos.
h) provisin de un proceso de cambio de emergencia para permitir la aplicacin

rpida y controlada de los cambios necesarios para resolver un incidente
63
(ver 16.1).
Deberan establecerse las responsabilidades y los procedimientos formales de gestin

para garantizar el control satisfactorio de todos los cambios. Cuando se realizan los
cambios, debera conservarse un registro de auditora conteniendo toda la informacin
relevante.
Otra informacin
El control inadecuado de cambios en las instalaciones y los sistemas de procesamiento

de la informacin es una causa comn de las fallas del sistema o de la seguridad.
Cambios al ambiente operacional, especialmente cuando se transfiere un sistema en
desarrollo a produccin, pueden impactar la confiabilidad de las aplicaciones (ver 14.2.2).
12.1.3 Gestin de la capacidad
Control
El uso de recursos debera ser monitoreado, afinado y se debera hacer proyecciones de

los futuros requisitos de capacidad para asegurar el desempeo requerido del sistema.
Deberan identificarse los requisitos de capacidad, teniendo en cuenta la criticidad del

negocio del sistema en cuestin. Deberan aplicarse ajustes del sistema y monitoreo para
asegurar, y cuando sea necesario, mejorar la disponibilidad y la eficiencia de los sistemas.
Deberan colocarse controles de deteccin para indicar problemas oportunamente. Las
proyecciones de los requisitos futuros de capacidad deberan tomar en cuenta los nuevos
requisitos del negocio y del sistema, as como las tendencias actuales y proyectadas en
las capacidades de procesamiento de la informacin de la organizacin.
Es necesario poner atencin particular a cualquier recurso cuya adquisicin tome mucho
tiempo o requiera costos elevados; por lo tanto los gestores deberan monitorear la
utilizacin de los recursos clave del sistema. Ellos deberan identificar las tendencias en el
uso, particularmente en lo referente a las aplicaciones del negocio o las herramientas de
administracin de los sistemas de informacin.
Los gestores deberan utilizar esta informacin para identificar y evitar posibles cuellos de
botella, y dependencias de personal clave que pudiera presentar una amenaza a la
seguridad del sistema o a los servicios, y planificar la accin apropiada.
Proporcionar capacidad suficiente se puede lograr mediante el aumento de la capacidad o

mediante la reduccin de la demanda. Algunos ejemplos de la gestin de la capacidad
demandada son:
a) la eliminacin de datos obsoletos (espacio en disco);
b) el retiro de aplicaciones, sistemas, bases de datos o ambientes;
c) la optimizacin de procesos por lote y calendarizacin;

64
d) la optimizacin de la lgica de la aplicacin o de las consultas a la base de

datos.
e) la negacin o restriccin del ancho de banda para los servicios de alto

consumo de recursos, si no son crticos pare el negocio (por ejemplo,
trasmisin de videos).
Debera considerarse un plan documentado de gestin de capacidad para los sistemas de

misin crtica.
Otra informacin
Este control tambin se refiere a la capacidad de los recursos humanos, as como a las
oficinas e instalaciones.
12.1.4 Separacin de los entornos de desarrollo, pruebas y operaciones
Control
Los entornos de desarrollo, pruebas y operaciones deberan ser separados para reducir
los riesgos de acceso no autorizado o cambios al entorno operativo.
Debera identificarse e implementarse el grado de separacin entre los ambientes de

desarrollo, prueba y operacin que es necesario para prevenir problemas operativos.
Los siguientes puntos deberan considerarse:
a) las reglas para transferir el software desde el ambiente de desarrollo al de

produccin deberan estar definidas y documentadas;
b) el software de desarrollo y el de produccin deberan, si es posible, funcionar

en diferentes sistemas o equipos de procesamiento, y en dominios o
directorios distintos;
c) los cambios en los sistemas y aplicaciones en produccin deberan probarse

en un ambiente de pruebas o ensayos, antes de ser aplicados a los sistemas
en produccin;
d) salvo en circunstancias excepcionales, las pruebas no deberan hacerse en

los sistemas en produccin;
e) los compiladores, editores y otras herramientas de desarrollo o utilidades del

sistema no deberan accederse desde los sistemas en produccin, cuando
no sea requerido;
f) los usuarios deberan usar perfiles de usuario diferentes para los sistemas
en produccin y de prueba, y los mens deberan exhibir mensajes de
identificacin apropiados para reducir el riesgo a error;
65
g) los datos sensibles no deberan copiarse en el entorno de prueba del

sistema, a menos que se proporcionen controles equivalentes para el
sistema de prueba (ver 14.3).
Otra informacin
Las actividades de desarrollo y prueba pueden causar serios problemas, por ejemplo
modificacin indeseada de archivos o del entorno del sistema, o fallo del sistema. Hay una
necesidad de mantener un ambiente estable y conocido en el cual realizar pruebas
significativas y prevenir el inadecuado acceso del desarrollador al entorno en produccin.
Donde el personal de desarrollo y de pruebas tiene acceso al sistema en produccin y a

su informacin, puede introducir cdigo no autorizado y no comprobado o alterar datos en
produccin. En algunos sistemas, esta capacidad podra ser mal utilizada para realizar
fraude, o introducir cdigo no comprobado o malicioso, que puede causar problemas
operacionales serios.
El personal de desarrollo y de pruebas puede ser una amenaza a la confidencialidad de la

informacin en produccin. Las actividades de desarrollo y de pruebas pueden causar
cambios involuntarios al software o a la informacin si comparten el mismo entorno. Por lo
tanto, es deseable separar los entornos de desarrollo, prueba y produccin para reducir el
riesgo de cambio accidental o acceso no autorizado al software en produccin y a los
datos del negocio (ver 14.3 para la proteccin de los datos de prueba).
12.2 Proteccin contra cdigos maliciosos
Objetivo: Asegurar que la informacin y las instalaciones de procesamiento de la

informacin estn protegidas contra cdigos maliciosos.
12.2.1 Controles contra cdigos maliciosos
Control
Controles de deteccin, prevencin y recuperacin para proteger contra cdigos

maliciosos deberan ser implementados, en combinacin con una concientizacin
apropiada de los usuarios.
La proteccin contra software malicioso debera basarse en el empleo de software de

deteccin de cdigo malicioso y reparacin, en la concientizacin de la seguridad de
informacin, y en apropiados controles de acceso al sistema y gestin de cambios. Las
siguientes directrices deberan considerarse:
a) establecimiento de una poltica formal que prohibida el uso de software no

autorizado (ver 12.6.2 y 14.2);
b) implementacin de controles que previenen o detectan el uso de software no

autorizado (por ejemplo, lista blanca de aplicaciones);
66
c) implementacin de controles que previenen o detectan el uso de sitios web

maliciosos conocidos o sospechosos (por ejemplo, listas negras);
d) establecimiento de una poltica formal de proteccin contra los riesgos

asociados a la obtencin de archivos y software desde o va redes externas
o cualquier otro medio, indicando qu medidas protectoras se deberan
tomar;
e) reduccin de las vulnerabilidades que podran ser explotadas por el software

malicioso, por ejemplo, a travs de la gestin de vulnerabilidades tcnicas
(ver 12.6);
f) conducir revisiones regulares del contenido de datos y el software de los

sistemas que soportan los procesos crticos del negocio; la presencia de
cualquier archivo no aprobado o modificaciones no autorizadas debera
investigarse formalmente;
g) la instalacin y actualizacin regular de software para deteccin y reparacin

de software malicioso que explore las computadoras y los medios de forma
rutinaria o como un control preventivo; el escaneo realizado debera incluir:
1) el escaneo de cualquier archivo recibido a travs de redes o cualquier

tipo de medio de almacenamiento, en busca de software malicioso
antes de su uso;
2) el escaneo de los archivos adjuntos de correo electrnico o descargas

para buscar software malicioso, antes de usarlo; este escaneo debera
realizarse en distintos lugares, por ejemplo, en los servidores de correo
electrnico, en las computadoras de escritorio y cuando ingrese a la
red de la organizacin;
3) el escaneo de pginas web en busca de software malicioso;
h) definicin de procedimientos y responsabilidades para tratar y proteger

contra software malicioso a los sistemas, la capacitacin para su uso,
reportes y la recuperacin de ataques de software malicioso;
i) preparacin de planes de continuidad del negocio apropiados para la

recuperacin ante los ataques de software malicioso, incluyendo todos los
datos necesarios, software de respaldo y las disposiciones para la
recuperacin (ver 12.3);
j) implementacin de procedimientos para recibir regularmente informacin,

tales como suscripcin a listas de correo o verificacin de los sitios web que
brindan informacin sobre nuevo software malicioso;
k) implementacin de procedimientos para verificar informacin relativa a

software malicioso y asegurarse que los boletines de alerta son adecuados e
informativos; los gestores deberan asegurarse que las fuentes de esta
informacin son de calidad, por ejemplo, revistas de prestigio, sitios de
Internet confiables o proveedores de software de proteccin contra software
malicioso; todos los usuarios deberan ser conscientes sobre el problema de
67
los falsos avisos de software malicioso (HOAXES) y qu hacer en caso de

recibirlos.
l) aislar entornos en los que se pueden producir impactos catastrficos.
Otra informacin
El uso de dos o ms productos de software que protegen contra software malicioso en el

entorno de procesamiento de informacin de diferentes vendedores y tecnologa, puede
mejorar la eficacia de la proteccin contra el software malicioso.
Debera tenerse cuidado para protegerse contra la introduccin de cdigo malicioso

durante los procedimientos de mantenimiento y de emergencia, los cuales pueden
escapar a los controles normales contra software malicioso.
Bajo ciertas condiciones, la proteccin contra el cdigo malicioso puede causar

interferencias en las operaciones.
El uso de software de deteccin y reparacin contra software malicioso como nico control
no suele ser suficiente y comnmente necesita ser acompaado por procedimientos
operativos que impidan la introduccin del software malicioso.
12.3 Respaldo
Objetivo: Proteger contra la prdida de datos
12.3.1 Respaldo de la informacin
Control
Copias de respaldo de la informacin, del software y de las imgenes del sistema

deberan ser tomadas y probadas regularmente en concordancia con una poltica de
respaldo acordada.
Debera establecerse una poltica de respaldo para definir los requisitos de la organizacin
para los respaldos de la informacin, software y sistemas.
La poltica de respaldo debera definir los requisitos de retencin y proteccin.
Deberan proporcionarse instalaciones adecuadas de respaldo para garantizar que toda la

informacin y software esenciales se pueden recuperar despus de un desastre o falla de
medios.
Al disear un plan de respaldo, deberan considerarse los siguientes elementos:
a) deberan producirse registros exactos y completos de las copias de respaldo,

y procedimientos documentados de restauracin;
68
b) la extensin (por ejemplo, respaldo completo o diferencial) y la frecuencia de

los respaldos deberan reflejar los requerimientos del negocio, los requisitos
de seguridad de la informacin comprometida, y la criticidad de la
informacin para la operacin continua de la organizacin;
c) los respaldos deberan almacenarse en lugar remoto, a una distancia

suficiente como para evitar cualquier dao en caso de desastre en el sitio
principal;
d) la informacin respaldada debera tener un nivel apropiado de proteccin

ambiental y fsica (ver clusula 11) consistente con las normas aplicadas en
el sitio principal;
e) los medios de respaldo deberan probarse regularmente para asegurarse

que pueden ser confiables para uso de emergencia cuando sea necesario;
esto se debera combinar con una prueba de los procedimientos de
restauracin y verificados contra el tiempo de restauracin requerido. Las
pruebas de la capacidad para restaurar los datos de respaldo deberan
realizarse en medios de prueba dedicados, y no sobrescribiendo los medios
originales en caso de que el respaldo o el proceso de restauracin falle y
ocasione daos irreparables o prdida de datos;
f) en situaciones donde la confidencialidad es de importancia, los respaldos

deberan protegerse por medio del cifrado.
Los procedimientos operacionales deberan monitorear la ejecucin de los respaldos y

abordar las fallas de los respaldos programados para garantizar la completitud de los
respaldos de acuerdo con la poltica de respaldo.
Los arreglos de respaldo para los sistemas y servicios individuales deberan probarse
regularmente para garantizar que cumplen los requisitos de los planes para la continuidad
del negocio. Para los sistemas y servicios crticos, los arreglos de respaldo deberan
cubrir todos los sistemas de informacin, aplicaciones, y datos necesarios para recuperar
completamente el sistema en caso de un desastre.
El periodo de retencin para la informacin esencial de la organizacin debera

determinarse, tomando en cuenta cualquier requisito de copias archivadas que deberan
conservarse permanentemente.
12.4 Registros y monitoreo
Objetivo: Registrar eventos y generar evidencia
12.4.1 Registro de eventos
Control
Registros (logs) de eventos de actividades de usuarios, excepciones, fallas y eventos de

seguridad de la informacin deberan ser producidos, mantenidos y regularmente
revisados.
69
Los registros de eventos deberan incluir, cuando corresponda:
a) identificador de usuario;
b) actividades del sistema;
c) fechas, horas y detalles de los eventos clave, por ejemplo, inicio y cierre de
sesin;
d) identidad o ubicacin del dispositivo, si es posible, y el identificador del

sistema;
e) registros de intentos de acceso al sistema exitosos y rechazados;
f) registros de intentos de acceso a datos y otros recursos exitosos y

rechazados;
g) cambios en la configuracin del sistema;
h) uso de privilegios;
i) uso de utilidades y aplicaciones del sistema;
j) archivos accedidos y tipo de acceso;
k) direcciones y protocolos de red;
l) alarmas planteadas por el sistema de control de acceso;
m) activacin y desactivacin de los sistemas de proteccin, tales como

sistemas antivirus y sistemas de deteccin de intrusos;
n) registros de las transacciones ejecutadas por los usuarios en las

aplicaciones.
El registro de eventos establece las bases para los sistemas automatizados de monitoreo,
que son capaces de generar reportes consolidados y alertas en la seguridad del sistema.
Otra informacin
Los registros de eventos pueden contener datos sensibles y datos personales. Deberan
tomarse medidas adecuadas de proteccin de la privacidad (ver 18.1.4).
Siempre que sea posible, los administradores de los sistemas no deberan tener permiso
para borrar o desactivar los registros de eventos de sus propias actividades (ver 12.4.3).
12.4.2 Proteccin de informacin de registros.
70
Control
Las instalaciones para registros (logs) y la informacin de los registros (logs) deberan ser
protegidas contra la adulteracin y el acceso no autorizado.
Los controles deberan proteger contra cambios no autorizados y problemas operativos en

los medios de registro, incluyendo:
a) alteracin a los tipos de mensajes que son registrados;
b) archivos de registros (logs) editados o eliminados;
c) capacidad de almacenamiento de los medios de archivo de registro

