Cláusula - Criptografia

Código: PGT-PSI-002
ÁREA DE PROCESO DE GESTIÓN TIC Página: 1 DE 6

Versión: 01
POLÍTICA DE SEGURIDAD DE LA Fecha de Emisión:
INFORMACIÓN 19/07/2017
Fecha de Actualización:
6. CLÁUSULA: CRIPTOGRAFIA
Firmantes
Nombre Fecha Firma
DD/MM/AAAA
DD/MM/AAAA
Historial
Fecha Razón del Cambio Autor(es)
DD/MM/AAAA
DD/MM/AAAA
Versión: 01
Generalidades
La organización debería utilizar controles criptográficos para proteger la

confidencialidad, autenticidad o integridad de la información mediante la ayuda de
técnicas criptográficas, para así poder tener la protección de claves de acceso a
sistemas, datos y servicios, para la transmisión de información clasificada y/o para
el resguardo de aquella información relevante en atención a los resultados de la
evaluación de riesgos realizada por el Área de Proceso de Gestión TIC.
Sería necesario el desarrollo adicional de procedimientos y asignación de funciones

respecto de la administración de claves, de la recuperación de información cifrada
en caso de pérdida, compromiso o daño de las claves y en cuanto al reemplazo de
las claves de cifrado .Las firmas digitales proporcionan un medio de protección de
la autenticidad e integridad de los documentos electrónicos y, en algunas ocasiones,
podría ser necesario asesoramiento legal para establecer acuerdos especiales que
respalden su uso.
Objetivo
Proteger la confidencialidad, autenticidad o integridad de la información.
Contar con técnicas criptográficas para la protección de la información en base al

análisis de riesgo efectuado, con el fin de asegurar una adecuada protección de su
confidencialidad e integridad.
Resguardar la información, cuando así surja de la evaluación de

riesgos realizada por el Propietario de la Información y el Responsable de
Seguridad Informática.
Alcance
La Política definida en este documento se aplica a la protección de los bienes
informáticos y a la información valiosa en el Área de Proceso de Gestión TIC a
través de la criptografía, de igual forma, también puede ser usada para prevenir el
acceso y uso no autorizado de los recursos de una red o sistema informático y para
prevenir a los usuarios la denegación de los servicios a los que si tiene acceso
permitido.
Versión: 01
Política
10.1 Categoría: Controles Criptográficos
Objetivo
El objetivo de proteger la confidencialidad, autenticidad o integridad de la

información mediante la ayuda de técnicas criptográficas en el Área de Proceso de
Gestión TIC.
La aplicación de medidas de cifrado, desarrollar en base a una política sobre el uso

de controles criptográficos y al establecimiento de una gestión de las claves que
sustenta la aplicación de las técnicas criptográficas.
10.1.1 Control: Política de uso de los controles criptográficos
Asegurar el uso apropiado y eficaz de la criptografía para proteger la

confidencialidad, la autenticidad y/o la integridad de la información en el Área de
Proceso de Gestión TIC.
El desarrollo de una política debería considerar lo siguiente:
 Un enfoque de gestión del uso de las medidas criptográficas a través del Área
de Proceso de Gestión TIC, incluyendo los principios generales en base a los
cuales se debería proteger la información del Área.
 Basados en la evaluación de riesgos, el nivel requerido de protección debe
ser identificado tomando en cuenta el tipo, fuerza y calidad del algoritmo
cifrado requerido.
 El uso de cifrado para la protección de información sensible transportada en
medios o dispositivos móviles o removibles y en las líneas de comunicación.
 Un enfoque de gestión de claves, incluyendo métodos para tratar la
recuperación de la información cifrada en caso de pérdida, divulgación o
daño de las claves;
 Los roles y responsabilidades de cada cual que es responsable de:
 La implementación de la política
 La gestión de claves, incluyendo la generación de claves
 Los estándares a ser adoptados para una efectiva implementación a través
del Área de Proceso de Gestión TIC.
Versión: 01
 Las normas para utilizar información cifrada en controles que confíen en la

inspección de contenido (como la detección de virus).
Los controles criptográficos pueden ser utilizados para alcanzar diferentes objetivos
de seguridad como:
 Confidencialidad: utilizando cifrado de información para proteger información

sensible o crítica, así sea transmitida o almacenada.
 Integridad/autenticidad: utilizando firmas digitales o códigos de
autentificación de mensajes para proteger la autenticidad e integridad de la
información crítica o sensible que es almacenada o transmitida.
 No Repudio: utilizando técnicas criptográficas para obtener prueba de
ocurrencia o no ocurrencia de un evento o acción.
10.1.2 Control: Gestión de claves
La gestión de claves criptográficas debe apoyar el uso de las técnicas criptográficas

en el Área de Proceso de Gestión TIC.
Se deberían proteger todos los tipos de claves de su modificación o destrucción; las

claves secretas y las privadas además requieren protección contra su distribución
no autorizada. Con este fin también pueden usarse técnicas criptográficas. Se
debería utilizar protección física para cubrir el equipo usado en la generación,
almacenamiento y archivo de claves.
El sistema de gestión de claves se debería basar en un conjunto acordado de

normas, procedimientos y métodos seguros para:
 Generar claves para distintos sistemas criptográficos y distintas aplicaciones.

