1 Alcance ...............................................................................................................................

1
2 Términos y definiciones ................................................................................................... 1
2.1 Activo........................................................................................................................... 1
2.2 Control ......................................................................................................................... 1
2.3 Guías ............................................................................................................................ 1
2.4 Instalaciones de informática..................................................................................... 1
2.5 Seguridad de la información..................................................................................... 1
2.6 evento de seguridad de la información ................................................................... 1
2.7 incidente de seguridad de la información............................................................... 1
2.8 Política ......................................................................................................................... 2
2.9 Riesgo.......................................................................................................................... 2
2.10 Análisis de riesgo..................................................................................................... 2
2.11 Evaluación de riesgo ............................................................................................... 2
2.12 Gestión de riesgo ..................................................................................................... 2
2.13 tratamiento del riesgo.............................................................................................. 2
2.14 Terceras partes......................................................................................................... 2
2.15 Amenaza .................................................................................................................... 2
2.16 Vulnerabilidad........................................................................................................... 2
3 Estructura de este estándar............................................................................................. 2
3.1 Cláusulas..................................................................................................................... 2
3.2 Principales categorías de seguridad ....................................................................... 3
4 Evaluación y tratamiento de Riesgo ............................................................................... 3
4.1 Evaluación de riesgos de seguridad ....................................................................... 3
4.2 Tratamiento de riesgos de seguridad ...................................................................... 4
5 Política de Seguridad........................................................................................................ 6
5.1 Política de seguridad de la Información.................................................................. 6
5.1.1 El documento de política de seguridad de la Información ................................... 6
5.1.2 Revisión de la política de seguridad de la información ........................................ 7
6. La Organización de la seguridad de la información .................................................... 8
6.1 Organización interna.................................................................................................. 8
6.1.1 Compromiso de la Gerencia el campo de la seguridad de la información .......... 8
6.1.2 Coordinación de la seguridad de la información .................................................. 9
6.1.3 Asignación de responsabilidades de seguridad de la información .................... 10
6.1.4 Procesos de autorización para instalaciones de procesamiento de
información ................................................................................................................... 10
6.1.5 Acuerdos de confidencialidad ............................................................................. 11
6.1.6 Contacto con las autoridades ............................................................................. 12
6.1.7 Contacto con grupos de interés especiales........................................................ 13
6.1.8 Revisión independiente de la seguridad de la información................................ 13
6.2 Terceras partes........................................................................................................ 14
6.2.1 Identificación de riesgos relacionados a terceras partes ................................... 14
6.2.2 Tratamiento de la seguridad en relación con clientes ........................................ 16
6.2.3 Inclusión de seguridad en acuerdos de terceras partes..................................... 17
7. Gestión de los Activos................................................................................................... 21
7.1 Responsabilidad por los activos.......................................................................... 21
7.1.1 Inventario de activos ........................................................................................... 21
7.1.2 Propiedad de los activos ..................................................................................... 22
7.1.3 Uso aceptable de los activos .............................................................................. 22
7.2 Clasificación de la información .............................................................................. 23
7.2.1 Guías de clasificación ......................................................................................... 23
7.2.2 Manipulación y etiquetado de la información ................................................... 24
8 Seguridad de los recursos humanos............................................................................ 26
8.1 Previo a la contratación........................................................................................... 26
8.1.1 Roles y responsabilidades .................................................................................. 26
8.1.2 Selección ............................................................................................................. 27
8.1.3 Términos y condiciones de empleo .................................................................... 28
8.2. Durante el empleo ................................................................................................... 29
8.2.1. Gestión de responsabilidades............................................................................ 29
8.2.2 Concientización sobre la seguridad de la información, educación y
entrenamiento............................................................................................................... 30
8.2.3 Proceso disciplinario ........................................................................................... 31
8.3 Terminación o cambios de empleo ........................................................................ 31
8.3.1. Finalización de la responsabilidad ..................................................................... 32
8.3.2 Retorno de activos .............................................................................................. 32
8.3.3 Eliminación de derechos de acceso ................................................................... 33
9 Seguridad física y ambiental.......................................................................................... 35
9.1 Áreas Seguras .......................................................................................................... 35
9.1.1 Perímetro de seguridad física ............................................................................. 35
9.1.2 Controles de acceso físico .................................................................................. 36
9.1.3 Protección de oficinas, recintos e instalaciones ................................................. 37
9.1.4 Protección contra amenazas externas y ambientales........................................ 37
9.1.5 Trabajo en áreas seguras ................................................................................... 38
9.1.6 Acceso público, áreas de entrega y carga.......................................................... 38
9.2 Seguridad del equipamiento ................................................................................... 39
9.2.1 Ubicación y protección del equipamiento .......................................................... 39
9.2.2 Suministro de energía ........................................................................................ 40
9.2.3 Seguridad del Cableado...................................................................................... 41
9.2.4 Mantenimiento de equipos .................................................................................. 41
9.2.5 Seguridad del equipamiento fuera del ámbito de la organización ..................... 42
9.2.6 Baja segura o reutilización del equipamiento .................................................... 42
9.2.7 Retiro de bienes .................................................................................................. 43
10 Gestión de Comunicaciones y operaciones .............................................................. 44
10.1 Procedimientos operacionales y responsabilidades......................................... 44
10.1.1 Procedimientos de operación documentados .................................................. 44
10.1.2 Gestión de cambios........................................................................................... 45
10.1.3 Segregación de funciones................................................................................. 45
10.1.4 Separación de desarrollo, prueba e instalaciones operacionales................... 46
10.2 Gestión de entrega de servicio de terceros........................................................ 47
10.2.1 Entrega de servicio............................................................................................ 47
10.2.2 La supervisión y la revisión de servicios de terceros ....................................... 47
10.2.3 Gestión de cambios a servicios de terceros..................................................... 48
10.3 Planificación del sistema y aceptación. .............................................................. 49
10.3.1 Capacidad de Gestión....................................................................................... 49
10.3.2 Aceptación de sistema ...................................................................................... 50
10.4 Protección contra código malicioso y móvil ........................................................ 50
10.4.1 Controles contra código malicioso .................................................................... 51
10.4.2 Controles contra código móvil........................................................................... 52
10.5 Respaldo ................................................................................................................. 53
10.5.1 Respaldo de Información .................................................................................. 53
10.6 Gestión de seguridad de red ................................................................................ 54
10.6.1 Controles de red................................................................................................ 54
10.6.2 Seguridad de servicios de red .......................................................................... 55
 10.7 Manejo de medios de comunicación ................................................................... 55
10.7.1 Gestión de medios de comunicación removibles ............................................. 56
10.7.2 Disposición de medios de comunicación.......................................................... 56
10.7.3 Manipulación de procedimientos de información ............................................. 57
10.7.4 Seguridad de documentación de sistema ........................................................ 58
10.8 Intercambio de información .................................................................................. 58
10.8.1 Políticas y procedimientos de intercambio de Información ............................. 58
10.8.2 Acuerdos de intercambio .................................................................................. 60
10.8.3 Medios de comunicación físicos en transporte................................................. 61
10.8.4 Mensajería electrónica ...................................................................................... 62
10.8.5 Sistemas de información del negocio .............................................................. 62
10.9 Servicios de comercio electrónico ....................................................................... 63
10.9.1 Comercio electrónico ........................................................................................ 63
10.9.2 Transacciones en línea ..................................................................................... 65
10.9.3 Información públicamente disponible ............................................................... 65
10.10 Supervisión ........................................................................................................... 66
10.10.1 Registro de auditoría ....................................................................................... 66
10.10.2 Empleo de sistema de supervisión ................................................................. 67
10.10.3 Protección de información de registro ............................................................ 68
10.10.4 Administrador y operador de registros............................................................ 69
10.10.5 Error de registro .............................................................................................. 69
10.10.6 Sincronización de reloj .................................................................................... 70
11. Control de accesos ...................................................................................................... 71
11.1 Requerimientos de negocio para el control de acceso ..................................... 71
11.1.1 Políticas de control de acceso .......................................................................... 71
11.2 Administración de acceso de usuarios ............................................................... 72
11.2.1 Registro de Usuarios......................................................................................... 72
11.2.2 Administración de privilegios ............................................................................ 73
11.2.3 Administración de contraseña de usuario......................................................... 74
11.2.4 Revisión de derechos de accesos a usuarios .................................................. 74
11.3 Responsabilidades de los usuarios..................................................................... 75
11.3.1 Uso de contraseñas .......................................................................................... 75
11.3.2. Equipo de usuario desatendido ....................................................................... 76
11.3.3 Politica de escritorio y pantalla limpio............................................................... 76
11.4 Control de acceso a la red .................................................................................... 77
11.4.1 Políticas en el uso de servicio de redes ........................................................... 78
11.4.2 Autenticación de usuario para conexiones externas........................................ 78
11.4.3 Identificación de equipo en redes ..................................................................... 79
11.4.4 Diagnóstico remoto y la protección del puerto de configuración ..................... 80
11.4.5 La segregación en redes................................................................................... 80
11.4.6 Control de conexión de red ............................................................................... 81
11.4.7. Control de enrutamiento de red ....................................................................... 82
11.5 Control de acceso a sistema operativo ............................................................... 82
11.5.1 Asegurar procedimientos de entrada a sistemas ............................................. 83
11.5.2 Identificación y autenticación de usuarios ........................................................ 84
11.5.3 Sistema de administración de contraseñas...................................................... 84
11.5.4 Uso de utilitarios de sistema ............................................................................. 85
11.5.5 Tiempo muerto de sesión.................................................................................. 86
11.5.6 Limitación del horario de conexión ................................................................... 86
11.6 Uso y control de acceso a la información........................................................... 87
11.6.1 Restricción del acceso a la información ........................................................... 87
 11.6.2 Aislamiento de sistemas sensibles ................................................................... 88
11.7 Computación móvil y trabajo remoto .................................................................. 88
11.7.2 Computación móvil y comunicación ................................................................. 88
11.7.2 Trabajo remoto .................................................................................................. 90
12 Adquisición de sistemas de información, desarrollo y mantenimiento................. 92
12.1 Requerimientos de seguridad de los sistemas de información....................... 92
12.1.1. Análisis y especificación de los requerimientos de seguridad ........................ 92
12.2 Procesamiento correcto en las aplicaciones...................................................... 93
12.2.1 Validación de datos de entrada ........................................................................ 93
12.2.2 Control de procesamiento interno..................................................................... 94
12.2.3 Integridad de mensajes..................................................................................... 95
12.2.4 Validación de datos de salida ........................................................................... 95
12.3 Controles criptográficos ....................................................................................... 95
12.3.1 Política para el uso de controles criptográficos ................................................ 96
12.3.2 Gestión de claves.............................................................................................. 97
12.4 Seguridad de archivos de sistema....................................................................... 98
12.4.1 Control de software de operación .................................................................... 99
12.4.3 Control de acceso al código fuente de los programas ...................................100
12.5 Seguridad en procesos de desarrollo y soporte ..............................................101
12.5.1 Procedimientos de control de cambios...........................................................101
12.5.2 Revisión técnica de las aplicaciones después de cambios al sistema
operativo 102
12.5.3 Restricciones a los cambios de paquetes de software ..................................103
12.5.4 Fuga de información........................................................................................103
12.5.5 Desarrollo externo de software (outsourced) .................................................104
12.6 Gestión de vulnerabilidades técnicas ...............................................................104
12.6.1 Control de vulnerabilidades técnicas ..............................................................105
13 Gestión de incidentes de seguridad de la Información..........................................106
13.1 Reporte de eventos y debilidades de seguridad de la información. ............106
13.1.1 Reporte de eventos de de seguridad de la Información ................................106
13.1.2 Reporta de debilidades de seguridad .............................................................108
13.2 Gestión de incidentes de seguridad de la información y mejoras.................108
13.2.1 Responsabilidades y procedimientos .............................................................109
13.2.2 Aprendiendo de los incidentes de seguridad de la información.....................110
13.2.3 Recolección de pruebas..................................................................................110
14 Gestión de Continuidad del Negocio. .......................................................................112
14.1 Aspectos de Seguridad de la Información en la gestión de continuidad del
112
14.1.1 Incluyendo seguridad de la información en los procesos de gestión de
continuidad del negocio..............................................................................................112
14.1.2 Continuidad del Negocio y evaluación de riesgo ...........................................113
14.1.3 Desarrollando e implementando planes de continuidad incluyendo
seguridad de la información .......................................................................................114
14.1.1 Estructura de planificación de la continuidad del negocio ............................115
14.1.5 Planes de pruebas, mantenimientos y re-evaluación de continuidad del
negocio 116
15 Cumplimiento...............................................................................................................118
15.1 Cumplimiento de requisitos legales ..................................................................118
15.1.1 Legislación aplicable identificada....................................................................118
15.1.2 Derechos de propiedad intelectual (IPR)........................................................118
15.1.3 Protección de grabaciones organizacionales .................................................119
 15.1.4 protección de datos y retiro de información personal.....................................120
15.1.5 prevención del mal uso de información procesada ........................................121
15.1.6 regulación de controles criptográficos ............................................................122
15.2 Cumplimiento con las políticas de seguridad y normas, y cumplimiento
técnico ...........................................................................................................................122
15.2.1 Cumplimiento con las normas y políticas de seguridad .................................122
15.2.2 Verificación del cumplimiento técnico.............................................................123
15.3 consideraciones para la auditoria de los sistemas de información ..............124
15.3.1 controles de auditoria de los sistemas de información...................................124
15.3.2 Protección de las herramientas de auditoria de sistemas..............................125
1 Alcance
Este Estándar Internacional establece directrices y principios generales para la iniciación,
la realización, el mantenimiento, y la mejora en la gestión de seguridad de información en
una organización.

Los objetivos definidos en este Estándar Internacional proporcionan la dirección general

sobre los objetivos comúnmente aceptados de gestión de seguridad de la información.

Los objetivos de control y los controles de este Estándar Internacional son queridos para
ser puestos en práctica y encontrar las exigencias identificadas según una evaluación de
riesgo. Este Estándar Internacional puede servir como una pauta práctica para desarrollar
normas de seguridad de la organización y prácticas de Gestión de seguridad eficaces y
ayudar construir la confianza en las actividades Inter-institucionales .

2 Términos y definiciones
Para los objetivos de este documento, se aplican los siguientes términos y definiciones:

2.1 Activo
Algo qué tiene valor para la organización [ISO/IEC 13335-1:2004]

2.2 Control
Medidas de gestión de riesgo, incluyendo políticas, procedimientos, directrices, prácticas
o estructuras organizacionales, que pueden ser de naturaleza administrativa, técnica, de
dirección, o legal.
Nota: Control también es usado como un sinónimo de salvaguarda o contramedida.

2.3 Guías
Una descripción que clarifica que debería ser hecho y como para alcanzar los objetivos
definidos en la política [ISO/IEC 13335-1:2004]

2.4 Instalaciones de informática

Cualquier sistema de informática, servicio, infraestructura o los ambientes físicos que los
almacenan

2.5 Seguridad de la información

Preservación de la confidencialidad, integridad y disponibilidad de información; además,
otras propiedades, como la autenticidad, la responsabilidad, el no rechazo, y la fiabilidad
también pueden estar implicadas

2.6 evento de seguridad de la información

un evento de seguridad de la información es un acontecimiento identificado de un
sistema, servicio o estado de red relacionado con una posible brecha en la política de
seguridad de la información o falla de salvaguardas, o una situación previamente
desconocida que puede ser relevante para la seguridad [ISO/IEC TR 18044:2004]

2.7 incidente de seguridad de la información

Un incidente de seguridad de la información es un evento no esperado único o repetitivo
y que tienen una probabilidad significativa de comprometer las operaciones de negocio y
amenaza la seguridad de la información [ISO/IEC TR 18044:2004]

1
2.8 Política
Expresión formal de la Gerencia sobre su orientación e intención total intención total y
orientación formalmente expresadas por la gerencia combinación de la probabilidad y las
consecuencias de un evento [ISO/IEC Guide 73:2002] Empleo sistemático de la
información para estimar riesgos e identificar sus causas [ISO/IEC Guide 73:2002]

2.9 Riesgo
Combinación de la probabilidad de un evento y su consecuencia.

2.10 Análisis de riesgo

Proceso global de análisis y evaluación de riesgo [ISO/IEC Guide 73:2002]

2.11 Evaluación de riesgo

Proceso de comparar el riesgo estimado contra criterios de riesgo dados para determinar
la importancia del riesgo [ISO/IEC Guide 73:2002]

2.12 Gestión de riesgo

Actividades coordinadas para dirigir y controlar una organización con respeto al riesgo

NOTA La Gestión de riesgos típicamente incluye la evaluación, el tratamiento, la

aceptación y comunicación del riesgo. [ISO/IEC Guide 73:2002]

2.13 tratamiento del riesgo

Proceso de selección e implementación de medidas para modificar el riesgo [ISO/IEC
Guide 73:2002]

2.14 Terceras partes

Aquella persona o cuerpo que es reconocido como independiente a las partes implicadas,
en lo que concierne al tema en cuestión [ISO/IEC Guide 2:1996]

2.15 Amenaza
Causa potencial de un incidente no deseado, que puede causar daño a un sistema o la
organización [ ISO/IEC 13335-1:2004]

2.16 Vulnerabilidad
Debilidad de un activo o grupo de activos que puede ser explotados por una o varias
amenazas
[ ISO/IEC 13335-1:2004]

3 Estructura de este estándar

Este estándar contiene en total 11 cláusulas de control de seguridad que a su vez
contienen un total de 39 categorías principales de seguridad y una cláusula introductoria
a la evaluación y tratamiento del riesgo.

3.1 Cláusulas
Cada cláusula contiene un número de categorías principales de seguridad. Las once
cláusulas (acompañadas con el número de categorías de seguridad principales incluidas
dentro de cada cláusula) son:
a) Política de Seguridad (1);
b) Organización de la Seguridad de la Información (2);

2
 c) Gestión del Activo (2);
d) Seguridad de Recursos Humanos (3);
e) Seguridad física y Ambiental (2);
f) Comunicaciones y Gestión de Operaciones (10);
g) Control de Acceso (7);
h) Adquisición, Desarrollo y Mantenimiento de Sistemas de Información, (6);
i) Gestión de Incidentes de Seguridad de la Información (2);
j) Gestión de la Continuidad del negocio (1);
k) Cumplimiento (3).

Nota: El orden de las cláusulas en este estándar no implica su importancia. Dependiendo

de las circunstancias, todas las cláusulas podrían ser importantes, por lo tanto cada
organización que aplica este estándar debería identificar cláusulas aplicables, su
importancia y su uso individual a los procesos de negocio. También, todas las listas en
este estándar no están en un orden de prioridad.

3.2 Principales categorías de seguridad

Cada categoría principal de seguridad contiene:

a) la declaración de un objetivo de control que debe ser alcanzado; y

b) uno o varios controles que pueden ser aplicados para alcanzar el objetivo de
control.

Las descripciones de control son estructuradas así:

El Control Define la declaración de control específica para satisfacer el objetivo de control.

La guía de implementación
Proporciona la información más detallada para apoyar la puesta en práctica del control y
el logro del objetivo de control. Algo de esta guía puede no ser conveniente en todos los
casos, entonces otros modos de poner en práctica el control pueden ser más apropiados.

Información adicional
Proporciona información adicional que puede ser considerada, por ejemplo
consideraciones legales y referencias a otras normas.

4 Evaluación y tratamiento de Riesgo

4.1 Evaluación de riesgos de seguridad

La evaluación de riesgos debería identificar, cuantificar, y priorizar los riesgos contra

criterios definidos para la aceptación de riesgo y los objetivos relevantes a la
organización. Los resultados deberían dirigir y determinar la acción de dirección apropiada
y prioridades para gestionar los riesgos de seguridad de la información y poner en
práctica controles seleccionados para protegerse contra estos riesgos. El proceso de
evaluar riesgos y seleccionar controles puede tener que ser realizado varias veces para
cubrir las diferentes partes de la organización o sistemas de información individuales.

3
La evaluación de riesgo debería incluir el acercamiento sistemático para estimar la
magnitud del riesgo (análisis del riesgo) y el proceso de comparar los riesgos estimados
contra criterios de riesgo para determinar la importancia de los riesgos (la evaluación de
riesgo).

Las evaluaciones de riesgo también deberían ser realizadas de vez en cuando para dirigir
cambios en las exigencias de seguridad y en la situación de riesgo, [Link]. en el activo,
amenazas, vulnerabilidades, impactos, la evaluación de riesgo, y cuando ocurren cambios
significativos. Estas evaluaciones de riesgo deberían ser emprendidas en una manera
metódica capaz de producir resultados comparables y reproducibles.

La evaluación de riesgo de seguridad de la información debería tener un alcance

claramente definido para ser eficaz y debería incluir relaciones con evaluaciones de riesgo
en otras áreas, si corresponde.
El alcance de una evaluación de riesgo puede ser la organización entera, partes de la
organización, un sistema de información individual, componentes de sistema específicos,
o servicios donde esto es practicable, realista, y provechoso. Los ejemplos de
metodologías de evaluación de riesgo son discutidos en ISO/IEC TR 13335-3 (Guías para
la Dirección de la Seguridad de TI: Técnicas para la Dirección Seguridad de TI).

4.2 Tratamiento de riesgos de seguridad

Antes de considerar el tratamiento de un riesgo, la organización debería decidir los
criterios para determinar si realmente los riesgos pueden ser aceptados. Los riesgos
pueden ser aceptados si, por ejemplo, el riesgo evaluado es bajo o que el costo de
tratamiento no es rentable para la organización. Tales decisiones deberían ser
registradas.

Para cada uno de los riesgos identificados después de la evaluación de riesgo tiene que
tomarse una decisión tratamiento de riesgo. Posibles opciones para el tratamiento de
riesgo incluyen:
a) aplicación de controles apropiados para reducir los riesgos;
b) riesgos conocidos y objetivamente aceptados, procurando que ellos claramente
satisfacen la política de la organización y los criterios para la aceptación de riesgo;
c) evitar riesgos no permitiendo las acciones que causarían la ocurrencia de los
mismos;
d) transferencia de los riesgos asociados a terceras partes, [Link]. aseguradores o
proveedores.

Para aquellos riesgos donde la decisión de tratamiento de riesgo implica aplicar controles
apropiados, estos controles deberían ser seleccionados y puestos en práctica para
encontrar las exigencias identificadas según una evaluación de riesgo. Los controles
deberían asegurar que reducen los riesgos a un nivel aceptable tomando en cuenta:

a) exigencias y limitaciones de la legislación y regulación nacional e internacional;

b) objetivos organizacionales;
c) exigencias y limitaciones operacionales;
d) costo de implementación y operación en relación con los riesgos reducidos y
residuales proporcionales a las exigencias y limitaciones de la organización;
e) la necesidad de equilibrar la inversión de implementación y operación de controles
contra el daño probable ocasionado por las fallas en la seguridad.

4
Los controles se pueden escoger de este estándar o de otros conjuntos de control, o los
controles nuevos se pueden diseñar para encontrar las necesidades específicas de la
organización. Es necesario reconocer que algunos controles pueden no ser aplicables a
cada sistema de información ni al ambiente, y quizás no ser practicable para todas las
organizaciones. Como un ejemplo, el punto 10.1.3 describe cómo los deberes se pueden
segregar para prevenir el fraude y el error. Puede no ser posible que organizaciones más
pequeñas segreguen todos los deberes y puede ser necesario otras maneras de lograr el
mismo objetivo del control. Como otro ejemplo, el punto 10.10 describe cómo se puede
evidenciar y controlar completamente el uso del sistema. Los controles descritos por
ejemplo el registro de acciones, quizás choque con la legislación aplicable, tal como la
protección de la intimidad para clientes o en el lugar de trabajo.

Los controles de seguridad de Información deberían ser considerados en los sistemas y

en las especificaciones de los requerimientos de proyectos en la etapa de diseño. El
fracaso de hacerlo así puede causar gastos adicionales y soluciones menos eficaces, y tal
vez, en el peor caso, la imposibilidad de alcanzar la seguridad adecuada.
Debería ser tomado en cuenta que ningún juego de controles puede alcanzar la seguridad
completa, y que acciones adicionales de dirección deberían ser implementadas para
supervisar, evaluar, y mejorar la eficacia y la eficacia de los controles de seguridad para
apoyar los objetivos de la organización.

5
5 Política de Seguridad

5.1 Política de seguridad de la Información

Objetivo: Proporcionar guías de gestión y apoyo a la seguridad de la información

conforme a las exigencias comerciales, legales y regulaciones relevantes.

La Alta Gerencia debe definir una orientación clara de la política al igual que los objetivos
de negocio y demostrar el apoyo, compromiso con la seguridad de la información
mediante la publicación y mantenimiento de una política de seguridad de la información
a través de la organización.

5.1.1 El documento de política de seguridad de la Información

Control
Un documento de política de seguridad de la información debe ser aprobado por la Alta
gerencia, publicado y comunicado a todos los empleados y partes externas relevantes.

Guía de implementación
El documento de la política de seguridad de la información debe declarar el compromiso
de la Alta Dirección y disponer el acercamiento de la organización a la gestión de la
seguridad de la información. El documento de la política debe contener declaraciones
acerca de:

a) una definición de seguridad de la información, sus objetivos finales, alcance y la

importancia de la seguridad como un mecanismo de permiso para la información
compartida (ver la introducción);
b) una declaración de intención de la dirección, apoyando los objetivos y los
principios de seguridad de la información al igual que la estrategia de negocio y
objetivos;
c) un marco referencial para definir objetivos y controles, incluyendo la estructura de
evaluación y gestión de riesgo;
d) una breve explicación de la política de seguridad, principios, normas y las
exigencias de cumplimiento de particular importancia para la organización,
incluyendo:
1) cumplimiento con exigencias legales, regulatorias, y contractuales;
2) educación, entrenamiento y necesidades de concientizacion sobre
seguridad;
3) gestión de continuidad del negocio;
4) las consecuencias por violaciones de la política de seguridad de la
información;
5) una definición de responsabilidades generales y específicas de gestión de
la seguridad de la información, incluyendo reportes de incidentes de
seguridad de la información;
6) las referencias a la documentación que puede apoyar a la política, [Link].
políticas y procedimientos más detallados para sistemas de información
específicos o reglas de seguridad que los usuarios deben cumplir.

Esta política de seguridad de la información debe ser comunicada a todas las partes de la
organización y a los usuarios en una forma que sea relevante, accesible y comprensible al
lector objetivo.

6
La política de seguridad de la información podría ser una parte de un documento general
de políticas. Si la política de seguridad de la información es distribuida fuera de la
organización, se debe tener cuidado para no revelar información sensible. Información
adicional puede ser encontrada en el ISO/IEC 13335-1:2004.

5.1.2 Revisión de la política de seguridad de la información

Control
La política de seguridad de la información debe ser revisada en intervalos planificados o si
existen cambios significativos, para asegurar su continua actualización, suficiencia, y
eficacia.

Guía de Implementación
La política de seguridad de la información debe tener un propietario que ha aprobado la
responsabilidad gerencial del desarrollo, la revisión, y la evaluación de la política de
seguridad. La revisión debe incluir oportunidades de evaluación para la mejora de la
política de seguridad de la información en la organización y el acercamiento a la gestión
de la seguridad de la información en respuesta a cambios en el ambiente organizacional,
circunstancias de negocio, condiciones legales, o en el ambiente técnico.

La revisión de la política de seguridad de la información debe tomar en cuenta los

resultados de revisiones gerenciales. Debe haber procedimientos de revisión gerencial
definidos, incluyendo un cronograma o el período de revisión.
Los factores para la revisión gerencial deben incluir información sobre:

a) retroalimentación de partes interesadas;

b) resultados de revisiones independientes (ver 6.1.8);
c) estado de acciones preventivas y correctivas (ver 6.1.8 y 15.2.1);
d) resultados de revisiones gerenciales anteriores;
e) rendimiento de los procesos y cumplimiento de la política de seguridad de la
información;
f) los cambios que podrían afectar la aproximación de la organización a la gestión de
la seguridad de la información, incluyendo cambios al ambiente de organización,
circunstancias comerciales, la disponibilidad de recursos, condiciones
contractuales, regulatorias, legales, o al ambiente técnico;
g) tendencias relacionadas con amenazas y vulnerabilidades;
h) reportes de incidentes de seguridad de la información (ver 13.1);
i) recomendaciones proporcionadas por autoridades pertinentes (ver 6.1.6).

Los resultados de la revisión gerencial deben incluir cualquier decisión y acciones

relacionadas con:

a) mejora de la aproximación de la organización a la gestión de la seguridad de la

información y sus procesos;
b) mejora de objetivos de control y controles;
c) mejora de la asignación de recursos y/o responsabilidades.
Debe ser conservado un registro de la revisión gerencial.
Debe ser obtenida la aprobación gerencial de la revisión a la política.

7
6. La Organización de la seguridad de la información

6.1 Organización interna

Objetivo: Gestionar la seguridad de la información dentro de la organización.

Un marco administrativo debe de ser establecido para iniciar y controlar la implementación

de la seguridad de la información dentro de la organización.

La Alta Gerencia debe aprobar la política de seguridad de la información, asignar los roles
de seguridad, coordinar y revisar la implementación de seguridad a través de toda la
organización.

Si es necesario, debe establecerse una fuente de asesoramiento especializado sobre

seguridad de la información y debe estar disponible dentro de la organización. Los
contactos con especialistas externos de seguridad o grupos, incluyendo autoridades
relevantes deben ser desarrollados para mantenerse al día con las tendencias de la
industria, los estándares de monitoreo, los métodos de evaluación y para proveer con
puntos de enlace adecuados cuando se está manejando incidentes de seguridad de
información. Se debe alentar un enfoque multidisciplinario a la seguridad de la
información.

6.1.1 Compromiso de la Gerencia el campo de la seguridad de la información

Control
La gerencia debe apoyar activamente la seguridad dentro de la organización a través de
direccionamientos claros, demostración de compromiso, asignación de tareas explícitas y
reconocimiento de las responsabilidades relacionadas a la seguridad de la información.

Guía de implementación
La Alta Gerencia debe:

a) asegurarse que las metas de seguridad de la información estén identificadas,

llenen los requerimientos de la organización y estén integradas en los procesos
relevantes;
b) formular, revisar y aprobar la política de seguridad de la información;
c) revisar la efectividad de la implementación de las políticas de seguridad de la
información;
d) proveer direccionamientos claros y soporte gerencial visible que apoye las
iniciativas de seguridad;
e) proveer los recursos necesarios para la seguridad de la información;
f) aprobar la asignación de roles específicos y responsabilidades para la seguridad
de la información a través de toda la organización;
g) iniciar planes y programas para mantener la concientización sobre la seguridad de
la información;
h) asegurarse que la implementación de los controles de la seguridad de la
información este coordinada a través de la organización (ver 6.1.2).

8
La gerencia debe identificar las necesidades de asesoramiento interno o externo de
especialistas en seguridad de la información, debe revisar y coordinar los resultados de
este asesoramiento en toda la organización.

Dependiendo del tamaño de la organización, estas responsabilidades pueden ser

manejadas por un grupo gerencial dedicado a este cometido o por un grupo gerencial ya
existente, como ser la mesa directiva.

Información adicional
Está contenida en ISO/IEC 13335-1:2004

6.1.2 Coordinación de la seguridad de la información

Control
Las actividades de seguridad de la información deben ser coordinadas por representativos
de las diferentes partes de una organización que tengan roles y funciones de trabajo
relevantes.

Guía de implementación

Típicamente, la coordinación de la seguridad de la información debe comprender la

cooperación y la colaboración de los gerentes, usuarios, administrativos, diseñadores de
aplicaciones, auditores y personal dedicado a la seguridad, con habilidades especiales en
áreas tales como seguros, aspectos legales, recursos humanos, tecnología de la
información (IT) o administración de riesgos.

Esta actividad debe:

a) asegurar que las actividades de seguridad sean ejecutadas en cumplimiento con la

política de seguridad de la información;
b) identificar como manejar los no-cumplimientos;
c) aprobar las metodologías y los procesos de seguridad de la información, por
ejemplo, la valoración del riesgo, clasificación de la información;
d) identificar los cambios en las amenazas significativas y la exposición a amenazas
de la información y de los lugares de procesamiento de información.
e) valorar cuan adecuados son los controles de seguridad de la información y
coordinar la implementación de estos controles.
f) promover en forma efectiva la educación, el entrenamiento y la concientización
relacionada a la seguridad de la información en toda la organización;
g) evaluar la información recibida del monitoreo, revisar los incidentes de seguridad
de la información, y recomendar las acciones apropiadas en respuesta a los
incidentes identificados de seguridad de la información.

Si la organización no utiliza un grupo funcional-transversal separado; porque por ejemplo,

tal grupo no es el apropiado para el tamaño de la organización, las acciones descritas
arriba deben ser llevadas a cabo por otro grupo administrativo adecuado o por un gerente
en forma individual.

9
6.1.3 Asignación de responsabilidades de seguridad de la información

Control
Todas las responsabilidades de la seguridad de la información deben estar claramente
definidas.

Guía de implementación
La asignación de responsabilidades sobre la seguridad de la información deberá ser
realizada de acuerdo con la política de seguridad de la información (ver cláusula 4). Las
responsabilidades para la protección de los activos individuales y para llevar a cabo
procesos de seguridad específicos deben estar claramente identificadas. Esta
responsabilidad deberá ser complementada, donde sea necesario, con lineamientos mas
detallados para sitios específicos y lugares de procesamiento de información. Las
responsabilidades locales para la protección de los activos y para llevar a cabo procesos
de seguridad específicos, tales como ser la planificación de la continuidad del negocio,
deben ser claramente definidas.

Los individuos con responsabilidades de seguridad asignadas podrán delegar sus labores
de seguridad a otros. Mas sin embargo, ellos siguen siendo responsables y deben ser
ellos quienes determinen si es que cualquier labor delegada ha sido llevada a cabo en
forma correcta.

Deberá ser claramente establecido de que áreas los individuos son responsables; en
particular, lo siguiente debe ocurrir:

a) los activos y los procesos de seguridad asociados para cada sistema particular
deben ser identificados y claramente definidos
b) la entidad responsable para cada activo o proceso de seguridad debe ser
asignada y los detalles de esta responsabilidad deben estar documentados (ver
también 7.1.2);
c) los niveles de autorización deben estar claramente definidos y documentados.

Información adicional

En muchas organizaciones un gerente de seguridad de la información será designado

para tomar toda la responsabilidad del desarrollo e implementación de la seguridad y para
dar apoyo en la identificación de controles.

No obstante, la responsabilidad para efectivizar e implementar los controles

frecuentemente quedara en manos de los gerentes individuales. Una práctica común es el
nombrar un dueño de cada activo quien entonces llega a ser responsable, día a día, de su
protección.

6.1.4 Procesos de autorización para instalaciones de procesamiento de

información

Control
Un proceso de autorización gerencial para las instalaciones de procesamiento de
información deberá ser definido e implementado.

10
Guía de implementación
Los siguientes lineamientos deben ser considerados para el proceso de autorización:

a) las nuevas instalaciones deben tener autorización de la administración para ser

utilizadas, autorizando su propósito y su uso. La autorización deberá ser obtenida
del gerente responsable de mantener el sistema de seguridad de la información
local para asegurarse que sean cumplidas todas las políticas de seguridad y
todos los requisitos relevantes;
b) donde sea necesario, el hardware y el software deberá ser verificado para
asegurarse de que sean compatibles con los componentes de otros sistemas;
c) el uso de instalaciones de procesamiento personales o de propiedad privada, por
ejemplo, laptops, computadoras en los hogares, artefactos pequeños de bolsillo
para el procesamiento de información de negocios, podrían introducir nuevas
vulnerabilidades, por tanto, controles necesarios deben ser identificados e
implementados.

6.1.5 Acuerdos de confidencialidad

Control
Los requerimientos de acuerdos de confidencialidad y de no-divulgación de la información
deben ser identificados y regularmente revisados, reflejando las necesidades de
protección de la información de la organización.