excedida, resultando en la falla en el registro de eventos o en la
sobrescritura de eventos pasados registrados.
Algunos registros de auditora pueden ser requeridos para ser archivados como parte de
la poltica de retencin de registros o debido a requisitos para recolectar y retener
evidencia (ver 16.1.7).
Otra informacin
Los registros del sistema a menudo contienen un vasto volumen de informacin, mucha
de la cual no tiene relacin con el monitoreo de seguridad de informacin. Para ayudar a
la identificacin de eventos significativos para el monitoreo de seguridad de la
informacin, debera considerarse el copiado automtico de los tipos de mensajes
apropiados a un registro secundario, o el uso de utilidades del sistema o herramientas de
auditora adecuadas para realizar la consulta y racionalizacin de los archivos.
Los registros del sistema necesitan ser protegidos, debido a que si la informacin puede
ser modificada o eliminada, su existencia puede crear una falsa sensacin de seguridad.
Las copias en tiempo real de los registros a un sistema fuera del control de un
administrador u operador del sistema, se pueden utilizar para proteger los registros.
12.4.3 Registros del administrador y del operador
Control
Las actividades del administrador del sistema y del operador del sistema deberan ser
registradas y los registros (logs) deberan ser protegidos y revisados regularmente.
Los titulares de las cuentas de usuario privilegiadas pueden ser capaces de manipular los
registros en las instalaciones de procesamiento de informacin bajo su control directo, por
lo tanto, es necesario proteger y revisar los registros mantenidos bajo la responsabilidad
de los usuarios privilegiados.
71
Otra informacin
Un sistema de deteccin de intrusin, gestionado fuera del control de los administradores

de sistema y de red, puede ser utilizado para monitorear el cumplimiento de actividades
de administracin del sistema y de red.
12.4.4 Sincronizacin de reloj
Control
Los relojes de todos los sistemas de procesamiento de la informacin relevantes dentro

de una organizacin o dominio de seguridad deberan estar sincronizados a una fuente de
tiempo de referencia nica.
Deberan documentarse los requisitos internos y externos de representacin,

sincronizacin y precisin del tiempo. Tales requisitos pueden ser requisitos legales,
regulatorios, contractuales, de cumplimiento de las normas o requisitos para el monitoreo
interno. Debera definirse un estndar de tiempo para referencia de uso dentro de la
organizacin.
El enfoque de la organizacin para obtener un tiempo para referencia de una fuente

externa y la forma de sincronizar los relojes internos de manera fiable, debera estar
documentado e implementado.
Otra informacin
La configuracin correcta de relojes de las computadoras es importante para garantizar la

exactitud de los registros de auditora, que pueden requerirse para investigaciones o
como evidencias en casos legales o disciplinarios. Los registros inexactos de auditora
pueden dificultar tales investigaciones y restar credibilidad a tales evidencias. Un reloj
vinculado a una emisin de tiempo por ondas radiales de un reloj nacional atmico puede
ser usado como el reloj maestro para los registros (logs) de los sistemas. Un protocolo de
tiempo de red puede utilizarse para mantener a todos los servidores en sincronizacin con
el reloj maestro.
12.5 Control del software operacional
Objetivo: Asegurar la integridad de los sistemas operacionales
12.5.1 Instalacin de software en sistemas operacionales
Control
Procedimientos deberan ser implementados para controlar la instalacin de software en

sistemas operacionales.
72
Deberan considerarse las siguientes directrices, en el control de cambio de software en

los sistemas en produccin:
a) la actualizacin de software en produccin, aplicaciones, y bibliotecas de

programas slo debera realizarse por administradores entrenados con la
apropiada autorizacin de la gerencia (ver 9.4.5);
b) los sistemas en produccin deberan tener slo cdigo ejecutable aprobado

y no cdigo de desarrollo o compiladores.
c) el software de aplicaciones y el de sistemas operativos deberan implantarse

slo despus de pruebas extensas y exitosas; las pruebas deberan cubrir
pruebas sobre usabilidad, seguridad, efectos sobre otros sistemas y
facilidades de usuario, y deberan realizarse sobre sistemas separados (ver
12.1.4); debera asegurarse que todas las bibliotecas de programas fuentes
correspondientes han sido actualizadas;
d) debera utilizarse un sistema de control de configuracin para mantener el

control de todo el software implementado as como la documentacin del
sistema;
e) debera existir una estrategia de vuelta atrs antes de que los cambios
sean implementados;
f) debera mantenerse un registro de auditora de todas las actualizaciones a

las bibliotecas de programa en produccin;
g) debera conservarse la versin anterior de software de aplicacin como una

medida de contingencia;
h) deberan archivarse las versiones antiguas de software, junto con toda la

informacin y parmetros requeridos, procedimientos, detalles de
configuracin, y el software de apoyo mientras los datos son conservados en
el archivo.
El software utilizado en produccin suministrado por vendedores debera mantener un

nivel de soporte por el proveedor. Con el tiempo, los vendedores de software dejarn de
dar soporte a las versiones ms antiguas de software. La organizacin debera considerar
los riesgos de confiar en el software sin soporte.
Cualquier decisin de actualizacin a una nueva versin debera tener en cuenta los
requisitos del negocio y la seguridad de la nueva versin, por ejemplo, la introduccin de
una nueva funcionalidad de seguridad de la informacin o el nmero y severidad de
problemas de seguridad de la informacin que afectan dicha versin. Los parches de
software deberan aplicarse cuando puedan ayudar a quitar o reducir debilidades de
seguridad de la informacin (ver 12.6).
El acceso fsico o lgico nicamente se debera proporcionar a los proveedores para

propsitos de soporte, cuando sea necesario, y con aprobacin de la gerencia. Las
actividades del proveedor deberan monitorearse (ver 15.2.1).
73
El software de computador puede depender de software y mdulos suministrados

externamente, los cuales deberan ser monitoreados y controlados para evitar cambios no
autorizados que puedan introducir debilidades de seguridad.
12.6 Gestin de vulnerabilidad tcnica
Objetivo: Prevenir la explotacin de vulnerabilidades tcnicas
12.6.1 Gestin de vulnerabilidades tcnicas
Control
Informacin sobre vulnerabilidades tcnicas de los sistemas de informacin utilizados

debera ser obtenida de manera oportuna, la exposicin de la organizacin a dichas
vulnerabilidades debera ser evaluada y las medidas apropiadas deberan ser tomadas
para resolver el riesgo asociado.
Un requisito previo para la gestin eficaz de vulnerabilidades tcnicas es un inventario

actual y completo de activos (ver clusula 8). Informacin especfica necesaria para
apoyar la gestin de vulnerabilidades tcnicas, incluye al vendedor de software, nmeros
de versin, el estado actual de despliegue (por ejemplo, qu software est instalado sobre
qu sistemas), y la(s) persona(s) responsable(s) del software dentro de la organizacin.
Acciones oportunas y apropiadas deberan tomarse en respuesta a la identificacin de

potenciales vulnerabilidades tcnicas. Las siguientes recomendaciones deberan seguirse
para establecer un proceso eficaz de gestin de vulnerabilidades tcnicas:
a) la organizacin debera definir y establecer los roles y responsabilidades

asociados con la gestin de vulnerabilidades tcnicas, incluyendo el
monitoreo de vulnerabilidades, la evaluacin del riesgo de las
vulnerabilidades, la aplicacin de parches, el seguimiento de activo, y
cualquier responsabilidad de coordinacin requerida;
b) los recursos de informacin que se van a utilizar para identificar las

vulnerabilidades tcnicas relevantes y para mantener la concientizacin
sobre ellas deberan identificarse para el software y otra tecnologa (basado
en la lista de inventario de activos, ver 8.1.1), estos recursos de informacin
deberan ser actualizados basndose en cambios del inventario, o cuando
son encontrados otros recursos nuevos o tiles;
c) debera definirse un cronograma para reaccionar a las notificaciones de

vulnerabilidades tcnicas potencialmente relevantes;
d) una vez que ha sido detectada una potencial vulnerabilidad tcnica, la

organizacin debera identificar los riesgos asociados y las acciones a ser
tomadas; tal accin podra implicar el parchado de sistemas vulnerables o la
aplicacin de otros controles;
74
e) dependiendo de cuan urgente tiene que ser abordada una vulnerabilidad

tcnica, la accin a tomar debera realizarse segn controles relacionados a
la gestin de cambio (ver 12.1.2) o segn procedimientos de gestin de
incidentes de seguridad de la informacin (ver 16.1.5);
f) si est disponible un parche de una fuente legtima, los riesgos asociados

con la instalacin del parche deberan evaluarse (los riesgos planteados por
la vulnerabilidad deberan compararse con el riesgo de instalar el parche);
g) los parches deberan probarse y evaluarse antes de ser instalados para

asegurarse que son eficaces y no causan efectos secundarios que no
pueden ser tolerados; si no est disponible ningn parche, deberan
considerarse otros controles, como:
1) desactivar servicios o capacidades relacionadas con la vulnerabilidad;
2) adaptar o agregar controles de acceso, por ejemplo: firewalls, en los

permetros de la red (ver 13.1);
3) aumentar el monitoreo para descubrir ataques actuales;
4) fomentar conciencia de la vulnerabilidad;
h) debera mantenerse un registro de auditora para todos los procedimientos

emprendidos;
i) debera monitorearse y evaluarse con regularidad el proceso de gestin de

vulnerabilidades tcnicas para garantizar su eficacia y eficiencia;
j) debera abordarse primero los sistemas de alto riesgo;
k) un proceso eficaz de gestin de vulnerabilidades tcnicas debera estar

alineado con las actividades de gestin de incidentes, para comunicar los
datos de las vulnerabilidades a la funcin de respuesta a incidentes y brindar
procedimientos tcnicos a ser ejecutados en caso ocurra un incidente;
l) definir un procedimiento para abordar la situacin donde ha sido identificada

la vulnerabilidad, pero no existe ninguna contramedida adecuada. En esta
situacin, la organizacin debera evaluar los riesgos relacionados con la
vulnerabilidad conocida y definir las acciones detectivas y correctivas
adecuadas.
Otra informacin
La gestin de vulnerabilidades tcnicas puede ser vista como una sub-funcin de la

gestin de cambio y como tal puede aprovechar los procesos y procedimientos de gestin
de cambio (ver 12.1.2 y 14.2.2).
Los vendedores estn a menudo bajo presin significativa de liberar parches cuanto
antes. Por lo tanto, un parche puede no gestionar el problema adecuadamente y puede
tener efectos secundarios negativos. Tambin, en algunos casos, una vez que el parche
75
es aplicado, puede no ser fcilmente efectuada la desinstalacin del mismo.
Si no son posibles las pruebas adecuadas de los parches, por ejemplo, debido a los
costos o carencia de recursos, puede considerarse, una demora en aplicar el parche, para
evaluar los riesgos asociados, basados en la experiencia reportada por otros usuarios. El
uso de la NTP-ISO/IEC 27031 puede ser beneficioso.
12.6.2 Restricciones sobre la instalacin de software
Control
Reglas que gobiernen la instalacin de software por parte de los usuarios deberan ser
establecidas e implementadas.
La organizacin debera definir y hacer cumplir una poltica estricta sobre qu tipos de
software pueden instalar los usuarios.
Debera aplicarse el principio del menor privilegio. Si se les concede ciertos privilegios, los
usuarios pueden tener la capacidad de instalar software. La organizacin debera
identificar qu tipos de instalaciones de software son las permitidas (por ejemplo,
actualizaciones y parches de seguridad al software existente) y qu tipos de instalaciones
se encuentran prohibidas (por ejemplo, software que es slo para uso personal y software
cuyo origen pueda ser potencialmente daino, desconocido o sospechoso). Estos
privilegios se deberan conceder teniendo en cuenta los roles de los usuarios afectados.
Otra informacin
La instalacin no controlada de software en los dispositivos informticos puede conducir a

la introduccin de vulnerabilidades y luego a la fuga de informacin, prdida de integridad
o de otros incidentes de seguridad de la informacin, o a la violacin de los derechos de
propiedad intelectual.
12.7 Consideraciones para la auditora de los sistemas de informacin
Objetivo: Minimizar el impacto de las actividades de auditora en los sistemas

operacionales.
12.7.1 Controles de auditora de sistemas de informacin
Control
Requisitos de las auditoras y las actividades que involucran la verificacin de sistemas

operacionales deberan ser cuidadosamente planificados y acordados para minimizar la
interrupcin a los procesos del negocio.
Las siguientes recomendaciones deberan tenerse en cuenta:

76
a) deberan acordarse los requisitos de auditora para el acceso a los sistemas

y datos con la gerencia apropiada;
b) debera acordarse y controlarse el alcance de las pruebas tcnicas de

auditoras;
c) las pruebas de auditoria deberan limitarse a accesos de slo lectura al

software y a los datos;
d) otro acceso distinto a slo lectura, solamente debera permitirse para copias
aisladas de archivos del sistema, que deberan borrarse cuando se complete
la auditora, o bien brindar la adecuada proteccin si hay obligacin de
mantener tales archivos como requisito de documentacin de la auditora;
e) los requisitos para procesamientos especiales o adicionales deberan

identificarse y acordarse;
f) las pruebas de auditoria que podran afectar la disponibilidad del sistema

deberan ejecutarse fuera de horario de trabajo;
g) todo acceso debera monitorearse y registrarse para producir trazabilidad.
13 Seguridad de las Comunicaciones
13.1 Gestin de seguridad de la red
Objetivo: Asegurar la proteccin de la informacin en las redes y sus instalaciones de

procesamiento de la informacin de apoyo.
13.1.1 Controles de la red
Control
Las redes deberan ser gestionadas y controladas para proteger la informacin en los
sistemas y las aplicaciones.
Se deberan implementar controles para garantizar la seguridad de la informacin en las

redes y la proteccin de los servicios conectados contra accesos no autorizados. En
particular, deberan considerarse los siguientes elementos:
a) las responsabilidades y procedimientos para la gestin de equipos de red
debera ser establecida;
b) la responsabilidad operacional de las redes debera separarse de las

operaciones de computo donde sea apropiado (vase 6.1.2);
c) deberan establecerse controles especiales para resguardar la

