100% encontró este documento útil (1 voto)

335 vistas114 páginas

Nmx-I-27002-Nyce-2015 - VF

Este documento presenta la Norma Mexicana NMX-I-27002-NYCE-2015, la cual establece un código de buenas prácticas para el control de la seguridad de la información. La norma cancela una versión anterior y fue desarrollada por un subcomité de seguridad TI de NYCE con la participación de varias instituciones. La norma proporciona lineamientos para la gestión de seguridad de la información que pueden ser utilizados por organizaciones públicas y privadas.

Cargado por

Humberto L. Alarcón

Derechos de autor

Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.

Formatos disponibles

Descarga como PDF, TXT o lee en línea desde Scribd

100% encontró este documento útil (1 voto)

335 vistas114 páginas

Nmx-I-27002-Nyce-2015 - VF

Cargado por

Humberto L. Alarcón

Derechos de autor

Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.

Formatos disponibles

Descarga como PDF, TXT o lee en línea desde Scribd

NORMA MEXICANA

NMX-I-27002-NYCE-2015

TECNOLOGÍAS DE LA INFORMACIÓN - TÉCNICAS DE SEGURIDAD

- CÓDIGO DE BUENAS PRÁCTICAS PARA EL CONTROL DE LA
SEGURIDAD DE LA INFORMACIÓN

INFORMATION TECHNOLOGY — SECURITY TECHNIQUES — CODE OF PRACTICE FOR

INFORMATION SECURITY CONTROLS

ESTA NORMA MEXICANA CANCELA A LA NORMA NMX-I-27002-NYCE-2009

PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NYCE, S.C.
COPIA CONTROLADA PARA USO EXCLUSIVO DE KERNEL TECHNOLOGIES GROUP, S.A. DE C.V.
NMX-I-27002-NYCE-2015

PREFACIO

1. Esta Norma Mexicana fue elaborada en el seno del Subcomité de

Seguridad de TI de NYCE, con la participación de las siguientes
Instituciones y Empresas:

- AUREN IBEROAMERICA, S. DE R.L. DE C.V.

- BEST PRACTICES GURUS

GURUS, S.A. DE C.V.

- CREATIVIDAD Y EXPERIENCIA EN TI A.C.

- G-BIZ, S.A. de C.V.

- INTELI, S.C.

- MANCERA S.C. (EY MÉXICO)

- NET AND COMPUTER SERVICES MÉXICO, S.A. DE C.V.

- NIELSEN.

- NORMALIZACIÓN
CIÓN Y CERTIFICACIÓN ELCTRÓNICA S.C.

- SERVICIOS DE VALOR DE TI S.A. DE C.V.

2. Por otra parte, también fue aprobado por las instituciones y empresas que
a continuación se señalan y que conforman el Comité Técnico de
Normalización Nacional de Electrónica y Tecnologías de la Información y
Comunicación de NYCE.

1. ASOCIACIÓN MEXICANA DE EMPRESAS DEL RAMO DE INSTALACIONES

PARA LA CONSTRUCCIÓN, A.C.

2. ASOCIACIÓN MEXICANA DE INTERNET, A.C.

3. ASOCIACIÓN NACIONAL DE INSTITUCIONES DE EDUCACIÓN EN

INFORMÁTICA.

4. ASOCIACIÓN
ÓN NACIONAL DE TELECOMUNICACIONES.

5. ASOCIACIÓN DE PERMISIONARIOS, OPERADORES Y PROVEEDORES DE

LA INDUSTRIA DEL ENTRETENIMIENTO Y JUEGO DE APUESTA EN
MÉXICO, A.C.

6. AUREN IBEROAMERICA S. DE R.L. DE C.V.

7. BEST PRACTICES GURUS

GURUS, S.A. DE C.V.

8. CÁMARA NACIONAL DE LA INDUSTRIA ELECTRÓNICA, DE

TELECOMUNICACIONES Y TECNOLOGÍAS DE LA INFORMACIÓN.

9. COLEGIO DE INGENIEROS EN COMUNICACIONES Y ELECTRÓNICA.

10. COMISIÓN NACIONAL PARA EL USO EFICIENTE DE LA ENERGÍA.

11. DIRECCIÓN GENERAL DE NORMAS.

12. ERICSSON TELECOM, S.A. DE C.V

C.V.

13. GRUPO ADO.

14. INSTITUTO POLITÉCNICO NACIONAL.

15. INSTITUTO MEXICANO DE NORMALIZACIÓN Y CERTIFICACIÓN,

CERTIFICACIÓN A.C.

16. INNOVACIONES TELEMÁTICAS

TELEMÁTICAS, S.A. DE C.V.

17. INTELI, S.C.

18. LEGRAND S.A. DE C.V.

19. ORGANISMO NACIONAL DE NORMALIZACIÓN Y CERTIFICACIÓN DE LA

CONSTRUCCIÓN Y EDIFICACIÓN, S.C.

20. PROCURADURÍA FEDERAL DEL CONSUMIDOR.

21. REDIT.

22. SIEMON.

23. TELEMATICA INNOVO CONTINUO, S.A DE C.V.

24. UNIVERSIDAD AUTÓNOMA METROPOLITANA.

25. UNIVERSIDAD IBEROAMERICANA.

26. UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO.

3. “La entrada en vigor de es

esta
ta norma mexicana será 60 días después de la
publicación de su Declaratoria de Vigencia en el Diario Oficial de la
Federación”.

4. La declaratoria de vigencia de esta Norma Mexicana, se publicó en el

Diario Oficial de la Federación el
el: 14 de abril de 2015.

ÍNDICE DEL CONTENIDO

Páginas

0 Introducción 1

1 objetivo y campo de aplicación 4

2 Referencias 4

3 Términos
érminos y definiciones 5

4 Estructura de Esta Norma Mexicana 5

5 olíticas de seguridad de la información

Políticas 6

6 Organización
ización de la seguridad de la información 8

7 Seguridad
eguridad de los recursos humanos 15

8 Administración
dministración de activos 21

9 Control de acceso 28

10 Criptografía 41

11 Seguridad
eguridad física y ambiental 44

12 Operaciones
peraciones de seguridad 54

13 Seguridad
eguridad en las comunicaciones 68

14 Sistema
istema de adquisición, desarrollo y mantenimiento 75

15 Relación
elación con los proveedores 86

16 Gestión
estión de incidentes de seguridad de la información 93

17 Aspectos
spectos de seguridad de la información d
de
e la gestión de la continuidad 98
del negocio

18 Cumplimiento 102

19 Bibliografía 108

20 Concordancia
oncordancia con normas internacionales 108

Apéndice A 109
(Informativo)
Normas
ormas que complementan a esta norma mexicana.

TECNOLOGÍAS DE LA INFORMACIÓN - TÉCNICAS DE SEGURIDAD

- CÓDIGO DE BUENAS PRÁCTICAS PARA EL CONTROL DE LA
SEGURIDAD DE LA INFORMACIÓN
INFORMACIÓN.

INFORMATION TECHNOLOGY — SECURITY TECHNIQUES — CODE OF PRACTICE FOR

INFORMATION SECURITY CONTROLS.

0 INTRODUCCIÓN
TRODUCCIÓN

0.1 Antecedentes y contexto

Esta Norma Mexicana está diseñada para que las organizaciones la utilicen como
referencia para la selección de los controles en el proceso de implementación de un
Sistema de Gestión de Seguridad de la Información (SGSI) basado en la NMX-I-27001-
NMX
NYCE o como un documento de orientación para las organizaciones de desarrollo sobre
los controles de seguridad de la información comúnmente aceptados.
Esta norma también es destina
destinada para el uso en el desarrollo de la industria y la
organización dando lineamientos específicos de gestión de seguridad de la información,
teniendo en cuenta sus entornos específicos de riesgo de seguridad de la información.
información

Las organizaciones
rganizaciones de todos los tipos y tamaños (incluyendo el sector público y
privado, comercial y sin fines de lucro) recopilan, procesan, almacenan y transmiten
información de muchas formas, incluyendo la forma electrónica, física y verbal (por
ejemplo, conversaciones y presentaciones).

El valor de la información va más allá dde

e las palabras escritas, números e imágenes:
conocimientos, conceptos, ideas y marcas son ejemplos de formas intangibles de la
información. En un mundo interconectado, la información y los procesos relacionados,
los sistemas, las redes y el personal que participan en la operación, el manejo y la
protección, son activos que, como otros activos comerciales importantes, son valiosos
pero no esenciales para los negocios de la organización y por lo tanto merecen o
requieren protección contra diversos peligros.

Los activos son objeto de amenazas, tanto deliberadas como accidentales, mientras
que los procesos relacionados, los sistemas, las redes y las personas tienen
vulnerabilidades inherentes. Los cambios
ambios en los procesos de negocio y sistemas u otros
cambios externos
ternos (por ejemplo, nuevas leyes y reglamentos) pueden crear nuevos
riesgos de seguridad de la información.

Por lo tanto, dada la multitud de formas en que las amenazas p puedenn tomar ventaja
de las vulnerabilidades para dañar a la organización, los riesgo
riesgos
s de seguridad de la
información están siempre presentes. La seguridad de la información eficaz reduce
estos riesgos mediante la protección de la organización frente a las amenazas, las
vulnerabilidades
es y / o impactos a sus activos.

La seguridad de la información
rmación se logra implementando un conjunto adecuado de
controles, incluidas las políticas, los procesos, los procedimientos, las estructuras,
organizacionales y las funciones de
del software y el hardware. Estos controles se deben
establecer, implementar, sup
supervisar,
ervisar, revisar y mejorar, cuando sea necesario, para
asegurar que la seguridad y los objetivos específicos de
del negocio de la organización se
cumplan.

La seguridad de la información
nformación de un Sistema de Gestión de la Información (SGSI),
como el que se especifica
fica en la NMX-I-27001-NYCE tiene un enfoque integral, una
visión coordinada de los riesgos de seguridad de la información de la organización para
implementar un conjunto más amplio de controles de seguridad de la información en el
marco general de un sistema
ema de gestión coherente.

Algunos sistemas de información no se han diseñado para ser seguros en el sentido de

la NMX-I-27001-NYCE y este proyecto de norma
norma.. La seguridad que puede lograrse por
medios técnicos es limitada y debe ser apoyada por una adecuada adecuad gestión y
procedimientos.
La identificación de los controles requiere una cuidadosa planificación y atención a
detalle. Una exitosa gestión de seguridad del sistema de información requiere el apoyo
de todos los empleados de la organización. También puede requerir de la participación
de los accionistas, proveedores u otras partes externas. El asesoramiento de
especialistas de organizaciones externas también puede ser necesario.

En un sentido más general, la eficaz seguridad de la información también asegura

asegu la
gestión y las demás partes interesadas de la organización y que los activos son
razonablemente seguros y están protegidos contra daños, de forma que actúe como un
habilitador de negocios.

0.2 Requisitos de seguridad de la información

Es esencial que una

na organización identifique sus requisitos de seguridad. Existen tres
fuentes principales de requisitos de seguridad:

a) La valoración de riesgos para la organización, teniendo en cuenta la estrategia

de la organización general de la empresa y sus objetivos. A través de una
valoración de riesgos, identificación de amenazas a los activos, la vulnerabilidad
y probabilidad de ocurrencia
ocurrencias y se evalúa el impacto potencial de su uso;

b) Los requisitos legales, estatutos reglamentarios y contractuales de una

organización,
ión, sus socios comerciales, contratistas y proveedores de servicios
tienen que satisfacer
facer su entorno socio
socio-cultural;

c) El conjunto de principios, objetivos y requisitos de

del negocio para el manejo de la
información, el procesamiento, el almacenamiento, la comunicación
omunicación y el archivo
de la información que una organización ha desarrollado para apoyar sus
operaciones.

Los recursos utilizados en los controles de aplicación necesitan ser equilibrados con
el daño comercial que pueda resultar de los problemas de segseguridad
uridad en la ausencia
de esos controles. Los resultados de una valoración de riesgos ayudan a guiar y
determinar las acciones y prioridades para la gestión de riesgos de seguridad de la
información y para la implementación de los controles seleccionados para pa
protegerse contra estos riesgos.

La NMX-I-27005-NYCE proporciona orientación sobre la gestión de riesgos de

seguridad de la información, incluido el asesoasesoramiento sobre la valoración de
riesgos,, el tratamiento de riesgos, la aceptación de riesgos, la comunicación
municación de
riesgos, el control de riesgos y la evaluación de riesgos.

0.3 Selección de los controles

Los controles pueden ser seleccionados de Esta Norma Mexicana o de otros conjuntos
de control, o nuevos controles pueden ser diseñados para satisfacer las necesidades
específicas, según se requiera.

La selección de controles de seguridad depende de decisiones de la organización sobre

la base de los criterios de aceptación del riesgo, las opciones de tratamiento del riesgo
y el enfoque general de gestión de dell riesgo que se aplica a la organización, y también
debe estar sujeto a la legislación nacional pertinente y los reglamentos.

La selección de controles también depende de la manera en que interactúan y así

proporcionarlos para una defensa profunda. Algunos os de los controles en Esta Norma
Mexicana pueden ser considerados como principios rectores para la administración de
la seguridad de la información y aplicable para la mayoría de las organizaciones. Los
controles se explican a detalle a continuación junto con orientaciones de su aplicación.
Para másás información sobre la selección de los controles y otras opciones de
tratamiento de riesgos se pueden encontrar en la NMX-I-27005-NYCE.

0.4 Desarrollo de sus propios lineamientos

Esta Norma Mexicana puede ser cons considerada como un punto de partida para la
elaboración de lineamientos específicos de la organización. No todos los controles y la
orientación en este código de buenas prácticas pueden ser aplicables.
Además, los controles y lineamientos adicionales no incluidos en Esta Norma Mexicana
pueden ser requeridos. Cuando los documentos se elaboran con lineamientos o
controles adicionales, puede ser útil incluir referencias a llos capítulos del presente
Proyecto de Norma Mexicana cuando corresponda, para facilitar la verificación del
cumplimiento por parte de los auditores y socios comerciales.

0.5 Consideraciones del ciclo de vida

La información tiene un ciclo de vida natural, desde la creación y origen a través del
almacenamiento, procesamiento, uso y transmisión a su eventual destrucción o
deterioro. El valor y los riesgos para los activos puede variar en su vida (por ejemplo,
la divulgación no autorizada o el robo de las cuentas financieras de una empresa es
mucho menos significativo después de que hayan sido formalme
formalmente
nte publicados), pero
la seguridad de la información sigue siendo importante hasta cierto punto, en todas las
etapas.

Los sistemas de información tienen ciclos de vida dentro de llos

s cuales se conciben, se
especifican, son diseñados, desarrollados, probados,
s, implementados y utilizados para
darles mantenimiento y eventualmente pueden ser retirados del servicio y ser
eliminados. La seguridad de la información debe tenerse en cuenta en todas las
etapas. Los nuevos desarrollos del sistema y los cambios a los si sistemas
stemas existentes
presentan oportunidades a las organizaciones para actualizar y mejorar los controles
de seguridad, teniendo incidentes reales y los riesgos actuales de la seguridad de la
información ya proyectados para tomarse en cuenta.

0.6 Normas relaciona

relacionadas

Aunque Esta Norma Mexicana ofrece orientación sobre una amplia gama de controles
de seguridad de la información que normalmente se aplican en muchas organizaciones,
las partes restantes de la norma NMX-I-27000-NYCE y de la familia de normas
complementarias,
arias, asesoran sobre los requisitos de otros aspectos del proceso general
de administración de seguridad de la información.

NYCE para una introducción general a los dos Sistemas de

Consulte a la NMX-I-27000-NYCE
Gestión de Seguridad
eguridad de la Información y de la familia de normas. La NMX-I-27000-
NMX
NYCE proporciona un glosario, define formalmente la mayoría de los términos técnicos
utilizados en la familia de normas NMX-I-27000-NYCE, y describe el alcance y los
objetivos para cada miembro de la familia.

1 OBJETIVO Y CAMPO DE APLICACIÓN

Esta Norma Mexicana proporciona lineamientos para las normas de seguridad de la

información y prácticas de gestión de seguridad de la información, incluyendo la
selección, implementación y administración de los controles, teniendo en cuenta el(los)
entorno(s) de riesgos de seguridad de la información de la organización.

Esta Norma Mexicana está diseñada para ser utilizado por las organizaciones que
pretenden:

a) Seleccionar
eleccionar los controles dentro del proceso de impl
implementación
tación de un Sistema
Siste
de Gestión de Seguridad de la Información basado en la NMX-I-27001
27001-NYCE;

b) Implementar controles de seguridad de la información generalmente aceptadas;

esarrollar sus propios lineamientos de gestión seguridad de la información.

c) Desarrollar

2 REFERENCIAS

Para la correcta aplicación de Esta Norma Mexicana se requiere consultar las siguientes
Normas Mexicanas vigentes o las que las sustituyan
sustituyan:

NMX-I-27000-NYCE-2014 Tecnologías de la información – Técnicas

de seguridad – Sistemas
istemas de gestión de la
seguridad de la información – Requisitos.

NMX-I-27001-NYCE-2015 Tecnologías
ecnologías de la información – Técnicas
de seguridad – Sistemas
istemas de gestión de
seguridad de la información – Requisitos.

NMX-I-27005-NYCE-2011 Tecnologías de la información – Técnicas

de seguridad – Gestión ón del riesgo en
seguridad de la información.

3 TÉRMINOS Y DEFINICIONES

Para los propósitos de Esta Norma Mexicana se aplican las definiciones que se indican
en la NMX-I-27000-NYCE.

4 ESTRUCTURA DE ESTA NORMA MEXICANA

Esta Norma Mexicana contiene 14 c capítulos de control de seguridad en conjunto con un

total de 35 categorías principales de seguridad y 113 controles.

4.1 Capítulos

Cada capítulo define los controles de seguridad que contiene una serie de categorías
principales de seguridad.

El orden de los capítulos del presente Proyecto de Norma Mexicana no implica su

importancia. Dependiendo de las circunstancias, los controles de seguridad de
cualquiera o de todos los s c
capítulos pueden ser importantes, por lo tanto, cada
organización que aplique Esta Norma Mexicana debe identificar los controles aplicables,
lo importante que son y su aplicación a los procesos de
del negocio individuales.
individua Además,
las listas de Esta Norma Mexicana no están en orden de prioridad.

4.2 Categorías de controles

Cada categoría principal de control de seguridad contiene:

a) Un
n objetivo de control que indica lo que se ha logrado; y

b) Uno
no o más controles que se pueden aplicar para alcanzar el objetivo del control.

Las descripciones de control están estructuradas de la siguiente manera:

Control
Define la declaración del control específico, para satisfacer el objetivo de control.

Guía de implementación
Proporciona información más detallada para apoyar la implementación del control y el
cumplimiento de los objetivos de control. La guía puede no ser totalmente adecuada o
suficiente en todas las situaciones y puede no cumplir con los requisitos específicos de
control de la organización.

Otra información
Proporciona información adicional que puede ser necesario considerar, por ejemplo, las
consideraciones
raciones legales y referencias a otras normas. Si no hay ninguna otra
información que proporcione no se muestra esta parte.

5 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

5.1 Políticas de seguridad de la información

Objetivo: Proporcionar dirección gerencia

gerenciall y apoyo para la seguridad de la información
de acuerdo con los requisitos del negocio y las leyes y regulaciones relevantes.

5.1.1 Políticas de seguridad de la información

Control
Se debe definir, aprobar por la dirección, publicar y comunicar a todos los empleados
em y
partes externas relevantes un conjunto de políticas para la seguridad de la
información.

Guía de implementación
Es recomendable que all más alto nivel, las organizaciones defin
definan una "política de
seguridad de la información", que sea aprobada por la dirección y que establezca el
enfoque de la organización para la administración de los objetivos de seguridad de la
información.

Se recomienda que las as políticas de seguridad de la información aborden

abord las
necesidades creadas por:

a) La estrategia de negocios;
ocios;

b) Ell reglamento, la legislación y los contratos;

c) El entorno actual y pronóstico de las amenazas de seguridad de la información

Es conveniente que la
a política de seguridad de la información conten
contenga declaraciones
relativas a:

a) La
a definición de segur
seguridad
idad de la información, objetivos y principios para orientar
todas las actividades relacionadas con la seguridad de la información;

b) Asignación
signación de las responsabilidades generales y específicas para la gestión de
seguridad de la información a los roles defi
definidos;

c) Procesos
rocesos para manejar las desviaciones y excepciones.

En un nivel inferior, se sugiere que la política de seguridad de la información sea

apoyada por políticas de temas específicos
específicos, que además de exigir la implementación de
los controles de seguridad
dad y estén comúnmente estructuradas para atender las
necesidades de determinados grupos dentro de una organización o para cubrir ciertos
temas.

Ejemplos de temas para esas políticas incluyen

incluyen:

a) Control de acceso (véase capítulo 9);

b) Información de clasificación
cación y manejo (véase el inciso 8.2);

c) Seguridad física (véase el capítulo 11);

d) Temas orientados a los usuarios finales tales como:

1) Uso aceptable de los activos ((véase el subinciso 8.1.3);

2) Escritorio y pantalla limpios ((véase el subinciso 11.2.9);

nsferencia de información ((véase el subinciso 13.2.1);

3) Transferencia

4) Dispositivos móviles y teletrabajo (véase el inciso 6.2);

5) Restricciones de instalación y uso de software (véase

véase el subinciso 10.6.2);

e) Respaldos (véase inciso 12.3);

f) Transferencia de información (vé

(véase inciso 13.2);

g) Protección contra el malware (ver inciso 12.2);

h) Gestión de vulnerabilidades técnicas ((véase el subinciso 12.6.1);

i) Controles criptográficos (ver el capítulo 10);

j) Comunicaciones de seguridad (ver el capítulo 13);

k) Privacidad y protecció
protección de la información de identificación personal (ver
subinciso 18.2.4);

l) Relaciones con los proveedores (véase capítulo 15).

stas políticas se comuni

Se recomienda que estas comuniquen a los empleados y partes externas
pertinentes de forma que sea relevante, accesible y comprensible para el lector, por
ejemplo, en el contexto de un ""programa
programa de capacitación, educación y concientización
de seguridad de la información" (ver subinciso 7.2.2).

Otra información
La necesidad de políticas internas de seguridad de la informac
información
ión varía entre las
organizaciones. Las políticas internas son especialmente útiles en las organizaciones
más grandes y complejas, donde llos s que definen y aprueban los niveles esperados del
control están separados s de llos que implementan los controles o en situaciones en que
una política se aplica a muchas personas diferentes o funciones en la organización. Las
políticas de seguridad de la información se puede pueden emitir en un solo documento
llamado "política de seguridad de la información", o como un conjunto de documentos
individuales, pero relacionad
relacionados.

Si cualquiera de las políticas de seguridad de la información se distribuye fuera de la

organización, se recomienda tener cuidado de no revelar información confidencial.
Algunas organizaciones utilizan otros términos para estos documentos de política,
como son "normas", "lineamientos" o "reglas".

5.1.2 Revisión de políticas de seguridad de la información

Las políticas de seguridad de la información deben revisarse a intervalos planeados o si

ocurren cambios significativos
ificativos para garantizar su continua idoneidad, adecuación y
eficacia.

Guía de implementación
Se recomienda que cada ada política tenga un propietario quien ha aprobado la
responsabilidad de gestión para el desarrollo, revisión y evaluación de las políticas.
políticas Se
sugiere que la revisión incluya la evaluación de oportunidades de mejora de las
políticas de la organización y el enfoque de la gestión de seguridad de la información
en respuesta a los cambios en el entorno organizacional, las circunstancias, las
condiciones legales del negocio o el entorno técnico.

Es recomendable que la a revisión de las políticas de seguridad de la información tomen

en cuenta los resultados de las revisiones por la dirección. Es aconsejable obtener la
aprobación de la dirección de u
una política revisada.

6 ORGANIZACIÓN DE LA SEGURIDAD DE LA
INFORMACIÓN

6.1 Organización interna

Objetivo: Establecer un marco de gestión para iniciar y controlar la implementación de

la seguridad de la información dentro de la organización.

6.1.1 Roles y responsa

responsabilidades
bilidades de seguridad de la información

Control
Todas las responsabilidades de seguridad de la información deben definirse
defini y
asignarse.

Guía de implementación
Es recomendable que la a asignación de las responsabilidades de seguridad de la
información se realice de acuerdo con las políticas de seguridad de la información (ver
subinciso 5.1.1). Es aconsejable que se identifiquen las as responsabilidades para la
protección de los activos individuales, y para llevar a cabo procesos específicos de
seguridad. Se recomienda
comienda que se definan llas
as responsabilidades para las actividades de
la gestión de riesgos de seguridad de la información y en particular para la aceptación
del riesgo residual. Es recomendable que e estas responsabilidades se complementen,
complementen
cuando se requiera con una directriz más detallada para sitios específicos e
instalaciones de procesamiento de la información.

Se recomienda definir las responsabilidades locales para la protección de los activos y

para llevar a cabo procesos específicos de seguridad.

Las
as personas con responsabilidades de seguridad de la información asignadas pueden
delegar tareas de seguridad a otros.. Sin embargo siguen siendo responsables y es
aconsejable que determinen
en si las tareas delegadas se han realizado correctamente.

Se sugiere indicar las áreas en las cuales las personas son responsables. En particular,
se recomienda llevar a cabo lo siguiente:

a) Identificar y definir lo
los
s activos y procesos de seguridad de la información;

a entidad responsable de cada activo o proces

b) Asignar la procesoo de seguridad y
documentar los detalles de esta respo
responsabilidad (véase el subinciso 8.1.2);

c) Definir y documentar llos niveles de autorización;

d) Para
ara poder cumplir con sus responsabilidades las personas asignadas en el área
de seguridad de la información se recomienda sean competentes en el área y
tener la oportunidad de mantenerse al día con los desarrollos;

e) Identificar y documentar la coordinación y supervisión de los aspectos de

seguridad de la información de las relaciones con proveedores.

Otra información
En muchas organizaciones, un gerente de seguridad de la información es designado
para asumir la responsabilidad general para el desarrollo y la implementación de la
seguridad de la información y para apoyar la identificación de los controles.
controles

Sin embargo,
mbargo, la responsabilidad de los recursos y la implementación de los
controles, frecuentemente permanecen con gerentes particulares.
es. Una práctica
común es nombrar a un propietario para cada activo que se convierte en
responsable de su protección día a día
día.

6.1.2 Segregación de tareas

Control
Las tareas en conflicto y áreas de responsabilidad deben segregarse para reducir las
oportunidades de modificación no autorizada, no intencional o mal uso de los activos
de la organización.

Guía de implementación
Se recomienda tener cuidado de que ninguna persona pueda acceder, modificar o
utilizar los activos sin autorización o detección. Es aconsejable que ell inicio de un
evento sea separado de su autorización. Es s aconsejable se considere en el diseño de
los controles la posibilidad de confabulación.. Las organizaciones pequeñas pueden
encontrar difícil conseguir la segregación de responsabilidades, pero el principio debe
aplicarse en la medida de lo posible y practicarse. Donde sea difícil segregar es
recomendable se consideren en otros controles como el control de las actividades, pistas
de auditoría y supervisión de la gestión.

Otra información
La segregación de funciones es un método para reducir el riesgo de mal uso accidental
o deliberado de los activos de una organización.

6.1.3 Contacto con autoridades

Control
Se deben mantener contactos apropiados con las autoridades relevantes.

Guía de implementación
Se recomienda que lasas organizaciones cuenten con procedimientos que especifiquen
especifi
cuándo y por quién deben ser contactadas las autoridades (por ejemplo, la policía,
organismos reguladores, o las autoridades supervisoras)) y cómo identificar los
incidentes de seguridad de la información y sean reportados de manera oportuna (por
ejemplo, si se sospecha que se pudo haber quebrant
quebrantado la ley).

Otra información
Las organizaciones que hayan
ayan sido atacadas a través de iinternet
nternet pueden necesitar de
autoridades para tomar medidas en contra de la fuente de ataque.

El mantenimiento de estos contactos puede ser un requisito para apoyar la gestión de

incidentes de seguridad de la información (véase el capítulo 16) o la continuidad del
negocio y el proceso de planificación de contingencia (ver capítulo 17). Los contactos
con los organismos reguladores también son útiles para anticipar y prepa
prepararse
rarse para los
cambios futuros en las leyes o reglamentos, que tienen que implementarse por la
organización.

Los contactos con otras autoridades incluyen servicios de emergencia, los proveedores
de electricidad, de salud y seguridad, por ejemplo, departa
departamentos
mentos de bomberos (en
relación con la continuidad del negocio), proveedores de telecomunicaciones (en
relación con el enrutamiento de línea
líneas y disponibilidad) y los proveedores de agua (en
relación con las instalaciones de equipos de acondicionamiento).

6.1.4 Contacto con grupos de especial interés

Control
Deben mantenerse los contactos apropiados con los grupos de interés especial u otros
foros de seguridad especializados y asociaciones profesionales.

Guía de implementación
a pertenencia a lo
Se recomienda la los
s grupos de intereses especiales o foros como un
medio para:

crecentar el conocimiento sobre las mejores prácticas y estar al día con la

a) Acrecentar
información de seguridad pertinente;

segurar que la comprensión del ambiente de seguridad de la información es

b) Asegurar
actual y completo;

c) Recibir
ecibir notificaciones oportunas de alertas, avisos y revisiones relativas a los
ataques y vulnerabilidades;

d) Tener
ener acceso al asesoramiento experto en seguridad de la información;

e) Compartir
ompartir e intercambiar información sobre las nuevas tecno
tecnologías,
logías, productos,
amenazas o vulnerabilidades,

f) Proporcionar
roporcionar puntos de enlace adecuados cuando se trat
traten incidentes de
seguridad
ad de la información (véase el c
capítulo 16).

Otra información
Los acuerdos de intercambio de información se pueden establecer para mejorar la
cooperación y coordinación de las cuestiones de seguridad. Es recomendable que estos
acuerdos identifiquen requisitos para la protección de la información confidencial.

6.1.5 Seguridad de la información en la gestión de proyectos

Control
La seguridad
uridad de la información debe incluirse en la administración de proyectos,
independientemente del tipo de proyecto.

Guía de implementación
Es aconsejable que laa seguridad de la información se integre en los métodos
método de la
organización para la gestión del p proyecto(s)
royecto(s) para asegurar que los riesgos de
seguridad de la información son identificados y tratados como parte del proyecto. Esto
se aplica en general a cualquier proyecto independientemente de su fin,, por ejemplo,
un proyecto para un proceso de negocio p principal,
rincipal, TI, gestión de instalaciones y otros
procesos de apoyo.

Se recomienda que los

os métodos de gestión de proyectos en uso exijan que:

a) Los
os objetivos de seguridad de la información se incluyan
n en los objetivos del
proyecto;

b) Una valoración de los rie

riesgos de seguridad de la información se lleve
llev a cabo en
una fase temprana del proyecto para identificar los controles necesarios;

a seguridad de la información s
c) La sea parte de todas las fases de la metodología
del proyecto aplicada..

Es recomendable que las implicaciones de seguridad de la información sean tratadas y

revisadas
s periódicamente en todos los proyectos. Se sugiere que las
as responsabilidades
de seguridad de la información se definan y asignan para especificar los roles
declarados en los métodos de gestión de proyectos.

6.2 Dispositivos
ispositivos móviles y teletrabajo

Objetivo: Garantizar la seguridad del teletrabajo y el uso de dispositivos móviles

6.2.1 Política de dispositivos móviles

Control
Se debe adoptar una política y medidas de seguridad de soporte para gestionar
ge los
riesgos introducidos por el uso de dispositivos móviles.

Guía de implementación
Se recomienda que cuando
uando se utilizan dispositivos móviles, se tenga especial cuidado
para asegurarse de que la información de negocio no se vea comprometida. Es
recomendable que la a política de dispositivos móviles tome en cuenta los riesgos de
trabajar con dispositivos móviles en entornos desprotegidos.
Se sugiere que la
a política de dispositivo
dispositivos móviles tome en cuenta:

a) El registro
egistro de dispositivos móviles;

b) Los requisitos
isitos de protección física;

estricción de la instalación de software;

c) La restricción

d) Los requisitos para las versiones de software de dispositivos móviles y la

aplicación de parches;

e) La restricción
estricción de la conexión a los servicios de información;

f) Los controles de acceso;

g) Las técnicas
écnicas criptográficas;

h) La protección
rotección contra el malware;

i) La desactivación
esactivación remota, supresión o bloqueo;

j) Los respaldos;

so de los servicios y aplicaciones web.

k) El uso

Se sugiere tener cuidado al usar dispositivos móviles en lugares públicos, salas de

reuniones y otras áreas no protegidas. Se recomienda que la a protección este
implementada para evitar el acceso no autorizado o la divulgación de la información
almacenada y procesada por estos dispositivos, por ejemplo, utilizar técnicas
criptográficas (véase el capítulo 10) y hacer cumplir el uso de la información de
autenticación secreta (ver el subinciso 9.2.3).

Es recomendable que los os dispositivos móviles también estén físicamente protegidos

contra robo en especial cuando se dejen, por ejemplo, lo, en los automóviles y otro tipo
de transportes, habitaciones de
del hotel, centros de conferencias y puntos de reunión. Se
sugiere establecer un procedimiento específico que tome en cuenta requisitos legales,
el seguro y otros requisitos de seguridad de lla a organización para casos de robo o
pérdida de los dispositivos móviles. Se recomienda que los os dispositivos que lleven
llev
información importante, de negocios crítica o sensible no se dejen desatendidos y,
cuando sea posible, deben estar físicamente bloqueados o con mecanismos de bloqueo
especiales que sean utilizados
dos para asegurar los dispositivos.
Se sugiere se programe capacitación p para personal que utiliza los dispositivos móviles
para aumentar su concienciación sobre los riesgos adicionales derivados de estaes forma
de trabajo y de los controles que se necesitan implementar.

Cuando la política de dispositivos móviles permite el uso de dispositivos móviles de

propiedad privada, se recomienda que la política y las medidas relacionadas con la
seguridad consideren:

a) La separación de los dispositivos de uso privado y de negocios, incluyendo el

uso de software para apoyar dicha separación y proteger los datos
empresariales en un dispositivo privado;

b) Proporcionar el acceso a la información del negocio solo después de que los

usuarios han firmado un acuerdo de usuario final y han reconocido sus
obligaciones (protección física, actualización de software, etc.), renuncia a la
propiedad de los datos de
del negocio, permitiendo el borrado remoto de datos por

la organizaciónn en caso de robo o pérdida del dispositivo o cuando ya no esté

autorizado a utilizar el servicio. Esta política necesita tomar en cuenta la
legislación de privacidad.