Guía de implementación

Los acuerdos de confidencialidad y de no-divulgación de la información deben tratar el

requerimiento de protección de la confidencialidad de la información usando términos
legalmente ejecutables. Para identificar los requerimientos de acuerdos de
confidencialidad y de no-divulgación, se debe considerar los siguientes elementos:

a) una definición de la información a ser protegida (por ejemplo información

confidencial);
b) duración esperada de un acuerdo, incluyendo casos donde sea necesario que la
confidencialidad sea mantenida en forma indefinida;
c) acciones requeridas cuando un acuerdo ha terminado;
d) responsabilidades y acciones de los que suscriben estos acuerdos para evitar la
divulgación de información no autorizada (tales como “necesidad de conocer”)
e) propiedad de la información, secretos de la industria y propiedad intelectual y
cómo todo esto se relaciona con la protección de la información confidencial;
f) el uso permitido de información confidencial y los derechos de los que suscriben
los acuerdo al uso de la información;
g) el derecho de auditar y monitorear las actividades que involucran información
confidencial.
h) procedimiento para la notificación y el reporte de incumplimiento en lo referente a
la confidencialidad de la información y de la divulgación no autorizada de
información;
i) reglas para que la información sea devuelta o destruida una vez que cesa un
acuerdo; y
j) acciones esperadas que se lleven a cabo cuando se incumple este acuerdo.

11
Basándose en los requerimientos de seguridad de una organización, otros elementos
pueden ser necesarios en los acuerdos de confidencialidad y de no-divulgación de
información.

Los acuerdos de confidencialidad y de no-divulgación de información deben cumplir con

todas las leyes y regulaciones aplicables para la jurisdicción para la cual son aplicables
(ver también 15.1.1).

Los requerimientos de acuerdos de confidencialidad y de no-divulgación de la información

deben ser revisados periódicamente y cuando ocurran cambios que influyan estos
requerimientos.

Información adicional

Los acuerdos de confidencialidad y de no-revelación de la información protegen la

información organizacional e informan a los que los suscriben de su responsabilidad de
proteger, usar y divulgar información en una manera responsable y autorizada.

Podría existir en una organización la necesidad de usar diferentes formas de acuerdos de

confidencialidad y de no-divulgación de la información en diferentes circunstancias.

6.1.6 Contacto con las autoridades

Control
Contactos apropiados con autoridades relevantes deben ser establecidos.

Guías de Implementación
Las organizaciones deben tener procedimientos implementados que especifiquen cuando
y que autoridades (por ejemplo, policía, departamento de bomberos, autoridades de
supervisión) deben ser contactadas y como los incidentes de seguridad de la información
previamente identificados deben ser reportados en una manera oportuna, cuando se
sospeche que las leyes podrían haber sido transgredidas.

Las organizaciones bajo ataque desde el Internet podrían necesitar terceros externos (por
ejemplo un proveedor de servicios de Internet o un operador de telecomunicaciones) que
actúen contra la fuente del ataque.

Información adicional
El mantenimiento de estos contactos podría ser un requisito para apoyar a la gestión de
incidentes de seguridad de la información (Sección 13.2) o los procesos de continuidad de
negocios y planificación para la contingencia (Sección 14). Los contactos con las
instituciones reguladoras también son útiles cuando es necesario anticipar y prepararse a
los próximos cambios en la ley o en las regulaciones que deben ser seguidos por la
organización. Los contactos con otras autoridades incluyendo los contactos con
autoridades de las empresas de servicios básicos, servicios de emergencia, salud,
seguridad, por ejemplo departamento de bomberos (en conexión con la continuidad de los
negocios), proveedores de telecomunicaciones (en conexión con la disponibilidad y
direccionamiento de las líneas), servicios de agua (en conexión con las instalaciones de
refrigeración para equipos).

12
6.1.7 Contacto con grupos de interés especiales

Control
Contactos apropiados con grupos de interés especial y otros foros de especialistas en
seguridad y asociaciones profesionales deben ser establecidos.

Guías de implementación

El pertenecer a grupos de interés especial o foros debe ser considerado como un medio
para:

a) mejorar el conocimiento acerca de las mejores practicas y mantenerse al día sobre

información de seguridad relevante;
b) asegurarse que la comprensión del ambiente de seguridad de la información esta
al día y completo.
c) recibir advertencias tempranas, consejos y programas protectores (patches)
relacionados a ataques y vulnerabilidades.
d) ganar acceso a consejos especializados sobre seguridad;
e) compartir e intercambiar información acerca de nueva tecnología, productos,
amenazas o vulnerabilidades;
f) proveer puntos de enlace adecuados cuando sé esta manejando incidentes de
seguridad de la información (ver también 13.2.1).

Información Adicional
Acuerdos para compartir información pueden ser establecidos para mejorar la
cooperación y coordinación de los aspectos de seguridad. Estos acuerdos deben
identificar los requerimientos para la protección de información sensible.

6.1.8 Revisión independiente de la seguridad de la información

Control
El enfoque de la organización sobre el manejo de la seguridad de la información y de su
implementación (por ejemplo control de objetivos, controles, políticas, procesos, y
procedimientos para la seguridad de la información) deben ser revisados independiente y
periódicamente en intervalos planificados o cuando ocurran cambios significativos en la
implementación de seguridad.

Guía de Implementación
La revisión independiente debe ser iniciada por la Alta Gerencia. Tal revisión
independiente es necesaria para asegurarse de que en forma continua, el enfoque de la
organización al manejo de la seguridad de la información sea apropiado, adecuado y
efectivo. La revisión debe incluir la valoración de las oportunidades de mejora y la
necesidad de cambios en el enfoque utilizado con relación a la seguridad, incluyendo los
objetivos de política y control.

Tal revisión debe ser llevada a cabo por individuos independientes en el área que esta
siendo revisada, por ejemplo, la función de auditoria interna, y un gerente independiente o

13
una organización de fuera especializada en tales revisiones. Los individuos que llevan a
cabo estas revisiones deben tener las habilidades y experiencia apropiadas.

Los resultados de estas revisiones independientes deben ser registrados y reportados a la

gerencia quienes iniciaron estas revisiones. La documentación relacionada debe ser
mantenida.

Si es que la revisión independiente señala que el enfoque de la organización y la

implementación del manejo de la seguridad de la información son inadecuados o no
cumplen con el direccionamiento establecido para la seguridad de la información en el
documento de política de seguridad (ver 5.1.1), la gerencia debe considerar acciones
correctivas.

Información adicional

El área, que los gerentes deben regularmente revisar (ver 15.2.1), podrá ser también
revisada independientemente. Las técnicas de revisión podrán incluir entrevistas a la
gerencia, la verificación de documentación o la revisión de documentos de política de
seguridad. Las normas ISO 19022:2002, concejos para la administración de auditoria de
sistemas de calidad y/o medio ambiente podrán también proveer lineamientos útiles para
llevar a cabo una revisión independiente, que incluya el establecimiento e implementación
de un programa de revisión. La sección 15.3 especifica los controles relevantes a la
revisión independiente de los sistemas operacionales de información y el uso de las
herramientas de auditoria.

6.2 Terceras partes

Objetivo: Mantener la seguridad de información de la organización y de las instalaciones
de procesamiento de información que son accedidas procesadas, comunicadas o
administras por terceras partes.

La seguridad de la información de la organización y de las instalaciones de procesamiento

de información no debe ser reducida por la introducción de productos o servicios de
terceras partes.

Cualquier acceso de terceras partes a las instalaciones de procesamiento de información

y comunicación de la organización debe ser controlado.

Donde haya necesidad de trabajar con terceras partes que podrían requerir acceso a la
información y a las instalaciones de procesamiento de información de la organización, o
exista una necesidad de obtener o proveer un producto y servicio de/a un participante
externo, debe haber una valoración del riesgo para determinar las implicaciones e
seguridad y los controles requeridos. Los controles deben ser acordados y definidos en un
acuerdo con el participante externo.

6.2.1 Identificación de riesgos relacionados a terceras partes

Control
Los riesgos para la información y las instalaciones procesadoras de información e la
organización provenientes de los procesos de negocios que involucran a terceras partes

14
deben ser identificados y se debe implementar controles apropiados antes de otórgales
acceso a estas partes.

Guía de Implementación
Donde hay una necesidad de permitir acceso a las instalaciones procesadoras de
información a terceras partes o permitir acceso a la información de una organización, (vea
también la Sección 4) debe ser llevada a cabo una valoración de riesgo para identificar
cualquier requerimiento de controles específicos. La identificación de riesgos relacionados
al acceso de terceras partes debe tomar en cuenta los siguientes aspectos;

a) el requerimiento de acceso del externo a las instalaciones de procesamiento de

información;
b) el tipo de acceso que tendrá la tercera parte a la información y a las instalaciones
de procesamiento de información, por ejemplo:

1) acceso físico, por ejemplo a oficinas, salas de computación, archivos

2) acceso logístico, por ejemplo, acceso a una base de datos de una
organización, sistemas de información
3) conectividad de redes entre la(s) red(es) de la organización y de la parte
externa, por ejemplo, conexión permanente, acceso remoto;
4) si es que el acceso se lleva a cabo en el lugar o fuera del lugar;

c) el valor y sensibilidad de la información involucrada, y cuan crítica es para las

operaciones de negocios;
d) los controles necesarios para proteger la información sobre la cual no existe
intención de que sea accesible a partes externas;
e) el personal de la parte externa involucrado en el manejo de la información de la
organización;
f) como se identifica a la organización o al personal autorizado, como se verifica la
autorización y conque frecuencia se necesita reconfirmar todo ello;
g) los diferentes recursos y controles empleados por la parte externa cuando guarda,
procesa, comunica, comparte e intercambia información;
h) el impacto en la tercera parte causado por que el acceso no este disponible cuan
así lo requiera y el que el participante externo entre o reciba información no
precisa o información que produzca confusión.
i) practicas y procedimientos para manejar incidentes de seguridad de la
información, daños potenciales, los términos y condiciones para la continuidad del
acceso del participante externo en el caso de un incidente de seguridad de
información;
j) requerimientos legales, regulatorios y otras obligaciones contractuales relevantes
al participante externo que deben ser tomadas en cuenta;
k) cómo los intereses de cualquiera de las partes interesadas podrían ser afectados
por los convenios.

El acceso de participantes externos a la información de la organización no debe ser

provisto hasta que los controles apropiados hayan sido implementados y cuando sea
factible, un contrato haya sido firmado definiendo los términos y condiciones para la
conexión o el acceso y los convenios para el trabajo definido. Generalmente, todos los
requerimientos de seguridad o controles internos que resulten del trabajo con terceras
partes deben ser reflejados en el acuerdo. (Vea también 6.2.2 y 6.2.3)

15
Información adicional
La información puede ser puesta en riesgo por la inadecuada administración de la
seguridad de las terceras partes, Se debe identificar controles y aplicarlos para
administrar el acceso del participante externo a las instalaciones procesadoras de
información. Por ejemplo, si es que hay una necesidad especial para la confidencialidad
de la información, se podría utilizar un acuerdo de no-divulgación.

Las organizaciones podrían enfrentar riesgos asociados con los procesos, administración
y comunicación inter-organizacionales, como también la comunicación si es que se aplica
un alto grado de contratación de aprovisionamiento externo o cuando hay involucrados
varios participantes externos.

Los controles 6.2.2 y 6.2.3 cubren diferentes convenios con terceras partes, por ejemplo
se incluye;

a) proveedores de servicio, tales como IPSs (Proveedores de Servicio de Internet),

proveedores de redes, de servicios telefónicos, mantenimiento y servicios de
soporte;
b) servicios de seguridad administrados;
c) clientes;
d) aprovisionamiento externo de instalaciones y/o operaciones, por ejemplo; sistemas
de tecnología de la información (IT), recolección de datos, operaciones de centros
de llamadas;
e) administración de consultores de negocios y auditores;
f) desarrolladores y suministradores; por ejemplo de productos de software y de
sistemas de Tecnología de la información (IT);
g) servicios de limpieza, suministro de comida y otros servicios de soporte
contratados permanentemente;
h) personal temporal, pasantes estudiantiles y otras designaciones de corto tiempo.

Estos acuerdos pueden ayudar a reducir los riesgos asociados con terceras partes.

6.2.2 Tratamiento de la seguridad en relación con clientes

Control
Todos los requisitos identificados de seguridad deben ser tratados antes de dar acceso al
cliente a la información de la organización y a sus activos.

Guía de Implementación
Los siguientes términos deben ser considerados para tratar la seguridad en forma previa a
dar a los clientes acceso a cualquiera de los activos de la organización (dependiendo del
tipo y la extensión del acceso dado, no todos ellos podrían aplicar):

a) protección de activos, incluyendo

1) procedimientos para proteger los activos de la organización, incluyendo

información, software y el manejo de las vulnerabilidades conocidas;
2) procedimientos para determinar si es que ha comprometido de alguna
forma los activos, por ejemplo, si es que ha ocurrido perdida o
modificación de datos;

16
 3) integridad;
4) restricciones en la copia y la revelación de información;

b) descripción de los productos o servicios a ser provistos;

c) las diferentes razones, requerimientos y beneficios para el acceso de clientes;
d) política de control de acceso, que cubra:

1) métodos de acceso permitidos, el control y uso de identificadores únicos

tales como Identificación (Ids) de usuarios y palabras claves (passwords);
2) un proceso de autorización para acceso de usuarios y privilegios de estos;
3) una declaración enunciando que todo lo accedido que no esta
explícitamente autorizado esta prohibido;
4) un proceso para revocar los derechos de acceso o interrumpir la conexión
entre sistemas;
e) previsiones para reportar, notificar e investigar las inexactitudes (por ejemplo en
los datos personales), incidentes de seguridad de la información y transgresiones
a la seguridad;
f) una descripción de cada servicio debe ser dispuesta;
g) el nivel de servicio deseado y niveles de servicio inaceptables;
h) el derecho a monitorear y revocar, cualquier actividad relacionada a los activos de
la organización;
i) las respectivas responsabilidades de la organización y del cliente;
j) responsabilidades con respecto a asuntos legales y como se asegura que los
requerimientos legales sean cumplidos, por ejemplo, protección de datos legales,
especialmente tomando en cuenta los diferentes sistemas legales si es que hay un
acuerdo que involucra cooperación con clientes en otros países (ver también
15.1);
k) asignación de derechos de propiedad intelectual y de derechos de copia
(copyright)(ver 15.1.2) y protección de cualquier trabajo en colaboración (ver
también 6.1.5).

Información adicional

Los requerimientos de seguridad relacionados con el acceso de clientes a los activos de

la organización pueden variar considerablemente dependiendo de las instalaciones de
procesamiento de información y la información que esta siendo accedida. Estos requisitos
de seguridad pueden ser tratados usando acuerdos con los clientes, que contengan todos
los riesgos identificados y todos los requerimientos de seguridad (ver 6.2.1)

Los acuerdos con terceras partes podrían también involucrar a otros participantes. Los
acuerdos otorgando acceso a terceras partes deben incluir concesiones para la
designación de otros participantes aptos y las condiciones para el acceso y participación
de estos.

6.2.3 Inclusión de seguridad en acuerdos de terceras partes

Control

17
Los acuerdos con terceras partes que involucran acceso, procesamiento, gestión de
información de la organización o facilidades de procesamiento, además de productos o
servicios para las facilidades de procesamiento de información deben cubrir todos los
requerimientos relevantes

Guía de implementación
Los acuerdos deben asegurar que no existan malos entendidos entre la organización y
terceras partes. Las organizaciones deben satisfacerse a sí misma en lo referente a la
seguridad de las terceras partes.

Los siguientes términos deben ser considerados para la inclusión en el acuerdo de

manera que se satisfaga los requerimientos de seguridad identificados (vea 6.2.1):

a) la política de seguridad de la información;

b) controles para asegurar la protección de activos incluyendo;

1) procedimientos para proteger los activos organizacionales, incluyendo

información, software y hardware;
2) cualquier forma de controles y mecanismos de protección física
requeridos;
3) controles para asegurar la protección en contra de software malicioso (ver
10.4.1);
4) procedimientos para determinar si es que se compromete algún activo;
por ejemplo, si ha ocurrido perdida o modificación de información, perdida
de software o hardware;
5) controles para asegurar la devolución o destrucción de información y
activos al final del acuerdo o en un momento determinado del acuerdo;
6) confidencialidad, integridad, disponibilidad y cualquier otra propiedad
relevante (ver 2.1.5) de los activos;
7) restricciones en la copia y la revelación de información, como también en
el uso de los acuerdos de confidencialidad (ver 6.1.5);
c) entrenamiento de usuarios y administradores en métodos, procedimientos y
seguridad;
d) asegurarse el conocimiento del usuario de la información en lo referente a las
responsabilidades de seguridad y de otros aspectos referentes a la información;
e) previsión para la transferencia de personal, donde sea apropiado;
f) responsabilidades con relación a la instalación y mantenimiento de hardware y
software;
g) una estructura de reporte clara y formatos acordados para los reportes,
h) un proceso claro y especifico para el cambio de administración;
i) política de control de acceso, que cubra:

1) las diferentes razones, requerimientos y beneficios que hacen que el

acceso de un participante externo sea necesario;
2) métodos permitidos de acceso, y el control y uso de identificadores únicos
tales como ser Ids de usuario y palabras clave (passwords);
3) un procedimiento de autorización para acceso y privilegios de usuario;
4) un requerimiento para el mantenimiento de una lista de los individuos
autorizados al uso de los servicios que son puestos a disponibilidad, y
cuales son sus derechos y privilegio con respecto a tal uso.

18
 5) Una declaración que diga que todo lo accedido que no este explícitamente
autorizado esta prohibido;
6) Un proceso para revocar derechos de acceso o interrumpir la conexión
entre sistemas;

j) convenios sobre la forma de reporte, notificación e investigación de información

sobre incidentes de seguridad y transgresiones a la seguridad, como también con
respecto a las violaciones de los requerimientos establecidos en el acuerdo;
k) una descripción del producto o servicio a ser provisto, y una descripción de la
información que se pode a disponibilidad juntamente con su clasificación de
seguridad (ver 7.2.1);
l) el nivel objetivo de servicios y los niveles de servicio inaceptables;
m) la definición de criterios verificables de desempeño, sus formas de monitoreo y de
reporte;
n) el derecho a monitorear, y revocar, cualquier actividad relacionada a los activos de
la organización;
o) el derecho a auditar las responsabilidades definidas en el acuerdo, el llevar a cabo
esas auditorias a través de un participante externo, y el enumerar los derechos
reglamentarios de los auditores;
p) el establecimiento de un proceso de escalera para la resolución de problemas;
q) requerimientos para continuidad de servicios, incluyendo medidas para la
disponibilidad y confiabilidad, en concordancia con las prioridades de negocios de
una organización;
r) las respectivas responsabilidades de las partes en el acuerdo;
s) responsabilidades con respecto a asuntos legales y como se asegura que los
requerimientos legales sean cumplidos; por ejemplo, legislación sobre protección
de datos, especialmente tomando en cuenta los diferentes sistemas legales
nacionales si el acuerdo involucra cooperación con organizaciones de otros países
(ver también 15.1);
t) derechos de propiedad intelectual y asignación de derechos de autor (copyright)
(ver 15.1.2) y protección de cualquier trabajo de cooperación (ver también 6.1.5);
u) relación del participante externo con entidades subcontratadas y los controles de
seguridad que estos subcontratantes necesitan implementar;
v) condiciones de renegociación / terminación de acuerdos:
1) un plan de contingencia debe estar latente en caso de que cualquiera de
las partes desee terminar la relación antes del final de los cuerdos;
2) renegociación de acuerdos en caso de que los requerimientos de la
organización cambien;
3) documentación al día del listado de activos, licencias, acuerdos o
derechos relacionados a ellos.

Información adicional
Los acuerdos pueden variar considerablemente para las diferentes organizaciones y entre
los diferentes tipos de terceras partes, Por lo tanto, se debe tener cuidado en incluir todos
los riesgos identificados y todos los requerimientos de seguridad (ver también 6.2.1) en
los acuerdos. Donde sea necesario, los controles requeridos y los procedimientos pueden
ser expandidos en un plan de administración de la seguridad.

Si es que la administración de seguridad de la información es contratada en forma

externa, los acuerdos deben tratar la forma en la que este participante externo garantizará
la seguridad adecuada, tal como fue definida en la valoración de riesgo, como también,

19
como será esta seguridad mantenida, y adaptada para identificar y manejar los cambios
de riesgos.

Algunas de las diferencias entre contratación externa y las otras formas de participación
de proveedores de servicios incluye la pregunta sobre la responsabilidad, la planificación
del periodo de transición y las perturbaciones potenciales de operación durante este
periodo, como también, con referencia a los incidentes de seguridad, la planificación de
contingencia, las revisiones de auditoria minuciosa (due diligence), la recolección y la
administración de información. Por tanto, es importante que la organización planifique y
administre la transición de los acuerdos de provisión externa y que los procedimientos
adecuados se implementen para administrar los cambios y la renegociación / terminación
de acuerdos.

Los procedimientos para continuar el procesamiento en el caso de que el participante

externo no este disponible para suministrar sus servicios necesariamente debe ser
considerado en el acuerdo para evitar retrasos en los trámites para remplazar los
servicios.

Los acuerdos con terceras partes también podrían involucrar a otros participantes. Los
acuerdos otorgando a participantes externos acceso deben también incluir las
concesiones para que estos puedan designar a otros participantes adecuados y las
condiciones para el acceso de estos y el nivel de su participación.

Generalmente los acuerdos son primeramente desarrollados por la organización. Podría

haber ocasiones en algunas circunstancias donde un acuerdo puede ser desarrollado e
impuesto a la organización por un participante externo. La organización necesita
asegurarse que su propia seguridad no sea impactada en forma no necesaria por los
requerimientos de terceras partes por lo estipulado en los acuerdos impuestos.

20
7. Gestión de los Activos

7.1 Responsabilidad por los activos

Objetivo: Alcanzar y mantener la protección apropiada de los activos de la organización.

Todo activo debe ser inventariado y tener un propietario1 designado.

Deben identificarse a los propietarios para todos los activos y la responsabilidad por el
mantenimiento de controles apropiados debe ser asignada. La implementación de
controles específicos podría ser delegada por el propietario cuando se considere
apropiado, pero el propietario mantiene la responsabilidad de la protección adecuada de
los activos.

7.1.1 Inventario de activos

Control
Todos los activos deben ser identificados claramente y debe mantenerse un inventario de
todos los activos importantes.

Guía de Implementación
Una organización debe identificar y documentar la importancia de todos los activos. El
inventario de activos debe incluir toda la información necesaria para la recuperación de
desastres, incluyendo el tipo de activo, formato, ubicación, información de respaldo,
información sobre licencias y el valor para el negocio. El inventario no debe duplicar otros
inventarios existentes, pero debe asegurarse de que los contenidos estén actualizados
Además, la propiedad (ver 7.1.2), y la clasificación de la información ver(7.2) debe ser
acordada y documentada para cada activo. Basado en la importancia del activo, su valor
de negocio y su clasificación de seguridad, deben ser identificados los niveles de
protección por la importancia del activo. (más información sobre como valorar los activos
para representar su importancia se puede encontrar en ISO/IEC TR 13335-3).

Información adicional
Hay muchos tipos de activos, como ser:

a) Información, archivos y base de datos, acuerdos, contratos, documentación de

sistemas, información de investigación, manuales de usuario, material de
capacitación, procedimientos operativos o de soporte, plan de continuidad del
negocio, contratos de contingencia, flujos de auditoria e información archivada.
b) Activos de software, software de aplicación, software de sistema, herramientas de
desarrollo y utilitarios.
c) Activos físicos: equipos de cómputo, equipos de comunicación, dispositivos
removibles y otro equipamiento.

1
El término ‘propietario’ identifica a un individuo o entidad que tiene aprobada la responsabilidad de gestión
para controlar la producción, desarrollo, mantenimiento, uso y seguridad de los activos. El término
‘propietario’ no se refiere a una persona que efectivamente tiene derechos de propiedad sobre el activo.

21
 d) Servicios: servicios de comunicación y computo, servicios generales, [Link].
calefacción, energía eléctrica, aire acondicionado, etc.
e) Personas y curriculum, habilidades y experiencias.
f) Intangibles, tales como la reputación y imagen de la organización

Los inventarios de activos nos ayudan a asegurar la efectiva protección del activo, y
también podrían necesitarse para otros propósitos organizativos como la seguridad y
salubridad, seguros o razones financieras o de aseguramiento (Gestión de Activos). El
proceso de recopilar un inventario de activos es un prerrequisito importante en la gestión
de riesgos. (ver sección 4).

7.1.2 Propiedad de los activos

Control
Toda la información y los activos asociados con las instalaciones de procesamiento de la
información deben estar asignados a un propietario2 de un área en la organización
designada para tal efecto.

Guía de implementación
El propietario de activos debe ser responsable de:

a) asegurar que la información y los activos asociados con las instalaciones de

procesamiento de la información estén adecuadamente clasificados;
b) definir y revisar periódicamente las clasificaciones y restricciones de acceso,
tomando en cuenta las políticas de control de acceso aplicables

La propiedad puede ser asignada a:

a) un proceso del negocio;

b) un conjunto definido de actividades;
c) una aplicación;
d) un conjunto definido de datos

Información adicional

Las tareas rutinarias pueden ser delegadas, por ej, a un custodio que esté pendiente de
los activos diariamente pero la responsabilidad permanece con el propietario.

En sistemas de información complejos podría ser útil crear grupos de activos, los cuales
en conjunto proporcionan una función particular como “servicios”. En este caso el
propietario del servicio es responsable de hacerlo disponible, incluyendo el
funcionamiento de los activos que provee.

7.1.3 Uso aceptable de los activos

22
Control
Deben ser identificadas, documentadas e implementadas las reglas para el uso aceptable
de la información y activos asociados con las instalaciones de procesamiento de la
información.

Guía de implementación
Todos los empleados, contratistas y terceras personas deben seguir las reglas para el uso
aceptable de la información y los activos asociados a las instalaciones de procesamiento
de la información

a) reglas para la utilización de Internet y correo electrónico (ver 10.8)

b) lineamientos para el uso de dispositivos móviles, especialmente para el uso fuera

de las instalaciones de la organización

Las reglas o lineamientos específicos deben ser proporcionados por el área pertinente.
Empleados, contratistas y terceras personas que tiene acceso o utilizan los activos de la
organización deben estar conscientes de los limites existentes en la utilización de
información y activos asociados con las instalaciones y recursos de procesamiento de
información de la organización. Ellos deben responsabilizarse por el uso de cualquier
recurso de procesamiento de información.

7.2 Clasificación de la información

Objetivo: Asegurar que la información reciba un nivel de protección apropiado

La información debe ser clasificada para indicar las necesidades, prioridades y grado
esperado de protección al manipular la misma.

La información tiene varios grados de sensibilidad y criticidad. Algunos ítems podrían

requerir un nivel adicional de protección o manipulación especial. Un esquema de
clasificación de la información debe utilizarse para definir un conjunto apropiado de
niveles de protección y comunicar la necesidad de medidas de manipulación especiales.

7.2.1 Guías de clasificación

Control
La información debe clasificarse en términos de su valor, requerimientos legales,
sensibilidad y criticidad para la organización.

Guía de implementación
La clasificación y los controles de protección asociados para la información deben tomar
en cuenta las necesidades del negocio para compartir o restringir información y los
impactos del negocio asociados con tales necesidades.

Las guías de clasificación deben incluir acuerdos para una clasificación inicial y
reclasificación posterior; de acuerdo con alguna política de control de acceso
predeterminado (ver11.1.1)

23
Debe ser responsabilidad del propietario del activo (ver 7.1.2) definir la clasificación de
los mismos, revisarla periódicamente, asegurar que este actualizada y en el nivel
apropiado. La clasificación debe tomar en cuenta el efecto de agregación mencionado en
10.7.2

Se debe considerar el número de categorías de clasificación y los beneficios que pueden

derivarse de su uso. Esquemas demasiado complejos pueden llegar a ser problemáticos y
costosos de utilizar o resultar poco practico. Se debe tener cuidado a la hora de
interpretar las etiquetas de clasificación en los documentos de otras organizaciones las
cuales pueden tener definiciones diferentes para etiquetas iguales o similares.

Información adicional
El nivel de protección puede ser evaluado mediante análisis de confidencialidad,
integridad, disponibilidad y otros requerimientos para la información considerada

La información frecuentemente deja de ser sensible o critica después de cierto periodo de

tiempo, por ej., cuando la información se hizo publica. Estos aspectos deben
considerarse debido a que la sobre valoración puede conducir a la implementación de
controles innecesarios que resultan en un mayor gasto.

Considerar los documentos con similares requerimientos de seguridad de manera

conjunta, cuando se asignen los niveles de clasificación podrá ayudar a simplificar las
tareas de clasificación

En general, la clasificación dada a la información es una manera simple de determinar

como se manejará y protegerá esta información.

7.2.2 Manipulación y etiquetado de la información

Control
Un conjunto apropiado de procedimientos para el etiquetado y manipulación de la
información debe ser desarrollado e implementado de acuerdo con el esquema de
clasificación adoptado por la organización.

Guía de implementación
Los procedimientos para el etiquetado de la información deben cubrir activos de
información en formatos físicos y electrónicos.

La salida de los sistemas que contienen información clasificada como sensible o crítica
debe llevar una etiqueta de clasificación adecuada (en la salida). El etiquetado debe
reflejar la clasificación de acuerdo a las reglas establecidas en 7.2.1. Los elementos a
considerar incluyen reportes impresos, salida en pantalla, medios gravables (cintas,
discos, CD) mensajes electrónicos y transferencia de archivos.

Para cada nivel de clasificación se debe definir procedimientos seguros para el

procesamiento, almacenamiento, transmisión, desclasificación y destrucción. Esto

24
también debe incluir los procedimientos de cadena de custodia y registro de cualquier
evento relevante de seguridad.

Los acuerdos con otras organizaciones que incluyan información compartida deben incluir
procedimientos para identificar la clasificación de dicha información y para interpretar las
etiquetas de clasificación de estas.

Información adicional
El etiquetado y la manipulación segura de la información clasificada es un requerimiento
clave para acuerdos en los que se compartirá información. Las etiquetas físicas son una
forma común de etiquetar. Sin embargo, algunos activos de información, tales como,
documentos en formato electrónico, no pueden ser etiquetados físicamente y es necesario
utilizar medios de etiquetado electrónico. Por ej., el etiquetado de notificación podría
aparecer desplegada en pantalla. Donde el etiquetado no es factible podrían ser aplicados
otros medios para designar la clasificación de la información, por ejemplo, vía
procedimientos o meta datos.

25
8 Seguridad de los recursos humanos

8.1 Previo a la contratación2

Objetivo: Asegurar que los empleados, contratistas y usuarios de terceras partes

entiendan sus responsabilidades, sean adecuados para los roles considerados y para
reducir el riesgo de fraude o mal manejo de las instalaciones.

Las responsabilidades de seguridad deben ser dirigidas previamente a la contratación

mediante una adecuada descripción del trabajo en términos y condiciones del cargo.

Todos los candidatos para el cargo, contratistas y usuarios de terceras partes deben ser
adecuadamente protegidos, especialmente para trabajos sensibles.

Empleados, contratistas y usuarios de terceras partes con acceso a ambientes de

procesamiento de información deben firmar un contrato sobre sus roles y
responsabilidades de seguridad.

8.1.1 Roles y responsabilidades

Control
Los roles y responsabilidades de seguridad de los empleados, contratistas y usuarios de
terceras partes deben ser definidos y documentados de acuerdo con las políticas de
seguridad de la información en la organización.

Guías de implementación
Los roles y responsabilidades de seguridad deben incluir los requerimientos para:

a) implementar y actuar de acuerdo con la política de seguridad de la organización.

b) proteger los activos de accesos no autorizados, divulgación, modificación,

destrucción o intrusión.

c) ejecutar procesos o actividades particulares de seguridad.

d) asegurar que la responsabilidad es asignada a un individuo para tomar

acciones.

e) reportes de eventos de seguridad o potenciales eventos u otros riesgos de

seguridad para la organización.
Los roles y responsabilidades de seguridad deben estar definidos y claramente
comunicados a los candidatos al cargo durante el proceso de selección de personal.

Información adicional

2
Explicación: La palabra ‘contratación’ es utilizada para referirse a situaciones diferentes como las que
siguen: contratación de gente (temporal o por tiempo indefinido), compromiso de roles del trabajo, cambio
de roles de trabajo, asignación de contratos y la finalización de cualquiera de estos acuerdos.

26
La descripción de trabajos puede ser usada para documentar roles y responsabilidades
de seguridad. Roles y responsabilidades de seguridad para los procesos de contratación
de la organización, por ejemplo, contratos por medio de terceras partes, deben también
estar claramente definidas y comunicadas.

8.1.2 Selección

Control
La verificación a fondo comprueba sobre todos los candidatos para el empleo, contratistas
y usuarios de terceras partes que deben ser llevados a cabo de acuerdo con las leyes
pertinentes, regulación y ética, proporcionalmente a los requerimientos del negocio, a la
clasificación de la información a ser accedida y los riesgos percibidos.

Guía de implementación
La verificación de información debe considerar la privacidad relevante, protección de
datos personales y/o legislación laboral aplicable, cuando sea permitido debe incluir lo
siguiente:

a) disponer de cartas de recomendación/referencias, por ejemplo, uno de empresa y

uno personal.

b) una comprobación (para la integridad y exactitud) de los curriculums vitae de los

candidatos.

c) confirmación de aptitudes académicas y profesionales que se declararon.

d) comprobación independiente de la identidad (pasaporte o documentos similares).

e) comprobar más detalles, tales como la comprobación de créditos o comprobación

de antecedentes criminales.

La organización debe considerar comprobaciones más detalladas cuando el trabajo

involucre que la persona tenga acceso a los ambientes de procesamiento de información
y en particular si la persona manejará información sensible, por ejemplo, información
financiera o información altamente confidencial. Sin importar que sea una contratación
inicial o un ascenso de cargo.

Los procedimientos deben definir criterios y limitaciones para comprobar la verificación,

por ejemplo, quien es elegido para seleccionar personal, cómo, cuando y por qué se
llevan a cabo la comprobación.

Un proceso de selección debe también ser llevado acabo para contratistas y usuarios de
terceras partes. Donde a través de la agencia se proporcione a los contratistas el contrato,
por medio de la agencia se debe especificar claramente las responsabilidades de la
agencia para la selección y los procedimientos de notificación que ellos necesitan para
seguir, si la selección no ha sido completada o si los resultados dan lugar a dubitación o
preocupación. De la misma manera, los contratos con terceras partes (ver también 6.2.3)
deben especificar claramente todas las responsabilidades y procedimientos de
notificación para la selección.

27
La información sobre todos los candidatos, considerados para posiciones dentro la
organización, deben ser recopiladas y manejadas en concordancia con la legislación
vigente apropiada dentro de la jurisdicción pertinente. Dependiendo de la legislación
aplicable, los candidatos deben ser informados de antemano respecto de las actividades
de selección.

8.1.3 Términos y condiciones de empleo

Control
Como parte sus obligaciones contractuales, empleados, contratistas y usuarios de
terceras partes deben estar de acuerdo en firmar los términos y condiciones de sus
contratos de empleo, el cual debe afirmar sus y las responsabilidades de la organización
para seguridad de la información.

Guía de implementación
Los términos y condiciones de empleo deben reflejar la política de seguridad de la
organización, además de clarificar y declarar:

a) que todos los empleados, contratistas y usuarios de terceras partes a quienes se

asignaron acceso a información sensible deben firmar un acuerdo de
confidencialidad o no divulgación antes que se les de acceso a los ambientes de
procesamiento de información.

b) responsabilidades y derechos legales de los empleados, contratistas y cualquier

otro usuario, por ejemplo, respecto a las leyes de derechos de autor o legislación
de protección de datos (ver también 15.1.1 y 15.1.2);

c) responsabilidades para la clasificación de la información y gestión de activos

relacionados con sistemas de información y servicios manejados por los
empleados, contratistas y usuarios de terceras partes (ver también 7.2.1 y 10.7.3);

d) responsabilidades de los empleados, contratistas o usuarios de terceras partes

para el manejo de recepción de información desde otras compañías o partes
externas;

e) responsabilidades de la organización para el manejo de información personal,

incluyendo información personal creada como resultado o en curso de la
contratación con la organización. (Ver también 15.1.4);

f) responsabilidades que son extendidas fuera de las instalaciones de la

organización y fuera de las horas normales de trabajo, por ejemplo, en los casos
de trabajo en casa (ver también 9.2.5 y 11.7.1).

g) acciones que deben ser tomadas si los empleados, contratistas y usuarios de

terceras partes dejan de lado los requerimientos de seguridad de la organización
(ver también 8.2.3).