77
confidencialidad e integridad de los datos que pasan a travs de redes

pblicas o sobre las redes inalmbricas y para proteger los sistemas
conectados y aplicaciones (ver Clusulas 10 y 13.2); controles especiales
tambin pueden ser necesarios para mantener la disponibilidad de los
servicios de red y computadoras conectadas;
d) el registro de ingresos y monitoreo adecuado debera aplicarse para permitir

la grabacin y deteccin de acciones que pueden afectar o son relevantes
para la seguridad de la informacin;
e) las actividades de gestin deberan coordinarse estrechamente tanto para

optimizar el servicio a la organizacin como para garantizar que los controles
son aplicados consistentemente a travs de la infraestructura de
procesamiento de la informacin;
g) los sistemas en la red deberan ser autenticados;
h) la conexin de sistemas a la red debera ser restringida.
Otra informacin
Informacin adicional sobre seguridad de la red puede encontrarse en la norma ISO / IEC
27033. [15] [16] [17] [18] [19]
13.1.2 Seguridad de servicios de red
Control
Mecanismos de seguridad, niveles de servicio y requisitos de gestin de todos los

servicios de red deberan ser identificados e incluidos en acuerdos de servicios de red, ya
sea que estos servicios se provean internamente o sean tercerizados.
La capacidad del proveedor del servicio de red para gestionar los servicios acordados de
una manera segura debera ser determinada y regularmente monitoreada, y el derecho a
auditar debera ser acordado.
Las medidas de seguridad necesarias para los servicios particulares, tales como
caractersticas de seguridad, niveles de servicio y los requisitos de gestin, deberan ser
identificadas. La organizacin debera asegurarse que los proveedores de los servicios de
red implementan estas medidas.
Otra informacin
Los servicios de red incluyen la provisin de conexiones, servicios de red privada y redes
con valor agregado y soluciones de seguridad de redes gestionadas como los firewalls y
sistemas de deteccin de intrusiones. Estos servicios pueden ir desde un simple ancho de
banda no gestionado hasta complejas ofertas con valor agregado.
78
Las caractersticas de seguridad de los servicios de red podran ser:
a) tecnologa aplicada para la seguridad de los servicios de red, como la

autenticacin, encriptacin y controles de conexin de red;
b) los parmetros tcnicos necesarios para la conexin segura con los servicios
de red en concordancia con las reglas de seguridad y conexin a la red;
c) los procedimientos en el uso de servicios de red para restringir el acceso a

los servicios de red o aplicaciones, donde sea necesario.
13.1.3 Segregacin en redes
Control
Grupos de servicios de informacin, usuarios y sistemas de informacin deberan ser

segregados en redes.
Un mtodo para gestionar la seguridad de grandes redes es dividirlas en dominios de red

separados. Los dominios pueden ser elegidos basados en niveles de confianza (por
ejemplo, dominio de acceso pblico, dominio de escritorio de trabajo, dominio de
servidor), a lo largo de unidades organizativas (por ejemplo, recursos humanos, finanzas,
marketing) o alguna combinacin (por ejemplo, el dominio servidor est conectado a
mltiples unidades organizacionales). La segregacin puede hacerse utilizando redes
fsicamente diferentes o mediante el uso de diferentes redes lgicas (por ejemplo, redes
privadas virtuales).
El permetro de cada dominio debera estar bien definido. Se permite el acceso entre
dominios de la red, pero debera ser controlado en el permetro utilizando una puerta de
enlace (por ejemplo, cortafuegos, router con capacidad de filtrado). Los criterios para
segregacin de redes en dominios, y el acceso permitido a travs de las puertas de
enlace, deberan basarse en una evaluacin de los requisitos de seguridad de cada
dominio. La evaluacin debera estar en concordancia con la poltica de control de acceso
(ver 9.1.1), los requisitos de acceso, el valor y clasificacin de la informacin procesada y
tambin tomar en cuenta el impacto relativo de costos y rendimiento de incorporar
tecnologa adecuada de puerta de enlace.
Las redes inalmbricas requieren un tratamiento especial debido a la deficiente definicin

del permetro de la red. Para ambientes sensibles, debera considerarse tratar todos los
accesos inalmbricos como conexiones externas y para segregar este acceso desde las
redes internas hasta que el acceso haya pasado a travs de una puerta de enlace en
concordancia con la poltica controles de red (ver 13.1.1) antes de otorgar acceso a los
sistemas internos.
Las tecnologas de control de acceso de autenticacin, cifrado y de red a nivel de usuario

de las redes inalmbricas modernas basadas en estndares, pueden ser suficientes para
la conexin directa a la red interna de la organizacin cuando se implementa
apropiadamente.
79
Otra informacin
Las redes a menudo se extienden ms all de los lmites de la organizacin, como a los
asociados de negocio formados para interconectarse o compartir las las instalaciones de
procesamiento de informacin y redes. Tales extensiones pueden incrementar el riesgo de
acceso no autorizado a los sistemas de informacin de la organizacin que utilizan la red,
algunos de los cuales requieren proteccin de otros usuarios de la red debido a su
sensibilidad o criticidad.
13.2 Transferencia de Informacin
Objetivo: Mantener la seguridad de la informacin transferida dentro de una organizacin

y con cualquier entidad externa.
13.2.1 polticas y procedimientos de transferencia de la informacin
Control
Polticas, procedimientos y controles de transferencia formales deberan aplicarse para

proteger la transferencia de informacin a travs del uso de todo tipo de instalaciones de
comunicacin.
Los procedimientos y los controles a ser seguidos cuando utilizamos instalaciones de

comunicacin para transferencia de informacin debera considerar los siguientes puntos:
a) los procedimientos diseados para proteger la informacin transferida de

interceptacin, copia, modificacin, rutas errneas y la destruccin;
b) los procedimientos para la deteccin y proteccin contra software malicioso

que puede ser transmitido a travs del uso de las comunicaciones
electrnicas (ver 12.2.1);
c) procedimientos para proteger la informacin electrnica sensible

comunicada que est en la forma de un archivo adjunto;
d) la poltica o directrices que describen el uso aceptable de instalaciones de

comunicacin (vase 8.1.3);
e) las responsabilidades del personal, terceros y cualquier otro usuario que no

comprometa a la organizacin, por ejemplo a travs de difamacin, el
acoso, la suplantacin, el reenvo de mensajes en cadena, compras no
autorizadas, etc.;
f) el uso de tcnicas criptogrficas, por ejemplo para proteger la

confidencialidad, integridad y autenticidad de la informacin (vase la
clusula 10);
g) los lineamientos de conservacin y eliminacin para toda la correspondencia

80
comercial, incluyendo los mensajes, en concordancia con la legislacin y

regulacin nacional y local pertinentes;
h) los controles y restricciones asociadas con el uso de las instalaciones de

comunicacin, por ejemplo, el reenvo automtico del correo electrnico a las
direcciones de correo externas;
i) asesorar al personal a tomar las precauciones adecuadas para no revelar

informacin confidencial;
j) no dejar los mensajes que contienen informacin confidencial sobre los

contestadores automticos dado que pueden ser reproducido por personas
no autorizadas, almacenar en sistemas comunitarios o almacenada de forma
incorrecta como resultado de marcado incorrecto;
k) asesorar al personal sobre los problemas del uso de mquinas o servicios de

fax, a saber:
1. el acceso no autorizado a almacenes de mensajes embebidos para

recuperar los mensajes;
2. la programacin deliberada o accidental de las mquinas para enviar

mensajes a nmeros especficos;
3. el envo de documentos y mensajes a un nmero equivocado, ya sea por

marcar de forma equivocada o usar un nmero equivocado almacenado.
Adems, el personal debera recordar que no deberan tener conversaciones

confidenciales en lugares pblico o sobre canales de comunicacin inseguros, oficinas
abiertas y lugares de reunin.
Los servicios de transferencia de la informacin deberan cumplir con todos los requisitos
legales pertinentes (vase 18.1).
Otra informacin
La transferencia de informacin se puede producir mediante el uso de un nmero de

diferentes tipos instalaciones de comunicacin, incluyendo el correo electrnico, voz, fax y
video.
La transferencia de software puede ocurrir a travs de un nmero de diferentes medios,

incluyendo la descarga desde el Internet y la adquisicin desde los vendedores que
venden productos en caja.
Las implicaciones de negocio, legales y de seguridad asociados con el intercambio

electrnico de datos, comercio electrnico y las comunicaciones electrnicas y deberan
considerarse los requisitos para sus controles.
13.2.2 Acuerdo sobre transferencia de informacin
Control
81
Los acuerdos deberan dirigir la transferencia segura de informacin del negocio entre la
organizacin y partes externas.
Los acuerdos de transferencia de informacin debera incorporar lo siguiente:

a) las responsabilidades de gestin para el control y la notificacin de
transmisin, despacho y recepcin;
b) los procedimientos para garantizar la trazabilidad y el no repudio;
c) las normas tcnicas mnimas para el empaquetado y transporte;
d) los acuerdos de fideicomiso;
e) las normas de identificacin de mensajera;
f) las responsabilidades y obligaciones en caso de incidentes de seguridad de

la informacin, como la prdida de datos;
g) el uso de un sistema de etiquetado acordado para la informacin sensible o

crtica, asegurando que el significado de las etiquetas se entiende de
inmediato y que la informacin est protegida adecuadamente (ver 8.2);
h) las normas tcnicas para la grabacin y lectura de la informacin y software;
i) cualquier control especial que se requiera para proteger items sensibles,

como la criptografa (ver clusula 10);
j) mantener una cadena de custodia para la informacin en trnsito;
k) los niveles aceptables de control de acceso.
Las polticas, procedimientos y normas deberan establecerse y mantenerse para proteger

la informacin y medios fsicos en trnsito (vase 8.3.3), y se debera hacer referencia en
cada acuerdo de transferencia.
La seguridad de la informacin contenida en cualquier acuerdo debera reflejar la

sensibilidad de la informacin del negocio involucrada.
Otra informacin
Los acuerdos pueden ser electrnicos o manuales, y pueden adoptar la forma de

contratos formales. Para informacin confidencial, los mecanismos especficos usados
para la transferencia de cada informacin deberan ser coherentes para todas las
organizaciones y tipos de acuerdos.
13.2.3 Mensajes electrnicos
Control
82
La informacin involucrada en mensajera electrnica debera ser protegida

apropiadamente.
Las consideraciones de seguridad de la informacin para la mensajera electrnica

deberan incluir lo siguiente:
a) proteger los mensajes de acceso no autorizado, modificacin o denegacin

de servicio acorde con el sistema de clasificacin adoptado por la
organizacin;
b) garantizar la direccin correcta y el transporte del mensaje;
c) la fiabilidad y disponibilidad del servicio;
d) las consideraciones legales, por ejemplo, la obligacin para las firmas

electrnicas;
e) obtener la aprobacin previa a la utilizacin de los servicios pblicos

externos como la mensajera instantnea, redes sociales o de archivos
compartidos;
f) los niveles ms fuertes de autenticacin para controlar el acceso desde las

redes de acceso pblico.
Otra informacin
Hay muchos tipos de mensajera electrnica como el correo electrnico, el intercambio

electrnico de datos y redes sociales que juegan un rol en las comunicaciones del
negocio.
13.2.4 Acuerdos de confidencialidad o no divulgacin
Control
Requisitos para los acuerdos de confidencialidad o no divulgacin que reflejan las

necesidades de la organizacin para la proteccin de la informacin deberan ser
identificados, revisados y regularmente y documentados.
Los acuerdos de confidencialidad o de no divulgacin deberan abordar la necesidad de

proteger la informacin confidencial usando trminos legalmente exigibles. Los acuerdos
de confidencialidad o de no divulgacin son aplicables a las partes externas o empleados
de la organizacin. Sus elementos deberan ser seleccionados o aadidos teniendo en
cuenta el tipo de la otra parte y su acceso permisible o el manejo de informacin
confidencial. Para identificar los requisitos de los acuerdos de confidencialidad o de no
divulgacin, los siguientes elementos deberan ser considerados:
83
a) una definicin de la informacin a proteger (por ejemplo, informacin

confidencial);
b) la duracin prevista de un acuerdo, incluyendo los casos en que la

confidencialidad podra necesitar ser mantenida indefinidamente;
c) las acciones requeridas cuando se termina un acuerdo;
d) las responsabilidades y las acciones de los firmantes para evitar la

divulgacin no autorizada de la informacin;
e) la propiedad de la informacin, los secretos comerciales y la propiedad

intelectual, y cmo esto se relaciona con la proteccin de la informacin
confidencial;
f) el uso permitido de la informacin confidencial y los derechos de los de los

firmantes para utilizar la informacin;
g) el derecho de auditar y monitorear las actividades que involucran

informacin confidencial;
h) el proceso para la notificacin y reporte de la divulgacin no autorizada o

fuga de informacin confidencial;
i) los trminos para la devolucin o destruccin de la informacin al cese del

acuerdo;
j) Las acciones esperadas a ser tomadas en caso de incumplimiento del

acuerdo.
Sobre la base de los requisitos de seguridad de la informacin de una organizacin,

pueden ser necesarios otros elementos en un acuerdo de confidencialidad o de no
divulgacin.
Los acuerdos de confidencialidad y no divulgacin deberan cumplir con todas las leyes y
regulaciones aplicables para la jurisdiccin a la que sean aplicables (vase 18.1).
Los requisitos para los acuerdos de confidencialidad y no divulgacin deberan ser

revisados peridicamente y cuando se producen cambios que influencien estos requisitos.
Otra informacin
Los acuerdos de confidencialidad y no divulgacin protegen la informacin de la

organizacin e informan a los firmantes de sus responsabilidades para proteger, usar y
divulgar informacin de manera responsable y autorizada.
Puede haber una necesidad de una organizacin en utilizar diferentes formas para sus
acuerdos de confidencialidad o de no divulgacin en diferentes circunstancias.
14. ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS

84
14.1 Requisitos de seguridad de los sistemas de informacin
Objetivo: Garantizar que la seguridad de la informacin es una parte integral de los

sistemas de informacin a travs del ciclo de vida completo. Esto tambin incluye los
requisitos para sistemas de informacin que proporcionen servicios sobre redes pblicas.
14.1.1 Anlisis y especificacin de requisitos de seguridad de la informacin
Control
Requisitos relacionados a la seguridad de la informacin deberan ser incluidos dentro de

los requisitos para nuevos sistemas de informacin o mejoras a los sistemas de
informacin existentes.
Los requisitos de seguridad de la informacin deberan identificarse utilizando varios

mtodos, tales como los requisitos derivados del cumplimiento de las polticas y
reglamentos, modelado de amenazas, revisiones de incidentes o el uso de umbrales de
vulnerabilidad. Los resultados de la identificacin deberan documentarse y revisarse por
todas las partes interesadas.
Los requisitos de seguridad y controles deberan reflejar el valor para el negocio del activo
de informacin involucrado (ver 8.2) y el potencial impacto negativo para el negocio, que
podra ser resultado de una ausencia de seguridad adecuada.
Los requisitos de identificacin y de la gestin de los requisitos de seguridad de la

informacin y los procesos deberan integrarse en las etapas tempranas de proyectos de
sistema de informacin. La consideracin temprana de los requisitos de seguridad de la
informacin, por ejemplo, en la etapa de diseo, puede dar lugar a soluciones ms
eficaces y eficientes en costos.
Los requisitos de seguridad de la informacin deberan considerar tambin:
a) el nivel de confianza requerido hacia la identidad declarada por el usuario, a

fin de derivar los requisitos de autenticacin del usuario;
b) la provisin del acceso y procesos de autorizacin, para los usuarios del

negocio as como para los usuarios privilegiados o tcnicos;
c) informar a los usuarios y operadores de sus deberes y responsabilidades;
d) las necesidades de proteccin requeridas de los activos involucrados, en

particular en relacin con la disponibilidad, la confidencialidad y la integridad;
e) los requisitos derivados de los procesos del negocio, tales como el registro
de transacciones y monitoreo, requisitos de no-repudio;
f) los requisitos ordenados por otros controles de seguridad, por ejemplo,

interfaces para el registro y monitoreo o los sistemas de deteccin de fuga
85
de datos.
Para las aplicaciones que proporcionan servicios sobre redes pblicas o que implementan
transacciones, deberan considerar controles dedicados 14.1.2 y 14.1.3.
Si se adquieren productos, debera seguirse un proceso de pruebas y adquisicin formal.

