ISO 27001

CONTENIDO

Fundamentos del Sistema de Gestión de Seguridad de la Información (SGSI).................................................14

Resultados de Aprendizaje...........................................................................................................................14
Introducción a la Ciberseguridad.....................................................................................................................15
Estadísticas de Ciberseguridad 1......................................................................................................................16
Severidad de las Brechas de Seguridad - La Magnitud de la Severidad............................................................17
Estadísticas Destacadas de Brechas de Seguridad.......................................................................................18
Herramientas de Hackers................................................................................................................................18
Fuentes de Transmisión...............................................................................................................................19
Combatiendo las Amenazas de Ciberseguridad...............................................................................................19
Regulaciones sobre Ciberataques................................................................................................................19
Desafíos Regulatorios..............................................................................................................................20
Objetivos Atractivos para los Hackers..........................................................................................................20
Negocios Vulnerables..................................................................................................................................21
Inversión en Ciberseguridad............................................................................................................................21
Importancia y Beneficios de la Gestión de la Ciberseguridad......................................................................21
Inversión en Ciberseguridad....................................................................................................................21
El Costo de los Ciberataques........................................................................................................................21
Demanda de Profesionales en Ciberseguridad............................................................................................22
Introducción a ISO/IEC 27000..........................................................................................................................22
Introducción................................................................................................................................................ 23
El Propósito de ISO/IEC 27000.....................................................................................................................23
Amenazas y Vulnerabilidades..........................................................................................................................23
Amenaza......................................................................................................................................................24
Vulnerabilidad..............................................................................................................................................24
Controles de Acceso Fundamentales...........................................................................................................24
Ataque para Destruir...................................................................................................................................24
Garantía de Autenticación...........................................................................................................................24
 Medida Base Funcional................................................................................................................................25
El Modelo CIA para la Seguridad de la Información – Confidencialidad.......................................................25
Información Basada en Integridad y Disponibilidad.....................................................................................25
Seguridad de la Información - Ilustración........................................................................................................26
Consecuencia y Evento................................................................................................................................26
Objetivo de Control.....................................................................................................................................27
Información del Órgano de Gobierno..........................................................................................................28
Instalación de Procesamiento de Información.............................................................................................28
Seguridad de la Información............................................................................................................................29
Evento e Incidente de Seguridad de la Información........................................................................................29
Evento, Incidente, Personal y Gestión.........................................................................................................29
Evento de Seguridad de la Información...................................................................................................29
Incidente de Seguridad de la Información...............................................................................................29
Sistema de Gestión de Seguridad de la Información........................................................................................29
Profesional del Sistema de Gestión de Seguridad de la Información (SGSI).................................................29
Gestión de Incidentes de Seguridad de la Información................................................................................30
Grupo de Sistemas de Información..................................................................................................................30
Otros Términos............................................................................................................................................30
No repudio...............................................................................................................................................30
Comunidad de Intercambio de Información............................................................................................30
Sistema de Información...........................................................................................................................30
Información de Implementación de Seguridad................................................................................................30
Estándar de Implementación de Seguridad.................................................................................................30
Entidad de Comunicación de Información Confiable...................................................................................30
Introducción al Estándar NIST..........................................................................................................................31
Introducción................................................................................................................................................ 31
Antecedentes...............................................................................................................................................31
Núcleo y Perfil del Marco de Ciberseguridad...................................................................................................31
 Núcleo del Marco.........................................................................................................................................31
Perfil del Marco........................................................................................................................................... 31
Niveles de Implementación del Marco........................................................................................................32
programa de ciberseguridad............................................................................................................................32
Descripción básica de la creación o mejora de un programa de ciberseguridad.........................................32
COBIT...............................................................................................................................................................32
Introducción................................................................................................................................................ 32
Importancia.................................................................................................................................................33
Principios de gestión de TI de COBIT................................................................................................................33
Principios..................................................................................................................................................... 33
Principio 1................................................................................................................................................33
Principio 2................................................................................................................................................33
Principio 3................................................................................................................................................33
Principio 4................................................................................................................................................33
Principio 5................................................................................................................................................33
Siete aspectos de la gobernanza......................................................................................................................34
Comparación de versiones de COBIT...............................................................................................................35
COBIT 5........................................................................................................................................................35
COBIT 2019..................................................................................................................................................35
METODOLOGÍA DE COBIT................................................................................................................................35
Introducción y Metodología.........................................................................................................................35
Objetivos de gobernanza y gestión..............................................................................................................35
Diseño de gobernanza de TI.............................................................................................................................35
Diseño de una solución de gobernanza de TI...............................................................................................35
Implementación y organización...................................................................................................................35
Normas ISO/IEC 27002.....................................................................................................................................36
Introducción................................................................................................................................................ 36
Alcance de la gobernanza de la información...................................................................................................36
 Alcance........................................................................................................................................................ 36
Necesidades de gestión ISO.............................................................................................................................36
ISO/IEC 27001 e ISO/IEC 27002....................................................................................................................36
La necesidad de ISO 27001 e ISO 27002......................................................................................................36
Requisitos del sistema de gestión de seguridad de la información (SGSI).......................................................38
Resumen de la lección.................................................................................................................................38
Contexto de la Organización (Cláusula - 4)......................................................................................................38
Necesidades y Expectativas de las Partes Interesadas (Cláusula - 4.2)............................................................39
Comprender el contexto de la organización....................................................................................................39
Sistema de Gestión de Seguridad de la Información (Cláusula - 4.4)...............................................................40
Alcance del SGSI...............................................................................................................................................40
El Alcance del SGSI (Cláusula - 4.3)..............................................................................................................40
Introducción cláusula 5....................................................................................................................................40
El propósito de la Cláusula - 5 de ISO/IEC....................................................................................................40
Liderazgo y Compromiso.............................................................................................................................41
Liderazgo......................................................................................................................................................... 41
Cláusula de Liderazgo y Compromiso..........................................................................................................41
Política de seguridad de la información...........................................................................................................42
Roles, responsabilidades y autoridades organizacionales............................................................................42
Aspectos generales......................................................................................................................................42
Planificación de la Cláusula 6 ISO/IEC/27001...................................................................................................43
Acciones para abordar riesgos y oportunidades (Cláusula 6.1)....................................................................43
Objetivos y planes de seguridad de la información para lograr la cláusula 6.2................................................43
Objetivos de Seguridad de la Información y Planes para Lograrla (Cláusula - 6.2).......................................43
Evaluación de riesgos de seguridad de la información (Cláusula - 6.1.2).........................................................44
Tratamiento de Riesgos de Seguridad de la Información (Cláusula - 6.1.3).................................................44
Competencia SGSI............................................................................................................................................44
Cláusula 7 de recursos y soporte.....................................................................................................................45
 Soporte (Cláusula - 7)...................................................................................................................................45
SGSI de concientización...............................................................................................................................45
Fuentes de comunicación............................................................................................................................45
Control de la Información Documentada.........................................................................................................46
Información Documentada (Cláusula - 7.5).....................................................................................................46
Evaluación de seguridad de riesgos de la información....................................................................................47
Orientación para la evaluación de riesgos de seguridad de la información.....................................................47
Cláusula 8.3 sobre el tratamiento del riesgo de seguridad..............................................................................48
Evaluación de riesgos de seguridad de la información....................................................................................49
Operación del SGSI..........................................................................................................................................49
Operación del SGSI (Cláusula - 8).................................................................................................................49
Operación, Control y Planificación...................................................................................................................49
Introducción Requisitos de evaluación del desempeño para organizaciones (Cláusula - 9).............................50
análisis y evaluación de la medición del anillo cláusula 9.1.............................................................................50
Revisión de la Gestión - Auditoría Interna.......................................................................................................51
Correctivo y de Mejora....................................................................................................................................51
Mejora (Cláusula - 10)..................................................................................................................................52
CONTROLES DE OPERACIONES DE SEGURIDAD DE LA INFORMACIÓN.............................................................54
Los resultados del aprendizaje.....................................................................................................................54
Controles de seguridad de la información.......................................................................................................54
Controles de seguridad de la información (Anexo - A).................................................................................54
Resumen ilustrativo de los controles de operación ISO 27001........................................................................55
Políticas de seguridad de la información.........................................................................................................55
Políticas de Seguridad de la Información (Anexo - A.5)................................................................................55
Políticas de Seguridad de la Información.........................................................................................................56
Revisión de las políticas de Seguridad de la Información (Anexo - A.5.1.2).................................................56
Políticas de Seguridad de la Información (Anexo - A.5.1.1)..........................................................................56
Seguridad de la Información en la Gestión de Proyectos.................................................................................56
 Organización interna....................................................................................................................................56
Organización de la Seguridad de la Información..............................................................................................57
Organización de la Seguridad de la Información (Anexo - A.6)....................................................................57
Dispositivos Móviles y Teletrabajo...................................................................................................................57
Dispositivos Móviles y Teletrabajo (Anexo - A.6.2)......................................................................................57
Seguridad de los recursos humanos................................................................................................................58
Seguridad de los Recursos Humanos (Anexo - A.7)......................................................................................58
Responsabilidades de gestión..........................................................................................................................58
Durante el empleo (Anexo - A.7.2), terminación o cambio de empleo (Anexo - A.7.3)...............................58
Responsabilidades de la Gestión (Anexo - A.7.2.1)......................................................................................58
Concientización, educación y capacitación sobre seguridad de la información...............................................58
Concientización, educación y capacitación sobre seguridad de la información (Anexo - A.7.2.2)...............58
Proceso Disciplinario........................................................................................................................................59
Proceso Disciplinario (Anexo - A.7.2.3)........................................................................................................59
Terminación o cambio de empleo...................................................................................................................59
Terminación o Cambio de empleo ((Anexo - A.7.3.1)..................................................................................59
Gestión de activos........................................................................................................................................... 59
Inventario de Activos (Anexo - A.8.1.1)........................................................................................................59
Gestión de Activos (Anexo - A.8)..................................................................................................................60
Activo de propiedad, rendimiento de activos..............................................................................................60
Clasificación de la información....................................................................................................................60
Clasificación de la Información (Anexo - A.8.2)............................................................................................60
Manejo de activos........................................................................................................................................61
Etiquetado de información..........................................................................................................................61
Clasificación de la Información (Anexo - A.8.2)........................................................................................61
Manejo de medios.......................................................................................................................................61
Manejo de medios (Anexo - A.8.3)...........................................................................................................61
Gestión de medios extraíbles.......................................................................................................................62
Políticas de Control de Acceso y Servicios de Red............................................................................................62
Control de Acceso (Anexo - A.9)..................................................................................................................62
Política de Control de Acceso (Anexo - A.9.1.1)...........................................................................................62
Acceso a Redes y Servicios de Red (Anexo - A.9.1.2)...................................................................................62
Gestión de acceso de usuarios.........................................................................................................................63
Gestión de acceso de usuarios (Anexo - A.9.2)............................................................................................63
registro de usuario...........................................................................................................................................63
Registro de Usuario (Anexo - A.9.2.1)..........................................................................................................63
Acceso de Usuario (Anexo - A.9.2.2)............................................................................................................63
Derechos de Acceso Privilegiado (Anexo - A.9.2.3)......................................................................................63
Información de autenticación secreta.............................................................................................................64
Información de autenticación secreta (Anexo - A.9.2.4)..............................................................................64
Revisión de Derechos (Anexo - A.9.2.5).......................................................................................................64
Responsabilidades del usuario.........................................................................................................................64
Políticas de seguridad de la información.........................................................................................................65
Políticas de Seguridad de la Información (Anexo - A.5)................................................................................65
Programa de control de acceso.......................................................................................................................65
Sistema de gestión de contraseñas..................................................................................................................65
Control de acceso al sistema y a las aplicaciones............................................................................................66
Control de acceso al sistema y a las aplicaciones (Anexo - A.9.4)................................................................66
Criptografía......................................................................................................................................................66
Criptografía (Anexo - A.10)..........................................................................................................................66
Política de uso de Criptografía.....................................................................................................................66
Seguridad Física y Ambiental...........................................................................................................................67
Seguridad Física y Ambiental (Anexo - A.11)................................................................................................67
Perímetro de Seguridad Física (Anexo - A.11.1.1)........................................................................................67
Controles de entrada física..............................................................................................................................67
Controles de entrada física ((Anexo - A.11.1.2)...........................................................................................67
Áreas de entrega y carga.................................................................................................................................67
Áreas de Entrega y Carga (Anexo - A.11.1.6)................................................................................................67
Protección contra amenazas externas y ambientales......................................................................................68
Protección contra amenazas externas y ambientales (Anexo - A.11.1.4)....................................................68
Protección de Oficinas, Habitaciones e Instalaciones......................................................................................68
Protección de Oficinas, Habitaciones e Instalaciones (Anexo - A.11.1.3).....................................................68
Trabajando en Áreas Seguras..........................................................................................................................68
Trabajo en Áreas Seguras (Anexo - A.11.1.5)...............................................................................................68
Ubicación y protección de equipos..................................................................................................................68
Equipo (Anexo - A.11.2)...............................................................................................................................68
Ubicación y protección del equipo (Anexo - A.11.2.1).................................................................................68
Política de seguridad de cableado, escritorio despejado y pantalla.................................................................69
Seguridad del cableado (Anexo - A.11.2.3)..................................................................................................69
Política de limpieza de escritorios y pantallas (Anexo - A.11.2.9)................................................................69
Mantenimiento de Equipos, Eliminación de Activos........................................................................................69
Mantenimiento de Equipos (Anexo - A.11.2.4)............................................................................................69
Eliminación de Activos (Anexo - A.11.2.5)....................................................................................................69
Seguridad de equipos y Eliminación segura.....................................................................................................70
Seguridad de equipos y activos fuera de las instalaciones (Anexo - A.11.2.6).............................................70
Eliminación segura o reutilización de equipos (Anexo - Α.11.2.7)................................................................70
Servicios públicos de apoyo.............................................................................................................................70
Servicios públicos de apoyo (Anexo - A.11.2.2)............................................................................................70
Equipo de usuario desatendido (Anexo - A.11.2.8)......................................................................................71
Seguridad de las operaciones..........................................................................................................................71
Seguridad de las Operaciones (Anexo - A.12)..............................................................................................71
Gestión de capacidad.......................................................................................................................................71
Gestión del cambio..........................................................................................................................................72
Control contra malware...................................................................................................................................72
Respaldo de información.................................................................................................................................72
Registro y monitoreo.......................................................................................................................................73
Registro y Monitoreo (Anexo - A.12.4)........................................................................................................73
Protección de la información de registro.........................................................................................................73
Control del Software Operativo.......................................................................................................................73
Perímetro de seguridad física..........................................................................................................................74
Perímetro de Seguridad Física (Anexo - A.11.1.1)........................................................................................74
Controles de entrada física ((Anexo - A.11.1.2)...........................................................................................74
Protección contra amenazas externas y ambientales (Anexo - A.11.1.4)....................................................74
Áreas de Entrega y Carga (Anexo - A.11.1.6)................................................................................................74
Trabajar en áreas seguras................................................................................................................................75
Trabajo en Áreas Seguras (Anexo - A.11.1.5)...............................................................................................75
Áreas de Entrega y Carga (Anexo - A.11.1.6)................................................................................................75
Gestión Técnica de Vulnerabilidad..................................................................................................................75
Gestión Técnica de Vulnerabilidad (Anexo - A.12.6)....................................................................................75
Gestión de Vulnerabilidades Técnicas (Anexo - A.12.6.1)............................................................................75
Política de escritorio claro...............................................................................................................................75
Seguridad del cableado (Anexo - A.11.2.3)..................................................................................................75
Política de limpieza de escritorios y pantallas (Anexo - A.11.2.9)................................................................76
Mantenimiento de equipos.............................................................................................................................76
Equipo (Anexo - A.11.2)...............................................................................................................................76
Ubicación y protección del equipo (Anexo - A.11.2.1).................................................................................76
Mantenimiento de Equipos (Anexo - A.11.2.4)............................................................................................76
Restricciones a la instalación de software.......................................................................................................77
Restricciones a la instalación de software (Anexo - A.12.6.2)......................................................................77
Eliminación de Activos (Anexo - A.11.2.5)....................................................................................................77
Activos fuera de las instalaciones....................................................................................................................77
Seguridad de equipos y activos fuera de las instalaciones (Anexo - A.11.2.6).............................................77
 Eliminación segura o reutilización de equipos (Anexo - A.11.2.7)................................................................77
Equipo de usuario desatendido.......................................................................................................................78
Equipo de usuario desatendido (Anexo - A.11.2.8)......................................................................................78
Servicios públicos de apoyo (Anexo - A.11.2.2)............................................................................................78
Controles de auditoría de información............................................................................................................78
Seguridad de las comunicaciones....................................................................................................................79
Seguridad de las Comunicaciones (Anexo - A.13)........................................................................................79
Segregación en Redes......................................................................................................................................79
Transferencia de información..........................................................................................................................79
Transferencia de Información (Anexo - A.13.2)...........................................................................................79
Acuerdo sobre Transferencia de Información..................................................................................................80
Políticas de Transferencia de Información.......................................................................................................80
requisitos de seguridad de la información.......................................................................................................80
Análisis y especificación de requisitos de seguridad de la información (Anexo - A.14.1.1)..........................80
Protección de transacciones de servicios de aplicaciones...............................................................................81
Adquisición, desarrollo y mantenimiento de sistemas....................................................................................81
Adquisición, desarrollo y mantenimiento del sistema (Anexo - A.14)..........................................................81
Protección de servicios de aplicaciones en redes públicas (Anexo - A.14.1.2).............................................81
Restricciones sobre cambios en paquetes de software...................................................................................81
Restricciones sobre cambios en paquetes de software (Anexo - A.14.2.4)..................................................81
Política de desarrollo seguro...........................................................................................................................82
Principios de ingeniería de sistemas seguros (Anexo - Α.14.2.5).................................................................82
Política de Desarrollo Seguro (Anexo - A.14.2.1).........................................................................................82
Revisión técnica de aplicaciones después de cambios en la plataforma operativa (Anexo - A.14.2.3)........82
Principios de ingeniería de sistemas seguros (Anexo - Α.14.2.5).................................................................82
Procedimientos de control de cambios del sistema (Anexo - A.14.2.2).......................................................82
Desarrollo subcontratado................................................................................................................................83
Seguridad en los procesos de desarrollo y procesos de soporte (Anexo - A.14.2).......................................83
 Desarrollo Subcontratado (Anexo - A.14.2.7)..............................................................................................83
Entorno de desarrollo seguro (Anexo - A.14.2.6).........................................................................................83
Pruebas de seguridad del sistema...................................................................................................................83
Entorno de desarrollo seguro (Anexo - A.14.2.6).........................................................................................83
Pruebas de seguridad del sistema...................................................................................................................84
Pruebas de seguridad del sistema (Anexo - A.14.2.8)..................................................................................84
Pruebas de aceptación del sistema (Anexo - A.14.2.9)................................................................................84
Datos de prueba de protección.......................................................................................................................84
Relaciones con proveedores............................................................................................................................85
Relaciones con Proveedores (Anexo - A.15.1)..............................................................................................85
Informacion de COMUNICACION TECNOLÓGICA.............................................................................................85
Política de Seguridad de la Información para Proveedores.............................................................................85
Gestión de la prestación de servicios del proveedor.......................................................................................86
Gestión de la prestación de servicios del proveedor (Anexo - A.15.2).........................................................86
Gestión de Incidentes de Seguridad de la Información (Anexo - A.16)............................................................86
Responsabilidades y Procedimientos (Anexo - A.16.1.1).............................................................................86
Evaluación de la Decisión sobre Seguridad de la Información.........................................................................86
Evaluación de la Decisión sobre Eventos de Seguridad de la Información (Anexo - A.16.1.4).....................86
Notificación de eventos de seguridad de la información (Anexo - Α.16.1.2)................................................87
Notificación de debilidades en la seguridad de la información (Anexo - A.16.1.3)......................................87
Responsabilidades y procedimientos...............................................................................................................87
Responsabilidades y Procedimientos (Anexo - A.16.1.1).............................................................................87
Respuesta a Incidentes de Seguridad de la Información..................................................................................88
Gestión de Incidentes de Seguridad de la Información (Anexo - A.16)........................................................88
Respuesta a Incidentes de Seguridad de la Información (Anexo - A.16.1.5)................................................88
Recopilación de pruebas..................................................................................................................................88
Aprender de los incidentes de seguridad de la información (Anexo - A.16.1.6)..........................................88
Recolección de pruebas (Anexo - A.16.1.7)..................................................................................................88
Aspectos de seguridad de la información de la continuidad del negocio........................................................89
Aspectos de seguridad de la información de la gestión de la continuidad del negocio (Anexo - A.17)........89
Instalación de procesamiento de información de disponibilidad.....................................................................89
Implementación de seguridad de la información............................................................................................89
Cumplimiento..................................................................................................................................................90
Cumplimiento (Anexo - A.18).......................................................................................................................90
Privacidad y protección de la información de identificación personal.............................................................90
Regulación de los controles de criptografía.....................................................................................................90
Cumplimiento - revisiones de seguridad de la información.............................................................................91
Cumplimiento - Revisiones de seguridad de la información (Anexo - A.18.2)..............................................91
Revisión independiente de la seguridad de la información.............................................................................91
MÓDULO 1:
FUNDAMENTOS
FUNDAMENTOS DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI)