La organización debe asegurarse que empleados, contratistas y usuarios de terceras

partes acepten los términos y condiciones, concerniente a la seguridad de la información

28
en concordancia a la naturaleza y extensión de acceso que ellos tendrán a los activos
asociados con sistemas y servicios de información de la organización.

Cuando corresponda, responsabilidades incluidas dentro los términos y condiciones de

empleo deben continuar para un período definido después de la conclusión de la
contratación(ver también 8.3).

Información Adicional
Un código de conducta puede ser usado establecer responsabilidades de los empleados,
contratistas o usuarios de terceras partes, respecto a confidencialidad, protección de
datos, ética, uso apropiado de los ambientes y equipamiento de la organización, así
como también prácticas de buena conducta esperadas por la organización. Los
contratistas o usuarios de terceras partes puede estar asociados con una organización
externa para que pueda a su vez ser requerido para ingresar en acuerdos contractuales a
nombre de contratos individuales.

8.2. Durante el empleo

Objetivo: Asegurar que los empleados, contratistas y usuarios de terceras partes tengan
conocimiento de las amenazas y preocupaciones de seguridad de la información, sus
responsabilidades y obligaciones, estén en condiciones para apoyar la política de
seguridad de la información en el transcurso de su trabajo normal para reducir los riesgos
de error humano.

La gestión de responsabilidades, debe ser definida para asegurar que sea aplicada
durante todo un contrato individual dentro la organización.

Un adecuado nivel de conciencia, educación y entrenamiento en procedimientos de

seguridad, el correcto uso de los ambientes de procesamiento de información, deben ser
proporcionados para todos los empleados, contratistas y usuarios de terceras partes para
minimizar posibles riesgos de seguridad. Un proceso formal disciplinario para el manejo
de brechas de seguridad, deben ser establecidos.

8.2.1. Gestión de responsabilidades

Control
La administración debe requerir a los empleados, contratistas y usuarios de terceras
partes, que apliquen la seguridad de acuerdo con las políticas establecidas y
procedimientos de la organización.

Guía de implementación
La gestión de responsabilidades debe garantizar que los empleados, contratistas y
usuarios de terceras partes:

a) Estén adecuadamente dadas las instrucciones previas sobre sus roles y

responsabilidades de seguridad de la información previo a otorgarles acceso a
información sensitiva o información de sistemas.

29
 b) Son proporcionadas guías para enunciar expectativas de sus roles dentro la
organización.

c) Ser motivados para cumplir a cabalidad la política de seguridad de la organización.

d) Lograr un nivel de conciencia sobre la relevancia de la seguridad para sus roles y

responsabilidades dentro la organización (ver también 8.2.2).

e) Conformidad a los términos y condiciones de empleo, la cual incluye la política de

seguridad de la información de la organización y métodos de trabajo apropiados.

f) Continuar para tener las apropiadas habilidades y aptitudes.

Información Adicional
Sí empleados, contratistas y usuarios de terceras partes que no han hecho conciencia de
sus responsabilidades de seguridad, pueden causar daños considerables para una
organización. El personal motivado es más confiable y causa menos incidentes de
seguridad de información.

La mala gestión puede causar que el personal no se sienta valorado resultando en un

impacto de seguridad negativo para la organización. Por ejemplo, la mala gestión puede
inducir al inicio de negligencia a la seguridad o un potencial mal manejo de los activos de
la organización.

8.2.2 Concientización sobre la seguridad de la información, educación y

entrenamiento

Control
Todo empleado de la organización, y cuando sea pertinente contratistas y usuarios de
terceras partes deben recibir entrenamiento apropiado de concientización y
actualizaciones regulares sobre políticas y procedimientos administrativos, así como para
sus funciones de trabajo.

Guía de Implementación
El entrenamiento, concientización debe comenzar con el proceso de inducción diseñado
para introducir las políticas de seguridad de la organización y expectativas antes del
acceso a la información o que los servicios sean otorgados.

El entrenamiento continuo debe incluir requerimientos de seguridad, responsabilidades

legales y controles del negocio, tanto como entrenamiento en el correcto uso de la
infraestructura de procesamiento de información por ejemplo procedimiento de
ingreso/log-on, uso de paquetes de programas e información sobre procesos disciplinarios
(ver también 8.2.3)

Información Adicional
La concientización, educación y entrenamiento de actividades de seguridad deben ser
adecuados y relevantes para los roles, responsabilidades y aptitudes de las personas,
deben incluir información sobre amenazas conocidas, para quienes son nexos para

30
futuras advertencias de seguridad y los canales adecuados para reportar incidentes de
seguridad de la información (ver también 13.1).

El entrenamiento para resaltar la concientización es deseado para permitir a los individuos

reconocer problemas e incidentes de seguridad de la información y responder en forma
adecuada a las necesidades de sus roles de trabajo.

8.2.3 Proceso disciplinario

Control
Debe haber un proceso formal disciplinario para empleados que han perpetrado una
violación de seguridad.

Guía de implementación
El proceso disciplinario no debe comenzar sin una previa comprobación de que ocurrió
una violación de seguridad (ver también 13.2.3 para la recolección de evidencia).

El proceso formal disciplinario debe asegurar un tratamiento correcto y parcial para los
empleados que son sospechosos de perpetración de violaciones de seguridad. El proceso
formal disciplinario debe proporcionar una responsabilidad gradual que tome en
consideración factores tales como la naturaleza y gravedad de la violación y su impacto
sobre el negocio, si fue la una primera violación o ya es un acto repetitivo, si el infractor
fue adecuadamente entrenado, legislación pertinente, contratos de negocio y otros
factores necesarios. En casos serios de mala conducta los procesos deben dejar un
margen para retiro inmediato de sus obligaciones, derechos de acceso y privilegios, para
escoltar inmediatamente, fuera de la infraestructura, sí es necesario.

Información Adicional
El proceso disciplinario debe también ser usado como una fuerza disuasiva para impedir
que los empleados, contratistas y usuarios de terceras partes dentro la organización,
violen la política y procedimientos de seguridad, o cualquier otra violación a la seguridad.

8.3 Terminación o cambios de empleo

Objetivo: Asegurar que empleados, contratistas y usuarios de terceras partes salgan de

una organización o cambien de empleo de manera ordenada.

Las responsabilidades deben estar definidos para asegurar a empleados, contratistas o

usuarios de terceras partes que su salida de la organización sea gestionada y el retorno
de todo el equipamiento y la anulación de todos los derechos de acceso sean completos.

Cambios de responsabilidades y empleos dentro una organización deben ser manejadas

como la terminación de las responsabilidades respectivas y cualquier nuevo empleo debe
ser manejado como se describe en la sección 8.1.

31
8.3.1. Finalización de la responsabilidad

Control
Responsabilidades para ejecutar la terminación de empleo o cambios de empleo deben
ser claramente definidos y asignados.

Guía de implementación
La comunicación de terminación de responsabilidades debe incluir requerimientos de
seguridad continua y responsabilidades legales y cuando se apropiado responsabilidades
que contienen dentro de si acuerdos de confidencialidad (ver 6.1.5), los términos y
condiciones de empleo (ver 8.1.3) vigencia para un período definido después de la
finalización de empleo del empleado, contratista o usuario de terceras partes.

Responsabilidades y obligaciones todavía válidas después de terminado el empleo,

deben estar dentro los contratos de los empleados, contratistas y usuarios de terceras
partes.

Cambio de responsabilidades o empleo deben estar manejados como la terminación de

las responsabilidades respectivas y las responsabilidades del nuevo empleo deben ser
controladas como se describe en la cláusula 8.1.

Información Adicional
Las funciones de recursos humanos son generalmente responsables de todo el proceso
de terminación y trabaja conjuntamente con el funcionario superior de la persona que
deja de trabajar para administrar los aspectos de seguridad de los procedimientos
relevantes. En el caso de un contratista, este proceso de terminación de responsabilidad
puede ser emprendida por un responsable de agencia para los contratistas, en caso de
otro usuario este podría ser manejado por su organización

Puede ser necesario informar a los empleados, clientes, contratistas o usuarios de

terceras partes el cambio de personal y distribución en funciones.

8.3.2 Retorno de activos

Control
Todos los empleados, contratistas y usuarios de terceras partes deben retornar todos los
activos de la organización que estaban en su posesión al término de su empleo, contrato
o acuerdo

Guía de implementación
El proceso de conclusión debe ser formalizado para incluir el regreso de todo software
previamente asignado, documentos corporativos y equipamiento. Otros activos de la
organización como ser dispositivos móviles de computación, tarjetas de crédito, tarjetas
de accesos, software, manuales y medios de almacenamiento electrónicos de información
necesariamente también deben ser devueltos.

En casos donde un empleado, contratista o usuario de terceras partes compró

equipamiento de la organización o utiliza equipamiento propio de la persona, estos
procedimientos deben ser seguidos para asegurar que toda la información relevante es

32
transferida para la organización y borrada en forma segura desde el equipamiento (ver
también 10.7.1).

En que un empleado, contratista o usuario de terceras partes cuente con conocimiento

que es importante para que las operaciones continúen, ésa información debe ser
documentada y transferida para la organización.

8.3.3 Eliminación de derechos de acceso

Control
Los derechos de acceso de todos los empleados, contratistas y usuarios de terceras
partes para la información y ambientes de procesamiento deben ser suprimidos a la
conclusión de su trabajo, convenio, contrato o arreglados a la conclusión del cambio.
Guía de implementación
A la conclusión los derechos de acceso de un individuo para los activos asociados con
sistemas de información y servicios deben ser considerados. Esto determinará si es
necesario quitar los derechos de acceso. Cambios de un empleo deben estar reflejados
en la eliminación de los derechos de acceso que no eran aprobados para el nuevo
empleo. Los derechos de acceso que deben ser eliminados o incluir la adaptación física y
lógica de accesos, llaves, tarjetas de identificación, en los ambientes de procesamiento de
información (ver también 11.2.4), suscripciones y eliminación desde cualquier
documentación que identifique los cuales son un miembro actual de la organización. Si
una partida de un empleado, contratista o usuario de terceras partes ha tenido
conocimiento de passwords para cuentas que permanecen activas, éstas deben ser
cambiadas sobre la terminación o cambio de empleo, contrato o acuerdo.

Derechos de acceso para activos de información y ambientes de procesamiento de

información deben estar reducidos o removidos antes de terminar o cambiar el empleo,
estar sujeto a la evaluación de factores de riesgo tal como:

a) Si la terminación o cambio es iniciado por el empleado, contratista o usuario de

terceras partes o por la administración y la terminación razonable.

b) Las responsabilidades actuales de los empleados o cualquier otro usuario.

c) Los valores de los activos actualmente accesibles.

Información Adicional
En circunstancias seguras los derechos de acceso pueden ser destinados sobre las bases
disponibles existentes para más gente que deja el empleado, contratista o usuario de
terceras partes, por ejemplo, agrupar IDs. En tales circunstancias, el individuo que se va
ser eliminado desde cualquier lista de grupos de acceso y la distribución debe estar hecha
para aconsejar a todos los otros empleados, contratistas y usuarios de terceras partes
involucrando a no alargar y compartir esta información con la persona que se va.

En caso de que la administración inicie la terminación, el empleado, contratista o usuario

de terceras partes que estén descontentos pueden deliberadamente corromper la
información o sabotear los ambientes de procesamiento de información. En casos de

33
personas que renuncian, ellos pueden ser tentados a recolectar información para un
futuro uso.

34
9 Seguridad física y ambiental

9.1 Áreas Seguras

Objetivo: Prevenir el acceso físico no autorizado, daño, e interferencia a las sedes e

información de la empresa.
Las instalaciones de procesamiento de información crítica o sensible de la empresa deben
estar ubicadas en áreas protegidas y resguardadas por un perímetro de seguridad
definido, con barreras de seguridad y controles de acceso apropiados. Deben estar
físicamente protegidas contra accesos no autorizados, daños e intrusiones.
La protección provista debe ser proporcional a los riesgos identificados.

9.1.1 Perímetro de seguridad física

Control
Los perímetros de seguridad (son barreras como paredes, puertas de acceso controladas
por tarjeta o un escritorio o recepción atendido por personas) sirven para proteger áreas
que guardan información o que procesan información.

Guía de Implementación
Se puede considerar y aplicar los siguientes lineamientos en los perímetros de seguridad
física:

a) Los perímetros de seguridad deben estar claramente definidos, el emplazamiento y

fortaleza de de cada uno dependerá de los requerimientos de seguridad de los
activos y los resultados de una evaluación del riesgo;
b) El perímetro de seguridad de un edificio o área que contenga instalaciones de
procesamiento de información debe ser físicamente sólido (por ejemplo, no deben
existir aberturas en el perímetro o áreas donde fácilmente pueda producirse una
irrupción); las paredes externas del sitio deben ser de construcción sólida y todas
las puertas que comunican al exterior deben ser adecuadamente protegidas contra
accesos no autorizados mediante mecanismos de control, por ejemplo: vallas,
alarmas, cerraduras, etc.; las puertas y ventanas deben estar cerradas cuando no
hay vigilancia y se debe considerar la posibilidad de agregar protección externa a
las ventanas, particularmente las que se encuentran a nivel del suelo.
c) Debe existir un área de recepción atendida por personal u otros medios de control
de acceso físico al área o edificio; el acceso a las distintas áreas y edificios debe
estar restringido exclusivamente a personal autorizado.
d) Las barreras físicas deben, si es necesario, extenderse desde el piso al techo, a
fin de impedir el acceso no autorizado y la contaminación ambiental.

e) Todas las puertas de incendio en un perímetro de seguridad deben tener alarmas

y ser supervisadas y probadas conjuntamente las paredes para establecer el nivel
de resistencia de acuerdo a los estándares regionales, nacionales e
internacionales y operar según el código de incendios local como una medida de
seguridad.
f) Los sistemas de detección de intrusos deben instalarse de acuerdo a estándares
regionales, nacionales e internacionales y probados regularmente. Estos sistemas
deben comprender las puertas externas y ventanas accesibles. Las áreas no

35
 ocupadas deben tener alarmas activadas todo el tiempo; también deben
protegerse otras áreas, como por ejemplo la sala de computo o la sala de
comunicaciones.
g) Las instalaciones de procesamiento de información administradas por la
organización deben estar separadas físicamente de aquellas administradas por
terceros.

Información adicional
La protección física puede ser alcanzada creando una o más barreras físicas alrededor de
las instalaciones de la organización y de las instalaciones procesamiento de información.
El uso de barreras múltiples dan protección adicional, que una barrera falle no significa
que la seguridad se vea comprometida inmediatamente.

Un área protegida puede ser una oficina cerrada con llave, o diversos recintos dentro de
un perímetro de seguridad física. Las barreras y perímetros de seguridad adicionales
para controlar el acceso físico pueden ser necesarios entre áreas con distintos
requerimientos de seguridad dentro del perímetro de la seguridad.

Se debe tener especial cuidado en la seguridad física de accesos a edificios en los que se
encuentran varias organizaciones.

9.1.2 Controles de acceso físico

Control
Las áreas protegidas deben ser resguardadas por adecuados controles de acceso que
permitan garantizar que solo se permite el acceso a personal autorizado.

Guía de Implementación

Se debe considerar los siguientes lineamientos:

a) La fecha y hora de entrada y salida de los visitantes debe ser registrada, y todos
los visitantes deben ser supervisados a menos que se haya autorizado su visita
previamente. Solo se debe permitir el acceso a los mismos con propósitos
específicos y autorizados, instruyéndose en dicho momento los requisitos de
seguridad del área y los procedimientos de emergencia.

b) El acceso a las áreas donde se procesa o guarda información sensible debe ser
controlado y limitado exclusivamente a las personas autorizadas. Se deben utilizar
controles de autenticación, por ejemplo, tarjetas y números de identificación
personal (PIN)para autorizar y validar todo los accesos. Se debe mantener una
pista protegida que permita auditar todos los accesos.

c) Se debe requerir que todo el personal lleve algún tipo de identificación visible y que
notifiquen inmediatamente al personal de seguridad sobre la presencia de
desconocidos o personas sin identificación.

36
 d) El acceso del personal de servicios tercerizados a las áreas restringidas o
instalaciones de procesamiento de información, solo se realizará cuando su
presencia haya sido requerida; este acceso deberá ser autorizado y supervisado.

e) Los derechos de acceso a áreas restringidas deberán ser revisados y actualizados

periódicamente, y revocados cuando sea necesario. (Ver 8.3.3)

9.1.3 Protección de oficinas, recintos e instalaciones

Control
La protección física de oficinas, recintos e instalaciones debe ser diseñado y aplicado.

Guía de implementación
Se deben considerar los siguientes lineamientos en la protección de oficinas, recintos e
instalaciones:

a) Se deben tomar en cuenta las disposiciones y normas en material de salud y

seguridad.
b) Las instalaciones claves deben ubicarse en lugares a los cuales no puede acceder
el público.
c) Los edificios deben ser discretos y ofrecer indicaciones mínimas de su propósito,
sin muestras obvias, fuera o dentro del edificio que identifiquen la presencia de las
actividades de procesamiento de información.
d) Las guías telefónicas y listados de teléfonos internos que identifican la ubicación
de las instalaciones de procesamiento de información sensible no deben ser de
fácil acceso para el público.

9.1.4 Protección contra amenazas externas y ambientales

Control
Para la selección y diseño de un área protegida debe tenerse en cuenta la posibilidad de
daño contra fuego, inundación, terremoto, explosión, agitación civil, y otras formas de
desastres naturales o provocados por el hombre.
Guía de implementación
Se debe considerar cualquier amenaza a la seguridad que se presente en las
instalaciones vecinas, como por ejemplo fuego en el edificio contiguo, filtraciones de agua
en la azotea o el sótano o una explosión en la calle.

Los siguientes lineamientos consideran los daños producidos por incendios, inundaciones,
terremotos, explosiones, agitación civil y otras formas de desastres naturales o
provocados por el hombre:

a) Los materiales peligrosos o combustibles deben ser almacenados en lugares

seguros a una distancia prudencial del área protegida. Los suministros a granel
como los materiales de escritorio no deben ser almacenados en el área protegida.
b) Los equipos de soporte de reposición de información pérdida y los medios
informáticos de resguardo deben estar situados a una distancia prudencial para
evitar daños en ocasionados por eventuales desastres en el sitio principal.

37
 c) Se debe contar con equipos contra incendios los cuales deben estar ubicados
convenientemente.

9.1.5 Trabajo en áreas seguras

Control
La protección física y las pautas para trabajar en áreas seguras deben ser diseñadas y
aplicadas.

Guía de implementación
Se debe considerar los siguientes lineamientos:

a) El personal solo debe tener conocimiento de la existencia de un área protegida,

puede requerirse controles y lineamientos adicionales.
b) Se debe evitar el trabajo no controlado en las áreas protegidas tanto por razones de
seguridad como para evitar la posibilidad de que se lleven a cabo actividades
maliciosas.
c) Las áreas protegidas desocupadas deben ser físicamente bloqueadas y
periódicamente inspeccionadas.
d) A menos de que se autorice expresamente, no debe permitirse el ingreso de
equipos fotográficos, de video, audio u otro tipo de equipamiento que registre
información.

Los lineamientos para trabajar en áreas protegidas incluyen controles para el personal o
terceros que trabajan en el área protegida, así como otras actividades de terceros que
tengan lugar allí.

9.1.6 Acceso público, áreas de entrega y carga

Control
Las áreas de entrega y carga deben ser controladas y, si es posible, estar aisladas de las
instalaciones de procesamiento de información, a fin de evitar accesos no autorizados.

Guía de implementación
Se debe considerar los siguientes lineamientos:

a) El acceso al área de entrega y carga desde el exterior de la sede de la

organización, debe estar limitado a personal que haya sido previamente
identificado y autorizado.
b) El área de entrega y carga debe ser diseñada de manera tal que los suministros
puedan ser descargados sin que el personal que realiza la entrega acceda a otros
sectores del edificio.
c) Todas las puertas exteriores del área de entrega y carga deben ser aseguradas
cuando se abre la puerta interna.
d) El material entrante debe ser inspeccionado para descartar peligros potenciales
(ver 9.2.1 d) antes de ser trasladado desde el área de depósito hasta el lugar de
uso.
e) El material entrante debe ser registrado, si corresponde (ver también 7.1.1) al
ingresar al sitio pertinente.

38
 f) En lo posible, los envíos entrantes y salientes deben separarse físicamente.

9.2 Seguridad del equipamiento

Objetivo: Impedir pérdidas, daños, hurto o exposiciones al riesgo de los activos e

interrupción de las actividades de la organización.
El equipamiento debe estar protegido contra amenazas físicas y ambientales.

Es necesaria la protección del equipamiento (incluyendo el que se utiliza en forma externa

y el retiro del mismo) para reducir el riesgo de acceso no autorizado a los datos y para
prevenir pérdidas o daños. Esto también debe tener en cuenta la ubicación y disposición
del equipamiento. Pueden requerirse controles especiales para prevenir peligros o
accesos no autorizados, y para proteger instalaciones de soporte, como la infraestructura
de cableado y suministro de energía eléctrica.

9.2.1 Ubicación y protección del equipamiento

Control
El equipamiento debe ser ubicado o protegido de tal manera que se reduzcan los riesgos
ocasionados por amenazas y peligros ambientales, y oportunidades de accesos no
autorizados.

Guía de implementación
Se debe considerar los siguientes lineamientos para proteger el equipamiento:

a) El equipamiento debe ser ubicado en un sitio que permita minimizar el acceso

innecesario a las áreas de trabajo.
b) Las instalaciones de procesamiento y almacenamiento de información que
manejan datos sensibles, deben ubicarse en un sitio que permita reducir el riesgo
de falta de supervisión de las mismas durante su uso.
c) Los ítems que requieren protección especial deben ser aislados para reducir el
nivel de protección requerida.
d) Se debe adoptar controles para minimizar el riesgo de amenazas potenciales, por
ejemplo: robo, incendio, explosivos, humo, agua (o falta de suministro), polvo,
vibraciones, efectos químicos, interferencia en el suministro eléctrico, interferencia
en las comunicaciones, radiación electromagnética y vandalismo.
e) La organización debe analizar su política respecto a comer, beber y fumar cerca
de las instalaciones de procesamiento de información.
f) Se debe monitorear las condiciones ambientales para verificar que las mismas no
afecten de manera adversa el funcionamiento de las instalaciones de
procesamiento de información.
g) Se debe implementar protección contra los rayos en todos los edificios y se deben
adaptar filtros de protección contra rayos en todas las líneas de comunicación
externas;
h) Se debe tener en cuenta el uso de métodos de protección especial, como las
cubiertas de teclado, para los equipos ubicados en ambientes industriales.
i) Las instalaciones donde se procesa información sensible deben ser protegidas
para minimizar el riesgo de pérdida de información por emanación.

39
9.2.2 Suministro de energía

Control
El equipamiento debe estar protegido con respecto a las posibles fallas en el suministro
de energía u otras anomalías eléctricas.

Guía de implementación
Los servicios utilizados, tales como electricidad, abastecimiento de agua, alcantarillado,
calefacción/ventilación, y aire acondicionado deben adecuarse a los sistemas que los
están utilizando. Los servicios deben ser probados y examinados regularmente para
reducir el riesgo de fallas o mal funcionamiento. Se debe contar con un adecuado
suministro de energía que este de acuerdo con las especificaciones del fabricante o
proveedor de los equipos.

Se recomienda una UPS para asegurar el apagado regulado y sistemático o la ejecución

continua del equipamiento que sustenta las operaciones criticas de la organización. Los
planes de contingencia deben contemplar las acciones que han de emprenderse ante una
falla de la UPS. Se debe considerar la utilización de un generador de respaldo si el
procesamiento ha de continuar en caso de una falla prolongada en el suministro de
energía. Se debe disponer de un adecuado suministro de combustible para garantizar que
el generador pueda funcionar por un periodo prolongado. Los equipos de UPS y los
generadores deben ser inspeccionados periódicamente para asegurar que tienen la
capacidad requerida y se deben probar de conformidad con las recomendaciones del
fabricante o proveedor. Adicionalmente, se debe considerar la utilización de fuentes de
energía múltiples o, si el sitio es grande, una subestación de energía separada.

Los interruptores de emergencia deben ubicarse cerca de las salidas de emergencia de

las salas donde se encuentra el equipamiento, a fin de facilitar un corte rápido de la
energía en caso de producirse una situación critica. Se debe proveer iluminación de
emergencia en caso de producirse una falla en el suministro principal de energía.

El abastecimiento de agua para los equipos de aire acondicionado, humidificación y los

equipos contra incendios debe ser adecuado y estable (donde se usen). Fallas en el
sistema de abastecimiento de agua puede dañar el equipamiento o evitar que los equipos
contra incendios funcionen eficazmente. Si es necesario, se debe instalar un sistema de
alarma para detectar problemas de funcionamiento en los sistemas de suministro de
agua.

El equipamiento de telecomunicaciones debe contar con dos rutas diferentes para

prevenir fallas en una de las conexiones, removiendo los servicios de voz. Los servicios
de voz deben estar adecuados a los requerimientos legales de comunicaciones de
emergencia.

Información adicional
Entre las alternativas para asegurar la continuidad del suministro de energía podemos
incluir múltiples puntos de suministro para evitar un único punto de falla en el suministro
de energía.

40
9.2.3 Seguridad del Cableado

Control
El cableado de energía eléctrica y de comunicaciones que transporta datos o brinda
apoyo a los servicios de información debe ser protegido contra la interceptación o daño.

Guía de implementación
Los siguientes lineamientos se deben considerar para la seguridad del cableado:

a) Las líneas de energía eléctrica y telecomunicaciones que se conectan con las

instalaciones de procesamiento de información deben ser subterráneas, siempre
que sea posible, o sujetas a una adecuada protección alternativa adecuada.
b) El cableado de red debe estar protegido contra interceptación no autorizada o
daño, por ejemplo, mediante el uso de conductos o evitando trayectos que
atraviesen áreas públicas.
c) Los cables de energía deben estar separados de los cables de comunicaciones
para evitar interferencias.
d) Se deben identificar los cables y equipos a los que están conectados para
minimizar los errores en la manipulación de estos, como errores accidentales en la
conexión de los cables de red.
e) Se debe documentar la lista de los parches realizados para reducir la posibilidad de
errores.
f) Entre los controles adicionales a considerar para los sistemas sensibles o críticos
se encuentran los siguientes:
1) Instalación de conductos blindados y recintos o cajas con cerradura en los
puntos terminales y de inspección.
2) Uso de rutas o medios de transmisión alternativos que provean apropiada
seguridad.
3) Uso de cableado de fibra óptica.
4) Usar blindaje electromagnético para proteger los cables.
5) Iniciar barridos para eliminar dispositivos no autorizados conectados a los
cables.
6) Controlar el acceso al patch panel y a la sala de cableado.

9.2.4 Mantenimiento de equipos

Control
El equipamiento debe mantenerse de forma adecuada para asegurar que su
disponibilidad e integridad sean permanentes.

Guía de implementación
Se debe considerar los siguientes lineamientos para el mantenimiento de equipos:
a) El equipamiento debe mantenerse de acuerdo con los intervalos de servicio y
especificaciones recomendadas por el proveedor.
b) Solo el personal de mantenimiento autorizado puede brindar mantenimiento y
llevar a cabo reparaciones en el equipamiento.
c) Se deben mantener registros de todas las fallas supuestas o reales y de todo el
mantenimiento preventivo y correctivo.

41
 d) Deben implementarse controles cuando se retiran equipos de la sede de la
organización para su mantenimiento, si es necesario, la información sensible debe
ser borrada del equipo, o el personal de mantenimiento tendrá acceso restringido a
esta información.
e) Se debe cumplir todos los requisitos impuestos por las pólizas de seguro.

9.2.5 Seguridad del equipamiento fuera del ámbito de la organización

Control
La seguridad provista al equipamiento fuera de ámbito de la organización debe ser
equivalente a la provista dentro del ámbito de la organización

Guía de implementación
El uso del equipamiento destinado al procesamiento de información, fuera del ámbito de
la organización, debe ser autorizado por el nivel gerencial, sin importar quien es el
propietario del mismo.
Se deben considerar los siguientes lineamientos de protección del equipamiento fuera de
la organización:

a) El equipamiento y dispositivos retirados del ámbito de la organización no deben

permanecer desatendidos en lugares públicos. Las computadoras personales
deben ser transportadas como equipaje de mano y de ser posible enmascarada
durante el viaje.
b) Se debe respetar permanentemente las instrucciones de protección del fabricante,
como por ejemplo: protección por exposición a campos magnéticos fuertes.
c) Los controles de trabajo en domicilio deben ser determinados a partir de un
análisis de riesgo y se aplicarán controles adecuados según corresponda, por
ejemplo: gabinetes de archivo con cerradura, políticas de escritorios limpios,
controles de acceso a computadoras y comunicación segura con la oficina (Ver
también ISO/IEC 18028 Seguridad de Redes)
d) Una adecuada cobertura de seguro debe estar en orden para proteger el
equipamiento fuera del ámbito de la organización.

Los riesgos de seguridad, por ejemplo: el daño, robo o la escucha clandestina, pueden
variar considerablemente según las ubicaciones y deben tenerse en cuenta al determinar
los controles más apropiados.

Información adicional
El equipamiento de almacenamiento y procesamiento de información incluye todo tipo de
computadoras personales, agendas organizadoras, teléfonos móviles, tarjetas
inteligentes, papeles u otros formularios, necesarios para el trabajo domiciliario o que es
transportado fuera del lugar habitual de trabajo.
Se puede encontrar más información sobre otros aspectos de protección del equipamiento
móvil en 11.7.1.

9.2.6 Baja segura o reutilización del equipamiento

Control

42
Todos los elementos del equipamiento que contengan dispositivos de almacenamiento
deben ser controlados para asegurar que todos los datos sensibles y el software bajo
licencia, han sido eliminados o sobrescritos antes de ser dados de baja.

Guía de implementación
Los medios de almacenamiento conteniendo información sensible, deben ser físicamente
destruidos, borrados o sobrescritos en forma segura en vez de utilizar las funciones de
borrado o formateo estándar.

Información adicional
Se debe realizar un análisis de riesgo a fin de determinar si medios de almacenamiento
dañados, conteniendo datos sensibles, deben ser destruidos, reparados o desechados.
La información puede verse comprometida por una disposición descuidada o una
reutilización del equipamiento (Ver también 10.7.2).

9.2.7 Retiro de bienes

Control
El Equipamiento, la información o el software no deben ser retirados de la sede de la
organización sin autorización.

Guía de implementación
Se debe considerar los siguientes lineamientos:
a) El Equipamiento, la información o el software no deben ser retirados de la sede de
la organización sin autorización.
b) Los empleados, contratistas y usuarios de terceras partes, que tienen autorización
para permitir el retiro de activos fuera de la organización deben estar claramente
identificados;
c) Se debe definir los tiempos límites de retiro del equipo y se debe revisar el equipo
al retorno como muestra de conformidad.
d) Cuando sea necesario y procedente, los equipos deberán ser desconectados
(“logged out”) y nuevamente conectados (“logged in”) cuando se reingresen.

Información adicional
Realizar verificaciones puntuales para detectar retiros no autorizados de bienes de la
organización, así como también podrá ser realizado para detectar dispositivos de
grabación no autorizados, armas, etc. y prevenir su ingreso dentro de las instalaciones de
la organización. Estas verificaciones puntuales se deben llevar a cabo de acuerdo a las
leyes y regulaciones vigentes. Los empleados de la organización deberán tener
conocimiento de la realización de estas verificaciones puntuales, las cuales solamente
serán realizadas con autorización y estas se sujetarán a las leyes y regulaciones vigentes.

43
10 Gestión de Comunicaciones y operaciones

10.1 Procedimientos operacionales y responsabilidades

Objetivo: Garantizar la operación correcta y segura de las instalaciones para el

procesamiento de la información.

Las responsabilidades y procedimientos para la gestión y operación de todas las

instalaciones de procesamiento de la información deben estar establecidas. Esto incluye
el desarrollo de procedimientos apropiados de operación.

La segregación de funciones debe implementarse dónde sea apropiado, para reducir el

riesgo de negligencia o el mal uso deliberado del sistema.

10.1.1 Procedimientos de operación documentados

Control
Los procedimientos de operación deben estar documentados, mantenidos y deben estar
disponibles para todos los usuarios que lo necesiten.

Guía de Implementación
Los procedimientos documentados deben ser preparados para actividades del sistema
asociadas con el procesamiento de información e instalaciones de comunicación, tanto
como procedimientos de encendido y apagado de servidores, procedimientos de copias
de respaldo, mantenimiento de equipos, manejo de medios, sala de servidores, gestión
de correo y seguridad.

Los procedimientos de operación deben especificar las instrucciones para una detallada
ejecución de cada trabajo, incluyendo:

a) Procesamiento y manejo de información.

b) Backup (vea10.5);
c) Calendarización de requerimientos, incluyendo interdependencias con otros
sistemas, tiempos de realización empezando del trabajo más reciente hasta el
último.
d) Instrucciones para manejar errores u otras condiciones excepcionales, las cuales
podrían darse durante la ejecución del trabajo, incluso las restricciones en el uso
de utilidades de sistema (vea 11.5.4);
e) Contactos de soporte en caso de operaciones inesperadas o dificultades técnicas;
f) Salidas especiales e instrucciones de manejo de medios, tales como la gestión de
confidencialidad del uso de pepelería especial saliente incluyendo procedimientos
para la disposición segura de salida de los trabajos fallados (vea 10.7.2 y 10.7.3);
g) Inicio de sistema y procedimientos de recuperación para usar en caso de fallas de
sistema;
h) Gestión de pistas de auditoria y registros de sistema (vea 10.10).

Los procedimientos de operación y los procedimientos documentados para actividades de

sistema, deben ser tratados como documentos formales y los cambios autorizados por la
Gerencia. Donde es técnicamente factible, los sistemas de información deben ser

44
manejados consistentemente, usando los mismos procedimientos, instrumentos y
utilidades.

10.1.2 Gestión de cambios

Control
Los cambios en las instalaciones de procesamiento de información y los sistemas deben
ser controlados.

Guía de implementación
Los sistemas Operacionales y el software de aplicación deben ser sujetos a un estricto
control de cambios.

En particular los siguientes ítems deben ser considerados:

a) identificación y registro de cambios significativos;
b) planificación y pruebas de cambios;
c) evaluación de los impactos potenciales, incluyendo el impacto de seguridad, de los
mismos cambios;
d) procedimiento de aprobación formal para cambios propuestos;
e) comunicación de los detalles del cambio todas las personas pertinentes;
f) procedimientos de retroceso, incluyendo procedimientos y responsabilidades de
aborto y recuperación de cambios fallidos y eventos imprevistos.

Las responsabilidades y procedimientos de gestión formales deben estar implementados

para asegurar el control satisfactorio de todos los cambios al equipo, al software o a los
procedimientos. Cuando los cambios son realizados, debe conservarse un registro de
auditoría con toda la información relevante.

Información adicional
El inadecuado control de cambios en las instalaciones de procesamiento y sistemas es
una de las causas más comunes de las fallas en los sistemas o en la seguridad. Los
cambios en el entorno operacional, especialmente cuando se transfiere un sistema de la
etapa de desarrollo a producción pueden impactar en la fiabilidad de las aplicaciones (vea
también 12.5.1).

El cambio de sistemas operacionales sólo debe ser realizado cuando existe una razón
válida de negocio para hacerlo, como un aumento de riesgo del sistema. La actualización
con las últimas versiones de sistema operativo o aplicaciones no son siempre interés de
negocio y esto podría introducir más vulnerabilidades e inestabilidad que la versión
instalada. También puede haber una necesidad de entrenamiento adicional, costos de
licencia, soporte, mantenimiento, administración y hardware nuevo especialmente
durante la migración.