Otra información
Las conexiones inalámbricas de dispositivos móviles son similares a otros
ot tipos de
conexión de red, pero tienen diferencias importantes que necesitan considerarse
cuando se identifican controles
controles. Las diferencias típicas son:

a) Algunos
lgunos protocolos de seguridad inalámbrica son inmaduros y tienen
debilidades conocidas;

b) La información
ación almacenada en los dispositivos móviles pueden no estar
respaldados por el ancho de banda limitado y / o porque los dispositivos
móviles no se pueden conectar en los tiempos en que losos respaldos son
programados.

Los dispositivos móviles generalmente comparten funciones comunes, por ejemplo,

redes, acceso a internet,
nternet, correo electrónico y gestión de archivos,, con los dispositivos
de uso fijos. Los controles de seguridad de la información de los dispositivos móviles
en general, constan de aquellos aprobados para los dispositivos
vos de uso fijo y son esos
que atienden las amenazas que plantean su uso fuera de llas as instalaciones de la
organización.

6.2.2 Teletrabajo

Control
Se debe implementar una política y medidas de seguridad de soporte para proteger el
acceso, proceso o almacenamiento de la información en los sitios de teletrabajo.

Guía de implementación
Las organizaciones que permiten las actividades de teletrabajo se sugiere emitan una
política que defina las condiciones y restricciones de uso de
del teletrabaj
trabajo. Cuando se
considere aplicable y lo permit
permita la ley, se recomienda considerar los siguientes
aspectos:

a) Tener
ener en cuenta la seguridad física existente del sitio de teletrabajo
o tomando en
cuenta la seguridad física del edificio y el entorno local.

b) Entorno físico propuesto para el teletrabajo;

c) Requisitos
equisitos de seguridad para las comunicaciones, teniendo en cuenta la
necesidad de acceso remoto a los sistemas internos de la organización, la
sensibilidad de la información a la que se puede acceder y pasar sobre el enlace
de comunicación y la sensibilidad del sistema interno;

d) Proporcionar el acceso desde el escritorio virtual que prevenga el procesamiento

y almacenamiento de información sobre el equipo de propiedad privada;

e) La amenaza
menaza de acceso no autorizado a información o recursos de otras
personas que utilizan el espacio, por ejemplo, familia y amigos;

f) Uso
so de redes domésticas y requisitos o restricciones para la configuración de
servicios de red inalámbrica;

g) Políticas
olíticas y procedimientos para prevenir las cont
controversias
roversias relativas a derechos
de propiedad intelectual desarrollada en los equipos de propiedad privada;

h) Acceso
cceso a los equipos de propiedad privada (para verificar la seguridad de la
máquina o durante la investigación), que puede ser prevenida por la legislación;
legi

i) Acuerdos
cuerdos de licencia de
del software de aquellas que las organizaciones pueden
llegar a ser responsable dedel licenciamiento del software del cliente en las
estaciones de trabajo de propiedad privada de los empleados o los usuarios
externos;

os de protección de antivirus y firewall.

j) Requisitos

Se recomienda que los

os lineamientos y disposiciones considerados incluyan
an:

a) Ell suministro de equipo adecuado y dispositivos de almacenamiento para las

actividades de teletrabajo
teletrabajo, donde el uso de los equipos de propiedad
iedad privada
que no están bajo el control de la organización no est
esté permitido;

b) Definición
efinición del trabajo permitido, horas de trabajo, clasificación de la
información que pueda llevarse a cabo y los sistemas internos y servicios que el
trabajador remoto est
esté autorizado a acceder;

c) Suministro
uministro adecuado de equipo de comunicación, incluyendo métodos para
asegurar el acceso remoto;

d) Seguridad física;

ormas y lineamientos sobre el acceso al grupo, al equipo visitante y a la

e) Normas
información;

uministro y mantenimie
f) Suministro mantenimiento de hardware y software;

g) Provisión
rovisión de seguros;

h) Procedimientos
rocedimientos de respaldos y continuidad de
del negocio;

i) Auditoría
uditoría y supervisión de la seguridad;

j) Revocación
evocación de los derechos de la autoridad y acceso, y la devolución del equipo
cuando se terminan las act
actividades del teletrabajo.

Otra información
El teletrabajo se refiere a todas las formas de trabajo fuera de la oficina, incluyendo
entornos de trabajo no tradicionales, tales como los denominados ""trabajotrabajo remoto",
remoto
"lugar de trabajo flexible", "trabajo a d
distancia"
istancia" y entornos "virtuales de trabajo".

7 SEGURIDAD EN LOS RECURSOS HUMANOS

7.1 Previo all empleo

Objetivo: Asegurar que los empleados y contratistas comprendan sus

responsabilidades y son adecuados para los roles para los cuales son considerados.
considerados

7.1.1 Investigación

Control
Se deben llevar a cabo verificaciones de antecedentes a todos los candidatos al empleo
de acuerdo con las leyes, regulaciones relevantes y la ética, y deben ser
proporcionales a los requisitos del negocio, la clasificación de la informa
información
ción a la que se
accede
ede y los riesgos percibidos
percibidos.

Guía de implementación
Se sugiere que la a verificación tome en cuenta toda la privacidad pertinente,
pertinente la
protección de los datos personales y / o legislación basada en el empleo, y cuando esté
permitido, incluir
luir los siguientes puntos:

a) Disponibilidad
isponibilidad de referencias de carácter satisfactorio, por ejemplo, de trabajos
anteriores y personales;

b) Constatación
onstatación (para la integridad y exactitud) de
del currículum vitae del
solicitante;

c) Confirmación
onfirmación de títulos académicos y profesionales;

d) Verificación
erificación de la identidad independiente (pasaporte o documento similar);

erificación más detallada, como revisión de crédito o revisión de antecedentes

e) Verificación
penales.

Cuando una persona es contratada para un rol específico de seguridad de d la

información, es recomendable que las organizaciones se aseguren de que el candidato:

a) Tiene
iene la competencia necesaria para desempeñar la función de seguridad;

b) Se
e puede confiar para asumir el rol, especialmente si el rol es crítico para la
organización.

Cuando un trabajo, en la entrevista inicial o bien en la promoción implique

impli que la
persona tenga acceso a las instalaciones de procesamiento de la información, y, en
particular, si estos son de tratamiento de información confidencial, por ejemplo,
información
rmación financiera o información altamente confidencial, es recomendable que la
organización también consider
considere además de lo anterior, una verificación más detallada.

Se recomienda que los os procedimientos defin

definan los criterios y limitaciones para las
la
verificaciones por ejemplo, qui
quién es elegible para seleccionar cómo, cuándo y por qué
de las verificaciones sin llevaron a cabo.

Se sugiere unn proceso de selección también garanti

garantice la selección de contratistas.
contratistas En
estos casos, el acuerdo entre la organización y la parte externa se recomienda
especifique las responsabilidades para llevar a cabo la selección y los procedimientos
de notificación que necesitan seguir si la selección no se ha terminado o si los
resultados son motivo de duda o preocupación.

Se recomienda que la a información sobre todos los candidatos considerados para

puestos dentro de la organización se recopile y trate de acuerdo con la legislación
apropiada existente en la jurisdicción correspondiente. Dependiendo de la legislación
aplicable, se sugiere que los candidatos sean informados de antemano acerca de las
actividades de selección.

7.1.2 Términos y condiciones del empleo

Control
Los acuerdos contractuales con los empleados y contratistas deben indicar sus
responsabilidades y las de la organizació
organización
n para la seguridad de la información.
información

Guía de implementación
Es recomendable que las as obligaciones contractuales de los empleados o contratistas
reflejen la política de seguridad de la organización, además de aclarar y declarar:

a) Que
ue todos los empleados y contratistas que se les da acceso a la información
confidencial necesitan firmar un acuerdo de confidencialidad o de no divulgación
antes de que se les dé acceso al procesamiento de información (ver el subinciso
13.2.4);

b) Derechos y responsabilidades leglegales

ales del contratista y empleado. Por ejemplo
Con respecto
especto a las leyes de derechos de autor o de la legislación de protección
de datos (ver el subinciso 18.2.4);

esponsabilidades para la clasificación de la información y la gestión

c) Responsabilidades gestió de los
activos de la organización
rganización relacionados con la información, instalaciones de
procesamiento de la información y servicios de información utilizados por el
empleado o contratista (ver el capítulo 8);

d) Las
as responsabilidades del empleado o contratista para el manejo de la
información
formación recibida de otras empresas o partes externas;

e) Acciones
cciones a tomar si el empleado o contratista no toma en cuenta los requisitos
de seguridad de la organización ((véase el subinciso 7.2.3).

Se sugiere que los

os roles y responsabilidades de seguridad d de
e la información se
comuniquen a los candidatos durante el proceso de pre
previo al empleo.
Se recomienda que la a organización se asegure de que los empleados y usuarios
externos estén de acuerdo con los términos y condiciones en materia de seguridad de
la información
rmación de acuerdo a la naturaleza y grado de acceso que ttienen a los activos de
la organización relacionados con los sistemas y servicios de información.
Donde sea apropiado, se sugiere que las responsabilidades contenidas dentro de los
términos y condiciones del empleo continúen durante un cierto periodo después del fin
del empleo (véase el inciso 7.3).

Otra información
Un código de conducta puede ser utilizado para cubrir la responsabilidad del empleado
o del contratista respecto a la confidencialidad, pprotección
rotección de datos, ética, el uso
adecuado de los equipos de la empresa y las instalaciones
instalaciones, así como las prácticas de
buena reputación esperados por la empresa. La parte externa, con la que un contrista
está asociado,, puede ser requerirse para celebrar acuerdos uerdos contractuales en
representación de la persona contratada.

7.2 Durante el empleo

Objetivo: Asegurar que los empleados y contratistas estén conscientes de y cumplan

con sus responsabilidades de seguridad de la información.

7.2.1 Responsabilidades
esponsabilidades de la Dirección

Control
La dirección debe exigir a todos los empleados y contratistas aplicar la seguridad de la
información de acuerdo con las políticas y procedimientos establecidos de la
organización.

Guía de implementación
Es recomendable que las responsabilida
responsabilidades de la dirección incluya la garantía de que
los empleados y contratistas:

a) Estén
stén debidamente informados sobre sus roles y responsabilidades de
seguridad antes de ser concedido el acceso a la información confidencial o de
los sistemas de información;

b) Se les proporcionen los lineamientos de las expectativas de seguridad y de su

s
rol dentro de la organización;

c) Estén motivados para cumplir con las políticas de seguridad de la información

de la organización;

ograr un nivel de conciencia en materia de se

d) Lograr seguridad relevante a sus roles y
responsabilidades dentro de la organización (véase el subinciso 7.2.2);

umplir con los términos y condiciones de

e) Cumplir del empleo, que incluye la política de
información de seguridad de la empresa y los métodos adecuados de trabajo;
trabajo

f) Mantener
antener las habilidades y aptitudes apropiadas y sean capacitados de manera
regular;

g) Se les proporcionen un canal de denuncia anónima para reportar violaciones de

las políticas de seguridad de la información o procedimientos (“denuncia
(“ de
irregularidades”).

Se recomienda que la dirección demuestre el apoyo a las políticas de seguridad de la

información, procedimientos y controles y actúe como un modelo a seguir.

Otra información
Si los empleados y contratistas no son conscientes de sus responsabilidades
responsabilida en la
seguridad de la información, pueden causar un daño considerable a la organización.

Personal
ersonal motivado es igual a que sean más confiables y caus
causen
n menos incidentes en la
seguridad de la información.

Una dirección pobre puede provocar que el person

personal
al se sienta devaluado resultando en
un impacto negativo a la seguridad de la información de la organización. Por ejemplo,
una dirección pobre puede llevar a que la seguridad de la información se descuide o se
tenga un mal uso en los activos de la organiza
organización.

7.2.2 Concientización, educación y capacitación en seguridad de la

información

Control
Todos los empleados de la organización y, cuando sea relevante, contratistas deben
recibir concientización, educación y capacitación apropiada y actualizaciones regulares
regul
de políticas y procedimientos organizacionales, como sea relevante para sus funciones
de trabajo.

Guía de implementación
Se recomienda un n programa de concientización en seguridad de la información que
tenga como objetivo hacer que los empleados y, contratistas estén conscientes de sus
responsabilidades en materia de seguridad de la información y de los medios por los
que estas responsabilidades son dadas de alta.

El programa de concientización para la seguridad de la información es recomendable se

establezca en concordancia con las políticas de seguridad de la información de la
organización y los procedimientos pertinentes, teniendo en cuenta la información de la
organización que se protege y los controles que se han implementado para proteger la
información.
rmación. El programa de concientización se sugiere incluya una serie de
actividades de concientización
ción,, tales como campañas (por ejemplo, un “día de
seguridad de la información”) y emisión de folletos y boletines.

Se recomienda que ell programa de concientización se planifique teniendo en cuenta los

l
roles de los empleados de la organización, y, en donde sea relevante,, las expectativas
de la organización para concientizar a los contratistas. Es recomendable que las l
actividades del programa de concientización se programe con tiempo, de preferencia
con regularidad, de manera que las actividades se repitan y cubran n a los nuevos
empleados y contratistas. Se sugiere que e el programa de concientización también se
actualice regularmente para que se mantenga en concordancia con las políticas y
procedimientos de la organización, y se base en las lecciones aprendidas de incidentes
de seguridad de la información.

Es recomendable que la concientización se realice según lo requiera el programa de

seguridad de la información
ión de la organizaci
organización. La concientización puede utilizar
distintos medios de entrega, incluyendo capacitación presencial, a distancia, basada en
la web, de forma autodidacta y otros.

Se recomienda que la educación y capacitación en seguridad de la información,

inform cubra
aspectos generales, tales como:

a) Afirmar el compromiso de la dirección de seguridad de la información en toda la

organización;

b) La necesidad
ecesidad de conocer y cumplir con las reglas de seguridad de la información
y las obligaciones, tal como se defdefinen
inen en las políticas, normas, leyes,
reglamentos, contratos y acuerdos
acuerdos;

c) La rendición de cuentas del personal por sus acciones y omisiones, y las

responsabilidades generales hacia la seguridad o protección de la información
que pertenece a la organizació
organización y las partes externas;

rocedimientos básicos de seguridad de la información (por ejemplo, la

d) Los procedimientos
notificación de incidentes de seguridad de la información) y los controles base
(como la contraseña de seguridad, controles para el software malicioso y
escritorios limpios);

e) Los
os puntos de contacto y recursos para obtener información adicional y
asesoramiento en materia de seguridad de la información, incluida mayor
capacitación sobre la información y materiales de la misma.

Es recomendable que la a concient

concientización
ización y capacitación en seguridad de la información
se realice periódicamente. Se recomienda que la a concientización inicial y la
capacitación se aplique a aquellos que se transfieren a nuevas posiciones o roles con
los requisitos de seguridad de la infor
información sustancialmente distintos, no sólo a los
nuevos titulares sino antes de que el rol este activo.

Se recomienda que la a organización desarrol

desarrolle el programa de capacitación y educación
con el fin de llevar a cabo capacitación y educación eficaz. Se sugiere
iere que el
e programa
este en concordancia con las políticas de seguridad de la organización de la
información y los procedimientos pertinentes, teniendo en cuenta la información de la
organización que se protege y los controles que se han implementado para proteger la
información. Es recomendable que e el programa considere las diferentes formas de
capacitación y educación,, por ejemplo, las conferencias o el auto-estudio.
estudio.

Otra información
Al redactar un programa de concientización,, es importante no sólo centrarse
cen en el
"qué" y "cómo", sino también en el "por qué". Es importante que los empleados
entiendan el propósito de la seguridad de la información y el posible impacto, positivo
y negativo, sobre la organización de su propio comportamiento.

ación, la educación y la capacitación pueden ser parte de, o llevarse a

La concientización,
cabo en colaboración con otras actividades de capacitación, por ejemplo con
capacitación general de TI o capacitación general en seguridad. Se recomienda que las
actividades de concientización
tización, educación y capacitación sean adecuadas y pertinentes
a las, responsabilidades y habilidades de los roles individuales (véase el subinciso
7.2.2).

Una evaluación de la comprensión de los empleados p puede llevarse a cabo al final de

un curso de capacitación,, concientización y educación para poner a prueba la
transferencia de conocimientos
conocimientos.

7.2.3 Proceso disciplinario

Control
Debe haber y comunicarse un proceso disciplinario formal para tomar acciones contra
empleados que hayan cometido una violación a la seguridad de información.

Guía de implementación
Se recomienda que no se inicie e ell proceso disciplinario sin una verificación previa de
que ha ocurrido un violación de seguridad (véase el subinciso 16.1.7).

Es recomendable que ell proceso disciplinar

disciplinario formal garantice un trato correcto y justo
para los empleados que son sospechosos de haber cometido violaciones de la
seguridad. Se recomienda que e el proceso disciplinario formal proporcione una
respuesta gradual que tomtome en consideración factores tales como la naturaleza y
gravedad de la violación y su impacto sobre el negocio,, independientemente si es o no
la primera o repetición de la infracción, si el infractor fue o no capacitado
adecuadamente, es necesario aplicar la legislación pertinente, contratos os de negocios y
otros factores según se requiera
requiera.

Se recomienda que ell proceso disciplinario también se utili

utilice como un elemento de
disuasión para evitar que los empleados cometan una violación a las políticas y
procedimientos de seguridad de la organiza
organización y cualquier otra violación de seguridad.
Las violaciones deliberadas pueden requerir acciones inmediatas.

El proceso disciplinario puede convertirse también en una motivación o incentivo si las

sanciones están definidas positivamente para el comporta
comportamiento
miento notable en lo que
respecta a la seguridad.

7.3 Terminación y cambio de empleo

Objetivo: Proteger los intereses de la organización como parte del proceso de cambio o
terminación del empleo.

7.3.1 Responsabilidades
esponsabilidades en la terminación o cambio de empleo

Control
Las responsabilidades de la seguridad de la información y deberes que permanezcan
validos después de la terminación o el cambio de empleo deben estar definidos, y
comunicados a los empleados o contratistas y deben hacerse cumplir.

Guía de implementación
Se recomienda que la a comunicación de la terminación de las responsabilidades incluya
inclu
los requisitos en curso de seguridad y las responsabilidades legales y, cuando sea
apropiado,, las responsabilidades contenidas dentro de cualquier acuerdo de
confidencialidad
lidad (véase el subinciso 13.2.4), los términos y condiciones del
de empleo
(véase el subinciso 7.1.2) continú
continúen durante un período definido después del término
del empleo del empleado o contratista
contratista.

Es recomendable que las

as responsabilidades y deberes que sean válidos después de la
terminación del empleo estén dentro de los contratos del empleado o contratista en los
términos y condiciones de empleo ((véase el subinciso 7.1.2).

Se recomienda que losos cambios de responsabilidades o empleo se manejen como la

terminación
minación de la responsabilidad actual o empleo combinado con el inicio del nuevo
empleo o responsabilidades.

Otra información
La función de recursos humanos
umanos es generalmente el responsable de todo el
e proceso de
terminación y trabaja en conjunto con el supe
supervisor
rvisor de la persona que deja de

gestionar los aspectos de seguridad de la información de los procedimientos

pertinentes. En el caso de un contratista proporcionado a través de una parte externa,
este proceso de terminación se lleva a cabo con la parte externa,, de conformidad con
el contrato entre la organización y la parte externa.

Puede que sea necesario informar a los empleados, clientes o contratistas de los
cambios de personal y acuerdos operativos
operativos.

8 GESTIÓN DE ACTIVOS

8.1 Responsabilidad sobre los activos

Objetivo: Identificar los activos organizacionales y definir las responsabilidades de

protección apropiadas.

8.1.1 Inventario de los activos

Control
Se deben identificar los activos asociados con información e instalaciones de
procesamiento de informació
información
n y se debe elaborar y mantener un inventario de estos
activos.

Guía de implementación
Es recomendable que la organización identifi
identifique los activos relevantes en el ciclo de
vida de la información y document
documente su importancia. Se recomienda que el e ciclo de vida
de la información incluya la creación, procesamiento,, almacenamiento, transmisión,
eliminación y destrucción. Se sugiere que la documentación se mantenga en los
inventarios dedicados o existentes, según sea apropiado.

Se recomienda que ell inventario d

de activos sea exacto, este actualizado, sea coherente
y este alineado con otros inventarios.

Para cada uno de los activos identificados, es necesario asignar un propietario,

propietario (véase
el subinciso 8.1.2) e identificar su clasificación (véase el inciso 8.2).

Otra información
Los inventarios de activos ayudan a garantizar que la protección eficaz se lleve a cabo,
y también pueden ser necesari
necesarios para otros propósitos,, como la salud y la seguridad,
los seguros o fines financieras ((gestión de activos).

La NMX-I-27005-NYCE proporciona ejemplos de activos que se pueden necesitar ser

considerados por la organización cuando se identifiquen activos. El proceso de
elaboración de un inventario de activos es un requisito importante previo de la gestión
de riesgos véanse las NMX-I--27000-NYCE y la NMX-I-27005-NYCE.

8.1.2 Propiedad de los activos

Control
Los activos incluidos en el inventario deben contar con un propietario.

Guía de implementación
Los individuos, así como aquellas entidades que aprobaron la responsabilidad del
de ciclo
de vida del activo califican para ser asignados como propietarios de
del activo.

Normalmente se implementa un proceso para asegurar la oportuna asignación de

propiedad de los activos. Es recomendable que lla a propiedad se asigne
asign cuando los
activos se crean o cuando los activos se transfieren a la organización. Se recomienda
que ell propietario de los activos sea responsable de la correcta gestión de un activo a
lo largo del ciclo de vida del mismo.

Es recomendable que ell propietario de los activos:

a) Asegure de que sus activos están inventariados;

b) Asegure de que los activos están debidamente clasificados y protegidos;

c) Defina y revise periódicamente las restricciones de acceso y clasificaciones a

los activos importantes, teniendo en cuenta las política
políticas
s aplicables de control de
acceso;

d) Asegure el manejo adecuado cuando el activo sea eliminado o destruido.

Otra información
El propietario identificado puede ser un individuo o una entidad que ha aprobado la
responsabilidad de gestión para c controlar todo el ciclo de vida de un activo. El
propietario identificado no necesariamente tiene algún derecho de propiedad sobre el
activo.

Las tareas rutinarias pueden delegarse,, por ejemplo, a un custodio se le otorga el

cuidado diario de los activos, pero la respo
responsabilidad
nsabilidad recae en el propietario.

En sistemas de información complejos, puede ser útil designar grupos de activos, que
actúan juntos para proporcionar un servicio particular. En este caso, el propietario de
este servicio es responsable de la prestación del servicio, incluyendo la operación de
sus activos.

8.1.3 Uso aceptable de los activos

Control
Se debe identificar, documentar e implementar reglas para el uso aceptable de la
información y de los activos asociados con la información y las instalaciones de
procesamiento
rocesamiento de la información.

Guía de implementación
Se recomienda que los empleados y los usuarios externos utilizando o que tenga
acceso a los activos de la organización sean conscientes de los requisitos de seguridad
de la información de los activos de la organización asociados con las instalaciones y
recursos para el procesamiento de la información. Es recomendable que ellos sean
responsables del uso de cualquiera de los recursos de procesamiento de la información
y cualquier uso recae bajo su respon
responsabilidad.

8.1.4 Devolución de activos

Control
Todos los empleados y usuarios externos deben devolver todos los activos de la
organización en su posesión a la terminación de su empleo, contrato o acuerdo.

Guía de implementación
Se recomienda que ell proceso de terminación se formalice para incluir la devolución de
todos los activos físicos y electrónicos entregados previamente pertenecientes o
confiados a la organización.

En los casos donde un empleado o grupo de usuarios externo

externos compren equipos de la
organización o utilicen su propio equipo, es recomendable que se sigan procedimientos
que garanticen que toda la información pertinente se transfiere a la organización y
después se elimina de forma segura de ese equipo (véase subinciso 11.2.7).
En los casos donde un empleado o grupo de usuarios externos tenga conocimiento que
es importante para las operaciones actuales se recomienda se documente
document y se
transfiera la información a la organización.

Durante el período de notificación de terminación, la organización debe controlar la

copia no autorizada de la información relevante (por ejemplo, propiedad intelectual)
por los empleados despedidos.

8.2 ción de información

Clasificación

Objetivo: Asegurar que la información reciba un nivel apropiado de protección, de

acuerdo con su importancia para la organización.

8.2.1 Clasificación de información

Control
La información debe ser clasificada en términos de su valor, requisitos legales,
sensibilidad o criticidad para la organización.

Guía de implementación
lasificaciones y controles asociados para la protección de
Se recomienda que las clasificaciones
información tomen en cuenta las necesidades del negocio sobre compartir o restringir
la información, así como los requisitos legales. Distintos activos de información
también pueden ser clasificado
clasificados s de conformidad con la clasificación de la información
que está almacenada en, es procesada, manipulada por otra parte o protegida por el
activo.

Es recomendable que los

os propietarios de los activos de información sean responsables
de su clasificación.

Se recomienda que ell esquema de clasificación incluya reglas para la clasificación y

criterios para la revisión de la clasificación a lo largo del tiempo (véase
véase el subinciso
9.1.1). Es recomendable que e el nivel de protección del esquema se evalué
evalu mediante el
análisis de la confidencialidad, integridad y disponibilidad y cualquier otro requisito que
se considere para la información. El sistema debe estar alineado con la política de
control de acceso (véase
véase el subinciso 9.1.1).

Es recomendable que cada

ada nivel tenga un nombre, que tenga sentido en el contexto de
la aplicación del esquema de clasificación.

Se recomienda que el esquema sea consistente en toda la organización de forma que

todos clasifiquen la información y los activos relacionados de la misma manera,
mane tengan
un entendimiento común de los requisitos de protección y apliquen la protección
adecuada.

Se recomienda que la a clasificación sea consistente y coherente y este incluida en los

procesos de la organización. Es recomendable que los resultados de la a clasificación
indiquen el valor de los activos en función de su sensibilidad y criticidad para la
organización, por ejemplo en términos de confidencialidad, integridad y disponibilidad.
Se recomienda que los resultados de la clasificación estén actualizadosdos de acuerdo con
los cambios de su valor, sensibilidad y criticidad a través de su ciclo de vida.

Otra información
La clasificación ofrece una indicación concisa de cómo manejar y proteger la
información a las personas que hacen frete a ella. La creación n de grupos de
información con las necesidades de protección similares, y la especificación de
procedimientos de seguridad de la información que apliquen a toda la información de
cada grupo facilita esto.. Este enfoque reduce la necesidad de una valoración de riesgo
caso por caso y el diseño a la medida de los controles.

La información puede dejar de ser sensible o crítica después de un cierto período de

tiempo, por ejemplo, cuando la información se ha hecho pública. Es recomendable que
estos aspectos sean tomados en cuenta, porque el exceso de clasificación puede dar
lugar a la aplicación de los controles innecesarios que result
resulte en un gasto adicional o
por el contrario la sub-clasificación
clasificación puede poner en peligro la consecución de los
objetivos de negocio.

Un ejemplo de esquema de clasificación de la información de la confidencialidad puede

p
estar basado en cuatro niveles de la siguiente manera:

a) La
a divulgación no causa ningún daño;

b) La divulgación provoca un
una complicación o inconveniente operacional menor;

a divulgación tiene un significativo impacto a corto plazo sobre las operaciones

c) La
o los objetivos tácticos;

d) La
a divulgación tiene un grave impacto sobre los objetivos estratégicos a largo
plazo o en la supervivencia de la organización ante el riesgo.

8.2.2 Etiquetado
iquetado de información

Control
Se debe desarrollar e implementar un conjunto apropiado de procedimientos para el
etiquetado de la información de acuerdo con el esquema de clasificación de la
información adoptado por la organización.

Guía de implementación
Los procedimientos para el etiquetado de la información necesitan cubrir la información
y sus activos relacionados en formatos físicos y electrónicos. Es recomendable que el e

etiquetado refleje el esquem

esquema de clasificación establecido en el subinciso 8.2.1. Se
recomienda que las as etiquetas sean fácilmente reconocibles. Se sugiere que los l
procedimientos proporcionen una guía sobre dónde y cómo se colocan las etiquetas
tomando en consideración cómo se accede a la información o cómo se manejan los
activos dependiendo los tipos de medios de comunicación. Los procedimientos pueden
definir casos en donde se omite el etiquetado, por ejemplo, el etiquetado de
información no confidencial para reducir las cargas de trabajo. Se recomienda que los
l
empleados y contratistas estén al tanto de los procedimientos de etiquetado.

Es recomendable que la salida de los sistemas que contienen información que sea
clasificada como sensible o crítica lleve una etiqueta apropiada de clasificación.

Otra información
El etiquetado de la
a información clasificada es un requisito clave para los acuerdos de
intercambio de información. Las etiquetas físicas y metadatos son una forma común de
etiquetado.

El etiquetado de la información y sus activos relacionados a veces pueden tener

efectos negativos.
egativos. Los activos clasificados son fáciles de identificar y en consecuencia
de robar por personas de la organización o atacantes externos.

8.2.3 Manejo de activos

Control
Se deben desarrollar e implementar procedimientos para el manejo de activos de
acuerdo
o con el esquema de clasific
clasificación
ación de la información adoptada por la
organización.

Guía de implementación
Se recomienda establecer procedimientos para el manejo, procesamiento,
almacenamiento y transmisión de información de acuerdo con su clasificación (véase
(v el
subinciso 8.2.1).

Es recomendable que se consider

consideren los siguientes puntos:

a) Restricciones
estricciones de acceso que soportan los requisitos de protección para cada
nivel de clasificación;

b) Mantenimiento
antenimiento de un registro formal de los receptores autorizados de los
activos;

c) Protección
rotección de las copias temporales o permanentes de información a un nivel
consistente con la protección de la información original
original;

d) Almacenamiento
lmacenamiento de los activos de TI de acuerdo con las especificaciones del
fabricante;

e) Borrar el marcado de todas las copias de los medios para la atención del
destinatario autorizado.

El esquema de clasificación utilizado dentro de la organización no puede ser

equivalente a los sistemas utilizados por otras organizaciones, incluso si los nombres
de los niveles
les son similares , además, la información que se mueve entre las

organizaciones puede variar en función de su clasificación en el contexto de cada

organización, aunque sus esquemas de clasificación sean idénticos.

Los acuerdos con otras organizaciones qu que incluyan el intercambio de información,

información es
recomendable que incluyan procedimientos para identificar la clasificación de dicha
información y para interpretar las etiquetas de clasificación de otras organizaciones.

8.3 Manejo de medios

Objetivo: Prevenir la divulgación no autorizada, modificación, eliminación o destrucción

de información almacenada en medios
medios.

8.3.1 Gestión de medios extraíbles

Control
Se deben implementar procedimientos para la gestión de medios removibles de
acuerdo con el esquema de clasificac
clasificación adoptado por la organización.

Guía de implementación
Se recomienda que los
os siguientes puntos para la gestión de medios extraíbles sean
considerados:

a) Sii ya no es necesario, los contenidos de cualquier medio reutilizable que sea

retirado de la organiza
organización es recomendable se hagan irrecuperables;

uando sea necesario y práctico, debe exigirse una autorización para los
b) Cuando
medios fuera de la organización y mantener un registro de esos retiros con el
fin de conservar una evidencia de auditoría;

c) Todos los medios

dios deben almacenarse en un entorno seguro, de acuerdo con las
especificaciones del fabricante;

d) Sii la confidencialidad o la integridad de los datos son considerados importantes,

es recomendable utilizar técnicas criptográficas para proteger los datos de los
medios extraíbles;

e) Para
ara mitigar el riesgo de la degradación de los medios mientras los datos
almacenados aún se necesit
necesiten, es recomendable que los datos seanse
transferidos a un nuevo medio antes de que sea
sean ilegibles;

f) Se recomienda que las copias m múltiples

iples de los datos importantes deben se
almacenen en medios separados para reducir aún más el riesgo de daño o
pérdida de datos coincidentes;

g) Es recomendable considerar e ell registro de los medios extraíbles para limitar la

posibilidad de pérdida de datos;

h) Se recomienda que las uunidades de medios extraíbles sólo se habiliten si hay

una razón de negocios para hacerlo;

i) Es recomendable se monitoreen los medios donde exista la necesidad de usar

estos medios extraíbles para la transferencia de información.

Es recomendable que se documente

documenten los
os procedimientos y niveles de autorización.
autorización

8.3.2 Disposición medios

Control
Se deben disponer de manera segura los medios cuando ya no se requieran, utilizando
uti
procedimientos formales.

Guía de implementación
Se recomiendan establecer procedimientos formales para la eliminación segura de los
medios para minimizar el riesgo de fuga de información confidencial a personas no
autorizadas. Es recomendable que llosos procedimientos para la eliminación segura de los
medios que contengan información confidencial de acuerdo con la sensibilidad de esa
información y se consideren llos siguientes puntos:

a) Los
os medios que contengan información confidencial se almacenen en y dispongan
de forma segura, por ejemplo, mediante incineración
incineración, trituración, o borrado de
datos para su uso por otra aplicación dentro de la organización;

b) Los procedimientos estén implementados para identificar los elementos que

puedan
n requerir la eliminación segura;

c) Puede resultar más fácil organizar todos los elementos multimedia

multimed hacer
recopilados y eliminados de forma segura, en lugar de tratar de separar los
elementos sensibles;

d) Muchas
uchas organizaciones ofrecen servicios de recolección y eliminación de
medios, pero se recomienda tener cuidado en la selección de una
a parte externa
idónea con experiencia y controles adecuados;

e) Se recomienda registrar la eliminación de los elementos sensibles siempre que

sea posible con el fin de mantener una evidencia de auditoría.

Cuando hay acumulación de medios a eliminar, es recomendable tener en cuenta el

efecto de acumulación, que puede causar que una gran cantidad de información no
sensible se vuelva sensible.

Otra información
Los dispositivos dañados que contengan datos sensibles pueden requerir una
valoración de riesgos para determinar si los elementos deben ser físicamente
destruidos en lugar de enviarse a reparar o tirarse (véase el subinciso 11.2.7).