RESULTADOS DE APRENDIZAJE

Después de completar este módulo, podrás:

 Demostrar el caso de negocio para el sistema de gestión de seguridad de la información, a la alta

dirección, con la ayuda de estadísticas.

 Resumir los diferentes estándares reconocidos o guías sobre seguridad de la información.

 Definir los términos importantes en la ISO 27000:2018.

 Discutir la importancia del modelo CIA para la seguridad de la información.

 Diferenciar entre amenaza, vulnerabilidad y ataque.

 Enumerar las principales cláusulas del estándar.

 Explicar el propósito de las 14 categorías de controles operativos en la seguridad de la información.

INTRODUCCIÓN A LA CIBERSEGURIDAD

En la era moderna de la tecnología, la amenaza más peligrosa para las empresas son las ciber amenazas. No
solo ha habido un fuerte aumento en los problemas de ciberseguridad, sino también una tendencia
creciente de datos comprometidos a través de varios dispositivos electrónicos como teléfonos inteligentes y
equipos de IoT que se encuentran en la mayoría de las estaciones de trabajo. Esto plantea serios problemas
tanto para el presente como para el futuro de muchas corporaciones y empresas en todo el mundo.

Las ciberamenazas se agravan aún más por medidas de ciberseguridad

insuficientes y a menudo deficientes implementadas por la mayoría de las
organizaciones. Las vulnerabilidades causadas por estos ciberataques pueden
reducirse o virtualmente eliminarse adoptando mejores prácticas de
seguridad, concienciación y protección como parte de la cultura empresarial.

Hay muchas estadísticas que no solo muestran cuán extendidos están estos ciberataques, sino también
cuánto pueden filtrar o violar datos. Presentan una imagen sombría de cómo dejar a su organización
expuesta a varios tipos de hackeos, delitos cibernéticos o malware puede tener efectos adversos tanto a
corto como a largo plazo.
ESTADÍSTICAS DE CIBERSEGURIDAD 1

En la era moderna de la tecnología, la amenaza más peligrosa para las empresas son las ciberamenazas. No
solo ha habido un fuerte aumento en los problemas de ciberseguridad, sino también una tendencia
creciente de datos comprometidos a través de varios dispositivos electrónicos como teléfonos inteligentes y
equipos de IoT que se encuentran en la mayoría de las estaciones de trabajo. Esto plantea serios problemas
tanto para el presente como para el futuro de muchas corporaciones y empresas en todo el mundo.

A continuación, se presentan algunas estadísticas que dan una idea del

impacto general de los ciberataques y la ciberseguridad:

 La ciberseguridad ha crecido más de 30 veces en los últimos 13 años

y se espera que el gasto mundial alcance los $133.7 mil millones en
2022.

 Las empresas son muy negligentes en cuanto a ciberseguridad, ya que solo el 5% de las empresas
tienen carpetas correctamente protegidas en promedio.

En la era moderna de la tecnología, la amenaza más peligrosa para las empresas son las ciberamenazas. No
solo ha habido un fuerte aumento en los problemas de ciberseguridad, sino también una tendencia
creciente de datos comprometidos a través de varios dispositivos electrónicos como teléfonos inteligentes y
equipos de IoT que se encuentran en la mayoría de las estaciones de trabajo. Esto plantea serios problemas
tanto para el presente como para el futuro de muchas corporaciones y empresas en todo el mundo.

 Los adjuntos más maliciosos de los correos electrónicos son archivos .doc y .dot, que representan el
37%, mientras que los archivos .exe ocupan el segundo lugar con un 19.5%.
 Se estima que en 2020 se utilizaron más de 300 mil millones de contraseñas tanto por humanos
como por máquinas, como dispositivos IoT, que contribuyen con 200 mil millones de contraseñas.
 Las brechas de datos a menudo tienen agendas más insidiosas, como el espionaje y motivos
financieros, que contribuyeron con el 25% y el 71% de los ataques respectivamente.
SEVERIDAD DE LAS BRECHAS DE SEGURIDAD - LA MAGNITUD DE LA SEVERIDAD

No solo está aumentando la cantidad de brechas de seguridad, sino que

también están volviéndose cada vez más severas. Esto se evidencia por
incidentes de gran escala y bien publicitados que no solo ponen a los usuarios
en riesgo de robo de identidad y doxing, sino que también pueden arruinar la
reputación de una organización o revelar otra información sensible. En la
siguiente pestaña se muestran algunas estadísticas adicionales para presentar
este punto.

ESTADÍSTICAS DESTACADAS DE BRECHAS DE SEGURIDAD

A continuación, se comparten algunas estadísticas importantes:

 En 2019, hubo un aumento del 11% en las brechas de datos en comparación con 2018, mientras
que las brechas de datos han aumentado en un 67% desde 2017.

 Las computadoras con acceso a internet experimentan un ataque de hacker cada 39 segundos en
promedio, reforzado por nombres de usuario y contraseñas no seguros utilizados por los usuarios.

 Debido a la amenaza de los ciberataques, se espera que se gasten aproximadamente 6 billones de

dólares a nivel mundial en ciberseguridad en 2021.

 Debido a la popularidad del almacenamiento en la nube, el 83% de las cargas de trabajo

empresariales se trasladarán a la nube.

 Marriott International informó que la información sobre 500 millones de clientes fue robada en
ataques de brechas de datos que comenzaron en 2014. Además, se robó información sobre tarjetas
de crédito de aproximadamente 100 millones de clientes y sus fechas de expiración.

 Se hackearon 3 mil millones de cuentas de Yahoo en lo que es la mayor brecha de datos reportada
de todos los tiempos.

 En promedio, se tarda 314 días en identificar y contener una brecha.

HERRAMIENTAS DE HACKERS

Los hackers tienen una variedad de herramientas disponibles para ayudarlos,

que incluyen phishing, ataques DDoS, malware, ataques de inyección SQL y
ransomware.

Nuevos virus están siendo desarrollados y descubiertos casi a diario. Por lo tanto, es importante entender
las métricas relacionadas con los problemas de ciberseguridad.

FUENTES DE TRANSMISIÓN

Algunas fuentes de ciberamenazas incluyen:

 Los correos electrónicos contribuyen entre el 92% y el 94% de la transmisión de malware.

 Los ataques relacionados con la criptominería contribuyen con el 90% de los ataques de ejecución
de código remoto.

 Los dispositivos IoT sufren en promedio 5200 ataques cada mes.

 El software antivirus se considera ineficaz para bloquear ciberataques según el 69% de las
organizaciones.

 Los móviles son un objetivo popular para los hackers; 1 de cada 36 dispositivos móviles tiene un
software de alto riesgo instalado.

 El virus WannaCry, que infectó más de 200,000 computadoras en más de 150 países, resultó en
daños de alrededor de 4 mil millones de dólares.
COMBATIENDO LAS AMENAZAS DE CIBERSEGURIDAD

REGULACIONES SOBRE CIBERATAQUES

Para combatir la creciente y extraordinaria amenaza que representan los

ciberataques, se están aprobando legislaciones más estrictas y severas en
todo el mundo.

Estas incluyen el Reglamento General de Protección de Datos (GDPR)

aprobado por la Unión Europea y la Ley de Privacidad del Consumidor de
California (CCPA) aprobada en los Estados Unidos.

Los estudiantes pueden estudiar sobre GDPR de forma gratuita en Alison.

DESAFÍOS REGULATORIOS
Algunos desafíos regulatorios globales para este año son:

 Para cumplir con GDPR, el 88% de las organizaciones gastan más de $1 millón.
 El gasto total de las organizaciones para cumplir con GDPR se estima en $9 mil millones.
 Google fue multado con casi $57 millones por una agencia francesa de privacidad de datos, CNIL,
por no cumplir con GDPR.
 Casi 1 de cada 3 organizaciones aún no cumple con GDPR.
OBJETIVOS ATRACTIVOS PARA LOS HACKERS

Aunque ninguna empresa está a salvo de las ciberamenazas, algunas

industrias y negocios, como las finanzas y la salud, son objetivos mucho más
atractivos para los hackers. Esto se debe al hecho de que contienen
información valiosa como registros médicos y otros datos personales.

Mientras tanto, las industrias de menor riesgo suelen ser atacadas debido a la percepción de que pueden
tener menos medidas de seguridad.

NEGOCIOS VULNERABLES

 Las pequeñas empresas sufren el 43% de las brechas de datos.

 El mayor porcentaje de archivos de datos expuestos proviene de las
industrias de Finanzas y Manufactura, con un 21%.
 Las organizaciones de salud, la industria financiera y el sector público
reportaron el 15%, 10% y 16% de las brechas respectivamente.
 Las pequeñas empresas reciben 1 correo malicioso por cada 323
correos, lo que significa que son las más atacadas.
 Según una encuesta, la industria financiera reporta las mayores
pérdidas por ciberataques, con un promedio de $18.3 millones por
organización.
 Se espera que los ciberataques a las organizaciones de salud se cuadrupliquen para 2020.

INVERSIÓN EN CIBERSEGURIDAD

IMPORTANCIA Y BENEFICIOS DE LA GESTIÓN DE LA CIBERSEGURIDAD

INVERSIÓN EN CIBERSEGURIDAD
Muchas organizaciones y ejecutivos están reconociendo la importancia y los beneficios de invertir en
ciberseguridad. A medida que aumentan las pérdidas asociadas con los ciberataques, esto puede ser
paralizante para una organización; si la ciberseguridad no se convierte en parte de su presupuesto regular.
EL COSTO DE LOS CIBERATAQUES

 El costo promedio de una brecha de datos fue de $3.9 millones,

pero puede variar desde $1.25 millones hasta $8.19 millones.
 Las organizaciones de [Link]. son las más afectadas por las
brechas de datos, con un promedio de $4.13 millones por
organización, cuando se toma en cuenta todo, incluido el cambio
de consumidores y la pérdida de reputación.
 Se proyecta que el ciberdelito causará una pérdida anual de $6
billones para el 2021.
 El costo total del ciberdelito para cada organización aumentó de
$11.7 millones en 2017 a $13.0 millones en 2018, un aumento del
12%.
 La pérdida de información es la parte más costosa de un ciberataque, con $5.9 millones.

DEMANDA DE PROFESIONALES EN CIBERSEGURIDAD

A medida que el presupuesto para ciberseguridad continúa

aumentando, ha habido un gran incremento en la demanda de
profesionales en ciberseguridad.

 La tasa de desempleo para los solicitantes de ciberseguridad

es de un notable 0%.
 Existe una gran escasez de profesionales, ya que el 82% de
los empleadores informan una falta de personal. Además, el
61% de las organizaciones no están satisfechas con sus
solicitantes de ciberseguridad.
INTRODUCCIÓN A ISO/IEC 27000

ISO 27001 bajo la Cláusula - 3 hace referencia a ISO/IEC 27000 para términos y definiciones. Por lo tanto,
este curso incluye los términos importantes del estándar ISO/IEC 27000.

INTRODUCCIÓN

La última versión de ISO/IEC 27000 fue publicada en 2018 y se titula

"Tecnología de la información — Técnicas de seguridad — Sistemas de
gestión de seguridad de la información — Visión general y vocabulario".
También se la conoce como "ISO/IEC 27000:2018".

EL PROPÓSITO DE ISO/IEC 27000

Este documento ofrece la explicación y guía sobre sistemas de gestión de seguridad de la información (SGSI).
Básicamente comprende términos y definiciones comúnmente utilizados en la familia de estándares SGSI.

Los términos y definiciones proporcionados en este documento:

 Cubren términos y definiciones comúnmente utilizados en la familia de estándares SGSI.

 No cubren todos los términos y definiciones aplicados dentro de la familia de estándares SGSI.
 No limitan a la familia de estándares SGSI en la definición de nuevos términos para su uso.

ISO/IEC 27001 también es uno de los estándares importantes de la familia.

AMENAZAS Y VULNERABILIDADES

AMENAZA

Este término se define en la Cláusula 3.74 de ISO/IEC 27000 como "Causa

potencial de un incidente no deseado, que puede resultar en daño a un
sistema u organización."

VULNERABILIDAD

Este término se define en la Cláusula 3.77 como "Debilidad de un activo o

control que puede ser explotada por una o más amenazas."

CONTROLES DE ACCESO FUNDAMENTALES

Se define en la Cláusula 3.1 de ISO 27000 como "medios para asegurar que el
acceso a los activos esté autorizado y restringido según los requisitos de
negocio y seguridad".

ATAQUE PARA DESTRUIR

Se define en la Cláusula 3.2 de ISO 27000 como "Intento de destruir, exponer,

alterar, deshabilitar, robar o obtener acceso no autorizado a un activo o hacer
uso no autorizado de un activo".
GARANTÍA DE AUTENTICACIÓN

Este término se define en la Cláusula 3.5 como “Provisión de garantía de que

una característica reclamada de una entidad es correcta.”

Este término se define en la Cláusula 3.6 como "Propiedad de que una

entidad es lo que afirma ser."

MEDIDA BASE FUNCIONAL

Este término se define en la Cláusula 3.8 de ISO/IEC 27000 como "medida definida en términos de un
atributo y el método para cuantificarlo."