10.1.3 Segregación de funciones

Control
Las funciones y las áreas de responsabilidad deben ser segregadas para reducir
oportunidades de modificación no autorizada y/o involuntaria o el mal uso de los activos.

45
Guía de Implementación
La segregación de funciones es un método para reducir el riesgo de mal uso del sistema
sea accidental o deliberado. El cuidado a ser tomado indica que ninguna persona sola
puede acceder, modificar o usar los activos sin la autorización o posibilidades de
detección. La iniciación de un evento debe ser separada de su autorización. La posibilidad
de colusión debe ser considerada en el diseño de los controles.

Pequeñas organizaciones pueden encontrar la segregación de funciones como difíciles de

alcanzar, pero el principio debe ser aplicado cuando sea posible y práctico. Siempre que
sea difícil de segregar, otros controles como la supervisión de actividades, pistas de
auditoria y gestión de supervisión deben ser considerados.
Es importante que la auditoria de seguridad permanezca independiente.

10.1.4 Separación de desarrollo, prueba e instalaciones operacionales

Control
Desarrollo, prueba e instalaciones operacionales deben estar separados para reducir el
riesgo de acceso no-autorizado o cambios a los sistemas operacionales.

Guía de implementación
El nivel de separación entre operaciones, pruebas y ambientes de desarrollo que son
necesarios para prevenir problemas operacionales, debe ser identificado y los controles
apropiados implementados.

Los siguientes items deben ser considerados:

a) Las reglas para la transferencia de software de desarrollo a estado operacional

deben ser definidos y documentados.
b) El desarrollo y el software operacional deben correr en diferentes sistemas o
procesadores de computadores y en diferentes dominios o directorios.
c) Los compiladores, editores y otras herramientas de desarrollo o utilidades de
sistema no deben ser accesibles de sistemas operacionales cuando no requieran.
d) El ambiente de sistema de prueba debe emular el ambiente de sistema
operacional tan estrechamente como sea posible;
e) Los usuarios deben usar perfiles de usuario diferentes para sistemas
operacionales y de prueba, los menús deben mostrar mensajes de identificación
apropiados para reducir el riesgo de error;
f) Los datos sensibles no deben ser copiados en el ambiente de sistema de prueba.
(vea 12.4.2).

Información adicional
El desarrollo y actividades de prueba pueden causar problemas serios, p. ej. la
modificación no deseada de archivos o del ambiente de sistema, o el fracaso de sistema.
En este caso, hay una necesidad de mantener un ambiente conocido y estable para
realizar pruebas significativas y prevenir el acceso de diseñador inadecuado.

Donde el desarrollo y el personal de prueba tienen el acceso al sistema operacional y su

información, ellos pueden ser capaces de introducir el código no autorizado y no probado
o cambiar datos operacionales. Sobre algunos sistemas esta capacidad podría ser

46
empleada mal para cometer el fraude, o introducir el código no probado o malévolo, que
puede causar problemas serios operacionales.

Los desarrolladores y probadores también representan una amenaza para la

confidencialidad de información operacional.
El desarrollo y actividades de pruebas pueden causar cambios no planeados al software o
la información si ellos comparten el mismo ambiente computacional . Separar el
desarrollo, la prueba, e instalaciones operacionales son por lo tanto deseables para
reducir el riesgo de cambio accidental o el acceso no autorizado al software operacional y
datos empresariales (vea también 12.4.2 para la protección de datos de prueba).

10.2 Gestión de entrega de servicio de terceros

Objetivo: Poner en práctica y mantener el nivel apropiado de seguridad de la información

y la entrega de servicio en línea a terceros al igual que atienden acuerdos de entrega.

La organización debe comprobar la puesta en práctica de acuerdos, supervisar el

cumplimiento con los acuerdos y manejar los cambios para asegurar que los servicios
entregados se encuentren con todas los requerimientos de acuerdo con el tercero.

10.2.1 Entrega de servicio

Control
Asegurar que los controles de seguridad, definiciones de servicio y niveles de entrega
incluidos en el acuerdo de entrega de servicio de un tercero, son implementados,
manejados y mantenidos por el tercero.

Guía de Implementación
La entrega de Servicio por un tercero debe incluir las medidas de seguridad acordadas de
acuerdo con, definiciones de servicio y los aspectos de gestión de servicio. En caso de
contratos de tercerización, la organización debe planificar las transiciones necesarias (de
información, instalaciones de procesamiento de información, cualquier otro que necesite
ser modificado) y deben asegurar que la seguridad es mantenida a lo largo del período de
transición.

La organización debe asegurar que el tercero mantiene la suficiente capacidad de servicio

junto con planes de trabajo diseñados para asegurar que los niveles de continuidad de
servicio acordados son mantenidos después de una falla grave o desastre (vea 14.1)

10.2.2 La supervisión y la revisión de servicios de terceros

Control
Los servicios, informes y los registros proporcionados por el tercero deben ser
supervisados, revisados con regularidad y las auditorias deben ser realizadas con
regularidad.

Guía de implementación

47
La supervisión y la revisión de servicios de tercero deben asegurar que los términos y las
condiciones de seguridad de la información y las condiciones de los acuerdos están
siendo cumplidos, que los incidentes y problemas de seguridad de la información son
manejados correctamente. Esto debe implicar una relación de gestión de servicio y el
proceso entre la organización y el tercero:

a) supervisar niveles de funcionamiento de servicio para comprobar la adhesión a los

acuerdos;
b) revisar informes de servicio producidos por el tercero y arreglar reuniones de
progreso regulares requeridos según los acuerdos;
c) proporcionar la información sobre incidentes de seguridad de la información y
revisión de esta información por el tercero y la organización requeridos según los
acuerdos y cualquier soporte de directrices y procedimientos;
d) revisar del tercero las pistas de auditoría y registros de eventos de seguridad,
problemas operacionales, fallas, trazado de defectos e interrupciones relacionadas
con el servicio entregado;
e) la resolución y manejo de cualquier problema identificado.

La responsabilidad de manejar la relación con un tercero debe ser asignada a un individuo

designado o equipo de servicio de gestión. Además, la organización debe asegurar que el
tercero asigna responsabilidades de comprobar el cumplimiento y hacer cumplir las
exigencias de los acuerdos. Las suficientes habilidades técnicas y recursos deben ser
disponibles para supervisar los requerimientos del acuerdo (vea 6.2.3), en particular las
exigencias de seguridad de la información, que están siendo cumplidos. La acción
apropiada debe ser tomada cuando las carencias en la entrega de servicio son
observadas.

La organización debe mantener el control total suficiente y la visibilidad en todos los

aspectos de seguridad para la información sensible, crítica o acceso a instalaciones de
procesamiento de información, procesadas o manejadas por un tercero. La organización
debe asegurar que ellos conservan la visibilidad en actividades seguras tanto como la
gestión del cambio, identificación de vulnerabilidades y reporte/respuesta a incidentes de
seguridad de información a través de un proceso de reporte, formato y estructura
claramente definidos.

Información adicional
En caso de tercerización, la organización tiene que ser consciente que la responsabilidad
última de la información procesada por un tercero, permanece con la organización.

10.2.3 Gestión de cambios a servicios de terceros

Control
Cambios a la provisión de servicios, incluyendo el mantenimiento y mejoramiento de la
política de seguridad de la información existente, procedimientos y controles, deben ser
manejados, tomando en cuenta la criticidad de sistemas de negocio y procesos
complicados y la re-valoración de riesgos.

Guía de implementación
Los procesos de gestión de cambio a un servicio de terceros tienen que tomar en cuenta:

48
 a) cambios hechos por la organización para implementar:
1) mejoras a los servicios corrientes ofrecidos;
2) desarrollo de cualquier nueva aplicación y sistemas;
3) modificaciones o actualizaciones de la política de la organización y
procedimientos;
4) nuevos controles para resolver incidentes de seguridad de la información y
mejorar seguridad;
b) cambios en los servicios de terceros para implementar:
1) cambios y mejoras a redes;
2) empleo de nuevas tecnologías;
3) adopción de nuevos productos o versiones/descargas más recientes;
4) nuevos instrumentos de desarrollo y ambientes;
5) cambios a la ubicación física de instalaciones de servicio;
6) cambio de vendedores.

10.3 Planificación del sistema y aceptación.

Objetivo: Reducir al mínimo el riesgo de fallas de sistemas.

Requieren la planificación de avance y la preparación para asegurar la disponibilidad de

capacidad adecuada y recursos para entregar en funcionamiento el sistema requerido.

Las proyecciones de futuros requerimientos de capacidad deben ser hechas, para reducir
el riesgo de sobrecarga de sistema.

Los requerimientos operacionales de nuevos sistemas deben ser establecidos,

documentados, probados antes de su aceptación y empleo.

10.3.1 Capacidad de Gestión

Control
El empleo de recursos debe ser supervisado, puesto a punto y hacer proyecciones de
futuras exigencias de capacidad para asegurar el funcionamiento de sistema requerido.

Guía de implementación
Para cada actividad nueva y en curso, los requerimientos de capacidad deben ser
identificados. La puesta a punto del sistema y la supervisión deben ser aplicadas para
asegurar y, donde es necesario, mejorar la disponibilidad y la eficacia de los sistemas.
Los controles descubiertos deben ser puestos en el lugar para indicar problemas a su
debido tiempo. Las proyecciones de capacidad de futuros requerimientos deben tomar en
cuenta los requerimientos actuales, nuevos del negocio, del sistema y tendencias
proyectadas en las capacidades de procesamiento de información de la organización.

La atención particular necesita ser pagada a cualquier recurso con tiempos de ventaja de
consecución largas o altos costos; por lo tanto los gerentes deben supervisar la utilización
de recursos de sistema claves. Ellos deben identificar tendencias en el uso, en particular
en relación con aplicaciones de gestión o instrumentos gestión de sistema de
información.

49
Los gerentes deben usar esta información para identificar y evitar embotellamientos
potenciales y dependencia en el personal clave que podría presentar una amenaza a la
seguridad del sistema o servicios y planificar la acción apropiada.

10.3.2 Aceptación de sistema

Control
Los criterios de aceptación para nuevos sistemas de información, mejoras, nuevas
versiones deben ser establecidos y llevadas a cabo las pruebas convenientes del sistema
durante el desarrollo y antes de la aceptación.
Guía de implementación
Los gerentes deben asegurar que los requerimientos y criterios para la aceptación de
nuevos sistemas son claramente definidos, que estén de acuerdo, documentados y
probados. Nuevos sistemas de información, actualizaciones y nuevas versiones sólo
deben ser migrados en producción después de la obtención de la aceptación formal. Los
artículos siguientes deben ser considerados antes que se de la aceptación formal:

a) funcionamiento y requerimientos de capacidad de ordenador;

b) recuperación de error, procedimientos de reinicio y planes de contingencia;
c) preparación y pruebas de procedimientos rutinarios a normas definidas;
d) ponerse de acuerdo con el grupo de controles de seguridad en el lugar;
e) procedimientos manuales eficaces;
f) disposiciones de continuidad de negocio (vea 14.1);
g) evidenciar que la instalación de nuevos sistemas no afectará adversamente a
sistemas existentes, particularmente en el tiempo pico de procesamiento, como el
final de mes;
h) evidenciar que consideraciones se han hecho al efecto del nuevo sistema sobre el
conjunto de seguridad de la organización;
i) entrenamiento en la operación o empleo de nuevos sistemas;
j) la facilidad de empleo, como esto afecta el rendimiento del usuario y evita el error
humano.

Para los principales desarrollos nuevos, deben consultar a la función de operaciones y

usuarios en todas las etapas del proceso de desarrollo para asegurar la eficacia
operacional del diseño del sistema propuesto. Las pruebas apropiadas deben ser
realizadas para confirmar que todos los criterios de aceptación han estado totalmente
satisfechos.

Información adicional
La aceptación puede incluir una certificación formal y el proceso de acreditación para
verificar que los requerimientos de seguridad han sido correctamente dirigidos.

10.4 Protección contra código malicioso y móvil

Objetivo: Proteger la integridad de software e información.

50
Se requieren precauciones para prevenir y detectar la introducción de código malicioso y
el código móvil no autorizado.

El software e instalaciones de procesamiento de información son vulnerables a la

introducción de código malicioso, como virus informáticos, gusanos de red, caballos de
Troya y bombas lógicas. Los usuarios deben ser concientizados de los peligros de código
malicioso. Los administradores, donde sea apropiado, deben introducir controles para
prevenir, detectar, eliminar el código malicioso y controlar el código móvil.

10.4.1 Controles contra código malicioso

Control
La detección, la prevención, los controles de recuperación para proteger contra el código
malicioso y procedimientos de concientización a usuarios deben ser implementados.

Guía de Implementación
La Protección contra el código malicioso debe estar basada en la detección de código
malicioso y el software de reparación, la conciencia de seguridad, el acceso de sistema
apropiado y gestión control de cambios.

La siguiente guía debe ser considerada:

a) el establecimiento de una política formal que prohíbe el empleo de software no

autorizado (vea 15.1.2);
b) el establecimiento de una política formal para protegerse contra riesgos asociados
con la obtención de archivos y software de o por vía de redes externas, o sobre
cualquier otro medio, indicando que deben ser tomadas medidas de protección;
c) dirigir las revisiones regulares del software y contenido de datos de sistemas que
apoyan procesos de negocio críticos; la presencia de cualquier archivo
desaprobado o enmiendas no autorizadas formalmente deben ser investigadas;
d) instalación y actualización regular de detección de código malicioso y software de
reparación para revisar ordenadores y medios de comunicación como un control
preventivo, o basados en una rutina; las comprobaciones realizadas deben incluir:
1) comprobación de código malicioso antes de empleo para cualquier archivo
sobre medios de comunicación electrónicos u ópticos y archivos recibidos
sobre redes;
2) la comprobación de código malicioso antes del empleo en archivos
adjuntos de correo electrónico y descarga; esta comprobación debe ser
realizada en sitios diferentes, [Link]. en servidores de correo electrónico,
sobre el escritorio de los ordenadores y cuando este entrando en la red de
la organización;
3) comprobación de código malicioso en páginas web;

e) definición de procedimientos de gestión y responsabilidades para tratar la

protección de código malicioso sobre sistemas, entrenamiento en su empleo,
reportaje y recuperación de ataques de código maliciosos (vea 13.1 y 13.2);
f) preparando proyectos de continuidad del negocio apropiados para reponerse de
ataques de códigos maliciosos, incluyendo todos los datos necesarios, respaldo de
software y acuerdos de recuperación (vea la cláusula 14);

51
 g) implementación de procedimientos para regularizar la colección de información,
como suscripción a listas de direcciones y/o comprobación de sitios web que dan a
información sobre nuevo código malicioso;
h) la implementación de procedimientos para verificar la información que se relaciona
con el código malicioso y asegurar que los boletines de advertencia son exactos e
informativos; los administradores deben asegurar qué fuentes son calificadas, [Link].
diarios serios, Sitios del Internet confiables o proveedores que producen software
de protección contra el código malicioso, son usados para distinguir entre bromas
pesadas y el verdadero código malicioso; todos los usuarios deben ser instruidos
para que sean conscientes del problema de las bromas pesadas y que hacer al
recibir ellos.

Información adicional
El empleo de dos o más productos de software de protección de vendedores diferentes
contra el código malicioso para el ambiente de procesamiento de información, puede
mejorar la eficacia de protección de código malicioso.

El software para proteger contra el código malicioso puede ser instalado para
proporcionar las actualizaciones automáticas de archivos de definición y motores de
exploración para asegurar que la protección esté actualizada a la fecha.

Además, este software puede ser instalado sobre cada escritorio para realizar
comprobaciones automáticas.

Debe tomarse el cuidado para proteger contra la introducción de código malicioso durante
el mantenimiento y procedimientos de emergencia, que pueden evitar el control normal de
protección de códigos maliciosos.

10.4.2 Controles contra código móvil

Control
Donde el empleo de código móvil es autorizado, la configuración debe asegurar que el
código móvil aprobado funciona según una política de seguridad claramente definida y el
código móvil no autorizado debe ser impedido de ejecutar.

Guía de implementación
Las siguientes acciones, deben ser consideradas, para proteger contra el código móvil
que realiza acciones no autorizadas:

a) ejecución de código móvil en un ambiente lógicamente aislado;

b) bloqueo de cualquier empleo de código móvil;
c) bloqueo de recibo de código móvil;
d) la activación de medidas técnicas como disponible sobre un sistema específico para
asegurar que el código móvil es gestionado;
e) controlar los recursos disponibles al acceso a código móvil;
f) controles criptográficos para autenticar únicamente código móvil.

Información adicional
El código móvil es el código de software que se traslada de un ordenador a otro y luego
se ejecuta automáticamente y realiza una función específica con poca o ninguna

52
interacción de usuario. El código móvil está asociado con un número de servicios
middleware (middle=medio y ware=mercancia).

Además asegurarse que el código móvil no contiene el código malicioso, el control de

código móvil es esencial para evitar el empleo no autorizado o la interrupción de sistema,
red, o recursos de aplicación y otras brechas de seguridad de la información.

10.5 Respaldo

Objetivo: Mantener la integridad y disponibilidad de información e instalaciones de

procesamiento de información.
Los procedimientos rutinarios deben ser establecidos para implementar de acuerdo con la
política de respaldo y la estrategia (vea también 14.1) para tomar las copias de respaldo
de datos y ensayar su restauración oportuna.

10.5.1 Respaldo de Información

Control
Las copias de respaldo de información y software deben ser tomadas y probadas con
regularidad conforme con el acuerdo de políticas de respaldo.

Guía de implementación
Los adecuados medios de respaldo deben asegurar que toda la información esencial y el
software pueden ser recuperados después de fallas de medios de comunicación o un
desastre.
Los siguientes artículos deben ser considerados para el respaldo de información:

a) el nivel necesario de respaldo de información debe ser definido;

b) los registros exactos y completos de las copias de respaldo y procedimientos de
restauración documentados deben ser producidos;
c) la magnitud ([Link]. respaldo completo o diferencial) y la frecuencia de respaldos debe
reflejar los requerimientos empresariales de la organización, los requerimientos de
seguridad de la información involucrada y la criticidad de la información a la
continuidad de operación de la organización;
d) los respaldos deben ser almacenados en una ubicación remota, a una distancia
suficiente para evitar cualquier daño de un desastre en el sitio principal;
e) deben dar a la información de respaldo un nivel apropiado de protección de
medioambiente y física (vea la cláusula 9) compatible con las normas aplicadas en
el sitio principal; los controles aplicados a medios de comunicación en el sitio
principal deben ser ampliados para cubrir el sitio de respaldo;
f) los medios de comunicación de respaldo con regularidad deben ser probados para
asegurar que ellos pueden ser confiables para el empleo de emergencia cuando
sea necesario;
g) los procedimientos de restauración deben ser comprobados con regularidad y
probados para asegurar que ellos son eficaces y que pueden ser completados
dentro del tiempo asignado en los procedimientos operacionales para la
recuperación;
h) en situaciones donde la confidencialidad es de importancia, los respaldos deben
ser protegidos por medio de la encriptación.

53
Las disposiciones de respaldo para sistemas individuales deben ser probadas con
regularidad para asegurar que mantienen los requerimientos de proyectos de continuidad
de la empresa (vea la cláusula 14). Para sistemas críticos, las disposiciones de respaldo
deben cubrir toda la información de sistemas, aplicaciones y datos necesarios para
recuperar el sistema completo en caso de un desastre.

El período de retención para la información esencial de la empresa y también cualquier

requerimiento para copias de archivo para ser permanentemente conservadas deben ser
determinadas (vea 15.1.3).

Información adicional
Las órdenes de respaldo pueden ser automatizadas para facilitar el respaldo y el proceso
de restauración. Tales soluciones automatizadas deben ser suficientemente probadas
antes de la implementación y a intervalos regulares.

10.6 Gestión de seguridad de red

Objetivo: Asegurar la protección de información en redes y la protección del soporte de

infraestructura.

La gestión de seguridad de redes, que pueden atravesar las fronteras de la organización,

requiere la consideración cuidadosa al flujo de datos, implicaciones legales, supervisión y
protección.

También pueden adicionarse controles que protejan la información sensible que pasa
sobre las redes públicas.

10.6.1 Controles de red

Control
Las redes deben ser adecuadamente gestionadas y controladas, con la finalidad de ser
protegidas de amenazas, mantener la seguridad para los sistemas y aplicaciones que
usan la red, incluyendo la transmisión de información.

Guía de implementación
Los administradores de red deben implementar controles para asegurar la seguridad de la
información en la red y la protección de servicios de conexión de acceso no-autorizado.
En particular, se debe considerar lo siguiente:

a) la responsabilidad operacional de redes debe ser separada de operaciones de

ordenador donde sea apropiado (vea 10.1.3);
b) las responsabilidades y procedimientos para el manejo de equipos remotos,
incluyendo el equipo en áreas del usuario, deben ser establecidos;
c) los controles especiales deben ser establecidos para salvaguardar la
confidencialidad y la integridad de datos que pasan sobre redes públicas o sobre
redes inalámbricas, proteger los sistemas conectados y aplicaciones (vea 11.4 y
12.3); también pueden requerir que controles especiales mantengan la
disponibilidad de los servicios de red y ordenadores conectados;

54
 d) la apropiada documentación y la supervisión deben ser aplicadas para permitir el
registro de acciones de seguridad relevantes;
e) la gestión de actividades debe ser estrechamente coordinada tanto optimizar
servicios para la organización como para asegurar que los controles son
consistentemente aplicados por la infraestructura del proceso de información.

Información adicional
Información adicional sobre seguridad de redes puede ser encontrada en ISO/IEC 18028,
Información de tecnología - Técnicas de Seguridad - IT seguridad de redes.

10.6.2 Seguridad de servicios de red

Control
Las características de Seguridad, niveles de servicio y los requerimientos de gestión de
todos los servicios de red deben ser identificados e incluidos en algún acuerdo de servicio
de red, sean estos servicios provistos interna o externamente.

Guía de Implementación

La capacidad del proveedor de servicio de red para manejar acuerdos de servicios de un

modo seguro debe ser determinada y supervisada con regularidad y el derecho de auditar
debe ser acordado.

Las medidas de seguridad necesarias para servicios particulares, como características de

seguridad, niveles de servicio y gestión de requerimientos, deben ser identificadas. La
organización debe asegurar que los proveedores de servicio de red implementan estas
medidas.

Información adicional
Los servicios de red incluyen la provisión de conexiones, servicios de red privados, redes
de valor añadido y soluciones de seguridad de red tales como cortafuegos y sistemas de
detección de intrusión.

Estos servicios pueden alcanzar desde una simple saturación de ancho de banda hasta
ofrecimientos complejos sobre valores añadido. Las características de seguridad de
servicios de red pueden ser:

a) la tecnología aplicada por la seguridad de servicios de redes, tales como

autentificación, encriptación y controles de conexión de red;
b) parámetros técnicos requeridos para conexión segura con los servicios de red
conforme con la seguridad y reglas de conexión de red;
c) los procedimientos para el uso de servicios de red, restricción de accesos a
servicios de red o aplicaciones, donde sea necesario.

10.7 Manejo de medios de comunicación

Objetivos: Prevenir la divulgación, modificación, retiro o destrucción de activo no

autorizado, e interrupción a actividades de la empresa.

Los medios de comunicación deben ser controlados y físicamente protegidos.

55
Procedimientos operativos apropiados deben ser establecidos para proteger documentos,
medios de comunicación de ordenador ([Link]. cintas, discos), datos de entrada/salida y la
documentación de sistema, de divulgación no autorizada, modificación, retiro y la
destrucción.

10.7.1 Gestión de medios de comunicación removibles

Control
Debe haber procedimientos en el lugar para la gestión de medios de comunicación
removibles.

Guía de Implementación
Para la gestión de medios de comunicación removibles deben ser consideradas, las
siguientes guías:

a) si ya no es requerido, el contenido de cualquier medio de comunicación que es

reutilizable debe ser removido de la organización siendo irrecuperable;
b) donde sea necesario y práctico, deben requerir la autorización para medios de
comunicación removibles de la organización y un registro de tales removibles debe
ser guardado con la finalidad de mantener un seguimiento de auditoria;
c) todos los medios de comunicación deben ser puestos a salvo, ambiente seguro,
de acuerdo con las especificaciones de fabricantes;
d) la información almacenada en los medios de comunicación que tienen que estar
disponibles más tiempo que el tiempo de vida de medios de comunicación
(conforme a los datos específicos de los fabricantes) también debe ser
almacenada en otra parte para evitar la pérdida de la información debido al
deterioro de medios de comunicación;
e) el registro de medios de comunicación removibles, debe ser considerado para
limitar la probabilidad de pérdida de datos;
f) los medios de comunicación removibles sólo deben ser habilitados si hay una
razón de la empresa para hacerlo

Todos los procedimientos y niveles de autorización deben ser claramente documentados.

Información adicional
Los medios de comunicación removibles incluyen cintas, discos, discos flash, discos
duros removibles, CDs, DVDS y medios de comunicación impresos.

10.7.2 Disposición de medios de comunicación

Control
Los medios de comunicación se deben disponer de forma segura usando procedimientos
formales cuando ya no sean requeridos,

Guía de implementación
Procedimientos formales para la disposición segura de medios de comunicación deben
reducir al mínimo el riesgo de filtración de la información sensible a personas no
autorizadas. Los procedimientos para la disposición segura de medios de comunicación

56
que contienen la información sensible deben ser proporcionales con la sensibilidad de
aquella información. Los siguientes items deben ser considerados:

a) los medios de comunicación que contienen información sensible deben ser

almacenados y dispuestos en forma segura, p. ej. por la incineración, el
desfibrado, o borrado de datos para el uso por otras aplicaciones dentro de la
organización;
b) los procedimientos deben estar definidos para identificar los elementos que
podrían requerir la disposición segura;
c) puede ser más fácil organizar todos los artículos de medios de comunicación para
su disposición segura que intentar separar a los artículos más sensibles
d) muchas organizaciones ofrecen la recolección y servicios de disposición para
papeles, equipos y medios de comunicación; se debe tener cuidado al seleccionar
un contratista apropiado con controles adecuados y experiencia;
e) la disposición de artículos sensibles debe ser registrada donde sea posible
mantener un seguimiento de auditoria.

Cuando acumulamos medios de comunicación para su disposición, deben dar la

consideración al efecto de agregación, los cuales podrían causar que una gran cantidad
de información no-sensible se vuelva sensible.

Información adicional
La información sensible podría ser descubierta por la disposición descuidada de medios
de comunicación (ver también 9.2.6 para la información sobre la disposición de equipos).

10.7.3 Manipulación de procedimientos de información

Control
Los procedimientos para el manejo y el almacenaje de información deben ser
establecidos para proteger esta información del descubrimiento no-autorizado o el mal
uso.

Guía de implementación
Los procedimientos deben ser preparados para el manejo, tratamiento, almacenaje y la
información de comunicación compatible con su clasificación (ver 7.2). Los artículos
siguientes deben ser considerados:

a) manejo y etiquetado de todos los medios de comunicación a su nivel de

clasificación indicado;
b) restricciones de acceso para prevenir acceso de personal no autorizado;
c) mantenimiento de un registro formal de los destinatarios de datos autorizados;
d) asegurar que los datos de entrada son completos, que el procesamiento es
apropiadamente completo y que la validación de salida es aplicada.
e) protección de datos en cola que esperan salida a un nivel compatible con su
sensibilidad;
f) almacenaje de medios de comunicación conforme a los datos específicos de los
fabricantes;
g) mantener la distribución de datos a un mínimo;
h) marcar claro todas las copias de medios de comunicación para la atención del
destinatario autorizado;

57
 i) revisión de listas de distribución y listas de destinatarios autorizados a intervalos
regulares.

Información adicional
Estos procedimientos aplican a la información en documentos, sistemas computacionales,
redes, computación móvil, comunicaciones móviles, correo, correo de voz,
comunicaciones de voz en general, multimedia, servicios/instalaciones postales, empleo
de máquinas facsímiles y cualquier otro artículo sensible, [Link]. cheques en blanco,
facturas.

10.7.4 Seguridad de documentación de sistema

Control
La documentación de sistema debe ser protegida contra el acceso no autorizado.

Guía de implementación
Para asegurar la documentación de sistema, los artículos siguientes deben ser
considerados:

a) la documentación de sistema debe ser bien almacenada;

b) la lista de acceso para la documentación de sistema debe ser mantenida a un
mínimo y autorizado por el propietario de la aplicación;
c) la documentación de sistema llevada a cabo en una red pública, o suministró vía
una red pública, debe ser protegida de manera apropiada.

Información adicional
La documentación de sistema puede contener una gama de información sensible, [Link]. las
descripciones de procesos de aplicación, procedimientos, estructuras de datos, procesos
de autorización.

10.8 Intercambio de información

Objetivo: Mantener la seguridad de información y software intercambiado dentro de una

organización y con cualquier entidad externa.

El intercambio de información y software entre organizaciones deben estar basados en

una política formal de intercambio, llevado a cabo en línea con acuerdos de intercambio y
deben estar conformes con cualquier legislación relevante (ver la cláusula 15).

Los procedimientos y normas deben ser establecidos para proteger información y el

contenido de transporte de información de los medios de comunicación.

10.8.1 Políticas y procedimientos de intercambio de Información

Control
La política formal de intercambio, procedimientos y controles deben estar definidos para
proteger el intercambio de información a través del uso de todos los tipos de instalaciones
de comunicación

58
Guía de implementación
Los procedimientos y controles que deben seguirse cuando usamos las instalaciones de
comunicaciones electrónicas para intercambio de la información deben considerar los
siguientes artículos:

a) los procedimientos diseñados para proteger el intercambio de información de

interceptación, copia, modificación, falta-encaminamiento y destrucción;
b) los procedimientos para la detección y protección contra el código malicioso que
puede ser transmitido por el empleo de comunicaciones electrónicas (ver la
Cláusula 10.4.1);
c) los procedimientos para proteger información sensible comunicada
electrónicamente que está en forma de un adjunto;
d) políticas o pautas de directrices de uso aceptables sobre instalaciones de
comunicación electrónica (ver 7.1.3);
e) procedimientos para el empleo de comunicaciones inalámbricas, teniendo en
cuenta los riesgos particulares involucrados;
f) las responsabilidades de empleados, contratistas y cualquier otro usuario para no
comprometer la organización, [Link]. por difamación, hostigamiento, personificación,
expedición de cartas de cadena, compras no autorizadas, etc.;
g) el empleo de técnicas criptográficas [Link]. proteger la confidencialidad, la integridad y
la autenticidad de información (ver la Cláusula 12.3);
h) retención y disposición de guías para toda la correspondencia empresarial,
incluyendo mensajes, conforme a legislación nacional pertinente, legislación local
y regulaciones;
i) no dejando la información sensible o crítica en los equipos de impresión, [Link].
copiadoras, impresoras, facsímiles ya que estos pueden ser accedidos por
personal no autorizado;
j) controles y restricciones asociados con recursos de comunicación para el envío,
[Link]. envió automático de correo electrónico a direcciones de correo externas;
k) recordar al personal que ellos deben tomar precauciones apropiadas, [Link]. no
revelar la información sensible para evitar ser oído por casualidad o interceptado
cuando esta haciendo una llamada por teléfono:
1) la gente en su cercanía inmediata en particular cuando está usando
teléfonos móviles;
2) intervención de las conexiones telefónicas y otras formas de escucha
disimulada por acceso físico al micrófono telefónico, línea telefónica, o
utilización de receptores de exploración;
3) la gente al final del destinatario;
l) no dejando mensajes que contienen información sensible sobre contestadores
automáticos ya que estos pueden ser grabados de nuevo por personas no
autorizadas, almacenados sobre sistemas comunales o almacenados
incorrectamente como consecuencia de discado erróneo;
m) recordar al personal sobre los problemas de usar facsímiles, es decir:
1) el acceso no autorizado al elaborar mensajes almacenados para recuperar
mensajes;
2) programación deliberada o accidental de máquinas para enviar mensajes a
números específicos;
3) enviar documentos y mensajes al número incorrecto por equivocación o
utilización del número incorrecto almacenado;

59
 n) recordar al personal que no registre datos demográficos, como la dirección de
correo electrónico información personal adicional, en cualquier software para
evitar su recopilación para uso no autorizado;
o) el recordar al personal que máquina de facsímiles modernos y fotocopiadores
tienen escondrijos de página y almacenan páginas en caso de falta de papel o
error de transmisión, el cual una vez corregida la falla será impreso.

Además, deben recordar al personal que ellos no deben tener conversaciones

confidenciales en sitios públicos u oficinas abiertas y lugares de encuentros no seguros
con paredes impermeabilizadas.

Las instalaciones de intercambio de Información deben cumplir con cualquier

requerimiento legal relevante (ver la cláusula 15).

Información adicional
El intercambio de Información puede ocurrir por el empleo de un número de tipos
diferentes de recursos de comunicación, incluyendo el correo electrónico, la voz, el
facsímil y vídeo.

El intercambio de software puede ocurrir por un número de medios diferentes, incluyendo

las descargas de Internet y adquiridos de la venta de vendedores de anaqueles
disponibles.

Implicaciones de seguridad asociadas con el intercambio de datos electrónico, el

comercio electrónico, comunicaciones electrónicas y los requerimientos para controles
deben ser considerados.

La Información podría ser comprometida debido a la carencia de conciencia, política o

procedimientos sobre el uso de recursos de intercambio de la información, [Link]. que son
oídos por casualidad en un teléfono móvil en un lugar público, el error de dirección de un
mensaje de correo electrónico, contestadores automáticos siendo oídos por casualidad, el
acceso no autorizado para marcar sistemas de correo de voz o por casualidad, el envió de
facsímiles al equipo de facsímile incorrecto.

Operaciones del negocio podrían ser interrumpidas y la información podría ser

comprometida si las instalaciones de comunicaciones fallan, son sobrecargados o
interrumpidos (mirar 10.3 y la cláusula 14). La Información podría ser comprometida si es
accedida por usuarios no autorizados (mirar la cláusula 11).

10.8.2 Acuerdos de intercambio

Control
Los acuerdos deben ser establecidos para el intercambio de información y software entre
la organización y partes externas.

Guía de Implementación
Los acuerdos de intercambio deben considerar las condiciones de seguridad siguientes:

a) responsabilidades de gestión para controlar y notificar transmisiones, envío y

recibo;

60
 b) procedimientos para notificar al remitente de transmisión, envío y recibo;
c) procedimientos para asegurar capacidad de rastreo y no rechazo;
d) normas técnicas mínimas para embalaje y transmisión;
e) acuerdos de garantía;
f) normas de identificación de mensajería;
g) responsabilidades y obligaciones en las incidencias de evento de seguridad de
información tales como pérdidas de datos.
h) el acuerdo de empleo de un sistema de etiquetaje para la información sensible o
crítica, asegurar que el significado de las etiquetas es inmediatamente entendido y
que la información es apropiadamente protegida;
i) la propiedad y responsabilidades para protección de datos, derechos de autor, el
cumplimiento de licencia de software y consideraciones similares (ver 15.1.2 y
15.1.4);
j) normas técnicas para grabación y lectura de información y software;
k) cualquier control especial que pueda requerir para proteger artículos sensibles,
tales como llaves criptográficas (ve 12.3).

Las políticas, procedimientos y normas deben ser establecidas y mantenidas para

proteger información y transmisión en medios de comunicación físicos (ver también
10.8.3) y debe ser referido en tales acuerdos de intercambio.
El contenido de seguridad de cualquier acuerdo debe reflejar la sensibilidad de la
información de la empresa involucrada.

Información adicional
Los acuerdos pueden ser electrónicos o manuales y pueden tomar la forma de contratos
formales o condiciones de empleo. Para la información sensible, los mecanismos
específicos usados para el intercambio de tal información deben ser constantes para
todas las organizaciones y los tipos de acuerdos.

10.8.3 Medios de comunicación físicos en transporte

Control
Los medios de comunicación que contienen la información deben ser protegidos contra el
acceso no autorizado, el mal uso o la corrupción durante el transporte más allá de las
fronteras físicas de una organización.