8.3.3 Transferencia de medios físicos

Control
Se deben proteger los medios que contengan información contra acceso no autorizado,
mal uso o corrupción
pción durante la transportación
transportación.

Guía de implementación
Se recomienda que los
os siguientes puntos se
sean considerados para proteger a los medios
que contenga información que ssean transportados:

a) Utilizar transporte o mensajeros confiables;

b) Acordar con la administración

dministración u
una lista de mensajeros autorizados;

c) Desarrollar procedimientos para verificar la identificación de mensajeros;

mensajeros

d) Un empaquetado puede ser suficiente para proteger el contenido de cualquier

daño físico que pueda producirse durante el traslado y considerando con las
especificaciones de cualquiera de los fabricantes, por ejemplo la protección
contra los factores ambientales que pueda reducir la eficacia de la restauración
del medio como la exposición al calor, la humedad o campos electromagnéticos;
electromagnétic

e) Mantener registros, identificando el contenido de los medios, la protección

aplicada, así como el registro de los tiempos de transferencia a los custodios en
tránsito y la recepción en el destino.

Otra información
La información puede ser vulnerable al acceso no autorizado, mal uso o corrupción
durante el transporte físico, por ejemplo cuando se envían los medios a través del
servicio postal o por mensajería. En este control incluyen los documentos en papel.

Cuando la información confidencial sobre llos medios no esté cifrada, se recomienda

considerar protección física adicional de los medios.

9 CONTROL DE ACCESO

9.1 Requisitos de negocio para el control de acceso

Objetivo: Limitar el acceso a la información y a las instalaciones de procesamiento de

la información.

9.1.1 Política de control de acceso

Control
Se debe establecer, documentar y revisar una política de control de acceso basada en
los requisitos del negocio y de la seguridad de la información.

Guía de implementación
Se recomienda que los os propieta
propietarios de activos determinen las reglas de acceso,
privilegios y restricciones de acceso adecuados a los roles de usuarios específicos con
respecto a sus activos, con el nivel de detalle y rigor de los cont
controles
roles reflejando
refleja los
riesgos asociados a la segurida
seguridad de la información.

Los controles de acceso son lógicos y físicos (véase el capítulo 11) y es recomendable
considerarloss en conjunto. Se recomienda que los os usuarios y los proveedores de
servicios tengan una declaración clara de los requi
requisitos del negocio que deben cumplir
los controles de acceso.

Es recomendable que la
a política tome en cuenta lo siguiente:

equisitos de seguridad de las aplicaciones de negocios;

a) Requisitos

b) Políticas para la difusión y la autorización de la información,, por ejemplo, la

necesidad de conocer los principios y los niveles de seguridad y clasificación de
la información (véase el inciso 8.2);

c) Coherencia
oherencia entre los derechos de acceso y políticas de clasificación de la
información de los diferentes sistemas y redes;

d) Legislación
egislación pertinente y las obligaciones contractuales respecto a la limitación
del acceso
eso a los datos o servicios (véase el inciso 18.1);

e) Gestión
estión de los derechos de acceso en un entorno distribuido y en red, que
reconoce todos los tipos de conexiones disponibles;

f) Segregación de los role

roles para el control de acceso, por ejemplo, solicitud de
acceso, autorización de acceso, administración de acceso;

g) Requisitos
equisitos para la autorización formal de las solicitudes de acceso (véase
(v el
subinciso 9.2.1 y 9.2.2.
9.2.2.);

h) Requisitos
equisitos para la revi
revisión
sión periódica de controles de acceso (véase el subinciso
9.2.5);

i) Retiro de los derechos de acceso ((véase el subinciso 9.2.6);

j) Mantener los registros de todos los eventos importantes en relación con el uso y
gestión de las identidades de los usuarios y lla
a información de autenticación
secreta;

oles con acceso privilegiado ((véase el subinciso 9.2.3).

k) Roles

Otra información
Se recomienda tener cuidado al especificar las reglas de control de acceso que
consideren:

a) Ell establecimiento de reglas basadas en la premisa "todo

odo está generalmente
prohibido a menos que esté expresamente permitido" y no la regla más débil
"todo
odo está permitido generalmente a menos que esté expresamente prohibido";

b) Los
os cambios en las etiquetas de información ((véase el subinciso 8.2.2) que se
inician automáticamente por las instalaciones de procesamiento de la
información y aquellos iniciados a discreción de un usuario;

c) Los
os cambios en los permisos de usuario que se inician automáticamente por el
sistema de información y aquellos iniciados por un administrador;

d) Las reglas que requieren aprobación específica antes de su promulgación, y

aquellas que no la requieren.

Es recomendable que las as reglas de acceso de control cuenten con procedimientos

formales (véanse los incisos
s 9.2, 9.3, 9.4) y responsabilidades
sponsabilidades definidas (véanse
( los
subincisos 6.1.1, 9.3).

El rol basado en el acceso es un enfoque utilizado con éxito por muchas organizaciones
para vincular los derechos de acceso a llos roles de negocio.

Dos principios frecuentes que aborda la política de control de acceso son:

a) Se necesita saber: que sólo se le concede el acceso a la información que se

necesita para realizar sus tareas (diferentes tareas / roles significa que necesita
saber diferente información y por lo tanto el perfil de acceso e
ess diferente);

b) Necesidad de uso:: sólo se le concede el acceso a las instalaciones de

procesamiento de la información (equipos informáticos, aplicaciones,
procedimientos, instalaciones) que necesita para realizar su tarea / trabajo /
roles.

9.1.2 des y los servicios de la red

Acceso a las redes

Control
Se debe proporcionar a los usuarios únicamente el acceso a los servicios para los que
hayan sido específicamente autorizados.

Guía de implementación
Se recomienda formular unana política sobre la utilización de redes y servicios de red. Se
recomienda que esta
sta política abar
abarque:

a) Las redes y los servicios de red que está permitido a acceder;

b) Procedimientos
rocedimientos de autorización para determinar quién puede acceder a qué
redes y servicios de red;

c) Controles
ontroles y procedimientos de gestión para proteger el acceso a las conexiones
de red y los servicios de red;

d) Medios
edios utilizados para acceder a las redes y servicios de red (por ejemplo, el
e
uso de VPN o red inalámbrica);

e) Requisitos
equisitos de autenticación de usuario para acceder a varios se
servicios
rvicios de red;

f) Monitorear el uso de los servicios de red.

Otra información
Las conexiones no autorizadas e inseguras para los servicios de red pueden afectar a
toda la organización. Este control es particularmente importante para las conexiones
de red conon aplicaciones de negocios sensibles o críticas o para los usuarios en
ubicaciones de alto riesgo, por ejemplo, áreas públicas o externas que están fuera de
la gestión y control de seguridad de la organización.

9.2 Gestión del acceso de usuarios

Objetivo: Garantizar el acceso de usuarios autorizados y prevenir acceso no autorizado

a sistemas y servicios.

9.2.1 Registro y cancelación de usuarios

Control
Se debe implementar un proceso formal de registro y cancelación de usuarios que
permita la asignación de derechos de acceso.

Guía de implementación
Se recomienda que ell proceso para administrar los identificadores únicos (ID´s)
( de
usuario incluya:

a) El Uso de identificadores únicos de usuario para que los usuarios puedan estar
vinculados y ser responsables d de sus acciones, se recomienda que el uso de
identificadores únicos compartidos sólo se permita cuando sea necesario por
razones de negocios o de operación y sean aprobados, y documentados;

b) La Desactivación o retiro iinmediato de los ID´s de usuario de los usuarios que

han
n abandonado la organización (véase el subinciso 9.2.5);

c) La identificación y retiro o desactivación periódicamente de los ID de usuario

redundantes;

d) Asegurar
segurar que los ID de usuario redundantes no se asignen a otros usuarios.

Otra información
Proporcionar o revocar el acceso a las instalaciones de procesamiento de la
información o la información, por lo general es un procedimiento de dos pasos:

a) La asignación y habilitación
habilitación, o revocación de un ID de usuario;

b) Proporcionar
roporcionar o revocar los derec
derechos de acceso a dicho ID (véase
éase el subinciso
9.2.2).

9.2.2 Provisión de acceso de usuarios

Control
Se debe implementar un proceso formal para la provisión de acceso a usuarios para
asignar o revocar derechos de acceso para todos los tipos de usuarios a todos los
l
sistemas y servicios.

Guía de implementación
Se recomienda que ell proceso de suministro para asignar o revocar los derechos de
acceso concedidos a todos los tipos de usuario a los sistemas y servicios incluya:
inclu

a) Obtener
btener la autorización del propietario del sistema o servicio de información
para el uso del sistema o servicio de información (véase el subinciso 8.1.2),
también puede ser apropiada la aprobación por separado de derechos de acceso
de la dirección;

b) Verificar
erificar que el nivel de acceso otorgado es adecuadoo a las políticas de acceso
(véase el inciso 9.1) y es consistente con otros requisitos, como la separación
de actividades (véase el subinciso 6.1.2);

c) Garantizar
arantizar que los derechos de acceso no est estén
n activados (por ejemplo, los
proveedores de servic
servicios) antes de terminar los procedimientos de autorización;

d) Mantener de un registro central de los derechos de acceso concedidos a un ID

de usuario para acceder a los sistemas de información y servicios;

e) Adaptar los derechos de acceso de los usuarios que han cambiado de roles o
trabajo y retirar o bloque
bloquear los derechos de acceso de los usuarios que han
abandonado la organización;

f) Revisar
evisar periódicamente los derechos de acceso con los propietarios de los
sistemas y servicios de información (v
(véase el subinciso 9.2.5).

Otra información
Se recomienda considerar la posibilidad de establecer los roles de acceso a usuario
basado en los requisitos
tos del negocio que resum
resuman n una serie de derechos de acceso en
perfiles típicos de acceso de usuario. Las sol
solicitudes de acceso
cceso y reseñas (véase el
subinciso 9.2.4) son más fáciles de administrar a nivel de esos roles que a un nivel de
derechos particulares.

Es recomendable considerar la posibilidad de incluir cláusulas en los contratos del

de
personal y de servicios que espec
especifiquen sanciones si el acceso no autorizado es
realizado por el personal o contratistas (v
(véanse los subincisos 7.1.2, 7.2.3, 13.2.4,
15.1.2).

9.2.3 Gestión de derechos de acceso privilegiado

Control
La asignación y uso de los derechos de acceso privilegiado d
deben
eben restringirse y
controlarse.

Guía de implementación
Se recomienda que laa asignación de acceso privilegiado sea controlado a través de un
proceso de autorización formal de acuerdo con la política de control de acceso
correspondiente (véase el subinciso 9.1.1). Es recomendable que los
os siguientes pasos
se consideren:

a) Se identifiquen los
os derechos de acceso privilegiado asociados con cada sistema
o proceso, por ejemplo, el sistema operativo, el sistema de gestión de base de
datos y cada aplicación
aplicación, y los usuarios a los que deben asignarse.

b) Asignar derechos de acceso privilegiado a los usuarios con base en la necesidad

de uso y por evento en concordancia con la política de control de acceso (véase
(
el subinciso 9.1.1), por ejemplo
ejemplo, con base en el requisito mínimo
ínimo para sus roles
funcionales;

c) Mantener
antener un proceso de autorización y un registro de todos los privilegios
asignados. Se recomienda no conceder llos os privilegios de los derechos de
acceso hasta que el proceso de autorización se complete;

uisitos para la expiración de los derechos de acceso privilegiado ;

d) Definir los requisitos

e) Asignar los derechos de acceso privilegiado a un ID de usuario diferente a

aquellos utilizados para las actividades de negocio regulares. Se recomienda
que estas s actividades regulares de negocio no se realicen con las cuentas
privilegiadas;

f) Revisar periódicamente la competencia de los usuarios con derechos de acceso

privilegiado para verificar si están en concordancia con sus actividades;
actividades

stablecer y mantener procedimientos específicos para evitar el uso de ID´s

g) Establecer
genéricos de usuarios de administración, de acuerdo a las capacidades de
configuración de sistemas;

h) Mantener
antener la confidencialidad de la información de autenticación secreta de
ID´s de usarais genéricos de administración cuando se compartenn (por ejemplo
modificando con frecuencia y lo antes posible cuando se va un usuario
privilegiado abandona o cambia de empleo, comunicando a los usuarios
privilegiados con mecanismos adecuados).

Otra información
El uso inadecuado de los privil privilegios
egios de la administración del sistema (cualquier
característica o instalación de un sistema de información que permite al usuario anular
los controles del sistema o aplicación) puede ser un factor importante que contribuye a
los errores o violaciones de llos sistemas.

9.2.4 Gestión de la información secreta de autenticación de los usuarios

Control
La asignación de información secreta de autenticación debe controlarse a través de un
proceso de gestión formal. .

Guía de implementación
Se recomienda que ell proces
proceso incluya los siguientes requisitos:

a) Exigir a los usuarios la firma de una declaración para mantener confidencial la

información secreta de autenticación personal (por ejemplo compartir) la
información de autenticación secreta únicamente dentro de los miembros
mie del
grupo;; esta declaración firmada puede incluirse en los términos y condiciones
de empleo (véase el subinciso 7.1.2);

b) Cuando
uando los usuarios están obligados a mantener su propia información secreta
de autenticación es recomendable que se les proporcione one inicialmente
información secreta de autenticación segura temporalmente, la cual esténest
obligados a modificar en su primer uso
uso;

c) Establecer
stablecer procedimientos para verificar la identidad de un usuario antes de
proporcionar nueva información secreta de autenticación temporal o reemplazo;

d) Proporcionar
ar a los usuarios de forma segura la a información secreta de
autenticación temporal , evitar el uso de agentes externos o mensajes de
correo electrónicos no protegidos (texto sin cifrar);

e) La información secreta de autenticación temporal sea única para cada individuo

y no sea fácil de adivinar;

f) Tener un acuse de los usuarios sobre el conocimiento de la información secreta

de autenticación;

g) Modificar la información secreta de autenticación proporcionada por el

fabricante después de la instalación de sistemas o software.

Otra información
Las contraseñas son un tipo de información secreta de autenticación comúnmente
usadas y son un medio común para verificar la identidad de un usuario. Otros tipos de
información secreta de autenticación son las claves criptográficas y los datos
almacenados en otros hardware de autenticación (Tokens),- (por ejemplo, tarjetas
inteligentes) que producen los códigos de autenticación.

9.2.5 Revisión de los derechos de acceso de usuario

Control
Los propietarios de los activos deben revisar los derechos de acceso de los usuarios en
intervalos regulares.

Guía de implementación
La revisión de los derechos de acceso debe considerar lo siguiente:

a) Deben
eben ser revisados en intervalos regulares los derechos de acceso de los
usuarios y después de cualquier cambio, como la promoción, degradación o
extinción de empleo (véase el capítulo 7);

b) Los
os derechos de acceso de
del usuario deben ser revisados y re-asignados
asignados al pasar
de un
n empleo a otro dentro de la misma organización;

c) Las
as autorizaciones de derechos de privilegios especi
especiales
ales de acceso debe ser
revisados
s en intervalos más frecuentes;

d) Las
as asignaciones de privilegios debe
deben ser revisadas en intervalos regulares para
asegurar que los privilegios no autorizados no se han obtenido;

e) Deben
eben ser registrados los cambios de los privilegios en las cuentas para su
revisión periódica.

Otra información
Este control compensa las posibles deficiencias en la ejecución de los controles de los
subincisos 9.2.1, 9.2.2 y 9.2.6.

9.2.6 Eliminación o ajuste de los derechos de acceso

Control
Los derechos de acceso de todos los empleados y usuarios de partes externas a la
información e instalaciones de procesamiento de la información deben eliminarse
después
espués de la terminación de su empleo, contrato o acuerdo, o adaptados a los
cambios producidos.

Guía de implementación
A la terminación, se recomienda retirar o suspender los derechos de acceso de un
individuo a la información y los activos asociados con las s instalaciones de

procesamiento de la información y servicios. Esto determina si es necesario eliminar

los derechos de acceso. Es recomendable que llosos cambios de un empleo se reflejen en
el retiro de todos los derechos de acceso que no fueron aprobado
aprobados s para el nuevo
empleo.. Se recomienda que llos derechos de acceso que necesiten ser eliminados o
modificados incluyan n el acceso físico y lógico, llaves, tarjetas de identificación,
instalaciones de procesamiento de información, las suscripcione
suscripciones.
s. Se recomienda
recomie que
cualquier documentación que identifiquen los derechos de acceso de los empleados o
contratistas refleje el ajuste o retiro de los derechos de acceso
acceso.. Si un empleado o
usuario de alguna parte externa que abandona el empleo conoce las contraseñas de las
cuentas usuarios activos s restantes, es recomendable se modifiquen después de la
terminación o cambio de empleo, contrato o acuerdo.

Se recomienda que losos derechos de acceso a la información y activos asociados a las

instalaciones de procesamiento de la información sean reducidos o eliminados antes de
que el empleo termine o cambie, dependiendo de los factores sobre la valoración de
riesgo, tales como:

a) Sii la terminación o cambio es iniciado por el empleado, el usuario de la parte

externa o por la dirección,
cción, y el motivo de la rescisión;

b) Las
as responsabilidades actuales del empleado, el usuario de la parte externa o
cualquier otro usuario;

c) Ell valor de los activos actualmente accesibles.

Otra información
En determinadas circunstancias, los derechos de ac acceso
ceso pueden ser asignados con
base a estar disponibles a más personas a parte del empleado que abandona el empleo
o usuario de la parte externa
externa, por ejemplo, ID´s de grupo. En tales circunstancias, se
recomienda que las personas que salen se retiren de las listas de acceso de grupos y
tomar medidas para avisar a todos los demás empleados y usuarios de partes externas
involucrados que ya no se compart
comparta esta información con la persona que se retira.

En caso de gestiones
estiones iniciadas por despido, empleados descontentos
ntentos o usuarios de
partes externas que puedan n corromper deliberadamente la información o sabotaje de
las instalaciones de procesamiento de la información. En estos casos las personas que
renuncian, pueden tener la tentación de recopilar información para uso futuro.

9.3 Responsabilidades del usuario

Objetivo: Hacer responsables a los usuarios de salvaguardar su información de

autenticación.

9.3.1 Uso de la información secreta de autenticación

Control
Se debe exigir a los usuarios que sigan las prácticas de la organización en el uso de su
información secreta de autenticación

Guía de implementación
Se recomienda informar a todos
odos los usuarios de:

a) Mantener confidencial la información secreta de autenticación,, asegurando que

no se divulgan a otras partes, inclui
incluidas las personas de autoridad;

b) Evitar
vitar mantener un registro (por ejemplo, en papel, dispositivos
dispositivo portátiles,
archivos de software) de la información secreta de autenticación, a menos que
ésta se pueda almacenar de forma segura y el método de almacenamiento haya
sido aprobado (por ejemplo, contraseña de caja fuerte);

ambiar la información secreta de autenticación siempre que exista algún

c) Cambiar
indicio de que se encuentre posiblemente comprometida;

d) Cuando
uando las contraseñas se utilizan como información secreta de autenticación,
a
es recomendable seleccionar contraseñas de calidad con longitud mínima
suficiente que:

1) Sea fácil
ácil de recordar;

2) No esté basada en nada qu que otra persona fácilmente pudiera adivinar u

obtener utilizando información relacionada con la persona, por
p ejemplo,
nombres, números de teléfono y fechas de nacimiento, etc.;

3) No sea vulnerable a ataques de diccionario (es decir, que no consista en

palabras que se incluyen en los diccionarios);

4) Este libre
ibre de caracteres consecutivos idénticos, todos numéricos
numérico o todos
alfabéticos;

5) Cambiar
ambiar las contraseñas temporales en el primer inicio de sesión;

e) No
o compartir la información secreta de autenticación de usuario individual;

arantizar la debida protección de las contraseñas cuando éstas se utilizan

f) Garantizar
como información secreta de autenticación en procedimientos de inicio de
sesión automático y se almacen
almacenen;

g) No utilizar la misma información secreta de autenticación para fines de negocio

como para aquellos que no lo sean
sean.

Otra información
Proporcionar un sistema cen centralizado
tralizado de autenticación y autorización u otras
herramientas para la administración de la información secreta de autenticación
reducen la cantidad de información de autenticación secreta que los usuarios están
obligados a proteger y por lo tanto puede auaumentar
mentar la eficacia de este control. Sin
embargo, estas herramientas también pueden aumentar el impacto de la divulgación
de la información secreta de autenticación.

9.4 Control
ontrol de acceso a sistemas y aplicaciones

Objetivo: Prevenir el acceso no autorizado a los sistemas y aplicaciones.

9.4.1 Restricción de acceso a la información

Control
Se debe restringir el acceso a la información y a las funciones de las aplicaciones de los
sistemas de acuerdo con la política de control de acceso.

Guía de implementación
Se recomienda que las restricciones de acceso se basen en los requisitos de las de las
aplicaciones individuales de negocio y en concordancia con la política de control de
acceso definida.

Es recomendable considerar lo considerar lo siguiente para soportar los requisitos

requi de
restricción de acceso:

roporcionar menús para controlar el acceso a las funciones del sistema de

a) Proporcionar
aplicación;

b) Controlar la manera en que un usuario particular puede acceder a los datos;

datos

c) Controlar
ontrolar los derechos de acceso de los usuario
usuarios,
s, por ejemplo, leer, escribir,
borrar y ejecutar;

d) Controlar los derechos

erechos de acceso de otras aplicaciones;

e) Limitar la información contenida en las salidas

salidas;

f) Proporcionar
roporcionar controles de acceso físico o lógico para el aislamiento de
aplicaciones sensibles, datos de aplicación, o sistemas.

9.4.2 Procedimientos
rocedimientos de inicio de sesión seguros

Control
Cuando se requiera por la política de control de acceso, el acceso a los sistemas y
aplicaciones debe controlarse por un procedimiento de inicio de sesión seguro

Guía de implementación
Se recomienda que se elija u
una técnica de autenticación adecuada para demostrar la
identidad de un usuario.

Cuando se requiera una fuerte autenticación y una verificación de identidad, se

recomienda utilizar los métodos de autenticación alternativos para las contraseñas,
como medios criptográficos, tarjetas inteligentes, identificadoras biométricas.
biométricas

Se recomienda que el procedimiento para iniciar sesión en un sistema o aplicación

diseñados para minimizar las oportunidades de acceso no au autorizado. Por lo tanto es
recomendable que ell procedimiento de inicio de sesión revel
revele la mínima a información
sobre el sistema o la aplicación, con el fin de evitar se proporcione a un usuario no
autorizado cualquier ayuda innecesaria. Un buen pr
procedimientoo de inicio de sesión:
sesión

a) No muestra
stra identificadores del sistema o aplicación hasta que el proceso de
conexión se ha realizado correctamente;

b) Muestra una notificación de advertencia general de que all equipo sólo deben
tener acceso los usuarios autorizados;

c) No
o proporciona mensajes de ayuda durante el proceso de inicio de sesión que
ayuden a un usuario no autorizado;

alida la información de inicio de sesión únicamente hasta completar todos los

d) Valida
datos de entrada. Si surge una condición de error, se recomienda
recomiend que el
sistema no indique ququé parte de los datos son correctos o incorrectos;

e) Protege contra intentos forzados automáticos de inicio de sesión;

f) Registra
egistra los intentos fallidos y exitosos;

g) Incrementa
ncrementa un evento de seguridad si se detecta una posible violación
ación o intento
exitoso sobre los controles de inicio de sesión
sesión;

h) Muestra
stra la siguiente información sobre la finalización de un inicio de sesión
exitoso:

1) Fecha y hora del inicio de sesión exitoso previo ;

2) Detalles
etalles de los intentos fallidos de inicio de ses
sesión
ión desde el último
últ inicio de
sesión exitoso ;

i) No muestra la
a contraseña introducida;

j) No transmite las contraseñas en texto plano a través de una red;

k) Finaliza las sesiones inactivas después de un periodo de inactividad,

especialmente en lugares de alto riesgo, tales como las áreas públicas o
externas fuera de la gestión de seguridad de la organización o en dispositivos
móviles;

l) Restringe los tiempos de conexión para proporcionar seguridad adicional para

aplicaciones de alto riesgo y reducir la ventana d
de
e oportunidades para el acceso
no autorizado.

Otra información
Las contraseñas son una forma común para proporcionar la identificación y la
autenticación basada en un secreto que sólo el usuario conoce.

Si las contraseñas se transmiten en texto plano durante el inicio de sesión a través de

la red,, pueden ser capturadas mediante un programa espía de red (sniffer
sniffer).

9.4.3 Sistema de administración de contraseñas

Control
Los
os sistemas de administración de contraseñas deben ser interactivos y deben
asegurar contraseñas
eñas de calidad
calidad.

Guía de implementación

Se recomienda que un sistema de administración de contraseñas:

a) Obligue el uso de identificadores de usuario

usuarios (ID´s) y contraseñas individuales
para mantener la rendición de cuentas;
b) Permita a los usuarios seleccio
seleccionar
nar y cambiar sus propias contraseñas e incluir
un procedimiento de confirmación que reconozca errores de entrada;

c) Obligue una selección de contraseñas de calidad;

d) Obligue los usuarios a cambiar sus contraseñas en el primer inicio de sesión;

sesión

e) Ejecute cambios
bios regulares de contraseñas según sea necesario;

f) Mantenga un registro de las contraseñas anteriores y prevenga su reutilización;

g) No muestre las contraseñas en la pantalla cuando se esté introduciendo;

h) Separe los archivos de almacenamiento de la contraseña

seña de los datos del
sistema de aplicación;

i) Almacene y transmita
ta contraseñas de forma protegida.

Otra información
Algunas aplicaciones requieren contraseñas de los usuarios se asignen asign por una
autoridad independiente, en cuyo caso, los incisos b), d) y e)) de la guía de arriba no se
aplican. En la mayoría de los casos, las contraseñas son seleccionadas y mantenidas
por los usuarios.

9.4.4 Uso de privilegios de los programas de utilidad

utilidades

Control
El uso de los programas de utilidades del sistema principal y los controles del sistema y
de las aplicaciones debe estar restringid
restringido y estrechamente controlado.

Guía de implementación
Se recomienda que lasas siguientes directrices para el uso de las utilidades de los
programas que sean capaces de anular los controles del sistema y la aplicación:

a) Utilizar los procedimientos de identificación, autenticación y autorización de uso

las utilidades de los programas ;

b) Segregar las utilidades de los programa

programas del software de aplicaciones;

c) Limitar el uso de las utilidades de los programa a número mínimo necesario de

usuarios de confianza autorizados (véase el subinciso 9.2.2);

d) La autorización
utorización para el uso adecuado de las utilidades de los programas;
programa

e) Limitar la disponibilidad de las utilidades de los programas,, por ejemplo, para la

duración de una autorización de cambio;

f) Registrar todo el uso de las utilidades de los programas;

g) Definir
efinir y documentar los niveles de autorización para las utilidades de los
programa;

h) Retiro o desactivación de tod

todas las utilidades de los programa de servicios
públicos innecesarios;

i) No dejar disponibles las utilidades de los programas a los usuarios que tienen
acceso sobre los
s aplicaciones en sistemas donde se requiere la segregación de
tareas.

Otra información
La mayoría de las instalaciones en computadora tienen uno o más programas de
utilidades que pueden ser capaces de anular el sistema y los controles de aplicación.

9.4.5 Control de acceso al código fuente del programa

Control
Se debe restringir el acceso al código fuente del programa.

Guía de implementación
El acceso al código fuente del programa y los elementos asociados (tales como planes
de los diseños, especificaciones, verificaciones, y planes de validación) es
recomendable que estén estrictamente controlados, con el fin de impedir la
introducción
ción de funcionalidades no autorizadas y evitar cambios involuntarios, así
como mantener la confidencialidad de la propiedad intelectual valiosa. Para el código
fuente del programa, esto se puede lograr mediante el almacenamiento central
controlado de este código, preferentemente en las librerías de programas fuente. Es
recomendable que los siguientes lineamientos se tomen en consideración para
controlar el acceso a estas librerías de los programas fuente a fin de reducir las
posibilidades de corrupción de programas informáticos:

a) Cuando sea posible, es recomendable que las librerías de los programas fuente
no estén dentro de los sistemas operativos;

b) El código fuente del programa y las librería de los programas fuente se

gestionen de acuerdo con los procedi
procedimientos establecidos;

c) Se recomienda que el personal de apoyo no tenga acceso irrestricto a las

librerías de los programas fuente;

d) La actualización de las librerías de los programas fuente, los elementos

asociados y la emisión de fuentes del programa a lolos
s programadores se realice
después de que haya sido recibida la autorización apropiada;

e) Las listas de líneas de código de programas estén en un entorno seguro;

f) Se debe mantener un registro de auditoría de todos los accesos a las librerías

de los programas
s fuente;

g) El mantenimiento y la copia de las librerías de programas fuente estén sujetos

a estrictos procedimientos de control de cambios (véase el subinciso 14.2.2).

Sii se tiene la intención de que el código fuente del programa sea público, es
recomendable
ble que se consideren controles adicionales que ayuden a conseguir el
aseguramiento de su integridad (por ejemplo, una firma digital).

10 CRIPTOGRAFÍA

10.1 Controles criptográficos

Objetivo: Asegurar el uso adecuado y eficaz de lla a criptografía para proteger la

confidencialidad, autenticidad y/e integridad de la información.

10.1.1 Política sobre el uso de controles criptográficos

Control
Asegurar el uso apropiado y eficaz de la criptografía para proteger la confidencialidad,
autenticidad y/ o integridad de la inform
información.

Guía de implementación
Se recomienda que en n el desarrollo de una política criptográfica se consideren
consider los
siguientes puntos:

a) Ell enfoque de gestión hacia el uso de controles criptográficos en toda la

organización, incluyendo los principios generale
generales bajo los cuales se debe
proteger la información del negocio;

b) Basada en una evaluación del riesgo, se recomienda identificar el nivel

requerido teniendo en cuenta el tipo, fortaleza y calidad del algoritmo de
cifrado necesario;

c) Ell uso de cifrado para p

proteger la información confidencial se recomienda se
instalen en dispositivos móviles y medios extraíbles, o a través de líneas de
comunicación;

d) El enfoque para la gestió

gestión
n de claves, incluidos los métodos para hacer frente a
la protección de las llaves de cifrado y la recuperación de la información cifrada
en caso de llaves pérdida
pérdidas, comprometidas o dañadas;

e) Los roles y responsabilidades, por ejemplo, quién es responsable de:

1) La
a implementación de la política;

2) La gestión de llaves,
es, incluy
incluyendo la generación de llaves
laves (véase el subinciso
10.1.2);

f) Las normas que se adopten para la implementación eficaz icaz en toda la

organización (qué se utilizan para la solución de procesos del negocio);

g) Ell impacto del uso de la información c

cifrada sobre los controles que confían en
la inspección de contenido (por ejemplo, detección de software malicioso).
malicioso

En la aplicación de la política criptográfica de la organización, es recomendable se

consideren las regulaciones y restricciones nacionales que p puedenn aplicarse para el
uso de técnicas criptográficas en diferentes partes del mundo y para problemas de
flujo transfronterizo
o de información cifrada (véase el subinciso 18.1.5).

Los controles criptográficos se pueden utilizar para alcanzar diferentes objetivos de

seguridad, por ejemplo:

a) Confidencialidad: utilizando el cifrado de la información para proteger la

información sensible o crítica, ya sea almacenada o transmitida;

b) Integridad
ntegridad / autenticidad: utilizado firmas digitales o códigos de autenticación
de mensajes para proteg
proteger la autenticidad o la integridad de la información
sensible o crítica almacenada o transmitida;

c) El no repudio: utilizando técnicas criptográficas con el objetivo para mostrar

evidencia de la
a ocurrencia o no ocurrencia de un evento o acción;

d) Autenticación: utilizando técnicas criptográficas para autenticar usuarios y otras

entidades del sistema que soliciten el acceso o que realicen transacciones con
los usuarios del sistema, entidades y recursos.

Otra información
Tomar una decisión en cuanto a si una solución criptográfica es apropiada es
recomendable que sea vista como parte de un proceso más amplio de valoración de
riesgos y la selección de los controles. Esta valoración se puede utilizar para
determinar si un control criptográfico es apropiado, qué tipo de control es necesario
aplicar y con qué propósito y los procesos de
del negocio.

Una política sobre el uso de controles criptográficos es necesaria para maximizar los
beneficios y minimizar los riesgos de
del uso de técnicas criptográficas y para evitar el uso
inadecuado o incorrecto.

Se recomienda buscar el asesoramiento especializado en la selección de controles

criptográficos apropiados para cumplir los objetivos de la política de seguridad de la
información.

10.1.2 Gestión de llaves

Control
Se debe desarrollar
rollar e implementar una política sobre el uso, protección y tiempo de
vida de las llaves criptográficas a través de todo su ciclo de vida

Guía de implementación
Se recomienda que la a política inclu
incluya los requisitos para la gestión de llaves
criptográficas en todo su ciclo de vida, incluida la generación, almacenamiento,
retención, recuperación, distribución y retiro y la destrucción de las llaves.

Es recomendable que los

os algoritmos criptográficos, longitudes de las llaves y prácticas
de uso deben ser seleccionados
ccionados de acuerdo a las mejores prácticas. La gestión de
llaves adecuada requiere procesos seguros para la generación, retención
retención,
almacenamiento, recuperación, distribución
distribución, retiro y destrucción de llaves
criptográficos.

Se recomienda que todas

das las clav
claves criptográficas se protejan contra toda alteración y
pérdida. Además, las claves secretas y privadas necesitan protección contra el uso no
autorizado, así como la divulgación. E Es recomendable que el equipo utilizado para
generar, almacenar y archivar llaves este físicamente protegido.
Se recomienda que unn sistema de gestión de llaves see base en un conjunto de normas,
normas
procedimientos y métodos seguros para:

a) Generar llaves
laves para diferentes sistemas criptográficos y diferentes aplicaciones;

b) Emitir y obtener certificados de llaves públicas;

c) Distribuir llaves a las entidades previstas, incluyendo el cómo deben activarse

las llaves
laves cuando se recib
reciban;

laves, incluyendo cómo los usuarios autorizados obtiene

d) Almacenar llaves, enen acceso a
las llaves;

e) Cambiar o actualizar las lllaves incluyendo reglas sobre cuándo y cómo se deben
cambiar las llaves;

f) Tratar con llaves

laves comprometidas;

g) Revocar llaves incluyendo cómo retirar o desactivar las llaves,, por ejemplo,
cuando las llaves han sido comprometidas o cuando un usuario deja una
organización (en
en qué caso las llaves también necesitan ser archivadas);

h) Recuperar las llaves

laves que se han perdido o dañado;

i) Realizar respaldos y archivar las llaves;

j) La
a destrucción de llaves;

k) Registrar y auditar las actividades relacionadas a la gestión de llave

laves.