Los contratos con el proveedor deberan abordar los requisitos de seguridad identificados.
Donde la funcionalidad de seguridad en un producto propuesto no satisface el requisito
especificado, entonces el riesgo introducido y los controles asociados deberan
reconsiderarse antes de la compra del producto.
Deberan evaluarse e implantarse guas disponibles para la configuracin de seguridad de

productos alineadas con el sistema final que incluye software/servicio.
Deberan definirse los criterios para la aceptacin de productos, por ejemplo, en trminos
de su funcionalidad, que garanticen que se cumplen los requisitos de seguridad
identificados. Los productos deberan evaluarse en relacin con estos criterios antes de la
adquisicin. La funcionalidad adicional debera ser revisada para asegurarse que no
presenta riesgos adicionales inaceptables.
Otra informacin
Las Normas ISO/IEC 27005 e ISO/IEC 31000 proporcionan orientacin sobre el uso de
los procesos de gestin del riesgo para identificar los controles que cumplan con los
requisitos de seguridad de la informacin.
14.1.2 Aseguramiento de servicios de aplicaciones sobre redes pblicas
Control
La informacin involucrada en servicios de aplicaciones que pasa sobre redes pblicas

debera ser protegida de actividad fraudulenta, disputa de contratos o divulgacin no
autorizada y modificacin.
Las consideraciones de seguridad de la informacin para los servicios de aplicacin que

pasan a travs de las redes pblicas deberan incluir lo siguiente:
a) el nivel de confianza requerido por cada parte en cada otra identidad

declarada, por ejemplo, a travs de la autenticacin;
b) los procesos de autorizacin asociados con quin puede aprobar el

contenidos de, emitir o firmar los documentos transaccionales clave;
c) garantizar que los socios de comunicaciones son plenamente informados de

sus autorizaciones para la prestacin o uso del servicio;
d) determinar y cumplir los requisitos de confidencialidad, integridad, prueba de

envo y recepcin de documentos clave y el no repudio de contratos, por
86
ejemplo, asociados con los procesos de licitacin y contratos;
e) el nivel de confianza requerido en la integridad de los documentos clave;
f) los requisitos de proteccin de la informacin confidencial;
g) la confidencialidad y la integridad de las transacciones de pedidos,

informacin de pago, detalles de la direccin de entrega y la confirmacin de
recibos;
h) el grado de verificacin adecuado para verificar la informacin de pago

suministrada por el cliente;
i) la seleccin del formulario de liquidacin de pago ms adecuado para evitar

el fraude;
j) el nivel de proteccin requerido para mantener la confidencialidad y la

integridad de la informacin del pedido;
k) la prevencin de la prdida o duplicacin de la informacin de transaccin;
l) la responsabilidad asociada con cualquier transaccin fraudulenta;
m) los requisitos del seguro.
Muchas de las consideraciones anteriores pueden ser abordadas mediante la aplicacin

de controles criptogrficos (ver clausula 10), teniendo en cuenta el cumplimiento de los
requisitos legales (ver clausula 18, especialmente ver 18.1.5 para legislacin sobre
criptografa).
Los acuerdos de servicios de aplicaciones entre socios deberan estar respaldados por un
acuerdo documentado que compromete a ambas partes a los trminos acordados de
servicios, incluyendo los detalles de la autorizacin (ver b anterior).
Deberan considerarse los requisitos de resiliencia frente a ataques, que pueden incluir
requisitos para la proteccin de los servidores de aplicacin involucrados o garantizar la
disponibilidad de las interconexiones de red requeridas para prestar el servicio.
Otra informacin
Las aplicaciones accesibles a travs de redes pblicas estn sujetas a una serie de
amenazas relacionadas con las redes, tales como las actividades fraudulentas, disputas
contractuales o divulgacin de la informacin al pblico. Por lo tanto, las evaluaciones de
riesgo detalladas y la seleccin adecuada de controles son indispensables. Los controles
requeridos a menudo incluyen, mtodos criptogrficos para autenticacin y asegurar la
transferencia de datos.
Los servicios de aplicacin pueden hacer uso de los mtodos de autenticacin seguros,
por ejemplo, utilizando criptografa pblica clave y firmas digitales (ver clausula 10) para
reducir los riesgos. Adems, se puede usar tercerizacin confiable, donde sea necesario
para cada servicio.
87
14.1.3 Proteccin de transacciones en servicios de aplicacin
Control
La informacin involucrada en las transacciones de servicios de aplicacin debera ser

protegida para prevenir transmisin incompleta, ruteo incorrecto, alteracin no autorizada
de mensajes, divulgacin no autorizada, duplicacin o respuesta no autorizada de
mensajes.
Las consideraciones de seguridad de la informacin para transacciones de servicios de

aplicacin deberan incluir lo siguiente:
a) el uso de firmas electrnicas por cada una de las partes implicadas en la

transaccin;
b) todos los aspectos de la transaccin, es decir garantizar que:
1) la informacin secreta de autenticacin de usuario de todas las partes

son vlidas y verificadas;
2) la transaccin permanece confidencial;
3) la privacidad asociada con todas las partes involucradas es retenida;
c) el canal de comunicacin entre todas las partes involucradas est cifrado;
d) el protocolo utilizado para comunicarse entre todas las partes implicadas es

asegurado;
e) garantizar que el almacenamiento de los detalles de transaccin es

localizado fuera de cualquier ambiente de acceso pblico, por ejemplo en
una plataforma de almacenamiento que existe en la Intranet de la
organizacin, y no retenido y expuesto en un medio de almacenamiento
directamente accesible desde Internet;
f) cuando se emplea una autoridad confiable (por ejemplo, para propsitos de

emitir y mantener firmas digitales y/o certificados digitales) la seguridad se
integra e incorpora a travs de todo el proceso completo de gestin del
certificado / firma.
Otra informacin
La extensin de los controles adoptados necesita ser proporcional con el nivel del riesgo
asociado con cada formulario de transaccin del servicio de aplicacin.
Las transacciones pueden necesitar cumplir con los requisitos legales, y regulatrios de la
jurisdiccin en la cual la transaccin es generada, procesada, completada, y/o
88
almacenada.
14.2 Seguridad en los procesos de desarrollo y soporte
Objetivo: Garantizar que la seguridad de la informacin est diseada e implementada

dentro del ciclo de vida de desarrollo de los sistemas de informacin.
14.2.1 Poltica de desarrollo seguro
Control
Reglas para el desarrollo de software y sistemas deberan ser establecidas y aplicadas a

desarrollos dentro de la organizacin.
El desarrollo seguro es un requisito para construir un servicio, arquitectura, software y

sistema seguros. Dentro de una poltica de desarrollo seguro, los siguientes aspectos
deberan someterse a consideracin:
a) la seguridad del ambiente de desarrollo;
b) la orientacin sobre la seguridad en el ciclo de vida del desarrollo de

software:
1) seguridad en la metodologa de desarrollo de software;
2) fijar las directrices de codificacin segura para cada lenguaje de

programacin utilizado;
c) los requisitos de seguridad en la etapa de diseo;
d) los puntos de control de seguridad dentro de los hitos del proyecto;
e) los repositorios seguros;
f) la seguridad en el control de versiones;
g) el conocimiento requerido de seguridad de las aplicaciones;
h) la capacidad de los desarrolladores para evitar, encontrar y corregir

vulnerabilidades.
Las tcnicas de programacin segura deberan utilizarse tanto para los nuevos desarrollos
como en escenarios de reutilizacin de cdigo donde las normas aplicables al desarrollo
pueden no ser conocidas o no fueron consistentes con las mejoras prcticas actuales. Las
normas de codificacin segura deberan considerarse y cuando corresponda, utilizadas.
Los desarrolladores deberan ser capacitados en su uso y pruebas y cuando se revise el
cdigo se debera verificar su uso.
Si el desarrollo es subcontratado, la organizacin debera obtener garantas de que el

89
tercero cumpla con estas reglas de desarrollo seguro (ver 14.2.7).
Otra informacin
El desarrollo tambin puede tener lugar dentro de las aplicaciones, tales como las
aplicaciones de oficina, scripting, navegadores y bases de datos.
14.2.2 Procedimientos de control de cambio del sistema
Control
Cambios a los sistemas dentro del ciclo de vida del desarrollo deberan ser controlados
por medio del uso de procedimientos formales de control de cambios.
Para garantizar la integridad del sistema, las aplicaciones y los productos, desde las
primeras etapas de diseo y a travs de todos los esfuerzos de mantenimiento
posteriores, deberan documentarse y hacerse cumplir procedimientos formales de control
de cambio. La introduccin de nuevos sistemas y cambios importantes a sistemas
existentes deberan seguir un proceso formal de documentacin, especificacin, pruebas,
control de calidad, y gestin de implementacin.
Este proceso debera incluir una evaluacin de riesgo, el anlisis de los impactos de los
cambios, y la especificacin de los controles de seguridad necesarios. Este proceso
tambin debera garantizar que los procedimientos existentes de seguridad y control no
son comprometidos, que a los programadores de apoyo se les da el acceso slo a
aquellas partes del sistema necesario para su trabajo, y que un acuerdo formal y la
aprobacin para cualquier cambio son obtenidos.
De ser practicable, los procedimientos de control de cambio de aplicacin y operacionales

deberan integrarse (ver 12.1.2). Los procedimientos de control de cambio deberan
incluir, pero no limitarse a:
a) el mantenimiento de un registro de niveles de autorizacin acordados;
b) garantizar que los cambios son efectuados por usuarios autorizados;
c) la revisin de los controles y procedimientos de integridad para garantizar

que no sern comprometidos por los cambios;
d) identificar todo el software, la informacin, entidades de base de datos, y el

hardware que requieran enmienda;
e) identificar y verificar el cdigo crtico de seguridad para reducir al mnimo la

probabilidad de las debilidades de seguridad conocidas;
f) obtener la aprobacin formal para propuestas detalladas antes de que

comience el trabajo;
g) garantizar que los usuarios autorizados acepten los cambios antes de la

implementacin;
90
h) garantizar que al terminar cada cambio la documentacin de sistema es

actualizada y que la vieja documentacin es archivada o eliminada;
i) el mantenimiento de un control de versiones de todas las actualizaciones de

software;
j) el mantenimiento de una pista de auditora de todo cambio solicitado;
k) garantizar que la documentacin de operaciones (ver 12.1.1) y los

procedimientos de usuario son cambiados segn sea necesario para
permanecer adecuados;
l) garantizar que la implementacin de cambios ocurra en el momento

adecuado y no interfiera los procesos de negocio involucrados.
Otra informacin
El cambio del software puede afectar el ambiente de produccin y viceversa.
Las buenas prcticas incluyen las pruebas del software nuevo en un ambiente segregado
tanto del ambiente de produccin como del ambiente de desarrollo (ver 12.1.4). Esto
proporciona un medio para tener el control sobre el nuevo software y permitir proteccin
adicional a la informacin de produccin que es utilizada para hacer pruebas. Esto
debera incluir parches, service packs, y otras actualizaciones.
Cuando se consideran actualizaciones automticas, el riesgo para la integridad y

disponibilidad del sistema debera sopesarse frente al beneficio del rpido despliegue de
las actualizaciones. Las actualizaciones automatizadas no deberan usarse sobre
sistemas crticos, ya que algunas actualizaciones pueden hacer que fallen aplicaciones
crticas.
14.2.3 Revisin tcnica de aplicaciones despus de cambios a la plataforma

operativa
Control
Cuando se cambian las plataformas operativas, las aplicaciones crticas para el negocio
deberan ser revisadas y probadas para asegurar que no haya impacto adverso en las
operaciones o en la seguridad de la organizacin.
Este proceso debera cubrir:
a) la revisin de los controles de aplicacin y procedimientos de integridad para

garantizar que ellos no han sido comprometidos por los cambios en la
plataforma operativa;
b) garantizar que la notificacin de cambios a la plataforma operativa es

proporcionada a tiempo para permitir que ocurran pruebas y revisiones
91
apropiadas antes de la implementacin;
c) garantizar que los cambios apropiados son hechos en los planes de

continuidad de negocio (ver clusula 17).
Otra informacin
Las plataformas operativas incluyen a los sistemas operativos, las bases de datos y
plataformas de middleware. El control debera aplicarse a los cambios en las aplicaciones.
14.2.4 Restricciones sobre cambios a los paquetes de software
Control
Modificaciones a los paquetes de software deberan ser disuadidas, limitadas a los

cambios necesarios y todos los cambios deberan ser estrictamente controlados.
En la medida de lo posible, y practicable, los paquetes de software, suministrados por

vendedores, deberan utilizarse sin modificacin. Cuando un paquete de software necesite
ser modificado deberan considerarse los siguientes puntos:
a) el riesgo de comprometer los controles embebidos y procesos de integridad;
b) si el consentimiento del proveedor debera ser obtenido;
c) la posibilidad de obtener los cambios requeridos del vendedor como

actualizaciones estndar del programa;
d) el impacto ocasionado, si la organizacin se hace responsable por el futuro

mantenimiento del software como consecuencia de los cambios;
e) la compatibilidad con otro software en uso.
Si los cambios son necesarios el software original debera retenerse y los cambios
aplicados a una copia claramente identificada. Un proceso de gestin de actualizacin de
software debera implementarse para garantizar que los parches ms actualizados
aprobados y actualizaciones de aplicacin son instalados para todo el software autorizado
(ver 12.6.1). Todos los cambios deberan ser totalmente probados y documentados, de
modo que ellos puedan ser vueltos a aplicar si fuera necesario a futuras mejoras de
software. De ser requerido, las modificaciones deberan probarse y validarse por un
equipo de evaluacin independiente.
14.2.5 Principios de ingeniera de sistemas seguros
Control
Principios para la ingeniera de sistemas seguros deberan ser establecidos,

documentados, mantenidos y aplicados a cualquier esfuerzo de implementacin de
92
sistemas de informacin.
Los procedimientos de la ingeniera de sistemas seguros de informacin basados en los

principios de ingeniera de seguridad, deberan establecerse, documentarse y aplicarse a
las actividades internas de ingeniera de sistemas de informacin. La seguridad debera
disearse en todas las capas de arquitectura (negocios, datos, aplicaciones y tecnologa)
equilibrando la necesidad de seguridad de la informacin con la necesidad de
accesibilidad. Debera analizarse la nueva tecnologa para los riesgos de seguridad y el
diseo debera revisarse contra patrones de ataque conocidos.
Estos principios y procedimientos de ingeniera establecidos deberan revisarse

regularmente, para garantizar que estn contribuyendo eficazmente a mejorar las normas
de seguridad dentro del proceso de ingeniera. Estos tambin deberan revisarse
peridicamente para garantizar que permanezcan actualizados en cuanto a la lucha
contra las nuevas amenazas potenciales, y que sigan siendo aplicables a los avances en
las tecnologas y soluciones a ser aplicadas.
Los principios establecidos de ingeniera de la seguridad deberan aplicarse, cuando

corresponda, a los sistemas de informacin subcontratados a travs de contratos, y de
otros acuerdos vinculantes entre la organizacin y el proveedor que contrata la
organizacin. La organizacin debera confirmar que el rigor de los principios de
ingeniera de seguridad de los proveedores es comparable con el propio.
Otra informacin
Los procedimientos de desarrollo de aplicaciones deberan aplicar tcnicas seguras de

ingeniera en el desarrollo de aplicaciones con interfaces de entrada y salida. Las tcnicas
seguras de ingeniera proporcionan una orientacin sobre las tcnicas de autenticacin, el
control seguro de sesin y la validacin de datos, la limpieza y la eliminacin de cdigos
depurables.
14.2.6 Ambiente de desarrollo seguro
Control
Las organizaciones deberan establecer y proteger apropiadamente los ambientes de

desarrollo seguros para los esfuerzos de desarrollo e integracin de sistemas que cubren
todo el ciclo de vida del desarrollo del sistema.
Un ambiente de desarrollo seguro incluye personas, procesos y tecnologa asociados con

el desarrollo y la integracin de los sistemas.
Las organizaciones deberan evaluar los riesgos asociados con los esfuerzos individuales
de desarrollo del sistema y establecer ambientes de desarrollo seguro para esfuerzos de
desarrollo de sistemas especficos, considerando:
a) sensibilidad de los datos a ser procesados, almacenados y transmitidos por
93
el sistema;
b) requisitos externos e internos aplicables, por ejemplo, de regulaciones o

polticas;
c) los controles de seguridad ya implementados por la organizacin que

apoyan el desarrollo del sistema;
d) la confiabilidad del personal que trabaja en el ambiente (ver 7.1.1);
e) el grado de contratacin externa asociado con el desarrollo del sistema;
f) la necesidad de segregacin entre los diferentes ambientes de desarrollo;
g) el control de acceso al ambiente de desarrollo;
h) monitoreo del cambio al ambiente y el cdigo almacenado en el mismo;
i) los respaldos son almacenados en locaciones seguras fuera de las

instalaciones;
j) el control sobre el movimiento de los datos desde y hacia ste ambiente.
Una vez que el nivel de proteccin es determinado para un ambiente de desarrollo

especfico, las organizaciones deberan documentar los procesos correspondientes de los
procedimientos de desarrollo seguro y proporcionarlos a todas las personas que los
necesiten.
14.2.7 Desarrollo contratado externamente
Control
La organizacin debera supervisar y monitorear la actividad de desarrollo de sistemas

contratado externamente.
Cuando el desarrollo del sistema es subcontratado, deberan considerarse los siguientes

puntos en toda la cadena de suministro externa de la organizacin:
a) los acuerdos de licencias, la propiedad del cdigo y los derechos de propiedad

intelectual relacionado con el contenido tercerizados (ver 18.1.2);
b) los requisitos contractuales para el diseo, la codificacin y las prcticas de

pruebas seguros (ver 14.2.1);
c) el suministro del modelo de amenazas aprobado para el desarrollador externo;
d) Aceptacin de pruebas de calidad y precisin de los entregables;
e) la provisin de evidencia de que se utilizaron umbrales de seguridad para