Guía de implementación
Las siguientes guías deben ser consideradas para proteger los medios de comunicación
que transportan información entre sitios:

a) el transporte confiable o mensajeros deben ser usados;

b) una lista de mensajeros autorizados debe estar acordada con la administración;
c) deben ser desarrollados los procedimientos para comprobar la identificación de
mensajeros;
d) el embalaje debe ser suficiente para proteger el contenido, de cualquier daño que
probablemente pueda surgir durante el tránsito y de acuerdo con los datos
específicos de cualquier fabricante ([Link]. para el software), por ejemplo
protegiendo contra cualquier factor ambiental que puede reducir la eficiencia de
restauración de los medios de comunicación como la exposición al calor, la
humedad o campos electromagnéticos;

61
 e) los controles deben ser adoptados, donde sean necesarios, proteger la
información sensible de divulgación no autorizada o la modificación; los ejemplos
incluyen:
1) empleo de contenedores cerrados;
2) entrega a mano;
3) el manoseo evidente del embalaje (que revela cualquier tentativa de
acceso);
4) en casos excepcionales, dividiendo el envío en más de una entrega y
despachando por diferentes rutas.

Información adicional
La Información puede ser vulnerable al acceso no autorizado, el mal uso o la corrupción
durante el transporte físico, por ejemplo cuando enviamos por medios de comunicación
vía el servicio postal o vía el mensajero.

10.8.4 Mensajería electrónica

Control
La Información involucrada en la mensajería electrónica debe ser apropiadamente
protegida.

Guía de Implementación
Las consideraciones de Seguridad para la mensajería electrónica deben incluir lo
siguiente:

a) protegiendo mensajes de acceso no autorizado, modificación o negación de

servicio;
b) asegurando el correcto direccionamiento y transportación del mensaje;
c) fiabilidad general y disponibilidad del servicio;
d) consideraciones legales, por ejemplo exigencias para firmas electrónicas;
e) obtención de aprobación antes de utilización de servicios públicos externos como
mensajería instantánea o archivos compartidos;
f) los niveles más fuertes de autenticación que controlan los accesos a redes
públicamente accesibles.

Información adicional
La mensajería electrónica como el correo electrónico, el Intercambio Electrónico de Datos
(EDI) y la mensajería instantánea juega un rol cada vez más importante en comunicación
del negocio. La mensajería electrónica tiene riesgos diferentes que las comunicaciones
basadas en papel.

10.8.5 Sistemas de información del negocio

Control
Las políticas y procedimientos deben ser desarrollados y puestos en práctica para
proteger la información asociada con la interconexión de sistemas de información de la
empresa.

Guía de implementación

62
Las consideraciones referidas a la seguridad y las implicaciones del negocio de
interconectar tales recursos deben incluir:
a) conocer las vulnerabilidades en la administración y sistemas contables donde la
información es compartida entre diferentes partes de la organización;
b) las vulnerabilidades de información en los sistemas de comunicación de la
empresa, [Link]. grabación de llamadas telefónicas, conferencia de llamadas,
confidencialidad de llamadas, almacenaje de facsímiles, apertura de correo,
distribución de correo;
c) política y controles apropiados para manejar la información compartida.
d) la exclusión de categorías de información sensible de la empresa y clasificar
documentos si el sistema no provee un nivel apropiado de protección (ver 7.2);
e) restringir acceso a la información diaria relacionada a individuos seleccionados,
[Link]. personal que trabaja en proyectos sensibles;
f) las categorías de personal, contratistas o socios de negocio autorizados a utilizar
el sistema y las ubicaciones desde las cuales este puede ser accedido (ver 6.2 y
6.3);
g) restricción de recursos seleccionados para especificar categorías de usuarios;
h) identificación del estado de usuarios, [Link]. los empleados de la organización o
contratistas del directorio para el beneficio de otros usuarios;
i) la retención y la copia de respaldo de información llevada a cabo en el sistema
(ver 10.5.1);
j) requerimientos y arreglos de restauración de caídas (ver 14).

Información Adicional
Las oficinas de sistemas de información son adecuadas para la rápida diseminación y
distribución de información de la empresa utilizando una combinación de: documentos,
ordenadores, ordenador móvil, comunicaciones móviles, correo, correo de voz,
comunicaciones de voz en general, multimedia, servicios/recursos postales y equipos de
facsímiles.

10.9 Servicios de comercio electrónico

Objetivo: Garantizar la seguridad de servicios de comercio electrónico y su empleo

seguro.

Las implicaciones de seguridad asociadas con la utilización de servicios de comercio

electrónico, incluyendo transacciones en línea y los requerimientos para controles, deben
ser consideradas. La integridad y la disponibilidad de información publicada
electrónicamente por sistemas públicamente disponibles también deben ser consideradas.

10.9.1 Comercio electrónico

Control
La Información involucrada en el comercio electrónico que pasa sobre redes públicas
debe ser protegida de actividades fraudulentas, la discusión de contrato, el
descubrimiento no autorizado y modificación.

Guía de Implementación
Las consideraciones de seguridad para comercio electrónico deben incluir lo siguiente:

63
 a) el nivel de confianza que cada parte requiere entre los cuales se exige la
identidad, [Link]. a través la autenticación;
b) procesos de autorización asociados con quien puede poner precios, publicar o
firmar los documentos del negocio más importantes;
c) asegurar que los socios comerciales son totalmente informados de sus
autorizaciones;
d) determinando y manteniendo requerimientos para confidencialidad, integridad,
prueba de envío y recibo de documentos claves y el no rechazo de contratos, [Link].
asociados con ofrecimiento y procesos de contrato;
e) el nivel de confianza requerida en la integridad de listas de precios anunciados;
f) la confidencialidad de cualquier dato sensible o información;
g) la confidencialidad e integridad de cualquier orden de transacción, la información de
pago, los detalles de dirección de entrega y la confirmación de recepción;
h) el grado de verificación apropiada para comprobar la información de pago
suministrada por un cliente;
i) seleccionar la forma más apropiada de pago para protegerse contra fraude;
j) el nivel de protección requerida para mantener la confidencialidad e integridad de
información ordenada;
k) anulación de pérdida o duplicación de información de transacción;
l) responsabilidad asociada con cualquier transacción fraudulenta;
m) requerimientos de seguros.

Muchas de las anteriores consideraciones pueden ser dirigidas por la aplicación de

controles de criptografía (ver 12.3), teniendo en cuenta el cumplimiento con
requerimientos legales (ver 15.1, especialmente 15.1.6 para la legislación de criptografía).

Las disposiciones de comercio electrónico entre socios comerciales deben ser

sustentados por un acuerdo documentado el cual compromete a ambas partes a los
términos acordados, incluyendo los detalles de autorización (ver b) anterior). Otros
acuerdos con el servicio de información y proveedores de valor añadido de red puede ser
necesario.

Los sistemas públicos de comercio deben publicar sus términos del negocio a los clientes.

Las consideraciones deben dar relevancia al ataque del host usado para el comercio
electrónico y las implicaciones de seguridad de cualquier interconexión de red requerida
para la implementación de servicios de comercio electrónicos (ver 11.4.6).

Información adicional
El comercio electrónico es vulnerable numerosas amenazas de red que pueden causar la
actividad fraudulenta, la disputa de contrato y el descubrimiento o la modificación de
información.

El comercio electrónico puede hacer uso de métodos seguros de autentificación, [Link].

usando la clave pública criptográfica y firmas digitales (ver también 12.3) para reducir los
riesgos. También, la confianza en terceros puede ser usada, donde tales servicios son
necesarios.

64
10.9.2 Transacciones en línea

Control
La Información involucrada en transacciones en línea debe ser protegidos para prevenir la
transmisión incompleta, el error de encaminamiento, la alteración de mensajes no
autorizada, el descubrimiento no autorizado, la duplicación de mensaje no autorizada o la
repetición.

Guía de implementación
Las consideraciones de seguridad para transacciones en línea deben incluir lo siguiente:

a) el empleo de firmas electrónicas por cada una de las partes involucradas en la

transacción;
b) todos los aspectos de la transacción, p. ej. asegurar que:
1) las credenciales de usuario de todas las partes son válidas y verificadas;
2) la transacción permanece confidencial; y
3) la privacidad asociada con todas las partes involucradas es conservada;
c) el camino de comunicaciones entre las partes involucradas es encriptado;
d) los protocolos que solían comunicarse entre todas las partes involucradas es
seguro;
e) asegurando que el almacenaje de los detalles de transacción son localizados fuera
de cualquier ambiente público accesible, [Link]. sobre una plataforma de almacenaje
que existe en la organización de Intranet, no conservada y expuesta en un medio
de almacenaje directamente accesible desde Internet;
f) donde la confianza en una autoridad es usada ([Link]. para los propósitos de
emisión y mantenimiento de firmas digitales y/o certificados digitales) la seguridad
es integrada e incluida a lo largo de todo el proceso de gestión de
certificados/firmas de principio a fin.

Información adicional
La magnitud de los controles adoptados necesitará ser correspondiente con el nivel de
riesgo asociado con cada forma de transacción en línea.
Las transacciones pueden necesitar cumplir con leyes, reglas y regulaciones en la
jurisdicción en la cual la transacción es generada, vía de procesamiento, completada en
y/o almacenada.
Existen muchos formularios de transacciones que pueden ser realizados en línea [Link].
contractuales, financieras etc.

10.9.3 Información públicamente disponible

Control
La integridad de información hecha disponible en un sistema público debe ser protegida
para prevenir la modificación no autorizada.

Guía de Implementación
El software, datos y Información adicional que requiere un nivel alto de integridad, que es
hecho disponible sobre un sistema disponible públicamente, debe ser protegido por
mecanismos apropiados, firmas [Link]. digitales (ver 12.3). El sistema públicamente

65
accesible debe ser probado contra debilidades y fracasos antes que la información sea
hecha disponible.

Debe haber un proceso de aprobación formal antes de que la información sea disponible
públicamente. Además, toda la entrada desde el exterior al sistema debe ser verificada y
aprobada.

Los sistemas electrónicos publicados, especialmente estos que permiten regeneración y

entrada directa de información, deben ser cuidadosamente controladas de modo que:

a) la información es obtenida en concordancia con cualquier legislación de protección

de datos (ver 15.1.4);
b) la entrada de la información, el procesamiento por el sistema de publicación será
procesado completamente y con exactitud en una manera oportuna;
c) la información sensible será protegida durante la recopilación, tratamiento y
almacenaje;
d) el acceso al sistema de publicación no permite el acceso imprevisto a redes a las
cuales el sistema está conectado.

Información adicional
La Información sobre un sistema públicamente disponible, [Link]. la información sobre un
servidor Web accesible vía Internet, puede necesitar cumplir con leyes, reglas y
regulaciones en la jurisdicción en la cual el sistema está localizado, donde el comercio
está tomando lugar o donde el propietario reside. La modificación no autorizada de
información publicada puede dañar la reputación publicación de la organización.

10.10 Supervisión

Objetivo: Descubrir actividades de proceso de información no autorizadas.

Los sistemas deben ser supervisados y los eventos de seguridad de información deben
ser registrados. Los registros del operador y la falta de anotaciones deben ser usadas
para asegurar que los problemas de sistema de información son identificados.

Una organización debe cumplir con todas las exigencias relevantes legales aplicables a
su supervisión y registro de actividades.

El sistema que supervisa debe ser usado para comprobar la eficacia de controles
adoptados y para verificar la conformidad a un modelo de política de acceso.

10.10.1 Registro de auditoría

Control
La grabación de registros de Auditor de actividades de usuario, excepciones y eventos de
seguridad de la información debe ser producidos y mantenido para un periodo acordado
para ayudar en futuras investigaciones y la supervisión de control de acceso.

Guía de Implementación
Los registros de auditoría deben incluir, cuando sea relevante:
a) IDs de usuario;

66
 b) fechas, tiempos, detalles de eventos claves, [Link]. conexión y término de una
sesión;
c) identidad de una Terminal o ubicación si es posible;
d) los registros exitosos y rechazo de tentativas de accesos al sistema;
e) los registros de datos exitosos y rechazados y otros recursos de de tentativas
acceso;
f) cambios a la configuración de sistema;
g) empleo de privilegios;
h) empleo de utilidades de sistema y aplicaciones;
i) archivos accedidos y el tipo de acceso;
j) direcciones de red y protocolos;
k) alarmas levantadas por el sistema de control de accesos;
l) activación y desactivación de sistemas de protección, como sistemas de antivirus y
sistemas de detección de intrusión.

Información adicional
Los registros de auditoría pueden contener datos de intrusiones y datos personales
confidenciales. Medidas de protección apropiadas deben ser tomadas (ver también
15.1.4). En lo posible, los administradores de sistema no deben tener permiso de borrar o
desactivar los registros de sus propias actividades (ver 10.1.3).

10.10.2 Empleo de sistema de supervisión

Control
Los procedimientos para supervisar el empleo de instalaciones de procesamiento de
información deben ser establecidos y los resultados de las actividades de supervisión
revisadas con regularidad.

Guía de implementación
El nivel de supervisión requerido para recursos individuales debe ser determinado por una
evaluación de riesgos.

Una organización debe cumplir con todas los requerimientos legales relevantes aplicables
a su supervisión de actividades. Las áreas que deben ser consideradas incluyen:

a) el acceso autorizado, incluyendo detalles tales como:

1) el usuario ID;
2) la fecha y hora de eventos claves;
3) los tipos de eventos;
4) los archivos accedidos;
5) el uso de programas/utilidades;
b) todas las operaciones privilegiadas, como:
1) uso de cuentas privilegiadas, [Link]. supervisor, root, administrador;
2) inicio y finalización de sistema;
3) dispositivos de entrada/salida conexión/desconexión;
c) tentativas de acceso no autorizadas, como:
1) acciones de usuario fallidas o rechazadas;
2) acciones fallidas o rechazadas que implican datos y otros recursos;
3) violaciones de políticas de acceso y notificaciones para gateways y
cortafuegos de red;

67
 4) alertas de sistemas propietarios de detección de intrusos;
d) sistemas de alerta o fallos tales como:
1) consola de alarmas o mensajes;
2) excepciones de registro de sistema;
3) alarmas de gestión de red;
4) alarmas activadas por el sistema de control de acceso;

e) cambios, o intento de cambios, ajustes de seguridad de sistema y controles.

Como a menudo los resultados de supervisar actividades son revisados debe
depender de los factores de riesgos involucrados. Los factores de riesgo que
deben ser considerados incluyen:
a) criticidad de los procesos de aplicación;
b) valor, sensibilidad y criticidad de la información involucrada;
c) experiencia pasada de infiltración de sistema, mal uso y la frecuencia de
vulnerabilidad siendo explotada;
d) grado de interconexión de sistema (en particular redes públicas);
e) facilidad en la desactivación de registros.

Información adicional
El uso de procedimientos de supervisión son necesarios para asegurar que los usuarios
sólo realizan las actividades que han sido autorizadas explícitamente.
Una revisión de registro implica el entendimiento de las amenazas afrontadas por el
sistema y la manera en la cual estos pueden surgir. Ejemplos de los eventos que podrían
requerir investigación en el futuro en caso de incidentes de seguridad de la información
están citados en 13.1.1.

10.10.3 Protección de información de registro

Control
Los equipos de registro y el registro de información debe ser protegido contra el manoseo
y el acceso no autorizado.

Guía de Implementación
Los controles deben apuntarse para proteger contra cambios no autorizados y problemas
operacionales con los recursos de registros incluyendo:

a) alteraciones a los tipos de mensaje que son registrados;

b) registros de archivos siendo editados o borrados;
c) capacidad de almacenaje de los archivos de registro en medios de comunicación
siendo excedidos, resultando ya sea en fallas de registro de eventos hasta sobre -
escritura de registros pasados de eventos ya registrados.

Algunos registros de auditoría pueden requerir que sean archivados como parte de la
política de retención de registro o debido a exigencias para recopilar y conservar pruebas
(ver también 13.2.3).

Información adicional
Los registros de sistema a menudo contienen un volumen grande de información, muchos
de los cuales son desconocidos por la supervisión de seguridad. Para ayudar a identificar
eventos significativos para objetivos de seguridad supervisada, las copias automáticas de

68
tipos de mensajes apropiados a un segundo registro y/o el empleo de utilidades de
sistema convenientes o instrumentos de auditoría para realizar la interrogación de archivo
y racionalización debe ser considerado.

Los registros de sistema necesitan ser protegidos, porque si los datos de los registros
pueden ser modificados o borrados, su existencia puede crear un sentido falso de
seguridad.

10.10.4 Administrador y operador de registros

Control
El administrador de sistema y el sistema operador de actividades deben ser registrados.

Guía de Implementación
Los registros deben incluir:
a) el tiempo en el cual un evento (éxito o fracaso) ocurrió;
b) la información sobre el evento ([Link]. archivos manejados) o fracaso ([Link]. el error
que ocurrió y la acción correctiva tomada);
c) que cuenta y que administrador u operador estuvieron involucrados;
d) cuales procesos estuvieron implicados.

El administrador de sistema y operador de registros deben ser revisados regularmente.

Información adicional
Un sistema de detección de intrusos manejado fuera del control de sistema y del
administrador de red puede ser usado para supervisar el sistema y para el cumplimiento
de actividades de administración de red.

10.10.5 Error de registro

Control
Las fallas deben ser registradas, analizadas y tomarse una acción apropiada.

Guía de implementación
Las fallas reportadas por usuarios o por programas de sistema relacionadas a problemas
con procesamiento de información o sistemas de comunicaciones deben ser registradas.
Debe haber reglas claras para manejar reportes de fallas incluyendo:

a) la revisión del registro fallas para asegurar que las fallas han sido
satisfactoriamente resueltas;
b) la revisión de medidas correctivas para asegurar que los controles no han sido
comprometidos y que la acción tomada es totalmente autorizada.

Debe asegurarse que el registro de error está habilitado, si esta función del sistema está
disponible.

Información Adicional
Los reportes de errores y fallas puede afectar el funcionamiento de un sistema. Tales
reportes deben ser habilitados por personal competente y el nivel de registros requerido

69
para sistemas individuales debe ser determinado según una evaluación de riesgos,
tomando en consideración la degradación de funcionamiento.

10.10.6 Sincronización de reloj

Control
Los relojes de todos los sistemas de procesamiento de información relevantes dentro de
una organización o el dominio de seguridad deben ser sincronizados de acuerdo a una
fuente de tiempo exacta.

Guía de Implementación
Donde un ordenador o el dispositivo de comunicaciones tienen la capacidad de manejar
un reloj en tiempo real, este reloj debe ser puesto de acuerdo a un estándar, [Link]. Tiempo
Coordinado Universal (UTC) o la hora estándar local. Como saben que algunos relojes
van a la deriva con el tiempo, debe haber un procedimiento que compruebe y corrija
cualquier variación significativa.

La interpretación correcta del formato de fecha/hora es importante para asegurar que el

fechado refleja la verdadera fecha/hora. Datos locales concretos ([Link]. ahorros de luz en el
día) deben ser tomados en cuenta.

Información adicional
El ajuste correcto de relojes de ordenador es importante para asegurar la exactitud de
registros de auditoría, los cuales puedan ser requeridos para investigaciones o como
evidencias en casos legales o disciplinarios. Los registros inexactos de auditoría pueden
dificultar tales investigaciones y dañar la credibilidad de tales pruebas. Un reloj vinculado
al tiempo de una radio de difusión nacional puede ser usado como la hora patrón para los
sistemas de registros. Un protocolo de tiempo de red puede ser usado para mantener a
todos los servidores en sincronización con el reloj master.

70
11. Control de accesos

11.1 Requerimientos de negocio para el control de acceso

Objetivo: Controlar el acceso a la información

El acceso a la información, instalaciones de procesamiento de información y los procesos

de negocio deben ser controlados sobre la base de requerimientos de negocio y
seguridad.

Las reglas de control de acceso deben tomar en cuenta políticas para la difusión de la
información y la autorización.

11.1.1 Políticas de control de acceso

Control

Se debe establecer, documentar y revisar políticas de control de acceso basados en los

requerimientos de negocio y seguridad de acceso.

Guía de implementación
Las reglas y derechos de control de accesos, para cada usuario o grupo de usuarios,
deben ser claramente establecidos en una declaración de política de accesos. Los
controles de acceso son tanto lógicos como físicos (ver también sección 9) y estos deben
ser considerados conjuntamente. Se debe otorgar a los usuarios y proveedores de
servicio una clara enunciación de los requerimientos comerciales que deberán satisfacer
los controles de acceso.

La política debe tomar en cuenta lo siguiente:

a) los requerimientos de seguridad de aplicaciones de gestión individuales
b) la identificación de toda la información relacionada con las aplicaciones del
negocio y los riesgos que la información enfrenta
c) la política para la difusión de la información y la autorización, por ejemplo el
principio de la necesidad de conocer, niveles de seguridad y clasificación de
información (ver 7.2)
d) la consistencia entre el control de acceso y la política de clasificación de la
información de diferentes sistemas y redes
e) la legislación pertinente y cualquier obligación contractual en cuanto a la
protección de acceso a datos o servicios (ver 15.1)
f) perfiles de acceso de usuario estándar para papeles de trabajo comunes en la
organización;
g) la gestión de derechos de acceso en un ambiente distribuido y conectado en red
que reconoce todos los tipos de conexiones disponibles
h) la segregación de roles de control de acceso, por ejemplo petición de acceso,
autorización de acceso, administración de acceso;
i) requerimientos para la autorización formal de peticiones de acceso (ver 11.2.1)
j) requerimientos para la revisión periódica de controles de acceso (ver 11.2.4);
k) retiro de derechos de acceso (ver 8.3.3).

Información Adicional
A la hora de especificar reglas de control de acceso se debe tener cuidado en considerar:

71
 a) la diferenciación entre las reglas que siempre se deben cumplir y las directrices
que son opcionales o condicionales;
b) el establecimiento de reglas basadas en la premisa " generalmente se prohíbe
todo a no ser que esté expresamente permitido " en lugar de la regla más débil "
generalmente todo esta permitido a no ser que esté expresamente prohibido ";
c) cambios en los niveles de la información (ver 7.2) que son iniciados
automáticamente por los medios de procesamiento de información y aquellos
iniciados a discreción del usuario
d) cambios en los permisos de usuario que son iniciados automáticamente por el
sistema de información y aquellos iniciados por un administrador
e) reglas, que requieren la aprobación específica antes de la promulgación y otras
que no.

Las reglas de control de acceso deben ser apoyadas por procedimientos formales y
responsabilidades claramente definidas (ver, por ejemplo, 6.1.3, 11.3, 10.4.1, 11.6).

11.2 Administración de acceso de usuarios

Objetivo: Asegurar que el usuario autorizado tenga acceso y prevenir el acceso no

autorizado a sistemas de información.
Los procedimientos formales deben ser aplicados para controlar la asignación de
derechos de acceso a sistemas y servicios de información.

Los procedimientos deben cubrir todas las etapas del ciclo de vida de acceso de usuario,
desde el registro inicial de nuevos usuarios hasta la baja de los usuarios que no requieren
el acceso a sistemas y servicios de información. Se debe dar especial atención a la
necesidad de controlar la asignación de derechos de acceso privilegiados que permitan a
usuarios anular controles de sistema.

11.2.1 Registro de Usuarios

Control
Debe haber un registro de usuario formal y procedimientos de registro en el lugar, para
conceder y revocar el acceso a todos los sistemas de información y servicios.

Guía de implementación
El procedimiento de control de acceso para registro y baja de usuarios debe incluir
a) utilización de ID de usuario únicos que posibilite la vinculación y la responsabilidad
con sus acciones; solo se debe permitir el empleo Ids de grupo donde son
necesarios para el negocio o razones operacionales, y deben ser aprobados y
documentados;
b) la comprobación que el usuario tiene la autorización del dueño de sistema para el
uso del sistema o servicio de información; la aprobación separada para derechos
de acceso de administración también puede ser apropiada;
c) la comprobación que el nivel de acceso concedido es apropiado al objetivo de
negocio (ver 11.1) y es compatible con la política de seguridad de la organización,
por ejemplo, esto no compromete la segregación de funciones (ver 10.1.3);
d) dar a los usuarios una declaración escrita de sus derechos de acceso;
e) requerir a los usuarios firmar las declaraciones que indican que ellos entienden
las condiciones de acceso;

72
 f) proveedores de servicios aseguran que no proporcionaran el acceso hasta que los
procedimientos de autorización hayan sido completados;
g) el mantenimiento de un registro formal de todas las personas registradas para uso
del servicio;
h) removiendo o bloqueando inmediatamente los derechos de acceso de los
usuarios que se han cambiado los roles, trabajos o han dejado la organización
i) comprobar periódicamente, la eliminación o bloqueo a los usuarios con IDs y
cuentas redundantes (ver 11.2.4);
j) asegurar que el usuario con IDs redundante no es publicado (emitido) a otros
usuarios.

Información Adicional
Consideración para establecer los roles de acceso de usuario basado en requerimientos
del negocio, que resumen un número de derechos de acceso en perfiles típicos de acceso
de usuario. Las peticiones de acceso y revisiones (ver 11.2.4) son más fáciles de manejar
en el nivel típico que en el nivel de derechos particulares. Se debe considerar la inclusión
de cláusulas en contratos de personal y los contratos de servicio que especifican
sanciones si el acceso no autorizado es intentado por el personal o personal de servicio
(ver también 6.1.5, 8.1.3 y 8.2.3).

11.2.2 Administración de privilegios

Control
La asignación y el uso de privilegios deben ser restringidos y controlados.

Guías de Implementación
Los sistemas multiusuarios que requieren la protección contra el acceso no autorizado
deben tener la asignación de privilegios controlados por un proceso de autorización
formal. Los pasos siguientes deben ser considerados:
a) los privilegios de acceso asociados con cada producto de sistema, por ejemplo
operación de sistemas, administración de sistema de bases de datos y
aplicaciones, y los usuarios a los cuales ellos tienen que ser asignados deben ser
identificados;
b) los privilegios deben ser asignados a usuarios en una base de necesidad de uso y
en una base de eventos por eventos al igual que la política que controla el acceso
(11.1.1), p. ejemplo. el requisito mínimo para su rol funcional sólo cuando es
necesario;
c) deben ser mantenido un proceso de autorización y un registro de todos los
privilegios asignados. No deben conceder privilegios hasta que el proceso de
autorización sea completado;
d) el desarrollo y el empleo de rutinas de sistema deben ser promovidos para evitar
conceder privilegios a usuarios;
e) el desarrollo y el empleo de los programas que evitan la necesidad de correr con
privilegios deben ser promovidos;
f) los privilegios deben ser asignados a un usuario con diferente ID de aquellos
usados para el empleo normal de negocio.

Información Adicional
El uso inadecuado de privilegios de administración de sistema (cualquier rasgo o facilidad
de un sistema de información que permite al usuario anular el sistema o mandos de

73
aplicación) puede ser un factor principal contribuyente a los fracasos o las brechas de
sistemas.

11.2.3 Administración de contraseña de usuario

Control
La asignación de contraseñas debe ser controlada por un proceso de administración
formal

Guía de Implementación
El proceso debe incluir el siguiente requerimiento:
a) se debe requerir que los usuarios firmen una declaración para mantener las
contraseñas personales confidenciales y que mantengan las contraseñas de grupo
únicamente dentro de los miembros del grupo; esta declaración firmada podría ser
incluida en los términos de referencia y las condiciones de empleo (ver8.1.3);
b) cuando se requiere que los usuarios mantengan sus propias contraseñas deben
proporcionarlas al principio por una contraseña segura temporal (ver 11.3.1), y
estén forzados a cambiarla inmediatamente;
c) establecer procedimientos para verificar la identidad de un usuario antes de
asignarle una nueva, cambio o contraseña temporal;
d) se deben dar contraseñas temporales a usuarios de una manera segura; el
empleo de terceros o mensajes de correo electrónico sin protección (en texto
claro) debe ser evitados;
e) contraseñas temporales deben ser únicas e individuales y no deben ser fáciles de
adivinar;
f) los usuarios deben acusar el recibo de contraseñas;
g) las contraseñas nunca deben ser almacenadas en el computador sin protección;
h) las contraseñas de vendedores deben ser cambiadas después de la instalación de
sistemas o software.;

Información Adicional
Las contraseñas son un medio común de verificar la identidad de un usuario antes de
permitir el acceso a un sistema de información o al servicio, según la autorización del
usuario. Otras tecnologías para la identificación de usuario y la autenticación, como
biométricos, por ejemplo la verificación de huella digital, la verificación de firma y el
empleo de señales de hardware, tarjetas por ejemplo tarjetas inteligentes, están
disponibles y deben ser considerados.

11.2.4 Revisión de derechos de accesos a usuarios

Control
La administración debe revisar los derechos de acceso de los usuarios a intervalos
regulares usando un proceso formal.

Guía de implementación
La revisión de derechos de acceso debe considerar las directrices siguientes:

a) los derechos de acceso de los usuarios deben ser revisados a intervalos

regulares, por ejemplo un período de 6 meses y después de cualquier cambio,
como la promoción, o la terminación de contrato (ver11.2.1);

74
 b) los derechos de acceso de usuario deben ser revisados y reasignados cuando
existe un cambio o promoción de un cargo a otro dentro de la misma organización;
c) las autorizaciones para derechos de acceso privilegiados y especiales (ver 11.2.2)
debe ser revisado en intervalos más frecuentes, por ejemplo en un período de 3
meses
d) las asignaciones de privilegio deben ser comprobadas a intervalos regulares para
asegurar que los privilegios no autorizados no han sido obtenidos;
e) Cuando se cambian cuentas privilegiadas debe ser registrado para la revisión
periódica.

Información adicional
Es necesario con regularidad revisar los derechos de acceso de los usuarios para
mantener el control eficaz del acceso a datos y servicios de la información.

11.3 Responsabilidades de los usuarios

Objetivo: Prevenir acceso de usuarios no autorizados que puedan comprometer el robo

de instalaciones de informática e información.

La cooperación de usuarios autorizados es esencial para la seguridad eficaz.

Los usuarios deben ser conscientes de su responsabilidad de mantener controles de

acceso eficaces, en cuanto al empleo de contraseñas y la seguridad de equipo de
usuario. Un escritorio limpio y la política de pantalla limpia deben ser puestos en práctica
para reducir el riesgo de acceso no autorizado o daño a papeles, medios de
comunicación, e instalaciones de informática.

11.3.1 Uso de contraseñas

Control
Se debe requerir que los usuarios sigan buenas prácticas de seguridad en la selección y
el empleo de contraseñas.

Guía de implementación
Se debe aconsejar a todos los usuarios:
a) mantener las contraseñas confidenciales;
b) evitar guardar un registro (por ejemplo papel, el archivo de software o un aparato
portátil) de contraseñas, a no ser que esto pueda ser bien almacenado y el método
de almacenaje haya sido aprobado;
c) cambiar contraseñas siempre que haya cualquier indicación de acceso al sistema
posible o contraseña comprometida;
d) seleccionar contraseñas de calidad con la longitud mínima suficiente que sean:
1) fáciles de recordar
2) no basado en alguien o algo que fácilmente podría adivinar u obtener de la
persona la información relacionada, por ejemplo nombres, números
telefónicos, y fechas de nacimiento etc.;
3) no vulnerable a ataques de diccionario (p. ej. no consisten en palabras
incluidas en diccionarios);
4) sin caracteres consecutivos idénticos, todo numéricos o todo alfabéticos;

75
 e) los cambios de contraseñas a intervalos regulares o basado en el número de
accesos (contraseñas para cuentas privilegiadas deben ser cambiadas con más
frecuencia que lo normal) y evitar reutilizar contraseñas pasadas;
f) cambiar contraseñas temporales en la primera conexión;
g) no incluir contraseñas en cualquier proceso de conexión automatizado, por
ejemplo almacenado en un macro o llave de función;
h) no compartir contraseñas individuales de usuario;
i) no usar la misma contraseña para objetivos de negocio y no negocio.

Si los usuarios tienen acceso a múltiples servicios, sistemas o plataformas, y requieren

mantener múltiples contraseñas separadas, deben informarles que ellos pueden tener una
sola, la contraseña de calidad (ver inciso d) para todos los servicios donde el usuario está
asegurado en un nivel razonable de protección y se ha establecido para el almacenaje de
la contraseña dentro de cada servicio, sistema o plataforma.

Información Adicional
La administración del sistema de mesa de ayuda cuando trata con contraseñas perdidas u
olvidadas necesita un cuidado especial como también puede ser el objetivo de ataque al
sistema de contraseñas.

11.3.2. Equipo de usuario desatendido

Control
Los usuarios deben asegurar que el equipamiento desatendido tiene la protección
apropiada.

Guía de implementación
Todos los usuarios deben estar conscientes de las exigencias de seguridad y
procedimientos para proteger el equipo desatendido, así como sus responsabilidades de
poner en práctica tal protección.

Deben aconsejar a los usuarios que:

a) cuando termine sesiones activas, a no ser que ellos puedan asegurar por un
mecanismo de cierre apropiado, por ejemplo una contraseña para proteger el
salva pantallas ;
b) la desconexión de la unidad central, servidores y ordenadores personales de
oficina cuando la sesión está terminada (p. ej. no solamente) apagar la pantalla del
ordenador personal o la terminal);
c) ordenadores personales seguros o terminales no autorizado por una llave o un
control equivalente, por ejemplo el acceso de contraseña, cuando no esta en uso
(ver también 11.3.3).

Información adicional
El equipo instalado en áreas de usuario, por ejemplo terminales de trabajo o servidores de
ficheros, puede requerir la protección específica del acceso no autorizado cuando esté
desatendido en un periodo largo de tiempo

11.3.3 Politica de escritorio y pantalla limpio

Control

76
Una política de escritorio limpio para papeles y dispositivos removibles y una política de
pantalla limpia para instalaciones de informática deben ser adoptadas.

Guía de implementación
El escritorio limpio y la política de pantalla limpia deben tener en cuenta las clasificaciones
de la información (ver 7.2), exigencias legales y contractuales (ver 15.1), los riesgos
correspondientes y los aspectos culturales de la organización. Las directrices siguientes
deben ser consideradas:

a) la información sensible o crítica de negocio, por ejemplo papel o medios de

almacenamiento electrónicos, deben estar encerrados (mejor en una caja fuerte o
el armario u otras formas de muebles de seguridad) cuando no es requerida,
especialmente cuando la oficina esta desocupada;

b) los ordenadores y terminales deben ser apagados o protegidos mediante

mecanismos de cierre de pantallas y teclado controlados por una contraseña, el
mecanismo de autenticación de usuario simbólico o similar cuando este inactivo y
debe ser protegido por claves de acceso, contraseñas u otros controles cuando no
están en uso;
c) los puntos de correo entrante y saliente, facsímiles desatendidos deben ser
protegidos;
d) el uso no autorizado de fotocopiadoras y otra tecnología de reproducción (por
ejemplo, exploradores, cámaras digitales) debe ser prevenido;
e) los documentos que contienen información sensible o secreta deben ser quitados
de impresoras inmediatamente.

Información Adicional
Una política de escritorio limpio reduce los riesgos de accesos no autorizados, pérdida, y
daño a la información durante y fuera de horas de trabajo normales. Las cajas fuertes u
otras formas de instalaciones de almacenaje seguras también podrían proteger la
información almacenada contra desastres como un fuego, terremoto, inundación o
explosión.

Considerar el empleo de impresoras con la función de código de PIN, entonces los

autores son los únicos que pueden sacar su impresión, y sólo estando al lado de la
impresora.

11.4 Control de acceso a la red

Objetivo: Prevenir el acceso no autorizado a servicios conectados a una red.

El acceso tanto a servicios internos como a externos conectados a una red debe ser
controlado

El acceso de usuarios a redes y servicios de red no debe comprometer la seguridad de

los servicios de red:

a) interfaces apropiadas entre la red de la organización y redes externas, y redes

públicas;
b) mecanismos Apropiados de autenticación son aplicados para usuarios y equipos;

77
 c) deben ser implantados los controles de acceso a usuarios para servicios de
información

11.4.1 Políticas en el uso de servicio de redes

Control
Los usuarios sólo deben tener acceso a los servicios que expresamente le han sido
autorizados a usar.