Es importante notar aquí que una medida base es funcionalmente independiente de otras medidas.

EL MODELO CIA PARA LA SEGURIDAD DE LA INFORMACIÓN – CONFIDENCIALIDAD

Este término se define en la Cláusula 3.10 como "propiedad de que la

información no se pone a disposición ni se divulga a individuos,
entidades o procesos no autorizados."

Por ejemplo, los fondos que tienes en tu cuenta bancaria son

información confidencial y los bancos deben asegurarse de que esta
información no esté disponible para personas no autorizadas que puedan explotarla.
INFORMACIÓN BASADA EN INTEGRIDAD Y DISPONIBILIDAD

Este término se define en la Cláusula 3.36 como "Propiedad de exactitud y

completitud".

Esto significa que la información debe basarse en la integridad; por ejemplo,

la cantidad de fondos en tu cuenta bancaria debe mantener su integridad. Si
la cantidad o el valor disminuyen del valor verdadero, no será deseado por los clientes del banco, y si la
cantidad o el valor aumentan del valor verdadero, esto no será deseado por la gestión del banco. Por lo
tanto, la información debe mantenerse con alta integridad.

Este término se define en la Cláusula 3.7 de ISO/IEC 27000 como "propiedad

de ser accesible y utilizable a demanda por una entidad autorizada."

Por ejemplo, un titular de cuenta bancaria tiene derecho a acceder a la

información sobre los fondos disponibles en su cuenta bancaria.

SEGURIDAD DE LA INFORMACIÓN - ILUSTRACIÓN

CONSECUENCIA Y EVENTO

Este término se define en la Cláusula 3.15 de ISO/IEC 27000 como "resultado

de un evento que afecta los objetivos."

Es importante notar aquí que un evento puede llevar a una variedad de

consecuencias. Una consecuencia puede ser cierta o incierta y, en el contexto
de la seguridad de la información, suele ser negativa. Las consecuencias
pueden ser cualitativas o cuantitativas. Las consecuencias iniciales pueden
escalar a través de efectos secundarios.

Este término se define en la Cláusula 3.21 de ISO/IEC 27000 como

"ocurrencia o cambio de un conjunto particular de circunstancias."

Es importante notar aquí que un evento puede ser una o más ocurrencias y
puede tener varias causas. Un evento puede consistir en algo que no sucede. Un evento a veces puede
referirse como un "incidente" o "accidente".

OBJETIVO DE CONTROL

Este término se define en la Cláusula 3.14 de ISO/IEC 27000 como "medida

que modifica el riesgo."

Es importante notar aquí que los controles incluyen cualquier proceso,

política, dispositivo, práctica u otras acciones que modifiquen el riesgo. Es
posible que los controles no siempre ejerzan el efecto de modificación previsto o asumido.
 Este término se define en la Cláusula 3.15 de ISO/IEC 27000 como
"declaración que describe lo que se debe lograr como resultado de la
implementación de controles."

INFORMACIÓN DEL ÓRGANO DE GOBIERNO

Este término se define en la Cláusula 3.24 de ISO/IEC 27000 como "persona o

grupo de personas responsables del rendimiento y la conformidad de la
organización."

Es importante notar aquí que el órgano de gobierno puede, en algunas

jurisdicciones, ser un consejo de administración.

Se define en la Cláusula 3.23 como "sistema mediante el cual se dirigen y controlan las actividades de
seguridad de la información de una organización."

INSTALACIÓN DE PROCESAMIENTO DE INFORMACIÓN

Este término se define en la Cláusula 3.26 de ISO/IEC 27000 como

"visión necesaria para gestionar objetivos, metas, riesgos y problemas."

Este término se define en la Cláusula 3.27 de ISO/IEC 27000 como

"cualquier sistema, servicio o infraestructura de procesamiento de
información, o la ubicación física que los alberga."
SEGURIDAD DE LA INFORMACIÓN

Este término se define en la Cláusula 3.28 como "preservación de la

confidencialidad, integridad y disponibilidad de la información."

Además, otras propiedades, como la autenticidad, responsabilidad, no

repudio y confiabilidad, también pueden estar involucradas en la seguridad
de la información.

Continuidad de la Seguridad de la Información

Este término se define en la Cláusula 3.29 como "procesos y procedimientos para asegurar la continuidad de
las operaciones de seguridad de la información."

EVENTO E INCIDENTE DE SEGURIDAD DE LA INFORMACIÓN

EVENTO, INCIDENTE, PERSONAL Y GESTIÓN

EVENTO DE SEGURIDAD DE LA INFORMACIÓN

Este término se define como "ocurrencia identificada de un sistema, servicio o estado de la red que indica
una posible violación de la política de seguridad de la información o falla de los controles, o una situación
previamente desconocida que puede ser relevante para la seguridad."

INCIDENTE DE SEGURIDAD DE LA INFORMACIÓN

Este término se define como "uno o una serie de eventos de seguridad de la información no deseados o
inesperados que tienen una probabilidad significativa de comprometer las operaciones comerciales y
amenazar la seguridad de la información."

SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

PROFESIONAL DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI)

Este término se define como "persona que establece, implementa, mantiene y mejora continuamente uno o
más procesos del sistema de gestión de seguridad de la información."
GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN

Este término se define como "conjunto de procesos para detectar, reportar, evaluar, responder, tratar y
aprender de los incidentes de seguridad de la información."

GRUPO DE SISTEMAS DE INFORMACIÓN

OTROS TÉRMINOS

NO REPUDIO
Este término se define en la Cláusula 3.48 de ISO/IEC 27000 como "Capacidad de probar la ocurrencia de un
evento o acción reclamado y sus entidades originarias."

COMUNIDAD DE INTERCAMBIO DE INFORMACIÓN

Este término se define en la Cláusula 3.34 como "grupo de organizaciones que acuerdan compartir
información."

SISTEMA DE INFORMACIÓN
Este término se define en la Cláusula 3.35 como "conjunto de aplicaciones, servicios, activos de tecnología
de la información u otros componentes de manejo de información."

INFORMACIÓN DE IMPLEMENTACIÓN DE SEGURIDAD

ESTÁNDAR DE IMPLEMENTACIÓN DE SEGURIDAD

Este término se define en la Cláusula 3.73 de ISO/IEC 27000 como "Documento que especifica formas
autorizadas para realizar la seguridad."

ENTIDAD DE COMUNICACIÓN DE INFORMACIÓN CONFIABLE

Este término se define en la Cláusula 3.76 de ISO/IEC 27000 como "Organización autónoma que apoya el
intercambio de información dentro de una comunidad de intercambio de información."
INTRODUCCIÓN AL ESTÁNDAR NIST

INTRODUCCIÓN

El Instituto Nacional de Estándares y Tecnología (NIST) es una agencia del Departamento de Comercio de los
Estados Unidos que promueve la innovación y la competitividad industrial en los campos de la ciencia, que
incluyen la tecnología a nanoescala y la tecnología de la información.

ANTECEDENTES

NIST proporciona un estándar para las organizaciones con sede en EE. UU. y las agencias federales. Por esta
razón, NIST desarrolla el Marco conocido como Estándares Federales de Procesamiento de Información
(FIPS), que son compatibles con la Ley de Gestión de Seguridad de la Información Federal (FISMA). Estas
medidas se emitieron por primera vez como Orden Ejecutiva 13636 "Mejorar la Ciberseguridad de la
Infraestructura Crítica", el 12 de febrero de 2013 por el presidente de los EE. UU.

La Orden Ejecutiva pide la creación voluntaria de un Marco de Ciberseguridad para ayudar a gestionar los
riesgos de ciberseguridad de una organización. El Marco promueve la integración de medidas de
ciberseguridad en los procesos de gestión de riesgos de la organización.

NÚCLEO Y PERFIL DEL MARCO DE CIBERSEGURIDAD

NÚCLEO DEL MARCO

Esto incluye el conjunto de medidas y métodos comunes de ciberseguridad presentes en los sectores críticos
de infraestructura. El Núcleo permite la implementación de estándares y prácticas de la industria desde el
nivel ejecutivo hasta el nivel de operaciones. Las cinco funciones que definen el Núcleo del Marco son:
Identificar, Proteger, Detectar, Responder y Recuperar.

Con el fin de proporcionar una visión estratégica de alto nivel de la ciberseguridad de la organización, el
Marco crea Categorías y Subcategorías subyacentes para cada Función y además proporciona Referencias
Informativas para cada Subcategoría.

PERFIL DEL MARCO

El Perfil del Marco proporciona el resultado de los estándares, guías y prácticas de las Categorías y
Subcategorías del Núcleo del Marco para implementar adecuadamente un escenario particular basado en
las necesidades de la organización. Puede utilizarse como una medida comparativa para alcanzar el Perfil
Objetivo desde el Perfil Actual.
NIVELES DE IMPLEMENTACIÓN DEL MARCO

Hay cuatro niveles de implementación del marco:

 Nivel 1 (Parcial)
 Nivel 2 (Basado en Riesgo)
 Nivel 3 (Repetible)
 Nivel 4 (Adaptable)

Cuanto mayor sea el nivel, mayor será el grado de sofisticación en las prácticas de gestión de riesgos de
ciberseguridad y mejor será la integración en las prácticas generales de gestión de riesgos de la
organización.

PROGRAMA DE CIBERSEGURIDAD

DESCRIPCIÓN BÁSICA DE LA CREACIÓN O MEJORA DE UN PROGRAMA DE CIBERSEGURIDAD

Aquí tienes una descripción básica de la incorporación de un programa cibernético a través del marco de
NIST:

 Determinar el alcance y los objetivos de las prácticas y necesidades de ciberseguridad de la

organización.
 Determinar el enfoque general del riesgo y las amenazas a los sistemas y activos dependientes de la
ciberseguridad.
 Determinar el Perfil Actual de la organización.
 Determinar la probabilidad de las brechas de ciberseguridad y su impacto en la organización.
 Determinar el Perfil Objetivo para la mejora continua de las prácticas de ciberseguridad.
 Determinar un plan eficiente y la adquisición de recursos para eliminar la brecha entre el Perfil
Objetivo y el Perfil Actual.
 Implementar el plan para abordar esas brechas y continuar monitoreando las Prácticas Actuales en
comparación con las Prácticas Objetivo.

COBIT

INTRODUCCIÓN

Los Objetivos de Control para la Información y Tecnologías Relacionadas (COBIT) es un marco de gobernanza
y gestión de TI desarrollado por la Asociación de Auditoría y Control de Sistemas de Información (ISACA). La
primera versión se publicó en 1996 y se ocupaba en gran medida de los controles de TI, mientras que la
última versión, COBIT 2019, proporciona argumentos de que el éxito empresarial se puede lograr mediante
la gobernanza de TI.

IMPORTANCIA

El objetivo principal de COBIT es superar las barreras que los auditores pueden enfrentar si hay una
diferencia en la comprensión de los términos técnicos durante las auditorías. Por lo tanto, proporciona a los
profesionales de TI, ejecutivos y auditores un lenguaje común para que puedan comunicarse eficientemente
sobre controles de ciberseguridad, objetivos y otros términos y definiciones técnicas.

PRINCIPIOS DE GESTIÓN DE TI DE COBIT

PRINCIPIOS

Hay cinco principios clave para la gestión y el gobierno de TI en COBIT:

PRINCIPIO 1
Deben satisfacerse las demandas y necesidades de las partes interesadas.

PRINCIPIO 2
Deben cubrirse todas las funciones y procesos que gobiernan la información de la organización

y las tecnologías relacionadas.

PRINCIPIO 3
Se debe implementar un marco integrado único que debería estar alineado con otros

estándares.

PRINCIPIO 4
Se debe adoptar o presentar un enfoque empresarial holístico de la ciberseguridad que incluya

el aprendizaje de los competidores y otras empresas.

PRINCIPIO 5
Gobernanza y Gestión deben ser dos entidades diferentes.
SIETE ASPECTOS DE LA GOBERNANZA

Además, se deben identificar siete aspectos de la gobernanza para que los cinco principios clave funcionen
correctamente:

• Políticas, marcos y principios

• Procesos

• Estructura de la organización

• Cultura, ética y comportamiento

• Información

• Servicios, Infraestructura y Aplicaciones

• Personas, Habilidades y Competencias

• Principios, Políticas y Marcos

• Estructura organizativa

• Procesos de la empresa

• Cuestiones éticas y de comportamiento y sobre toda la cultura.

• El flujo de información

• Aplicaciones, servicios e infraestructura

• Competencias, habilidades y recursos humanos

COMPARACIÓN DE VERSIONES DE COBIT
COBIT 5 COBIT 2019
COBIT 5 es un estado evolucionado de COBIT 4.1 COBIT 2019 se desarrolló para abordar las
que integra estándares de la Organización necesidades de seguridad recientes de las
Internacional de Estándares (ISO) organizaciones y también se alinea con varios otros
marcos, lo que lo convierte en una buena opción
para unificar procesos en toda una organización.
COBIT 5 se utiliza para crear marcos e implementar Muy parecido a COBIT 5; COBIT 2019 también es un
estrategias para la gestión y gobernanza de la marco que se utiliza para abordar la seguridad, la
información. gestión de riesgos y la gobernanza.
Se considera uno de los estándares más holísticos Se considera uno de los estándares más holísticos
para lograr metas y objetivos de TI. para lograr metas y objetivos de TI.

METODOLOGÍA DE COBIT

INTRODUCCIÓN Y METODOLOGÍA

Introduce modelos de madurez de capacidades y amplía las directrices de gobernanza. El progreso del
gobierno y la gestión de la organización sigue un enfoque puntuado.

OBJETIVOS DE GOBERNANZA Y GESTIÓN

Se han realizado actualizaciones al modelo COBIT para evaluar los 40 objetivos del modelo.

DISEÑO DE GOBERNANZA DE TI

DISEÑO DE UNA SOLUCIÓN DE GOBERNANZA DE TI

Para satisfacer las necesidades particulares de una organización, se han brindado consejos prácticos.

IMPLEMENTACIÓN Y ORGANIZACIÓN

Más orientación para utilizar la Guía de diseño con el marco COBIT.

NORMAS ISO/IEC 27002

INTRODUCCIÓN

ISO/IEC 27002 es parte de la familia de normas ISO 27000. Se derivó de la norma ISO/IEC 17799, que fue
revisada en 2005 para alinearse con las normas de la serie ISO/IEC 27000 y renombrada a ISO/IEC 27002. La
última revisión Comparación de versiones de COBIT

ALCANCE DE LA GOBERNANZA DE LA INFORMACIÓN

ALCANCE

Dado que la gobernanza y la gestión de la seguridad de la información tienen una amplia influencia en todo
tipo de organizaciones, ISO/IEC 27002 es aplicable a todas las organizaciones que manejan y dependen de
información, como empresas y negocios sin fines de lucro, de pequeña escala, comerciales, benéficos y
multinacionales.

Incluso si existen diferencias en los detalles específicos de la seguridad de la información, la mayoría de las
organizaciones emplean procesos similares, como el trato como empleados y la influencia externa sobre la
seguridad de la información.

Cabe señalar que ISO/IEC 27002 se ocupa de todo tipo de seguridad de la información.

NECESIDADES DE GESTIÓN ISO

ISO/IEC 27001 E ISO/IEC 27002

El Anexo A de ISO/IEC 27001 contiene un resumen de ISO/IEC 27002 para definir el Sistema de Gestión de
Seguridad de la Información (SGSI).

LA NECESIDAD DE ISO 27001 E ISO 27002

La necesidad de ISO 27002: Sin los detalles ofrecidos en ISO 27002, los controles definidos en el Anexo - A de
ISO 27001 no podrían implementarse de manera sólida.

La necesidad de ISO 27001: Sin el apoyo de la alta dirección de ISO 27001, ISO 27002 sería un esfuerzo
solitario de unos pocos entusiastas de la seguridad de la información, sin el respaldo de la alta dirección y,
por lo tanto, sin ningún efecto real en la empresa.
MÓDULO2:
REQUISITOS DEL
SGSI
REQUISITOS DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI)

RESUMEN DE LA LECCIÓN

Después de completar este módulo, podrá:

 Interpretar los requisitos del Contexto de la Organización en SGSI como se establece en la Cláusula -
4 de la Norma ISO 27001:2013.
 Describa las funciones y responsabilidades del liderazgo o la alta dirección del SGSI como se
establece en la cláusula - 5 de la norma ISO 27001:2013.
 Resuma los requisitos de la Cláusula 6, que trata sobre el marco de planificación para el SGSI.
 Evaluar los requisitos de Funciones de Apoyo según lo establecido en la Cláusula - 7.
 Enumerar los requisitos de Planificación y control de la Operación (según Cláusula - 8.1).
 Reconocer las estrategias de evaluación y tratamiento de riesgos según la Cláusula - 8.2 y Cláusula -
8.3
 Describa los requisitos de evaluación del desempeño según la Cláusula - 9.
 Explique las iniciativas de mejora para el SGSI según la Subcláusula - 10.

CONTEXTO DE LA ORGANIZACIÓN (CLÁUSULA - 4)

La cláusula 4 de ISO/IEC 27001 trata de la necesidad de comprender el contexto de la organización,

comprender y garantizar el interés de las partes interesadas en la seguridad de la información, establecer el
alcance del SGSI y lograr los objetivos previstos de cumplimiento de ISO/IEC 27001.