94
establecer los niveles mnimos aceptables de seguridad y calidad de la privacidad;
f) la provisin de evidencia de que se han aplicado suficientes pruebas para

proteger contra la ausencia de contenido maliciosos intencional y no intencional en
la entrega;
g) la provisin de evidencia de se han aplicado suficientes pruebas para proteger

contra la presencia de vulnerabilidades conocidas;
h) los acuerdos de custodia (escrow), por ejemplo, si el cdigo fuente ya no est

disponible;
i) el derecho contractual de auditar procesos y controles de desarrollo;
j) la documentacin efectiva del ambiente construido utilizado para crear los

entregables;
k) la organizacin mantiene la responsabilidad de cumplir con las leyes aplicables y

la verificacin de la eficacia del control.
Otra informacin
Se puede encontrar ms informacin sobre el relaciones con los proveedores en la Norma

ISO/IEC 27036.
14.2.8 Pruebas de seguridad del sistema
Control
Pruebas de funcionalidad de la seguridad deberan ser llevadas a cabo durante el

desarrollo.
Los sistemas nuevos y actualizados requieren pruebas exhaustivas y verificacin durante

los procesos de desarrollo, incluyendo la preparacin de un cronograma detallado de
actividades y los insumos de pruebas y los resultados esperados bajo una serie de
condiciones. En cuanto a los desarrollos internos, cada prueba debera realizarse
inicialmente por parte del equipo de desarrollo. Las pruebas de aceptacin independientes
deberan realizarse (tanto para el desarrollo interno como para el subcontratado) para
garantizar que el sistema funciona como se esperaba y solo como se esperaba (ver
14.1.1 y 14.2.9). La extensin de las pruebas debera ser proporcional a la importancia y
naturaleza del sistema.
14.2.9 Pruebas de aceptacin del sistema
Control
Programas de pruebas de aceptacin y criterios relacionados deberan ser establecidos

para nuevos sistemas de informacin, actualizaciones y nuevas versiones.
95
Las pruebas de aceptacin del sistema deberan incluir las pruebas de los requisitos de
seguridad de la informacin (ver 14.1.1 y 14.1.2) y la adherencia para asegurar las
prcticas de desarrollo del sistema (ver 14.2.1). Las pruebas deberan tambin ser
llevadas a cabo en los componentes recibidos y sistemas integrados. Las organizaciones
pueden aprovechar las herramientas automatizadas, tales como las herramientas de
anlisis de cdigos o escneres de vulnerabilidad, y deberan verificar que los defectos
relacionados con la seguridad son corregidos.
Las pruebas deberan realizarse en un ambiente de prueba real para asegurarse que el
sistema no va a introducir vulnerabilidades en el ambiente de la organizacin y que las
pruebas son confiables.
14.3 Datos de prueba
Objetivo: Asegurar la proteccin de datos utilizados para las pruebas
14.3.1 Proteccin de datos de prueba
Control
Los datos de prueba deberan ser seleccionados cuidadosamente, protegidos y

controlados.
Debera evitarse el uso de los datos para produccin que contengan informacin de datos
personales o cualquier otra informacin confidencial para fines de prueba. Si se utiliza
informacin de datos personales o cualquier otra informacin confidencial para hacer
pruebas, todo el contenido y detalles sensibles deberan protegerse contra eliminacin o
modificacin (ver ISO/IEC 29101).
Las directrices siguientes deberan aplicarse para proteger los datos para produccin
cuando son utilizados para propsitos de pruebas:
a) los procedimientos de control de acceso, que se aplican a sistemas de

aplicaciones de produccin, deberan aplicarse tambin a los sistemas de
prueba de aplicaciones;
b) debera autorizarse por separado, cada vez que se copie la informacin de

produccin a un ambiente de prueba;
c) debera borrarse la informacin de produccin de un sistema de prueba de

aplicacin inmediatamente despus de que las pruebas sean completadas;
d) debera registrarse la copia y uso de informacin de produccin para

proporcionar una pista de auditora.
96
Otra informacin
Las pruebas de sistema y de aceptacin requieren, por lo general, volmenes

sustanciales de datos de prueba que sean tan cercanos como sea posible a datos de
produccin.
15. RELACIONES CON LOS PROVEEDORES
15.1 Seguridad de la informacin en las relaciones con los proveedores
Objetivo: Asegurar proteccin a los activos de la organizacin que son accesibles por los
proveedores
15.1.1 Poltica de seguridad de la informacin para las relaciones con los

proveedores
Control
Requisitos de seguridad de la informacin para mitigar los riesgos asociados con el

acceso por parte del proveedor a los activos de la organizacin deberan ser acordados
con el proveedor y documentados.
Las organizaciones deberan identificar y ordenar los controles de seguridad de la

informacin para abordar especficamente el acceso del proveedor a la informacin de la
organizacin en una poltica. Estos controles deberan abordar los procesos y
procedimientos a ser implementados por la organizacin, as como aquellos procesos y
procedimientos que la organizacin debera requerir que el proveedor implemente,
incluyendo:
a) identificar y documentar los tipos de proveedores, por ejemplo, servicios de

TI, servicios de logstica, servicios financieros, componentes de la
infraestructura de TI, a quien la organizacin permitir acceder a su
informacin;
b) un proceso estandarizado y el ciclo de vida para la gestin de relaciones con

los proveedores;
c) definir los tipos de acceso a la informacin al que van a tener acceso los
diferentes tipos de proveedores, as como supervisar y controlar el acceso;
d) los requisitos de seguridad de la informacin mnimos para cada tipo de

informacin y tipo de acceso para servir como base para los acuerdos
individuales con los proveedores basados en las necesidades y requisitos de
negocios de la organizacin y su perfil de riesgo;
e) los procesos y procedimientos para el seguimiento de la adherencia a los

requisitos de seguridad de la informacin establecidos para cada tipo de
97
proveedor y tipo de acceso, incluyendo la revisin a terceros y la validacin

de los productos;
f) los controles sobre exactitud y completitud para garantizar la integridad de la

informacin o del procesamiento de informacin proporcionado por cualquier
tercero;
g) los tipos de obligaciones aplicables a los proveedores para proteger la

informacin de la organizacin;
h) el manejo de incidentes y contingencias asociadas con el acceso de los

proveedores, incluyendo las responsabilidades tanto de la organizacin
como de los proveedores;
i) la resiliencia, y, si es necesario, los acuerdos de recuperacin y contingencia

para garantizar la disponibilidad de la informacin o del procesamiento de
informacin proporcionado por cualquiera de los terceros;
j) la capacitacin para generar conciencia en el personal de la organizacin

involucrado en las adquisiciones respecto a polticas, procesos y
procedimientos aplicables;
k) la capacitacin para generar conciencia en el personal de la organizacin

que interacta con el personal de los proveedores, respecto a las reglas
apropiadas de compromiso y comportamiento basado en el tipo de
proveedor y en el nivel de acceso de los proveedores a los sistemas e
informacin de la organizacin;
l) las condiciones sobre cuales requisitos y controles de seguridad de la

informacin estarn documentados en un acuerdo firmado por ambas partes;
m) la gestin de las transiciones necesarias de informacin, instalaciones de

procesamiento de informacin y de cualquier otra cosa que necesite ser
movida, y la garanta de que la seguridad de la informacin se mantiene
durante todo el perodo de transicin.
Otra informacin
Los proveedores con inadecuada gestin de seguridad de la informacin pueden poner en

riesgo la informacin. Deberan identificarse y aplicarse los controles para administrar el
acceso del proveedor a las instalaciones de procesamiento de informacin. Por ejemplo,
si hay una necesidad especial de confidencialidad de la informacin, se pueden utilizar
acuerdos de no divulgacin. Otro ejemplo son los riesgos de proteccin de datos cuando
el acuerdo con el proveedor involucra la transferencia de, o el acceso a, informacin a
travs de las fronteras. La organizacin necesita ser consciente de que la responsabilidad
legal o contractual para proteger la informacin permanece dentro de la misma.
15.1.2 Abordar la seguridad dentro de los acuerdos con proveedores
Control
98
Todos los requisitos relevantes de seguridad de la informacin deberan ser establecidos y

acordados con cada proveedor que pueda acceder, procesar, almacenar, comunicar, o
proveer componentes de infraestructura de TI para la informacin de la organizacin
Deberan establecerse y documentarse acuerdos con los proveedores para garantizar que
no hay malentendidos entre la organizacin y los proveedores respecto a las obligaciones
de ambas partes para cumplir con los requisitos relevantes de seguridad de la
informacin.
Deberan considerarse la inclusin de los siguientes trminos en los acuerdos con el fin
de satisfacer los requisitos de seguridad identificados:
a) descripcin de la informacin a ser proporcionada o accesada y los mtodos

para proporcionar o acceder a la informacin;
b) clasificacin de la informacin de acuerdo con el esquema de clasificacin

de la organizacin (ver 8.2); si es necesario tambin, el mapeo entre el
esquema de clasificacin propio de la organizacin y el esquema de
clasificacin del proveedor;
c) los requisitos legales y regulatorios, incluyendo la proteccin de datos, los

derechos de propiedad intelectual y los derechos de autor, y una descripcin
de cmo se va a garantizar que se cumplan;
d) la obligacin de cada parte contractual para implementar un conjunto

acordado de controles incluyendo el control de acceso, la revisin del
desempeo, monitoreo, reporte y auditora;
e) reglas para el uso aceptable de la informacin, incluyendo el uso inaceptable

si es necesario;
f) cualquier lista explcita del personal autorizado del proveedor a acceder o

recibir informacin de la organizacin o procedimientos o condiciones para la
autorizacin, el retiro de la autorizacin, para el acceso o para recibir
informacin de la organizacin por parte del personal del proveedor;
g) las polticas de seguridad de la informacin relevantes para contratos

especficos;
h) los requisitos y procedimientos de gestin de incidentes (especialmente

notificacin y colaboracin durante la remediacin de incidentes);
i) los requisitos de capacitacin y creacin de conciencia para procedimientos

especficos y requisitos de seguridad de la informacin, por ejemplo, para la
respuesta ante incidentes, procedimientos de autorizacin;
j) las regulaciones relevantes para la subcontratacin, incluyendo los controles

que necesiten implementarse;
99
k) los socios con acuerdos relevantes, incluyendo a una persona de contacto

para los asuntos de seguridad de la informacin;
l) si cualquier requisito de seleccin, para el personal de los proveedores

incluyen responsabilidades para conducir la seleccin y los procedimientos
de notificacin si la seleccin no ha sido completada o si los resultados son
motivo de duda o preocupacin;
m) el derecho a auditar los procesos y controles de los proveedores

relacionados con el acuerdo;
n) la resolucin de defectos y los procesos de resolucin de conflictos;
o) la obligacin del proveedor de suministrar peridicamente un reporte

independiente sobre la efectividad de los controles y un acuerdo sobre la
correccin oportuna de las cuestiones relevantes planteadas en el reporte;
p) las obligaciones del proveedor para cumplir con los requisitos de seguridad
de la organizacin.
Otra informacin
Los acuerdos pueden variar considerablemente para diferentes organizaciones y entre

distintos tipos de proveedores. Por lo tanto, debera tenerse cuidado con incluir todos los
riesgos y requisitos de seguridad de la informacin relevantes. Los acuerdos con
proveedores tambin pueden involucrar a otras partes (por ejemplo, a sub-proveedores).
Los procedimientos para continuar el procesamiento en el caso de que el proveedor se

vuelva incapaz de suministrar sus productos o servicios necesitan ser considerados en el
acuerdo para evitar cualquier retraso en ordenar los productos o servicios de reemplazo.
15.1.3 Cadena de suministro de tecnologa de informacin y comunicacin
Control
Los acuerdos con proveedores deberan incluir requisitos para abordar los riesgos de
seguridad de la informacin asociados con los servicios de tecnologa de la informacin y
comunicaciones y la cadena de suministro de productos.
Deberan considerarse los siguientes temas para su inclusin en acuerdos con

proveedores en materia de seguridad en la cadena de suministro:
a) definir los requisitos de seguridad de la informacin para aplicarlos a la

informacin y a la adquisicin del producto o servicio de tecnologa de la
informacin y comunicaciones adems de los requisitos generales de
seguridad de la informacin para las relaciones con los proveedores;
b) para servicios de tecnologa de la informacin y comunicaciones, se requiere