Guía de implementación
Una política se debe formular con respecto al uso redes y servicios de red. Esta política
debe cubrir:

a) las redes y los servicios de red a los cuales se permiten tener acceso;
b) procedimientos de autorización para determinar a quién permiten conectarse una
red y a los servicios de red;
c) administración de controles y procedimientos para proteger el acceso a
conexiones de red y a los servicios de red;
d) los medios utilizados para conseguir acceso redes y a los servicios de red (por
ejemplo. las condiciones que permiten el acceso de marcado a un proveedor de
servicios Internet o el sistema remoto).

La política en el uso de servicios de red debe ser consecuente con la política del control
del acceso del negocio (ver 11,1).

Información adicional
Conexiones no autorizadas e inseguras para conectarse a un servicio de red pueden
afectar la organización entera. Este control es en particular importante para conexiones de
red a aplicaciones de gestión sensible o crítica o para usuarios en posiciones de riesgo
elevado por ejemplo áreas públicas o externas que están fuera de la administración y
control de seguridad de la organización

11.4.2 Autenticación de usuario para conexiones externas

Control
Se deben utilizar métodos apropiados de autenticación para controlar el acceso de
usuarios remotos.

Guía de implementación
La autenticación de usuarios remotos puede ser lograda usando, por ejemplo, una técnica
basada en criptografía, tokens hardware, o un protocolo de desafío/respuesta. Las
posibles implementaciones de tales técnicas se pueden encontrar en varias redes
privadas virtuales (VPN) soluciones. Las líneas dedicadas privadas también pueden ser
usadas proporcionando el aseguramiento de la fuente de conexiones.

Los procedimientos Dial-back y controles, por ejemplo utilizando los módems Dial-back,
pueden proporcionar protección contra conexiones no autorizadas y no deseadas a las
instalaciones de informática de una organización. Este tipo de control autentica a usuarios
que tratan de establecer una conexión a una red de la organización de ubicaciones

78
remotas. Cuando se usa este control, una organización no debe utilizar los servicios de
red, que incluyen llamadas enviadas, o si ellos la realizan, deben inutilizar el empleo de
tales rasgos para evitar debilidades asociadas con la expedición de llamada. El proceso
call back debe asegurar una desconexión real en el lado de la organización. De otro
modo, el usuario remoto podría tener la línea abierta y fingir que la comprobación de call
back ha ocurrido. Los procedimientos de call back y controles se deben probar
completamente para esta posibilidad.

El nodo de autenticación puede servir como un medio alternativo de autenticar los grupos
de usuarios remotos, donde ellos son conectados a una instalación informática
compartida segura. Las técnicas criptográficas, por ejemplo basado en certificados de
máquina, puede ser utilizado para la autenticación de nodo. Esto forma parte de varias
soluciones basadas en VPN.

Los controles adicionales de la autenticación se deben aplicar para controlar el acceso a

redes inalámbricas. En particular, se necesita cuidado especial en la selección de
controles para redes inalámbricas debido a la mayor oportunidad para la intercepción y la
introducción sin ser vistos del tráfico de la red.

Información Adicional
Las conexiones externas proporcionan un potencial para el acceso no autorizado a la
información del negocio, por ejemplo acceso por métodos de marcado (dial-up). Hay
diferentes tipos de métodos de autenticación, algunos de éstos proporcionan un nivel más
grande de protección que otros, por ejemplo métodos basados en el uso de técnicas
criptográficas pueden proporcionar la autenticación fuerte. Es importante determinar de
una evaluación del riesgo el nivel de protección requerida. Esto es necesario para la
selección apropiada de un método de autenticación.

Una conexión automática a una computadora remota podría proporcionar una manera de
ganar el acceso no autorizado a una aplicación del negocio. Esto es especialmente
importante si la conexión utiliza una red que está fuera del control de la administración de
la seguridad de la organización.

11.4.3 Identificación de equipo en redes

Control
La identificación automática del equipo se debe considerar como un medio para autenticar
las conexiones de ubicaciones y equipos específicos.

Guía de implementación
La identificación de equipos puede ser usada si es importante que la comunicación sólo
pueda ser iniciada desde una posición específica o equipo. Un identificador adjunto,
puede ser usado para indicar si permiten a este equipo unirse a la red. Estos
identificadores claramente deben indicar a cual red permiten unirse al equipo, y en
particular si estas redes son de diferente sensibilidad. Puede ser necesario considerar la
protección física del equipo para mantener la seguridad del identificador de equipo.

Información Adicional

79
Este control se puede complementar con otras técnicas para autenticar al usuario del
equipo (ver 11.4.2). La identificación del equipo puede ser aplicada adicionalmente a la
autenticación del usuario

11.4.4 Diagnóstico remoto y la protección del puerto de configuración

Control

El acceso físico y lógico a diagnósticos y puertos de configuración deben ser controlados.

Guía de implementación
Controles potenciales para el acceso a diagnósticos y puertos de configuración incluyen el
empleo de un candado lógico (key lock) y procedimientos secundarios para controlar el
acceso físico al puerto. Un ejemplo para un procedimiento secundario deberá asegurar el
diagnóstico y que los puertos de configuración son sólo accesibles por el arreglo entre el
administrador del servicio de la computadora y el personal de apoyo de hardware/software
que requieren el acceso.

Los puertos, servicios, e instalaciones similares instalados sobre un ordenador o las

instalaciones de red, que expresamente no requieren la funcionalidad de negocio, deben
ser deshabilitados o quitados.

Información Adicional
Muchos sistemas de ordenador, sistemas de red, y sistemas de comunicación son
instalados con un diagnóstico remoto o la configuración de instalaciones para el uso por
ingenieros de mantenimiento. De estar sin protección, estos puertos proporcionan el
medio de acceso no autorizado.

11.4.5 La segregación en redes

Control
Los grupos de servicios de información, los usuarios, y sistemas de información se deben
segregar en redes.

Guía de implementación
Un método del control de la seguridad de redes grandes es dividirlos en dominios lógicos
separados de red, por ejemplo un dominio interno de red de la organización y dominios
externos de red, deben estar protegidos por un perímetro definido de seguridad. Un
conjunto graduado de controles puede ser aplicado en dominios lógicos diferentes de red
para segregar aún más los ambientes de seguridad de la red, por ejemplo sistemas de
acceso público, las redes internas, y los activos críticos. Los dominios se deben definir
basados en una evaluación del riesgo y los requisitos diferentes de la seguridad dentro de
cada uno de los dominios.

Tal perímetro de la red puede ser aplicado instalando un gateway seguro entre las dos
redes para ser interconectada para controlar el flujo del acceso y la información entre los
dos dominios.

80
Esta entrada debe ser configurada para filtrar el tráfico entre estos dominios (ver 11.4.6 y
11.4.7) y bloquear el acceso no autorizado de acuerdo a las políticas de la organización
(ver 11.1). Un ejemplo de este tipo de gateway es lo que es referido comúnmente a como
un firewall. Otro método de segregar dominios separados lógicos es de restringir el
acceso de red, usando redes virtuales privadas (VPN) para grupos de usuario dentro de la
organización.

Las redes se pueden segregar también utilizando la funcionalidad de dispositivo de red,

por ejemplo conmutación de IP. Los dominios separados entonces pueden ser aplicados
controlando los flujos de datos de red que utilizan las capacidades de dirigir/conmutar, tal
como las listas del control del acceso.

Los criterios para la segregación de redes en dominios se deben basar en la política del
control de acceso y requisitos de acceso (ver 10,1), y también tomar en cuenta el impacto
relativo al costo y el desempeño de incorporar el enrutamiento de red o tecnología
gateway (ver 11.4.6 y 11.4.7).

Además, la segregación de redes se debe basar en el valor y la clasificación de la

información almacenada o procesada en la red, los niveles de confianza, o de las líneas
del negocio, para reducir el impacto total de una interrupción del servicio.

Las consideraciones deben darse a la segregación de redes inalámbricas, internas y

privadas. Como quiera que los perímetros de redes inalámbricas no están bien definidos,
una valoración de riesgos debe llevarse a cabo en tales casos para identificar controles
(por ejemplo firme autenticación, métodos criptográficos, y frecuencia de selección) para
mantener segregación de redes.

Información Adicional
Las redes cada vez están siendo ampliadas más allá de las fronteras tradicionales de la
organización, como sociedades de negocio son formadas para requerir la interconexión o
compartiendo procesamiento de la información e instalaciones conectadas a una red.
Tales extensiones podrían aumentar el riesgo de acceso no autorizado a sistemas de
información existentes que utilizan la red, algunos de los cuales pueden requerir la
protección de otros usuarios de la red a causa de su sensibilidad o criticidad.

11.4.6 Control de conexión de red

Control
Para redes compartidas, especialmente extendiéndose a través de los límites de la
organización, la capacidad de usuarios para conectarse a la red debe ser restringida, en
concordancia con la política del control del acceso y requisitos de las aplicaciones del
negocio (ve 11,1).

Guía de implementación
Los derechos de acceso de usuarios a la red se deben mantener y deben ser
actualizados por la política del control del acceso (ver 11.1.1).

La capacidad de la conexión de usuarios puede ser restringida por gateways que filtran el
tráfico por medio de tablas predefinidas o reglas. Los ejemplos de aplicaciones a qué
restricciones se deben aplicar son:

81
 a) mensajes, por ejemplo correo electrónico
b) transferencia de archivos
c) acceso interactivo
d) acceso de aplicación.

Se deben considerar los derechos de acceso a la red que se conectan cierto día o
fechas.

Información Adicional
La incorporación de controles para restringir la capacidad de la conexión de los usuarios
puede ser requerida por la política del control de acceso para redes compartidas,
especialmente extendiéndose a través de los límites de la organización.

11.4.7. Control de enrutamiento de red

Control
El control de enrutamiento se debe aplicar a las redes para asegurar que esos flujos de
conexiones para computadora e información no violen la política del control del acceso de
las aplicaciones del negocio.

Guía de Implementación
Controles de enrutamiento se deben basar en la dirección positiva de la fuente y el
destino que verifica mecanismos.

Los gateways de seguridad se pueden utilizar para validar las direcciones internas y
externas en puntos de control de la red. Se debe estar enterado de la fuerza y defectos de
cualquier mecanismo desplegado. Los requisitos para la red que dirige el control se deben
basar en la política del control del acceso (ver 11,1).

Información Adicional
Las redes compartidas, especialmente extendiéndose a través de los limites de la
organización, puede requerir adicionalmente control de enrutamiento. Esto se aplica
especialmente donde las redes se comparten con usuarios terceros (no - organización).

11.5 Control de acceso a sistema operativo

Objetivo: prevenir el acceso no autorizado a sistemas operativos.

Las instalaciones de seguridad se deben utilizar para restringir el acceso a sistemas

operativos a usuarios autorizados. Las instalaciones deben ser capaces de lo siguiente:

a) autenticación de usuarios autorizados, de acuerdo con una política definida de

control de acceso;
b) registro de tentativas exitosas y fallas de autenticación de sistema;
c) registro del uso de privilegios especiales de sistema;
d) emitir las alarmas cuándo políticas de seguridad de sistema se violan;
e) proporcionar medios apropiados para la autenticación;
f) restringiendo el tiempo de la conexión de usuarios.

82
11.5.1 Asegurar procedimientos de entrada a sistemas

Control
El acceso a sistemas operativos debe ser controlado por un procedimiento seguro de
ingreso al sistema.

Guía de implementación
Se debe diseñar un procedimiento para el ingreso a un sistema operativo para aminorar
la oportunidad para el acceso no autorizado. El procedimiento de ingreso a un sistema
debe por lo tanto revelar el mínimo de información acerca del sistema, para evitar el
ingreso a un usuario no autorizado con ayuda innecesaria. Un buen procedimiento de
ingreso al sistema debe:

a) no desplegar identificaciones de sistema o de aplicación hasta que el proceso de

entrada al sistema se haya completado exitosamente;
b) desplegar una advertencia general que la computadora sólo puede ser accesada
por usuarios autorizados;
c) no proporcionar ayuda de mensajes durante el procedimiento de entrada al
sistema que ayudaría a un usuario no autorizado;
d) validar la información de entrada al sistema sólo si se completa todos los datos de
entrada. Si una condición de error surge, el sistema no debe indicar cuál parte de
los datos es correcta o inexacta;
e) limitar el número de tentativas erróneas de entrada al sistema, por ejemplo a tres
tentativas, y considerar:
1) registrar las tentativas erróneas y exitosas;
2) forzar un tiempo de espera antes de que nuevas tentativas de ingreso se
permitan o rechazar más tentativas sin la autorización específica;
3) desconectando los datos que ligan las conexiones
4) enviar un mensaje de alarma a la consola del sistema si el número máximo
de tentativas de entrada al sistema se alcanza;
5) fijar el número de intentos de contraseña en conjunción con la longitud
mínima de la contraseña y el valor del sistema que es protegido;

f) limitar el tiempo máximo y mínimo permitido para el procedimiento de ingreso al

sistema. Si este se excede, el sistema debe terminar la entrada a sistema;
g) desplegar la información siguiente al completar un ingreso exitoso al sistema:
1) fecha y tiempo del último ingreso exitoso al sistema;
2) detalle de tentativas erróneas de ingreso al sistema desde el último ingreso
exitoso al sistema;
h) no desplegar la contraseña que está siendo ingresada o considerar ocultar los
caracteres de la contraseña por símbolos;
i) no transmitir las contraseñas en texto claro en una red.

Información Adicional

Si las contraseñas se transmiten en texto claro durante la sesión de entrada a sistema

sobre una red, ellos pueden ser capturados por un programa ‘sniffer’ en la red.

83
11.5.2 Identificación y autenticación de usuarios

Control
Todos usuarios deben tener una identificación única (ID de usuario) solo para su uso
personal exclusivo y se debe escoger una técnica conveniente de autenticación del
usuario.

Guía de implementación
Este control se debe solicitar para toda clase de usuarios (inclusive el personal técnico de
apoyo, los operarios, administradores de red, programadores de sistema, y los
administradores de bases de datos).

Los IDs del usuario se debe utilizar para rastrear las actividades del responsable. Las
actividades regulares del usuario no se deben realizar con cuentas de privilegió.
En circunstancias excepcionales, cuando existe un claro beneficio del negocio, puede
utilizarse un ID compartido para un grupo de usuarios o una tarea especifica. Para casos
de esta índole, se debe documentar la aprobación de la gerencia. Podrían requerirse
controles adicionales para mantener la responsabilidad.

IDs genéricos para el uso individual solo deben ser permitidos cuando las funciones son
accesibles o las acciones se llevaron a cabo por la identificación que no necesita un
rastreo (por ejemplo. Acceso de solo lectura), o donde hay otros controles en el lugar (por
ejemplo. la contraseña para una identificación genérica sólo emitida a un grupo de
personal a la vez y apuntando tal caso)

Cuando se requiere la autenticación y la verificación de identidad, métodos alternativos

de autenticación a contraseñas, medios tales como la criptografía, las tarjetas
inteligentes, tokens o medios biométricos, se pueden utilizar.

Información Adicional
Las contraseñas (ver también 11.3.1 y 11.5.3) son una manera muy común de
proporcionar identificación y la autenticación basada en un secreto que sólo el usuario
sabe. El mismo también pude ser alcanzado por medio de criptografía y protocolos de
autenticación. La fuerza de identificación de usuario y autenticación debe ser apropiada a
la sensibilidad de la información para conseguir el acceso.

Los objetos tales como memoria tokens o tarjetas inteligentes que los usuarios poseen se
pueden utilizar también para la identificación y la autenticación. Las tecnologías
biométricas de la autenticación que utilizan las características o los atributos
extraordinarios de un individuo se pueden utilizar también para autenticar la identidad de
una persona. Una combinación de tecnologías y mecanismos enlazados en forma segura
tendrá como resultado una autenticación más fuerte.

11.5.3 Sistema de administración de contraseñas

Control
Los sistemas para manejar las contraseñas deben ser interactivos y deben asegurar
contraseñas de calidad.

84
Guía de Implementación
Un sistema de administración de contraseña debe:

a) poner en vigencia el uso individual del ID de usuario y contraseñas para mantener

la responsabilidad;
b) permitir a los usuarios escoger y cambiar sus propias contraseñas e incluir un
procedimiento de confirmación para tener en cuenta los errores de entrada;
c) imponer una selección de contraseñas de calidad (ver 11.3.1);
d) imponer los cambios de las contraseñas (ver 11.3.1);
e) obligar a los usuarios a cambiar las contraseñas temporales en la primera entrada
a sistema (ver 11.2.3);
f) mantener un registro de contraseñas de usuario y prevenir que se vuelvan a
utilizar;
g) no desplegar las contraseñas en la pantalla cuando se ingresa al sistema;
h) el archivo de contraseñas debe ir separado de los sistemas de aplicación de datos;
i) almacenar y transmitir contraseñas de forma protegida (por ejemplo. Encriptado o
hashed).

Información Adicional

Las contraseñas son uno de los medios principales para validar un usuario y conseguir el
acceso a un servicio de computadora.

Algunas aplicaciones requieren las contraseñas de usuario a ser asignadas por una
autoridad independiente; en tales casos, señala b), d) y e) la guía no se aplica. En la
mayoría de los casos las contraseñas son seleccionadas y son mantenidas por los
usuarios. Ver sección 11.3.1 para la guía en el uso de contraseñas.

11.5.4 Uso de utilitarios de sistema

Control
Debe ser limitado y minuciosamente controlado el uso de programas utilitarios que
podrían tener la capacidad de pasar por alto los controles de sistemas y aplicaciones

Guía de implementación
Se deben considerar las siguientes directrices para el empleo de utilitarios de sistema:

a) uso de procedimientos de autenticación para utilitarios del sistema;

b) separación entre utilitarios del sistema y software de aplicaciones;
c) limitación de uso de utilitarios del sistema a la cantidad mínima viable de usuarios
fiables y autorizados;
d) autorización para uso ad hoc de utilitarios de sistema;
e) limitación de la disponibilidad de utilitarios de sistema, por ejemplo, a la duración
de un cambio autorizado;
f) registro de todo uso de utilitarios del sistema;
g) defining and documenting of authorization levels for system utilities;
g) definición y documentación de los niveles de autorización para utilitarios del
sistema;
h) removal or disabling of all unnecessary software based utilities and system
software;

85
 h) remoción de todo el software basado en utilitarios y software de sistema
innecesarios.
i) no hacer disponibles los utilitarios de sistema a los usuarios que tienen el acceso
a sistemas donde requieren la segregación de funciones.

Información Adicional
La mayoría de las instalaciones de la computadora tienen uno o más programas utilitarios
de sistema que quizás sean capaces de hacer caso omiso al sistema y controles de
aplicación.

11.5.5 Tiempo muerto de sesión

Control
Sesiones inactivas deben cerrarse después de un período definido de inactividad.

Guía de Implementación

Una medida de tiempo muerto debe limpiar la pantalla de la sesión y posiblemente más
tarde cerrarla, tanto la aplicación como la red después de un período definido de
inactividad. La demora de tiempo muerto debe reflejar los riesgos para la seguridad del
área, la clasificación de la información manejada y las aplicaciones a utilizar, y los riesgos
relacionados a los usuarios del equipo.

Una forma limitada de la medida de tiempo muerto se puede proporcionar para algunos
sistemas, que vacía la pantalla y previene el acceso no autorizado pero no clausura las
sesiones de la aplicación ni la red.

Información Adicional
Este control es especialmente importante en ubicaciones alto de riesgo, que incluye el
público o áreas externas fuera de la administración de la seguridad de la organización.
Las sesiones deben ser cerradas para prevenir el acceso por personas no autorizadas y
ataques de negación de servicio.

11.5.6 Limitación del horario de conexión

Control
Las restricciones del horario de conexión se deben utilizar para proporcionar seguridad
adicional para aplicaciones de alto riesgo.

Guía de Implementación
Se debe considerar un control de esta índole para aplicaciones informáticas sensibles,
especialmente aquellas terminales instaladas en ubicaciones de alto riesgo, por ejemplo,
áreas públicas o externas que estén fuera del alcance de la gestión de seguridad de la
organización. Entre los ejemplos de dichas restricciones se incluyen:

a) utilización de lapsos predeterminados, por ejemplo, para transmisiones de

archivos por lotes, o sesiones interactivas periódicas de corta duración;

86
 b) limitación de los tiempos de conexión al horario normal de oficina, de no existir un
requerimiento operativo de horas extras o extensión horaria.
c) considerar la re-autenticación en intervalos de tiempo

Información Adicional

Limitar el período durante el cual las conexiones a servicios de computadora reducen la

oportunidad para el acceso no autorizado. Limitar la duración de sesiones activas,
previene a usuarios el tener las sesiones abiertas para prevenir el re-autenticando.

11.6 Uso y control de acceso a la información

Objetivo: prevenir el acceso no autorizado a la información en la aplicación sistemas.

Los medios de seguridad se deben utilizar para restringir el acceso dentro de sistemas de
aplicación.

El acceso lógico al software de aplicación y la información debe ser restringido a usuarios

autorizados. Los sistemas de aplicación deben:

a) controlar al usuario que tenga acceso a la información y funciones de sistema de

aplicación, de acuerdo con una política definida del control del acceso;
b) proporcionar la protección de acceso no autorizado a ninguna utilidad, por
software de sistema operativo, y por software malicioso que sea capaz de hacer
caso omiso o evitar el sistema o control de aplicación
c) no comprometer otros sistemas con los cuales los recursos de información son
compartidos.

11.6.1 Restricción del acceso a la información

Control
Acceso a la información y funciones de sistema de aplicación por los usuarios y personal
de apoyo debe ser restringido de acuerdo con la política definida del control del acceso.

Guía de Implementación
Las restricciones para conseguir acceso se deben basar en requisitos individuales de
aplicación del negocio. La política de control de acceso debe ser consecuente con la
política de acceso de la organización (ver sección 11,1).

La aplicación de las siguientes guías deben ser consideradas para apoyar las exigencias
de restricción de acceso:

a) provisión de menús para controlar el acceso a las funciones de los sistemas de

aplicación;
b) control de los derechos de acceso de los usuarios, por ejemplo, lectura, escritura,
supresión y ejecución
c) control de los derechos de acceso a otras aplicaciones
d) garantizar que las salidas (outputs) de los sistemas de aplicación que administran
información sensible, contengan sólo la información que resulte pertinente para el
uso de la salida, y que la misma se envíe solamente a las terminales y ubicaciones

87
 autorizadas, y revisar periódicamente dichas salidas a fin de garantizar la
remoción de la información redundante.

11.6.2 Aislamiento de sistemas sensibles

Control
Los sistemas sensibles podrían requerir de un ambiente informático aislado

Guía de Implementación
Los puntos siguientes se deben considerar para el aislamiento de sistemas sensibles:

a) La sensibilidad de un sistema de aplicación debe ser claramente identificada y

documentada por el propietario de la aplicación (ver 7.1.2)
b) Cuando una aplicación sensible es ejecutada en un ambiente compartido, los
sistemas de aplicación con los cuales esta compartirá los recursos deben ser
identificados y acordados con el propietario de la aplicación sensible

Información Adicional

Algunos sistemas de aplicación son suficientemente sensibles a pérdidas potenciales y

requieren un tratamiento especial.

La sensibilidad puede indicar que el sistema de la aplicación:

a) debe correr en una computadora dedicada; o
b) sólo debe compartir recursos con sistemas de uso confiables

El aislamiento se podría lograr utilizando los métodos físicos o lógicos (ve también
11.4.5).

11.7 Computación móvil y trabajo remoto

Objetivo: Garantizar la seguridad de la información cuando se utiliza computación móvil e

instalaciones de trabajo remoto

La protección requerida debe ser proporcional a los riesgos que originan estas formas
específicas de trabajo. Cuando se utiliza computación móvil deben tenerse en cuenta los
riesgos que implica trabajar en un ambiente sin protección y se debe implementar la
protección adecuada. En el caso del trabajo remoto la organización debe implementar la
protección en el sitio de trabajo remoto (“teleworking site”) y garantizar que se tomen las
medidas adecuadas para este tipo de trabajo

11.7.2 Computación móvil y comunicación

Control
Una política formal debe estar definida y se deben adoptar medidas de seguridad para
proteger contra los riesgos de utilizar computación móvil y las instalaciones de
comunicación.

88
Guía de Implementación
Cuando se utilizan dispositivos informáticos móviles, por ejemplo, “notebooks”, “PDAs”,
“laptops” y teléfonos móviles, se debe tener especial cuidado en garantizar que no se
comprometa la información de la empresa. Se debe adoptar una política formal que tome
en cuenta los riesgos que implica trabajar con herramientas informáticas móviles

La política de computación móvil debe incluir los requerimientos de protección física,

controles de acceso, técnicas criptográficas, resguardos y protección contra virus. Esta
política también debe incluir reglas y asesoramiento en materia de conexión de
dispositivos móviles a redes y orientación sobre uso de estos dispositivos en lugares
públicos.

Se deben tomar recaudos al utilizar dispositivos informáticos móviles en lugares públicos,

salas de reuniones y otras áreas no protegidas fuera de la sede de la organización. Se
debe implementar protección para evitar el acceso no autorizado a la información
almacenada y procesada por estas herramientas, o la divulgación de la misma, por
ejemplo, mediante técnicas criptográficas (ver 12.3)

Los usuarios al utilizar dispositivos informáticos móviles en lugares públicos, deben tener
cuidado para evitar el riesgo de ser observados por personas no autorizadas. Los
procedimientos contra software malicioso deben estar en el lugar y que sean mantenidos
actualizados (ver 10,4).

Las copias de seguridad de la información crítica de negocio se deben realizar

regularmente. El equipamiento debe estar disponible para permitir un procedimiento de
resguardo de la información rápido y fácil. Estos procedimientos deben estar
adecuadamente protegidos contra, por ejemplo, robo o pérdida de la información.

Se debe brindar protección adecuada para el uso de dispositivos móviles conectados a

redes. El acceso remoto a la información de la empresa a través de redes públicas,
utilizando herramientas informáticas móviles, sólo debe tener lugar después de una
identificación y autenticación exitosas, y con mecanismos adecuados de control de
acceso implementados (ver 11..4).

Los dispositivos informáticos móviles también deben estar físicamente protegidos contra
robo, especialmente cuando se dejan, por ejemplo, en automóviles y otros medios de
transporte, habitaciones de hotel, centros de conferencias y ámbitos de reunión. Un
procedimiento específico que toma en cuenta las exigencias de seguridad legales, de
seguros y otras de la organización debe ser establecido para los casos de robo o pérdida
de las instalaciones de computación móviles. El equipamiento que transporta información
importante de la empresa, sensible y/o crítica no debe dejarse desatendido y, cuando sea
posible, debe estar físicamente resguardado bajo llave, o deben utilizarse cerraduras
especiales para asegurar el equipamiento (ver 9.2.5)

Se debe brindar entrenamiento al personal que utiliza computación móvil para incrementar
su conocimiento de los riesgos adicionales ocasionados por esta forma de trabajo y de los
controles que se deben implementar.

Información Adicional

89
Las conexiones inalámbricas a la red móvil son semejantes a otros tipos de la conexión
de red, pero tienen diferencias importantes que se deben considerar al identificar los
controles. Las diferencias típicas son:
a) algunos protocolos de seguridad inalámbrica están inmaduros y tienen debilidades
conocidas.
b) información almacenada en computadores móviles no pueden ser respaldadas por
el límite de ancho de banda o porque el equipo móvil puede que no esté
conectado cuando los respaldos fueron programados.

11.7.2 Trabajo remoto

Control
Una política, planes y procedimientos operacionales se deben desarrollar y deben ser
aplicados para actividades de trabajo remoto..

Guía de Implementación
Las organizaciones sólo deben autorizar actividades de trabajo remoto si han comprobado
satisfactoriamente que se han implementado disposiciones y controles adecuados en
materia de seguridad y que estos cumplen con la política de seguridad de la organización.

Se debe implementar la protección adecuada del sitio de trabajo remoto contra, por
ejemplo, el robo de equipamiento e información, la divulgación no autorizada de
información, el acceso remoto no autorizado a los sistemas internos de la organización o
el uso inadecuado de los dispositivos e instalaciones. Es importante que el trabajo remoto
sea autorizado y controlado por la gerencia, y que se implementen disposiciones y
acuerdos para esta forma de trabajo.

Se deben considerar los siguientes temas:

a) la seguridad física existente en el sitio de trabajo remoto, tomando en cuenta la

seguridad física del edificio y del ambiente local;
b) el ambiente de trabajo remoto propuesto;
c) los requerimientos de seguridad de comunicaciones, tomando en cuenta la
necesidad de acceso remoto a los sistemas internos de la organización, la
sensibilidad de la información a la que se accederá y que pasará a través del
vínculo de comunicación y la sensibilidad del sistema interno;
d) la amenaza de acceso no autorizado a información o recursos por parte de otras
personas que utilizan el lugar, por ejemplo, familia y amigos
e) el empleo de redes de casa y requisitos o restricciones contra la configuración de
servicios de red inalámbricos;
f) las políticas y los procedimientos para prevenir las disputas con respecto a
derechos de propiedad intelectual desarrollados en equipos ajenos.
g) el acceso al equipo ajeno (verificar la seguridad de la máquina o durante una
investigación), que puede ser prevenido por la legislación;
h) software con acuerdos de licencia de que tanto las organizaciones puedan llegar a
ser responsable de licenciar el software de cliente en estaciones de trabajo
privadas por empleados, usuarios de contratistas o terceros;
i) protección antivirus y requerimiento de firewall.

Las guías y los arreglos para ser considerados deben incluir:

90
 a) la provisión de mobiliario para almacenamiento y equipamiento, adecuado para las
actividades de trabajo remoto, dónde no se permite el uso del equipo privado que
no está bajo el control de la organización no se permite;
b) una definición del trabajo permitido, el horario de trabajo, la clasificación de la
información que se puede almacenar y los sistemas internos y servicio a los cuales
el trabajador remoto está autorizado a acceder;
c) la provisión de un adecuado equipamiento de comunicación, con inclusión de
métodos para asegurar el acceso remoto;
d) seguridad física;
e) reglas y orientación para cuando familiares y visitantes accedan al equipamiento e
información;
f) la provisión de hardware y soporte de software y mantenimiento;
g) provisión de seguro
h) los procedimientos de “back-up” y la continuidad del negocio;
i) auditoria y monitoreo de la seguridad;
j) anulación de la autoridad, derechos de acceso y devolución del equipo cuando
finalicen las actividades remotas.

Información Adicional

El Trabajo remoto utiliza la tecnología de comunicaciones para permitir al personal

trabajar remotamente desde una ubicación fija fuera de su organización.

91
12 Adquisición de sistemas de información, desarrollo y mantenimiento

12.1 Requerimientos de seguridad de los sistemas de información

Objetivo: Garantizar que la seguridad es una parte integral de los sistemas de

información.

Los sistemas de información incluyen sistemas operativos, infraestructura, aplicaciones de

negocio, productos de paquete, servicios y aplicaciones desarrolladas por el usuario. El
diseño y la implementación del sistema de información que soporta el proceso de negocio
puede ser crucial para la seguridad. Los requerimientos de seguridad deben ser
identificados y consensuados antes del desarrollo y/o implementación de sistemas de
información.

Todos los requerimientos de seguridad deben ser identificados en la fase de

requerimientos de un proyecto y ser justificados, consensuados, y documentados como
parte del caso de negocio global para un sistema de información

12.1.1. Análisis y especificación de los requerimientos de seguridad

Control
Los requerimientos para controles de seguridad deben especificar descripciones de
requerimientos de negocio para los nuevos sistemas de información, o mejoras a los
sistemas de información existentes.

Guía de Implementación
Las especificaciones para los requisitos de controles deben considerar que los controles
automáticos se incorporen en el sistema de información y la necesidad de soportar
controles manuales. Consideraciones similares deben tomarse en cuenta al evaluar
paquetes de software, desarrollados o comprados, para aplicaciones de negocio.

Los requerimientos de seguridad y los controles deben reflejar el valor del negocio para
los activos de información involucrados (ver también 7.2) y el daño potencial al negocio,
que podría resultar de una falla o ausencia de seguridad.

Los requerimientos de la seguridad de información y los procesos para implementar

seguridad deben integrarse en las etapas iniciales de los proyectos de sistemas de
información. Los controles introducidos en la etapa de diseño son significativamente más
baratos de implementar y mantener que aquellos que se incluyen durante o después de la
implementación.

Si se compran productos, debe seguirse formalmente una prueba y un proceso de

compra. Los contratos con el proveedor deben tomar en cuenta los requerimientos de
seguridad identificados. Donde la funcionalidad sobre seguridad en un producto propuesto
no satisface el requerimiento especificado entonces el riesgo introducido y los controles
asociados deben ser reconsiderados antes de comprar el producto. Donde se incluyen
funcionalidades adicionales y causan un riesgo de seguridad, éstas deben ser
deshabilitadas o la estructura de control propuesta debe revisarse para determinarse si se
pudiesen obtener ventajas de la funcionalidad mejorada disponible.

92
Información Adicional
Si se considera apropiado, por ejemplo por razones de costo, la administración puede
desear hacer uso de productos evaluados y certificados independientemente. Mayor
información sobre los criterios de evaluación para los productos de seguridad de TI
pueden encontrarse en la ISO/IEC 15408 u otros estándares de evaluación o certificación,
como sea requerido.

La ISO/IEC TR 13335-3 provee guías para el uso de los procesos de manejo de riesgo
para identificar requerimientos de controles de seguridad.

12.2 Procesamiento correcto en las aplicaciones

Objetivo: Prevenir errores, pérdidas, modificaciones no autorizadas o uso indebido de la

información en las aplicaciones.

Deben diseñarse controles apropiados en las aplicaciones, incluyendo aplicaciones

desarrolladas por el usuario para asegurar un procesamiento correcto. Estos controles
deben incluir la validación de datos de entrada, proceso interno y datos de salida.

Controles adicionales pueden ser necesarios para aquellos sistemas que procesan, o
tiene un impacto en información sensible, valiosa o crítica. Dichos controles deben
determinarse basados en requerimientos de seguridad y asesoría de riesgos.

12.2.1 Validación de datos de entrada

Control
La entrada de datos en las aplicaciones deben validarse para asegurar que estos datos
son correctos y apropiados.

Guía de implementación
Se deben aplicar controles a la entrada de transacciones de negocio, datos
referenciales,(Por ej. Nombres y direcciones, límites de crédito, números de referencia
para clientes), y tablas de parámetros (Por ej. Precios de venta, tasas de conversión de
moneda, tasas de impuestos) Deben considerarse las recomendaciones siguientes:
a) entrada doble ú otros chequeos de entrada, como chequeo de dominio o limitación
de los campos para rangos específicos de datos de entrada, para detectar los
siguientes errores:
1) Valores fuera de rango;
2) Caracteres inválidos en campos de datos;
3) Datos incompletos o faltantes;
4) Límites de datos excedidos hacia arriba o hacia abajo;
5) Datos de control no autorizados o inconsistentes
b) revisión periódica del contenido de campos clave o archivos de datos para
confirmar su validez e integridad;
c) inspección de documentos de entrada impresos para verificar que no existan
cambios no autorizados (todos los cambios a los documentos de entrada deben ser
autorizados);

d) procedimientos para tomar en cuenta los errores de validación;

e) procedimientos para probar que los datos de entrada son admisibles;

93
 f) definición de las responsabilidades de todo el personal involucrado en el proceso
de entrada de datos;
g) creación de una bitácora de las actividades incluidas en el proceso de entrada de
datos (ver 10.10.1)

Información Adicional
Se pueden considerar exámenes y validación de datos de entrada automáticos cuando
sea aplicable, para reducir el riesgo de errores y para prevenir ataques estándar que
incluyen desbordamiento de pila (buffer overflow) e inyección de código.