Para lograr el resultado del SGSI es importante considerar la importancia y relevancia de los problemas
externos que pueden influir en el propósito del SGSI.

 Las condiciones ambientales como inundaciones y disturbios pueden tener un efecto profundo en
la seguridad de una organización, por lo que es importante determinar su influencia.
 Ciertas tendencias y factores clave, como las condiciones políticas, la economía, el avance de la
tecnología y la legislación, podrían afectar al SGSI, por lo que se debe determinar su influencia.

Las partes interesadas externas, como consumidores y proveedores, podrían influir en el SGSI, por lo que se
debe determinar su impacto.
NECESIDADES Y EXPECTATIVAS DE LAS PARTES INTERESADAS (CLÁUSULA - 4.2)

En términos simples, una "parte interesada" podría definirse como una parte interesada. Esto incluye a
todas las partes interesadas en la organización, incluidos el personal, los clientes, los directores, los
reguladores, los sindicatos, etc.

Las entidades maliciosas, como los piratas informáticos y los spammers, podrían considerarse partes
interesadas en el SGSI, aunque su nivel de experiencia se considerará un aporte al SGSI. Sin embargo, la
organización no necesita gestionar sus necesidades y expectativas, ya que son una amenaza para el SGSI de
la organización, a diferencia de otras partes interesadas importantes para las funciones comerciales.

La mejor práctica para desarrollar políticas de seguridad de la información es observar a estas partes
interesadas en términos de su capacidad para influir en el desempeño del SGSI.

En resumen, se deben determinar las partes interesadas y respetar sus necesidades y expectativas para
implementar eficazmente el SGSI.

 Es importante mantener satisfecho a un partido con alto poder pero con menor interés para
aumentar su interés. Este tipo de partido incluye legisladores y auditores.
 Un partido con gran poder y gran interés es un actor clave y debe ser notificado y tenido en cuenta
activamente al elaborar políticas SGSI.
 Algunos partidos pueden tener menor poder pero alto interés. Estas partes deberían ser notificadas
sobre los avances en las políticas de ISMS, pero no deberían influir significativamente en el ISMS.

COMPRENDER EL CONTEXTO DE LA ORGANIZACIÓN

Esta parte del estándar ayuda a identificar y comprender problemas

(internos y externos) que pueden ser relevantes para sus asuntos
comerciales y comprender el contexto de la organización antes de
establecer el Sistema de Gestión de Seguridad de la Información (SGSI).

 Para lograr el resultado del SGSI es importante considerar la

importancia y relevancia de los problemas internos que pueden
influir en el propósito del SGSI.
 Se debe determinar la influencia de las partes interesadas internas de la organización en el SGSI.
  Se debe determinar la influencia de la gestión sobre el SGSI.
 Se debe determinar la influencia de las capacidades de la organización y la habilidad y diligencia de
la fuerza laboral para mantener la seguridad de la información.
 Dado que la cultura de una organización puede ayudar a evaluar el enfoque de la organización
hacia los riesgos de la información, también se debe determinar la influencia de la cultura.
 Los contratos son el alma de las organizaciones y pueden afectar los riesgos de la información, por
lo que se debe determinar su influencia.

SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (CLÁUSULA - 4.4)

El SGSI desarrollado debe cumplir con la norma ISO 27001 y otros requisitos que la empresa suscriba.

ALCANCE DEL SGSI

EL ALCANCE DEL SGSI (CLÁUSULA - 4.3)

Esta es una parte crucial ya que incluye una declaración oficial de los
objetivos y el alcance del SGSI para todas las partes interesadas
internas y externas, incluidos auditores y legisladores.

 Deben establecerse límites en la aplicación del SGSI.

 El alcance del SGSI debe aclararse utilizando estos límites y
otros factores aplicables.
 Documentar y controlar el alcance del SGSI.

INTRODUCCIÓN CLÁUSULA 5

EL PROPÓSITO DE LA CLÁUSULA - 5 DE ISO/IEC

27001 es garantizar que la dirección de alto nivel esté comprometida a nivel individual y de recursos,
estableciendo una política de seguridad de la información y asignando responsabilidades relevantes entre
las partes internas y externas.
LIDERAZGO Y COMPROMISO

 Garantizar que se disponga de condiciones y recursos adecuados para lograr el objetivo del SGSI.
 Garantizar que el sistema de gestión esté integrado en los procesos de negocio de la organización.
 Asegurar que se realice una comunicación efectiva explicando la definición de responsabilidades de
seguridad de la información, involucrando, dirigiendo y alentando a las personas dentro del SGSI
para que puedan contribuir en sus áreas de trabajo para la implementación efectiva del SGSI.

LIDERAZGO

CLÁUSULA DE LIDERAZGO Y COMPROMISO

Esta sección tiene como objetivo garantizar que la alta dirección de la organización declare su compromiso
con el SGSI y comprenda lo que se requiere para lograr su compromiso.

 Se debe establecer responsabilidad y compromiso con el Sistema de Gestión de Seguridad de la

Información.
 Asegurar que las políticas del SGSI sean compatibles con el contexto de la organización y estén
establecidas en la organización.
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

Esta parte proporciona un marco para establecer una política de seguridad

de la información de la organización. La cláusula - 5.2 requiere establecer una
Política de Seguridad de la Información para la organización. Este es el
requisito de política general para el sistema de gestión y no debe confundirse
con las políticas relacionadas con los controles de operación del SGSI.

 La política debe estar alineada y ser adecuada al propósito de la

organización.
 La política debe proporcionar un marco para crear o establecer
objetivos de seguridad.
 La política debe comprometerse a alcanzar los objetivos de seguridad y realizar mejoras continuas
en el SGSI.

ROLES, RESPONSABILIDADES Y AUTORIDADES ORGANIZACIONALES

Esta parte trata de la adecuada asignación y comunicación de responsabilidades para lograr los objetivos del
SGSI.

 La alta dirección debe asignar responsabilidad y autoridad a las personas adecuadas para llevar a
cabo funciones de seguridad de la información.
 Asegurar que el SGSI cumpla con los requisitos y términos de la norma ISO 27001.
 Comunicar y documentar todas las responsabilidades y roles relevantes de la gestión de seguridad.

ASPECTOS GENERALES

Los aspectos generales de las acciones para abordar riesgos y oportunidades son:

 Identificar los riesgos y oportunidades relevantes al contexto de la empresa.

 Se deben tener en cuenta las cuestiones internas y externas al determinar la eficacia del SGSI.
 Se deben tener en cuenta los requisitos reglamentarios y legales al determinar la eficacia del SGSI.
 Realizar medidas preventivas de los riesgos y oportunidades que se identifican aquí.
PLANIFICACIÓN DE LA CLÁUSULA 6 ISO/IEC/27001

La cláusula 6 de ISO/IEC 27001 trata de abordar las

vulnerabilidades de seguridad y explotar oportunidades, así
como de establecer objetivos de seguridad de la información y
planes de acción para alcanzarlos.

ACCIONES PARA ABORDAR RIESGOS Y

OPORTUNIDADES (CLÁUSULA 6.1)

Esta parte proporciona las ideas básicas para abordar los

riesgos de seguridad de una empresa y luego realizar un
seguimiento con un proceso de evaluación de riesgos y un
proceso de tratamiento de riesgos adecuados.

OBJETIVOS Y PLANES DE SEGURIDAD DE LA INFORMACIÓN PARA LOGRAR LA

CLÁUSULA 6.2

OBJETIVOS DE SEGURIDAD DE LA INFORMACIÓN Y PLANES PARA LOGRARLA (CLÁUSULA - 6.2)

Esta parte proporciona un marco para determinar y alcanzar los objetivos del SGSI.

 Se deben establecer objetivos para la seguridad de la información de la empresa.

 Se deben establecer planes para lograr el objetivo de seguridad de la información de la empresa.

Se deben establecer procesos y personal responsable de lograr estos planes.

EVALUACIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN (CLÁUSULA - 6.1.2)

TRATAMIENTO DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN (CLÁUSULA - 6.1.3)

Las organizaciones deben tratar el riesgo haciendo lo siguiente:

 Definir y aplicar el proceso de Tratamiento de Riesgos de Seguridad de la Información.

 Identificar las opciones apropiadas de tratamiento de riesgos y desarrollar controles para ellas.
 Aplicar y documentar el proceso de Tratamiento de Riesgos de Seguridad de la Información.

La organización debe hacer lo siguiente para hacer frente a este

requisito:

 Definir y aplicar el proceso de Evaluación de Riesgos de

Seguridad de la Información.
 El proceso debe incluir criterios de aceptación y evaluación de
riesgos.
 El proceso también debe incluir la identificación, análisis,
evaluación, confidencialidad e integridad de la información
dentro del alcance del SGSI.
 El proceso de evaluación de riesgos de seguridad de la información debe documentarse.

COMPETENCIA SGSI

Esta sección tiene como objetivo garantizar que los recursos se manejen y administren de manera
competente.

 Las personas responsables del SGSI en la organización deben cumplir con los requisitos de
competencia establecidos por la norma ISO 27001:2013 para evitar influencias negativas en el
desempeño del SGSI.
 La competencia puede medirse por la educación, la experiencia o la formación relevante para la
tarea. Si no se cumple el estándar de competencia, se debe adquirir capacitación adicional o
personal nuevo para llevar la competencia al nivel requerido.
 Cualquier medida adoptada para mejorar la competencia debe documentarse y evaluarse para
medir su eficacia y para futuras auditorías.
CLÁUSULA 7 DE RECURSOS Y SOPORTE

SOPORTE (CLÁUSULA - 7)

La cláusula - 7 de ISO/IEC 27001 trata sobre el uso efectivo y la

documentación de los recursos asignados del SGSI.

Esta parte trata de la asignación adecuada de recursos.

Los recursos necesarios para implementar y mejorar

continuamente el SGSI deben ser proporcionados por la
organización.
 Los recursos requeridos pueden incluir la habilidad, el
tamaño y la confianza de las personas involucradas en el SGSI, así como las diversas habilidades
legales y regulatorias.

SGSI DE CONCIENTIZACIÓN

Esta parte garantiza que la función de recursos humanos de la empresa comprenda adecuadamente su
papel de concientización en la seguridad de la información.

 Se debe brindar concientización y comprensión al personal bajo el control de la organización sobre

la política de seguridad de la información y sus contenidos.
 Es importante que el personal bajo el control de la organización comprenda la influencia que su
desempeño personal tiene en el SGSI y sus objetivos y trabaje para mejorar el SGSI.
 Es importante que las personas comprendan las consecuencias de una violación de la seguridad
cuando no cumplen con los requisitos de la política.

FUENTES DE COMUNICACIÓN

Otras cláusulas en la parte de Soporte del estándar analizan la comunicación y la concientización.

Esta sección garantiza que el procedimiento de comunicación esté bajo el control de la organización.

Se deben determinar todas las fuentes de comunicación relevantes, ya sean internas y externas, y todos los
procesos detrás de los canales de comunicación, como qué se comunica, quién envía la comunicación y
quién la recibe.
Esta parte proporciona el procedimiento para la documentación adecuada de los recursos.

CONTROL DE LA INFORMACIÓN DOCUMENTADA

Para los controles se debe hacer lo siguiente:

 Se debe controlar la creación de todos los documentos y registros del SGSI.

 Se debe controlar la identificación de todos los documentos y registros del SGSI.
 Se debe controlar la distribución de todos los documentos y registros del SGSI.
 Se debe controlar el almacenamiento de todos los documentos y registros del SGSI.
 Se debe controlar la recuperación de todos los documentos y registros del SGSI.
 Se debe controlar la accesibilidad de todos los documentos y registros del SGSI.
 Se debe controlar el uso de todos los documentos y registros del SGSI.
 Protección Se deben controlar todos los documentos y registros del SGSI.
 Se debe controlar la modificación de todos los documentos y registros del SGSI.
 Se debe controlar la preservación de todos los documentos y registros del SGSI.

INFORMACIÓN DOCUMENTADA (CLÁUSULA - 7.5)

Las organizaciones deben determinar qué tan extensa debe ser la

documentación, incluidas las requeridas por el estándar y las necesarias para las
necesidades de seguridad de la información de la organización. Cabe señalar que
los documentos requeridos pueden variar de una organización a otra según el
tamaño, los productos, la complejidad, etc.

Según esta cláusula, la organización debe hacer lo siguiente:

 Debe controlarse adecuadamente toda la información documentada de las necesidades de la

organización.
 Debe preservarse la integridad, disponibilidad, origen y confidencialidad de los documentos
controlados.
 Los documentos requeridos por la norma ISO 27001 deben estar debidamente controlados por la
organización.
 Se debe gestionar adecuadamente el control de los documentos requeridos por el SGSI.

Según esta cláusula, la organización debe hacer lo siguiente:

 Los documentos creados y modificados deben gestionarse adecuadamente.

  Los documentos SGSI deben estar adecuadamente identificados y descritos.
 Los documentos SGSI deben presentarse en un formato adecuado y con una presentación de
contenido adecuada.

EVALUACIÓN DE SEGURIDAD DE RIESGOS DE LA INFORMACIÓN

Esta sección trata las circunstancias asociadas con cambios significativos o radicales realizados en el SGSI de
la organización. También fomenta la implementación de evaluaciones de riesgos de seguridad de la
información a intervalos planificados que generalmente se realizan anualmente.

 Las Evaluaciones de Riesgos de Seguridad de la Información deben ser establecidas por la

organización.
 Las evaluaciones de riesgos deberán realizarse como mínimo anualmente.
 Las evaluaciones de riesgos deben realizarse en caso de que se realicen cambios en los
procedimientos o medidas del SGSI.
 Las evaluaciones de riesgos detalladas sólo deben realizarse en activos de alto valor, ya que durante
las evaluaciones de riesgos la organización está potencialmente expuesta a riesgos elevados.
 Las evaluaciones de riesgos deberán estar definidas por los criterios establecidos en 6.1.2. Si es
necesario, la organización debe establecer niveles de riesgo y crear criterios de riesgos aceptables y
riesgos intolerables.
 Un proceso de Evaluación de Riesgos de la Información puede incluir:
 Determinar un proceso crítico cubierto por el alcance del SGSI.
 Determinar los recursos necesarios para la evaluación.
 Considere agencias que puedan tener un efecto negativo o mitigante sobre el activo.
 Determinar vulnerabilidades que puedan dejar el activo ante amenazas.
 Determinar la influencia y consecuencias de dichas amenazas sobre el activo.
 Determinar la probabilidad de la amenaza.
 Determinar el nivel de riesgo que la amenaza es capaz de asumir.
 Determinar si la amenaza cumple o excede los criterios de aceptación.
 Si excede los criterios de aceptación implementar opciones de tratamiento adecuadas.
 Monitorear la efectividad del tratamiento.

ORIENTACIÓN PARA LA EVALUACIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN

 Nivel 5: casi se espera que el riesgo ocurra y puede ocurrir en unos días.
 Nivel 4: el riesgo es muy probable y puede ocurrir en unas pocas semanas o meses.
 Nivel 3: el riesgo es probable y puede ocurrir dentro de un año.
 Nivel 2: el riesgo es bastante improbable y puede ocurrir después de varios años.
  Nivel 1: la posibilidad de que ocurra el riesgo es extremadamente remota y puede que no ocurra en
absoluto.

Un ejemplo de consecuencias asociadas con el riesgo de la información se puede clasificar como:

 Nivel 5 (Catastrófico): puede provocar quiebra o desventaja financiera permanente, daños

adversos a la imagen de marca y ramificaciones regulatorias significativas.
 Nivel 4 (crítico): pérdida financiera importante, mala prensa sostenida y ramificaciones legales
importantes
 Nivel 3 (Marginal): pérdida financiera sostenida, mala prensa limitada y ramificaciones legales
limitadas.
 Nivel 2 (Menor): Pérdida financiera menor, mala prensa y ramificaciones legales.
 Nivel 1 (Insignificante): pérdida financiera muy pequeña o nula, mala prensa insignificante y
ramificaciones legales.

La organización debe conservar un registro documentado de todas las evaluaciones de riesgos y priorizar
todos los riesgos descubiertos durante esas evaluaciones.

La mejor práctica es que varias personas con competencias similares cotejen los resultados de su evaluación
de riesgos para tener una representación precisa de los riesgos asociados con el SGSI.

CLÁUSULA 8.3 SOBRE EL TRATAMIENTO DEL RIESGO DE SEGURIDAD

Esta sección trata las consecuencias del descubrimiento de riesgos inaceptables identificados durante las
Evaluaciones de riesgos de seguridad de la información. Requiere que se implementen medidas de
tratamiento de riesgos para mantener la integridad del SGSI.

 La organización debe establecer e implementar planes y medidas de tratamiento de riesgos en caso

de riesgos inaceptables.
 La organización puede eliminar completamente el riesgo aplicando controles adicionales o
modificando los actuales.
 En circunstancias especiales, se puede aceptar un riesgo que supere los criterios de aceptación si
satisface la política de gestión de riesgos de la organización.
 Discontinuar los activos o procesos asociados al riesgo.
 Los bienes en riesgo pueden estar asegurados o ser responsabilidad de otra parte. Esto es
particularmente efectivo en el caso de activos financieros.