Con el fin de reducir la probabilidad del uso inapropiado, es recomendable que se

defina el periodo de la activación y desactivación de llaves de manera que las llaves
sólo se puedan utilizar durante un periodo limitado de tiempo definidoo en la política
asociada a la gestión de llaves
llaves.

Además es recomendable que se considere la gestión segura de llaves laves secretas y

privadas, y la autenticidad de las llaves
laves públicas. Este proceso de autenticación se
puede hacer utilizando certificados de llaves pública,, que normalmente son emitidos
por una autoridad de certificación, la cual se recomienda sea una organización
reconocida con controles y procedimientos adecuados implementados para
proporcionar el grado necesario de confianza.

El contenido dee los acuerdos de

del nivel de servicio o contratos con proveedores externos
de servicios criptográficos, por ejemplo, con una autoridad de certificación, se sugiere
abarque temas de responsabilidad, fiabilidad de los servicios y tiempos de respuesta
para la prestación de servicios (véase el inciso 15.2).

Otra información

La gestión de llaves criptográficas es esencial para el uso eficaz de técnicas

criptográficas. Las
s normas que se indican en los incisos A.1, A.2 y A.3 del apéndice A
proporcionan más información
ción sobre la gestión de llaves.

Las técnicas criptográficas también pueden ser utilizadas para proteger las llaves de
cifrado. Los procedimientos podrían considerar para el manejo de solicitudes legales el
acceso a las llaves
laves criptográficas, por ejemplo, se puede necesitar sea
se puesta a
disposición la información en forma no cifrada como prueba en un juicio.

11 SEGURIDAD FÍSICA Y AMBIENTAL

11.1 Áreas seguras

Objetivo: Prevenir el acceso físico no autorizado, daños e interferencia a la información

e instalaciones
nes de procesamiento de la información de la organización.

11.1.1 Perímetro de seguridad física

Control
Se deben definir y utilizar perímetros de seguridad para proteger las áreas que
contienen información ya sea sensible o crítica y las instalaciones de procesamiento
proces de
la información.

Guía de implementación
Se recomienda que las s siguientes directrices se consideren e implementen
implement en los
perímetros de seguridad física cuando sea apropiado:

a) Definir, establecer y fortalecer cada uno de llos os perímetros de seguridad

segurid
dependiendo de los requi
requisitos
tos de seguridad de los activos dentro del perímetro
y los resultados de una valoración de riesgos;

b) Asegurar físicamente los

os perímetros de un edificio o un sitio que contengan
instalaciones de procesamiento de la información (es decir, no es recomendable
que existan brechas en el perímetro o áreas en donde puede
ede ocurrir un robo),se
robo
recomienda que el techo exterior, las paredes y el piso del sitio sea de
construcción sólida y todas las puertas exteriores estén adecuadamente
protegidas
tegidas contra el acceso no autorizado con mecanismos de control,
control (por
ejemplo, barras, alarmas, cerraduras, etc.), es recomendable que las puertas y
las ventanas estén aseguradas cuando estén desatendida se recomienda que la
protección externa sea conside
considerada para las ventanas particularmente a nivel
del suelo;

c) Implementar un n área de recepción y otros medios para el control de acceso

físico al sitio o al edificio, permitir sólo al personal autorizado el acceso a los
sitios y edificios;

d) Donde sea aplicable,, construir barreras físicas para prevenir el acceso físico no
autorizado y la contaminación del medio ambiente;

e) Monitorear, contar con alarmas y probar ttodas

odas las puertas contra incendio
dentro del perímetro de seguridad en conjunto con paredes para establecer
e el

nivel requerido de resistencia en concordancia con las normas nacionales

pertinentes, y operar de acuerdo con el código local de bomberos de una
manera coordinada;

f) Instalar sistemas
emas adecuados de detección de intrusos siguiendo las normas
nacionales, y evaluarlos regularmente para cubrir todas las puertas exteriores
y ventanas accesibles, es recomendable que las áreas desocupadas tengan
activado su sistema de alarma en todo momento; es recomendable que esta
protección incluya otras áreas como el cuarto de cómputo o comunicaciones;

g) Las
as instalaciones de procesamiento de la información gestionadas por la
organización es recomendable que estén físicamente separadas de las
gestionadas por las entidades externas.

Otra información
ica se puede lograr mediante la creación de una o más barreras físicas
La protección física
alrededor de las instalaciones de la organización y las instalaciones de procesamiento
de la información. El uso de barreras múltiples ofrece una protección adicional, en
donde la falla de una sola barrera no significa que la seguridad está comprometida
inmediatamente.

Un área segura puede ser una oficina con llave o varias habitaciones rodeadas por una
barrera continua interna de seguridad física. Las barreras y perímetros adicionales para
controlar el acceso físico pueden ser necesarios entre áreas con diferentes requisitos
de seguridad dentro del perímetro de seguridad. Se recomienda especial atención a la
seguridad de acceso físico en el caso de edificios que resguarden activos para múltiples
organizaciones.

Se recomienda adaptar laa aplicación de controles físicos, especialmente para las áreas
de seguridad, de acuerdo a las circunstancias técnicas y económicas de la
organización, como se expone en la valoración del riesgo.

11.1.2 Controles físicos de entrada

Control
Se deben proteger las áreas seguras mediante controles de entrada apropiados para
garantizar que sólo el personal autorizado tenga acceso permitido.

Guía de implementación
Se recomienda considerar los
os siguientes puntos:

Registrar la
a fecha y hora de entrada y salida de los visitantes, y supervisar a
todos los visitantes a menos que su acceso haya sido previamente aprobado
sólo conceder el acceso con fines específicos y autorizados y emir dicha
autorización con base en los requ
requisitos de seguridad del área y procedimientos
de emergencia. Autenticar lla
a identidad de los visitantes por un medio adecuado;

a) Restringir
estringir a las personas autorizadas ell acceso a las áreas donde se procesa o
almacena información confidencial mediante la implementación
ementación de controles de
acceso adecuados, por ejemplo, implementando un mecanismo con dos factores
de autenticación, tales como una tarjeta de acceso y el PIN secreto;

b) Mantener y monitorear de forma segura las pistas de auditoría de los registros

de un libro electrónico o físicos de todos los accesos;

c) Exigir a los empleados y visitantes port

portar
ar algún tipo de identificación visible y
notificar inmediatamente al personal de seguridad si detectan visitantes sin
acompañante y sin identificación visible;

d) Asignar el acceso a personal de ser

servicios de soporte de partes externas a áreas
seguras que contengan información confidencial s sólo
lo cuando sea necesario; se
recomienda que este acceso sea autorizado y supervisado;

e) Revisar con regularidad, actualizar y rev

revocar
ocar cuando sea necesario los derechos
de acceso a áreas seguras (véanse los subincisos 9.2.5 y 9.2.6).

11.1.3 Aseguramiento de oficinas, salas e instalaciones

Control
Se debe diseñar y aplicar seguridad física para oficinas, salas e instalaciones. .

Guía de implementación
Se recomienda considerarr las siguientes directrices para asegurar las oficinas, las salas
e instalaciones:

a) Situar las
as instalaciones clave en un lugar donde se evite el acceso público;

b) Cuando sea aplicable es recomendable que los edificios sean desapercibidos y

dar un indicio mínimo de su propósito, sin señalamientos obvios, fuera o dentro
del edificio que identifi
identifique la presencia de las actividades de procesamiento de
la información;

c) Diseñar las
as instalaciones para evitar que la información confidencial y / o
actividades puedan ser vistas o escuchadas desde el exterior. Cuando sea
apropiado es recomendable considerar uun
n escudo electromagnético;

d) No tener accesible los

os directorios y guías telefónicas internas que identifiquen
identifi la
ubicación de las instalaciones de tratamiento de la información confidencial a
personal no autorizado.

11.1.4 Protección contra amenazas externas y ambientales

Control
Se debe diseñar y aplicar protección física contra desastres naturales, ataques
maliciosos o accidentes.

Guía de implementación
Se recomienda obtener asesoramiento especializado sobre cómo evitar daños
derivados de incendios, inundación, terremoto, explosión, disturbios civiles y otras
formas de desastre natural o causadas por el hombre;

11.1.5 Trabajo en áreas se

seguras

Control

Se deben diseñar y aplicar procedimientos para trabajar en áreas seguras.

Guía de implementación
Se recomienda considerar las siguientes directrices
directrices:
a) Concientizar al personal de la existencia de de,, actividades dentro de áreas
seguras sólo si es estrictamente necesario hacerlo de su conocimiento;

b) Evitar ell trabajo sin supervisión en un área segura por razones de seguridad y
para prevenir las oportunidades de actividades maliciosas;

c) Bloquear
loquear físicamente y revisar periódicamente las áreas seguras
ras desocupadas;
desocupadas

d) No permitir
ermitir el uso de equipo fotográfico
fotográfico, de audio y video a menos que éste sea
autorizado.

Las medidas necesarias para trabajar en áreas seguras incluye el control de los
empleados, y usuarios de partes externas que trabajen en áreas seguras,
se y es
recomendable que ellos cubran todas las actividades que se lleven a cabo en dichas
áreas.

11.1.6 Áreas de entrega y carga

Control
os puntos de acceso, tales como las áreas de entrega y carga y otros puntos en los
Los
que personas no autorizadas puedan entrar en las instalaciones deben ser controlados
y, si es posible, aislados de las instalaciones de procesamiento de la información para
evitar acceso no autorizado.

Guía de implementación
Se recomienda que las
s siguientes directrices se consideren:

a) Restringir e identificar al personal autorizado e

ell acceso al área de carga y
descarga desde afuera del edificio;

b) Diseñar ell área de carga y descarga de tal forma que los suministros puedan
ser cargados y descargados sin que el personal de la entrega tenga acceso
ac a
otras partes del edificio;

c) Cerrar las
as puertas externas del área de carga y descarga en el momento que se
abran las puertas internas;

d) Inspeccionar y examinar llos

os materiales que ingresen de que no contengan
explosivos, químicos u otros materiales pe
peligrosos, antes de moverlos del área
de carga y descarga;

e) Registrar ell material entrante de acuerdo con los procedimientos de gestión de

activos (véase el capítulo 8) al entrar al sitio;

f) Segregar físicamente llos envíos entrantes y salientes,, donde sea posible;

g) Inspeccionar ell material entrante para tener evidencia de que no haya sido
manipulado durante el traslado
traslado. Si tal manipulación
anipulación es descubierta es
recomendable repórtalo inmediatamente al personal de seguridad.

11.2 Equipo

Objetivo: Prevenir la pérdida, daño, robo o comprometer los activos e interrupción de

las operaciones de la organización
organización.

11.2.1 Ubicación y protección del equipo

Control
El equipo debe estar situado y protegido para reducir los riesgos de amenazas
ambientales y peligros, y las oportunidades para el acceso no autorizado.

Guía de implementación
Se recomienda que las siguientes directrices se consideren:

a) Ubicar ell equipo para minimizar el acceso innecesario dentro las áreas de
trabajo;

b) Ubicar cuidadosamente llas instalaciones de procesamiento de la información y

de manejo de datos sensibles para reducir el riesgo de que la información sea
vista por personas no autorizadas durante su uso;

c) Asegurar las
as instalaciones de almacenamiento para evitar el acceso no
autorizado;

d) Salvaguardar los
os elemen
elementos
tos que requieren protección especial para reducir el
nivel general de protección requerido;

e) Adoptar los controles para minimizar el riesgo de posibles amenazas físicas y

ambientales, por ejemplo, robo, incendio, explosivos, humo, agua (o la falta de
suministro
nistro de agua), polvo, vibraciones, efectos químicos, interferencia
eléctrica, interferencia de comunicaciones, radiación electromagnética y actos
de vandalismo;

f) Establecer
stablecer lineamientos para comer, beber y fumar cerca de las instalaciones de
procesamiento de la información;

g) Supervisar lasas condiciones ambientales, como la temperatura y la humedad,

para detectar condiciones que puedan afectar negativamente la operación de
las instalaciones de procesamiento de la información;

h) Aplicar
plicar protección contra los rayos a todos los edificios e instalar
instala filtros de
protección contra rayos en todas las líneas entrantes de comunicaciones y de
alimentación;

i) Considerar el uso de métodos de protección especiales, como las membranas

de teclado, para el equipo en entornos industriales;

j) Proteger ell equipo de procesamiento de la información confidencial para

minimizar el riesgo de fuga de información debido a la emanación
electromagnética.

11.2.2 Servicios públicos

Control
El equipo debe estar protegido contra fallas de energía y otras interrupciones causadas
por fallas en los servicios públicos.

Guía de implementación
Se recomienda que las utilidadutilidades de soporte (por ejemplo, el suministro de
electricidad, telecomunicaciones, agua, gas natural, alcantarillado, calefacción,
ventilación
ilación y aire acondicionado):

a) Cumplan con las especificaciones del fabricante del equipo y los requisitos
legales locales;

b) Se evalúen regularmente su capacidad para cumplir con el crecimiento del

negocio y las interacciones con otros servicios de apoyo;

c) Se inspeccionen y prueben con regularidad para asegurar su buen

funcionamiento;

d) Si es necesario, cuenten
uenten con sistemas de monitoreo para detectar fallas de
funcionamiento;

e) Si es necesario que tengan múltiples canales con diversos enrutamientos

físicos.

Es recomendable que se proporcione iluminación y comunicación de emergencia.

También se recomienda que llos interruptores de emergencia y las válvulas para cortar
el suministro de energía, agua, gas natural u otros servicios públicos estén ubicados
cerca de
e las salidas de emergencia y / o cuartos de equipamientos.

Otra información
La redundancia
edundancia adicional para la conectividad de red puede ser obten
obtenerse por medio de
múltiples rutas de más de un proveedor de servicios públicos.

11.2.3 Seguridad del cableado

Control
El cableado de energía y telecomunicaciones que transporten datos o soporten los
servicios de la información debe protegerse de intercepción, interferencia y daño.
daño

Guía de implementación
Se recomienda que las siguientes directrices del cableado se consideren:

a) Cuando sea posible,, estén bajo tierra las s líneas de suministro de energía y
telecomunicaciones dentro de las instalaciones de procesamiento de la
información, o sujetas a una protección alternativa adecuada;

b) Separar los
s cables de alimentación es estén separados de los cables de
comunicaciones para prevenir interferencias;

c) Para
ara sistemas sensibles o críticos considerar más controles que incluyan:
incluyan

1) La
a instalación de conductos blindados y sitios o cajas asegurados en puntos
de inspección y terminación;

2) Ell uso de blindaje electromagnético para proteger los cables;

3) Ell inicio de barridos técnicos e inspecciones físicas para los dispositivos no

autorizados que están conectados a los cables;

4) Ell acceso controlado a los paneles de conexión y cableado de los sitios.

11.2.4 Mantenimiento de equipo

Control
El equipo debe mantenerse correctamente para asegurar su continua disponibilidad e
integridad.

Guía de implementación
Se recomienda que las siguientes directrices para el mantenimiento del equipo se
consideren:

a) Proporcionar el mantenimiento de
dell equipo de acuerdo con los intervalos de
mantenimiento recomendados por el proveedor y sus especificaciones;

ólo el personal de mantenimiento autorizado lleve a cabo las reparaciones y

b) Sólo
servicio a los equipos
equipos;

c) Mantener registros de todas las fallas reales o presuntas,, y de todo el

mantenimiento preventivo y correctivo;

d) Aplicar los
os controles adecuados cuando el equipo esté programado para el
mantenimiento, teniendo en cuenta si este mantenimiento se lleva a cabo por
el personal
rsonal en el sitio o es externo a la organización, en su caso, se recomienda
que la información confidencial se elimin elimine del equipo o el personal de
mantenimiento debe ser lo suficientemente transparente;

e) Cumplir con todos

odos los requisitos de mantenimiento iimpuestos
mpuestos por las pólizas de
seguro;

f) Antes de regresar el equipo dentro de la operación después de su

mantenimiento asegurarse de que el equipo no ha sido manipulado y no
funcione.

11.2.5 Retiro de activos

Control
No se debe sacar del sitio sin autorización pre
previa
via el equipo, información o software.
software

Guía de implementación
Se recomienda que las siguientes
entes directrices se consideren
consideren:

os empleados y usuarios de partes externas

a) Identificar a los s que tienen la
autoridad de permitir el retiro de los activos fuera de las instalaciones;

b) Establecer los
os plazos para el retiro del equipo y regresar verificados por
cumplimiento;

c) Cuando
uando sea necesario y apropiado, registrar por qué fue retirado fuera del sitio
el activo y registrar cu
cuándo regresó;

d) Documentar la a identidad, roles y la afiliación de cualquier persona que manipule

o utilice equipos, información o software y esta documentación regrese
regres con el
equipo, información o software.

Otra información
Realizar verificaciones del
el sitio,, para detectar el retiro no autorizado
autorizad del activo,
también se pueden realizar para detectar dispositivos de grabación no autorizados,
autorizad
armas, etc., y para prevenir su entrada y salida del sitio. Se e recomienda que estas
verificaciones se lleven a cabo de conformidad con la legislación y los reglamentos
reglament
pertinentes. Es recomendable que llas personas sean conscientes de que las
verificaciones se deben realizar con la debida autorización de los requisitos legales y
reglamentarios.

11.2.6 Seguridad de los equipos y activos fuera de las instalaciones

Control
Se debe aplicar seguridad a los activos fuera de las instalaciones tomando en cuenta
los diferentes riesgos de trabajar fuera de las instalaciones de la organización.

Guía de implementación
Se recomienda que ell uso de cualquier equipo de almacenamiento de información
in y
procesamiento fuera de las instalaciones de la organización sea autorizado por la
dirección. Esto se aplica a los equipos propiedad de la organización y aquellos
aquello equipos
de propiedad privada y utiliza
utilizados en representación de la organización.

See recomienda que las sigui

siguientes directrices sean consideradas para la protección de
los equipos fuera de las instalaciones:

a) No dejar desatendido e
el equipo y medios sacados fuera de las instalaciones en
lugares públicos;

b) Observar en todo momento las instrucciones

trucciones del fabricante para la protección
de equipos, por ejemplo, protección contra la exposición a los campos
electromagnéticos fuertes;

c) Determinar por una valoración de riesgos llosos controles de lugares fuera de las
instalaciones, tales como el traba
trabajo en casa, teletrabajo y sitios temporales y
aplicar los controles donde sean apropiados
apropiados,, por ejemplo, archiveros con llave,
la política de escritorio limpio, controles de acceso para computadoras y la
comunicación segura con la oficina
oficina, para más información véanse se las normas
que se indican en los incisos A.10, A.11, A.12, A.13 y A.14 del apéndice A;
A

d) Cuando
uando el equipo fuera de las instalaciones se transfiere entre diferentes
individuos o partes externas
externas, es recomendable mantener el registro para definir
la cadena de custodia del equipo que incluya al menos los nombres y las
organizaciones de aquellas quiénes sean responsables de los equipos.

Los riesgos, por ejemplo, de daños, robo o espionaje, pueden variar

considerablemente entre un lugar y otro y es recomendable se tengan en cuenta para
determinar los controles más adecuados.

Otra información
El equipamiento para el almacenamiento y procesamiento de información incluye
todas las formas de computadoras personales, organizadores, teléfonos móviles,
tarjetas
etas inteligentes, papel o de otro tipo, que se utilice para el trabajo en casa o que
sea transportado,, lejos del lugar de trabajo habitual.

Más información sobre otros aspectos de la protección de los equipos móviles se puede
encontrar en el inciso 6.2.

Puede ser apropiado evitar el riesgo desalentando a ciertos empleados a trabajar fuera
de las instalaciones o restringiendo el uso de equipos informáticos portátiles.

11.2.7 Disposición o reutilización segura del equipo

Control
Todos los elementos del equipo que contiene medios de almacenamiento deben ser
verificados para garantizar que cualquier dato sensible y software licenciado ha sido
eliminado o sobrescrito de manera segura previo a su disposición o reutilización.

Guía de implementación
Se recomienda verificar
rificar si el equipo contiene o no medios de almacenamiento antes de
su eliminación o reutilización.

Es recomendable que los os medios de almacenamiento que contengan información

confidencial sean destruidos físicamente o la información sea destruida,
destruida eliminada o
sobrescrita con técnicas para hacer que la información original no sea recuperable, en
lugar de utilizar la función de borrado estándar o format
formateo.

Otra información
El medio de almacenamiento contenido en el equipo dañado puede requerir una
valoración de riesgos para determinar si los elementos deben ser físicamente
destruidos en lugar de enviarse para su reparación o disposición.. La información puede
verse comprometida por la eliminación descuidada o reutilización de los equipos.

Además del borrado seguro del disco, la encriptación de todo el disco reduce el riesgo
de divulgación de información confidencial cuando el equipo es eliminado o se
redistribuido, siempre que:

a) Ell proceso de cifrado es suficientemente fuerte y cubre todo el disco

(incluyendo
o el espacio perdido o sobrante,, archivos de intercambio, etc.);

b) Las llaves
laves de cifrado son lo suficientemente largas para resistir ataques
forzados automáticos;;

c) Las llaves
laves de cifrado mantienen su propia confidencialidad (por ejemplo, nunca
se almacena en el mismo disco).

Para obtener más consejos acerca del cifrado, véase el capítulo 10.

Las técnicas para la

a sobre escritura segura de llos
os medios de almacenamiento difieren
de acuerdo a la tecnología de medios de almacenamiento. Se recomienda revisar las
herramientas
erramientas de sobre escritura para asegurarse de que son aplicables a la tecnología
de los medios de almacenamiento.

11.2.8 Equipo de usuario desatendido

Control
Los usuarios deben garantizar que el equipo desatendido tenga la protección
adecuada.

Guía de implementación
Se recomienda que todos odos los usuarios sean conscientes de los requisitos y
procedimientos de seguridad para la protección de equipos desatendidos,, así como sus
responsabilidades para la implementación de dicha protección. Es recomendable que
los usuarios sean asesorados sobre
sobre:

a) Terminar las sesiones activas cuando hayan terminado, a menos que ellos
puedan asegurarla mediante un mecanismo de bloqueo apropiado, por ejemplo
un protector de pantalla protegido por contraseña;

b) Desconectarse
esconectarse de aplic
aplicaciones
aciones o servicios de la red cuando no se necesiten;
necesit

c) Asegurar las computadoras o dispositivos móviles del uso no autorizado

mediante el bloqueo de teclas o un control equivalente, por ejemplo, un acceso
mediante contraseña, cuando no está en uso.

11.2.9 Política de pantalla y escritorio limpio

Control
Se debe adoptar una política de escritorio limpio de papeles y medios de
almacenamiento removibles y una política de pantalla limpia para las instalaciones de
procesamiento de la información.

Guía de implementación
Se recomienda que la a política de escritorio y pantalla limpia tenga en cuenta la
clasificación de la información (véase el inciso 8.2), los requisitos legales y
contractuales (véase el inciso 18.1), los riesgos correspondientes y los aspectos
culturales
es de la organización. Es recomendable que las siguientes
entes directrices se
consideren:

a) Guardar la información
nformación sensible o crítica del negocio,, por ejemplo en medios de
almacenamiento electrónicos o de papel, (idealmente en una forma segura, segura
gabinete u otro mueble
ueble de seguridad) especialmente cuando no se requiera,
requiera
especialmente cuando la oficina esté desocupada;

b) Desconectar o proteger los e

equipos y terminales con un protector pantalla y un
mecanismo de bloqueo de teclas, controlado por una contraseña, un
identificador o mecanismo similar de autenticación de usuario cuando estén
esté y
protegerse por bloqueo de teclas, contraseñas u otros controles cuando no esté
en uso;

c) Prevenir el uso no autorizado de las fotocopiadoras y otra tecnología de

reproducción (por ejem
ejemplo, escáneres, cámaras digitales);

d) Retirar inmediatamente de impresoras medios que contienen información

sensible o clasificada.

Otra información
Una política de escritorio y pantalla limpia reduce los riesgos derivados del acceso no
autorizado, pérdida o el daño a la información durante y fuera de las horas normales
de trabajo. Las cajas de seguridad u otras formas seguras de almacenamiento de las
instalaciones también pueden proteger la información almacenada en el mismo contra
desastres como incendio, terremoto, inundación o explosión.

Considere el uso de las impresoras con función de código PIN, por lo que los autores
son los únicos que pueden obtener sus impresiones y sólo cuando está de pie junto a
la impresora.

12 SEGURIDAD EN LAS OPERACIONES

12.1 Procedimientos
edimientos y responsabilidades operativas

Objetivo: Garantizar la operación correcta y segura de las instalaciones de

procesamiento de la información.

12.1.1 Procedimientos
rocedimientos operativos documentados

Control
Deben documentarse los procedimientos operativos y es
estar
tar disponibles para todos los
usuarios que los necesiten.

Guía de implementación
Se recomienda que los os procedimientos documentados estén preparados para las
actividades operativas asociad
asociadas con las instalaciones del el procesamiento de
información y comunicación,
ación, tales como los procedimientos poner en marcha y apagar
los equipos, respaldos,, mantenimiento de equipos, manejo de medios, gestión y
seguridad y uso de salas de informática y correo.

Es recomendable que los os procedimientos de operación especifi

especifiquen las instrucciones
operativas, incluyendo:

a) Instalación
nstalación y configurac
configuración de los sistemas;

b) Procesamiento
rocesamiento y manejo de información automatizada y manual;

c) Respaldos (véase el inciso 12.3);

d) Requisitos
equisitos de programación, incluyendo las interdependencias con otros otr
sistemas, tiempos para iiniciar el trabajo y finalizar ell último trabajo;

e) Instrucciones
nstrucciones para el manejo de errores u otras condiciones excepcionales que
puedan surgir durante la ejecución del trabajo, incluidas las restricciones sobre
el uso de las utilidades
lidades del sistema (véase el subinciso 9.4.4);

f) Contactos de soporte
oporte técnico y escalamiento incluidos los contactos de soporte
externos en caso de un evento de dificultades inesperadas operativas o
técnicas;

g) Instrucciones para la ssalida especial y manejo de medios, tales como el uso de

papelería especial o la gestión de producción confidencial,, incluidos los
procedimientos para la disposición segura de la producc
producción
ión de trabajos con
errores (véase el inciso 8.3 y el subinciso 11.2.7);

h) Procedimientos de reinicio
einicio y recuperación del sistema para su uso
so en caso de
falla del sistema;

i) Gestión de la información de registros de eventos del sistema y pistas (véase el

inciso 12.4);

j) Procedimientos
rocedimientos de monitoreo (véase el inciso 12.4).

Es recomendable que los os proc

procedimientos
edimientos de operación y los procedimientos
documentados para las actividades del sistema sean tratados como documentos
formales y los cambios sean autorizados por la dirección
dirección.. Cuando sea técnicamente
factible, se recomienda que los sistemas de información sean administrados
sistemáticamente, utilizando los mismos procedimientos, herramientas y utilidades.

12.1.2 Gestión del cambio

Control
Se deben controlar los cambios en la organización, procesos de negocio, instalaciones
de procesamiento de la información y sistemas que afecten a la seguridad de la
información.

Guía de implementación
En particular, es recomendable que los siguientes elementos sean considerados:

dentificación y registro de los cambios significativos;

a) Identificación

b) Planificación
lanificación y pruebas de los cam
cambios;

c) Evaluación
valuación de los impactos potenciales, incluyendo los impactos de seguridad,
de tales cambios;

d) Procedimiento
rocedimiento formal para la aprobación de los cambios propuestos;

e) Verificación de que los requisitos de seguridad se han cumplido;

f) Comunicación de los detalles del cambio a todas las personas relevantes;

relevantes

g) Procedimientos de retorno
retorno,, incluidos los procedimientos y responsabilidades
para abortar y recuperación de los cambios fallidos y eventos imprevistos;

h) Provisión
rovisión de un proceso de cambio de emergenc
emergencia para disponer de una
implementación rápida y controlada de los cambios necesarios para resolver un
incidente (véase el inciso 16.1).

Es recomendable que las

as responsabilidades y procedimientos de gestión formales sean
aplicados para asegurar un control satisfactorio de todos los cambios. Cuando se
realizan cambios, se recomienda conservar un registro de eventos (log) de auditoría
que contenga toda la información relevante.

Otra información
El control inadecuado de cambios en las instalaciones de procesa procesamiento
miento de la
información y sistemas es una causa común de fallas del sistema o de seguridad. Los
cambios en el entorno operativo, especialmente cuando se transfiere un sistema del
de
entorno de desarrollo al entorno de operación
operación,, puede tener un impacto sobre la
confiabilidad
abilidad de las aplicaciones (véase el subinciso 14.2.2).

12.1.3 Gestión de capacidad

Control
El uso de recursos debe monitorearse, afinarse para realizar proyecciones de los
requisitos futuros de la capacidad para garantizar el desempeño requerido de los
sistemas.

Guía de implementación
Se recomienda que losos requisitos de capacidad sean identificados,
tificados, teniendo en cuenta
lo critico del negocio del sistema en cuestión. Es recomendable que el ajuste y
monitoreo del sistema se apli
aplique para garantizar y, cuando sea necesario,
necesario mejorar la
disponibilidad y eficiencia de los sistemas. Es recomendable que se implementen
controles de detección para indicar los problemas en el momento oportuno. Es
recomendable que lasas proyecciones de los requisitos de capacidad futura se tomen en
cuenta en los requisitos de negocio y sistemas nuevos y las tendencias actuales y
pronosticadas de la capacidad de
del procesamiento de la información de la organización.
organización

Necesita prestarse particular atención a cualquier recurso con tie

tiempos largos para su
contratación o entrega, o costos altos, por lo tanto, es recomendable que los gerentes
supervisen el uso de los recursos clave del sistema. Se recomienda que ellos
identifiquen las tendencias en el uso, especialmente en relación con las aplicaciones del
de
negocio o herramientas de administración de sistemas de información.

Es recomendable que losos gerentes utilicen esta información para identificar y evitar
posibles cuellos de botella y la dependencia del personal clave que p
pued
den presentar
una amenaza a la seguridad del sistema o de servicios, y planificar las medidas
oportunas.

Proporcionar
roporcionar capacidad suficiente puede lograrse mediante el aumento de la capacidad
o mediante la reducción de la demanda. Ejemplos de gestión de la demanda de
capacidad son:

a) La
a eliminación de datos obsoletos (espacio en disco);

a clausura de aplicaciones, sistemas, bases de datos o entornos;

b) La

c) La optimización
ptimización de los procesos
procesos, lotes y programaciones;

d) La optimización de la llógica de la aplicación y consultas de bases de datos;

a negación o restricción de
e) La del ancho de banda para los servicios ávidos de
recursos si estos no son críticos para el negocio (por ejemplo, la transmisión de
vídeo).

Se recomienda que un n plan de gestión de capacidad documentado sea considerado

para los sistemas de misión crítica.

Otra información
Este control también se refiere a la capacidad de los recursos humanos, así como las
oficinas e instalaciones.

12.1.4 Separación de entornos de desarrollo, pruebas y operación

Control
Se deben separarar los entornos de desarrollo, pruebas y operación para reducir los
riesgos de acceso no autorizado o cambios en el entorno de operación.

Guía de implementación
Se recomienda identificar y aplicar el nivel de separación entre los entornos de
operación, pruebas y desarrollo que sea necesario para prevenir problemas de
operativos.

Es recomendable que los siguientes elementos sean considerados:

a) Definirr y documentar lasas reglas para la transferencia de software desde el

estado de desarrollo al estado oper
operativo;

b) Ejecutar
jecutar en diferentes sistemas o procesadores de computadores y en
diferentes dominios o directorios el software de desarrollo y operativo;
operativo

c) Probar en un entorno de pruebas los c cambios en los sistemas y aplicaciones

operativos antes de ser aplicad
aplicados a los sistemas operativos;

d) Salvo en circunstancias excepcionales, no realizar pruebas en los sistemas

operativos;

e) No estar accesibles llosos compiladores, editores y otras herramientas de

desarrollo o utilidades del sistema de los
os sistemas operativos cuando
cua no sea
necesario;

f) Exigir a los
os usuarios utilizar diferentes perfiles de usuario para la operación y
prueba a los sistemas
sistemas, y que los menús muestren mensajes de identificación
apropiados para reducir el riesgo de error;

g) No copiar los
os datos sensibles dentro del entorno de las
as pruebas del sistema a
menos que se disponga de controles equivalentes para los sistemas
sistema de pruebas
(véase el inciso 14.3).

Otra información
Las actividades de desarrollo y las pruebas pueden causar serios problemas, por
ejemplo, la modificación no deseada de archivos o falla del entorno del sistema o del

sistema. Existe la
a necesidad de mantener un entorno conocido y estable en el que se
realizan pruebas significativas y prevenir el acceso inapropiado del desarrollador en el
entorno operativo.

Cuando el personal de desarrollo y prueba

pruebas tenga acceso al sistema operativo y su
información, pueden ser capa
capaces de introducir código no autorizado y no probado o
alterar los datos operativos. En algunos sistemas, esta capacidad puede ser utilizada
u
para cometer fraude o introducir código malicioso o no probado, que puede causar
serios problemas operacionales
operacionales.

El personal de desarrollo y pruebo también pueden representar una amenaza a la

confidencialidad de la información operativa. Las act
actividades
ividades de desarrollo y prueba
pueden causar cambios no deseados en el software o la información si comparten el
mismo entorno informático.. La separación de los entornos tanto de desarrollo, como de
pruebas y de operación, es conveniente para reducir el rriesgo
iesgo de un cambio accidental
o acceso no autorizado a los datos del negocio y software operativo (véase el inciso
14.3 para la protección de los datos
datos).

12.2 Protección contra el software malicioso (malware)

Objetivo: Garantizar que la información y las ins

instalaciones
talaciones de procesamiento de la
información estén protegidas contra malware.

12.2.1 Controles contra el malware

Control
Se deben implementar controles de detección, prevención y recuperación para
protegerse contra malware y combinarse con una apropiada conc
concientización
ientización a usuarios.