12.2.2 Control de procesamiento interno

Control
Deben incluirse controles de validación en las aplicaciones para detectar cualquier cambio
de la información a través de errores de proceso o actos deliberados.

a) el uso de funciones de adición, borrado y modificación para implementar cambios

en los datos;
b) los procedimientos para prevenir que los programas corran en el orden incorrecto
o que corran después de que el procesamiento previo hay generado error (ver
también 10.1.1.);
c) el uso de programas apropiados para recuperarse ante fallas y/o asegurar el
procesamiento correcto de los datos.
d) protección en contra de ataques que usan sobre escritura o desbordamiento de
pila (buffer overruns/overflows).
Debe prepararse una lista de control adecuada, documentar las actividades, y los
resultados deben mantenerse en forma segura. Ejemplos de controles que pueden
ser incorporados incluyen los siguientes:
a) controles por lote (batch) o de sesión, para conciliar balances de archivos de datos
luego de actualización de transacciones;
b) controles de balanceo, para verificar balances de apertura contra balances de
cierre previos, como ser:
1) controles corrida a corrida (carreteo);
2) totales de actualización del archivo;
3) controles de programa a programa;
c) validación de datos de entrada generados por sistema (ver 12.2.1);
d) controles de integridad, autenticidad o cualquier otra característica de seguridad
de datos o software que haya sido descargado (downloaded), o cargado
(uploadead), entre computadoras centrales y remotas;
e) totales hash de registros y archivos;
f) controles para asegurar que los programas de aplicación se ejecutan en el tiempo
correcto;
g) controles para asegurar que los programas se ejecuten en el orden correcto,
terminan (abortan) en caso de una falla y/o que el procesamiento ulterior se
suspende hasta que el problema sea resuelto;
h) bitácora de las actividades involucradas en el procesamiento (ver 10.10.1);

Información Adicional
Datos que hayan sido correctamente registrados pueden corromperse por errores de
hardware, errores de proceso o a través de actos deliberados. Los controles de validación

94
requeridos dependen de la naturaleza de la aplicación y del impacto de cualquier
corrupción de los datos.

12.2.3 Integridad de mensajes

Control
Deben identificarse los requerimientos para asegurar la autenticidad y la protección de la
integridad de los mensajes en las aplicaciones, implementar e identificar controles
apropiados.

Guía de Implementación
Debe completarse una evaluación de riesgos de seguridad para determinar si se requiere
la integridad de mensajes y para identificar el método más apropiado de implementación.
Información adicional.

Las técnicas criptográficas (ver 12.3) pueden usarse como una forma apropiada de
implementar autenticación de mensajes

12.2.4 Validación de datos de salida

Control
Los datos de salida de una aplicación deben ser validados para asegurar que el
procesamiento de información almacenada es correcto y apropiado a las circunstancias.

Guía de implementación
La validación de salida puede incluir:
a) controles de admisibilidad para verificar si los datos de salida son razonables
b) conteos de control de conciliación para asegurar el procesamiento de todos los
datos;
c) proveer información suficiente para que un lector o un sistema de procesamiento
subsiguiente determine la exactitud, completitud, precisión y clasificación de la
información;
d) procedimientos para responder a pruebas de validación de salida.
e) definir las responsabilidades de todo el personal involucrado en el proceso de los
datos de salida;
f) crear una bitácora de actividades en el proceso de validación de los datos de
salida;

Información adicional
Típicamente, las aplicaciones y los sistemas son construidos asumiendo que habiendo
tomado pasos apropiados de validación, verificación y pruebas, la salida siempre será
correcta. Sin embargo, lo asumido no siempre es válido. Ej. Los sistemas que han sido
probados pueden producir todavía salida incorrecta bajo algunas circunstancias.

12.3 Controles criptográficos

Objetivo: Proteger la confidencialidad, autenticidad o integridad de la información

mediante recursos criptográficos.

95
Debe desarrollarse una política en el uso de controles criptográficos. La administración de
claves debiera utilizarse para soportar el uso de técnicas criptográficas

12.3.1 Política para el uso de controles criptográficos

Control
Debe desarrollarse e implementarse una política para el uso de controles criptográficos
destinados a la protección de información.

Guía de implementación
Al desarrollar una política criptográfica debe considerarse lo siguiente:
a) el enfoque de gestión hacia el uso de controles criptográficos a través de la
organización, incluyendo los principios generales bajo las cuales la información del
negocio debe ser protegida (véase también 5.1.1)
b) basado en la evaluación de riesgo, debe identificarse el nivel requerido de
protección tomando en cuenta el tipo, robustez., y calidad del algoritmo de
encriptación que se requiere;
c) el uso de la encriptación para la protección de información sensible transportada
por medios removibles o móviles, dispositivos o a través de líneas de
comunicación;
d) el enfoque a la gestión de claves, incluyendo métodos que permitan trabajar con la
protección de llaves criptográficas y la recuperación de información encriptada en
caso de pérdida, compromiso o daño de las claves.
e) roles y responsabilidades, ej quién es responsable de:
1) la implementación de la política
2 el manejo de claves, incluyendo su generación (véase también 12.3.2);
f) los estándares a ser adoptados para una implementación efectiva a través de toda
la organización. (Qué solución se usa para qué procesos de negocio);
g) el impacto de usar información encriptada en los controles que se basan en la
inspección de contenidos (ej. Detección de virus)

Al implementar la política criptográfica de la organización, debe considerarse las

regulaciones y restricciones del país que pueden aplicarse al uso de técnicas
criptográficas en distintas partes del mundo y a los temas de flujo a través de las fronteras
de información encriptada (véase también 15.1.6)

Los controles criptográficos pueden usarse para lograr diferentes objetivos de seguridad,
ej:
a) confidencialidad: usar la encriptación de la información para proteger información
sensible o crítica, ya sea almacenada o transmitida:
b) integridad/autenticidad: usar las firmas digitales o códigos de autenticación de
mensajes para proteger la autenticidad e integridad de información sensible o
crítica almacenada o transmitida.
c) no repudio: uso de técnicas criptográficas para obtener la prueba de la ocurrencia
o no ocurrencia de un evento o acción.

Información adicional
Tomar la decisión de si una solución criptográfica es apropiada debe ser visto como parte
del proceso más amplio de evaluación de riesgo y selección de controles. Esta

96
evaluación puede entonces ser usada para determinar si un control criptográfico es
apropiado, qué tipo de control debe aplicarse y para qué propósito y proceso de negocio.

Una política en el uso de controles criptográficos es necesaria para maximizar los

beneficios y minimizar los riesgos de usar técnicas criptográficas y para evitar uso
incorrecto o no apropiado. Al usar firmas digitales, debe tomarse en consideración
cualquier legislación relevante, en particular, legislación que describe las condiciones en
las cuales una firma digital es legalmente vinculante. (véase 15.1)

Debe buscarse consejo profesional para identificar el nivel apropiado de protección y para
definir especificaciones posibles que proveerán la protección requerida y permitirán la
implementación de un sistema seguro de gestión de claves. (véase también 12.3.2).

ISO/IEC JTC1 SC27 ha desarrollado varios estándares relacionados a controles

criptográficos. Mayor información también puede se encontrada en IEEE P1363 y en las
guías en criptografía OECD.

12.3.2 Gestión de claves

Control
La gestión de claves debe estar implementada para permitir el uso de técnicas de
criptografía en la organización.

Guía de implementación
Todas las claves criptográficas deben protegerse contra la modificación, pérdida y
destrucción. Además, las claves secretas y privadas requieren protección contra accesos
no autorizados. El equipo usado para generar, almacenar y archivar claves debe estar
protegido físicamente.
Un sistema de gestión de claves debe estar basado en un juego de estándares,
procedimientos y métodos seguros consensuados para:
a) generar claves para sistemas criptográficos distintos y aplicaciones diferentes.
b) generar y obtener certificados de clave pública,
c) distribuir claves a usuarios destinados, incluyendo cómo debieran ser activadas las
claves al ser recibidas
d) almacenamiento de claves, incluyendo cómo los usuarios autorizados acceden a
ellas.
e) cambiar o actualizar claves incluyendo reglas sobre cuándo deben ser cambiadas
y cómo hacerlo,
f) adecuado manejo de llaves;
g) revocar claves incluyendo cómo deben ser desechadas o desactivadas, Ej.
Cuando las claves han sido comprometidas o cuando un usuario se retira de la
organización (en cuyo caso las claves también deben ser archivadas).
h) restaurando claves que son perdidas o corrompidas como parte de una gestión de
continuidad del negocio, Ej. Para la recuperación de información encriptada.
i) archivado de claves, Ej. Para información archivada o almacenada en backup
j) destrucción de claves;
k) registro y auditoria de tareas relacionadas con la gestión de claves.

Para reducir la posibilidad de compromiso, las fechas de activación y desactivación de las

claves deben ser definidas, de manera que las claves pueden ser usadas únicamente por

97
un período de tiempo limitado. Este período de tiempo debe ser dependiente de las
circunstancias en las cuales se usa el control criptográfico y el riesgo que se percibe.

Además de gestionar de manera segura las claves secretas y privadas, la autenticidad de

las claves públicas también debe ser considerada. Este proceso de autenticación puede
ser efectuad usando certificados de clave pública que normalmente son emitidos por una
autoridad de certificación, que debe ser una organización reconocida con controles
apropiados y con procedimientos establecidos para proveer el grado de confianza
necesario.

Los contenidos de los acuerdos de nivel de servicios o contratos con proveedores

externos de servicios criptográficos, Ej. Con una autoridad de certificación, deben tomar
en cuenta temas de responsabilidad, formalidad de los servicios y tiempos de respuesta
para la provisión de los servicios (véase 6.2.3).

Información adicional.
La gestión de las claves criptográficas es esencial para el uso efectivo de las técnicas
criptográficas.

La ISO/IEC 11770 provee información adicional sobre gestión de claves. Los dos tipos de
técnicas criptográficas son:

a) técnicas de clave secreta, donde dos o más instancias comparten la misma clave y
esta clave se usa tanto para encriptar como para desencriptar información: esta
clave debe ser mantenida en secreto, ya que cualquiera que tanga acceso a la
llave puede desencriptar toda la información que se encripta con esta clave, o de
introducir información no autorizada usando la clave.
b) técnicas de clave pública, donde cada usuario tiene un par de claves, una clave
pública (que puede revelarse a cualquiera) y una clave privada (que debe ser
mantenida en secreto), las técnicas de clave pública pueden ser usadas para
encriptación y para producir firmas digitales (véase también ISO/IEC 9796 y
ISO/IEC 14888)

Existe una amenaza de falsificación de una firma digital al reemplazar una clave pública
de un usuario. Este problema es manejado mediante el uso de un certificado de clave
pública.

Las técnicas criptográficas pueden ser usadas para proteger las claves criptográficas. Los
procedimientos pueden necesitar ser considerados para manejar las solicitudes legales
para el acceso a llaves criptográficas, Ej. La información encriptada puede ser necesitada
en forma desencriptada como evidencia en un caso de corte.

12.4 Seguridad de archivos de sistema

Objetivo: Garantizar la seguridad de los archivos de sistema

El acceso a los archivos de sistema y al código fuente de los programas debe ser
controlado, y los proyectos de TI y actividades de apoyo deben ser conducidas de forma
segura. Debe tenerse cuidado para evitar exponer datos sensibles en ambientes de
prueba.

98
12.4.1 Control de software de operación

Control
Deben existir procedimientos implantados para el control de la instalación de software en
sistemas en operación.

Guía de implementación
Para minimizar el riesgo de corrupción a sistemas operacionales, las siguientes guías
deben considerarse para controlar los cambios.
a) la actualización del software operacional, aplicaciones y librerías de programas
deben ser realizadas solamente por administradores entrenados luego de una
autorización de gestión apropiada. (Vea 12.4.3)
b) los sistemas operacionales solamente deben mantener código ejecutable y no
código de desarrollo o compiladores,
c) el software de aplicaciones y de sistema operativo solamente deben ser
implementados luego de pruebas exhaustivas y exitosas, las pruebas deben incluir
pruebas sobre manejo, seguridad, efectos en otros sistemas y de entorno
amigable con el usuario, debiendo ser efectuadas en sistemas separados (véase
también 10.1.4); debe asegurarse que todas las librerías de código fuente de
programa han sido actualizadas;
d) un sistema de control de configuración debe ser usado para mantener el control
sobre todo el software implementado así como la documentación del sistema;
e) una estrategia de recuperación debe existir antes de la implementación de los
cambios;
f) una bitácora de auditoria debe mantenerse de todas las actualizaciones a las
librerías de programas en operación,
g) versiones anteriores del software de aplicación deben mantenerse como medida
de contingencia;
h) las versiones anteriores del software deben ser archivadas, junto con toda la
información requerida, procedimientos, parámetros, detalles de configuración, y
software de apoyo mientras los datos sean retenidos en el archivo

El software provisto por proveedores y usado en sistemas en producción debe ser

mantenido en un nivel que sea soportado por el proveedor. Con el tiempo, los vendedores
de software dejarán de soportar versiones antiguas de software. La organización debe
considerar los riesgos de apoyarse en software no soportado.

Cualquier decisión para actualizar a nuevas versiones debe tomar en cuenta los
requerimientos del negocio para el cambio y la seguridad de la versión, esto es la
introducción de nuevas funcionalidades de seguridad o el número y severidad de
problemas de seguridad que afectan a esta versión. Los parches de software (software
patches) deben ser aplicados cuando pueden ayudar a quitar o reducir debilidades de
seguridad (vea también 12.6.1)

El acceso lógico o físico solamente debe darse a los proveedores para propósitos de
soporte cuando sea necesario, y con aprobación de la dirección. Las actividades del
proveedor deben ser monitoreadas. El software de computador puede depender de
módulos y software provisto externamente, el cual debe ser monitoreado y controlado
para evitar cambios no autorizados, que pueden incluir debilidades en la seguridad.

99
Los sistemas operativos solamente deben ser actualizados cuando existe un
requerimiento para hacerlo, por ejemplo, si la versión actual del sistema operativo ya no
soporta los requerimientos del negocio.

Las actualizaciones (upgrades) no deben darse solamente porque existe una nueva
versión del sistema operativo. Las nuevas versiones del sistema operativo pueden ser
menos seguras, menos estables y pueden ser menos entendidas que las actuales en
operación.
Control
Los datos de prueba deben ser seleccionados de forma cuidadosa, protegidos y
controlados.

Guía de implementación:
El uso de bases de datos de producción conteniendo información personal o cualquier
otra información sensible para propósitos de prueba deben ser evitadas. Si se usa
información personal o sensible para pruebas, todos los detalles sensibles y contenido
debe ser eliminado o modificado más allá del punto de reconocimiento. Las siguientes
guías deben aplicarse para proteger los datos de operación, cuando se usan en
propósitos de prueba.

a) los procedimientos de control de acceso que aplican a los sistemas de

aplicaciones en producción, deben también aplicarse a los sistemas de prueba de
aplicaciones.
b) debe haber autorizaciones separadas cada vez que información de producción se
copia a un sistema de aplicación de prueba.
c) la información operacional debe ser eliminada de un sistema de prueba de
aplicaciones inmediatamente después que la prueba esté completa
d) la copia y el uso de información de producción debe ser almacenada en un log
para proveer de una pista de auditoría.

Información adicional
Las pruebas de aceptación y de sistema normalmente requieren volúmenes substanciales
de datos de prueba que son tan cercanos como sea posible con los datos de producción.

12.4.3 Control de acceso al código fuente de los programas

Control
El acceso a código fuente de programas debe ser restringido.

Guía de implementación
El acceso a código fuente de programas y los ítems asociados (con los diseños,
especificaciones, planes de verificación y planes de validación) deben ser controlados
estrictamente, para prevenir la introducción de funcionalidad no autorizada y para evitar
cambios no intencionales. Para el código fuente del programa, esto puede lograrse
mediante un almacenamiento central y controlado de dicho código, preferiblemente en
librerías de código fuente de programas. Las siguientes normas deben ser entones
consideradas véase también 11) para controlar el acceso a dichas librerías de código
fuente de programas para reducir el potencial riesgo de corrupción de los programas de
computadora.

100
 a) de ser posible, las librerías de código fuente de los programas no deben ser
mantenidas en sistemas en producción.
b) el código fuente de programas y las librerías de código fuente deben ser
manejadas de acuerdo a procedimientos establecidos.
c) el personal de soporte no debe tener acceso irrestricto a librerías de código fuente
de programas.
d) la actualización de librerías de código fuente de programas y los ítems asociados y
la entrega de fuentes de programas a programadores solamente debe ser
efectuado luego de haber recibido autorización apropiada.
e) los listados de programas deben ser mantenidos en un ambiente seguro (véase
10.7.4),
f) debe mantenerse un registro de auditoría de todos los accesos a las librerías de
código fuente;
g) el mantenimiento y la copia de librerías de código fuente de programas debe estar
sujeto a procedimientos estrictos de control de cambios. (véase 12.5.1)

Información adicional
El código fuente de programas es código escrito por programadores, que es compilado
para crear ejecutables. Ciertos lenguajes de programación no distinguen formalmente
entre código fuente y ejecutables ya que los ejecutables con creados el momento que son
activados.

Los estándares ISO 10007 y ISO/IEC 12207 proveen información adicional sobre gestión
de configuración y el proceso de ciclo de vida del software.

12.5 Seguridad en procesos de desarrollo y soporte

Objetivo: Mantener la seguridad del software de sistemas de aplicación y de la

información. Los ambientes de soporte y de proyectos deben ser estrictamente
controlados.
Los directivos responsables de los sistemas de aplicaciones también deben ser
responsables de la seguridad del ambiente de mantenimiento o del proyecto. Deben
asegurarse que todos los cambios propuestos al sistema sean revisados para controlar
que no comprometen la seguridad del sistema o el ambiente de producción.

12.5.1 Procedimientos de control de cambios

Control
La implementación de cambios debe ser controlada usando procedimientos formales de
cambio.

Guía de Implementación
Los procedimientos formales de control de cambios deben ser documentados y deben ser
cumplidos para minimizar la corrupción de los sistemas de información. La introducción de
sistemas nuevos y cambios mayores a los sistemas existentes deben seguir un proceso
formal de documentación, especificación, pruebas, control de calidad e implementación
gestionada.

Este proceso debe incluir una evaluación de riesgo, análisis del impacto de los cambios, y
especificación de los controles de seguridad necesarios. Este proceso también debe

101
asegurar que los procedimientos de control y de seguridad existentes no se vean
comprometidos, que se dé acceso a solamente aquellas partes del sistema necesarios
para su trabajo a los programadores de apoyo, que se obtenga aprobación y acuerdo
formal para cualquier cambio.

Donde sea aplicable, se deben integrar los procedimientos de control de cambio

operacional y de la aplicación (véase también 10.1.2). Los procedimientos de cambio
deben incluir:
a) mantener un registro acordado de niveles de autorización;
b) asegurarse que los cambios sean remitidos por usuarios autorizados
c) revisar controles y procedimientos de integridad para asegurar que no serán
comprometidos por los cambios;
d) identificar todo software, información, entidades de la base de datos y hardware
que requiere modificaciones
e) obtener aprobación formal para las propuestas detalladas antes que el trabajo
empiece;
f) asegurar que los usuarios autorizados acepten los cambios antes de la
implementación;
g) asegurar que el juego de documentación del sistema se vea actualizado cuando
cada cambio se complete y que la documentación antigua se archive o sea
desechada;
h) mantener un control de versiones de todas las actualizaciones de software;
i) mantener una pista de auditoria de todas las solicitudes de cambios;
j) asegurar que la documentación de operación (véase 10.1.1) y los procedimientos
de usuario sean cambiados de acuerdo a lo necesitado para seguir siendo
apropiadas,
k) asegurar que la implementación de los cambios tenga lugar en los tiempos
correctos y no perturbe a los procesos de negocio involucrados;

Información adicional
Cambiar el software, puede impactar al ambiente de producción.

Las buenas prácticas incluyen la prueba de software nuevo en un ambiente separado

tanto de producción como de desarrollo (véase también 10.1.4). Esto provee los medios
para tener control sobre software nuevo y permite protección adicional de información de
producción que se usa para propósitos de pruebas. Esto debe incluir los parches, service
packs, y otras actualizaciones.

Las actualizaciones automáticas no deben ser usadas en sistemas críticos ya que ciertas
actualizaciones pueden causar que fallen aplicaciones críticas. (véase 12.6)

12.5.2 Revisión técnica de las aplicaciones después de cambios al sistema

operativo

Control
Cuando se cambian los sistemas operativos, se deben revisar y probar las aplicaciones
críticas para asegurar que no existen efectos adversos en las operaciones de la
organización y la seguridad.

102
Guía de Implementación
Este proceso debe cubrir:
a) la revisión de procedimientos de control e integridad para asegurar que no hayan
sido comprometidos por los cambios del sistema operativo;
b) asegurar que el plan de soporte anual y el presupuesto cubren revisiones y
pruebas del sistema que resulten de cambios en el sistema operativo.
c) asegurar que la notificación de los cambios del sistema operativo sea entregada a
tiempo para permitir que se puedan efectuar pruebas y revisiones apropiadas
antes de la implementación.
d) asegurar que se hagan los cambios apropiados a los planes de continuidad de
negocio (véase cláusula 14)

Debe darse la responsabilidad a un grupo o persona específica para monitorear las

vulnerabilidades, nuevos parches y correcciones generados por el proveedor (véase
12.6).

12.5.3 Restricciones a los cambios de paquetes de software

Control
Las modificaciones a los paquetes de software deben ser limitados a los cambios
necesarios y todos los cambios deben ser estrictamente controlados.

Guía de Implementación
Tanto como sea posible y practicable, los paquetes de software provistos por los
vendedores deben ser usados sin modificación. Cuando un paquete de software necesite
ser modificado, los siguientes puntos deben considerarse.
a) el riesgo de que se comprometan procesos de integridad y de controles ya
incluidos (built-in).
b) el consentimiento del vendedor debe ser obtenido.
c) la posibilidad de obtener del propio proveedor los cambios necesarios como
actualizaciones estándar del programa
d) el impacto si la organización se hace responsable del mantenimiento futuro del
software como resultado de los cambios

Si son necesarios los cambios, el software original debe ser retenido y los cambios deben
ser aplicados a una copia claramente identificable. Un proceso de gestión de
actualización de software debe implementarse para asegurar que los parches más
actuales y las últimas actualizaciones de la aplicación están instalados para todo el
software autorizado (véase 12.6). Todos los cambios deben ser probados y
documentados completamente, de modo que puedan ser reaplicados si es necesario a
actualizaciones futuras de software. De ser necesario, las modificaciones deben ser
probadas y validadas por una instancia de valuación independiente.

12.5.4 Fuga de información

Control
Las posibilidades de fuga de información deben ser prevenidas.

103
Guía de Implementación
Debe considerarse lo siguiente para limitar el riesgo de fuga de información, Ej. A través
del uso y explotación de canales (cover)

a) el escaneo de medios de salida y de comunicaciones por información oculta;

b) enmascarar y modular el comportamiento de los sistemas y las comunicaciones
para reducir la posibilidad de que un tercero sea capaz de deducir información de
este comportamiento,
c) hacer uso de sistemas y software que sean considerados de alta integridad, Ej.
Usar productos evaluados (véase IOS/IEC 15408),
d) monitoreo regular de actividades del sistema y del personal, cuando esté permitido
por las regulaciones o la legislación,
e) monitorear el uso de recursos en sistemas de computación.

Información adicional
Los canales ocultos son vías que no han sido pensadas para dirigir flujos de información,
pero que pueden existir de todas maneras en un sistema o una red, Por ejemplo, el
manipular bits en paquete de protocolos de comunicación puede ser usado como un
método oculto de señalización. Por su naturaleza, el prevenir la existencia de todos los
posibles canales ocultos puede ser dificultoso, si no imposible. Sin embargo, la
explotación de dichos canales es frecuentemente manejado por código Troyano (véase
también 10.4.1). Por tanto, tomar medidas para protegerse de códigos troyanos reduce el
riesgo de la explotación de canales ocultos.

La prevención de acceso no autorizado a la red (11.4), así como políticas y

procedimientos para desalentar el mal uso de servicios de información por el personal
(15.1.5), ayudará a protegerse contra los canales ocultos.

12.5.5 Desarrollo externo de software (outsourced)

Control
El desarrollo externo de software (outsourced) debe ser supervisado y monitoreado por la
organización.

Guía de Implementación
Donde el desarrollo de software sea externo, se deben considerar los siguientes puntos:
a) arreglos sobre licenciamiento, propiedad del código, y derechos de propiedad
intelectual (véase 15.1.2);
b) la certificación de la calidad y la precisión del trabajo realizado;
c) arreglos de custodia en caso de falla del tercero;
d) derechos de acceso para auditar la calidad y precisión del trabajo hecho;
e) requerimientos contractuales para calidad y funcionalidad de seguridad del código;
f) pruebas antes de la instalación para detección de códigos maliciosos y troyanos.

12.6 Gestión de vulnerabilidades técnicas

Objetivo: Reducir los riesgos que resultan de la explotación de vulnerabilidades técnicas

publicadas.

104
Debe implementarse la gestión de vulnerabilidad técnica en una forma efectiva,
sistemática y reproducible con medidas que se toman para confirmar su efectividad. Estas
consideraciones deben incluir a los sistemas operativos y cualquier otra aplicación en uso.

12.6.1 Control de vulnerabilidades técnicas

Control
Debe obtenerse a tiempo información sobre las vulnerabilidades técnicas de los sistemas
de información que están siendo usados, evaluar la exposición de la organización a estas
vulnerabilidades y se deben tomar medias apropiadas para manejar el riesgo asociado.

Guía de Implementación
Se requiere un inventario completo y actualizado de activos (véase 7.1) como
prerrequisito para la gestión efectiva de las vulnerabilidades. La información específica
que se necesita para soportar las vulnerabilidades técnicas incluye al vendedor del
software, números de versión, estado actual de instalación (deployment) (Ej. Qué software
está instalado en cuál sistema), y la(s) persona(s) responsables por el software en la
organización.

Deben tomarse acciones apropiadas y a tiempo en respuesta a la identificación de

vulnerabilidades técnicas potenciales. Las siguientes guías deben seguirse para
establecer un proceso efectivo de gestión de vulnerabilidades técnicas:

a) la organización debe definir y establecer los roles y responsabilidades asociadas

con la gestión de vulnerabilidades técnicas, incluyendo el monitoreo de
vulnerabilidades, análisis de riesgo de vulnerabilidades, patching, control de
activos, y cualquier responsabilidad de coordinación requerida;
b) deben ser definidos recursos de información que van a ser usados para identificar
vulnerabilidades técnicas relevantes y para mantenerse sobre aviso tato para el
software como para otras tecnologías (basados en la lista de inventario de activos,
véase 7.1.1); estos recursos de información deben ser actualizados de acuerdo a
cambios en el inventario o cuando se encuentren otras fuentes nuevas o útiles.
c) debe definirse un cronograma para reaccionar a notificaciones de vulnerabilidades
técnicas potencialmente relevantes;
d) una vez que una vulnerabilidad técnica relevante ha sido identificada, la
organización debe identificar los posibles riesgos y las acciones que se deben
tomar, estas acciones pueden involucrar el parchado (patching) de sistemas
vulnerables y/o la aplicación de otros controles;
e) dependiendo de cuán urgentemente debe ser atendida una vulnerabilidad técnica,
la acción a tomar debe hacerse tomando en cuenta de acuerdo a los controles
asociados al manejo de cambios (véase 12.5.1) o siguiendo procedimientos de
respuesta a incidentes de seguridad de la información (véase 13.2);
f) si un parche (patch) está disponible, deben evaluarse los riesgos de aplicarlo (los
riesgos presentes debido a la vulnerabilidad deben compararse con el riesgo de
instalación del parche);
g) los parches deben ser probados y evaluados antes de ser instalados para
asegurar que son efectivos y no generan efectos colaterales que pueden no ser
tolerados; si no está disponible un parche, deben considerarse otros controles,
como ser:

105
 1) apagar los servicios o capacidades asociadas a la vulnerabilidad;
2) adaptar o añadir controles de acceso, Ej, firewalls, en los límites de la red
(véase 11.4.5);
3) monitoreo adicional para detectar o prevenir ataques reales;
4) tomar conciencia de la vulnerabilidad;
h) debe mantenerse una bitácora de auditoría para todos los procedimientos
efectuados:
i) el proceso de gestión de vulnerabilidades técnicas debe ser monitoreado
regularmente y evaluado para asegurar su efectividad y eficiencia;
j) los sistemas con mayor riesgo deben ser atendidos primero

Información Adicional
El funcionamiento correcto del proceso de gestión de vulnerabilidades técnicas de la
organización es crítica para muchas organizaciones y por tanto debe ser monitoreada
regularmente. Es esencial mantener un inventario preciso para asegurar que las
vulnerabilidades técnicas potenciales sean identificadas.

La gestión de vulnerabilidades técnicas puede ser vista como una sub función del manejo
de cambios y como tal puede tomar ventaja de los procesos y procedimientos para el
manejo de cambio en producción (véase 10.1.2 y 12.5.1).

Los vendedores están frecuentemente bajo presión significativa para liberar parches tan
pronto como sea posible. Por tanto, un parche puede no atender el problema de una
manera adecuada y puede tener efectos colaterales negativos. También, en algunos
casos, desinstalar un parche puede no ser muy fácil una vez que el parche ha sido
aplicado.

Si no es posible una prueba adecuada de los parches, Ej, debido a los costos o falta de
recursos, se puede considerar un retraso en aplicar parches para evaluar los riesgos
asociados, basados en la experiencia reportada por otros usuarios.

13 Gestión de incidentes de seguridad de la Información

13.1 Reporte de eventos y debilidades de seguridad de la información.

Objetivo: Para asegurar que los acontecimientos y debilidades de seguridad de la

información asociadas con sistemas de información son comunicados en una manera que
permita tomar oportunamente la acción correctiva.

El reporte formal de eventos y los procedimientos de escalamiento deben estar

implementados. Todos los empleados, contratistas y usuarios de terceras partes deben
estar concientes de los procedimientos para comunicar los diferentes tipos de eventos y
debilidades que podrían tener un impacto sobre la seguridad de los activos de la
organización. Debe ser un requerimiento que ellos comuniquen al punto de contacto
designado cualquier evento o debilidad en la seguridad de la información tan pronto como
sea posible.

13.1.1 Reporte de eventos de de seguridad de la Información

106
Control
Los eventos de seguridad de la información deben ser comunicados mediante los
canales de dirección apropiados tan pronto como sea posible.

Guía de Implementación
Debe ser establecido un procedimiento formal para reportar un evento de seguridad de la
información, junto con un procedimiento de respuesta ante incidentes y escalamiento,
definiendo la acción a ser tomada ante la recepción de un reporte de evento de seguridad
de la información. Debe ser establecido un punto de contacto para comunicar los eventos
de seguridad de la información. Debe asegurarse que este punto de contacto sea
conocido por todas las partes de la organización, está siempre disponible y es capaz de
proporcionar respuestas adecuadas y oportunas.
Todos los empleados, contratistas y usuarios deben ser concientizados sobre su
responsabilidad de comunicar cualquier acontecimiento de seguridad de la información
tan pronto como sea posible. Ellos también deben estar conscientes del procedimiento
para comunicar acontecimientos de seguridad de la información al punto de contacto. Los
procedimientos de reporte deben incluir:

a) procesos de retroalimentación definidos para asegurar que aquellos que

comunicaron sobre eventos de seguridad de la información sean notificados de
los resultados después de que el acontecimiento ha sido tratado y cerrado;
b) formularios para soportar la acción de reportar eventos de seguridad de la
información y ayudar a la persona que los reporta en recordar todas las acciones
necesarias cuando ocurre un incidente de seguridad de la información
c) el comportamiento correcto a ser emprendido en caso de un acontecimiento de
seguridad de la información, p. ej.
1) anotar inmediatamente todos los detalles importantes ([Link]. tipo de
incumplimiento o violación, mal funcionamiento percibido, mensajes en la
pantalla, comportamiento extraño);
2) no realizar ninguna acción propia, pero comunicar inmediatamente al punto
de contacto;
d) referencia a un proceso disciplinario formalmente establecido para tratar con
empleados, contratistas o usuarios que cometen violaciones de seguridad.

En ambientes de alto riesgo, puede proveerse una alarma de pánico, mediante la cual
una persona bajo coacción puede alertar sobre la ocurrencia de algún problema. Los
procedimientos para responder a alarmas de pánico3 deben reflejar la alta situación de
riesgo que tales alarmas indican.

Información adicional
Ejemplos de eventos o incidentes de seguridad de la información pueden ser:

a) pérdida de servicio, equipo o instalaciones,

b) sobrecarga o mal funcionamiento del sistema,
c) errores humanos,
d) incumplimiento de políticas o directrices
e) violación de medidas de seguridad física,
f) cambios de sistema incontrolados,

3
Una alarma de pánico es un método para alertar en forma silenciosa y secreta que una acción ocurre ' bajo coacción. '

107
 g) mal funcionamiento de software o hardware,
h) violación de acceso.

Con los cuidados sobre aspectos de confidencialidad previstos, los incidentes de

seguridad de la información pueden ser usados en el entrenamiento de concientizacion de
usuarios (ver 8.2.2) como ejemplos que pueden pasar, como responder a tales incidentes,
y como evitarlos en el futuro. Para ser capaz de dirigir correctamente acontecimientos de
seguridad de la información e incidentes podría ser necesario recoger pruebas cuanto
antes después de la ocurrencia del evento (ver 13.2.3).

Errores u otros comportamientos anómalos del sistema pueden indicar sobre un ataque
de seguridad o una brecha real a la seguridad y por lo tanto siempre deben ser
comunicadas como un incidente de seguridad de la información.
Más información sobre el reporte de incidentes de seguridad de la información y gestión
de incidentes de seguridad de la información puede ser encontrada en ISO/IEC TR 18044.

13.1.2 Reporta de debilidades de seguridad

Control
Todos los empleados, contratistas y usuarios de sistemas de información deben ser
solicitados para identificar y comunicar cualquier debilidad de seguridad observada o
sospechada en sistemas o servicios.

Guía de implementación
Todos los empleados, contratistas y usuarios deben comunicar estos asuntos a su
dirección o directamente a su proveedor de servicio tan rápido como sea posible para
prevenir incidentes de seguridad de la información. El mecanismo de reporte debe estar
tan fácil, accesible, y disponible como sea posible.
Ellos deben ser informados que en ninguna circunstancia deben intentar demostrar una
debilidad sospechada.

Información adicional
Empleados, contratistas y usuarios deben ser advertidos para no intentar demostrar
debilidades de seguridad sospechadas. Las pruebas de debilidades pueden ser
interpretadas como un mal uso potencial del sistema y también pueden causar daño al
sistema de información y ocasionar la responsabilidad legal del individuo que realiza las
pruebas.

13.2 Gestión de incidentes de seguridad de la información y mejoras

Objetivo: Asegurar un acercamiento constante y eficaz es aplicado a la gestión de

incidentes de seguridad de la información.

Un proceso de mejora continua debe ser aplicado a la respuesta, la supervisión, la

evaluación, y la gestión total de incidentes de seguridad de la información.

108
Las responsabilidades y procedimientos deben estar definidos para manejar debilidades e
incidentes de seguridad de la información con eficacia una vez que éstos han sido
comunicados.

Donde se requieran pruebas, estas deben ser recogidas para asegurar el cumplimiento
con exigencias legales.

13.2.1 Responsabilidades y procedimientos

Control
Deben ser establecidas responsabilidades gerenciales y procedimientos para asegurar
una respuesta rápida, eficaz, y ordenada a incidentes de seguridad de la información.