La organización deberá conservar los registros documentados de todos los procesos de tratamiento de
riesgos implementados.
EVALUACIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN

Esta parte también establece que la ejecución de los planes juega un papel en el logro de los objetivos
establecidos para el SGSI. Dado que algunos de los planes y procedimientos pueden provenir de fuentes
externas, es necesario identificar y controlar todas las medidas. Si la organización tiene la intención de
realizar algún cambio en los planes establecidos, se deben considerar minuciosamente los efectos del plan y
determinar sus consecuencias.

La cláusula 8 también incluye la implementación de Evaluaciones de Riesgos de Seguridad de la información

(que deben realizarse a intervalos planificados), su documentación y la determinación de su desempeño.

La Cláusula 8 también incluye el establecimiento de Planes de Tratamiento de Riesgos de Seguridad de la

información que se implementan para abordar los problemas de seguridad si se identifican.

También es importante conservar pruebas documentadas y registros de este plan.

OPERACIÓN DEL SGSI

OPERACIÓN DEL SGSI (CLÁUSULA - 8)

La cláusula - 8 de la norma ISO/IEC 27001 trata sobre la fase de ejecución de todos los
procedimientos y preparativos ya establecidos en las cláusulas anteriores.

OPERACIÓN, CONTROL Y PLANIFICACIÓN

Esta sección trata del control adecuado de los controles críticos de seguridad. Si el sistema de gestión de
seguridad de la información ya cumple con las cláusulas 6.1, 6.2 y, en particular, 7.5, bien estructuradas y
documentadas, existe una alta probabilidad de que también cumpla con los requisitos de la cláusula 8.1.

 Identificar, evaluar y establecer los procesos que la organización requiere para cumplir con sus
requisitos de seguridad de la información y poner en práctica las acciones adecuadas para abordar
sus riesgos y oportunidades de información.
 La organización debe planificar los controles y medidas requeridas para el SGSI.
 Se desarrollan los controles y medidas del SGSI.
 Se ponen en marcha los controles y medidas del SGSI.
  Se controlan todos los procesos SGSI desarrollados internamente y subcontratados.
 Los planes y medidas deben documentarse adecuadamente para tenerconfianza en su trabajo y
resultados. Estorequiere contar con procedimientos coherentes que pueden estar ya
implementados y pueden modificarse ligeramente para que sean compatibles con la política SGSI
de la organización.
 En caso de consecuencias esperadas o inesperadas debido a los cambios realizados en los controles
y medidas del SGSI, la organización debe tomarlas en consideración y determinar el mejor curso de
acción para eliminar cualquier efecto adverso.
 Los procesos del SGSI se mantienen adecuadamente.
 Implementar los planes desarrollados en la cláusula 6.2 con el fin de alcanzar los objetivos del
Sistema de Gestión de Seguridad de la Información de la organización.

INTRODUCCIÓN REQUISITOS DE EVALUACIÓN DEL DESEMPEÑO PARA

ORGANIZACIONES (CLÁUSULA - 9)

La cláusula - 9 de ISO/IEC 27001 trata sobre la gestión, auditoría y revisión del

desempeño del Sistema de Gestión de Seguridad de la Información.

ANÁLISIS Y EVALUACIÓN DE LA MEDICIÓN DEL ANILLO CLÁUSULA 9.1

Esta sección tiene como objetivo garantizar que una vez implementado el SGSI, la empresa sea capaz de
gestionarlo de forma eficaz.

 Identificar una forma de medir la eficacia del SGSI y la seguridad de la información de la empresa.
 Identificar una forma efectiva de monitorear el SGSI y la seguridad de la información de la empresa.
 Identificar una forma eficaz de medir el SGSI y la seguridad de la información de la empresa.
 Identificar una forma eficaz de analizar el SGSI y la seguridad de la información de la empresa.
 Identificar una manera efectiva de evaluar. SGSI y Seguridad de la Información de la empresa.
 Para determinar la efectividad del SGSI de su empresa evalúe los resultados de las medidas de
seguridad de la información.
REVISIÓN DE LA GESTIÓN - AUDITORÍA INTERNA

Esta parte trata sobre la evaluación del desempeño mediante la

implementación de auditorías internas. Incluye requisitos sobre lo
siguiente:

 Deben existir planes para desarrollar un programa de auditoría

interna del SGSI.
 El programa de auditoría debería poder identificar si el SGSI
coincide con sus requisitos.
 El programa de auditoría debería poder identificar si el SGSI se implementa correctamente.
 Se debe implementar el programa de auditoría interna del SGSI.
 Implementar los procedimientos requeridos para la auditoría interna.
 Las responsabilidades de auditoría deben establecerse y entregarse a auditores objetivos e
imparciales.
 Se deben establecer requisitos para el programa de auditoría interna.
 Se deben establecer rutinas y cronogramas para el programa de auditoría interna.
 Se deben realizar informes adecuados de las auditorías para tener evidencia documentada.

Esta parte es para garantizar que el SGSI pueda mantenerse continuamente adecuado, adecuado y eficaz.

 Se debe planificar un proceso de gestión.

 Se debe establecer un procedimiento de revisión por la dirección.
 Se debe revisar el desempeño del SGSI.
 Se debe generar y conservar un registro documentado de las revisiones de la dirección.

CORRECTIVO Y DE MEJORA

Esta sección garantiza que la organización cuente con procedimientos para

prevenir y corregir cualquier no conformidad.

 Determinar las no conformidades si se presentan.

 Se deben implementar medidas reactivas ante las no conformidades.
 Evaluar si es necesario eliminar o controlar las causas de las no
conformidades.
 Se deben aplicar medidas correctivas para abordar las causas.
  Se debe revisar el efecto de las acciones correctivas.

MEJORA (CLÁUSULA - 10)

La cláusula 10 de ISO/IEC 27001 se ocupa de los requisitos de acciones correctivas, la reacción y

corrección de no conformidades y la demostración de compromiso con la mejora continua del SGSI.

Esta parte asegura que la organización muestra un compromiso claro con el

compromiso continuo.

•La idoneidad, adecuación y eficacia del Sistema de Gestión de

Seguridad de la Información debe mejorarse continuamente para
alcanzar los objetivos de la organización.
MÓDULO 3:
CONTROLES DE
OPERACIONES DE
SEGURIDAD DE LA
INFORMACIÓN

CONTROLES DE OPERACIONES DE SEGURIDAD DE LA INFORMACIÓN

LOS RESULTADOS DEL APRENDIZAJE

Después de completar este módulo, podrá:

 Explicar los controles relacionados con las políticas de seguridad de la información y organización
de la seguridad de la información.
 Reconocer los controles relacionados con la seguridad de los recursos humanos.
 Describa los controles enumerados en la evaluación de la gestión y el control de acceso.
 Describir los controles relacionados con la criptografía, la seguridad física y ambiental.
 Resumir los requisitos de controles en materia de seguridad de las operaciones, seguridad de las
comunicaciones, adquisición y mantenimiento de sistemas.
 Evaluar los requisitos de relación con proveedores y gestión de incidentes de seguridad.
 Enumerar los requisitos de controles en la gestión y cumplimiento de la Continuidad del Negocio.

CONTROLES DE SEGURIDAD DE LA INFORMACIÓN

CONTROLES DE SEGURIDAD DE LA INFORMACIÓN (ANEXO - A)

Las 14 categorías de controles de seguridad de la información de un SGSI se enumeran en el Anexo A de la

norma ISO 27001. Estos controles de seguridad son una parte importante para gestionar y mejorar la
seguridad de la información. El Anexo - A en resumen es un catálogo de controles de seguridad. Es un
documento donde es necesario identificar la declaración de aplicabilidad de cada uno para su organización
específica. Los 14 temas de seguridad de la información van desde el Anexo A5 al Anexo A18.

Resumen ilustrativo de las 14 categorías de controles

RESUMEN ILUSTRATIVO DE LOS CONTROLES DE OPERACIÓN ISO 27001

NO. DE CONTROLES DESCRIPCIÓN DE LA NO. DE CONTROLES
 CATEGORÍA DE CONTROL
A.5 Políticas de seguridad de la 2
información
A.6 Organización de la seguridad de 7
la información.
A.7 Seguridad de los recursos 6
humanos
A.8 Gestión de activos 10
A.9 Control de acceso 14
A.10 Criptografía 2
A.11 Seguridad física y ambiental. 15
A.12 Seguridad de las operaciones 14
A.13 Seguridad de las comunicaciones 7
A.14 Adquisición, desarrollo y 13
mantenimiento del sistema.
A.15 Relaciones con proveedores 5
A.16 Gestión de incidentes de 7
seguridad de la información.
A.17 Aspectos de seguridad de la 4
información de la gestión de la
continuidad del negocio.
A.18 Cumplimiento 8
Gran Total 114

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN (ANEXO - A.5)

Esta sección trata de la gestión de dirección y soporte de las necesidades de

seguridad de la información de una organización mientras mantenerse de acuerdo
con las leyes y regulaciones.

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

REVISIÓN DE LAS POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN (ANEXO - A.5.1.2)

Bajo este control, la organización debe hacer lo siguiente:

 Garantizar la continua idoneidad, adecuación y eficacia del SGSI revisándolo y actualizándolo con
frecuencia, preferiblemente a intervalos de 1 año.
 En caso de cambios significativos en la estructura de la organización, como cambios de tecnología o
tipo, se debe realizar un cambio en la política del SGSI.

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN (ANEXO - A.5.1.1)

Las organizaciones deben hacer lo siguiente para esta parte:

 La organización debe definir y aprobar políticas que estén de acuerdo con las necesidades de
seguridad de la información de la organización.
 El conjunto de políticas debe estar documentado.

SEGURIDAD DE LA INFORMACIÓN EN LA GESTIÓN DE PROYECTOS

Se debe obtener un contacto y comprensión adecuados de las necesidades de grupos especiales para
adaptar el control a las necesidades de la organización.

La propiedad de los activos de información y las responsabilidades respecto de la seguridad de la

información de esos activos deben asignarse por completo. Las funciones de seguridad deben ser claras para
abordar adecuadamente los objetivos del SGSI.

ORGANIZACIÓN INTERNA

La organización e implementación de las medidas de segregación necesarias

para el correcto establecimiento de los roles de seguridad. Esto es para
reducir las posibilidades de modificaciones no autorizadas o involuntarias de
la información.

ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (ANEXO - A.6)

El anexo A.6.1 es responsable de la organización interna. El objetivo de este grupo de control es desarrollar
un marco para la gestión y control de la implementación y operación del SGSI.

Se debe tener cuidado de establecer el contacto adecuado con las autoridades pertinentes.

La seguridad de la información debe implementarse en toda la organización y considerarse en la etapa de

planificación de todos los proyectos mayores y menores.

DISPOSITIVOS MÓVILES Y TELETRABAJO

DISPOSITIVOS MÓVILES Y TELETRABAJO (ANEXO - A.6.2)

Esta sección es la responsable del marco de seguridad de la información asociada al

teletrabajo y los dispositivos móviles.

Al desarrollar una política de seguridad de la información, se deben tomar medidas

para abordar los dispositivos portátiles como teléfonos móviles, tabletas y
computadoras portátiles.

Para aplicar esta política se puede hacer lo siguiente:

 Se puede implementar la estrategia de defensa en profundidad y la política BYOD (traiga su propio

dispositivo).
 Los empleados deben evitar compartir con nadie o utilizar Wi-Fi público gratuito en activos que
contengan información de la organización.
 Es responsabilidad de la organización proteger la información de sus stakeholders externos.

Bajo este control, es importante realizar lo siguiente:

 Las políticas de seguridad de la información deben abordar cómo se accede, procesa y almacena la
información en los sitios de teletrabajo.
 Se debe desarrollar una evaluación de riesgos adecuada y un enfoque flexible ante las
vulnerabilidades y amenazas potenciales al abordar decisiones relacionadas con el teletrabajo.

SEGURIDAD DE LOS RECURSOS HUMANOS

SEGURIDAD DE LOS RECURSOS HUMANOS (ANEXO - A.7)

El anexo A.7.1 es responsable de las actuaciones previas al empleo.

Las organizaciones deben hacer lo siguiente:

 Verificar los antecedentes y realizar un control de competencias de

todos los candidatos para el empleo. En el caso de contratistas, se
deberá realizar un proceso de selección si su empresa matriz no cumple con la norma ISO/IEC
27001.
 Se deben implementar controles de recursos humanos en todas las etapas del empleo para reducir
la probabilidad de amenazas e infracciones de seguridad.

La organización debe dejar claro que cumplir con la seguridad de la información es una responsabilidad
contractual de sus empleados y contratistas y tiene peso legal y es importante con respecto a la Ley de
Protección de Datos de 2018. Debe incluirse en los términos y condiciones de empleo.

RESPONSABILIDADES DE GESTIÓN

DURANTE EL EMPLEO (ANEXO - A.7.2), TERMINACIÓN O CAMBIO DE EMPLEO (ANEXO - A.7.3)

RESPONSABILIDADES DE LA GESTIÓN (ANEXO - A.7.2.1)

La gerencia debe garantizar que todos los empleados y contratistas cumplan con las políticas de seguridad
de la información de la organización. En este esfuerzo ellos pueden:

 Desarrollar un control adecuado para explicar la aplicación de la seguridad de la información a los

empleados y contratistas de acuerdo con las políticas de la organización.
 Deben incluir comprender las amenazas y controles de seguridad de la información relevantes para
sus trabajos y recibir capacitación periódica.

CONCIENTIZACIÓN, EDUCACIÓN Y CAPACITACIÓN SOBRE SEGURIDAD DE LA

INFORMACIÓN

CONCIENTIZACIÓN, EDUCACIÓN Y CAPACITACIÓN SOBRE SEGURIDAD DE LA INFORMACIÓN

(ANEXO - A.7.2.2)

La organización debe hacer lo siguiente:

  Asegurar que los empleados y contratistas hagan su trabajo bien y de manera segura, asegurarse de
que tengan el nivel requerido de Concientización y capacitación en seguridad.
 Deben ser informados periódicamente si se produce un cambio en la política de la organización y
cómo les afecta.

PROCESO DISCIPLINARIO

PROCESO DISCIPLINARIO (ANEXO - A.7.2.3)

La organización tiene el mandato de tener un proceso disciplinario para quienes no sigan las políticas y
procedimientos de seguridad de la información. Bajo esta organización tenemos que hacer lo siguiente:

 Desarrollar un proceso disciplinario documentado.

 Asegurar que el proceso disciplinario cumpla con la norma ISO/IEC 27001:2013.

TERMINACIÓN O CAMBIO DE EMPLEO

TERMINACIÓN O CAMBIO DE EMPLEO ((ANEXO - A.7.3.1)

El Anexo A.7.3 es responsable de proteger los intereses de la empresa en caso de cambio o terminación del
empleo.

Dentro de esta organización es necesario hacer lo siguiente:

 Los empleados están legalmente obligados a mantener confidencial la información perteneciente a

la organización en caso de cambio de funciones o rescisión del contrato.
 Las responsabilidades de seguridad de la información deben comunicarse adecuadamente a los
empleados y contratistas en los escenarios descritos anteriormente.

GESTIÓN DE ACTIVOS

INVENTARIO DE ACTIVOS (ANEXO - A.8.1.1)

Todos los activos vinculados con la información y las instalaciones de procesamiento de información deben
gestionarse adecuadamente y estar siempre actualizados durante su ciclo de vida.

GESTIÓN DE ACTIVOS (ANEXO - A.8)

 El anexo A.8.1 trata del manejo responsable de los activos.

Se debe desarrollar una Política de Uso Aceptable y todas las partes relevantes deben
tener acceso a las reglas documentadas de uso aceptable de los activos.

ACTIVO DE PROPIEDAD, RENDIMIENTO DE ACTIVOS

En este control la organización debe hacer lo siguiente:

 En caso de terminación del empleo o acuerdo, todos los empleados, contratistas y terceros
externos están obligados a devolver todos y cada uno de los activos de información que pertenecen
a la organización.
 Aparte de la información acordada como parte del acuerdo de salida, la información no devuelta
debe registrarse como un incidente de seguridad de la información y debe seguirse con el Anexo -
16.

La propiedad de todos los activos de información debe establecerse y documentarse y puede otorgarse a un
individuo, departamento u otra entidad, preferiblemente en el momento de su creación.

CLASIFICACIÓN DE LA INFORMACIÓN
CLASIFICACIÓN DE LA INFORMACIÓN (ANEXO - A.8.2)

El anexo A.8.2 trata sobre cómo se clasifica la información y garantiza que se le brinde la
seguridad adecuada según el nivel de importancia.

La organización debe clasificar la información según lo siguiente:

 Para clasificarla se deben utilizar los requisitos legales, valor, criticidad y sensibilidad de la
información.
 Debe mantenerse una proporcionalidad adecuada en la clasificación de los datos para garantizar
una protección adecuada y evitar confundir al usuario final.

MANEJO DE ACTIVOS
Las organizaciones deben hacer lo siguiente bajo este control:

 Se deben desarrollar, implementar y documentar procedimientos de etiquetado de información de

acuerdo con el esquema de clasificación de la información.
 El procedimiento de etiquetado debe abarcar tanto los medios físicos como los electrónicos.