Guía de implementación
Es recomendable que la a protección contra el malware se base en la detección delde
malware y reparación del software, la concientización de seguridad y controles para el
acceso al sistema, y gestión del cambio apropiado. Se recomienda que las siguientes
sigui
directrices se consideren:

stablecimiento de una política formal que prohíba el uso de software no

a) El establecimiento
autorizado (véase
éase el subinciso 12.6.2 y el inciso 14.2);

b) La aplicación
plicación de controles que prevengan o detecten el uso de software no
autorizado (por ejemplo, listas blancas de aplicaciones);

c) La implementación
mplementación de controles que preven
prevengan o detecten n el uso de sitios web
maliciosos, conocidos
s o sospechosos (por ejemplo, listas negras);

d) Establecimiento
stablecimiento de una polít
política
ica formal de protección contra los riesgos
asociados con la obtención de archivos y software ya sea desde o a través de
redes externas o en cualquier otro medio,, indicando qué medidas de protección
se deben tomar;

e) Reducción
educción de las vulnerabilidades que p
pueden ser explotadas por ejemplo, el
malware a través de la gestión de vulnerabilidades técnicas (véase el inciso
12.6);

f) Llevar
levar a cabo revisiones periódicas del contenido de software y los datos de los
sistemas de soporte a los procesos críticos de
del negocio, investigar formalmente
la presencia de los archivos no autorizados o modificaciones no autorizadas;
autorizadas

g) Instalación y actualización
ctualización periódica de la detección de malware y reparación
del software para examinar los equipos y medios como un control preventivo,
preventiv o
en forma rutinaria, se recomienda que las revisiones incluyan:

scanear todos los archivos recibidos a través de redes o por medio de

1) Escanear
cualquier tipo de medio de almacenamiento, en busca de malware antes de
su uso;

2) Escanear
scanear los archivos adjuntos de correo electrónico y descargas en busca de
malware antes de ssu uso; se recomienda que este escaneo se lleve
llev a cabo en
diferentes lugares, por ejemplo, en servidores de correo electrónico,
computadoras de escritorio y cuando se ingrese en la red de la organización;
organ

3) Escanear las páginas web en busca de malware;

h) La
a definición de procedimientos y responsabilidades para hacer frente a la
protección contra el malware en los sistemas, la capacitación en su uso, la
presentación de informes y la recuperación de los ataques de malware;

reparación de planes de continuidad de

i) Preparación del negocio apropiados para recuperarse
de los ataques de malware, incluyendo todos los datos necesarios de respaldo
del software y acuerdos de recuperación (véase el inciso 12.3);

j) Implementación de procedimientos para recopilar regularmente información,

tales como la suscripción a listas de correo y / o verificación de sitios web que
proporcionan información sobre el nuevo malware;

k) Implementación de procedimientos para verificar la información

informació relativa al
software malicioso ((malware),, y asegurar que los boletines de alerta son
precisos e informativos; se recomienda que los gerentes se aseguren
asegure que
fuentes calificadas , por ejemplo, revistas prestigiosa,, sitios de Internet o
proveedores confiables
les que producen software
software, protejan contra el malware , se
utilizan para diferenciar malware real o engaños, es recomendable que todos los
usuarios sean conscientes del problema de los engaños y qué hacer acer al recibir
alguno de ellos;

l) El aislamiento
islamiento de ento
entornos donde pueda resultar en impactos catastróficos.

Otra información
El uso de dos o más productos de software de protección contra el malware en todo el
entorno del procesamiento de la información de diferentes proveedores y la tecnología
puede mejorar la eficacia de la protección de
del malware.

Es recomendable tener cuidado para protegerse contra la introducción de malware

durante los procedimientos de mantenimiento y de emergencia, que pueden pasar por
alto los controles normales de protección contra el malware

Bajo ciertas condiciones, la protección contra el malware puede causar disturbios en

las operaciones.

El uso de software para la detección de un malware y reparación solo como un control

de malware no suele ser suficiente y normalmente es acompañada
pañada por procedimientos
operativos que prevengan la introducción de
del malware.

12.3 Respaldos

vitar la pérdida de datos.

Objetivo: Evitar

12.3.1 Respaldos de la información

Control
Copias de respaldos de la información, software e imágenes de sistemas deben
realizarse
se y probarse regularmente de acuerdo con la política de respaldos acordada.

Guía de implementación
Se recomienda establecer u una
na política de respaldos para definir los requisitos de la
organización para los respaldos de la información, del software y los sistemas.

Es recomendable que la
a política de respaldos defina la los requisitos de conservación y
protección.

Se recomienda proporcionar instalaciones adecuadas para los respaldos para asegurar

que toda la información esencial y el software se pueden recuperar
ecuperar después de un
desastre o un error del medio.

Cuando se diseña un plan de respaldos, es recomendable que los siguientes puntos se

tengan en cuenta:

a) Producir registros exactos y completos de las copias de respaldo y producir

procedimientos de restauración
stauración documentados;

a medida (por ejemplo, respaldo completo o diferencial) y la frecuencia de los

b) La
respaldos reflejen los requ
requisitos del negocio de la organización, los requisitos de
seguridad de la información involucrada y la criticidad de la info
información
rmación para la
continuidad de la operación de la organización;

c) Almacenar en una ubicación aislada llos

os respaldos, a una distancia suficiente
para escapar de cualquier daño de un desastre en el sitio principal;

d) Proporcionar un nivel apropiado de protecc protección

ión física y ambiental a la
información de los respaldos (véas
(véasee el capítulo 11) en conformidad con las
normas aplicadas en el sitio principal;

e) Probar regularmente llos

os medios de respaldos para asegurarse que se puede
confiar en ellos, en caso de una emerge emergencia
ncia cuando sea necesario, es
recomendable que esto se combine con una prueba de los procedimientos de
verificación y restauración contra el tiempo de restauración requerido.
requerido Realizar
en medios de prueba dedicados
dedicados, las pruebas de capacidad de restaurar los
datos respaldados,, no sobrescribiendo el medio original en caso de que el
proceso de respaldo o restauración falle y cause un daño irreparable o pérdida
de datos;

f) Proteger mediante medios de cifrado los respaldos, e

en
n situaciones donde la
confidencialidad es de importancia.

Es recomendable que los os procedimientos operativos supervis

supervisen la ejecución de
respaldos y tratamiento de las fallas de respaldos programados s para garantizar
ga la
integridad de éstos con la política de respaldos.

Se recomienda que los arreglos

reglos de respaldos para sistemas y servicios individuales
sean sometidos regularmente a pruebas para garantizar que cumplen los requisitos de
los planes de continuidad de
del negocio En el caso de los sistemas y servicios críticos, los
arreglos de respaldos cubran todos los sistemas de información, las aplicaciones y los
datos necesarios para recuperar el sistema completo en caso de un desastre.

Determinar ell período de retención de la información de negocio esencial teniendo en

cuenta cualquier requisito para
ara las copias archivadas de forma permanente.

12.4 Registro y monitoreo

Objetivo: Registrar
egistrar los eventos y generar evidencia.

12.4.1 Registro de eventos

Se deben generar, mantener y revisar regularmente los registros de eventos (logs) de

las actividades de usuarios,
arios, excepciones, fallas y eventos de seguridad de la
información.

Guía de implementación
os registros de eventos deban incluir, cuando sea pertinente:
Se recomienda que los

a) ID´s de los usuarios;;

b) Actividades del sistema

sistema;

c) Fechas,
echas, horarios y detalles de los eventos clave, por ejemplo, de inicio de
sesión y cierre de sesión;

d) Identidad
dentidad o ubicación del dispositivo si es posible y el identificador del sistema);

e) Registro de los intentos de acceso rechazados por el sistema y exitosos;

exitoso

f) Registros
egistros de datos exitosos y rechazados, y otros intentos de acceso a
recursos;

g) Cambios
ambios en la configuración del sistema;

h) Uso de privilegios;

i) Uso de utilidades del sistema y las aplicaciones;

j) Archivos accedidos y el tipo de acceso;

k) Direcciones
irecciones de red y protocolos;

l) Alarmas activadas por el sistema de control de acceso;

ctivación y desactivación de los sistemas de protección, como los sistemas de

m) Activación
antivirus y sistemas de detección de intrusos
intrusos;

egistros de las transacciones realizadas por los usuarios en las aplicaciones.

n) Registros

El registro de eventos establece una base para los sistemas de monitoreo

automatizados, que son capaces de generar informes consolidados y alertas
alerta sobre la
seguridad del sistema.

Otra información
Los registros de eventos pueden contener datos sensibles e información de
identificación personal. Es recomendable que se adopten las medidas adecuadas de
protección de la privacidad (v
(véase el subinciso 18.1.4).

Cuando sea posible, es recomendable que los administradores de los sistemas no

tengan permiso para borrar
orrar registros o desactivarr los registros de eventos de sus
propias actividades (véase el subinciso 12.4.3).

12.4.2 Protección del registro de la información

Control
Se deben proteger contra acceso no autorizado y manipulación la información del
registro (logs)
ogs) e infraestructura para el registro.

Guía de implementación
Se recomienda que los os controles estén dirigidos a proteger contra cambios no
autorizados y problemas operacionales con los servicios de registross de eventos
incluyendo:

a) Alteraciones de los tipos de mensajes que se registran;

b) Se editen o eliminen a
archivos de registro de eventos;

c) Se
e exceda la capacidad de almacenamiento de los medios de archivos de
registro de eventos,, resulta
resultando tanto en la falta de registro de eventos o sobre-
sobre
escritura de los últimos eventos registrados.

Algunos registros de auditoría pueden requeri

requerir ser archivados como parte de la política
de retención de registros o debido a los requisitos para re
reunir
unir y conservar las pruebas
(véase el subinciso 16.1.7).

Otra información
Los registros de eventos del sistema a menudo contienen una gran cantidad de
información, mucha de la cual es ajena al monitoreo de la seguridad. Para ayudar a
identificar los eventos significativos para fines de monitoreo de seguridad, se
recomienda considerar
nsiderar la copia de los tipos de mensajes apropiados
apropiado registrados
automáticamente a un segundo registro de evento (log) o el uso de las utilidades del
sistema o herramientas de auditorías adecuadas para ejecutar archivos de
interrogación o racionalización.

Los registros de eventos del sistema necesitan estar protegidos, ya que si los datos en
ellos pueden ser modificados o borrados, su existencia puede crear una falsa sensación
de seguridad. La copia en tiempo real de los registros de eventos a un sistema fuera
del control de un administrador u operador del sistema puede ser utilizada para
salvaguardar los registros de eventos
eventos.

12.4.3 Registros (logs) del administrador y operador

Control
Se deben registrar, proteger y revisar los registros de eventos (logs) de las actividades
del administrador y del operador de sistemas

Guía de implementación
Las cuentas de usuarios privilegi
privilegiados
os pueden ser capaces de manipular los registros de
eventos de las instalaciones de procesamiento de la información bajo su control
directo,
recto, por lo que es necesario proteger y revisar la información del de registro de
eventos para mantener la rendición de cuentas para los usuarios privilegi
privilegiad
ados.

Otra información
Un sistema de detección de intrusión administrada fuera del control del sistema
siste y los
administradores de red se puede utilizar para supervisar el sistema y de las actividades
de administración de red para cumplimiento.

12.4.4 Sincronización del reloj

Control
Los relojes de todos los sistemas de procesamiento de la información relevantes
relevan dentro
de la organización o dominio de seguridad deben estar sincronizados con una sola
fuente de tiempo de referencia.

Guía de implementación
Se recomienda que los os requ
requisitos
tos externos e internos para la representación, la
sincronización y la precisión
ón del tiempo estén documentados. Estos requisitos pueden
ser legales, los reglamentarios, contractuales, por cumplimiento de normas o
requisitos del monitoreo intern
interno. Es recomendable se defina un tiempo de referencia
estándar para el uso dentro de la org
organización.

Es recomendable documenta
documentar e implementar ell enfoque de la organización para
obtener un tiempo de referencia de una o varias fuentes externas y cómo se
sincronizan los relojes internos de manera fiable.

Otra información
El ajuste correcto de losos relojes de los equipos es importante para asegurar la
exactitud de los registros de eventos de auditoría, que pueden ser necesarios para
investigaciones o como evidencias en casos legales o disciplinarios. Los registros
inexactos de registro de eventos de auditoría pueden obstaculizar las investigaciones y
dañar la credibilidad de esas evidencias
evidencias. Un reloj vinculado a una emisión de tiempo
por radio desde un reloj atómico nacional se puede utilizar como el reloj maestro para
los sistemas de registro de eventos.. Un protocolo de tiempo de red se puede utilizar
para mantener todos los servidores en sincronización con el reloj maestro.

12.5 Control de software operacional

arantizar la integridad de los sistemas operacionales.

Objetivo: Garantizar

12.5.1 Instalación de soft

software en los sistemas operacionales

Control
Se deben implementar procedimientos para controlar la instalación de software en
sistemas operacionales.

Guía de implementación
Se recomienda considerar las siguientes directrices para el control de cambios de
d
software en los sistemas operativos:

ctualización del software operativo, las aplicaciones y las librerías de los

a) Actualización
programas es recomendable que solo sean ejecutadas por los administradores
capacitados con la autorización administrativa adecuada (véas
(véasee el subinciso
9.4.5);

b) Los
os sistemas operativos sólo contengan el código ejecutable aprobado y no
código de desarrollo o compiladores;

c) Las
as aplicaciones y el software dedel sistema operativo sólo se implementen
después de extensas pruebas exitosas; se recomienda que las pruebas incluyan
pruebas de usabilidad, seguridad, efectos sobre otros sistemas y facilidad de
uso y llevarse a cabo en sistemas separados (véase el inciso 12.14).
12.14 Garantizar
que todas las librerías de los programas fuente correspondientes
ndientes han sido
actualizados;

d) Utilizar
tilizar un sistema de control de configuración para mantener el control de todo
el software implementado
implementado,, así como la documentación del sistema;

e) Aplicar una
na estrategia de retorno (rollback) antes de que los cambios se
implementen;

antener un registro de eventos de auditorías de todas las actualizaciones a las

f) Mantener
librerías de programas operativos;

g) Las versiones antiguas del software de aplicación deben mantenerse como una
medida de contingencia;

h) Archivar las
as versiones anteriores de software,
ftware, junto con toda la información
requerida y los parámetros, procedimientos, y detalles de la configuración y el
software de soporte durante el tiempo que los datos se conserv
conserven
n en el archivo.

Es recomendable que el vendedor del suministro de software re utilizado en los sistemas

operativos mantenga un nivel soport
soporte por el proveedor. Con el tiempo, los vendedores
de software dejan de dar soporte a las versiones antiguas de software. Se recomienda
que la organización considere
e los riesgos de confiar en ell software sin soporte.

ualquier decisión de actualizar a una nueva versión tenga

Se recomienda que cualquier ten en
cuenta los requisitos del negocio para el cambio y la seguridad de liberación, por
ejemplo,, la introducción de la nueva funcionalidad de seguridad o el número y la

gravedad de los problemas de seguridad que afectan a esta versión. Es recomendable

que los
os parches de software se apli
apliquen cuando puedan n ayudar a eliminar o reducir las
la
debilidades de seguridad (véase el inciso 12.6).
Es recomendable que el acceso
cceso físico o lógico sólo se proporcione a los proveedores
con fines de soporte cuando sea necesario y con la aprobación de la dirección. Se
recomienda que lasas actividades del pproveedor sean supervisadas (véase el subinciso
15.2.1).

Las aplicaciones informáticas

rmáticas pueden confiar en el software y los módulos de
suministrados externamente
mente, el cual es recomendable sea monitoreado y controlado
para evitar cambios no autorizados, que p
puedan introducir debilidades de seguridad.

12.6 Gestión de vulnerabilidades técni

técnicas

Objetivo: Prevenir la explotación de las vulnerabilidades técnicas.

12.6.1 Gestión de las vulnerabilidades técnicas

Control
Se debe obtener información acerca de las vulnerabilidades técnicas de los sistemas de
información que están siendo utilizados d
dee manera oportuna, evaluar la exposición de
la organización a tales vulnerabilidades y tomar medidas apropiadas para tratar los
riesgos asociados.

Guía de implementación
Un inventario actualizado y completo de los activos (véase el capítulo 8) es un
requisito previo para una gestión eficaz de vulnerabilidades técnicas. La información
específica necesaria para apoyar la gestión de vulnerabilidades técnicas incluye el
proveedor de software, números de versión, el estado actual de dell despliegue (por
ejemplo, qué
ué software está instalado en qué sistemas) y la
la(s) persona(s) dentro de la
organización responsable(s) del software.

Se recomienda que la a acción apropiada y oportuna se tom tome en respuesta a la

identificación de posibles vulnerabilidades técnicas. Es recomendable
mendable que las
l siguientes
directrices se sigan para establecer un proceso eficaz de gestión de vulnerabilidades
técnicas:

a) Es recomendable que lla organización defina y establezca las funciones y

responsabilidades asociadas con la gestión de vulnerabilidades ades técnicas,
incluyendo
yendo el monitoreo de la vulnerabilidad, la valoración de riesgos de
vulnerabilidades, los parches, el rastreo de activos y las responsabilidades de
coordinación necesarias;

b) Facilitar los recursos necesarios para identificar vulnerabil

vulnerabilidades
idades técnicas y para
mantener la concientización sobre aquellas que necesitan identificarse sobre el
software y otro tipo de tecnología (basada en la lista de inventario de activos,
véase el subinciso 8.1.1)
8.1.1); es recomendable que estos recursos de información
informa
sean actualizados con base a cambios en el inventario, o cuando se encuentren
otros recursos nuevos o útiles;

c) Definir unana línea de tiempo para responder a las notificaciones de

vulnerabilidades técnicas potencialmente relevantes;

d) Una vez que la vulnerabilidad

ulnerabilidad técnica potencial ha sido identificada, es
recomendable que la organización identifi
identifique los riesgos asociados y las
medidas que deben adoptarse; estas acciones pueden implicar el parcheo de los
sistemas vulnerables y / o la aplicación de otro
otros controles;

e) Atender en n función de la urgencia de una vulnerabilidad técnica por ser tratada,

realizar acciones de acuerdo con los controles relacionados con la gestión del
cambio (véase
éase el subinciso 12.1.2) o siguiendo los procedimientos de seguridad
de la información de respuesta a incidentes (v
(véase el subinciso 16.1.5);

f) Si un parche está disponible a partir de una fuente legítima, los riesgos

asociados con la instalación del parche es recomendable se valoren (es
recomendable que los riesgos derivados de la vulnerabilidad se compare con el
riesgo de instalar el parche);

g) Probar y evaluar los

os parches antes de instalarlos para asegu
asegurar
rar que sean
eficaces y no causen efectos secundarios que no se puedan tolerar, si no hay un
parche disponible, es recomend
recomendable que se consideren otros controles, tales
como:

1) Desactivar servicios o capacidades relacionadas con la vulnerabilidad;

2) Adaptar
daptar o agregar controles de acceso, por ejemplo, corta fuegos (firewalls),
en las fronteras de la red (véase el inciso 13.1);

ar el monitoreo para detectar ataques reales;

3) Aumentar

4) Aumentar la concien
concientización de la vulnerabilidad;

h) Mantener un n registro de eventos de auditoría para todos los procedimientos

realizados;

i) Supervisar y evaluar e el proceso de gestión de vulnerabilidades técnicas con el

fin de garantizar su eficacia y eficiencia;

j) Tratar en primer lugar llos sistemas de alto riesgo;

k) Un proceso eficaz de gestión de vulnerabilidades técnicas está alineado con las

actividades de manejo de incidentes, para comunicar los datos dato sobre las
vulnerabilidades a la función de respuesta a incidentes y proporcionar los
procedimientos técnicos que se llev
lleven
n a cabo en caso de incidente;

l) Definir
efinir un procedimiento para tratar la situación dónde se ha identificado una
vulnerabilidad pero no hay ninguna contramedida adecuada. En esta situación,
es recomendable que la organización evalúe los riesgos relacionados con la
vulnerabilidad conocida y define las acciones correctivas y preventivas
apropiadas.

Otra información
La gestión de la vulnerabilidad
bilidad técnica puede ser vista como una sub--función de la
gestión del cambio y, como tal, puede tomar ventaja de los procesos y procedimientos
de gestión de cambio (véanse los subincisos 12.1.2 y 14.2.2).

Los vendedores están a menudo bajo una gran pre presión para liberar parches tan pronto
como sea posible. Por lo tanto, el parche puede no tratar el problema de manera
adecuada y puede tener efectos secundarios negativos. También, en algunos casos, la
desinstalación de un parche puede no lograrse fácilment
fácilmentee una vez que éste se ha
aplicado.
Si la prueba adecuada de los parches no es posible, por ejemplo, debido a los costos o
la falta de recursos, se puede considerar un retraso en la aplicación de parches para
evaluar los riesgos asociados, basados en la exp
experiencia
eriencia reportada por otros usuarios.
El uso de la norma que se indica en el inciso A.9 del apéndice A puede ser beneficioso.

12.6.2 Restricciones en la instalación de software

Control
Se debe establecer e implementar reglas que gobiernen la instalación de software por
los usuarios

Guía de implementación
Se recomienda que la a organización defina y aplique una
a política estricta a los usuarios
sobre los tipos de software que pueden instalar.

Es recomendable aplicar el principio de privilegios mínimos. Si s se

e conceden ciertos
privilegios, los usuarios pueden tener la capacidad de instalar software. Es aconsejable
que la organización identifique
que los tipos de instalaciones de software que se permiten
(por ejemplo, las actualizaciones y parches de seguridad para el software existente) y
qué tipo de instalaciones están prohibidas (por ejemplo, un software que es sólo para
uso personal y software cuyo genealogía con respecto a ser potencialmente dañino es
desconocido o sospechoso). Es recomendable que estos privilegios gios se concedan
teniendo en cuenta las funciones de los usuarios afectados.

Otra información
La instalación descontrolada de software en plataformas informáticas puede conducir a
la introducción de vulnerabilidades y luego a la fuga de información, pérdida
pérd de
integridad o de otros incidentes de seguridad de la información, o violación de los
derechos de propiedad intelectual.

12.7 Consideraciones de auditoría a sistemas de información

inimizar el impacto de las actividades de auditoría en los sistemas

Objetivo: Minimizar s
operacionales.

12.7.1 Controles de auditoría

uditoría a los sistemas de información

Control
Los requisitos de la auditoría y las actividades que implican la verificación de los
sistemas operacionales deben planearse y acordarse cuidadosamente para minimizar
las interrupciones a los procesos del negocio.

Guía de implementación
Se recomienda que las siguientes directrices se consideren:

a) Acordar con la dirección apropiada llos requisitos de una auditoría de acceso a

los sistemas y datos;

b) Acordar y controlar ell al

alcance de las pruebas técnicas de una auditoría;
auditoría

imitar al acceso de sólo lectura a los programas y datos de las

c) Limitar as pruebas de una
auditoría;

d) Ell acceso que no sea de sólo lectura sólo debe permiti

permitirse para copias aisladas
de los archivos del sistema, los cucuales es recomendable que sean borrados
cuando se complete la auditoría, o reciban protección adecuada si existe una
obligación de mantener estos archivos en los requisitos de la documentación de
la auditoría;

e) Identificar y acordar llos requisitos de procesamiento

amiento especial o adicional;

f) Ejecutar fuera del horario las pruebas de auditoría que pueden

n afectar a la
disponibilidad del sistema;

g) Monitorear y registrar e
el acceso para producir
roducir un rastro de referencia.

13 SEGURIDAD EN LAS COMUNICACIONES

13.1 eguridad e
Gestión de seguridad en la red

Objetivo: Garantizar la protección de la información en las redes e infraestructura de

apoyo para el procesamiento de información
información.

13.1.1 Controles de red

Control
Las redes deben gestionarse y controlarse para proteger la información en los sistemas
y aplicaciones.

Guía de implementación
Se recomienda implementar controles para garantizar la seguridad de la información
en las redes y la protección de los servicios conectados de accesos no autorizados. En
particular es recomendable que las si
siguientes directrices se consideren:

a) Establecer las
as responsabilidades y los procedimientos para la administración de
equipos de red;

b) Separar la
a responsabilidad operativa de las redes de las operaciones
computacionales, (véase el subinciso 6.1.2);

c) Establecer
cer controles especiales para garantizar la confidencialidad e integridad
de los datos que pasan a través de las redes públicas o sobre las redes
inalámbricas y para proteger los sistemas y las aplicaciones conectados (véase
el capítulo 10 y el inciso 13.2);
); los controles especiales también pueden
puede ser
necesarios para mantener la disponibilidad de los servicios de red y de las
computadoras conectadas;

d) Registro eventos y monitor

monitoreo adecuado para permitir la grabación y detección
de acciones que pueden afectar o son relevantes para la seguridad de la
información;

e) Es recomendable que llas actividades de gestión estén estrechamente

coordinadas tanto para optimizar el servicio a la organización y asegurar que los
controles se aplican consistentemente a través de lla a infraestructura de
procesamiento de la iinformación;

f) Autenticar sistemas sobre la red;

g) Restringir
gir la conexión a los sistemas en la red.

Otra información
nformación adicional sobre la seguridad de la red se puede encontrar en las
Información la normas
que se indican en los incisos A.10, A.11, A.12, A.13 y A.14 del apéndice A.

13.1.2 Seguridad en los servicios de red

Control
Los mecanismos de seguridad, niveles de servicio y los requisitos de gestión para
todos los servicios de la red deben identificarse e incluirse en los acuerdos de servicios
de red, ya sea que estos servicios sean provistos internamente o se subcontraten.

Guía de implementación
Se recomienda que laa capacidad del proveedor de
del servicio de red para administrar los
servicios acordados de forma se determine y controle con regularidad, y se acuerde el
derecho a auditar.

Es recomendable los
os acuerdos de seguridad necesarioss para los servicios particulares,
como las características de seguridad, los niveles de servicio y la administración de
requisitos, se identifiquen.. Se recomienda que la a organización asegure que los
proveedores de servicios de red implementen estas medidas.

Otra información
Los servicios de red incluyen la provisión de conexiones, servicios de redes privadas y
redes de valor adicional y solu
soluciones para la administración de seguridad de red como
cortafuegos (firewalls) y sistemas de detección de intrusos. Estos servicios pueden ir
desde una simple banda anch ancha no administrada hasta ofertas de valor añadido
complejos.

Las características de seguridad

uridad de los servicios de red pueden ser:

a) La
a tecnología aplicada a la seguridad de los servicios de red, como controles de
autenticación, encriptación y conexión de red;

b) Parámetros
arámetros técnicos necesarios para la conexión segura con los servicios de red
de acuerdo con las
s reglas de seguridad y de conexión de red;

c) Loss procedimientos para el uso de servicios de red para restringir el acceso a

los servicios de red o aplicaciones cuando sea necesario.

13.1.3 Segregación en redes

Control
Los grupos de servicios de iinformación,
nformación, usuarios y sistemas de información deben
estar segregados en las redes.

Guía de implementación
Un método de administración de la seguridad en las redes de gran tamaño es dividirlas
en dominios de red independientes. Los dominios pueden ser e elegidos con base a los
niveles de confianza (por ejemplo, dominio de acceso público, el dominio de escritorio,
servidor de dominio), así como por unidades de organización (por ejemplo, recursos
humanos, finanzas, comercialización) o una combinación (por ejejemplo,
emplo, el dominio del
servidor se conecta a varias unidades organizativas). La segregación puede hacerse
utilizando redes físicamente diferentes o mediante el uso de diferentes redes lógicas
(por ejemplo, una red virtual privada).

ímetro de cada dominio este bien definido. El acceso entre

Se recomienda que el perímetro
dominios de la red está permitido, pero se recomienda que esté controlado
controlad en el
perímetro utilizando una puerta de enlace (por ejemplo, cortafuegos, enrutador de
filtrado). Los criterios para la se
segregación de las redes dentro de los dominios, y el
acceso permitido a través de las puertas de enlace, se recomiendan este basado sobre
una evaluación de los requisitos de seguridad de cada dominio.

Es recomendable que la a evaluación se realice de acuerdo o con la política de control de

acceso (véase el subinciso 9.1.1), los requisitos de acceso, el valor y la clasificación de
la información procesada y también tentenga en cuenta el impacto relativo de costo y el
impacto de desempeño de la incorporación de la tecnología de puerta de enlace
adecuada.

Las
as redes inalámbricas requieren un tratamiento especial debido a un perímetro de la
red pobremente definido. Es recomendable tratar el acceso inalámbrico como una
conexión externa y segrega
gregar este acceso de las redeses internas hasta que el acceso
haya pasado a través de una puerta de entrada en concordancia con la política de
control de red (véase el subinciso 13.1.1) antes de conceder el acceso a los sistemas
internos.

Las tecnologías de control acceso a la red a n

nivel de usuario, autenticación y cifrado de
estándares modernos basados en redes inalámbricas pueden ser suficientes
suficiente para la
conexión directa a la red interna de la organización cuando se implementa
correctamente.

Otra información
Las redes a menudo se extienden
tienden más allá de los límites organizativos, y por como las
asociaciones de negocio están conformadas
formadas pueden requerir la interconexión o el uso
compartido de las instalaciones red y procesamiento de la información.

Tales extensiones pueden aumentar el riesgo de acceso no autorizado a los sistemas

de información de la organización que utilizan la red, algunas de las cuales pueden
requerir protección de otros usuarios de la red debido a su sensibilidad o criticidad.

13.2 Transferencia de información

ivo: Mantener la seguridad de la información transferida dentro de una

Objetivo:
organización y cualquier entidad externa.

13.2.1 Políticas y procedimientos de transferencia de información

Control
Deben existir políticas formales de transferencia, procedimientos y controles
contro para
proteger la transferencia de información a través del uso de cualquier tipo de medio de
comunicación.

Guía de implementación
Los procedimientos y controles a seguir cuando se utilizan los servicios de
comunicaciones para la transferencia de infor
información es recomendable consideren
consider los
siguientes elementos:

rocedimientos diseñados para proteger la información transferida de

a) Procedimientos la
intercepción, copia, modificación, mal enrutamiento y la destrucción;

b) Procedimientos
rocedimientos para la detección y protección contr contra software malicioso
(malware) que puede transmiti
transmitirse a través del uso de las comunicaciones
electrónicas (véase
éase el subinciso 12.2.1);

c) Procedimientos
rocedimientos para la protección de la información sensible comunicada de
manera electrónica que está en forma de un archivo adjunto;

olíticas o lineamientos que describ

d) Políticas describan
n el uso aceptable de los servicios de
comunicación (véase
éase el subinciso 8.1.3);

e) Las responsabilidades de
del personal,
ersonal, parte externa y cualquier otro usuario no
comprometan la organización, por ejemplo, a través de la difamación, el acoso,
la suplantación, el reenvío de mensajes en cadena, compras no autorizadas,
etc.;

so de técnicas criptográficas por ejemplo, para proteger la confidencialidad,

f) Uso
integridad y autenticidad de la información (véase el capítulo 10);

g) Retención
etención y eliminación de lineamientos para toda la correspondencia de
negocio, incluidos los mensajes, de acuerdo con la legislación nacional y local y
sus regulaciones;

h) Los
os controles y las restricciones asociadas con el uso de los servicios de
comunicación, por ejemplo, reenvío automático de correo electrónico a
direcciones de correo externas;

i) Asesorar
sesorar al personal de tomar las precauciones adecuadas para no revelar
información confidencial;

j) Noo dejar mensajes que contienen iinformación confidencial ncial sobre las
la
contestadoras
as automática
automáticass ya que pueden ser reproducidos por personas no
autorizadas, almacenados en los sistemas comunales o almacenados
incorrectamente como resultado de mal marcaje /configuración;

k) Asesorar
sesorar al personal acerca de los probl
problemas del uso de máquinas o servicios
de fax, para lo cual necesitan saber:

1) El acceso no autorizado a los almacenes de mensajes existentes para

recuperar los mismos;

2) Programación
rogramación deliberada o accidental de las máquinas para enviar mensajes
a números específicos;
íficos;

3) Envío
nvío de documentos y mensajes a un número equivocado, ya sea por mal
marcaje o por estar utilizando un número equivocado almacenado.

Además, es recomendable que el personal recuerde no tener conversaciones

confidenciales en lugares públicos o en canales de comunicación no seguros, oficinas
abiertas y lugares de reunión.

Es recomendable que los os servicios de transferencia de información se ajusten a los

requisitos
quisitos legales pertinentes (véase el inciso 18.1).

Otra información
La transferencia de información
formación puede ocurrir mediante el uso de un número de
diferentes tipos de servicios de comunicación, incluyendo el correo electrónico, voz, fax
y vídeo.

La transferencia de información puede ocurrir a través de unaa serie de diferentes

medios, incluyendo la descarga de internet y el adquirir productos con vendedores
fuera de la plataforma.

Es recomendable se consideren implicaciones de negocio, legales y de seguridad

asociadas con el intercambio electrónico de datos, el comercio electrónico y las
comunicaciones electrónicas,, y los requisitos para los controles.

13.2.2 Acuerdos
cuerdos de transferencia de información

Control
Los acuerdos deben abordar la transferencia segura de la información del negocio
entre la organización y las partes externas.

Guía de implementación
Se recomienda que los
os acuerdos de transferencia de información incluyan lo siguiente:

a) Gestión de responsabilidades para el control y la notificación de la transmisión,

envío y recepción;

b) Procedimientos
rocedimientos para garantizar la trazabilidad y el no repudio
repudio;

c) Normas
ormas técnicas mínimas para el empaquetado y transmisión;

d) Acuerdos
cuerdos de custodia;

dentificación del mensajero;

e) Normas de identificación

f) Responsabilidades
esponsabilidades y obligaciones en caso de incidentes de seguridad de la
información, tales como la pérdida de datos;

g) Uso de un sistema de etiquetado para la información sensible o crítica,

asegurando que el significado de las etiquetas se entienda inmediatamente y
que la información esté protegida adecuadamente (v
(véase el inciso 8.2);

h) Normas
ormas técnicas para el registro y lectura de la información y software;
i) Todos
odos los controles especiales que se requier
requieran para proteger los elementos
sensibles, tales como la criptografía (v
(véase el capítulo 10);

j) Mantener
antener una cadena de custodia para la información mientras está en tránsito;

k) Niveles aceptables
ceptables de control de acceso.

Es recomendable establecer y mantener políticas, procedimientos y normas para

proteger la información y los medios físicos en tránsito (véase
éase el subinciso 8.3.3), y
referenciarlos en los acuerdos de transferencia.