100
que los proveedores propaguen los requisitos de seguridad a travs de toda

la cadena de suministro si los proveedores subcontratan para partes de
servicios de tecnologas de la informacin y comunicaciones proporcionados
a la organizacin;
c) para productos de tecnologa de la informacin y comunicaciones, se

requiere que los proveedores propaguen las prcticas de seguridad
apropiadas a travs de toda la cadena de suministro si estos productos
incluyen componentes adquiridos desde otros proveedores;
d) la implementacin de un proceso de monitoreo y mtodos aceptables para la

validacin que la entrega de los productos y servicios de tecnologas de la
informacin y comunicaciones se adhieren a los requisitos de seguridad
establecidos;
e) la implementacin de un proceso para identificar productos o componentes

del servicio que son crticos para el mantenimiento de la funcionalidad y por
lo tanto, requieren ms atencin y escrutinio cuando son construidos fuera
de la organizacin, especialmente si el proveedor de primer nivel
subcontrata aspectos del producto o componentes del servicio con otros
proveedores;
f) la obtencin de garantas de que los componentes crticos y sus orgenes

pueden ser rastreados a lo largo de la cadena de suministro;
g) la obtencin de garantas de que la informacin entregada y los productos de

tecnologa de la informacin y comunicaciones funcionan tal como se
esperaba, sin caractersticas inesperadas o indeseadas;
h) la definicin de reglas para el intercambio de informacin sobre la cadena de

suministro y cualquier asunto y compromiso potencial entre la organizacin y
los proveedores;
i) la implementacin de procesos especficos para gestionar el ciclo de vida de

componentes de tecnologas de la informacin y comunicaciones, su
disponibilidad y los riesgos de seguridad asociados. Esto incluye la gestin
de riesgos de los componentes que ya no se encuentran disponibles debido
a que los proveedores no se encuentran ms en el negocio o a que los
proveedores ya no proporcionan estos componentes debido a los avances
tecnolgicos.
Otra informacin
Las prcticas especficas de gestin de riesgos de la cadena de suministro de tecnologa

de la informacin y comunicaciones se construyen sobre las ms altas prcticas de
seguridad de la informacin, calidad, gestin de proyectos e ingeniera de sistemas pero
no las reemplazan.
Se recomienda a las organizaciones trabajar con proveedores para comprender la

cadena de suministro de tecnologa de la informacin y comunicaciones y cualquier
aspecto que tenga un impacto importante sobre los productos y servicios proporcionados.
101
Las organizaciones pueden influir en las prcticas de seguridad de la informacin de la

cadena de suministro de tecnologas de la informacin y comunicaciones, dejando en
claro en los acuerdos con sus proveedores los asuntos que deberan abordarse por otros
proveedores en la cadena de suministro de tecnologas de la informacin y
comunicaciones.
La cadena de suministro de tecnologas de informacin y comunicaciones abordada aqu

incluye los servicios de computacin en la nube (cloud computing).
15.2 Gestin de entrega de servicios del proveedor
Objetivo: Mantener un nivel de seguridad de la informacin y entrega de servicios

acordado en lnea con los acuerdos con proveedores.
15.2.1 Monitoreo y revisin de servicios del proveedor
Control
Las organizaciones deberan monitorear, revisar y auditar regularmente la entrega de

servicios por parte de los proveedores.
El monitoreo y la revisin de los proveedores de servicios deberan garantizar el

cumplimiento de los trminos y condiciones de seguridad de la informacin de los
acuerdos, y que los incidentes y problemas de seguridad de la informacin estn
gestionados correctamente.
Esto debera involucrar un proceso de gestin de las relaciones de la gestin del servicio
entre la organizacin y el proveedor para:
a) monitorear los niveles de desempeo del servicio para verificar la adhesin a

los acuerdos;
b) revisar los reportes del servicio producidos por los proveedores y organizar
reuniones regulares de progreso segn los requisitos de los acuerdos;
c) conducir auditoras de proveedores, en conjuncin con la revisin de

reportes de auditores independientes, si se encuentran disponibles, y el
seguimiento de los problemas identificados;
d) proporcionar informacin sobre incidentes de seguridad de la informacin y

revisin de esta informacin segn los requisitos de los acuerdos as como
de cualquier pauta y procedimiento de soporte;
e) revisar del lado del proveedor, las pistas de auditora y registros de eventos
de seguridad de la informacin, problemas operacionales, fallas, rastreo de
fallas y de interrupciones relacionadas con el servicio entregado;
f) resolver y gestionar cualquier problema identificado;
102
g) revisar los aspectos de seguridad de la informacin de las relaciones del

proveedor con sus propios proveedores;
h) garantizar que el proveedor mantiene la suficiente capacidad de servicio

junto con los planes realizables diseados para garantizar que los niveles de
continuidad de servicio acordados se mantendrn despus de fallas
importantes en el servicio o desastres (ver clusula 17).
La responsabilidad por gestionar la relacin con los proveedores debera asignarse a un

individuo o a un equipo de gestin del servicio. Adems, la organizacin debera
garantizar que los proveedores asignan responsabilidades para la revisin de conformidad
y de hacer cumplir los requisitos de los acuerdos. Los recursos y las habilidades tcnicas
suficientes deberan estar disponibles para monitorear que los requisitos del acuerdo, en
particular los requisitos de seguridad de la informacin, se estn cumpliendo. Deberan
tomarse las acciones apropiadas cuando se observen deficiencias en la entrega del
servicio.
La organizacin debera retener suficiente control y visibilidad generales en todos los

aspectos de la seguridad para la informacin crtica o sensible, o del acceso a
instalaciones de procesamiento de la informacin, procesadas o gestionadas por un
proveedor. La organizacin debera retener la visibilidad sobre actividades de seguridad
tales como gestin del cambio, identificacin de vulnerabilidades, reporte y respuesta ante
incidentes de seguridad de la informacin mediante un proceso de reporte definido.
15.2.2 Gestin de cambios a los servicios de proveedores
Control
Los cambios a la provisin de servicios por parte de proveedores, incluyendo el

mantenimiento y mejoramiento de polticas, procedimientos y controles existentes de
seguridad de la informacin, deberan ser gestionados tomando en cuenta la criticidad de
la informacin del negocio, sistemas y procesos involucrados y una reevaluacin de
riesgos.
Deberan considerarse los siguientes aspectos:

a) cambios en los acuerdos con proveedores;
b) cambios realizados por la organizacin para implementar:
1) mejoras a los servicios actuales ofrecidos;
2) desarrollo de cualquier nueva aplicacin y sistemas;
3) modificaciones o actualizaciones de las polticas y procedimientos de

la organizacin;
4) controles nuevos o modificados para resolver incidentes de seguridad

de la informacin y para mejorar la seguridad;
103
c) cambios en servicios de los proveedores para implementar:
1) cambios y mejoras en las redes;
2) uso de nuevas tecnologas;
3) adopcin de nuevos productos o versiones/lanzamientos;
4) nuevas herramientas y ambientes de desarrollo;
5) cambios a la localizacin fsica de las instalaciones del servicio;
6) cambio de proveedores;
7) subcontratacin de otro proveedor.
16. GESTIN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIN
16.1 Gestin de incidentes de seguridad de la informacin y mejoras
Objetivo: Asegurar un enfoque consistente y efectivo a la gestin de incidentes de

seguridad de la informacin, incluyendo la comunicacin sobre eventos de seguridad y
debilidades.
16.1.1 Responsabilidades y procedimientos
Control
Las responsabilidades de gestin y los procedimientos deberan ser establecidos para

asegurar una respuesta rpida, efectiva y ordenada a los incidentes de seguridad de la
informacin.
Las siguientes recomendaciones para gestionar las responsabilidades y procedimientos

con respecto a la gestin de incidentes de seguridad de la informacin deberan
considerarse:
a) deberan establecerse responsabilidades de gestin para garantizar que los

siguientes procedimientos son desarrollados y comunicados adecuadamente
dentro de la organizacin:
1) procedimientos para la planificacin y preparacin de la respuesta ante

incidentes;
2) procedimientos para monitorizacin, deteccin, anlisis y reporte de

eventos e incidentes de seguridad de la informacin;
3) procedimientos para el registro de las actividades de gestin de

incidentes;
104
4) procedimientos para el manejo de evidencia forense;
5) procedimientos para la evaluacin y la decisin sobre los eventos de

seguridad de la informacin y la evaluacin de las debilidades de
seguridad de la informacin;
6) procedimientos para la respuesta, incluyendo el de escalamiento,

recuperacin controlada ante un incidente y la comunicacin a
personas u organizaciones internas o externas;
b) los procedimientos establecidos deberan asegurarse de:
1) personal competente maneja los asuntos relacionados con los

incidentes de seguridad de la informacin dentro de la organizacin;
2) se implementa un punto de contacto para la deteccin y reporte de

incidentes de seguridad;
3) se mantienen los contactos apropiados con las autoridades, los grupos

de inters externos o los foros que se encargan de los asuntos
relacionados con incidentes de seguridad de la informacin;
c) los procedimientos de reporte deberan incluir:
1) la preparacin de formularios de reporte de eventos de seguridad de la

informacin para apoyar la accin de reporte y para ayudar a la
persona que reporta a recordar todas las acciones necesarias en el
caso de un evento de seguridad de la informacin;
2) el procedimiento a ser llevado a cabo en el caso de un evento de

seguridad de la informacin, por ejemplo, observando todos los detalles
inmediatamente, como son tipo de incumplimiento o violacin, fallas
que ocurren, mensajes en la pantalla y reporte inmediato al punto de
contacto y tomando solo acciones coordinadas;
3) la referencia a un proceso disciplinario formalmente establecido para

tratar con los empleados que cometen violaciones de la seguridad;
4) procesos de retroalimentacin adecuados para garantizar que las

personas reportan los eventos de seguridad de la informacin son
notificados de los resultados despus de que el asunto ha sido bien
abordados y cerrados.
Los objetivos para la gestin de incidentes de seguridad de la informacin deberan

acordarse con la gerencia, y debera asegurarse que aquellos responsables para la
gestin de incidentes de seguridad de la informacin entienden las prioridades de la
organizacin para el manejo de incidentes de seguridad de la informacin.
Otra informacin
Los incidentes de seguridad de la informacin pueden superar los lmites organizacionales

105
y nacionales. Para responder a tales incidentes existe una necesidad creciente de

coordinar respuesta y compartir la informacin sobre estos incidentes con organizaciones
externas como sea apropiado.
Se proporciona orientacin detallada sobre la gestin de incidentes de seguridad de la

informacin en la NTP-ISO/IEC 27035.
16.1.2 Reporte de eventos de seguridad de la informacin
Control
Los eventos de seguridad de la informacin deberan ser reportados a travs de canales

de gestin apropiados tan rpido como sea posible.
Todos los empleados y contratistas deberan ser puestos en conocimiento de su

responsabilidad de reportar cualquier evento de seguridad de la informacin lo ms
rpidamente posible. Deberan tambin conocer el procedimiento para reportar los
eventos de seguridad de la informacin y el punto de contacto al que los eventos deberan
reportarse.
Las situaciones a ser consideradas para el reporte de eventos de seguridad de la

informacin incluyen:
a) el control ineficaz de seguridad;
b) la violacin de las expectativas de integridad, confidencialidad y

disponibilidad de la informacin;
c) los errores humanos;
d) los incumplimientos de las polticas o directrices;
e) las violaciones de los acuerdos de seguridad fsica;
f) los cambios no controlados en el sistema;
g) el mal funcionamiento de software o hardware;
h) las violaciones de acceso.
Otra informacin
EL mal funcionamiento u otros comportamientos anmalos del sistema pueden ser un

indicador de un ataque a la seguridad o de una violacin actual a la seguridad y por lo
tanto, debera siempre reportarse como un evento de seguridad de la informacin.
16.1.3 Reporte de debilidades de seguridad de la informacin
Control
106
Empleados y contratistas que usan los sistemas y servicios de informacin de la

organizacin deberan ser exigidos a advertir y reportar cualquier debilidad observada o
de la que se sospecha en cuanto a seguridad de la informacin en los sistemas o
servicios.
Todos los empleados y contratistas deberan reportar estos asuntos al punto de contacto
tan pronto como sea posible a fin de prevenir incidentes de seguridad de la informacin.
El mecanismo de reporte debera ser tan fcil, accesible y tan disponible como sea
posible.
Otra informacin
Los empleados y los contratistas deberan ser advertidos de no intentar probar presuntas
debilidades de seguridad. Las pruebas de las debilidades pueden ser interpretadas como
un posible mal uso del sistema, y podran causar daos tambin al sistema o servicio de
informacin y resultar en la responsabilidad legal para la persona que realiza la prueba.
16.1.4 Evaluacin y decisin sobre eventos de seguridad de la informacin
Control
Los eventos de seguridad de la informacin deberan ser evaluados y debera decidirse si

son clasificados como incidentes de seguridad de la informacin.
El punto de contacto debera evaluar cada evento de seguridad de la informacin

utilizando la escala acordada de clasificacin de eventos e incidentes de seguridad de la
informacin y decidir si el evento debera ser clasificado como un incidente de seguridad
de la informacin. La clasificacin y la priorizacin de incidentes pueden ayudar a
identificar el impacto y extensin de un incidente.
En los casos donde la organizacin tiene un equipo de respuesta ante incidentes de

seguridad de la informacin (ISIRT, por sus siglas en ingls, information security incident
response team), la evaluacin y la decisin pueden ser enviadas al ISIRT para su
confirmacin o reevaluacin.
Los resultados de la evaluacin y la decisin deberan registrarse en detalle con el fin de

futura referencia y verificacin.
16.1.5 Respuesta a incidentes de seguridad de la informacin
Control
Los incidentes de seguridad de la informacin deberan ser respondidos de acuerdo con

los procedimientos documentados.
107
Los incidentes de seguridad de la informacin deberan responderse por un punto de

contacto designado y otras personas relevantes de la organizacin o partes externas (ver
16.1.1).
La respuesta debera incluir lo siguiente:

a) la recopilacin de evidencia tan pronto como sea posible despus de la
ocurrencia;
b) conducir un anlisis forense de seguridad de la informacin, cuando sea

requerido (ver 16.1.7);
c) escalamiento, cuando sea requerido;
d) garantizar que todas las actividades de respuesta involucradas son

registradas adecuadamente para su posterior anlisis;
e) comunicar la existencia del incidente de seguridad de la informacin o

cualquier detalle relevante del mismo a otras personas u organizaciones
internas y externas que necesiten conocerlo;
f) tratar las debilidades de seguridad de la informacin encontradas que

causan o contribuyen al incidente;
g) una vez que el incidente ha sido exitosamente tratado, cerrarlo y registrarlo

formalmente.
Debera realizarse un anlisis post-incidente, cuando sea necesario, para identificar el
origen del incidente.
Otra informacin
El primer objetivo de la respuesta ante incidentes es reanudar el nivel de seguridad

normal y luego iniciar la recuperacin necesaria.
16.1.6 Aprendizaje de los incidentes de seguridad de la informacin
Control
El conocimiento adquirido a partir de analizar y resolver los incidentes de seguridad de la

informacin debera ser utilizado para reducir la probabilidad o el impacto de incidentes
futuros.
Deberan existir mecanismos locales para permitir que los tipos, volmenes y costos de
los incidentes de seguridad de la informacin sean cuantificados y monitoreados. La
informacin obtenida de evaluacin de los incidentes de seguridad de la informacin
debera utilizarse para identificar los incidentes recurrentes o de alto impacto.
108
Otra informacin
La evaluacin de incidentes de seguridad de la informacin puede indicar la necesidad de

mejorar o agregar controles adicionales para limitar la frecuencia, dao y costo de futuras
ocurrencias, o para ser tomada en cuenta en el proceso de revisin de la poltica de
seguridad (ver 5.1.2).
Con el debido cuidado de los aspectos de confidencialidad, se pueden utilizar ancdotas

de incidentes actuales de seguridad de la informacin en la capacitacin de la
sensibilizacin del usuario (ver 7.2.2) como ejemplos de lo que podra suceder, como
responder a estos incidentes y cmo evitarlos en el futuro.
16.1.7 Recoleccin de evidencia
Control
La organizacin debera definir y aplicar procedimientos para la identificacin, recoleccin,