Para el adecuado manejo de los bienes; Es necesario desarrollar procedimientos estandarizados. e

implementados que toman niveles de acceso, mantenimiento de documentación registros, intercambio de
datos apropiados con partes autorizadas y almacenamiento de activos de acuerdo con las especificaciones
de clasificación de la información en consideración.

ETIQUETADO DE INFORMACIÓN

CLASIFICACIÓN DE LA INFORMACIÓN (ANEXO - A.8.2)

El anexo A.8.2 trata sobre cómo se clasifica la información y garantiza que se le brinde
la seguridad adecuada según el nivel de importancia.

Las organizaciones deben hacer lo siguiente bajo este control:

 Se deben desarrollar, implementar y aplicar procedimientos de etiquetado de información.

Documentado según el esquema de clasificación de la información.
 El procedimiento de etiquetado debe abarcar tanto los medios físicos como los electrónicos.

MANEJO DE MEDIOS

MANEJO DE MEDIOS (ANEXO - A.8.3)

El anexo A.8.3 trata sobre el manejo de medios.

La organización debe hacer lo siguiente:

 Para reducir el riesgo de fuga de información confidencial, la eliminación de

los medios debe realizarse siguiendo procedimientos documentados.
 La eliminación debe clasificarse según la importancia de la información en los medios.
GESTIÓN DE MEDIOS EXTRAÍBLES

La organización debe hacer lo siguiente:

 Se deben utilizar mensajeros confiables y autorizados para evitar el acceso no autorizado, el mal
uso o la corrupción durante el transporte.
 Se deben mantener registros de los medios que se transportan.

La organización debe hacer lo siguiente:

 Los medios removibles deben gestionarse implementando procedimientos de acuerdo con el

esquema de clasificación.
 Se debe mantener un registro de todas las retiradas autorizadas de medios.

POLÍTICAS DE CONTROL DE ACCESO Y SERVICIOS DE RED

CONTROL DE ACCESO (ANEXO - A.9)

El anexo A.9.1 trata las necesidades comerciales de control de acceso.

POLÍTICA DE CONTROL DE ACCESO (ANEXO - A.9.1.1)

Las organizaciones deben hacer lo siguiente bajo este control:

 Para los activos bajo el alcance del SGSI se debe establecer, documentar y revisar periódicamente
una política de control de acceso teniendo en cuenta las necesidades del negocio.
 Debe alinearse con el esquema de clasificación de información en uso según el Anexo A.8.

ACCESO A REDES Y SERVICIOS DE RED (ANEXO - A.9.1.2)

La política de seguridad debe abordar el alcance de los servicios de red, la autorización de la información y
las medidas y procedimientos para el acceso y seguimiento no autorizados. Los usuarios deben proporcionar
únicamente servicios aprobados y autorizados para la red y la red.
GESTIÓN DE ACCESO DE USUARIOS

GESTIÓN DE ACCESO DE USUARIOS (ANEXO - A.9.2)

El Anexo - A.9.2 trata de la gestión del acceso de los usuarios.

REGISTRO DE USUARIO

REGISTRO DE USUARIO (ANEXO - A.9.2.1)

Las organizaciones deben hacer lo siguiente en este caso:

 La política debe implementar procedimientos formales para el registro y baja formal de usuarios.
 En el caso de ID de acceso compartido, deben aprobarse y registrarse; además, las credenciales
únicas de acceso deben estar ahí en caso de acceso compartido.

ACCESO DE USUARIO (ANEXO - A.9.2.2)

La política debe implementar un proceso para asignar y revocar derechos de acceso para todos los tipos de
usuarios a todos los sistemas y servicios.

DERECHOS DE ACCESO PRIVILEGIADO (ANEXO - A.9.2.3)

La organización debe tener restricciones y controles para la asignación y uso de derechos privilegiados. En
virtud de esto, la organización debe encargarse de lo siguiente:

 Cuando se trata de niveles de acceso privilegiados más altos, como la administración del sistema, se
deben implementar controles más estrictos para mantener la integridad de la información a menos
que se autorice.
 Una buena práctica es contar con auditorías internas para revisar el control.
INFORMACIÓN DE AUTENTICACIÓN SECRETA

INFORMACIÓN DE AUTENTICACIÓN SECRETA (ANEXO - A.9.2.4)

Se necesita un proceso de gestión formal para este control. La organización tiene que hacer lo siguiente en
tal caso:

 La organización debe implementar procedimientos que identifiquen o verifiquen la identidad de los

usuarios antes de proporcionar información de autenticación secreta nueva, de reemplazo o
temporal.
 Suele estar vinculado con el Anexo - A.7 y, en el caso de partes externas, con el Anexo - A.13.2.4 y
con el Anexo - A.15.

REVISIÓN DE DERECHOS (ANEXO - A.9.2.5)

Los propietarios de activos en las organizaciones deben revisar los derechos a intervalos regulares. Los
derechos de privilegios más elevados deben revisarse con mayor frecuencia.

RESPONSABILIDADES DEL USUARIO

El anexo A.9.3 trata de las responsabilidades del usuario. Su objetivo es

responsabilizar al usuario de proteger su información de autenticación.

El usuario debe seguir las políticas establecidas por la organización para

proteger la información secreta para la autenticación.

Cuando no existen procedimientos, siempre se recomienda utilizar el sentido

común para la seguridad de la información cuando se trata de información de autenticación secreta.
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN (ANEXO - A.5)

Políticas de seguridad de la información

Esta sección trata de la gestión de dirección y soporte de las necesidades de

seguridad de la información de una organización mientras mantenerse de acuerdo
con las leyes y regulaciones.

PROGRAMA DE CONTROL DE ACCESO

Las organizaciones deben hacer lo siguiente bajo este control:

 La organización debe garantizar que el código fuente y sus elementos asociados estén restringidos y
estrictamente controlados por personal autorizado.

Es de crucial importancia para las organizaciones cuya existencia gira en torno al código fuente.

La organización debe asegurarse de que el acceso a la información y las funciones del sistema de
aplicaciones esté vinculado a la política de control de acceso.

SISTEMA DE GESTIÓN DE CONTRASEÑAS

Las organizaciones deben hacer lo siguiente bajo este control:

 La organización debe asegurarse de que el acceso a los sistemas y aplicaciones esté controlado
mediante un procedimiento de inicio de sesión seguro.
 La organización debe garantizar que estos procedimientos no sean fácilmente eludidos.

Las organizaciones deben hacer lo siguiente bajo este control:

 La organización debe garantizar que no sólo se apliquen las contraseñas de manera consistente,
sino que también su seguridad cumpla con los requisitos.
 Aparte de los sistemas de generación de contraseñas; Los usuarios pueden crear sus contraseñas,
pero no deben estar por debajo de la seguridad requerida.
CONTROL DE ACCESO AL SISTEMA Y A LAS APLICACIONES

CONTROL DE ACCESO AL SISTEMA Y A LAS APLICACIONES (ANEXO - A.9.4)

El anexo A.9.4 trata del control de acceso al sistema y a las aplicaciones.

Las organizaciones deben hacer lo siguiente bajo este control:

 La organización debe garantizar una gestión adecuada de los programas capaces de anular el
sistema.
 Es importante informar y revisar el uso de programas de utilidad.

CRIPTOGRAFÍA

CRIPTOGRAFÍA (ANEXO - A.10)

El anexo A.10.1 trata de los controles criptográficos.

Las organizaciones deben hacer lo siguiente bajo este control:

 La política de la organización debe considerar la creación, distribución,

cambios, respaldo y almacenamiento del material de claves criptográficas a lo
largo de su ciclo de vida.
 La organización debe contar con procedimientos seguros en torno a la gestión de Claves
Criptográficas.

POLÍTICA DE USO DE CRIPTOGRAFÍA

Las organizaciones deben hacer lo siguiente bajo este control:

 Las tecnologías criptográficas deben seleccionarse y gestionarse adecuadamente para evitar crear
vulnerabilidades.
 La organización debe considerar los requisitos legales en torno al cifrado.
SEGURIDAD FÍSICA Y AMBIENTAL

SEGURIDAD FÍSICA Y AMBIENTAL (ANEXO - A.11)

El Anexo - A.11.1 trata sobre la protección de áreas físicas y ambientales.

PERÍMETRO DE SEGURIDAD FÍSICA (ANEXO - A.11.1.1)

Las organizaciones deben hacer lo siguiente bajo este control:

 La organización debe establecer parámetros de seguridad

alrededor de áreas que contengan información sensible y crítica
que pertenezca o sea importante para la organización.
 La organización es responsable de que sólo las personas
autorizadas puedan acceder y visualizar la información.

CONTROLES DE ENTRADA FÍSICA

CONTROLES DE ENTRADA FÍSICA ((ANEXO - A.11.1.2)

Las organizaciones deben hacer lo siguiente bajo este control:

 La organización debe asegurarse de que sólo las personas autorizadas tengan acceso a los centros
de información. Esto se puede lograr mediante la implementación de verificación biométrica o
medidas similares.
 Los controles de seguridad deben ser sólidos, probados y monitoreados en todo momento.

ÁREAS DE ENTREGA Y CARGA

ÁREAS DE ENTREGA Y CARGA (ANEXO - A.11.1.6)

Las organizaciones deben hacer lo siguiente bajo este control:

 La organización debe intentar controlar y asegurar todas las zonas de entrega y carga y si es posible,
intentar aislarlas de sus centros de procesamiento de información.
 Si la organización utiliza la nube u otro lugar de trabajo digital, puede excluir esta sección de su
Declaración de Aplicabilidad (SoA).
PROTECCIÓN CONTRA AMENAZAS EXTERNAS Y AMBIENTALES

PROTECCIÓN CONTRA AMENAZAS EXTERNAS Y AMBIENTALES (ANEXO - A.11.1.4)

Las organizaciones deben hacer lo siguiente bajo este control:

 La organización debe contar con medidas apropiadas para identificar, evaluar y tratar las amenazas
ambientales y provocadas por el hombre.
 Si es necesario, se debe consultar a un especialista.

PROTECCIÓN DE OFICINAS, HABITACIONES E INSTALACIONES

PROTECCIÓN DE OFICINAS, HABITACIONES E INSTALACIONES (ANEXO - A.11.1.3)

Las organizaciones deben hacer lo siguiente bajo este control:

 Aunque parezca obvio la organización debe considerar quién debe tener acceso y de qué manera a
las oficinas.
 Se debe esperar que el personal informe cualquier acceso no autorizado a la dirección
correspondiente.

TRABAJANDO EN ÁREAS SEGURAS

TRABAJO EN ÁREAS SEGURAS (ANEXO - A.11.1.5)

Las organizaciones deben hacer lo siguiente bajo este control:

 La organización debe contar con procedimientos dentro de las áreas seguras una vez que se hayan
desarrollado y establecido los controles de acceso.
 Esto se puede hacer monitoreando los registros de entrada y salida, restringiendo el uso de
herramientas de grabación o restringiendo el trabajo no supervisado dentro de estas áreas seguras.

UBICACIÓN Y PROTECCIÓN DE EQUIPOS

EQUIPO (ANEXO - A.11.2)

El anexo A.11.2 trata del equipo.

UBICACIÓN Y PROTECCIÓN DEL EQUIPO (ANEXO - A.11.2.1)

 La organización debe hacer lo siguiente bajo este control:

 La organización debe garantizar que el equipo esté protegido de

manipulaciones ambientales y accesos no autorizados
ubicándolos y protegiéndolos.
 Las evaluaciones de riesgos deben ser realizadas por aquellos.

POLÍTICA DE SEGURIDAD DE CABLEADO, ESCRITORIO DESPEJADO Y PANTALLA

SEGURIDAD DEL CABLEADO (ANEXO - A.11.2.3)

La organización debe hacer lo siguiente bajo este control:

 La organización debe garantizar que los cables que transportan cualquier tipo de datos estén
protegidos de interferencias, interceptaciones y daños.
 Estas medidas incluyen cableado separado para diferentes niveles, puntos de terminación para
dispositivos no autorizados y cableado subterráneo.

POLÍTICA DE LIMPIEZA DE ESCRITORIOS Y PANTALLAS (ANEXO - A.11.2.9)

A menos que sea innecesario debido a medidas de seguridad adicionales o un entorno urgente, la
organización debe implementar una política de escritorio y pantalla transparentes.

MANTENIMIENTO DE EQUIPOS, ELIMINACIÓN DE ACTIVOS

MANTENIMIENTO DE EQUIPOS (ANEXO - A.11.2.4)

La organización debe hacer lo siguiente bajo este control:

 La organización debe realizar mantenimiento rutinario, preventivo y reactivo de acuerdo al tipo,

propósito, citación y acuerdos contractuales de los equipos para asegurar su continua
disponibilidad e integridad.
 Se deben llevar registros de mantenimiento de los diferentes equipos que incluyan el registro de la
persona que realiza el mantenimiento, lo que se hizo y la persona que lo autorizó.

ELIMINACIÓN DE ACTIVOS (ANEXO - A.11.2.5)

La organización debe hacer lo siguiente bajo este control:

  La organización debe contar con medidas en caso de que los activos, el software y el equipo se
saquen del sitio mediante la implementación de procedimientos de registro de salida o otorgando a
un empleado la responsabilidad de administrar la seguridad fuera del sitio.
 La organización debe limitar el tiempo que se permite retirar cualquier activo sensible y deben
existir procesos adecuados según el nivel de riesgo.

SEGURIDAD DE EQUIPOS Y ELIMINACIÓN SEGURA

SEGURIDAD DE EQUIPOS Y ACTIVOS FUERA DE LAS INSTALACIONES (ANEXO - A.11.2.6)

La organización debe hacer lo siguiente bajo este control:

 Dado que los activos ubicados fuera de las instalaciones son una fuente común de vulnerabilidad, la
organización debe implementar un nivel apropiado de controles que pueden vincularse aún más a
las políticas móviles.
 Se recomienda que la organización implemente una variedad de medidas híbridas, físicas y técnicas,
para reducir el riesgo asociado con los activos fuera de las instalaciones.

ELIMINACIÓN SEGURA O REUTILIZACIÓN DE EQUIPOS (ANEXO - Α.11.2.7)

La organización debe hacer lo siguiente bajo este control:

 La organización debe asegurarse de que se tomen las medidas adecuadas cuando los equipos,
incluidos los dispositivos de almacenamiento, que contienen información confidencial se reutilicen
o se retiren para reducir las vulnerabilidades de seguridad.
 Se deben implementar tecnologías y procesos apropiados para restaurar el equipo a un estado
limpio antes de su reutilización o eliminación. Si es necesario, también se podrá llevar a cabo la
destrucción física al eliminar el equipo.

SERVICIOS PÚBLICOS DE APOYO

SERVICIOS PÚBLICOS DE APOYO (ANEXO - A.11.2.2)

La organización debe hacer lo siguiente bajo este control:

 La organización debe proteger el equipo de cortes de energía y otras fallas de servicios públicos.
 Los controles de Energía y Telecomunicaciones deben garantizar la disponibilidad de los sistemas de
procesamiento de información y estar alineados con las necesidades del negocio y las evaluaciones
de impacto.
EQUIPO DE USUARIO DESATENDIDO (ANEXO - A.11.2.8)

La organización debe hacer lo siguiente bajo este control:

 La organización debe tener en cuenta la ubicación de los equipos, el tráfico de visitantes, los
cambios frecuentes de personal, etc. Para desarrollar controles adecuados para proteger los
equipos desatendidos.
 La organización es responsable de asegurarse de que los usuarios sean conscientes de sus
responsabilidades al dejar equipos desatendidos bajo cualquier circunstancia.

SEGURIDAD DE LAS OPERACIONES

SEGURIDAD DE LAS OPERACIONES (ANEXO - A.12)

El Anexo A.12.1 trata los procedimientos y responsabilidades para garantizar

operaciones adecuadas y seguras de las instalaciones de procesamiento de
información.

La organización debe hacer lo siguiente bajo este control:

 La organización debe asegurarse de que todos los usuarios tengan acceso

a procedimientos operativos documentados.
 Los procedimientos documentados garantizan el funcionamiento óptimo de los sistemas y pueden
ser de importancia crítica en determinadas circunstancias.
 Los documentos de procedimientos operativos deben mantenerse, gestionarse y revisarse
periódicamente de forma adecuada.

GESTIÓN DE CAPACIDAD

La organización debe hacer lo siguiente bajo este control:

 La organización debe asegurarse de que los cambios realizados en el negocio, los procedimientos y
los sistemas de procesamiento de la información estén autorizados, controlados e implementados
de tal manera que se reduzcan las vulnerabilidades de seguridad.
 La organización debe tener registros de auditoría para comprobar el uso adecuado del cambio de
procedimientos
 La organización debe monitorear y tomar en consideración los requisitos de capacidad futuros, lo
que generalmente significa capacidad de almacenamiento de datos, capacidad de potencia de
 procesamiento y capacidad de comunicaciones, para garantizar que se cumplan los objetivos de la
empresa.

GESTIÓN DEL CAMBIO

La organización debe hacer lo siguiente bajo este control:

 La organización debe asegurarse de que los cambios realizados en el negocio, los procedimientos y
los sistemas de procesamiento de la información estén autorizados, controlados y implementado
de tal manera que reduzca las vulnerabilidades de seguridad.
 La organización debe tener registros de auditoría para comprobar el uso adecuado de los
procedimientos de cambio.