El contenido de seguridad de la información de cualquier acuerdo es recomendable

refleje la sensibilidad de la información de negocio involucrada.

Otra información
Los acuerdos pueden ser en electrónico o manuales, y pueden ser parte de contratos
formales. Para la información confidencial, se recomienda que los mecanismos
específicos que se utilizan para la transferencia de información de ese tipo de
información sean consistentes con todas las organizaciones y tipos de acuerdos.

13.2.3 Mensajería electrónica

Control
a información involucrada
La en mensajes electrónicos debe estar protegida
apropiadamente.

Guía de implementación
Se recomienda que las as consideraciones de seguridad para la mensajería electrónica
incluyan lo siguiente:

roteger los mensajes del acceso no au

a) Proteger autorizado,
torizado, modificación o denegación del
de
servicio acorde con el esquema de clasificación adoptado por la organización;

b) Asegurar
segurar el correcto direccionamiento y transporte del mensaje;

c) La confiabilidad
fiabilidad y la disponibilidad del servicio;

d) Consideraciones legales,
les, por ejemplo, la obligación de la firma electrónica;

e) Obtener la previa aprobación para la utilización de los servicios públicos

externos, como la mensajería instantánea, redes sociales o el uso compartido
de archivos;

f) Niveles
iveles más fuertes de autentica
autenticación
ción de acceso de control de redes de acceso
público.

Otra información
Existen muchos tipos de mensajería electrónica como el correo electrónico, el
intercambio electrónico de datos y las redes sociales los cuales juegan un papel
importante en las comunicaciones
ciones de negocio.

13.2.4 Acuerdos de confidencialidad o no divulgación

Control
Se deben identificar, revisar regularmente y documentar los requisitos para los
acuerdos de confidencialidad o no divulgación reflejando las necesidades de la
organización para la protección
rotección de la información
información.

Guía de implementación
Se recomienda que los os acuerdos de confidencialidad o no divulgación aborden la
necesidad de proteger la información confidencial utilizando términos legalmente
exigibles. Los acuerdos de confidencialidad o no divulgación son aplicables a terceros o
empleados de la organización. Es recomendable que los elementos sean seleccionados
o incluidos en consideración del tipo de la otra parte y su acceso o la manipulación de
la información confidencial aceptable
aceptable. Para identificar los requisitos de los acuerdos de
confidencialidad o no divulgación, es recomendable que los siguientes elementos sean se
considerados:

a) Definir
efinir la información a proteger (por ejemplo, información confidencial);

b) Duración esperada del acuerdo

acuerdo, incluyendo casos dónde la confidencialidad
pueda necesitarse se mantenga indefinidamente;

cciones requeridas un acuerdo se termine;

c) Acciones

d) Responsabilidades
esponsabilidades y acciones de los firmantes para evitar la divulgación de
información no autorizada;

e) Propiedad de la información, secretos comerciales y propiedad intelectual,

intelectual y
cómo se relaciona con la protección de la información confidencial;

f) Ell uso permitido de la información confidencial y los derechos del firmante de

utilizar la información;

g) El derecho a auditar y supervisar las actividades que involucran información

confidencial;

h) Proceso para la notificación e informe de la divulgación no autorizada o fuga de

información confidencial;

i) Términos para destruir o devolver información en la cesación del acuerdo;

acuerdo

j) Acciones
cciones esperadas que deben adoptarse en caso de incumplimiento de este
acuerdo.

Con base en los requisitos de seguridad de la organización, pueden ser necesarios

otros elementos en un acuerdo de confidencialidad o no divulgación.

Es recomendable que los acuerdos de confidencialidad y no divulgación cumplan

cumpl con
todas las leyes y regulaciones
ulaciones de la jurisdicción a la que se aplica (véase el inciso
18.1).

Se recomienda que los os requisitos para los acuerdos de confidencialidad y no

divulgación deben ser revisa
ase revisen periódicamente y cuando se produzcan cambios
que influyan en estos requisitos.

Otra información
Los acuerdos de confidencialidad y no divulgación protegen la información de la
organización e informan a los signatarios de su responsabilidad de proteger, utilizar y
divulgar la información de una manera responsable y autorizada.

Puede existir la necesidad de una organización para utilizar diferentes formas de

acuerdos de confidencialidad o no divulgación en diferentes circunstancias.

14 ADQUISICIÓ
ADQUISICIÓN, DESARROLLO
RROLLO Y MANTENIMIENTO DE
SISTEMAS

14.1 Requisitos de seguridad para los sistemas de información

Objetivo: Garantizar que la seguridad de la información es una parte integral de los

sistemas de información a través de todo el ciclo de vida. Esto también
tambié incluye los
requisitos para los sistemas de información que proporcionan servicios sobre redes
públicas.

14.1.1 Análisis y especificaci

especificación
n de requisitos de seguridad de la información

Control
Los requisitos relacionados con la seguridad de la información deben estar incluidos en
los requisitos para los nuevos sistemas de información o mejoras a los sistemas de
información existentes.

Guía de implementación
Se recomienda que los os requisitos de seguridad de la información se identifiquen
usando diversos métodos, tales como los derivados de requisitos de cumplimiento de
políticas y regulaciones,, modelos de amenaza revisiones de incidentes o uso de
umbrales de vulnerabilidad. Es recomendable documentarlos los resultados de la
identificación y revisarlos con todas las partes interesadas.

Es aconsejable que los

os requisitos de seguridad de la información y controles reflejen
reflej el
valor de negocio de la información involucrada (véase el inciso 8.2) y el impacto
negativo potencial al negocio que pudiera derivarse de la falt falta
a de la seguridad
adecuada.

La identificación y gestión de los requisitos de la seguridad de la información y los

procesos asociados es recomendable sean integrados en las primeras fases de los
proyectos de los sistemas información. Es recomendable consideraciones tempranas de
los requisitos de seguridad de la información, por ejemplo, en la fase de diseño puede
dar lugar a soluciones de costo más eficaces y eficientes. Se recomienda que los l
requisitos de seguridad de la información también tengan en cuenta:

a) Ell nivel de confianza requerid

requerida hacia la identidad demandada de los usuarios,
con el fin de establecer los requisitos de autenticación de usuario;

b) Provisión
rovisión de acceso y los procesos de autorización, para los usuarios de
negocios, así como para usuarios privilegiados o técnicos;

c) Informar
nformar a los usuarios y operadores de sus funciones y responsabilidades;

as necesidades de protección requerida a los activos involucrados,

d) Las involucrados en
particular en relación con la disponibilidad ,la confidencialidad y la integridad;
integridad

e) Los
os requisitos derivados de los procesos de
del negocio, tales como el registro de
transacciones, monitoreo y requisitos de no repudio;

f) Los requisitos mandatorios por otros controles de seguridad, por ejemplo,

interfaces para el registro y monitoreo o sistemas
temas de detección de fugas de
datos.

Para las aplicaciones que ofrecen servicios a través de redes públicas o implementan
transacciones, es recomendable considerar los controles dedicados en los subincisos
14.1.2 y 14.1.3.

Si los productos se adquieren

adquieren, se recomienda seguir un proceso formal de adquisición
y pruebas. Es recomendable que llos contratos con el proveedor contengan los
requisitos de seguridad identificados. Cuando las funcion
funcionalidades
es de seguridad en un
producto propuesto
uesto no cumplen con el requisito especificado, es recomendable se
considere el riesgo presentado y controles asociados antes de comprar el producto.

Es recomendable evaluar e implementar llaa orientación disponible para la configuración

de seguridad del producto alineado con el sof
software final / servicio principal del sistema.

Se recomienda que los os criterios para la aceptación de los productos sean definidos por
ejemplo, en términos
inos de su funcionalidad, que den garantía de que los requisitos de
seguridad identificados se cumplen. Es recomendable que los os productos sean
evaluados en relación con estos criterios antes de la adquisición. Se recomienda que
cualquier funcionalidad adicional sea revisada para asegurarse de que no presenta
riesgos adicionales inaceptables.

Otra información
La NMX-I-27005-NYCE y la norma que se indica en el inciso A.21 del apéndice A
proporcionan orientación sobre el uso de los procesos de la gestión de riesgos para
cumplir con los requisitos de seguridad de la información.

14.1.2 Servicios de aplicaciones seguras en redes públicas

Control
La información involucrada en servicios de aplicaciones que pasan sobre redes públicas
debe estar protegida de actividades fraudulentas, disputas contractuales y exposición
no autorizada y modificación.

Guía de implementación
Se recomienda que las as consideraciones de seguridad de la información para los
servicios de aplicaciones en redes incluyan lo siguiente:

a) El nivel de confianza que cada parte requiere en cada una de la identidad del
otro, por ejemplo, a través de la autentica
autenticación;

b) Procesos
rocesos de autorización asociado
asociados con quiénes pueden aprobar el contenidos,
contenido
emitir o firmar documentos transaccionales clave;

c) Garantizar que la
a comunicación de llos socios sea plenamente informada
informad de sus
autorizaciones para la prestación o uso del servicio;

d) Determinar
eterminar y cumplir los requisitos de confidencialidad, integridad, de prueba
de envío y recepción de documentos clave y el no repudio de los contratos, por
ejemplo, asociados a los procesos de licitación y contratación;

e) El nivel de confianza requerido en la integridad de los documentos clave;

f) Requisitos de protección de cualquier información confidencial

onfidencialidad e integridad de cualquier orden de transacción, información de

g) Confidencialidad
pago, detalles de la dirección de la entrega y confirmaci
confirmación
ón de ingresos;
ingresos

h) Ell grado de verificación apropiado para verificar la información de pago

proporcionada por un cliente;

elección de la forma más adecuada el asentamiento del pago para evitar el

i) La selección
fraude;

j) El nivel
ivel de protección requerido para mantener lla
a confidencialidad y la
integridad de la orden de información;

k) Evitar la pérdida o duplicación de información de la transacción;

esponsabilidad asociada con cualquier transacción fraudulenta;

l) Responsabilidad

m) Requisitos de aseguradora
adoras;

Muchas de las consideraciones a anteriores

nteriores pueden ser abordadas por la aplicación de
controles criptográficos (véase
éase el capítulo 10), teniendo en cuenta el cumplimiento de
los requisitos legales (véase el capítulo 18, sobre todo ver el subinciso 18.1.5 para
legislación criptográfica).

Es recomendable que los

os acuerdos de servicios de aplicaciones entre los socios estén
apoyados por un acuerdo documentado que comprometa a ambas partes en los
términos acordados en los servicios, incluyendo los detalles de autorización (véase el
inciso “b” anterior).

Se recomienda considerar requisitos para la resistencia contra ataques que pueden

incluir requisitos para proteger los servidores de aplicación n involucrados o para
garantizar la disponibilidad de la interconexión de la red requerida para la entrega del
servicio.

Otra información
Las aplicaciones accesibles a través de redes públicas están sujetas a una serie de
amenazas relacionadas con la red, como las actividades fraudulentas, disputas

contractuales o divulgación de la información al público. Por lo tanto, las valoraciones

detalladas del riesgo y la selección adecuada de los controles son indispensables. Los
controles necesarios a menudo incluyen métodos criptográficos para la autenticación y
seguridad de la transferencia de datos.

os de aplicaciones pueden hacer uso de los métodos de autenticación

Los servicios
seguros, por ejemplo, utilizando criptografía de llave pública y firmas digitales (véase
(v
el capítulo 10) para reducir los riesgos. Además, las terceras partes de confianza
pueden usarse, cuando
uando dichos servicios sean necesarios.

14.1.3 Protección de aplicación de servicios de transacciones

Control
La información involucrada en transacciones de servicios de aplicación debe estar
protegida para prevenir transmisión incompleta, errores de enrutamie
enrutamiento,
nto, alteración de
mensajes no autorizados, divulgación no autorizada, duplicación del mensaje no
autorizado o reproducción.

Guía de implementación
Se recomienda que las as consideraciones de seguridad de la información para los
servicios de aplicación de transacciones incluyan lo siguiente:

a) El uso de la firma electrónica por cada una de las partes involucradas en la

transacción;

b) Todos
odos los aspectos de la transacción, por ejemplo, garantizar que:

1) La Información de autenticación secreta del usuario en todas

s las partes es
válida y verificada;

2) La
a transacción es confidencial;

3) Se mantiene la privacidad asociada con todas las partes involucradas;

c) Se encriptan los protocoles utilizados para comunicarse entre todas las partes
involucrados;

d) Son
on seguros los prot
protocolos
ocolos utilizados para la comunicación entre todas las
partes involucradas;

e) Asegurar
segurar que el almacenamiento de los detalles de la transacción se encuentran
fuera de cualquier entorno de acceso público, por ejemplo, en una plataforma
de almacenamiento exist
existente en la intranet de la organización,
organización y no están
retenidos y no se expusieron en un medio de almacenamiento accesible
directamente desde la internet;

f) Cuando
uando se utiliza una autoridad de confianza (por ejemplo, para efectos de la
expedición y el mantenimi
mantenimiento de las firmas digitales s y / o certificados
digitales). La seguridad está integrada de extremo a extremo de todo
odo el proceso
de gestión de la firma o certificado.

Otra información
La extensión de los controles adoptados necesita ser acorde con el nivel
niv de riesgo
asociado con cada forma de transacción de
del servicio de aplicación.

Las transacciones pueden necesitar cumplir con requisitos legales y regulatorios

regulatorio de la
jurisdicción desde la cual se genera la transacción, su medio de procesado,
procesado dónde se
termina y / o almacena.

14.2 Seguridad en desarrollo y procesos de soporte

Objetivo: Garantizar que la seguridad de la información se diseña e implementa en el

ciclo de vida del desarrollo de los sistemas de información.

14.2.1 Política de desarrollo seguro

Control
Deben establecerse y aplicarse reglas para el desarrollo de software y sistemas en los
desarrollos dentro de la organización.

Guía de implementación
El desarrollo seguro es un requisito para construir un servicio seguro, la arquitectura,
el software y el sistema. Dentro de una política de desarrollo seguro, los siguientes
aspectos se recomienda sean sometidos a su consideración:

a) Seguridad
eguridad del entorno de desarrollo;

b) Orientación
rientación sobre la seguridad en el ciclo de vida del desarrollo de software:

1) Seguridad en la metodología de
del desarrollo de software;

2) Asegurar directrices de codificación para cada lenguaje de programación

utilizado;

c) Requisitos
equisitos de seguridad en la fase de diseño;

d) Controles
ontroles de seguridad dentro de los hitos del proyecto;

e) Repositorios seguros;;

f) La
a seguridad en el control de versiones;

g) Conocimiento de las aplicaciones de seguridad requeridas;

h) La
a capacidad de los desarrolladores para evitar, encontrar y corregir
vulnerabilidades.

Es recomendable que técnicas seguras de programación se utilicen tanto para nuevos

desarrollos y en la reutilización de escenarios de código en donde las normas
aplicadas al desarrollo pueden no conocerse o no eran consistentes con las mejores
prácticas actuales. Se recomienda considerar llas
as normas de codificación segura
s y
cuando sea relevante exigir su uso. Es recomendable que losos desarrolladores sean
capacitados en su uso y se recomiendan revisiones de código y prueba para verificar
su uso.

Si el desarrollo se subcontrata, es recomendable que la organización obtenga

obten garantías
de que la parte externa cumple con estas normas de desarrollo seguro (véase el
subinciso 14.2.7).

Otra información
El desarrollo también puede implementarse dentro de aplicaciones, como las de
oficina, navegadores, scripts y bases de datos.

14.2.2 Procedimientos de control de cambios al sistema

Control
Los cambios a los sistemas dentro del ciclo de vida del desarrollo deben estar
controlados mediante el uso de procedimientos formales de control de cambios.

Guía de implementación
Documentar y aplicar los
os procedimientos formales para asegurar la integridad de los
sistemas, las aplicaciones y los productos, desde las etapas iniciales del diseño a
través de todos los esfuerzos de mantenimiento posteriores. Es recomendable que la l
introducción de nuevos sistemas y cambios importantes en los sistemas existentes siga
un proceso formal para la documentación, especificación, pruebas, control de calidad e
implementación gestionada

Se recomienda que este

ste proceso incluya una valoración de riesgos, el análisis de los
impactos de los cambios y la especificación de los controles de seguridad necesarios.
Es recomendable que este ste proceso también garantice que la seguridad y los
procedimientos existentes de control no estén comprometidos,, que a los
programadores de soporte se les proporcione el acceso a sólo aquellas partes del
sistema necesarios para su trabajo, y que se obtiene de acuerdo formal y la
aprobación de cualquier cambio.

Siempre que sea posible, es recomendable que se integren los procedimientos

operativos de control de cambios de aplicación y operacionales (véase el subinciso
12.1.2). Es recomendable que llos procedimientos de cambios incluyan lo siguiente,
siguiente sin
embargo no se limitan a:

antener un registro de los niveles de autorización acordados;

a) Mantener

b) Asegurar que los cambios son enviados por usuarios autorizados;

c) Revisión
evisión de los controles y procedimientos de integridad p
para
ara asegurar que ésta
no se ve afectada por los cambios;

d) Identificar todo el software, información, entidades de base de datos y del

hardware
rdware que requieran alguna modificación;

e) Identificarr y verificar el código crítico de seguridad para minimizar la

probabilidad de fallass de seguridad conocidos;

f) Obtener
btener la aprobación formal de propuestas detalladas antes de comenzar el
trabajo;

g) Garantizar
izar por usuarios autorizados la aceptación de los cambios antes de la
aplicación;

h) Garantizar
arantizar que el conjunto de documentación del sistema se actualiza a la
finalización de cada cambio y que la documentación antigua se archiva o se
elimina;

i) Mantener un control
ntrol de versiones para todas las actualizaciones del
de software;

j) Mantener
antener un registro de auditoría de todas las solicitudes de cambio;

segurar que la documentación operativa (v

k) Asegurar (véase el subinciso 12.1.1) y los
procedimientos de usuario se cambian según sea necesario para que
permanezcan adecuados;

l) Asegurar
segurar que la aplicación de los cambios se realiza en el tiempo adecuado y no
perturba los procesos de negocio involucrados.

Otra información
El cambio de software puede afectar el entorno operativo, y vicever
viceversa.
La buena práctica incluye la prueba de software nuevo en un entorno separado de los
entornos de producción y desarrollo (véase el subinciso 12.1.4). Esto proporciona un
medio de control sobre el nuevo software y permite protección adicional de la
información
mación operativa que se utiliza para propósitos de prueba
prueba. Es recomendable se
incluyan las actualizaciones de parches, paquetes de servicios y otras actualizaciones.

Cuando se consideren n actualizaciones automáticas, es recomendable ponderar el

riesgo paraa la integridad y la disponibilidad del sistema contra el beneficio del
despliegue rápido de las actualizaciones. Se recomienda que no se utilicen las l
actualizaciones automáticas en sistemas críticos debido a que algunas actualizaciones
pueden causar fallas a las aplicaciones críticas.

14.2.3 Revisión técnica de aplicaciones después de cambios en la

plataforma de operación

Control
Cuando cambian las plataformas operativas, las aplicaciones críticas del negocio deben
revisarse y probarse para garantizar que no h hay
ay un impacto adverso en las
operaciones de la organización o en la seguridad.

ste proceso incluya:

Se recomienda que este

a) Revisar del control de aplicaciones y procedimientos de integridad para

asegurar que no han sido comprometidos por los cambios en la plataforma
p de
operación;

b) Asegurar
segurar que la notificación de cambios en la plataforma de operación se
proporciona a tiempo para permitir las pruebas y revisiones adecuadas las
cuales se realizan antes de la implementación ;

c) Asegurar que los cambios necesario

necesarios
s se hacen a los planes de continuidad del
de
negocio (véase el capítulo 17).

Otra información
Las plataformas operativas incluyen sistemas operativos, bases de datos y plataformas
que asisten a una aplicación para interactuar o comunicarse con otras aplicaciones
aplica

(middleware). El control también es recomendable se aplique a los cambios de las

aplicaciones.

14.2.4 Restricciones a los cambios en los paquetes de software

Control
Se deben disuadir las modificaciones a los paquetes de software, limitar a los cambios
necesarios
ecesarios y todos los cambios deben estar estrictamente controlados.

Guía de implementación
Siempre que sea posible y factible, es recomendable que los paquetes de software
suministrados por los vendedores
endedores se utilicen sin modificación. Cuando un paquete de
d
software requiera modificación, se recomienda que los siguientes puntos sean
considerados:

a) Los riesgos de la implementación controles y los procesos de integridad sean

comprometidos;

btener el consentimiento del vendedor

b) Obtener vendedor;

c) La posibilidad
osibilidad de obtener lo
los cambios necesarios del vendedor como las
actualizaciones del programa estándar;

d) Ell impacto si la organización se hace responsable por el mantenimiento futuro

del software como resultado de los cambios;

e) La
a compatibilidad con otro software en uso.

Si los
s cambios son necesarios es recomendable conservar el software original y los
cambios sean aplicados en una copia designada. Implementar una na actualización de
software de gestión de procesos para asegurar que los parches aprobados estén
actualizados y las actualizaciones
ctualizaciones de la aplicación estén instalados para todo el
software autorizado (véase el subinciso 12.6.1). Probar y documentar todos t los
cambios, de modo que se puede volver a aplicar si es necesario para futuras
actualizaciones de software. Si es nece
necesario, las modificaciones pueden ser probadas y
validadas por un organismo independiente de evaluación.

14.2.5 rincipios de ingeniería en sistemas seguros

Principios

Control
Se deben establecer, documentar, mantener y aplicar principios de ingeniería para
sistemas seguros
s a cualquier esfuerzo de implementación de sistemas de información.

Guía de implementación
Es recomendable que los procedimientos de ingeniería de sistemas de información
seguros, basados en principios de ingeniería se establezcan, documenten en y apliquen a
actividades internas de ingeniería de sistemas de información. Se recomienda que la l
seguridad sea diseñada en todas las capas de la arquitectura (de negocio, datos,
aplicaciones y tecnología) equilibrando la necesidad de seguridad de la información con
la necesidad de la accesibilidad. Es recomendable que las as nuevas tecnologías sean
analizadas con respecto a los riesgos de seguridad y el diseño sea revisado contra los
patrones de ataque conocidos.

Se recomienda que estosstos principios y los procedimientos de ingeniería establecidos

sean revisados regularmente para asegurar que están contribuyendo eficazmente a en
la perfección de las
as normas de seguridad dentro del proceso de ingeniería.
ingeniería También se
recomienda revisarlos periódicamente para asegurar que se m mantienen
antienen al día en
cuanto a la lucha contra las posibles nuevas amenazas y que siguen siendo aplicables a
los avances en las tecnologías y soluciones aplicables. Es recomendable que la l
organización confirme e si ese rigor de los principios de ingeniería de seguridad
eguridad de los
proveedores es comparable con el propio.

Otra información
Es recomendable que los os procedimientos de desarrollo de aplicaciones apliquen
técnicas de ingeniería segura
seguras en el desarrollo de aplicaciones con interfaces de
entrada y salida. Las técnicas de ingeniería segura proporcionan orientación sobre
técnicas de autenticación de usuarios, control de sesión segura y validación de datos,
desinfección y eliminación de códigos de depuración.

14.2.6 Entorno de desarrollo seguro

Control
Las organizaciones
nes deben establecer y proteger apropiadamente los entornos de
desarrollo seguro para el desarrollo del sistema y los esfuerzos de integración que
cubran todo el ciclo de vida del desarrollo del sistema.

Guía de implementación
Un entorno de desarrollo seg
seguro
uro incluye las personas, los procesos y la tecnología
relacionados con el desarrollo e integración de sistemas.

Se recomienda que lasas organizaciones evalué los riesgos asociados con cada uno de los
esfuerzos individuales del desarrollo de
del sistema y establezca entornos seguros de
desarrollo para los esfuerzos de desarrollo de
del sistema específico.

ensibilidad de los datos a ser procesados, almacenados y transmitidos por el

a) Sensibilidad
sistema;

os e internos
b) Los requisitos externo s aplicables, por ejemplo, de las regulaciones
regu o
políticas;

c) Controles
ontroles de seguridad ya implementados por la organización que apoyan el
desarrollo del sistema
sistema;

d) Fiabilidad
iabilidad del personal que trabaj
trabaja en el entorno (véase subinciso 7.1.1.;
7.1.1.

e) Ell grado de externalización asociado con entornos de desarrollo

rollo del sistema;

f) La necesidad de una s
segregación entre los diferentes entornos de desarrollo;

g) Control
ontrol del acceso al entorno de desarrollo;

h) Monitoreo de los cambios en el entorno y en el código almacenado en el mismo;

i) Los respaldos estén almacena

almacenados en
n lugares fuera de las instalaciones seguras;

j) Control
ontrol sobre el movimiento de datos desde y hacia el entorno.

Una vez que el nivel de protección se determina para un entorno de desarrollo

específico, se recomienda que las organizaciones documenten los procesos proc
correspondientes en procedimientos de desarrollo seguros y proporcionarlos a todas
las personas que los necesiten.

14.2.7 Desarrollo de sistemas subcontratado

Control
La organización debe supervisar y monitorear la actividad del desarrollo de sistemas
subcontratados
ontratados (outsourcing).

Guía de implementación
Cuando el desarrollo del sistema es subcontratado, se recomienda que los siguientes
puntos sean considerados a través de toda la cadena de suministro externo de la
organización:

a) Acuerdos de licenciamiento
miento, la propiedad de código y derechos de propiedad
intelectual relacionados con el contenido de terceros (v(véase
éase el subinciso
18.1.2);

b) Requisitos
equisitos contractuales para las prácticas de diseño seguro, codificación y
pruebas (véase el subinciso 14.2.1);

c) Provisión del modelo de amenaza aprobado para el desarrollador externo;

ruebas de aceptación sobre la calidad y adecuación de los entregables;

d) Pruebas entregables

e) Presentación de evidencias respecto a que los umbrales de seguridad se utilizan

para establecer los niveles mínimos ace
aceptables
ptables de seguridad y calidad de la
privacidad;

f) Presentación de evidencias respecto a que se aplicaron suficientes pruebas para

proteger contra la falta de contenido malicioso tanto intencional como no
intencionall hasta su entrega
entrega;

g) Presentación de evide
evidencias
ncias respecto a que se aplicaron suficientes pruebas para
proteger contra la presencia de vulnerabilidades conocidas;

h) Acuerdos de garantía,, por ejemplo, si el código fuente ya no está disponible;

i) Derecho
erecho contractual para auditar los procesos y controles de desarrollo;

j) Documentación
ocumentación eficaz d
de la construcción del entorno utilizado
o para crear
productos finales

k) La
a organización sigue siendo responsable del cumplimiento de las leyes y de la
verificación de la eficiencia del control.

Otra información
Para más s información sobre las relaciones con proveedores se puede encontrar en las
normas s que se indican en los inciso
incisos A.16 y A.17 del apéndice A.

14.2.8 Pruebas de seguridad a los sistema

Control
Se deben llevar a cabo pruebas de la funcionalidad de seguridad dur
durante
ante el desarrollo

Guía de implementación
Los sistemas nuevos y actualizados requieren pruebas exhaustivas y verificación
durante los procesos de desarrollo incluyendo la preparación de un programa detallado
de actividades, entradas de prueba y los resultados
tados esperados bajo una serie de
condiciones. En cuanto al desarrollo interno, se recomienda que estas esta pruebas
inicialmente sean realizadas por el equipo de desarrollo. Es recomendable que después
se realicen pruebas independientes
dientes (tanto internas como parara los desarrollos externos)
para asegurar que el sistema funciona como se esperaba (véanse los subincisos 14.1.1
y 14.1.9). Es recomendable que e el alcance de las pruebas sea proporcional a la
importancia y la naturaleza del sistema.

14.2.9 Pruebas de aceptación del sistema

Control
Se deben establecer programas de pruebas de aceptación y criterios relacionados para
los nuevos sistemas de información, actualizaciones y nuevas versiones.

Guía de implementación
Se recomienda que lasas pruebas del sistema incluyan pruebas de los requisitos de
seguridad de la información (véa
(véanse los subincisos 14.1.1 y 14.1.2) y la adherencia
adhe
para asegurar prácticas del desarrollo seguro del sistema (véase
éase el subinciso 14.2.1).
Es recomendable que la a prueba también se lleve a cabo sobre los componentes
recibidos y en los sistemas integrados. Las organizaciones pueden aprovechar las
herramientas automatizadas, como las herramientas de análisis de vulnerabilidad de
código o escáneres, y verifica
verificar la corrección de los defectos relacionados
relacionad con la
seguridad.

Es recomendable que las as pruebas se realicen en un entorno de prueba realista para

asegurar que el sistema no va a introducir vulnerabilidades al entorno de la
organización y que las pruebas son confiables.

14.3 Datos de prueba

Objetivo: Garantizar la protección de los datos usados para las pruebas.

14.3.1 Protección de los datos de prueba

Control
Los datos de prueba deben seleccionarse, protegerse y controlarse cuidadosamente.-
cuidadosamente.

Guía de implementación
Se recomienda evitar ell uso de datos operacionales que contengan información
personal o cualquier otra información confidencial con fines de prueba. Si la
información de identificación personal o información de confidencial se utiliza para
propósitos de prueba, es recomendable que todos los datos os sensibles y el contenido se
proteja contra la eliminación o modificació
modificación para más información véase la norma que
se indica en el inciso A.20 del apéndice A.

Se recomienda que las siguientes directrices se apliquen para proteger los datos
operacionales,, cuando se utilizan con fines de prueba:

a) Los
os procedimientos de control de acceso, que se aplican a los sistemas
operaciones y las aplicaciones es recomendable se utilicen también a los
sistemas de aplicación de prueba;

b) Es recomendable exist
xista una autorización
ación por separado cada vez que la
información operacional se copia en un entorno de prueba;

c) La
a información operacional sea borrada de un entorno de prueba
inmediatamente después de que la prueba esté completa;

d) Se registre la
a copia y u
uso de la información operacional para proporcionar una
pista de auditoría.

Otra información
Las pruebas de aceptación y del sistema usualmente requieren grandes volúmenes
substánciales de datos de prueba que estén lo más cerca posible a los datos
operacionales.

15 RELACIÓN CON PROVEEDORES

15.1 Seguridad de la información en relación con proveedores

proveedor

Objetivo: Garantizar la protección de los activos de la organización que sea accesible

por los proveedores.

15.1.1 Política de Seguridad de la iinformación

nformación para la relación
relaci con
proveedores

Control
Se deben acordar con los proveedores y documentarse los requisitos de seguridad de
la información para la mitigación de los riesgos asociados con el acceso de proveedores
a los activos de la organización.

Guía de implementación
Se recomienda la organizaci
rganización identifique y establezca controles de seguridad para
tratar específicamente el acceso a la información dedel proveedor de la organización en
una política. Es recomendable que e estos controles traten procesos y procedimientos a
ser implementados porr la organización, así como los procesos y procedimientos que la
organización va a solicitar al proveedor implementar, incluyendo:

a) Identificación
dentificación y documentación de los tipos de proveedores por ejemplo,
servicios de TI, servicios de logística, servicios ffinancieros,
inancieros, componentes de
infraestructura de TI a quienes la organización va permitir el acceso a su
información;

b) Un
n proceso estandarizado y ciclo de vida para gestionar las relaciones con
múltiples proveedores;

c) Definir los tipos de acceso a la información

ión que a los diferentes tipos de
proveedores va permitirse, y monitorear y controlar el acceso;

d) Los
os requisitos mínimos de seguridad para cada tipo de información y el tipo de
acceso que sirva como base para acuerdos individuales con proveedores
basados en n las necesidades de
del negocio de la organización, los requisitos y el
perfil de riesgo;

e) Procesos
rocesos y procedimientos para controlar la adherencia de los requisitos de
seguridad establecidos para cada tipo de proveedor y tipo de acceso, incluyendo
la revisión a terceras partes y validación del producto;

f) Precisión
recisión y exactitud de los controles para asegurar la integridad de la
información o procesamiento de la información proporcionada por cualquiera de
las partes;

g) Tipos
ipos de obligaciones aplicables a los proveedores
dores para proteger la información
de la organización;

h) Manejo
anejo de incidentes y contingencias relacionados con el acceso del proveedor
incluyendo las responsabilidades de la organización y los proveedores;

i) Capacidad,, y si es necesario acuerdos de contingencia y recuperación para

garantizar la disponibilidad de la información o procesamiento de la información
proporcionada por cualquiera de las partes;

j) Capacitación para la concientización del personal de la organización involucrado

en la consecución con respecto a las políticas aplicables, procesos y
procedimientos;

k) Capacitación para la concientización del personal de la organización que

interactúan con el personal de los proveedores con respecto a las reglas
adecuadas de participación y compromiso en función
ón del tipo de proveedor y el
nivel de acceso de los proveedores a los sistemas y a la información de la
organización;

l) Las condiciones bajo las cuales los requisitos de seguridad y los controles van a
documentarse en un acuerdo firmado por ambas partes;

m) Gestión de las transiciones necesarias de información, instalaciones de

procesamiento de la información y cualquier otra cosa que moverse,
moverse y asegurar
que la seguridad de la información se mantiene durante todo el período de
transición.

Otra información
La
a información puede ponerse en peligro por los proveedores con una gestión
inadecuada de seguridad de la información
información. Es recomendable que los os controles se
identifiquen y apliquen para administrar el acceso a las instalaciones de procesamiento
de la información. Por ejemplo, se p pueden utilizar acuerdos de no divulgación,
divulgación si existe
una necesidad especial para la confidencialidad de la información, Otro ejemplo son los
riesgos de protección de datos, cuando el acuerdo del proveedor implica la
transferencia de, o el acceso a la información a través de las fronteras. La organización

necesita ser consciente de la responsabilidad legal o contractual para proteger la

información que permanezca
nezca en la organización.

15.1.2 Abordar la seguridad dentro los acuerdos con proveedores

dores

Control
Todos los requisitos de seguridad de la información relevantes deben establecerse y
acordarse con cada proveedor que pueda acceder, procesar, almacenar, comunicar, o
proporcionar componentes de la infraestructura de TI de la información de la l
organización. .

Guía de implementación
Se recomienda establecer y documentar llos
os acuerdos con proveedores para asegurar
que no existan malentendidos entre la organización y el proveedor con respecto a las
obligaciones de ambas partes de cumplir con los requisitos de seguridad pertinentes.