adquisicin y preservacin de informacin que pueda servir como evidencia.
Deberan desarrollarse y seguirse procedimientos internos cuando se trate con evidencia

para los propsitos de accin disciplinaria y legal.
En general, estos procedimientos para evidencia deberan proporcionar procesos de

identificacin, recoleccin, adquisicin y conservacin de evidencia de acuerdo con los
diferentes tipos de medios, dispositivos y estado de los dispositivos, por ejemplo,
encendido o apagado. Los procedimientos deberan tener en cuenta:
a) la cadena de custodia;
b) la proteccin de la evidencia;
c) la proteccin del personal;
d) las funciones y responsabilidades del personal involucrado;
e) la competencia del personal;
f) la documentacin;
g) la reunin informativa.
Cuando se disponga, debera buscarse la certificacin u otros medios pertinentes de la

calificacin del personal y las herramientas, con el fin de fortalecer el valor de la evidencia
preservada.
La evidencia forense puede trascender los lmites organizacionales o jurisdiccionales. En

tales casos, debera asegurarse que la organizacin tiene derecho a recopilar la
informacin requerida como evidencia forense. Deberan considerarse tambin los
109
requisitos de las distintas jurisdicciones para maximizar las posibilidades de su admisin

en todas las jurisdicciones relevantes.
Otra informacin
La identificacin es el proceso que implica la bsqueda, el reconocimiento y la

documentacin de las evidencias potenciales. La recoleccin es el proceso de reunir los
elementos fsicos que podran contener evidencia potencial. La adquisicin es el proceso
de crear una copia de los datos dentro de un conjunto definido. La preservacin es el
proceso de mantener y salvaguardar la integridad y la condicin original de la evidencia
potencial.
Cuando se detecta un evento de seguridad de la informacin por primera vez, puede que
no sea obvio si el evento va a resultar o no en una accin judicial. Por lo tanto, existe el
peligro de que las evidencias necesarias sean destruidas intencionalmente o
accidentalmente antes de que se d cuenta de la gravedad del incidente. Es
recomendable involucrar a un abogado o la polica rpidamente en cualquier accin legal
contemplada y tener asesoramiento sobre las evidencias requeridas.
La Norma ISO/IEC 27037 proporciona directrices para la identificacin, recoleccin,

adquisicin y preservacin de evidencia digital.
17. ASPECTOS DE SEGURIDAD DE LA INFORMACIN EN LA GESTIN DE

CONTINUIDAD DEL NEGOCIO
17.1 Continuidad de seguridad de la informacin
Objetivo: La continuidad de seguridad de la informacin debera estar embebida en los

sistemas de gestin de continuidad del negocio de la organizacin
17.1.1 Planificacin de continuidad de seguridad de la informacin
Control
La organizacin debera determinar sus requisitos de seguridad de la informacin y

continuidad de la gestin de seguridad de la informacin en situaciones adversas, por
ejemplo durante una crisis o desastre.
Una organizacin debera determinar si la continuidad de la seguridad de la informacin

est incluida dentro del proceso de gestin de continuidad del negocio o en el proceso de
gestin de recuperacin ante desastres. Deberan determinarse los requisitos de
seguridad de la informacin cuando se planifique la continuidad del negocio y la
recuperacin ante desastres.
En ausencia de una continuidad del negocio formal y planificacin de recuperacin ante

desastres, la gestin de seguridad de la informacin debera asumir que los requisitos de
seguridad de la informacin siguen siendo los mismos en situaciones adversas, en
110
comparacin con las condiciones de funcionamiento normales. Alternativamente, una

organizacin puede realizar un anlisis de impacto en el negocio para que los aspectos de
seguridad de la informacin determinen los requisitos de seguridad de la informacin
aplicables a las situaciones adversas.
Otra informacin
Con el fin de reducir el tiempo y el esfuerzo de un anlisis de impacto en el negocio

adicional para la seguridad de la informacin, se recomienda captar los aspectos de
seguridad de la informacin dentro de la gestin normal de continuidad del negocio o del
anlisis de impacto en el negocio de la gestin de recuperacin ante desastres. Esto
implica que los requisitos de continuidad de seguridad de la informacin sean
explcitamente formulados en la gestin de continuidad del negocio o en los procesos de
gestin de recuperacin ante desastres.
Puede encontrar ms informacin sobre gestin de la continuidad del negocio en las NTP-
ISO/IEC 27031, ISO/IEC 22313 e ISO/IEC 22301.
17.1.2 Implementacin de continuidad de seguridad de la informacin
Control
La organizacin debera establecer, documentar, implementar y mantener los procesos,

procedimientos y controles para asegurar el nivel requerido de continuidad de seguridad
de la informacin durante una situacin adversa.
Una organizacin debera garantizar que:

a) se establezca una estructura de gestin adecuada para estar preparados
para, mitigar y responder a un evento disruptivo utilizando personal con la
autoridad, experiencia y competencia necesarias;
b) se designe personal de respuesta a incidentes con la responsabilidad,

autoridad y competencia necesarias para gestionar un incidente y mantener
la seguridad de la informacin;
c) se desarrollen y aprueben los planes documentados, procedimientos de

respuesta y recuperacin, detallando cmo la organizacin va a gestionar un
evento disruptivo y mantener su seguridad de la informacin en un nivel
predeterminado, basado en los objetivos de continuidad de seguridad de la
informacin aprobados por la gestin (ver 17.1.1).
De acuerdo con los requisitos de continuidad de la seguridad de la informacin, la

organizacin debera establecer, documentar, implementar y mantener:
a) los controles de seguridad de la informacin dentro de los procesos,
procedimientos y sistemas de apoyo y herramientas de continuidad del
negocio o de recuperacin ante desastres;
111
b) los procesos, procedimientos y cambios en la implementacin para mantener

los controles de seguridad de la informacin existentes durante una situacin
adversa;
c) los controles de compensacin para los controles de seguridad de la

informacin que no pueden ser mantenidos durante una situacin adversa.
Otra informacin
Dentro del contexto de continuidad del negocio o de recuperacin ante desastres, los
procesos y procedimientos especficos pueden haber sido definidos. La informacin que
es manejada en estos procesos y procedimientos o en los sistemas de informacin
dedicados para apoyarla deberan protegerse. Por lo tanto, una organizacin debera
involucrar a especialistas en seguridad de la informacin cuando establezca, implemente
y mantenga los procesos y procedimientos de continuidad del negocio o de recuperacin
ante desastres.
Los controles de seguridad de la informacin que han sido implementados deberan

continuar operando durante una situacin adversa. Si los controles de seguridad no son
capaces de continuar asegurando la informacin, deberan establecerse, implantarse y
mantenerse otros controles para mantener un nivel aceptable de seguridad de la
informacin.
17.1.3 Verificacin, revisin y evaluacin de continuidad de seguridad de la

informacin
Control
La organizacin debera verificar los controles de continuidad de seguridad de la

informacin que han establecido e implementado a intervalos regulares para asegurarse
que son vlidos y efectivos durante situaciones adversas.
Los cambios organizacionales, tcnicos, de procedimiento y de proceso, ya sea en un

contexto operacional o de continuidad, pueden conducir a cambios en los requisitos de
continuidad de seguridad de la informacin. En estos casos, la continuidad de los
procesos, procedimientos y controles para la seguridad de la informacin deberan
revisarse frente a estos requisitos cambiados.
Las organizaciones deberan verificar su gestin de la continuidad de la seguridad de la

informacin:
a) ejercitando y probando la funcionalidad de los procesos, procedimientos y

controles de continuidad de la seguridad de la informacin para garantizar
que su desempeo es consistente con los objetivos de continuidad de
seguridad de la informacin;
b) ejercitando y probando el conocimiento y la rutina para operar los procesos,

procedimientos y controles de continuidad de la seguridad de la informacin
112
para garantizar que su desempeo es consistente con los objetivos de

continuidad de seguridad de la informacin;
c) revisando la validez y eficacia de las mediciones de continuidad de la

seguridad de la informacin cuando los sistemas de informacin, los
procesos, procedimientos y controles de seguridad de la informacin o los
procesos de gestin de continuidad del negocio/gestin de recuperacin
ante desastres y las soluciones cambien.
Otra informacin
La verificacin de los controles de continuidad de la seguridad de la informacin son

diferente de las pruebas y verificacin generales de seguridad de la informacin y debera
llevarse a cabo fuera de las pruebas de los cambios. Si es posible, es preferible integrar la
verificacin de los controles de continuidad de la seguridad de la informacin con las
pruebas de continuidad del negocio o de recuperacin ante desastres de la organizacin.
17.2 Redundancias
Objetivo: Asegurar la disponibilidad de las instalaciones y procesamiento de la informacin
17.2.1 Instalaciones de procesamiento de la informacin
Control
Las instalaciones de procesamiento de la informacin deberan ser implementadas con

redundancia suficiente para cumplir con los requisitos de disponibilidad.
Las organizaciones deberan identificar los requisitos de negocio para la disponibilidad de

los sistemas de informacin. Donde la disponibilidad no puede ser garantizada mediante
la arquitectura de los sistemas existentes, deberan considerarse componentes o
arquitecturas redundantes.
Donde sea aplicable, los sistemas de informacin redundantes deberan probarse para
garantizar que el cambio ante el fallo (failover) de un componente a otro trabaje segn lo
previsto.
Otra informacin
La implementacin de redundancia puede introducir riesgos a la integridad o

confidencialidad de la informacin y de los sistemas de informacin, los cuales deberan
ser considerados cuando se disean los sistemas de informacin.
18. CUMPLIMIENTO
18.1 Cumplimiento con requisitos legales y contractuales
113
Objetivo: Evitar infracciones de las obligaciones legales, estatutarias, regulatorias o

contractuales relacionadas a la seguridad de la informacin y a cualquier requisito de
seguridad.
18.1.1 Identificacin de requisitos contractuales y de legislacin aplicable
Control
Todos los requisitos legislativos, estatutarios, regulatorios y contractuales relevantes as

como el enfoque de la organizacin para cumplir con estos requisitos deberan ser
explcitamente identificados, documentados y mantenidos al da para cada sistema de
informacin y para la organizacin.
Los controles especficos y responsabilidades individuales para cumplir con estos

requisitos, deberan tambin definirse y documentarse.
Los gerentes deberan identificar toda la legislacin aplicable a su organizacin a fin de

cumplir con los requisitos para su tipo de negocio. Si la organizacin realiza negocios en
otros pases, los gerentes deberan considerar el cumplimento en todos los pases
relevantes.
18.1.2 Derechos de propiedad intelectual
Control
Procedimientos apropiados deberan ser implementados para asegurar el cumplimiento

de requisitos legislativos, regulatorios y contractuales, relacionados a los derechos de
propiedad intelectual y uso de productos de software propietario.
Deberan considerarse los siguientes lineamientos para proteger cualquier material que
pueda ser considerado propiedad intelectual:
a) publicar una poltica de cumplimiento de los derechos de propiedad
intelectual que defina el uso legal de los productos de software y de
informacin;
b) adquirir software slo de fuentes conocidas y de buena reputacin, para

garantizar que los derechos de autor no se violen;
c) mantener conciencia de las polticas de proteccin los derechos de

propiedad intelectual y advertir de la intencin de adoptar medidas
disciplinarias contra el personal que los viole;
d) Mantener los apropiados registros de activos e identificar todos los activos

con requisitos de proteccin de derechos de la propiedad intelectual;
e) Mantener prueba y evidencia de la propiedad de las licencias, discos
114
maestros, manuales, etc.
f) implantar controles para garantizar que no se sobrepase el nmero mximo

de usuarios con licencias permitidos;
g) llevar a cabo revisiones de que solo estn instalados productos de software

autorizados y con licencia;
h) proporcionar una poltica para el mantenimiento apropiado de las

condiciones de licenciamiento;
i) establecer una poltica de puesta a disposicin del software o de su

transferencia a terceros;
j) cumplir con los trminos y condiciones del software y de la informacin

obtenidas de redes pblicas;
k) no duplicar ni convertir a otro formato o extraer informacin de registros

comerciales (pelcula, audio) que no estn permitidos por la ley de derechos
de autor;
l) no copiar total o parcialmente, libros, artculos, reportes u otros documentos,

con excepcin de lo permitido por la ley de derechos de autor.
Otra informacin
Los derechos de propiedad intelectual incluyen los derechos del software o documentos,
derechos de diseo, marcas registradas, patentes y licencias de cdigo fuente.
Los productos de software propietario se suelen proporcionar bajo un contrato de licencia

que especifica trminos y condiciones del licenciamiento, por ejemplo, limitar el uso de los
productos a mquinas especficas o copias limitadas slo para la generacin de copias de
respaldo. La importancia y la conciencia de los derechos de propiedad intelectual
deberan comunicarse al personal para el software desarrollado por la organizacin.
Las normas legales, regulaciones y los requisitos contractuales pueden plantear

restricciones sobre la copia de material propietario. En particular, pueden requerir que slo
el material desarrollado por la organizacin o que est licenciado o proporcionado por el
desarrollador para la organizacin, se puedan utilizar. La infraccin del derecho de autor
puede conducir a una accin legal, que puede implicar multas y procesos penales.
18.1.3 Proteccin de registros
Control
Los registros deberan ser protegidos de cualquier prdida, destruccin, falsificacin,

acceso no autorizado y divulgacin no autorizada, de acuerdo con los requisitos
legislativos, regulatorios, contractuales y del negocio.
115
Cuando se decide sobre la proteccin de registros especficos de la organizacin, debera

considerarse la clasificacin correspondiente basada en el esquema de clasificacin de la
organizacin. Los registros se deberan categorizar segn el tipo, como por ejemplo:
registros contables, registros de bases de datos, registros de transacciones, registros de
auditora y procedimientos operativos, cada uno de los cuales con los detalles del periodo
de retencin y el tipo de medios de almacenamiento, como por ejemplo, papel,
microfichas, medios magnticos u pticos. Cualquiera de las claves criptogrficas y los
programas asociados con archivos cifrados o firmas digitales (ver clausula 10), tambin
debera guardarse para permitir el descifrado de los registros durante el tiempo en que los
mismos son retenidos.
Debera considerarse la posibilidad de deterioro de los medios utilizados para almacenar

los registros. Procedimientos de almacenamiento y manipulacin deberan implementarse
de acuerdo con las recomendaciones del fabricante.
Cuando se eligen los medios de almacenamiento electrnico, se deberan establecer

procedimientos para garantizar la capacidad de acceder a los datos (tanto al medio como
a la lectura de los formatos en s) a travs de todo el perodo de retencin para
resguardarlos contra la prdida ante el futuro cambio de la tecnologa.
Los sistemas de almacenamiento de datos deberan elegirse de manera tal que los datos
requeridos puedan recuperarse en un plazo y formato aceptable, dependiendo de los
requisitos a satisfacer.
El sistema de almacenamiento y manejo debera garantizar la identificacin de los

registros y su perodo de retencin segn lo definido por las normas o las regulaciones
nacionales o regionales, si es aplicable. Este sistema debera permitir la destruccin
apropiada de los registros tras dicho perodo, cuando ya no sean necesarios para la
organizacin.
Para alcanzar los objetivos de resguardo de registros, deberan tomarse los siguientes
pasos en la organizacin:
a) deberan emitirse directrices sobre la retencin, almacenamiento, manejo y