La organización debe asegurarse de que los entornos operativos, de prueba y de desarrollo de la empresa
estén separados para evitar el acceso no autorizado a través de los diferentes entornos.

CONTROL CONTRA MALWARE

El anexo A.12.2 trata de garantizar que la organización esté preparada en caso de ataques de malware. El
alcance cubre la información, así como las instalaciones de procesamiento de información.

La organización debe hacer lo siguiente:

 La organización debe implementar medidas para detectar, prevenir y controlar cualquier aparición
de malware para proteger el sistema.
 Aparte del software antivirus y la concienciación del usuario; La organización también puede
implementar otras políticas, como restringir la eliminación de medios extraíbles, parchear
oportunamente las vulnerabilidades conocidas en el sistema y prohibir la descarga no autorizada de
software en el equipo.

RESPALDO DE INFORMACIÓN

El anexo A.12.3 trata de la protección e implementación de copias de

seguridad de los datos.

La organización debe hacer lo siguiente bajo este control:

 La organización debe realizar copias de seguridad de datos

periódicas de acuerdo con los requisitos del negocio y el riesgo de indisponibilidad para proteger la
información.
  La organización debe dar el mismo nivel de seguridad a las copias de seguridad que las versiones en
vivo, como mínimo, y almacenarlas por separado de las versiones en vivo. Para reducir el daño
causado en caso de un solo compromiso.
 La organización debe realizar pruebas, seguimiento y registro periódicos de las copias de seguridad
para garantizar que las restauraciones sean exitosas y se realicen cuando sea necesario.

REGISTRO Y MONITOREO

REGISTRO Y MONITOREO (ANEXO - A.12.4)

El anexo A.12.4 trata del registro y seguimiento de eventos y mantiene evidencias para necesidades futuras.

La organización debe generar y almacenar registros de eventos que registren las actividades de los usuarios,
las fallas y las necesidades de seguridad. Estos registros de eventos deben revisarse periódicamente

La organización debe determinar un control sobre cómo los administradores del sistema inician sesión y
generan registros de eventos que deben protegerse y revisarse.

La organización deberá sincronizar todos los relojes con un único huso horario de referencia para todos los
dispositivos y sistemas de procesamiento de información.

PROTECCIÓN DE LA INFORMACIÓN DE REGISTRO.

La organización debe hacer lo siguiente bajo este control:

 La organización debe garantizar que las instalaciones y la información de registro estén protegidas
del acceso no autorizado, ya que los registros a menudo contienen datos confidenciales y valiosos.
 Dado que los registros se pueden utilizar en procedimientos legales, es importante que se
almacenen en un entorno protegido y libre de manipulaciones.

CONTROL DEL SOFTWARE OPERATIVO

El anexo A.12.5 trata de la integridad y el control del software de operación.

La organización debe hacer lo siguiente:

 La organización debe desarrollar controles para gestionar formalmente la instalación de software

en el sistema.
  La organización debe asegurarse de que todo el software instalado se obtenga e instale
legítimamente.
 Es una buena práctica tener un registro de los cambios en las versiones de software y los
procedimientos para volver a una versión anterior.

PERÍMETRO DE SEGURIDAD FÍSICA

PERÍMETRO DE SEGURIDAD FÍSICA (ANEXO - A.11.1.1)

Las organizaciones deben hacer lo siguiente bajo este control:

 La organización debe establecer parámetros de seguridad alrededor de áreas que contengan

información sensible y crítica que pertenezca o sea importante para la organización.
 La organización es responsable de que sólo las personas autorizadas puedan acceder y visualizar la
información.

CONTROLES DE ENTRADA FÍSICA ((ANEXO - A.11.1.2)

Las organizaciones deben hacer lo siguiente bajo este control:

 La organización debe asegurarse de que sólo las personas autorizadas tengan acceso a los centros
de información. Esto se puede lograr mediante la implementación de verificación biométrica o
medidas similares.
 Los controles de seguridad deben ser sólidos, probados y monitoreados en todo momento.

PROTECCIÓN CONTRA AMENAZAS EXTERNAS Y AMBIENTALES (ANEXO - A.11.1.4)

Las organizaciones deben hacer lo siguiente bajo este control:

 La organización debe contar con medidas apropiadas para identificar, evaluar y tratar las amenazas
ambientales y provocadas por el hombre.
 Si es necesario, se debe consultar a un especialista.

ÁREAS DE ENTREGA Y CARGA (ANEXO - A.11.1.6)

Las organizaciones deben hacer lo siguiente bajo este control:

 La organización debe intentar controlar y asegurar todas las zonas de entrega y carga y si es posible,
intentar aislarlas de sus centros de procesamiento de información.
 Si la organización utiliza la nube u otro lugar de trabajo digital, puede excluir esta sección de su
Declaración de Aplicabilidad (SoA).
TRABAJAR EN ÁREAS SEGURAS

TRABAJO EN ÁREAS SEGURAS (ANEXO - A.11.1.5)

Las organizaciones deben hacer lo siguiente bajo este control:

 La organización debe contar con procedimientos dentro de las áreas seguras una vez que se hayan
desarrollado y establecido los controles de acceso.
 Esto se puede hacer monitoreando los registros de entrada y salida, restringiendo el uso de
herramientas de grabación o restringiendo el trabajo no supervisado dentro de estas áreas seguras.

ÁREAS DE ENTREGA Y CARGA (ANEXO - A.11.1.6)

Las organizaciones deben hacer lo siguiente bajo este control:

 La organización debe intentar controlar y asegurar todas las zonas de entrega y carga y si es posible,
intentar aislarlas de sus centros de procesamiento de información.
 Si la organización utiliza la nube u otro lugar de trabajo digital, puede excluir esta sección de su
Declaración de Aplicabilidad (SoA).

GESTIÓN TÉCNICA DE VULNERABILIDAD

GESTIÓN TÉCNICA DE VULNERABILIDAD (ANEXO - A.12.6)

El anexo A.12.6 trata las medidas relativas a las vulnerabilidades técnicas. También pretende evitar la
explotación de vulnerabilidades.

GESTIÓN DE VULNERABILIDADES TÉCNICAS (ANEXO - A.12.6.1)

La organización debe hacer lo siguiente:

La organización debe comprender que cualquier vulnerabilidad conlleva una amenaza significativa a la
integridad de la información y debe ser evaluada y luego eliminada cuando los niveles de riesgo sean
inaceptables.

La organización debe lograr un equilibrio entre la publicación de parches para abordar las vulnerabilidades y
las pruebas suficientes de esos parches.

POLÍTICA DE ESCRITORIO CLARO

SEGURIDAD DEL CABLEADO (ANEXO - A.11.2.3)

La organización debe hacer lo siguiente bajo este control:

 La organización debe garantizar que los cables que transportan cualquier tipo de datos estén
protegidos de interferencias, interceptaciones y daños.
 Estas medidas incluyen cableado separado para diferentes niveles, puntos de terminación para
dispositivos no autorizados y cableado subterráneo.

POLÍTICA DE LIMPIEZA DE ESCRITORIOS Y PANTALLAS (ANEXO - A.11.2.9)

A menos que sea innecesario debido a medidas de seguridad adicionales o un entorno urgente, la
organización debe implementar una política de escritorio y pantalla transparentes.

MANTENIMIENTO DE EQUIPOS

EQUIPO (ANEXO - A.11.2)

El anexo A.11.2 trata del equipo.

UBICACIÓN Y PROTECCIÓN DEL EQUIPO (ANEXO - A.11.2.1)

La organización debe hacer lo siguiente bajo este control:

 La organización debe garantizar que los equipos estén

protegidos de amenazas ambientales y accesos no autorizados
ubicándolos y protegiéndolos.
 Las evaluaciones de riesgos deben ser realizadas por aquellos

MANTENIMIENTO DE EQUIPOS (ANEXO - A.11.2.4)

La organización debe hacer lo siguiente bajo este control:

 La organización debe realizar mantenimiento rutinario, preventivo y reactivo de acuerdo al tipo,

propósito, citación y acuerdos contractuales de los equipos para asegurar su continua
disponibilidad e integridad.
 Se deben llevar registros de mantenimiento de los diferentes equipos que incluyan el registro de la
persona que realiza el mantenimiento, lo que se hizo y la persona que lo autorizó.
RESTRICCIONES A LA INSTALACIÓN DE SOFTWARE

RESTRICCIONES A LA INSTALACIÓN DE SOFTWARE (ANEXO - A.12.6.2)

La organización debe hacer lo siguiente:

 La organización debe imponer restricciones y reglas sobre el software que puede instalar el usuario.
 Dado que es difícil prohibir completamente la instalación de software por parte de los usuarios, la
organización debe formar una lista blanca de software permitido.

ELIMINACIÓN DE ACTIVOS (ANEXO - A.11.2.5)

La organización debe hacer lo siguiente bajo este control:

 La organización debe contar con medidas en caso de que los activos, el software y el equipo sean
sacados del sitio por implementar procedimientos de check-in-out o darle a un empleado la
responsabilidad de administrar la seguridad fuera del sitio.
 La organización debe limitar el tiempo que se permite la eliminación de activos sensibles y deben
implementarse procesos adecuados de acuerdo con el nivel de riesgo.

ACTIVOS FUERA DE LAS INSTALACIONES

SEGURIDAD DE EQUIPOS Y ACTIVOS FUERA DE LAS INSTALACIONES (ANEXO - A.11.2.6)

La organización debe hacer lo siguiente bajo este control:

 Dado que los activos ubicados fuera de las instalaciones son una fuente común de vulnerabilidad, la
organización debe implementar un nivel apropiado de controles que pueden vincularse aún más a
las políticas móviles.
 Se recomienda que la organización implemente una variedad de medidas híbridas, físicas y técnicas,
para reducir el riesgo asociado con los activos fuera de las instalaciones.

ELIMINACIÓN SEGURA O REUTILIZACIÓN DE EQUIPOS (ANEXO - A.11.2.7)

La organización debe hacer lo siguiente bajo este control:

 La organización debe asegurarse de que se tomen las medidas adecuadas cuando los equipos,
incluidos los dispositivos de almacenamiento, que contienen información confidencial se reutilicen
o se retiren para reducir las vulnerabilidades de seguridad.
  Se deben implementar tecnologías y procesos apropiados para restaurar el equipo a un estado
limpio antes de su reutilización o eliminación. Si es necesario, también se podrá llevar a cabo la
destrucción física al eliminar el equipo.

EQUIPO DE USUARIO DESATENDIDO

EQUIPO DE USUARIO DESATENDIDO (ANEXO - A.11.2.8)

La organización debe hacer lo siguiente bajo este control:

 La organización debe tener en cuenta la ubicación de los equipos, el tráfico de visitantes, el cambio
frecuente de personal, etc. Desarrollar controles apropiados para proteger el equipo desatendido.
 La organización es responsable de asegurarse de que los usuarios sean conscientes de sus
responsabilidades al dejar equipos desatendidos bajo cualquier circunstancia.

SERVICIOS PÚBLICOS DE APOYO (ANEXO - A.11.2.2)

La organización debe hacer lo siguiente bajo este control:

 La organización debe proteger el equipo de cortes de energía y otras fallas de servicios públicos.
 Los controles de Energía y Telecomunicaciones deben garantizar la disponibilidad de los sistemas de
procesamiento de información y estar alineados con las necesidades del negocio y las evaluaciones
de impacto.

CONTROLES DE AUDITORÍA DE INFORMACIÓN

La organización debe hacer lo siguiente:

 La organización debe reducir las interrupciones comerciales causadas por las auditorías
planificando y acordando cuidadosamente los requisitos y actividades de auditoría.
 La organización debe determinar el alcance y profundidad de la auditoría y asegurarse de que no
afecte negativamente al sistema.

El Anexo A.12.7 trata las consideraciones de auditoría cuando se trata de sistemas de información.
SEGURIDAD DE LAS COMUNICACIONES

SEGURIDAD DE LAS COMUNICACIONES (ANEXO - A.13)

El anexo A.13.1 trata de la gestión de la seguridad de la red y de

garantizar la protección de la información y los sistemas de
procesamiento de información en las redes.

La organización debe hacer lo siguiente:

La organización debe desarrollar medidas que garanticen la

protección y gestión adecuadas de cualquier información
dentro de su sistema presente dentro de una red.
 Las medidas de la red deben tener en cuenta las
operaciones comerciales, las necesidades comerciales, la evaluación y clasificación de riesgos y
estar diseñadas e implementadas proporcionalmente.

SEGREGACIÓN EN REDES

La organización debe segregar los servicios de información, los usuarios y los sistemas de información
siempre que sea posible mediante la implementación de un diseño y control de red que permita políticas de
clasificación de la información y requisitos de segregación.

Para proteger la red, la empresa debe incluir mecanismos de seguridad, niveles de servicio y medidas
presentes para proteger los servicios de red en sus acuerdos de servicio de red.

TRANSFERENCIA DE INFORMACIÓN

TRANSFERENCIA DE INFORMACIÓN (ANEXO - A.13.2)

Anexo - A.13.2 trata de la seguridad de la transferencia de información interna y externa.

La organización debe hacer lo siguiente:

 La organización debe determinar qué tipo de mensajería electrónica se utilizará para qué tipo de
transferencia de datos dependiendo de la seguridad del sistema de transferencia.
 Los controles de acceso, las medidas de inicio de sesión y los procedimientos de autenticación se
pueden vincular a esto.
ACUERDO SOBRE TRANSFERENCIA DE INFORMACIÓN

La organización debe hacer lo siguiente:

 La organización debe asegurarse de utilizar acuerdos de confidencialidad y no divulgación para

proteger sus datos.
 Algunas cláusulas estándar sobre confidencialidad y no divulgación

Los acuerdos incluyen acuerdos generales y mutuos de confidencialidad, términos y condiciones de servicio,
acuerdos laborales y políticas de privacidad.

Cuando se transfiere la información, ya sea digital o físicamente, se deben seleccionar, implementar, operar,
monitorear, auditar y revisar protocolos y medidas formales para garantizar una protección de seguridad
efectiva y continua.

POLÍTICAS DE TRANSFERENCIA DE INFORMACIÓN

La organización debe hacer lo siguiente:

 La organización debe comprender el riesgo para la confidencialidad, integridad y disponibilidad de

la información que se transfiere sin importar el medio de comunicación y desarrollar medidas de
acuerdo con el tipo, naturaleza, cantidad y sensibilidad o clasificación de la información que se
transfiere.
 Esto es especialmente importante cuando se intercambia información con terceros externos.

REQUISITOS DE SEGURIDAD DE LA INFORMACIÓN

ANÁLISIS Y ESPECIFICACIÓN DE REQUISITOS DE SEGURIDAD DE LA INFORMACIÓN (ANEXO -

A.14.1.1)

La organización debe hacer lo siguiente:

 La organización debe garantizar que los objetivos de seguridad

estén integrados para cualquier sistema de información nuevo o
mejora del sistema actual.
 Se deben realizar evaluaciones de riesgos que determinen los
controles de seguridad adecuados según los requisitos del
negocio antes del desarrollo del sistema.
  La dirección debe documentar y acordar los controles de seguridad para que se pueda hacer
referencia a ellos a medida que se desarrolla la solución.

PROTECCIÓN DE TRANSACCIONES DE SERVICIOS DE APLICACIONES

Protección de las transacciones de servicios de aplicaciones (Anexo - A.14.1.3)

La organización debe hacer lo siguiente:

 La organización debe adoptar un enfoque casi en tiempo real para proteger las transacciones de
servicios de aplicaciones contra transmisiones incompletas, enrutamientos incorrectos, alteraciones
no autorizadas de mensajes, revelaciones no autorizadas y duplicaciones no autorizadas de
mensajes.
 La organización puede implementar medidas de seguridad adicionales, como firmas electrónicas,
cifrado y protocolos seguros.

ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS

ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DEL SISTEMA (ANEXO - A.14)

El anexo A.14.1 trata de garantizar que la seguridad de la información se implemente en todo el ciclo de vida
de los sistemas de información.

PROTECCIÓN DE SERVICIOS DE APLICACIONES EN REDES PÚBLICAS (ANEXO - A.14.1.2)

La organización debe hacer lo siguiente:

 La organización debe comprender el riesgo involucrado y los objetivos de seguridad de acuerdo con
las necesidades del negocio cuando pasar información a redes públicas como internet.
 La organización debe mantener la confidencialidad, integridad y disponibilidad de la información
frente a actividades fraudulentas, divulgación y modificación no autorizadas.
 La organización debe monitorear constantemente la información para detectar actividades y
ataques no deseados.

RESTRICCIONES SOBRE CAMBIOS EN PAQUETES DE SOFTWARE

RESTRICCIONES SOBRE CAMBIOS EN PAQUETES DE SOFTWARE (ANEXO - A.14.2.4)

Las organizaciones deben hacer lo siguiente bajo este control:

  La organización debe intentar limitar y desalentar cualquier cambio innecesario realizado en el
software.
 Si es necesario realizar cambios, todos los cambios deben controlarse estrictamente y no tener un
impacto no deseado en la integridad o seguridad del software.