 Generar y obtener certificados de clave pública.
 Distribuir claves a los usuarios previstos, incluyendo la forma de activar y
recibir las claves.
 Almacenar claves, incluyendo la forma de obtención de acceso a las claves
por los usuarios.
 Cambiar o actualizar claves, incluyendo reglas para saber cuándo y cómo
debería hacerse.
 Tratar las claves comprometidas.
 Revocar claves, incluyendo la forma de desactivarlas o retirarlas, por
ejemplo, cuando tienen problemas o el usuario deja la organización (en cuyo
caso las claves también se archivan).
Versión: 01
 Recuperar claves que se han perdido o corrompido, por ejemplo, para

recuperar la información cifrada.
 Archivar claves, por ejemplo, para información archivada o de respaldo.
 Hacer seguimiento y auditorias de las actividades relacionadas con la gestión
de las claves.
Para reducir la probabilidad de comprometer las claves, se deberían definir fechas

de Activación y desactivación para que sólo puedan utilizarse durante un periodo
limitado. Este debería depender de las circunstancias del uso de las medidas de
control criptográficas y del riesgo percibido.
Además de la gestión segura de las claves privadas y secretas, se debería

considerar la autenticidad de las claves públicas. Este proceso se realiza
normalmente por una autoridad certificadora que debería ser una organización
reconocida y poseer controles y procedimientos adecuados para proporcionar el
grado de fiabilidad requerido.
El contenido de los acuerdos de nivel de servicio o de los contratos con los

proveedores de servicios criptográficos (por ejemplo, una autoridad certificadora)
debería cubrir los aspectos de las obligaciones, fiabilidad de los servicios y tiempos
de respuesta para su suministro
Versión: 01
Sanciones previstas por incumplimiento
El incumplimiento de las disposiciones establecidas por las Políticas de Seguridad

de la Información tendrá como resultado la aplicación de diversas sanciones,
conforme a la magnitud y característica del aspecto no cumplido.
Asistencia
Cualquier solicitud relacionada con esta política o aplicaciones de esta debe ser
referida al Área de Proceso de Gestión TIC.
Referencias
ISO/IEC 27001:2013 e ISO/IEC 27002:2013

Cláusula - Criptografia

Cargado por

Copyright:

Formatos disponibles

Cláusula - Criptografia

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Cláusula - Criptografia

Cargado por

Copyright:

Formatos disponibles

Código: PGT-PSI-002

ÁREA DE PROCESO DE GESTIÓN TIC Página: 1 DE 6

La organización debería utilizar controles criptográficos para proteger la

Sería necesario el desarrollo adicional de procedimientos y asignación de funciones

Proteger la confidencialidad, autenticidad o integridad de la información.

Contar con técnicas criptográficas para la protección de la información en base al

Resguardar la información, cuando así surja de la evaluación de

10.1 Categoría: Controles Criptográficos

El objetivo de proteger la confidencialidad, autenticidad o integridad de la

La aplicación de medidas de cifrado, desarrollar en base a una política sobre el uso

10.1.1 Control: Política de uso de los controles criptográficos

Asegurar el uso apropiado y eficaz de la criptografía para proteger la

 Las normas para utilizar información cifrada en controles que confíen en la

 Confidencialidad: utilizando cifrado de información para proteger información

10.1.2 Control: Gestión de claves

La gestión de claves criptográficas debe apoyar el uso de las técnicas criptográficas

Se deberían proteger todos los tipos de claves de su modificación o destrucción; las

El sistema de gestión de claves se debería basar en un conjunto acordado de

 Generar claves para distintos sistemas criptográficos y distintas aplicaciones.

 Recuperar claves que se han perdido o corrompido, por ejemplo, para

Para reducir la probabilidad de comprometer las claves, se deberían definir fechas

Además de la gestión segura de las claves privadas y secretas, se debería

El contenido de los acuerdos de nivel de servicio o de los contratos con los

Sanciones previstas por incumplimiento

El incumplimiento de las disposiciones establecidas por las Políticas de Seguridad

ISO/IEC 27001:2013 e ISO/IEC 27002:2013

También podría gustarte