Es recomendable que los os siguientes términos se consideren para su inclusión en los

acuerdos con el fin de satisfacer los requisitos de seguridad identificados:

a) Descripción
escripción de la información que se va proporcionar o facilitar el acceso y los
métodos para proporcionar o acceder a la información;

b) Clasificación de la información de acuerdo con el esquema de clasificación de la

organización (véase
éase el inciso 8.2), si es necesario también el mapeo entre el
esquema de clasificación
icación propio de la organización y el esquema de clasificación
del proveedor;

c) Los
os requisitos legales y regulatorios incluyendo la protección de datos, la
propiedad intelectual y los derechos de autor y la descripción de cómo se va a
garantizar que se cum
cumplan;

ada parte contractual para implementar un conjunto acordado

d) La obligación de cada
de controles incluyendo el control de acceso, evaluación de desempeño,
monitoreo, reporte y auditoría;

e) Reglas de uso aceptable de la información, incluyendo el uso inaceptable

inacep si
necesario;

ualquier lista explícita del persona

f) Cualquier personal autorizado del proveedor para recibir o
acceder a la información
información, procedimientos de la organización o condiciones para
la autorización, y retiro de la autorización para el acceso a,, o recibir la
información
nformación de la organización por el personal del proveedor;

g) Políticas
olíticas de seguridad de la información relevantes para el contrato específico;

h) Requisitos
equisitos y procedimientos de manejo de incidentes (especialmente
notificaciones y colaboraci
colaboraciones durante la remediación de los incidentes);

i) Requisitos de capacitación y concientización para los procedimientos y

requisitos específicos de seguridad de la información, por ejem
ejemplo,
plo, de respuesta
a incidentes y de procedimientos de autorización;

j) Regulaciones relevant
relevantes para la subcontratación, incluyendo los controles que
necesitan aplicarse en caso de subcontratación;

k) Asociados en el acuerdo pertinente

pertinente,, incluyendo una persona de contacto para
temas de seguridad de información;

l) Requisitos de investigación, si los hay

y para los usuarios de los proveedores,
incluyendo responsabilidades para realizar investigaciones y notificación de
procedimientos si la investigación no se ha terminado o si los resultados son
motivo de duda o preocupación;

m) Derecho
erecho a auditar los proceso
procesoss de los proveedores y los controles relacionados
con el acuerdo;

esolución de defectos y resolución de conflictos;

n) Procesos para la resolución

o) Obligación
bligación del proveedor para entregar periódicamente un informe l
independiente sobre la eficacia de los controles y el acuerdo sobre la corrección
a tiempo de temas relevantes derivados d del informe;

p) Las
as obligaciones de los proveedores para cumplir con los requisitos de
seguridad de la organización.

Otra información
Los acuerdos pueden variar considerablemente para las diferentesiferentes organizaciones y
entre los diferentes tipos de proveedores. Por lo tanto, es recomendable tener cuidado
de incluir todos los riesgos y requisitos relevantes de seguridad de la información. Los
acuerdos con los proveedores también pueden involucra
involucrarr a otras partes (por ejemplo,
sub-proveedores).

Los procedimientos para continuar el procesamiento en caso de que el proveedor se

vuelva incapaz de suministrar sus productos y servicios necesitan ser considerados en
el acuerdo para evitar cualquier retra
retraso en los servicios o productos sustituidos en la
organización.

15.1.3 adena de suministro

Cadena en tecnologías de la información y
comunicaciones

Control
Los acuerdos con proveedores deben incluir los requisitos para tratar los riesgos de
seguridad de la información
n asociados con la información y los servicios de tecnología
de las comunicaciones, y la ca
cadena de suministro de productos.

Guía de implementación
Se recomienda que losos siguientes temas sean considerados para su inclusión en
acuerdos con proveedores con respecto a la cadena de suministro:

a) Definición
efinición de los requisitos de seguridad que se aplican a los productos o
adquisición de servicios de tecnologías de la información y comunicación,
además de los requisitos generales de seguridad para las relaciones con
co los
proveedores;

b) Para los servicios de tecnologías de la información y comunicación

comunicaci requieren
que los proveedores propaguen los requi
requisitos de seguridad de la organización a
través de la cadena de suministro si los proveedores subcontratan
subcontrat para las
partes
s del servicio d
de tecnologías de la información y comunicación que se
proporciona a la orga
organización;

c) Para
ara los productos de tecnologías de la información y la comunicación,
requieren que los proveedores propaguen las prácticas apropiadas de la
seguridad a través de la cadena de suministro si estos productos incluyen
componentes comprados a otros proveedores;

d) Implementación de un proceso de monitoreo y los métodos aceptables para la

validación de que productos y servicios de tecnología de la información y
comunicación se adhieren a los requisitos de seguridad establecidos;

e) Implementación
mplementación de un proceso para la identificación de los componentes del
producto o servicio que son críticos para el mantenimiento de la funcionalidad y
por lo tanto requieren mayor a atención
tención y escrutinio cuando se construya fuera
de la organización, especialmente si el proveedor de nivel superior subcontrata
los aspectos de los componentes del servicio o producto de otros proveedores;

f) Obtención
btención de garantías de que los componentes crícríticos
ticos y su origen puede
rastrearse a lo largo de la cadena de suministro;

g) Obtención
btención de garantías de que la información entregada y de los productos de
tecnologías de la información y comunicación están funcionando como se
esperaba, sin ninguna característica inesperada o no deseada;

h) Definir las reglas para el intercambio de información sobre la cadena de

suministro y los posibles problemas y compromisos entre la organización y los
proveedores;

i) Implementación de procesos específicos para el manejo de infoinformación

rmación y ciclo
de vida de los componente
componentes de tecnologías de comunicación, la disponibilidad y
los riesgos asociados a la seguridad. Esto incluye que la gestión de los riesgos
de los componentes ya no estestén disponibles debido a que los proveedores ya
no están
tán en el negocio o llos os proveedores ya no proporcionen
proporcione estos
componentes debido a los avances tecnológicos.

Otra información
Las prácticas específicas de gestión del riesgo de las tecnologías de la información y
comunicación de la cadena de suministro se realizan en la parte superior de la
seguridad de la información en general, prácticas de la calidad, gestión de proyectos e
ingeniería del sistema pero esto no los reemplaza.

En las organizaciones se asesora el trabajo con los proveedores para entender la

cadena de suministro de tecnología
tecnologías de la información y comunicación y todos los
asuntos que tienen un impacto importante sobre los productos y servicios que se
proporcionan.. Las organizaciones pueden influir en la
las
s prácticas de la seguridad de la
información de la cadena de suministro de las tecnologías de la información y
comunicación, dejando claro en los acuerdos con sus proveedores los asuntos que
necesitan tratarse por otros proveedores en la cadena de suministro de las tecnologías
de la información y comunicación.

La tecnología de la información y la comunicación de la cadena de suministro que se

tratan aquí incluyen los servicios de cómputo en la nube.

15.2 Administración de entrega de servicios del proveedor

Objetivo: Mantener un nivel acordado de se seguridad

guridad de la información y la entrega de
servicios alineados con los acuerdos de proveedores
proveedores.

15.2.1 Monitoreo y revisión de los servicios de proveedores

Control
Las organizaciones deben monitorear, revisar y auditar regularmente la entrega del
servicio de proveedores

Guía de implementación
Se recomienda que el monitoreo y revisión de los servicios de los proveedores asegure
asegur
que los términos y las condiciones de la seguridad de la información de los acuerdos se
están cumpliendo y que los incidentes y los problemas de seguridad de la información
se manejan adecuadamente.

Es recomendable que esto impli

implique un proceso de gestión de servicios relacionados
entre la organización y el proveedor para:

a) Monitorear los niveles de desempeño del servicio para verificar el cumplimiento

de los acuerdos;

b) Revisar los informes de servicio

servicios producidos por el proveedor y organizar
reuniones periódicas de progreso como sea requerido por los acuerdos;

c) Llevar
levar a cabo auditorías a los proveedores, en conjunto con la revisión de los
informes de auditores
es independiente, si están disponible, y el seguimiento de
los problemas identificad
identificados;

d) Proporcionar
roporcionar información sobre los incidentes de la seguridad de la información
y la revisión de esta información como sea requerido por los acuerdos
acuerdo y por
cualquier directriz de soporte y procedimientos;

evisar las evidencias de la auditoría de los proveedores y los registros de

e) Revisar
eventos de seguridad de la información, problemas de operación,
operación fallas de
trazabilidad de fallas e interrupciones relacio
relacionadas
nadas con el servicio prestado;

f) Resolver
esolver y gestionar los problemas identificados;

g) Revisar
evisar aspectos de seguridad de la información de las relaciones con los
proveedores, con sus propios proveedores;

h) Asegurarse
segurarse de que el proveedor mantiene suficiente capa capacidad
cidad de servicio,
junto con los planes viables diseñados para a asegurar que los niveles de
continuidad del servicio acordados se mantienen después de fallas mayores o
desastres en el servicio (véase el capítulo 17).

Es recomendable que la a responsabilidad de la gestión de las relaciones con los

proveedores se asigne a una persona designada o al equipo de gestión del servicio.

Además, se recomienda que la organización se asegure de que los proveedores

asignen responsabilidades para la revisión del cumplimie
cumplimiento
nto y la aplicación de los
requisitos de los acuerdos. Es recomendable que estén disponibles suficientes recursos
y conocimientos técnicos para monitorear que los requisitos del acuerdo, en particular,
los requisitos de la seguridad de la información, se e
estén cumpliendo. Se recomienda
tomar medidas adecuadas cuando se observ observen
n las deficiencias en la entrega de
servicio.

Se recomienda que la a organización mantenga un control global suficiente y visibilidad

dentro de todos los aspectos de información sensibl
sensible
e o crítica o instalaciones de
procesamiento de la información accesible
accesible, procesados o gestionados por un
proveedor. Es recomendable que lla organización se asegure de mantener la visibilidad
dentro de las actividades de seguridad, tales como la gestión del de cambio, la
identificación de las vulnerabilidades
vulnerabilidades, presentación de informes y respuesta de
incidentes de seguridad de la información a través de un proceso definido de informes.

15.2.2 Gestión de cambios a los servicios de proveedores

Control
Los cambios en la provisión de servicios por parte de proveedores, incluyendo el
mantenimiento y la mejora de las políticas de seguridad de la información existentes,
procedimientos y controles, deben ser administrados, tomando en cuenta la criticidad
de la información del
el negocio, sistemas y procesos involucrados y la re
re--valoración de
los riesgos.

Guía de implementación
Se recomienda que los
os siguientes aspectos se tom
tomen en consideración:

a) Cambios
ambios en los acuerdos con los proveedores;

b) Cambios
ambios realizados por la organizac
organización para implementar:

1) Mejoras
ejoras en los servicios actuales ofrecidos;

esarrollo de nuevas aplicaciones y sistemas;

2) Desarrollo

3) Modificación
odificación o actualización de las políticas y los procedimientos de la
organización;

4) Controles nuevos o modificados para resolver incidentes

entes de seguridad de la
información y para mejorar la seguridad;

c) Cambios
ambios a implementar en los servicios de los proveedores:

1) Cambios
ambios y mejoras a las redes;

2) Uso de nuevas tecno

tecnologías;

3) Adopción
dopción de nuevos productos o nuevas versiones / entregas;

erramientas y entornos de desarrollo;

4) Nuevas herramientas

5) Cambios
ambios de ubicación física de las instalaciones del servicio;

6) Cambio
ambio de proveedores;

ubcontratación a otro proveedor.

7) Subcontratación

16 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA

INFORMACIÓN

16.1 Gestión
ón de incidentes de seguridad de la información y mejora

Objetivo: Garantizar un enfoque consistente y eficaz para la gestión de incidentes de

seguridad de la información, incluyendo la comunicación de eventos de seguridad y
debilidades.

16.1.1 Responsabilidades y procedimientos

Control
La gestión
tión de responsabilidades y de los procedimientos deben ser establecidos para
asegurar una respuesta rápida, eficaz y ordenada a los incidentes de la seguridad de la
información.

Guía de implementación
Se recomienda considerar los siguientes puntos para lla gestión de responsabilidades y
procedimientos para la gestión incidentes de la seguridad de la información:

a) Establecer la gestión de responsabilidades para asegurar que los siguientes

procedimientos se han desarrollado y comunicado adecuadamente dentro de la
organización:

1) Los procedimientos
rocedimientos para la planificación y preparación de respuesta a
incidentes;

rocedimientos para el monitoreo, detección, análisis y reporte de

2) Los procedimientos
eventos e incidentes de seguridad de la información;

3) Los procedimientos para la

las actividades de registro de gestión de incidentes;

4) Procedimientos para el manejo de la evidencia forense;

rocedimientos para la evaluación y decisión sobre los eventos de la

5) Los procedimientos
seguridad de la información y la evaluación de debilidades de seguridad de la
información;

6) Los procedimientos
rocedimientos de respuesta incluyendo aquellos para la escalación,
escalación
recuperación controlada de un incidente y la comunicación a las personas
internas y externas u organizaciones;

b) Es recomendable que llos procedimientos establecidos aseguren que:

1) Personal
ersonal competente trate los temas relacionados con los incidentes de la
seguridad de la información dentro de la organización;

2) Se implemente un punto de contacto para la detección de incidentes de

seguridad de la
a información;

3) Se mantienen los os ccontactos

ontactos apropiados con las autoridades, grupos de
interés externo o foros que manejan temas relacionados
s con incidentes de la
seguridad de la información.

c) Es recomendable que llos procedimientos de informes establecidos incluyan:

1) Preparación de form
formularios para informar eventos de seguridad de la
información para soportar las acciones reportadas y para ayudar a la persona
a recordar todas las acciones necesarias en caso de un evento de la
seguridad de la información;

2) Ell procedimiento a realizar en c caso

aso de un evento de seguridad de la
información, por ejemplo
ejemplo,, tomando nota de todos los detalles como, el tipo
de incumplimiento o violación, mal funcionamiento existente,, los mensajes
que aparecen en pantalla, inmediatamente, e informar inmediatamente al
punto de contacto y tomar sólo las acciones coordinadas;

3) Referencia
eferencia a un proceso disciplinario formal establecido para tratar con los
empleados, quienes
ienes cometen violaciones de la seguridad;

rocesos adecuados de retroalimentación para asegurar que aquellas

4) Procesos aquell
personas que informaron sobre eventos de seguridad de la información son
notificados de los resultados después de que el problema ha sido tratado y
cerrado.

Es recomendable que losos objetivos para la gestión de incidentes de seguridad de la

información sean acordados con la dirección, y asegurar que los responsables de la
gestión de incidentes de seguridad de la información entiendan las prioridades de la
organización para el manejo de incidentes de la seguridad de la información.

Otra información
ncidentes de seguridad de la información p
Los incidentes pueden
n trascender las fronteras
organizacionales y nacionales. Para responder a estos incidentes existe una creciente
necesidad de coordinar la respuesta y compartir información sobre estos incidentes con
organizaciones
ones externas, según sea apropiado.

Una orientación detallada sobre la gestión de incidentes de seguridad de la información

se proporciona en la norma que se indica en el inciso A.15 del apéndice A.

16.1.2 Reporte de eventos de seguridad de la información

Control
Los eventos de seguridad de la información deben reportarse a través de canales de
gestión apropiados tan rápido como sea posible
posible.

Guía de implementación
Se recomienda que todos
odos los empleados y usuarios externos sean conscientes de su
responsabilidad de reportar cualquier evento de seguridad de la información lo más
rápidamente posible. Es recomendable que ellos sean conscientes d del
el procedimiento

para informar sobre los eventos de seguridad de la información y el punto de contacto

en el cual los eventos son reportados.
Es recomendable que las as situaciones a ser consideradas para el reporte de eventos de
seguridad de la información incluy
incluyan:

ontrol de seguridad ineficaz

a) Control ineficaz;

b) Violación de las expectativas de la integridad, confidencialidad o disponibilidad

de la información;

c) Errores humanos;

d) Incumplimiento
ncumplimiento de las políticas o lineamientos;

e) Violaciones de las medidas de seguridad física;

f) Cambios
ambios no controlados del sistema;

g) Mal
al funcionamiento de software o hardware;

h) Violaciones
iolaciones de acceso.

Otra información
Un mal funcionamiento u otro comportamiento extraño del sistema puede ser un
indicador de un ataque de seguridad o violación de la seguridad real y por lo tanto es
recomendable que siempre sea reportado como un evento de seguridad de la
información.

16.1.3 eporte de debilidades de seguridad de la información

Reporte

Control
Se debe exigir a los empleados y contratistas que utilizan los sistemas y servicios de
información de la organización anotar e informar cualquier debilidad de seguridad de la
información percibida
da o sospechosa en los sistemas y servicios.

Guía de implementación
Se recomienda que todos
odos los empleados y contratistas reporten estos asuntos al punto
de contacto lo más pronto posible con el fin de prevenir incidentes de seguridad de la
información. Es recomendable que e el mecanismo de información sea lo más fácil y
accesible posible.

Otra información
Los empleados, contratistas y usuarios externos necesitan ser asesorados respecto a
no intentar probar presuntas debilidades de seguridad. Las pruebas a las debilidades
pueden ser interpretadas como un posible mal uso del sistema, y también puedenp
causar daños en el sistema o servicio de información y resultar en una responsabilidad
legal para la persona que realiza la prueba.

16.1.4 Evaluación y decisión sobre los eventos de seguridad de la

información

Control
Los eventos de seguridad de la información deben ser evaluados y se debe decidir si
son clasificados como incidentes de seguridad de la información.

Guía de implementación
Se recomienda que ell punt
punto de contacto evalúe los eventos de la seguridad de la
información utilizando la información acordada de eventos de seguridad y la escala de
clasificación de incidentes y decidir si los acontecimientos son clasificados como
incidentes de seguridad de la in
información. La clasificación y priorización de incidentes
puede ayudar a identificar el impacto y el alcance de un incidente.

En caso donde la organización cuente con un equipo de respuesta de incidentes de

seguridad de la información, la evaluación y la d
decisión pueden remitirse a ellos para la
confirmación o reevaluación.

Es recomendable que losos resultados de la evaluación y la decisión se registre a detalle

con el propósito de una referencia y verificación futura.

16.1.5 Respuesta a incidentes de seguridad d

de la información

Control
Se debe responder a los incidentes de seguridad de la información de acuerdo con los
procedimientos documentados.

Guía de implementación
Se recomienda que losos incidentes de seguridad de la información sean respondidos por
personall del punto de contacto y otras personas relevantes de la organización o por las
partes externas (véase
véase el subinciso 16.1.1).

Es recomendable que la
a respuesta incluya lo siguiente:

a) Recopilación de evidencia tan pronto como sea posible después de la

ocurrencia;

b) Realización del análisis forense de seguridad, según sea necesario (véase el

subinciso 16.1.7);

c) La escalación,, según sea necesario;

d) Garantizar
arantizar que todas las actividades de respuesta involucradas se registran
adecuadamente para su posterior anális
análisis;

e) Se
e comunica la existencia de los incidentes de seguridad de la información o
cualquier detalle relevante del mismo a personas internas s y externas
extern u
organizaciones con una necesidad de saber;

f) Tratar las debilidad(es) de la seguridad de la información encontradas

encontrada para
encontrar la causa
ausa o contribuir al incidente;

g) Una
na vez que el incidente ha sido tratado con éxito, se d
dé el cierre formal y se
registra.

Se recomienda realizar ell análisis post

posterior al incidente, como sea necesario, para
identificar el origen
rigen del incidente.

Otra información
El primer objetivo de la respuesta a incidentes es reanudar "un nivel de seguridad
normal " y después iniciar la recuperación necesaria.

16.1.6 Aprendizaje de incidentes de seguridad de la información

Control
nto obtenido a partir del análisis y la resolución de incidentes de seguridad
El conocimiento
de la información debe utilizarse para reducir la probabilidad o el impacto de futuros
incidentes.

Guía de implementación
Se recomienda que existan mecanismos implementados para permitir la cuantificación
y monitoreo de los tipos, volúmenes y costos de los incidentes de seguridad de la
información. Es recomendable que lla a información obtenida de la evaluación de
incidentes de seguridad de la información se utilice para identificar los incidentes de
impacto alto o recurrente.

Otra información
La evaluación de los incidentes de seguridad de la información puede indicar la
necesidad de mejorar o adiciona
adicionar controles para limitar la frecuencia, el daño y el costo
cost
de futuras ocurrencias,, o para tomarse en cuenta en el proceso de la revisión de la
política de seguridad (véase
éase el subinciso 5.1.2).

Con el debido cuidado de los aspectos de confidencialidad, las anécdotas de incidentes

reales de seguridad de la información se pueden utilizar en la capacitación de
concientización a los usuarios (v
(véase el subinciso 7.2.2) como ejemplos de lo que
puede suceder, cómo responder a estos incidentes y cómo evitarlos en el futuro.

16.1.7 Recopilación de evidencia

Control
La organización debe definir y apli aplicar
car procedimientos para la identificación,
recopilación, adquisición y preservación de la información que puede servir como
evidencia.

Guía de implementación
Se recomienda que losos procedimientos internos sean desarrollados y seguidos cuando
se trata de evidencias para propósitos disciplinarios y acciones legales.

En general, estos procedimientos para evidencias se recomiendan proporcionen

procesos de identificación, recopilación, adquisición y conservación en concordancia
con los diferentes tipos de medio
medios,
s, dispositivos y el estado de los dispositivos, por
ejemplo, encendido o apagado. Se recomienda que los os procedimientos tomen en
cuenta:

a) La cadena
adena de custodia;

eguridad de las pruebas;

b) La seguridad

c) La seguridad
eguridad del personal;

d) Los roles y responsabilidades del pe

personal involucrado;

ompetencia del personal;

e) La competencia

f) La documentación;

g) Reuniones informativas
as.

Es recomendable buscar cuando estén disponibles, la certificación u otros medios

relevantes para la calificación del personal y las herramientas, con el fin de fortalecer
f
el valor de la evidencia preservada.

La evidencia forense puede trascender los límites organizacionales y jurisdiccionales.

En tales casos, es recomendable asegurar que la organización tiene derecho a recopilar
la información requerida como evid evidencia
encia forense. Los requisitos de las distintas
jurisdicciones también necesitan considerarse para maximizar las posibilidades de
admisión en todas las jurisdicciones pertinentes.

Otra información
La identificación
dentificación es el proceso que implica la búsqueda de reconocimiento y
documentación de posibles evidencias. La recopilación es el proceso de reunir los
elementos físicos que pueden contener las posibles evidencias. La adquisición
dquisición es el
proceso de crear una copia de los datos dentro de un conjunto definido. La
preservación
reservación es el proceso de mantener y salvaguardar la integridad y el estado
original de la evidencia potencial.

Cuando se detecta por primera vez un evento de seguridad de la información, puede

no ser obvio si el evento puede resultar en una acción judicial o no.. Por lo tanto, existe
el peligro de que las pruebas necesarias se destruyan intencionalmente o
accidentalmente antes de identificar la gravedad del incidente. Es conveniente
involucrar a un abogado o a la policía al inicio de cualquier acción
n legal contemplada y
buscar asesoramiento sobre las evidencias necesarias.

En la norma que se indica en el inciso A.18 del apéndice A proporciona lineamientos

para la identificación, recopilación, adquisición y preservación de evidencia digital.

17 ASPECTO
ASPECTOSS DE SEGURIDAD DE LA INFORMACIÓN EN
E
LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO

17.1 Continuidad de la seguridad de la información

Objetivo: Se debe integrar la continuidad de la seguridad de la información en los

sistemas de gestión de continuidad del negocio de la organización.

17.1.1 Planeación de la continuidad de la seguridad de la información

Control
La organización debe determinar sus requisitos de seguridad de la información y la
continuidad de la gestión de seguridad de la información en situaciones adversas,
adver por
ejemplo, durante una crisis o desastre.

Guía de implementación
Se recomienda que la organización determin
determine si la continuidad de la seguridad de la
información es capturada den entro del proceso de gestión de la continuidad del negocio o
en el proceso o de gestión de recuperación de desastres. Es recomendable que los l
requisitos de seguridad de la información se determinen cuando se planifiquen
planifi para la
continuidad del negocio y la recuperación ante desastres.
Ante la falta de planificación formal de la continuidad
ontinuidad de negocios y de recuperación de
desastres, es recomendable que la gestión ión de la seguridad de la información asuma
que los requisitos de seguridad de la información siguen siendo los mismos en
situaciones adversas, en comparación con las condicicondiciones operacionales normales.
Alternativamente, una organización puede realizar un análisis de impacto en el negocio
para los aspectos de seguridad de la información para determinar los requisitos de
seguridad de la información aplicables a las situaciones adversas.

Otra información
Con el fin de reducir el tiempo y el esfuerzo de un análisis de impacto "adicional" de
negocios para la seguridad de la información, se recomienda capturar los aspectos de
seguridad de la información dentro de la gestión de la continuidad
ontinuidad del negocio o
análisis del impacto al negocio de la gestión
ón de recuperación de desastres. Esto implica
que los requisitos de la continuidad de seguridad de la información se formulen
formul de
manera explícita, en los procesos de gestión de continuidad de negocio y gestión de
recuperación de desastres.

La información sobre la gestión de la continuidad del negocio se puede encontrar en las

la
normas s que se indican en los incisos A.5, A.6 y A.9 del apéndice A.

17.1.2 Implementación de la continuidad de seguridad de la información

Control
La organización debe establecer, documentar, implementar y mantener procesos,
procedimientos y controles para garantizar el nivel requerido de continuidad para la
seguridad de la información durante una situación adversa.

Guía de implementación
Se recomienda que una
na organización se asegure que:

a) Una estructura de gest

gestión adecuada implementada para preparar,
prepara mitigar y
responder ante un evento perturbador utilizando el personal con la autoridad
necesaria, experiencia y competencia
competencia;

b) Se designe el personal con la responsabilidad, autoridad y competencia

necesarias para gestionar un incidente y mantener la seguridad de la
información;

c) Los procedimientos
imientos de recuperación, respuesta y planes son desarrollados y
aprobados, detallando có
cómo la organización se e encarga de un evento

perturbador y mant
mantiene la seguridad de la información a un nivel
predeterminado, basado en los objetivos de la continuidad de seguridad de la
información aprobado por la dirección (véase el subinciso 17.1.1).

De acuerdo con los requisitos de la continuidad de seguridad de la información, es

recomendable que la organización establezca, documente, implemente y mantenga:
manten

a) Los controles de la seguridad de la información dentro de los procesos,

procesos
procedimientos de recupe
recuperación de desastres y continuidad del negocio,
negocio
sistemas de apoyo y herramientas
herramientas;

b) Los
os procesos, los procedimientos e implementación de los cambios para
mantener los controles de seguridad de la información existentes durante una
situación adversa;

c) Los controles de compensación para los controles de seguridad de la

información que no se puede
pueden mantener durante una situación adversa.

Otra información
Dentro del
el contexto de la continuidad del negocio o la recuperación de desastres, los
procesos y los procedimientos
mientos específicos pueden ser definidos. Es recomendable que
se proteja la
a información que se maneja dentro de estos procesos y procedimientos o
dentro de los sistemas de información dedicados para apoyar estos.. Por lo tanto, se
recomienda que una organi
organización involucre a especialistas en seguridad de la
información, cuando estable
establezca, implemente y mantenga los procesos y
procedimientos de la continuidad del negocio o de recuperación de desastres.

Se recomienda que los os controles de seguridad de la inform

información
ación que se han
implementado continúen operando durante una situación adversa. Si los controles de
seguridad no son capaces de seguir protegiendo la información, es recomendable que
otros controles se estable
establezcan, implementen y mantengan para tener un nivelni
aceptable de la seguridad de la información.

17.1.3 Verificación,, revis

revisión y evaluación de la continuidad de seguridad de
la información

Control
La organización debe verificar los controles de la continuidad de la seguridad de la
información establecidos y aplicados a intervalos regulares con el fin de asegurarse de
que son válidos y eficaces en situaciones adversas.

Guía de implementación
Los cambios a procedimiento y proceso
proceso, técnicos u operacionales ya sea en un
contexto operacional o de continuidad pued
pueden
en dar lugar a cambios en los requisitos de
la continuidad de seguridad de la información. En tales casos, la continuidad de los
procesos, procedimientos y controles para la seguridad de la información
inf es
recomendable sean revisados contra esos requisitos modificados.

Se recomienda que las as organizaciones verifiquen su gestión de continuidad de la

seguridad de la información a través de:

a) El ejercicio y prueba de la funcionalidad de los procesos,, procedimientos y

controles de continuidad de la seguridad de la información, para asegurarse de

que son consistentes

tes con los objetivos de la continuidad de seguridad de la
información;

b) El ejercicio y prueba de conocimiento y de la rutina para operar los procesos,

procesos
los procedimientos y los controles de la continuidad d de seguridad de la
información,, para asegurar que su desempeño es consistente con los objetivos
de la continuidad de seguridad de la información
información;

evisión de la validez y eficacia de la

c) Revisión las medidas de continuidad de seguridad de
la información cuando los s sistemas de información, los procesos de seguridad
de la información, los procedimientos y controles de la gestión continuidad de
la seguridad de la información / gestión de recuperación de desastres y
soluciones para el cambio.

Otra información
La verificación de los controles de la continuidad de seguridad de la información es
diferente de las pruebas de seguridad de la información general y es recomendable
que la verificación se realice e fuera de la
las pruebas de los cambios. Si es posible, es
preferible integrar
ntegrar la verificación de los controles de continuidad de la seguridad de la
información de la organización con las pruebas de continuidad del negocio y las
pruebas de recuperación de desastres
desastres.

17.2 Redundancias

Objetivo: Garantizar la disponibilidad de las instalaciones de procesamiento de la

información.

17.2.1 Disponibilidad de las instalaciones de procesamiento de la

información

Control
Las instalaciones de procesamiento de la información deben implementarse con
suficiente redundancia para cumplir con los req
requisitos de disponibilidad.

Guía de implementación
Se recomienda que las as organizaciones identifiquen los requisitos de negocio para la
disponibilidad de los sistemas de información. Cuando la disponibilidad no puede ser
garantizada utilizando la arquitect
arquitectura de los sistemas existentes, es recomendable que
se consideren componentes o arquitecturas redundantes.

Donde sea aplicable, es recomendable que los sistemas de información redundantes

sean probados para asegurar que el sistema de contingencia de un componente
mponente a otro
componente trabaje como se esperaba.

Otra información
La aplicación de redundancias puede presentar riesgos para la integridad o la
confidencialidad de los sistemas de información y la información, que necesitan
considerarse cuando se diseñ
eña los sistemas de información.

18 CUMPLIMIENTO

18.1 Cumplimiento con los requisitos legales y contractuales

Objetivo: Evitar brechas de obligaciones legales, estatutarias, regulatorias o

contractuales relacionadas con la seguridad de la información y cualq
cualquier
uier requisito de
seguridad.

18.1.1 Determinación de la legislación aplicable y los requisitos

contractuales

Control
Todos los requisitos legislativos, regulatorios, contractuales relevantes y el enfoque de
la organización para cumplir con estos requisitos debe debenn estar explícitamente
identificados, documentados y mantenerse actualizados para cada sistema de
información y para la organización.

Guía de implementación
Se recomienda que losos controles específicos y las responsabilidades individuales para
cumplir con estos requisitos se definan y documenten.

Es recomendable que los os gerentes identifi

identifiquen todas las leyes aplicables a su
organización con el fin de cumplir con los requisitos para su tipo de negocio. Si la
organización realiza negocios en otros países, es recomendable que los gerentes
consideren el cumplimiento en todos los países pertinentes.

18.1.2 Derechos de propiedad intelectual

Control
Se deben implementar procedimientos apropiados para garantizar el cumplimiento con
los requisitos legislativos, regulator
regulatorios
ios y contractuales relacionados con los derechos de
propiedad intelectual y el uso de productos de software patentado
patentado.

Guía de implementación
Se recomienda que las
as siguientes directrices sean consideradas para proteger cualquier
material que pueda ser considerado
nsiderado propiedad intelectual:

a) Publicar
ublicar una política de cumplimiento de los derechos de propiedad intelectual
que defina el uso legal del software y la información de los productos;

b) Adquirir el software sólo a través de fuentes conocidas y de buena reputación,

rep
para asegurar que no se violan los derechos de autor;

c) Mantener
antener la conciencia de las políticas para proteger los derechos de propiedad
intelectual y dando aviso de la intención de tomar acciones disciplinarias contra
el personal que las viole
viole;

d) Mantener registros de activos apropiados e identificar todos los activos con los
requisitos para proteger los derechos de propiedad intelectual;

e) Mantener prueba y evidencia de la titularidad de las licencias, discos maestros,

manuales, etc.;

f) Implementar controles
troles para asegurar que no se exceda el número máximo de
usuarios permitidos dentro de la licencia
licencia;

g) Llevar
levar a cabo revisiones que sólo el software autorizado y productos
licenciados están instalados;

h) Proporcionar
roporcionar una política de mantenimiento de condic
condiciones
iones de licencia
apropiada;

roporcionar una política para la eliminación o la transferencia de software a

i) Proporcionar
otros;

j) Cumplir
umplir con los términos y condiciones para el software y la información
obtenida de redes públicas;

k) No
o duplicar, convertir a otro formato o extraer grabaciones comerciales
(películas,
as, audio) que no sean permitido
permitidos
s por la ley de derechos de autor;

l) No
o copiar en su totalidad o en parte, los libros, artículos, informes y otros
documentos, que no sean permitidos por la ley de derechos de autor.

Otra información
Los derechos de propiedad intelectual incluyen las licencias de código fuente del
software, documentos de derechos de autor, derechos de diseño, marcas y patentes.

Los productos de software de propiedad exclusiva se suelen proporcionar bajo un

acuerdo de licencia que especifica los términos y condiciones de la licencia, por
ejemplo, la limitación del uso de los productos en máquinas específicas o limitan
limita el
copiado solamente a la creación de copias de respaldos. Es recomendable que la
concientización y la importancia de derechos de propiedad intelectual se comuniquen
comuni al
personal para el software desarrollado por la organización.

Los requisitos legales, regulatorios y contractuales pueden imponer restricciones a la

copia del material patentado.
ntado. En particular, p
pueden exigir que sólo el material que es
desarrollado por la organización
organización, que tiene licencia o es proporcionado
proporcionad por el
desarrollador a la organización, se pueda utilizar. La infracción de los derechos de
autor puede conducir a acci
acciones legales, lo que puede implicar multas y procesos
penales.