POLÍTICA DE DESARROLLO SEGURO

PRINCIPIOS DE INGENIERÍA DE SISTEMAS SEGUROS (ANEXO - Α.14.2.5)

La organización debe garantizar que los principios de ingeniería de software seguros, tanto a nivel general
como específico de las plataformas de desarrollo, se establezcan, documenten, mantengan y apliquen a
cualquier sistema de información.

POLÍTICA DE DESARROLLO SEGURO (ANEXO - A.14.2.1)

La organización debe implementar una política de desarrollo seguro que fomente el uso de prácticas de
desarrollo y codificación seguras desde las etapas de diseño hasta la implementación en vivo.

REVISIÓN TÉCNICA DE APLICACIONES DESPUÉS DE CAMBIOS EN LA PLATAFORMA OPERATIVA

(ANEXO - A.14.2.3)

Las organizaciones deben hacer lo siguiente bajo este control:

La organización debe garantizar que haya un impacto adverso en la seguridad del sistema cuando se
cambian las plataformas operativas y se prueban o revisan las aplicaciones críticas para el negocio.

 La compatibilidad de las aplicaciones debe probarse previamente en un entorno de desarrollo o

prueba.
 El control de gestión de cambios estándar debe determinar el control de gestión de cambios
estándar.

PRINCIPIOS DE INGENIERÍA DE SISTEMAS SEGUROS (ANEXO - Α.14.2.5)

La organización debe garantizar que los principios de ingeniería de software seguros, tanto a nivel general
como específico de las plataformas de desarrollo, se establezcan, documenten, mantengan y apliquen a
cualquier sistema de información.

PROCEDIMIENTOS DE CONTROL DE CAMBIOS DEL SISTEMA (ANEXO - A.14.2.2)

Las organizaciones deben hacer lo siguiente bajo este control:

  La organización debe implementar procedimientos de control de cambios del sistema dentro del
ciclo de vida de desarrollo que se alineen con el control de cambios operativos.
 Estos procedimientos deben ser de naturaleza formal y auditada para evitar el desarrollo accidental
o deliberado de vulnerabilidades.
 Se deben recopilar registros de auditoría como evidencia de una implementación correcta.

DESARROLLO SUBCONTRATADO

SEGURIDAD EN LOS PROCESOS DE DESARROLLO Y PROCESOS DE SOPORTE (ANEXO - A.14.2)

Anexo - A.14.2 trata la seguridad en los procesos de desarrollo y soporte.

DESARROLLO SUBCONTRATADO (ANEXO - A.14.2.7)

Las organizaciones deben hacer lo siguiente bajo este control:

 La organización debe garantizar que, si el desarrollo del sistema o software se subcontrata total o
parcialmente a partes externas, los acuerdos de seguridad se especifican en un contrato y todo el
desarrollo es monitoreado y supervisado de cerca por la organización.
 La organización debe garantizar que las prácticas de seguridad interna del socio subcontratado
cumplan con los niveles necesarios para abordar los niveles de riesgo relacionados con el
desarrollo.

ENTORNO DE DESARROLLO SEGURO (ANEXO - A.14.2.6)

Las organizaciones deben hacer lo siguiente bajo este control:

 La organización debe garantizar que cualquier esfuerzo de desarrollo e implementación del sistema
se lleve a cabo en entornos de desarrollo seguros durante todo el ciclo de desarrollo.
 La organización debe garantizar que estos entornos de desarrollo seguros estén protegidos contra
el desarrollo y la actualización de código malicioso o accidental que pueda crear vulnerabilidades de
acuerdo con la evaluación de riesgos, las necesidades comerciales y cualquier otro factor externo o
interno.

PRUEBAS DE SEGURIDAD DEL SISTEMA

ENTORNO DE DESARROLLO SEGURO (ANEXO - A.14.2.6)

Las organizaciones deben hacer lo siguiente bajo este control:

  La organización debe garantizar que cualquier esfuerzo de desarrollo e implementación del sistema
se lleve a cabo en entornos de desarrollo seguros durante todo el ciclo de desarrollo.
 La organización debe garantizar que estos entornos de desarrollo seguros estén protegidos contra
el desarrollo y la actualización de código malicioso o accidental que pueda crear vulnerabilidades de
acuerdo con la evaluación de riesgos, las necesidades comerciales y cualquier otro factor externo o
interno.

PRUEBAS DE SEGURIDAD DEL SISTEMA

PRUEBAS DE SEGURIDAD DEL SISTEMA (ANEXO - A.14.2.8)

Las organizaciones deben hacer lo siguiente bajo este control:

 La organización debe realizar pruebas de seguridad del sistema durante el desarrollo.

 Las pruebas de seguridad deben ser realizadas y aprobadas por la autoridad competente, con
competencia y responsabilidad.
 Los resultados esperados de las pruebas deben documentarse antes de llevarse a cabo.

PRUEBAS DE ACEPTACIÓN DEL SISTEMA (ANEXO - A.14.2.9)

Las organizaciones deben hacer lo siguiente bajo este control:

 La organización debe garantizar que las pruebas de aceptación del diseño y desarrollo y los criterios
para una prueba exitosa basados en las necesidades del negocio se realicen antes de que
comiencen las pruebas.
 Las pruebas de seguridad son casi esenciales para las pruebas de aceptación.

DATOS DE PRUEBA DE PROTECCIÓN

El anexo A.14.3 trata de la protección de los datos utilizados para las pruebas.

Las organizaciones deben hacer lo siguiente bajo este control:

 La organización debe garantizar que los datos de prueba se seleccionen, protejan y controlen
cuidadosamente.
 Si se utilizan datos en vivo para las pruebas, entonces se deben autorizar, registrar y monitorear.
RELACIONES CON PROVEEDORES

RELACIONES CON PROVEEDORES (ANEXO - A.15.1)

El anexo A.15.1 trata sobre la seguridad de la información de activos valiosos

a los que los proveedores pueden acceder o verse afectados por ellos.

La organización debe hacer lo siguiente bajo este control:

 La organización debe adoptar un enfoque basado en riesgos y

contar con todas las medidas de seguridad de la información que
sean relevantes para cada proveedor que tenga algún nivel de
acceso o impacto en la información de la organización.
 Cualquier actualización del SGSI debe ser notificada a los proveedores especialmente si cubre las
partes que les afectan.

INFORMACION DE COMUNICACION TECNOLÓGICA

La organización debe hacer lo siguiente bajo este control:

 La organización debe comprender que los proveedores de TIC pueden necesitar algo adicional o en
lugar del enfoque estándar.
 Se deben considerar cuidadosamente los riesgos asociados con el tipo de servicios de tecnología de
la información y las comunicaciones.

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA PROVEEDORES

La organización debe hacer lo siguiente bajo este control:

 La organización debe dividir a los proveedores en categorías, preferiblemente cuatro categorías,

según su poder o impacto, reservando la categoría más baja para proveedores con poco o ningún
impacto y la más alta para proveedores críticos para el negocio.
 Se deben desarrollar controles y políticas de acuerdo al nivel de las categorías.
 Si un proveedor es demasiado poderoso para la organización, entonces es importante centrarse en
la selección de proveedores y la gestión de riesgos, ya que la organización dependerá de las
políticas, controles y acuerdos estándar del proveedor.
  Si el proveedor contribuye con activos de información de alto nivel, entonces es necesario que
comprenda a qué tiene acceso para poder controlar la seguridad a su alrededor.

GESTIÓN DE LA PRESTACIÓN DE SERVICIOS DEL PROVEEDOR

GESTIÓN DE LA PRESTACIÓN DE SERVICIOS DEL PROVEEDOR (ANEXO - A.15.2)

El Anexo - A.15.2 trata de garantizar que el nivel de información y prestación de servicios esté en línea con
los acuerdos con los proveedores.

La organización debe hacer lo siguiente:

 La organización debe, si es posible, monitorear, revisar y auditar a su proveedor. Prestación de

servicios basada en un enfoque basado en riesgos.
 El seguimiento debe basarse en el poder, los riesgos y el valor de la organización.

La organización debe hacer lo siguiente:

 La organización debe desarrollar e implementar controles que gestionen los cambios en la

prestación de servicios por parte de los proveedores.
 La organización debe tener en cuenta la relación con el proveedor y la capacidad de la organización
para influir en él.

GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN (ANEXO - A.16)

El anexo A.16.1 trata de la gestión de incidentes, eventos y debilidades de seguridad de la información.

RESPONSABILIDADES Y PROCEDIMIENTOS (ANEXO - A.16.1.1)

La organización debe hacer lo siguiente bajo este control:

 La organización debe desarrollar e implementar controles

para asegurar una respuesta rápida, efectiva y ordenada en
caso de un compromiso en la confidencialidad, integridad o
disponibilidad de los datos resultante de incidentes de
seguridad.
 La organización debe desarrollar y aprobar de antemano procedimientos claramente desarrollados
para responder a incidentes, eventos y debilidades.
EVALUACIÓN DE LA DECISIÓN SOBRE SEGURIDAD DE LA INFORMACIÓN

EVALUACIÓN DE LA DECISIÓN SOBRE EVENTOS DE SEGURIDAD DE LA INFORMACIÓN (ANEXO -

A.16.1.4)

La organización debe hacer lo siguiente bajo este control:

 La organización debe determinar si un evento de seguridad debe clasificarse como debilidad de

seguridad después de evaluarlo.
 Después de registrar e informar el evento de seguridad, la organización debe trabajar para evitar
más incidentes y eliminar cualquier compromiso de la información.

NOTIFICACIÓN DE EVENTOS DE SEGURIDAD DE LA INFORMACIÓN (ANEXO - Α.16.1.2)

La organización debe hacer lo siguiente bajo este control:

 La organización debe desarrollar e implementar controles que permitan reportar los incidentes y
eventos de seguridad de la información a través de los canales adecuados lo antes posible.
 Todos los empleados y partes asociadas deben ser conscientes de su responsabilidad de informar
inmediatamente cualquier evento de seguridad de la información al administrador de seguridad de
la información.

Todos los incidentes reportados deben documentarse.

NOTIFICACIÓN DE DEBILIDADES EN LA SEGURIDAD DE LA INFORMACIÓN (ANEXO - A.16.1.3)

La empresa debe advertir a los empleados que no deben demostrar la presencia de una debilidad mediante
pruebas al intentar descubrir una debilidad de seguridad.

RESPONSABILIDADES Y PROCEDIMIENTOS

RESPONSABILIDADES Y PROCEDIMIENTOS (ANEXO - A.16.1.1)

La organización debe hacer lo siguiente bajo este control:

 La organización debe desarrollar e implementar controles para

asegurar una respuesta 4rápida, efectiva y ordenada en caso de
 un compromiso en la confidencialidad, integridad o disponibilidad de los datos resultante de
incidentes de seguridad.
 La organización debe desarrollar y aprobar de antemano procedimientos claramente desarrollados
para responder a incidentes, eventos y debilidades.

RESPUESTA A INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN

GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN (ANEXO - A.16)

RESPUESTA A INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN (ANEXO - A.16.1.5)

La organización debe tener una respuesta clara y rápida para restaurar la seguridad de la información al
nivel requerido en caso de un incidente de seguridad y al mismo tiempo recopilar evidencia después de que
se informa el incidente, realizar un análisis en profundidad sobre la seguridad de la información, registrar
todas las actividades de respuesta, brindar detalles del incidente a los líderes y personas relevantes según
sea necesario y abordar la debilidad responsable del incidente de seguridad.

RECOPILACIÓN DE PRUEBAS

APRENDER DE LOS INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN (ANEXO - A.16.1.6)

La organización debe hacer lo siguiente bajo este control:

 La organización debe demostrar capacidad para aprender del análisis de incidentes de seguridad y
resolver actividades para reducir la probabilidad o el impacto de cualquier incidente futuro.
 Se deben realizar actualizaciones de la política de seguridad cuando se haya estudiado y revisado
un incidente y se debe notificar al personal relevante y volver a capacitarlo si es necesario.

RECOLECCIÓN DE PRUEBAS (ANEXO - A.16.1.7)

 La organización debe desarrollar e implementar controles para la identificación, recopilación,

adquisición y preservación de información que pueda ser útil como prueba.
ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN DE LA CONTINUIDAD DEL NEGOCIO

ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN DE LA GESTIÓN DE LA CONTINUIDAD DEL

NEGOCIO (ANEXO - A.17)

El Anexo - A.17.1 trata de garantizar que la continuidad de la seguridad de la información esté integrada en
los sistemas de gestión de la continuidad del negocio de la organización.

La organización debe determinar las necesidades de seguridad de la

información y la continuidad de la gestión de la seguridad de la información
en caso de una falla catastrófica o situaciones drásticas y establecer un
proceso de recuperación ante desastres o plan de continuidad del negocio.

Si desea estudiar más sobre cómo funciona el sistema de gestión de la

continuidad del negocio (BCMS), puede estudiar gratis en el curso en línea
de Alison: ISO 22301:2019 - Fundamentos de los sistemas de gestión de la
continuidad del negocio (BCMS).

INSTALACIÓN DE PROCESAMIENTO DE INFORMACIÓN DE DISPONIBILIDAD

El anexo A.17.2 trata de las redundancias (hardware duplicado) con respecto a la disponibilidad de las
instalaciones de procesamiento de información.

La organización debe hacer lo siguiente bajo este control:

 La organización debe implementar controles de redundancia suficientes para abordar las

necesidades de disponibilidad de las instalaciones de procesamiento de información.
 El hardware duplicado debe recibir el mismo nivel de protección que el hardware activo.

IMPLEMENTACIÓN DE SEGURIDAD DE LA INFORMACIÓN

La organización debe garantizar que los controles de continuidad de la seguridad de la información sean
válidos durante situaciones disruptivas revisándolos periódicamente.
La organización debe hacer lo siguiente bajo este control:

 Durante situaciones disruptivas la organización debe establecer, documentar, implementar y

mantener procesos, procedimientos y controles para garantizar el nivel requerido de continuidad
para la seguridad de la información.
 Cuando se identifican los requisitos, la organización puede implementar una amplia gama de
políticas, procedimientos y otros controles físicos o técnicos para satisfacerlos.

CUMPLIMIENTO

CUMPLIMIENTO (ANEXO - A.18)

El anexo A.18.1 trata de las obligaciones legales, estatutarias, reglamentarias o contractuales en referencia a
los requisitos de seguridad de la información.

La organización debe hacer lo siguiente bajo este control:

 La organización debe garantizar que los objetivos y resultados del

SGSI cumplan con todos los requisitos legislativos, estatutarios,
reglamentarios y contractuales pertinentes, estén documentados
y actualizados.
 Para facilitar la gestión y la coordinación todos los requisitos legales deben registrarse de forma
centralizada.

PRIVACIDAD Y PROTECCIÓN DE LA INFORMACIÓN DE IDENTIFICACIÓN PERSONAL

La organización debe hacer lo siguiente bajo este control:

 La organización debe desarrollar e implementar controles que aseguren la protección y privacidad

de la Información de Identificación Personal ya que generalmente tienen un alto nivel de integridad
y confidencialidad y, en algunos casos, disponibilidad.
 El control debe ser supervisado, revisado y, cuando sea necesario, mejorado periódicamente.

La organización debe desarrollar e implementar controles que garanticen que la organización cumple con
todos los requisitos relacionados con el uso de productos de software o derechos de propiedad intelectual.

REGULACIÓN DE LOS CONTROLES DE CRIPTOGRAFÍA

La organización debe desarrollar e implementar controles que aseguren que los Controles Criptográficos
estén de acuerdo con los diversos requisitos legales, ya que las tecnologías criptográficas están sujetas a
legislación y regulación en muchos territorios.

La organización debe desarrollar e implementar controles que protejan los registros contra pérdida,
destrucción, falsificación, acceso no autorizado y divulgación no autorizada de acuerdo con las necesidades
comerciales y legales.

CUMPLIMIENTO - REVISIONES DE SEGURIDAD DE LA INFORMACIÓN

CUMPLIMIENTO - REVISIONES DE SEGURIDAD DE LA INFORMACIÓN (ANEXO - A.18.2)

El anexo A.18.2 trata de las revisiones de seguridad de la información.

La organización debe hacer lo siguiente:

 Es responsabilidad de los administradores del SGSI hacer cumplir las políticas de seguridad y el
cumplimiento de estas políticas se prueba y revisa periódicamente.
 Si hay incumplimiento, se debe registrar, gestionar y evaluar más a fondo para futuras mejoras.

REVISIÓN INDEPENDIENTE DE LA SEGURIDAD DE LA INFORMACIÓN

La organización debe desarrollar e implementar controles para una revisión independiente a intervalos
planificados, especialmente cuando ocurren cambios significativos, cuando se trata del enfoque de la
organización para la gestión y la implementación de la seguridad de la información.

La organización debe hacer lo siguiente:

 La organización debe garantizar que los sistemas de información cumplan con las políticas y
estándares de seguridad de la información de la organización.
 La revisión del cumplimiento depende de las necesidades comerciales y los niveles de riesgo.
 Cuando se utiliza software automatizado para la revisión del cumplimiento, debe restringirse a la
menor cantidad de personal posible y controlarse cuidadosamente para mantener la disponibilidad
e integridad del sistema.