Guía de Implementación
Además del reporte de eventos de seguridad de la información y debilidades (ver también
13.1), la supervisión de sistemas, alarmas, y vulnerabilidades (10.10.2) debe ser usado
para detectar incidentes de seguridad de la información.
Las siguientes directrices para procedimientos de gestión de incidentes de seguridad de la
información deben ser consideradas:
a) los procedimientos deben ser establecidos para manejar los tipos diferentes de
incidente de seguridad de la información, incluyendo:
1) fallas de sistema de información y pérdida de servicio;
2) código malicioso (ver 10.4.1);
3) negación de servicio;
4) errores que son resultado de datos comerciales incompletos o inexactos;
5) violaciones de confidencialidad e integridad;
6) mal uso de sistemas de información;
b) además de planes de contingencia normales (ver 14.1.3), los procedimientos
también debe cubrir (ver también 13.2.2):
1) análisis e identificación de la causa del incidente;
2) contención;
3) planificación e implementación de una acción correctiva para prevenir la
repetición, si fuera necesario;
4) comunicación con aquellos afectados o involucrados con la recuperación
del incidente;
5) reporte de la acción a la autoridad apropiada;
c) pistas de auditoria y pruebas similares y apropiadas deben ser recogidas (ver
13.2.3) y aseguradas, para:
1) análisis interno del problema;
2) usar como prueba forense en relación con un potencial incumplimiento de
contrato, exigencia regulatoria o en caso de demandas judiciales, civiles,
[Link]. bajo el mal uso del computador o la legislación de protección de
datos;
3) negociación en la compensación de software y proveedores de servicio;
d) la acción para reponerse de brechas de seguridad y fallas de sistema deben ser
controladas de manera correcta, formal y con cuidado ; los procedimientos deben
asegurar que:

109
 1) sólo personal claramente identificado y autorizado esta permitido acceder a
sistemas y datos en producción (ver también 6.2 para el acceso externo);
2) todas las acciones tomadas de emergencia son documentadas
detalladamente;
3) las acciones de emergencia son comunicadas a la dirección y revisada de
una manera ordenada;
4) la integridad de sistemas de negocio y controles son confirmadas con un
mínimo de retraso.

Los objetivos para la gestión de incidentes de seguridad de la información deben ser

acordados con la dirección, y debe asegurarse que aquellos responsables de la gestión
de incidente de seguridad de la información entienden las prioridades de la organización
para manejar incidentes de seguridad de la información.

Información adicional
Los incidentes de seguridad de la Información pueden superar las fronteras de la
organización e incluso fronteras nacionales. Para responder a tales incidentes hay una
necesidad creciente de coordinar la respuesta y compartir la información sobre estos
incidentes con organizaciones externas apropiadas.

13.2.2 Aprendiendo de los incidentes de seguridad de la información

Control
Deben existir mecanismos para identificar los tipos, volúmenes, y los gastos de
incidentes de seguridad de la información deben ser cuantificados y supervisados.

Guía de implementación
La información obtenida de la evaluación de incidentes de seguridad de la información
debe ser usada para identificar la recurrencia o incidentes de alto impacto.

Información adicional
La evaluación de incidentes de seguridad de la información puede indicar la necesidad de
controles mejorados o adicionales para limitar la frecuencia, el daño, y costo de futuros
eventos, o ser tenido en cuenta en el proceso de revisión de la política de seguridad (ver
5.1.2).

13.2.3 Recolección de pruebas

Control
Donde un seguimiento de acciones, contra una persona u organización después de un
incidente de seguridad de la información, implique un proceso (civil o criminal), las
pruebas deben ser recogidas, conservadas, y presentadas conforme a las reglas en la
jurisdicción relevante.

Guía de Implementación

110
Deben ser desarrollados procedimientos internos para la recolección y presentación de
pruebas en función de los objetivos de acción disciplinaria manejada dentro de una
organización.

En general, las reglas para cubrir pruebas son:

a) admisibilidad de pruebas: si realmente las pruebas pueden ser usadas en el
tribunal;
b) valor de las pruebas: la calidad e integridad de las pruebas.

Para alcanzar la admisibilidad de pruebas, la organización debe asegurar que sus

sistemas de información cumplen con cualquier estándar publicado o código profesional
para la producción de pruebas admisibles.
El valor de pruebas proporcionadas debe cumplir con cualquier exigencia aplicable. Para
alcanzar el valor de pruebas, la calidad y la integridad de los controles usados correcta y
coherentemente para proteger las pruebas (p. ej. pruebas de control de procedimiento) a
lo largo del período que las pruebas pueden ser recuperadas almacenadas y procesadas
debe ser demostrado por una pista de pruebas robusta. En general, una pista robusta
puede ser establecida en las siguientes condiciones:

a) para documentos de papel: el original es guardado con un registro del individuo

que encontró el documento, donde y cuando fue encontrado el documento y quien
atestiguó el descubrimiento; cualquier investigación debe asegurar que los
originales no sean manipulados;
b) para información en medios de comunicación de ordenador: imágenes espejo o
copias según las exigencias aplicables de cualquier medio de comunicación
removible, información sobre discos duros o en la memoria deben ser tomadas
para asegurar su disponibilidad; los registros de todas las acciones durante el
proceso de copiar deben ser guardadas y el proceso debe ser atestiguado; los
medios de comunicación originales y los registros(si esto no es posible, al menos
una imagen espejo o copia) deben ser mantenidos intactos.

Cualquier trabajo forense sólo debe ser realizado sobre las copias del material
recolectado. La integridad de todo el material recolectado debe ser protegido. La copia del
material recolectado debe ser supervisado por personal de confianza y la información
sobre cuando y donde el proceso de copia fue ejecutado, quien realizó estas actividades y
que instrumentos y programas han sido utilizados debe ser registrado.

Información Adicional
Cuando un evento de seguridad de la información es identificado, puede no ser obvio si
realmente causará una acción judicial. Por lo tanto, existe el peligro que las pruebas
necesarias sean destruidas intencionadamente o por casualidad antes de que la seriedad
del incidente sea comprendida. Es aconsejable implicar temprano a un abogado o la
policía en cualquier proceso contemplado y tomar el consejo sobre las pruebas
requeridas.
Las pruebas pueden superar fronteras de la organización y/o jurisdiccionales. En tales
casos, debe asegurarse que la organización es titular legalmente para recoger la
información requerida como prueba. Las exigencias de jurisdicciones también difieren, se
deben considerar, maximizar las posibilidades de admisión a través de las jurisdicciones
relevantes.

111
14 Gestión de Continuidad del Negocio.

14.1 Aspectos de Seguridad de la Información en la gestión de continuidad del

negocio.

Objetivos: Contrarrestar las interrupciones de las actividades del negocio, para proteger
los procesos críticos del negocio de los efectos de las principales fallas de sistemas de
información o desastres y para asegurar su oportuna reanudación.

Un proceso de Gestión de Continuidad del Negocio debe ser implementado para

minimizar el impacto en la organización y recuperar desde los activos de información (el
cual puede ser resultado, por ejemplo, desastres naturales, accidentes, fallas de
equipamiento, y acciones intencionadas) hasta un nivel aceptable a través de una
combinación prevención y de recuperación. Este proceso debe identificar los procesos
críticos del negocio y la administración de seguridad de la información de la continuidad
del negocio con otros requerimientos de continuidad relacionados a aspectos tales como
operaciones, materiales para el personal, transportes e infraestructura.

La consecuencia de desastres, fallas de seguridad, perdida de servicio, y disponibilidad

de servicios deben ser sujetas a un análisis de impacto del negocio. Los planes de
continuidad del negocio deben ser desarrollados e implementados para asegurar una
oportuna reanudación de operaciones esenciales. La seguridad de la información debe
ser una parte integral del conjunto de los procesos de continuidad del negocio.

La gestión de continuidad del negocio debe incluir controles para identificar y reducir
riesgos, además del proceso general de evaluación de riesgos, las consecuencias limite
de daños de incidentes, y asegurar que la información requerida para los procesos del
negocio es disponible prontamente.

14.1.1 Incluyendo seguridad de la información en los procesos de gestión de

continuidad del negocio

Control
Un proceso de administración deber ser desarrollado y mantenido para la continuidad del
negocio en toda la organización que oriente las necesidades de requerimiento de
seguridad de la información para la continuidad del negocio de la organización.

Guía de Implementación
Los procesos deben reunir los siguientes elementos claves de gestión de continuidad del
negocio:
a) comprensión de los riesgos de la organización afrontados en términos de
probabilidad e impacto, incluyendo una identificación y la ordenación de procesos
críticos del negocio (ver 14.1.2).
b) identificar todos los activos involucrados en los procesos críticos del negocio (ver
7.1.1).
c) el entendimiento del impacto que las interrupciones causadas por incidentes de
seguridad de la información tiene probablemente sobre el negocio (esto es
importante para que las soluciones sean encontradas para manejar incidentes que
causen el más pequeño impacto, así como los incidentes serios que podrían

112
 amenazar a la viabilidad de la organización), y el establecimiento de los objetivos
de negocio de instalaciones de procesamiento de información;
d) la consideración de la compra de un seguro conveniente que puede formar parte
del proceso de continuidad total del negocio, así como ser parte de la gestión de
riesgos operacionales.;
e) identificar y considerar la puesta en práctica de controles adicionales preventivos y
de mitigación;
f) identificación de recursos suficientes: financieros, organizacionales, técnicos, y
ambientales para orientar las exigencias de seguridad de la información
identificada;
g) garantizar la seguridad del personal y la protección de instalaciones de
procesamiento de información y las propiedades de la organización;
h) formulación y documentación de planes de continuidad del negocio dirigidos a
requerimientos de seguridad de la información en línea al igual que las estrategia
acordadas de continuidad del negocio (ver 14.1.3);
i) Deben tomarse en cuenta pruebas regulares y actualización de los planes y
procesos (ver 14.1.5);
j) asegurarse que la gestión de continuidad del negocio es incorporada en los
procesos de la organización y su estructura; responsabilidades para el proceso de
la gestión de continuidad del negocio deben ser asignados en un apropiado nivel
dentro de la organización (ver 6.1.1).

14.1.2 Continuidad del Negocio y evaluación de riesgo

Control
Eventos que pueden causar interrupciones para los procesos del negocio deben ser
identificados, junto con la probabilidad e impacto de tales interrupciones y sus
consecuencias para la seguridad de la información.

Guía de Implementación
Los aspectos de seguridad de la información de continuidad del negocio deben estar
basados en eventos que se identifican (o la secuencia de eventos) que pueden causar
interrupciones para los procesos de negocio de la organización, por ejemplo, fallas en el
equipamiento, errores humanos, robo, fuego, desastres naturales y actos de terrorismos.
Esto debe ser acompañado por una evaluación de riesgo para determinar la probabilidad
e impacto de tales interrupciones, en términos de tiempo, escala de daños y periodo de
recuperación.

Evaluación de riesgo de continuidad del negocio debe ser realizados con la participación
plena de los dueños del proceso y recurso. Esta evaluación debe considerar todos los
procesos del negocio y no debe estar limitada a las instalaciones de procesamiento de
información, pero debe incluir los resultados específicos para la seguridad de la
información. Es importante enlazar los diferentes aspectos de riesgo, para obtener una
completa imagen de los requerimientos de continuidad del negocio de la organización. La
evaluación debe identificar, cuantificar, y priorizar los riesgos contra criterios y objetivos
relevantes para la organización, incluyendo recursos críticos, impacto de la interrupción,
aceptable tiempo de pausa, y priorización de recuperación.

Dependiendo de los resultados de la evaluación de riesgo, una estrategia de continuidad

del negocio debe ser desarrollada para determinar la aproximación global para la

113
continuidad del negocio. Una vez que esta estrategia ha sido creada, debe proporcionarse
respaldo de la administración, y un plan creado y aprobado para implementar esta
estrategia.

14.1.3 Desarrollando e implementando planes de continuidad incluyendo seguridad

de la información

Control
Los planes deben ser desarrollados e implementados para mantener o restaurar
operaciones y asegurar la disponibilidad de la información para los niveles requeridos y en
la escala de tiempo requerido después de la interrupción o fallas de procesos críticos del
negocio.

Guía de implementación
El proceso de planificación de la continuidad del negocio debe considerar lo siguiente:
a) identificación y acuerdo de todas las responsabilidades y procedimientos de
continuidad del negocio;
b) identificación de las pérdidas aceptables de información y servicios;
c) implementación de los procedimientos para permitir recuperar, restaurar
operaciones del negocio y disponibilidad de la información en la escala de tiempos
requeridos,
Los activos de las dependencias del negocio tanto internas como externas y de los
contratistas necesitan atención particular.
d) procedimientos operativos para seguir la terminación pendiente de la recuperación
y restauración;
e) documentación de procedimientos y procesos acordados;
f) educación apropiada del personal en los procedimientos y procesos acordados,
incluyendo la administración de crisis;
g) pruebas y actualizaciones de los planes;

El proceso de planificación debe enfocarse sobre los objetivos requeridos por el negocio,
por ejemplo, restauración de servicios de comunicación especificas para clientes en un
lapso de tiempo aceptable. Los servicios y recursos que faciliten esto deben estar
identificados, incluyendo al personal, recursos que no procesan información, así como
acuerdos de caída deben incluir acuerdos con terceras artes en forma de acuerdos de
reciprocidad o suscripción de servicios comerciales.

Los planes de continuidad del negocio deben dirigirse a las vulnerabilidades de la

organización y por consiguiente puede contener información sensitiva que
necesariamente debe ser apropiadamente protegida. Copias de los planes de continuidad
del negocio deben ser almacenados en un sitio remoto, a una distancia suficiente para
escapar a cualquier daño de un desastre en el sitio principal. La administración debe
asegurar que copias de los planes de continuidad del negocio estén actualizadas y
protegidas con el mismo nivel de seguridad que el empleado en el sitio principal. Otros
materiales necesarios para ejecutar los planes de continuidad deben estar también
almacenados en sitios remotos.

Si las localizaciones temporales están usadas, el nivel de implementación de controles de

seguridad en estas ubicaciones debe estar equivalentes al sitio principal.

Información adicional

114
Debe notarse que planes de gestión de crisis y actividades (ver 14.1.3 f) puede ser
diferente de la gestión de continuidad del negocio; por ejemplo una situación de crisis
puede ser solucionada por procedimientos de gestión normales.

14.1.1 Estructura de planificación de la continuidad del negocio

Control
Se debe mantener una simple estructura de planes de continuidad del negocio para
asegurar que todos los planes son consistentes, para dirigir coherentemente
requerimientos de seguridad de la información, y para identificar prioridades para pruebas
y mantenimiento.

Guía de implementación
Cada plan de continuidad del negocio debe describir el enfoque para la continuidad, por
ejemplo el enfoque para asegurar la información o disponibilidad y seguridad de los
sistemas de información. Cada plan debe también especificar el plan de escalamiento y
las condiciones para su activación, así como las responsabilidades individuales para
ejecutar los componentes de los planes. Cuando nuevos requerimientos son identificados,
cualquier procedimiento existente de emergencia, por ejemplo, planes de evacuación o
acuerdos de recuperación, deben ser enmendados apropiadamente. Procedimientos para
programar administración de cambios deben ser incluidos dentro de las organizaciones
para asegurar que los asuntos son siempre dirigidos apropiadamente.

Cada plan debe tener un dueño específico. Procedimientos de emergencia, planes

manuales de recuperación, y planes de reanudación deben estar dentro de las
responsabilidades de los dueños de los recursos apropiados del negocio o implicados en
los procesos. Acuerdos sobre recuperación para alternativas de servicio técnico, tales
como procesamiento de la información y ambientes de comunicaciones, usualmente
deben ser la responsabilidad de los proveedores de servicio.

Una estructura de planificación de continuidad del negocio debe dirigir la identificación de

requerimientos de seguridad de la información y las siguientes consideraciones:

a) las condiciones para la activación de planes el cual describe los procesos que se
deben seguir (por ejemplo, como evaluar la situación, quien debe ser
involucrado) antes de que cada plan sea activado;
b) procedimientos de emergencia, que describen las acciones a seguir que deben ser
tomadas en un incidente, el cual hace peligrar las operaciones del negocio;
c) procedimientos de recuperación los cuales describen las acciones a ser tomadas
para mover actividades esenciales del negocio o servicios de soporte para
ubicaciones temporales alternas y para recuperar procesos del negocio dentro los
requerimientos de escala de tiempo de las operaciones;
d) procedimientos temporales de operaciones para seguir la complementación de
recuperaciones y restauraciones pendientes;
e) procedimientos de reanudación los cuales describen las acciones a ser tomadas
para regresar a las operaciones normales del negocio;
f) un cronograma de mantenimiento el cual especifique como y cuando el plan debe
ser probado, y los procesos de mantenimiento del plan;

115
 g) concientización, educación, y actividades de entrenamiento los cuales son
diseñados para crear entendimiento de los procesos de la continuidad del negocio
y asegurar que los procesos continúan siendo efectivos;
h) las responsabilidades de los individuos, describiendo quien es responsable para
ejecutar que componente del los planes. Alternativas deben ser nominadas como
requerimiento;
i) los activos críticos y recursos necesarios para desempeñar un papel en la
emergencia, caída y procedimientos de reanudación.

14.1.5 Planes de pruebas, mantenimientos y re-evaluación de continuidad del

negocio

Control
Planes de continuidad del negocio deben ser probados y actualizados regularmente para
asegurar que ellos están actualizados y son eficaces.

Guía de implementación
Las pruebas de continuidad del negocio deben asegurar que todos los miembros de los
grupos de recuperación y otro personal relevante tienen conciencia de los planes y sus
responsabilidades para la continuidad del negocio y seguridad de la información y conocer
sus roles cuando un plan es invocado.

El cronograma de pruebas para el plan de continuidad del negocio deben indicar como y
cuando cada elemento del plan debe ser probado. Cada elemento de el o los plan(es)
deben ser probados frecuentemente.

Una variedad de técnicas deben ser usadas con el objetivo de asegurar que el(los)
plan(es) funcionará en la vida real. Estos debieran incluir:

a) Pruebas de escritorio sobre diferentes escenarios (discutiendo las ubicaciones de

recuperación del negocio usando ejemplos de interrupción);

b) simulación (entrenamiento para personas en particular en sus puesto-

incidentes/crisis administración de roles);

c) probando técnicas de recuperación (la aseguración de sistemas de información

para que puedan ser restauradas eficazmente;

d) pruebas de recuperación en un sitio alterno (corriendo procesos del negocio en

paralelo con recuperación de operaciones lejos del sitio principal);

e) pruebas de proveedores de los ambientes y servicios (la aseguración suministrada

por servicios externos y productos deberá contratar los convenientes
compromisos);

f) prácticas completas (probando que la organización, personal, equipamiento,

ambientes y procesos puedan enfrentarse con interrupciones).

116
Estas técnicas pueden ser usadas por cualquier organización. Ellos deben ser aplicados
de una manera que es relevante para las especificaciones del plan de recuperación- El
resultado de las pruebas debe ser registrado y tomar acciones para mejorar los planes,
cuando sea necesario.

Responsabilidades deben ser asignadas para revisiones regulares de cada uno de los
planes de continuidad del negocio. La identificación de cambios en disposiciones del
negocio aun no reflejados en los planes de continuidad del negocio deben ser seguidos
por una apropiada actualización de los planes. Este proceso formal de control de cambios
debe asegurar que los planes de actualización son distribuidas y reforzadas por revisiones
regulares del plan completo.

Ejemplo de cambios donde actualizan los planes de continuidad del negocio deben ser
considerado las adquisiciones de nuevos equipamientos, actualización de sistemas y
cambios en:

a) personal;
b) direcciones o números de teléfonos;
c) estrategias del negocio;
d) sitios, ambientes, y recursos;
e) legislación;
f) contratos, proveedores, y clientes claves;
g) procesos, nuevos o retirados;
h) riesgo (operativo y financiero).

117
15 Cumplimiento

15.1 Cumplimiento de requisitos legales

Objetivo: Evitar la violación de cualquier ley, estatuto, obligación contractual o regulatorio

y de cualquier requerimiento de seguridad.

El diseño, operación, uso, y administración del sistema de información debe estar sujeto a
los requisitos de seguridad, establecidos estatutariamente y en el marco regulatorio y
contractual.

Asesoría en requerimientos legales específicos, deben ser considerados por el asesor

legal de la organización o por un profesional del área legal adecuadamente calificado. Los
requisitos legales varían de país a país y podrían variar por información creada en un país
y transmitida a otro (ejemplo trans-border flujo de datos).

15.1.1 Legislación aplicable identificada

Control
Todo requerimiento de orden estatutario, regulatorio o contractual que sea relevante y el
acercamiento de la organización para reunir estos requisitos deben estar explícitamente
definidos, documentados y actualizados para cada sistema de información y la
organización.

Guía de implementación
Los controles específicos y responsabilidades individuales para reunir estos
requerimientos deben definirse y documentarse de forma similar.

15.1.2 Derechos de propiedad intelectual (IPR)

Control
Deben ser implementados procedimientos apropiados que aseguren el cumplimiento del
marco legislativo, regulatorio y contractual referido al uso del material respecto al cual
existe derechos de propiedad intelectual y referidos al uso de productos de software
propietario.

Guía de implementación
Las siguientes guías deben ser consideradas para proteger cualquier material que sea
considerado de propiedad intelectual:

a) Cumplimiento de derechos de propiedad intelectual y de publicación la cual define

el uso legal del software y los productos de información.
b) Adquirir software de fuentes conocidas y de buena reputación, que aseguren la no
violación de los derechos de autor.
c) Manteniendo las políticas para proteger los derechos de propiedad intelectual, y
notificando las acciones disciplinarias contra el personal que incumplió;
d) Manteniendo adecuado registro de activos e identificando todos aquellos que
estén protegidos por derechos de propiedad intelectual;

118
 e) Manteniendo prueba y evidencia de propiedad para el uso de licencias, discos
maestros y manuales, el etc.;
f) Implementando controles para asegurar que el número máximo de usuarios
permitidos no se exceda;
g) llevando a cabo verificaciones para asegurar que solo software autorizado y que
cuenta con licencia sea instalado;
h) Definiendo políticas para mantener apropiadas condiciones de licenciamiento;
i) Definiendo políticas de disposición o transferencia de software a otros;
j) Usando las herramientas apropiadas de la auditoria;
k) Cumpliendo con términos y condiciones de uso de software e información obtenida
de redes públicas;
l) No reproduciendo, convirtiendo a otro formato o extrayendo de grabaciones
comerciales (película, audio) que no sea de aquellas permitidas por los derechos
de autor;
m) No copiando íntegra o parcialmente, libros, artículos, reportes u otros documentos,
sino aquellos permitidos con derechos reservados;

Información adicional
Los derechos de propiedad intelectual incluyen software o derechos de propiedad literaria
del documento, marca registrada, patentes, y licencias del código fuente.

Normalmente se proporcionan productos del software propietarios bajo acuerdo de

licencia que especifica los términos y condiciones de la licencia, por ejemplo, limitando el
uso de los productos en determinadas máquinas o limitando la creación de copias de
seguridad. La situación de IPR del software desarrollada por la organización exige ser
clarificada con la jefatura.

Los requisitos legales, regulatorios y contractuales pueden establecer restricciones para el

copiado de material propietario. En particular, ellos establecen que solo el material
desarrollado por la organización o licenciado o provisto por el proveedor de la
organización puede ser utilizado. El uso sin contar con los derechos de autor, puede llevar
a acciones legales que pueden desencadenar en acciones penales.

15.1.3 Protección de grabaciones organizacionales

Control
Deben protegerse los archivos importantes de la pérdida, destrucción, y falsificación, de
acuerdo con los requisitos estatutarios, reguladores, contractuales, y comerciales.

Guía de implementación
Las grabaciones deben categorizarse en diferentes tipos, por ejemplo, archivos de
contabilidad, base de datos, registro de transacción, registro de auditoria y procedimientos
operacionales cada uno con detalles del periodo y tipos de medio de almacenamiento, por
ejemplo, papel, microfichas, magnético, óptico. Cualquier criptógrafo relacionado, material
clave y programas asociados con archivos encriptados o firmas digitales (ver 12.3), deben
ser también almacenado para permitir la descripción de la grabación, tiempo de las
grabaciones retenidas.

Debe considerarse posibles deterioros de los medios utilizados para el almacenamiento

de las grabaciones. Los procedimientos de almacenamiento y manipuleo deben ser

119
implementados acordes con las recomendaciones del fabricante. Para almacenamientos
por tiempo prologando, el uso de papel y microfichas debe ser considerado.
Cuando medios de almacenamiento electrónicos fueran escogidos, deben ser incluidos
procedimientos para asegurar el acceso a los datos a través del periodo de retención
(ambos en formato de lectura y en medios), para salvaguardar contra pérdidas debido a
futuros cambios tecnológicos.
Deben escogerse sistemas de almacenamiento de datos, que permitan recuperar la
información requerida en un formato y tiempo aceptable, dependiendo de los requisitos
que deben ser cumplidos.

El sistema de almacenamiento y manipuleo debe asegurar una clara identificación de las

grabaciones y del periodo de retención como fue definido por la legislación o regulación
regional o nacional, si es aplicable. Este sistema debe permitir una apropiada destrucción
de las grabaciones después de aquel periodo si es que la organización no las necesita.

Para encontrar las grabaciones objetivamente salvaguardadas, los siguientes pasos

deben ser seguidos al interior de la organización:

a) Deben ser emitidas guías y procedimientos para el resguardo, almacenaje,

manipuleo y disposición de las grabaciones e información;
b) Deben ser establecidos cronogramas de almacenamiento y procedimientos de
identificación de las grabaciones y establecimiento del tiempo de almacenamiento.
c) debe mantenerse un inventario de las fuentes de información importante;
d) Deben implementarse apropiados controles para proteger de pérdidas, destrucción
y falsificación a las grabaciones;

Información Adicional
Algunos archivos pueden necesitar ser resguardados con todas las seguridades acorde
con los requerimientos estatutarios, regulatorios y contractuales, así como para soportar
actividades de negocios esenciales. Como ejemplo se tienen grabaciones que pueden ser
requeridas como evidencia que una organización opera dentro de las reglas estatutarias y
regulatorias, para asegurar una adecuada defensa contra potenciales acciones civiles y
penales, o para confirmar el status financiero de una organización relacionada con los
accionistas, partes externas y auditores. El periodo de tiempo y el contenido de la
información almacenada pueden ser definida por las leyes y regulación nacional.

Más información acerca de la administración de grabaciones de la organización puede

encontrarse en ISO 15489-1.

15.1.4 protección de datos y retiro de información personal

Control
Debe asegurarse protección de la información y privacidad como es requerida en la
legislación o regulación pertinente y, si es aplicable, en las cláusulas contractuales.

Guía de implementación
Debe ser desarrollada e implementada una política de protección a la información de la
organización y privacidad. Esta política debe ser comunicada al todo e personal
involucrado en el procesamiento de información personal.

120
El cumplimiento con esta política y con toda legislación y regulación relevante relacionada
a la protección de la información requiere apropiada estructura de control y
administración. A menudo esto es mejor alcanzado con la designación de una persona
responsable, como un oficial de protección de la información, quien podría otorgar guías a
los jefes, usuarios y proveedores de servicios a su responsabilidad individual y los
procedimientos específicos que deberían seguir. La responsabilidad por el manipuleo de
información personal y el aseguramiento del cumplimiento de los principios de protección
de información deberían estar acordes con la legislación y regulación pertinente. Debe
implementarse apropiadas medidas de protección de información personal tanto técnica
como organizacional.

Información Adicional
Varios países han introducido legislación relacionada a la implementación de controles
sobre recolección, proceso y transmisión de información personal (información general de
individuos vivos que pueden ser identificados con esa información). Dependiendo de la
respectiva legislación nacional estos controles pueden imponer deberes en estos
procesos de recopilación y de diseminación de información personal, y pueden restringir
la habilidad de transferir la información a otros países.

15.1.5 prevención del mal uso de información procesada

Control
Los usuarios deben abstenerse de usar información procesada para propósitos no
autorizados.

Guía de implementación
La administración debe aprobar el uso de la información procesada. Cualquier uso de esta
información que no sea para propósitos de la organización sin la autorización de la
administración (ver 6.1.4.) o para cualquier propósito no autorizado, debe ser considerado
como uso inapropiado de información. Si es identificada cualquier actividad no autorizada
por monitoreo u otros medios, esta actividad debe merecer la atención del administrador a
cargo, para ser considerada sujeto de aplicación de acciones disciplinarias y/o legales.
Antes de la implementación de procedimientos de monitoreo, debe efectuarse una
consulta legal.

Todos los usuarios deben estar conscientes del alcance preciso de su nivel de acceso y
del monitoreo del sitio para detectar uso no autorizado. Esto puede lograrse dándoles la
autorización por escrito a los usuarios, una copia que debe ser firmada por el usuario y
resguarda por la organización. Los empleados de una organización, contratistas y
terceras personas usuarias deben ser advertidos que ningún acceso debe ser permitido
excepto aquellos autorizados.

Al momento del ingreso, un mensaje de advertencia debe presentarse para indicar que la
información a ser procesada es propia de la organización y accesos no autorizados no
son permitidos, el usuario debe reconocer y reaccionar apropiadamente al mensaje de la
pantalla para continuar con el proceso de ingreso (ver 11.5.1).

Información Adicional
El sistema de información de una organización ha sido desarrollado primordialmente para
propósitos de negocios.

121
La detección de intrusos, inspecciones y otras herramientas de monitoreo pueden ayudar
a detectar mal uso y procesamiento de información.

Muchos países tienen legislaciones que protegen a los computadores de mal uso. Se
puede considerar como acto criminal el uso de computadoras sin autorización.

La legalidad de monitoreo del uso varia de país a país y puede requerir de la

administración para alertar a todos los usuarios de este monitoreo y/o para obtener su
consentimiento. Los sistemas que han sido habilitados para uso público (ejemplo los web
Server públicos) y sujetos a seguridad y monitoreo, un mensaje debe ser desplegado
indicando tal situación.

15.1.6 regulación de controles criptográficos

Control
Los controles criptográficos deben ser considerados para el cumplimiento de acuerdos
relevantes, leyes y regulación.

Guía de implementación
Los siguientes artículos deben ser considerados para el cumplimiento con los acuerdos
leyes, y regulaciones que sean pertinentes:
a) Restricciones para la importación o exportación de hardware de computadoras y
software para funciones criptográficas corrientes.
b) Restricciones para la importación o exportación de hardware de computadoras y
software diseñado para tener funciones criptográficas adicionales a el.
c) Restricciones para el uso de encriptaciones.
d) Métodos obligatorios y discrecionales para el acceso de las autoridades de los
países a las encriptaciones de hardware y software que provean contenido
confidencial.

Se debe buscar asesoramiento jurídico para asegurar el cumplimiento con leyes

nacionales y regulaciones. También se debe buscar asesoramiento legal antes de
encriptar información o mover los controles criptográficos a otros países.

15.2 Cumplimiento con las políticas de seguridad y normas, y cumplimiento técnico

Objetivo: Asegurar el cumplimiento de las políticas de seguridad organizacional y normas

de los sistemas.

La seguridad de los sistemas de información debe revisarse regularmente.

Tales revisiones deben realizarse comparando con las políticas de seguridad apropiadas
y plataformas técnicas los sistemas de información deben ser auditados para el
cumplimiento con normas de seguridad aplicables y con controles de seguridad
documentados.

15.2.1 Cumplimiento con las normas y políticas de seguridad

122
Control
Los Gerentes deben asegurar que todos los procedimientos de seguridad dentro del área
de su responsabilidad están siendo llevados correctamente para alcanzar el cumplimiento
de las normas y políticas de seguridad.

Guía de implementación
Los Gerentes deben revisar regularmente el cumplimiento de las normas y políticas y
otros requerimientos de seguridad de procesamiento de información dentro de su área de
responsabilidad.

Si cualquier incumplimiento se encuentra como resultado de la revisión, los gerentes

deben:

a) Determinar las causas del incumplimiento;

b) Evaluar la necesidad de acciones para asegurar que los incumplimientos no
vuelvan a ocurrir.
c) Determinar e implementar medidas correctivas apropiadas
d) Revisar las acciones correctivas tomadas

Los resultados de las revisiones y acciones correctivas desarrolladas por los gerentes
deben ser registradas y guardadas. Los gerentes deben reportar los resultados a la
persona que esté efectuando revisiones independientes (ver 6.1.8.), cuando la revisión
independiente se desarrolla en el área de responsabilidad.

Información Adicional
El monitoreo operacional de uso del sistema se cubre en 10.10.

15.2.2 Verificación del cumplimiento técnico

Control
El sistema de información debe ser verificado regularmente para el cumplimiento de las
normas de seguridad implementadas.

Guía de implementación
Verificaciones del cumplimiento técnico deben desarrollarse tanto manualmente (con
adecuadas herramientas de software si es necesario) por un experimentado ingeniero de
sistemas y/o por el asistente de herramientas automáticas, quien genera u reporte técnico
para la subsecuente interpretación por un técnico especialista.
Si las pruebas de penetración o evaluación de vulnerabilidad son usadas, las
precauciones deben ser ejercitadas, estas actividades pueden conducir a comprometer la
seguridad del sistema. Cualquier prueba de cumplimiento técnico debe ser desarrollado
por una persona autorizada y competente o bajo su supervisión.

Información Adicional
Las pruebas de cumplimiento técnico involucran el examen del sistema operacional para
asegurar que los controles del hardware y software han sido correctamente
implementados. Estos tipos de pruebas de cumplimiento requieren de formación técnica
especializada y de pericia.

123
La verificación del cumplimiento incluye también, por ejemplo, prueba de penetración y
evaluación de vulnerabilidad, los cuales pueden llevarse a cabo por expertos
independientes específicamente contratados para este propósito. Esto puede ser de
utilidad para detectar vulnerabilidades en el sistema y para verificar cuan efectivos son los
controles en la prevención de accesos no autorizados debido a las vulnerabilidades.

La prueba de penetración y evaluación de vulnerabilidades proveen un panorama del

sistema en una situación y tiempo específico. El panorama es limitado a aquella porción
del sistema objeto de testeo en el momento de la penetración. La prueba de penetración y
la evaluación de vulnerabilidad no son sustitutos de la evaluación de riesgo.

15.3 consideraciones para la auditoria de los sistemas de información

Objetivo: Maximizar su efectividad o minimizar las interferencias hacia o del proceso de

auditoria de sistemas.

Deben establecerse controles para salvaguardar el sistema operacional y las

herramientas de auditoria durante la auditoria de sistemas de información.
La protección es también requerida para salvaguardar la integridad y para prevenir el mal
uso de las herramientas de auditoria.

15.3.1 controles de auditoria de los sistemas de información

Control
Actividades que involucran la verificación y requerimientos de auditoria del sistema
operacional deben ser cuidadosamente planeados y adecuados para lograr la
minimización del riesgo de interrupción de la continuidad del negocio.

Guía de implementación
Las siguientes guías deben ser observadas:
a) Los requerimientos de auditoria deben estar acordes con una administración
apropiada;
b) El alcance de las verificaciones debe estar acordada y controlada;
c) Las verificaciones deben estar limitadas a solo lectura para el acceso al software y
a la información;
d) Accesos distintos a solo lectura deben estar solo permitidos para copias únicas de
archivos del sistema, las cuales deben ser borradas una vez que termine la
auditoria, u otorgar la debida protección si existe la obligación de mantener estos
archivos bajo requerimientos de auditoria;
e) los recursos a ser utilizados para las verificaciones deben ser explícitamente
identificadas y disponibles;
f) Los requerimientos para procesos especiales o adicionales deben ser adecuados
e identificados;
g) Todos los accesos deben ser monitoreados y registrados para producir pistas de
auditoría; el uso de tiempos registrados como pistas de auditoría deben ser
considerados para sistemas críticos o datos;
h) Debe documentarse todos los procedimientos, requisitos, y responsabilidades;
i) La persona que lleva a cabo la auditoria debe ser independiente de las actividades
auditadas;

124
15.3.2 Protección de las herramientas de auditoria de sistemas

Control
El acceso a las herramientas de auditoria de sistemas de información deben protegerse
de cualquier posible mal uso o compromiso.

Guía de implementación
Las herramientas de auditoria de sistemas por ejemplo, programas o archivos de datos
deben estar separadas de la fase de desarrollo y del sistema operacional, tampoco no se
debe mantener en librerías o áreas de usuarios, a menos que se otorgue un nivel
adicional de protección.

Información Adicional
Si terceras personas están involucradas en una auditoria, esto podría derivar en riesgo de
mal uso de las herramientas de auditoria por estas, y riesgo para la información accedida.
Controles como los establecidos en 6.2.1 (para evaluar el riesgo) y 9.1.2 (para restringir el
acceso físico) pueden ser considerados para enfocar este riesgo, y cualquier
consecuencia, se debe llevar a cabo cambios inmediatos de password mostrados a los
auditores.

125