puesta a disposicin de los registros y de la informacin;
b) debera elaborarse un calendario de conservacin que identifique los

registros y sus perodos de tiempo en que deberan ser retenidos;
c) debera mantenerse un inventario de fuentes de informacin clave.
Otra informacin
Algunos registros podran necesitar ser conservados de manera segura para cumplir con
requisitos normativos, regulatorios o contractuales, as como para soportar las actividades
esenciales del negocio. Los ejemplos incluyen los registros que pueden ser requeridos
como evidencia de que una organizacin opere dentro de las reglas estatutarias o
regulatorias, para garantizar una defensa adecuada contra una posible accin civil o
penal, o para confirmar el estado financiero de una organizacin respecto a los
accionistas, terceros y auditores. La legislacin o la regulacin nacional podran
116
establecer el periodo de tiempo y datos contenidos de la informacin a conservar.
Informacin adicional sobre la gestin de registros de una organizacin se puede

encontrar en la ISO 15489-1.
18.1.4 Privacidad y proteccin de datos personales.
Control
La privacidad y la proteccin de datos personales deberan estar aseguradas tal como se

requiere en la legislacin y regulacin relevantes donde sea aplicable.
Una poltica de datos organizacionales para la privacidad y proteccin de datos

personales, debera desarrollarse e implementarse. Esta poltica debera comunicarse a
todas las personas involucradas en el procesamiento de datos personales.
El cumplimiento de esta poltica y de toda la legislacin y regulaciones concernientes a la

proteccin de la privacidad de las personas y de proteccin de los datos personales
requiere una apropiada estructura de gestin y control. Este objetivo a menudo suele
alcanzarse mejor designando una persona responsable, como un oficial de privacidad,
quien debera proporcionar orientacin a los gerentes, usuarios y proveedores de
servicios sobre sus responsabilidades individuales y los procedimientos especficos que
deberan seguirse. La responsabilidad de manejar la informacin de datos ersonales y de
garantizar la creacin de conciencia sobre los principios de privacidad debera
establecerse de acuerdo con la legislacin y regulacin relevante. Debera implemetarse
medidas tcnicas y organizacionales apropiadas para proteger la informacin de datos
personales.
Otra informacin
La ISO/IEC 29100 proporciona un marco de alto nivel para la proteccin de los datos
personales dentro de los sistemas de tecnologas de la informacin y comunicaciones. Un
nmero de pases han introducido en su legislacin local, controles para la recoleccin,
procesamiento y transmisin de datos personales (generalmente, informacin de
personas vivas que pueden ser identificadas a raz de dicha informacin). Dependiendo
de la respectiva legislacin nacional, cada control puede imponer obligaciones a quien
recolecte, procese y transmita informacin de datos personales, y pueden tambin
restringir la posibilidad de transferir informacin de datos personales hacia otros pases.
18.1.5 Regulacin de controles criptogrficos
Control
Controles criptogrficos deberan ser utilizados en cumplimiento con todos los acuerdos,
legislacin y regulacin relevantes.
117
Los siguientes elementos deberan considerarse para el cumplimiento de los acuerdos,

las leyes y las regulaciones relevantes:
a) restricciones en la importacin o hardware y software para realizar funciones
criptogrficas;
b) restricciones en la importacin o exportacin de equipo de cmputo y

programas estn diseados para tener funciones criptogrficas incluidas en
ellos;
c) restricciones en el uso de cifrado;
d) mtodos obligatorios o discrecionales de acceso por parte de las autoridades

de los pases para la informacin encriptada que mediante equipamiento o
software para proporcionan confidencialidad del contenido.
Mediante el asesoramiento jurdico debera intentarse garantizar el cumplimiento con la

legislacin y regulacin relevante. Antes que la informacin encriptada o que los controles
criptogrficos crucen fronteras jurisdiccionales, tambin debera tenerse en cuenta el
asesoramiento jurdico.
18.2 Revisiones de seguridad de la informacin
Objetivo: Asegurar que la seguridad de la informacin est implementada y es operada de

acuerdo con las polticas y procedimientos organizativos.
18.2.1 Revisin independiente de la seguridad de la informacin
Control
El enfoque de la organizacin para manejar la seguridad de la informacin y su

implementacin (por ejemplo objetivos de control, controles, polticas, procesos y
procedimientos para la seguridad de la informacin) debera ser revisado
independientemente a intervalos planeados o cuando ocurran cambios significativos.
La gerencia debera iniciar la revisin independiente. Dicha revisin independiente es

necesaria para garantizar la conveniencia, adecuacin y eficacia continuas del enfoque de
la organizacin para gestionar la seguridad de la informacin. La revisin debera incluir
las oportunidades de la evaluacin para la mejora y la necesidad de cambios en el
enfoque de seguridad, incluyendo las polticas y los objetivos de control.
Dicha revisin debera llevarse a cabo por personas independientes del rea bajo
revisin, por ejemplo, la funcin de auditora interna, un administrador independiente o
una organizacin externa especializada en ese tipo de revisiones. Las personas que
llevan a cabo estas revisiones deberan tener las habilidades y experiencia apropiadas.
Los resultados de una revisin independiente deberan registrarse y reportarse a la

gerencia que inici la revisin. Estos registros deberan mantenerse.
118
Si la revisin independiente identifica que el enfoque de la organizacin y la

implementacin para gestionar la seguridad de la informacin son inadecuadas, por
ejemplo, los objetivos y requisitos documentados no se cumplen o no cumplen con la
direccin para la seguridad de la informacin establecida en las polticas de seguridad de
la informacin (ver 5.1.1), la gerencia debera considerar acciones correctivas.
Otra informacin
Las NTP ISO/IEC 27007 Lineamientos para la auditora de sistemas de gestin de

seguridad de la informacin y NTP RT ISO/IEC TR 27008 Lineamientos para auditores
sobre controles de seguridad de la informacin tambin proporcionan directrices para
realizar la revisin independiente.
18.2.2 Cumplimiento de polticas y normas de seguridad
Control
Los gerentes deberan revisar regularmente el cumplimiento del procesamiento de la

informacin y de los procedimientos, dentro de su rea de responsabilidad con las
polticas, normas y otros requisitos de seguridad apropiados.
Los gerentes deberan identificar cmo revisar que se cumplan los requisitos de seguridad
de la informacin definidos en las polticas, normas y otras regulaciones aplicables.
Deberan considerarse herramientas de medicin y reporte automtico para una revisin
peridica eficiente.
Si cualquier incumplimiento es encontrado como resultado de la revisin, los gerentes

deberan:
a) identificar las causas del incumplimiento;
b) evaluar la necesidad de tomar medidas para lograr el cumplimiento;
c) implementar las acciones correctivas apropiadas;
d) revisar la accin correctiva tomada para verificar su eficacia e identificar

cualquier deficiencia debilidad.
Los resultados de las revisiones y de las acciones correctivas realizadas por los gerentes
deberan registrarse y estos registros deberan mantenerse. Los gerentes deberan
reportar los resultados a las personas que realizan las revisiones independientes (ver
18.2.1) cuando una revisin independiente se realice en el rea de sus responsabilidades.
Otra informacin
El monitoreo operacional del sistema utilizado se cubre en el apartado 12.4.
18.2.3 Revisin del cumplimiento tcnico

119
Control
Los sistemas de informacin deberan ser revisados regularmente respecto al

cumplimiento de las polticas y normas de seguridad de la informacin de la organizacin.
El cumplimiento tcnico debera revisarse preferentemente con la ayuda de herramientas

automatizadas que generen reportes tcnicos para su posterior interpretacin por parte de
un especialista tcnico. Alternativamente, un ingeniero de sistemas experimentado podra
realizar revisiones manuales (con el apoyo de herramientas de software apropiadas, si es
necesario).
Si se utilizan pruebas de intrusin o evaluaciones de vulnerabilidad, debera tenerse

cuidado pues estas actividades podran comprometer la seguridad del sistema. Tales
pruebas deberan ser planificados, documentados y repetibles.
Cualquier revisin del cumplimiento tcnico slo debera realizarse por personas
competentes, autorizadas, o bajo la supervisin de estas personas.
Otra informacin
La revisin del cumplimiento tcnico involucra el examen de los sistemas operacionales a

fin de garantizar que los controles de hardware y software hayan sido correctamente
implementados. Este tipo de revisin del cumplimiento requiere pericia tcnica
especializada.
La revisin del cumplimiento tambin cubre, por ejemplo, pruebas de intrusin y

evaluacin de vulnerabilidades, las cuales podran ser realizadas por expertos
independientes contratados especficamente para este propsito. Esto puede resultar til
para la deteccin de vulnerabilidades en el sistema y para inspeccionar la eficacia de los
controles para prevenir los accesos no autorizados posibilitados por dichas
vulnerabilidades.
Las pruebas de intrusin y la evaluacin de vulnerabilidades proporcionan una muestra

actual de un sistema en un estado y momento especfico. La muestra se limita a esas
porciones del sistema realmente probado durante los intentos de penetracin. Las
pruebas de intrusin y la evaluacin de vulnerabilidades no son un substituto para la
evaluacin del riesgo.
La NTP RT ISO/IEC TR 27008 proporciona orientacin especfica con respecto a las

revisiones de cumplimiento tcnico.
120
Bibliography
[1] ISO/IEC Directives, Part 2

[2] ISO/IEC 11770-1, Information technology Security techniques Key management Part 1:
Framework
Mechanisms using symmetric techniques
Mechanisms using asymmetric techniques
[5] ISO 15489-1, Information and documentation Records management Part 1: General
[6] ISO/IEC 20000-1, Information technology Service management Part 1: Service management
system requirements
[7] ISO/IEC 20000-2,1)Information technology Service management Part 2: Guidance on the
application of service management systems
[8] ISO 22301, Societal security Business continuity management systems Requirements
[9] ISO 22313, Societal security Business continuity management systems Guidance
[10] ISO/IEC 27001, Information technology Security techniques Information security management
systems Requirements
[11] ISO/IEC 27005, Information technology Security techniques Information security risk
management
[12] ISO/IEC 27007, Information technology Security techniques Guidelines for information security
management systems auditing
[13] ISO/IEC TR 27008, Information technology Security techniques Guidelines for auditors on
information security controls
[14] ISO/IEC 27031, Information technology Security techniques Guidelines for information and
communication technology readiness for business continuity
[15] ISO/IEC 27033-1, Information technology Security techniques Network security Part 1:
Overview and concepts
Guidelines for the design and implementation of network security
Reference networking scenarios Threats, design techniques and control issues
Securing communications between networks using security gateways
Securing communications across networks using Virtual Private Network (VPNs)
[20] ISO/IEC 27035, Information technology Security techniques Information security incident
management
[21] ISO/IEC 27036-1, Information technology Security techniques Information security for supplier
relationships Part 1: Overview and concepts
1) ISO/IEC 20000-2:2005 has been cancelled and replaced by ISO/IEC 20000-2:2012, Information technology
Service management Part 2: Guidance on the application of service management systems.
relationships Part 2: Common requirements
relationships Part 3: Guidelines for ICT supply chain security
[24] ISO/IEC 27037, Information technology Security techniques Guidelines for identification,
collection, acquisition and preservation of digital evidence
[25] ISO/IEC 29100, Information technology Security techniques Privacy framework
[26] ISO/IEC 29101, Information technology Security techniques Privacy architecture framework
[27] ISO 31000, Risk management Principles and guidelines
121

Iso Iec NTP-27002

Cargado por

Copyright:

Formatos disponibles

Iso Iec NTP-27002

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Iso Iec NTP-27002

Cargado por

Copyright:

Formatos disponibles

PROYECTO DE NORMA ENTP-ISO/IEC 27002

TCNICA PERUANA 2016

TECNOLOGA DE LA INFORMACIN. Tcnicas de

INTRODUCCIN ............................................................................................................................................ iii

0.1 Antecedentes y contexto

El valor de la informacin va ms all de las palabras escritas, nmeros e imgenes: el

La seguridad de la informacin se logra mediante la implementacin de un conjunto

En un sentido ms general, la seguridad de la informacin efectiva asegura tambin a la

0.2 Requisitos de seguridad de la informacin

a) la evaluacin del riesgo para la organizacin, tomando en cuenta su

b) los requisitos legales, estatutarios, regulatorios y contractuales son

c) el conjunto de principios, objetivos y requisitos de negocio para el manejo,

Los recursos empleados en la implementacin de los controles necesitan ser equilibrados

La NTP-ISO/IEC 27005 proporciona orientacin sobre la gestin del riesgo de seguridad

0.3 Seleccionando controles

Algunos de los controles de este esquema de norma tcnica peruana pueden

0.4 Desarrollando sus propias directrices

0.5 Consideraciones del ciclo de vida

0.6 Normas relacionadas

--- oooOooo ---

TECNOLOGA DE LA INFORMACIN Tcnicas de

Este esquema de norma tcnica peruana proporciona lineamientos para normas

a) seleccionar los controles dentro del proceso de implementacin del Sistema

b) implementar los controles de seguridad de la informacin comnmente

c) desarrollar sus propios lineamientos de gestin de seguridad de la

Los siguientes documentos, en su totalidad o en parte, son normativamente referenciados

ISO/IEC 27000, Information technology - Security techniques Information security

4. ESTRUCTURA DE ESTA NORMA

Este esquema de norma tcnica peruana contiene 14 clusulas de control de seguridad

Cada clusula define controles de seguridad conteniendo una o ms categoras

El orden de las clusulas en este esquema de norma tcnica peruana no implica su

4.2 Categoras de control

Cada categora principal de control de seguridad contiene:

a) un objetivo de control que indica lo que se va a lograr;

b) uno o ms controles que pueden ser aplicados para alcanzar el objetivo de

Las descripciones del control se estructuran de la siguiente manera:

Define la declaracin especfica del control, para satisfacer el objetivo de control.

Proporciona informacin ms detallada para apoyar la implementacin del control y el

5. POLTICAS DE SEGURIDAD DE LA INFORMACIN

5.1 Direccin de la gerencia para la seguridad de la informacin

Objetivo: Proporcionar direccin y apoyo de la gerencia para la seguridad de la

5.1.1 Polticas para la seguridad de la informacin

Un conjunto de polticas para la seguridad de la informacin debera ser definido,

Al ms alto nivel, las organizaciones deberan definir una poltica de seguridad de la

a) la estrategia del negocio;

b) las regulaciones, leyes y contratos;

c) el entorno de amenazas de seguridad de la informacin actuales y previstas.

La poltica de seguridad de la informacin debera contener declaraciones respecto a:

a) definicin de la seguridad de la informacin, objetivos y principios para orientar

b) asignacin de responsabilidades generales y especficas para la gestin de

c) procesos para el manejo de desviaciones y excepciones.

Algunos ejemplos de estos temas detallados en polticas son:

a) control de acceso (ver clusula 9);

b) clasificacin (y manejo) de la informacin (ver 8.2);

c) seguridad fsica y ambiental (ver clusula 11);

d) temas orientados al usuario final, tales como:

1.uso aceptable de activos (ver 8.1.3);

2.escritorio y pantalla limpios (ver 11.2.9);