18.1.3 Protección de registros

Control
Los registros deben estar protegidos contra pérdida, destrucción, falsificación, acceso
no autorizado y divulgación no autorizada, de acuerdo con los requisitos
requisito legales,
regulatorios, contractuales y de negocios

Guía de implementación
Al decidir sobre la protección de los registros específicos de la organización,
organización es
recomendable que su clasificación correspondiente, con base en el esquema de
clasificación adoptado
ado por la organización sea considerado. Se recomienda que los l
registros sean categorizados dentro de los tipos de registro, por ejemplo, registros
contables, registros de bases de datos, registros de eventos de transacciones, registros
eventos de auditoríaa y los procedimientos operativos, cada uno con los detalles de los

períodos de retención y el tipo de medio de almacenamiento permitido,, por ejemplo,

papel, microfichas, magnético, óptico. Cualquier material de llaves relacionadas con la
criptografía y los
s programas asociados con los archivos cifrados o firmas digitales
(véase el capítulo 10), también se recomiendan sean almacenados para permitir el
descifrado de los registros y mantener los registros en un período de tiempo.

Se recomienda considerar la p
posibilidad
osibilidad de deterioro de los medios utilizados para el
almacenamiento de registros. Es recomendable que procedimientos de
almacenamiento y manipulación se apliquen en concordancia con las recomendaciones
del fabricante.

Cuando se eligen los medios de al almacenamiento electrónico, es recomendable

establecer los procedimientos para asegurar la capacidad de acceso a los datos (tanto
a los medios de comunicación y formato
formatos de legibilidad) durante todo el período de
retención para proteger contra la pérdida deb
debido a un cambio tecnológico futuro.

Es recomendable que losos sistemas de almacenamiento de datos sean elegidos de tal

manera que los datos requeridos pueden ser recuperados en un plazo de tiempo y
formato aceptable, en función de los requisitos que n
necesitan cumplirse.

El sistema de almacenamiento y manipulación se recomiendan garanticen garanti la

identificación de los registros y de su período de retención como se define en la
legislación o regulación nacional o regional, si aplica. Es recomendable que este e
sistema permita la adecuada destrucción de los registros después de dicho plazo, si no
son necesarios para la organización.

Para cumplir con estos objetivos de protección de registros, es recomendable que los
siguientes pasos se consideren dentro de una organización:

a) Emitir directrices sobre la retención,

ción, el almacenamiento, la manipulación y
eliminación de los registros y la información;

b) Elaborar los programa

rogramas de retención identificando los registros y el período de
tiempo durante el cual necesitan retenerse;

c) Mantener
antener un inventario de las fuentes de información clave.

Otra información
Alguno registros pueden necesitar mantener
mantenerse de forma segura para cumplir con los
requisitos legales, regulatorios, reglamentarios o contractuales, así como para apoyar
las actividades esenciales del negocio
negocio.. Los ejemplos incluyen los registros que puedan
ser necesarios como evidencias de que una organización opera dentro de las normas
legales o regulatorias,, para garantizar la defensa adecuada contra posibles acciones
civiles o penales o para confirmar la situación financiera de una organización a los
accionistas, las partes externas y los auditores. La legislación nacional o regulación
pueden n establecer el período de tiempo y contenido de los datos para la retención de
información.

Más información sobre la administración de registros de la organización se puede

encontrar en la norma que se indica en el inciso A.4 del apéndice A.

18.1.4 Privacidad y protección de información de identificación personal

Control
Se debe asegurar la privacidad y protección de la información de identificación
personal conforme sea requerido en la legislación y regulación relevante aplicable

Guía de implementación
Se recomienda desarrollar e implementar un una
a política de datos de una organización
para la privacidad y protección de la información identificable personal. Esta política
necesita ser comunicada a todas las personas involucradas en el procesamiento de la
información personal identificable.

El cumplimiento con esta política

política, la legislación relevante y las normas relativas a la
protección de la privacidad de las personas y la protección de la información personal
identificable requiere una estructura y control adecuada de la gestión.. A menudo esto
se logra mejor mediante la designación de una p persona
ersona responsable, como un oficial
de la privacidad, que sirva de guía a los administradores, a los usuarios y a los
proveedores de servicios sobre sus responsabilidades individuales y los procedimientos
específicos que se deben seguir. Se recomienda tratar con responsabilidad para el
manejo de la información de la identificación de personal y asegurar la concientización
de los principios de privacidad en concordancia con las legislaciones y regulaciones
pertinentes. Es recomendable implementar medidas org organizacionales
anizacionales y técnicas
apropiadas para proteger la información de identificación personal.

Otra información
La norma que se indica en el inciso A.19 del apéndice A proporciona un marco de alto
nivel para la protección información de identificación pers
personal dentro
ntro de los sistemas
de información, tecnología y comunicación
comunicación.. Una serie de países han introducido
legislación implementado controles en la recopilación,, procesamiento y transmisión de
la información de identificación personal (por lo general la in
información
formación sobre personas
vivas que pueden ser identificados a partir de esa información). Dependiendo de la l
legislación nacional respectiva, esos controles pueden imponer obligaciones sobre la
información personal recogen, procesan y difunden, y también pu pueden
eden restringir la
l
capacidad de transferir la información de identificación personal a otros países.

18.1.5 Regulación de controles criptográficos

Control
Los controles criptográficos deben ser usados en cumplimiento con todos los acuerdos,
legislación y regulaciones
ciones relevantes.

Guía de implementación
Es recomendable que losos siguientes elementos sean considerados para el cumplimiento
de los acuerdos, leyes y regulaciones
egulaciones relevantes
relevantes:

a) Restricciones sobre la importación y / o exportación de hardware y software

para
ara realizar funciones criptográficas;

b) Restricciones sobre la importación y / o exportación de hardware y software que

está diseñado para tener funciones criptográficas añadidas a él;

c) Restricciones
estricciones sobre el uso de cifrado;

d) Métodos
étodos obligatorios o discre
discretos de acceso por las autoridades de los países a la
información cifrada por hardware o software para proporcionar la
confidencialidad de los contenidos.

Se recomienda buscar asesoramiento jurídico para asegurar el cumplimiento con las

regulaciones y legislaciones
laciones relevantes
relevantes. También es recomendable tomar asesoría
jurídica antes de trasladar información cifrada o controles criptográficos a través de los
límites jurisdiccionales.

18.2 Revisión de seguridad de la información

Objetivo: Garantizar que la segurida

seguridad
d de la información es implementada y operada de
acuerdo con las políticas y procedimientos de la organización.

18.2.1 Revisión independiente de la seguridad de la información

Control
El enfoque de la organización para la gestión de la seguridad de la información
informaci y su
implementación (es decir, objetivos de control, controles, políticas, procesos y
procedimientos para la seguridad de la información) deben ser revisados
independientemente a intervalos planeados o cuando se ocurran cambios significativos.

Guía de implementación
Se recomienda que la direc dirección inicie la revisión independiente. Tal revisión
independiente es necesaria para asegurar la continua idoneidad y eficacia del enfoque
de la organización para la gest
gestión de seguridad de la información. Es recomendable
recomen
que la revisión incluya la evaluación de oportunidades de mejora y la necesidad de
cambios en el enfoque de la seguridad, incluidos los objetivos de control y política.

Dicha revisión debe llevarse a cabo por personas físicas independientes del área que
se examina, por ejemplo, la función de auditoría interna, un administrador
independiente o una organización de una parte externa especializada en este tipo de
revisiones. Las personas que realizan estestas revisiones tengan las habilidades y
experiencia apropiadas.

Los resultados de la revisión independiente es recomendable sean registrados y

comunicados a la dirección que inició la revisión. Se recomienda que estos
e registros
deben mantenerse.

Si la revisión independiente identifica que el enfoque e implementación

mplementación para manejar
la gestión
ión de seguridad de la información de la organización no es adecuada, por
ejemplo, los objetivos y requisitos documentados no se cumplen o no cumplen con la
dirección de seguridad de la información establecida en las políticas de seguridad de la
información (véase
éase el subinciso 5.1.1), es recomendable que la dirección considere
consider
acciones correctivas.

Otra información
Las normas que se indican en los incisos A.7 y A.8 del apéndice A proporcionan una
guía para llevar a cabo la revisión independiente.

18.2.2 Cumplimiento de las políticas y normas de seguridad

Control
Los gerentes deben revisar regularmente el cumplimiento del procesamiento de la
información y procedimientos dentro de su área de responsabilidad con las políticas de
seguridad apropiadas, normas y cualquier otro requisito de seguridad.

Guía de implementación
Se recomienda que los
os gerentes deben identifiquen la forma de revisar el cumplimiento
de los requisitos de seguridad de la información definidos en las políti
políticas,
cas, normas y
demás regulaciones aplicable. Es recomendable la medición automática y herramientas
de informes para una eficiente revisión periódica.
Si se determina cualquier incumplimiento como resultado de la revisión, los gerentes
deben:

a) Identificar las
s causas del incumplimiento;

b) Evaluar la necesidad de acciones para alcanzar el cumplimiento

c) Implementar
mplementar las acciones correctivas apropiadas;

d) Revisar
evisar las acciones correctivas realizadas para verificar su eficacia e identificar
cualquier deficiencia o deb
debilidades.

Se recomienda que losos resultados de las revisiones y las acciones correctivas llevadas
a cabo por los gerentes sean registrados y estos registros se [Link] Es
recomendable que losos gerentes reporten los resultados a las personas que llevan a
cabo revisiones independientes (véase el subinciso 18.1.1), cuando un revisión
independiente se lleva a cabo en el área de su responsabilidad.

Otra información
El control operativo de la utili
utilización del sistema se trata en el inciso 12.4.

18.2.3 Revisión del cumplimiento

mplimiento técnico

Control
Los sistemas de información deben ser revisados regularmente para su cumplimiento
con las políticas y normas de seguridad de la información de la organización.

Guía de implementación
Se recomienda que la revisión del cumplimiento técnico se realice preferentemente con
la ayuda de herramientas automatizadas que generan informes técnicos para una
interpretación posterior por parte de un técnico especialista. Alternativamente, se
puede realizar la revisión manual (con el apoyo de herramientas de software
apropiadas, si es necesario) por un ingeniero de
del sistema experimentado.

Si se utilizan pruebas de penetración o evaluaciones de vulnerabilidad, es

recomendable tener precaución ya que tales actividades p
pueden llevar a comprometer
compromete
la seguridad del sistema. Es recomendable que estas pruebas sean planificadas,
documentadas y repetibles.

Otra información
La revisión del cumplimiento técnico implica la examinación de los sistemas
operacionales para asegurar que los controles de har
hardware
dware y software se han
implementado correctamente. Este tipo de revisión de cumplimiento requiere de
conocimientos técnicos especializados.

La revisión de cumplimiento también abarca, por ejemplo, pruebas de penetración y

evaluaciones de vulnerabilidad, que pueden ser llevadas a cabo por expertos
independientes contratados específicamente para este propósito. Esto puede ser útil en
la detección de vulnerabilidades en el sistema y para la inspección de qué tan eficaz
son los controles en la prevención del acceso no autorizado debido a estas
vulnerabilidades.

Las pruebas de penetración y evaluaciones de vulnerabilidad proporcionan una foto de

un sistema en un estado específico en un momento específico. La foto se limita a
aquellas partes del sistema probadas realmente durante el o los intentos de
penetración.. Las pruebas de penetración y evaluaciones de vulnerabilidad no son un
sustituto para la valoración de riesgos.

La norma que se indica en el inciso A.8 del apéndice A proporciona orientación

específica sobre la inspección de
del cumplimiento técnico.

19 BIBLIOGRAFÍA

ISO/IEC Directives, Part 2

NMX-I-20000-1-NYCE-2012 Tecnologías de la información – Gestión

del servicio – Parte 1: Requisitos del
sistema de gestión del servicio.
servicio

14
NMX-I-20000/02-NYCE-2014 Tecnologías de la información – Gestión
del servicio – Parte
arte 2: Guía en la
aplicación de los sistemas de gestión del
servicio.

20 CONCORDANCIA CON NORMAS INTERNACIONALES

orma coincide totalmente con la norma internacional ISO/IEC 27002:2013

Esta norma 2700
“Information Technology — Security Techniques — Code of Practice for Information
Security Controls”.

APÉNDICE A
(Informativo)

NORMAS QUE COMPLEMENTAN A ESTA NORMA MEXICANA

En tanto no se elaboren las Normas Mexicanas, se debe usar de manera supletoria

supletor las
siguientes normas:

A.1 ISO/IEC 11770-1:2010

1:2010 Information Technology Security Techniques —
Key Management — Part 1: Framework.

A.2 ISO/IEC 11770-2:2008

2:2008 Information Technology — Security Techniques
— Key Management — Part 2: Mechanisms
Using Symmetric Techniques.

A.3 ISO/IEC 11770-3:2008

3:2008 Information Technology — Security Techniques
— Key Management — Part 3: Mechanisms
Using Asymmetric Techniques.

A.4 ISO 15489-1:2001 Information and Documentation — Records

Management — Part 1: General.

A.5 ISO 22301:2012 Societal Security — Business Continuity

Management Systems — Requirements.

A.6 ISO 22313:2012 Societal Security — Business Continuity

Management Systems — Guidance.

A.7 ISO/IEC 27007:2011 Information Technology — Security Techniques

— Guidelines for Information Security
Management Systems Auditing.

A.8 ISO/IEC TR 27008:2011 Information Technology — Security Techniques

— Guidelines for Auditors on Information
Security Controls.

A.9 ISO/IEC 27031:2011 Information Technology — Security Techniques

— Guidelines for Information and
Communication Technology Readiness for
Business Continuity.

A.10 ISO/IEC 27033-1:2009

1:2009 Information Technology — Security Techniques
— Network Security — Part 1: Overview and
Concepts.

A.11 ISO/IEC 27033-2:2012

2:2012 Information Technology — Security Techniques
— Network Security — Part 2: Guidelines for the
Design and Implementation of Network
Security.

A.12 ISO/IEC 27033-3:2010

3:2010 Information Technology — Security Techniques
— Network Security — Part 3: Reference

Networking Scenarios — Threats, Design

Techniques and Control Issues.

A.13 ISO/IEC 27033-4:2014

4:2014 Information Technology — Security Techniques
— Network Security — Part 4: Securing
Communications Between Networks Using
Security Gateways.

A.14 ISO/IEC 27033-5:2013

5:2013 Information Technology — Security Techniques
— Network Security — Part 5: Securing
Communications Across Networks Using Virtual
Private Network (VPNs).

A.15 ISO/IEC 27035:2011 Information Technology — Security

Securit Techniques
— Information Security Incident Management.

A.16 ISO/IEC 27036-1:2014

:2014 Information Technology — Security Techniques
— Information Security for Supplier
Relationships — Part 1: Overview and Concepts.

A.17 ISO/IEC 27036-3:2013

:2013 Information Technology — Security Techniques
— Information Security for Supplier
Relationships — Part 3: Guidelines for ICT
Supply Chain Security.

A.18 ISO/IEC 27037:2012 Information Technology — Security Techniques

— Guidelines for Identification, Collection,
Collecti
Acquisition and Preservation of Digital Evidence.

A.19 ISO/IEC 29100:2011 Information Technology — Security Techniques

— Privacy Framework.

A.20 ISO/IEC 29101:2013 Information Technology — Security Techniques

— Privacy Architecture Framework..

A.21 ISO 31000:2009 Risk Management — Principles and Guidelines.

Common questions

Con tecnología de IA

Para la transferencia segura de información entre redes de diferentes niveles de confianza dentro de una organización, es fundamental implementar políticas formales y procedimientos que protejan la información transferida de problemas como intercepción, copia, modificación o destrucción . La segregación de redes debe ser efectiva mediante el uso de dominios de red con niveles de confianza específicos, como redes físicas o lógicas protegidas por cortafuegos . Se deben establecer controles de acceso adecuados, como autenticación y cifrado, para redes inalámbricas y conexiones externas . Además, es crucial utilizar técnicas criptográficas para garantizar la confidencialidad, integridad y autenticidad de la información . En el contexto de la transferencia de medios físicos, debe garantizarse la protección contra el acceso no autorizado mediante el uso de mensajeros confiables y un empaquetado apropiado . También es importante documentar y auditar la eliminación segura de medios para minimizar el riesgo de fuga de información .

Para asegurar que los desarrollos subcontratados cumplan con las normas de desarrollo seguro, una organización debe establecer un control riguroso del entorno de desarrollo seguro, que incluya un monitoreo constante de las actividades del proveedor externo para garantizar la seguridad en todo el ciclo de vida del sistema . Se debe contar con acuerdos contractuales claros que incluyan requisitos específicos de pruebas de seguridad y aceptabilidad de entregables, así como evidencias de pruebas contra vulnerabilidades conocidas . Además, es recomendable revisar periódicamente los procedimientos y principios de ingeniería de seguridad para asegurarse de que sean efectivos contra amenazas nuevas y que continúen siendo relevantes . También es crucial que se mantenga un control estricto de versiones y cambios, y que la organización conserve la responsabilidad final del cumplimiento de las leyes y regulaciones pertinentes .

Las políticas internas de seguridad de la información son cruciales en organizaciones grandes y complejas, pues permiten definir y aprobar los niveles de seguridad esperados, distribuyendo estas políticas a diferentes personas y funciones dentro de la organización . Estas políticas deben ser elaboradas con la dirección gerencial y cumplir con los requisitos del negocio y la legislación vigente . Establecen un marco de gestión que facilita la implementación y el control de la seguridad de la información , asignando roles y responsabilidades claras . Permiten manejar desviaciones y excepciones adecuadamente y fomentan la concientización, educación y capacitación del personal en prácticas de seguridad . Para asegurar su efectividad, deben revisarse regularmente y adaptarse a cambios organizacionales y tecnológicos .

Una política de seguridad de la información efectiva debe incluir varios elementos clave: primero, la definición clara de los conceptos de seguridad de la información junto con objetivos y principios directrices . Debe asignar responsabilidades generales y específicas de seguridad a roles definidos dentro de la organización para garantizar el cumplimiento . Además, debe establecer procesos para manejar desviaciones o excepciones y ser aprobada y comunicada a todos los empleados y partes externas relevantes . La política debe cubrir aspectos específicos como control de acceso, gestión de vulnerabilidades, y protección contra malware, así como contener lineamientos sobre el uso aceptable de activos . Es crucial que la política esté alineada con la estrategia de negocios, los marcos legales, y tenga en cuenta el entorno actual de amenazas . También debe incorporar un sistema regular de revisión y mejora para asegurar su relevancia y efectividad continua .

Establecer un proceso formal para la gestión y auditoría de derechos de acceso en una organización es crucial porque garantiza que los permisos de acceso sean apropiados y acordes con las políticas de control de acceso. Esto implica la identificación, asignación y revisión periódica de los derechos de acceso, asegurando que solo los usuarios autorizados puedan acceder a sistemas y datos sensibles. Además, permite la revocación rápida de accesos cuando un usuario deja la organización o cambia de rol, reduciendo el riesgo de acceso no autorizado . Un proceso formal también ayuda a mantener un registro centralizado y actualizado de todos los derechos de acceso concedidos, lo que facilita las auditorías de seguridad y el cumplimiento normativo .

Para manejar y clasificar los activos de información, es esencial crear y mantener un inventario actualizado que documente la importancia de cada activo a lo largo de su ciclo de vida, desde la creación hasta la destrucción . Cada activo en este inventario debe tener un propietario asignado, responsable de asegurar que el activo esté adecuadamente clasificado y protegido, revisando regularmente las restricciones de acceso y garantizando el manejo adecuado al ser eliminado . Se deben desarrollar procedimientos para el manejo, procesamiento, almacenamiento y transmisión de información de acuerdo con su clasificación, teniendo en cuenta restricciones de acceso y protección de copias temporales y permanentes . La clasificación de activos debe basarse en su valor, sensibilidad, criticidad, y considerar aspectos de confidencialidad, integridad y disponibilidad, ajustándose según su relevancia a lo largo del tiempo . Esto facilita la protección adecuada y la gestión del riesgo operacional .

Las mejores prácticas para la gestión de medios extraíbles en una organización incluyen: implementar procedimientos según el esquema de clasificación de la organización para asegurar la protección de la información almacenada . Se recomienda hacer que el contenido de los medios reutilizables sea irrecuperable si ya no es necesario, utilizando técnicas de eliminación segura como trituración o incineración . Los medios deben almacenarse en entornos seguros, usar cifrado para proteger datos críticos y transferir datos a nuevos medios para prevenir la degradación . Mantener registros para limitar la pérdida de datos y exigir autorizaciones para retirar medios fuera de la organización también son prácticas recomendadas . Además, debe registrarse la eliminación de medios sensibles para mantener evidencia de auditoría .

Es importante revisar periódicamente las políticas de seguridad de la información para asegurar su continua adecuación y eficacia frente a cambios significativos en el entorno organizacional, las circunstancias legales, de negocio o técnicas . La revisión periódica permite identificar y evaluar oportunidades de mejora y la necesidad de ajustes en las políticas de seguridad para responder a nuevas amenazas o cambios en los requisitos de control . Además, la revisión asegura que las políticas sigan cumpliendo con las normativas y regulaciones aplicables, lo que es crucial para el cumplimiento y la protección de la organización .

El objetivo principal de definir políticas de seguridad de la información en una organización es proporcionar dirección y apoyo gerencial para la seguridad de la información, asegurando que esta cumpla con los requisitos del negocio, las leyes y regulaciones relevantes . Además, estas políticas deben establecer un marco para gestionar y controlar la implementación de la seguridad de la información, asignando responsabilidades específicas y generales, y estableciendo procedimientos para manejar desviaciones y excepciones . Las políticas también deben ser revisadas y actualizadas en respuesta a cambios en el entorno legal, empresarial o técnico para mantener su eficacia .

La segregación de entornos de desarrollo, pruebas y operación ofrece múltiples beneficios en términos de seguridad de la información. Esta separación contribuye a reducir el riesgo de acceso no autorizado o cambios no planificados en el entorno de operación, lo que es esencial para mantener la integridad y confidencialidad de los datos operativos . Además, facilita la ejecución de pruebas sin afectar los sistemas operativos, permitiendo que los errores y vulnerabilidades se detecten y resuelvan antes de que el software pase al entorno de producción . También previene que las herramientas de desarrollo puedan ser usadas en entornos operativos, lo cual protege el entorno de producción de posibles modificaciones indebidas del código . En conjunto, estas medidas aseguran un control más riguroso sobre el software y los datos, fortaleciendo la seguridad general del sistema .

También podría gustarte

Norma Mexicana Nmx-I Nyce-2015 Tecnologías de La Información Técnicas de Seguridad Sistemas de Gestión de Seguridad de La Información Requisitos
Aún no hay calificaciones
Norma Mexicana Nmx-I Nyce-2015 Tecnologías de La Información Técnicas de Seguridad Sistemas de Gestión de Seguridad de La Información Requisitos
34 páginas
NMX I 27001 Nyce 2009
67% (3)
NMX I 27001 Nyce 2009
47 páginas
03.NMX I 27000 Nyce 2014
Aún no hay calificaciones
03.NMX I 27000 Nyce 2014
36 páginas
Norma IT: Conceptos y Terminología
Aún no hay calificaciones
Norma IT: Conceptos y Terminología
32 páginas
Nyce 27037 2015
100% (1)
Nyce 27037 2015
57 páginas
NMX I 289 Nyce 2016
Aún no hay calificaciones
NMX I 289 Nyce 2016
32 páginas
Guía para Peritos en Análisis Forense
Aún no hay calificaciones
Guía para Peritos en Análisis Forense
8 páginas
Marco Legal Informatica Forense
Aún no hay calificaciones
Marco Legal Informatica Forense
3 páginas
AIF - Unidad 7. Conclusiones
Aún no hay calificaciones
AIF - Unidad 7. Conclusiones
11 páginas
Guía Técnica de Cadena de Custodia de Evidencia Digital
100% (1)
Guía Técnica de Cadena de Custodia de Evidencia Digital
24 páginas
Modulo 6 - Derrotando Las Tecnicas Antiforenses
Aún no hay calificaciones
Modulo 6 - Derrotando Las Tecnicas Antiforenses
60 páginas
Psi
Aún no hay calificaciones
Psi
50 páginas
Iso 27001
Aún no hay calificaciones
Iso 27001
7 páginas
Tema 2 CIBERDELITOS UNIR
Aún no hay calificaciones
Tema 2 CIBERDELITOS UNIR
47 páginas
Herramientas para La Informática Forense y Su Aplicabilidad
Aún no hay calificaciones
Herramientas para La Informática Forense y Su Aplicabilidad
2 páginas
Nistspecialpublication800-39 Af Es
Aún no hay calificaciones
Nistspecialpublication800-39 Af Es
88 páginas
Normas ISO
Aún no hay calificaciones
Normas ISO
14 páginas
Introducción a la Informática Forense
Aún no hay calificaciones
Introducción a la Informática Forense
28 páginas
Metodologías de Análisis Forense Digital
Aún no hay calificaciones
Metodologías de Análisis Forense Digital
23 páginas
Adquisición y Análisis Forense Digital
Aún no hay calificaciones
Adquisición y Análisis Forense Digital
49 páginas
Metodos de Presentació Forense Clase 1 y 2
Aún no hay calificaciones
Metodos de Presentació Forense Clase 1 y 2
25 páginas
Sílabo de Cómputo Forense
Aún no hay calificaciones
Sílabo de Cómputo Forense
2 páginas
RFC 3227 Recoleccion de Evidencia
Aún no hay calificaciones
RFC 3227 Recoleccion de Evidencia
3 páginas
Normas de Auditoria de Redes
Aún no hay calificaciones
Normas de Auditoria de Redes
9 páginas
Seguridad de La Informacion Iso 27003 v3
Aún no hay calificaciones
Seguridad de La Informacion Iso 27003 v3
8 páginas
Gestión de Accesos ISO-27002
Aún no hay calificaciones
Gestión de Accesos ISO-27002
5 páginas
Peritaje Informático Jurídico
Aún no hay calificaciones
Peritaje Informático Jurídico
65 páginas
Seguridad en Aplicaciones Online Introduccion
Aún no hay calificaciones
Seguridad en Aplicaciones Online Introduccion
13 páginas
Informática Forense y Evidencia Digital
Aún no hay calificaciones
Informática Forense y Evidencia Digital
5 páginas
Respuesta a Incidentes y Forense Digital
Aún no hay calificaciones
Respuesta a Incidentes y Forense Digital
34 páginas
Informática Forense en Android
Aún no hay calificaciones
Informática Forense en Android
15 páginas
Identificacion Mecanismo de Ciberseguridad
Aún no hay calificaciones
Identificacion Mecanismo de Ciberseguridad
13 páginas
Reglamento de Datos de Tarjeta de CrU00e9dito y DU00e9bito y Las PCI DSS en El PerU00fa 2015 v2 1
Aún no hay calificaciones
Reglamento de Datos de Tarjeta de CrU00e9dito y DU00e9bito y Las PCI DSS en El PerU00fa 2015 v2 1
41 páginas
Esquema Gubernamental de Seguridad EGSI
Aún no hay calificaciones
Esquema Gubernamental de Seguridad EGSI
89 páginas
Prevención de Fuga de Información
Aún no hay calificaciones
Prevención de Fuga de Información
62 páginas
Cadena de Custodia
Aún no hay calificaciones
Cadena de Custodia
5 páginas
"Curso de Peritaje Informático UNIR"
Aún no hay calificaciones
"Curso de Peritaje Informático UNIR"
13 páginas
Uso de Hash en Informática Forense
Aún no hay calificaciones
Uso de Hash en Informática Forense
5 páginas
U04 CISSP Arquitectura y Diseño de Seguridad
Aún no hay calificaciones
U04 CISSP Arquitectura y Diseño de Seguridad
59 páginas
Plan de Inteligencia de Amenazas
Aún no hay calificaciones
Plan de Inteligencia de Amenazas
10 páginas
Criminologia Forense Informatica Final
Aún no hay calificaciones
Criminologia Forense Informatica Final
20 páginas
SEGURIDAD
Aún no hay calificaciones
SEGURIDAD
8 páginas
Iso 27001 - Cómo Hacer Tu Política Del Sgsi - Hackmetrix Blog
Aún no hay calificaciones
Iso 27001 - Cómo Hacer Tu Política Del Sgsi - Hackmetrix Blog
8 páginas
Evidencia Digital y Seguridad Informática
100% (1)
Evidencia Digital y Seguridad Informática
31 páginas
Documentación Obligatoria ISO 27001
Aún no hay calificaciones
Documentación Obligatoria ISO 27001
3 páginas
Manual de Auditoría - Seguridad Informática
Aún no hay calificaciones
Manual de Auditoría - Seguridad Informática
52 páginas
Funciones del Oficial de Seguridad Informática
Aún no hay calificaciones
Funciones del Oficial de Seguridad Informática
2 páginas
Santiago Félix Alejandro Elaboración de Una Norma de Seguridaad
Aún no hay calificaciones
Santiago Félix Alejandro Elaboración de Una Norma de Seguridaad
15 páginas
Metodologia Forense
100% (2)
Metodologia Forense
14 páginas
Español-CIS Controls Version 8
Aún no hay calificaciones
Español-CIS Controls Version 8
46 páginas
Memoria - Actividad1 Seguridad en El Software
Aún no hay calificaciones
Memoria - Actividad1 Seguridad en El Software
29 páginas
Pericias Informáticas en La Investigación Penal
100% (1)
Pericias Informáticas en La Investigación Penal
7 páginas
Seguridad Informática en Empresas
100% (1)
Seguridad Informática en Empresas
21 páginas
NMX I 27002 Nyce 2015
Aún no hay calificaciones
NMX I 27002 Nyce 2015
114 páginas
01 - NMX I 27001 Nyce 2015 - Atr
Aún no hay calificaciones
01 - NMX I 27001 Nyce 2015 - Atr
34 páginas
03.NMX I 27001 Nyce 2015
Aún no hay calificaciones
03.NMX I 27001 Nyce 2015
34 páginas
NMX I 27001 Nyce 2015
Aún no hay calificaciones
NMX I 27001 Nyce 2015
34 páginas
NMX-I-27005-NYCE-2019 Tecnologías de La Información - Técnicas de Seguridad - Gestión
Aún no hay calificaciones
NMX-I-27005-NYCE-2019 Tecnologías de La Información - Técnicas de Seguridad - Gestión
75 páginas
NMX-I-60065-NYCE-2015: Seguridad Electrónica
Aún no hay calificaciones
NMX-I-60065-NYCE-2015: Seguridad Electrónica
178 páginas
Camila Lagos 123
Aún no hay calificaciones
Camila Lagos 123
63 páginas
InfografíA Liderazgo de La Organización Frente Al Sistema de Gestión de La Energía GA5 220601043 AA1 EV02
100% (4)
InfografíA Liderazgo de La Organización Frente Al Sistema de Gestión de La Energía GA5 220601043 AA1 EV02
4 páginas
File 1649066176
Aún no hay calificaciones
File 1649066176
4 páginas
Fechas de Inicio de Empadronamiento Cofopri Ayacucho y Cajamarca
Aún no hay calificaciones
Fechas de Inicio de Empadronamiento Cofopri Ayacucho y Cajamarca
4 páginas
Derecho Administrativo en Mexico
Aún no hay calificaciones
Derecho Administrativo en Mexico
3 páginas
La Virtud Es Todo Menos Una Costumbre
Aún no hay calificaciones
La Virtud Es Todo Menos Una Costumbre
18 páginas
Acuña - José - TRI005 - Semana 3
100% (1)
Acuña - José - TRI005 - Semana 3
10 páginas
El Derecho de Soñar
Aún no hay calificaciones
El Derecho de Soñar
1 página
Globalizacion Tomate
Aún no hay calificaciones
Globalizacion Tomate
4 páginas
Ayuda Memoria Cáncer Ccu.
Aún no hay calificaciones
Ayuda Memoria Cáncer Ccu.
5 páginas
Lectura Cartas
100% (1)
Lectura Cartas
103 páginas
Comparacion Entre Leyes Arbitraje Internacional
Aún no hay calificaciones
Comparacion Entre Leyes Arbitraje Internacional
6 páginas
D.S. #006-2011-Vivienda
Aún no hay calificaciones
D.S. #006-2011-Vivienda
113 páginas
Hombre Fue Asesinado en El Centro de Cali
Aún no hay calificaciones
Hombre Fue Asesinado en El Centro de Cali
5 páginas
Características del cuento tradicional
Aún no hay calificaciones
Características del cuento tradicional
5 páginas
Denuncia de Patricia Bullrich
Aún no hay calificaciones
Denuncia de Patricia Bullrich
10 páginas
Nuevo Horario Coloquio
Aún no hay calificaciones
Nuevo Horario Coloquio
1 página
Ficha Tecnica Clases de Regularización
Aún no hay calificaciones
Ficha Tecnica Clases de Regularización
3 páginas
Abuso Del Poder
Aún no hay calificaciones
Abuso Del Poder
2 páginas
UNIDADES-JUDICIALES-ESPECIALIZADAS Abril 2021
Aún no hay calificaciones
UNIDADES-JUDICIALES-ESPECIALIZADAS Abril 2021
5 páginas
Energia Biogenetica El Poder de La Vida Comprimido
Aún no hay calificaciones
Energia Biogenetica El Poder de La Vida Comprimido
10 páginas
Edad Antigua
Aún no hay calificaciones
Edad Antigua
8 páginas
El Lugar Santisimo PDF
Aún no hay calificaciones
El Lugar Santisimo PDF
10 páginas
CASO PRACTICO 3 Direccion Proyectos 1
Aún no hay calificaciones
CASO PRACTICO 3 Direccion Proyectos 1
15 páginas
Repaso Lengua Unidad 12 Nuevo
Aún no hay calificaciones
Repaso Lengua Unidad 12 Nuevo
4 páginas
Características de la Generación del 36
Aún no hay calificaciones
Características de la Generación del 36
3 páginas
Programa HIS-139 2021
Aún no hay calificaciones
Programa HIS-139 2021
7 páginas
SG-F-085 Formato de Inspección Pre-Operacional Motosierra para Tala PDF
Aún no hay calificaciones
SG-F-085 Formato de Inspección Pre-Operacional Motosierra para Tala PDF
2 páginas
Municipio Tubores
Aún no hay calificaciones
Municipio Tubores
6 páginas
Pensamientos de Simón Bolívar
Aún no hay calificaciones
Pensamientos de Simón Bolívar
7 páginas