BSI 17799 Traduccion Al Español de Argentina

8/18/2019 BSI 17799 Traduccion Al Español de Argentina

http://slidepdf.com/reader/full/bsi-17799-traduccion-al-espanol-de-argentina 1/82

ISO IEC 177992002

Tecnología de la información

Código de práctica para la administración de laseguridad de la información

Information technologyCode of practice for information security management

Este es!uema está sometido a discu"

sión p#$lica %as o$ser&aciones de"

$en remitirse fundadas y por escri"

to' al Instituto I()*' +er# ,,2 - ,,. "

/C10.)) uenos )ires antes del

2002"0."2

3OC4*E56O E5 ES643IO

3E 5O(*) I()*"

INSTITUTO ARGENTINO DE NORMALIZACIÓN



Es!uema 1 I()*"ISO IEC 17799 :Error : (eference source not found

"ndice

INTRODUCCIÓN##################################################################################################

;4< ES %) SE=4(I3)3 3E %) I5>O(*)CI?5 @+O( ;4< ES 5ECES)(I) %) SE=4(I3)3 3E %) I5>O(*)CI?5C?*O ES6)%ECE( %OS (E;4E(I*IE56OS 3E SE=4(I3)3EA)%4)CI?5 3E %OS (IES=OS E5 *)6E(I) 3E SE=4(I3)3SE%ECCI?5 3E CO56(O%ES+456O 3E +)(6I3) +)() %) SE=4(I3)3 3E %) I5>O(*)CI?5>)C6O(ES C(B6ICOS 3E% <I6O3ES)((O%%O 3E %I5E)*IE56OS +(O+IOS

$ ALCANCE#######################################################################################################

! T%RMINOS & DE'INICIONES#########################################################################

( OL"TICA DE SEGURIDAD###########################################################################

D1 +O%B6IC) 3E SE=4(I3)3 3E %) I5>O(*)CI?53.1.1 Documentación de la política de seguridad de la información.........................3.1.2 Revisión y evaluación......................................................................................

) ORGANIZACIÓN DE LA SEGURIDAD##########################################################

1 I5>()ES6(4C64() 3E SE=4(I3)3 3E %) I5>O(*)CI?5

4.1.1 Foro gerencial sobre seguridad de la información...........................................4.1.2 Coordinación de la seguridad de la información..............................................4.1.3 signación de responsabilidades en materia de seguridad de lainformación...............................................................................................................4.1.4 !roceso de autori"ación para instalaciones de procesamiento deinformación...............................................................................................................4.1.# sesoramiento especiali"ado en materia de seguridad de la información..................................................................................................................................4.1.$ Cooperación entre organi"aciones...................................................................4.1.% Revisión independiente de la seguridad de la información..............................

2 SE=4(I3)3 >(E56E )% )CCESO +O( +)(6E 3E 6E(CE(OS4.2.1 &dentificación de riesgos del acceso de terceras partes...................................4.2.2 Re'uerimientos de seguridad en contratos con terceros.................................

D 6E(CE(IF)CI?54.3.1 Re'uerimientos de seguridad en contratos de terceri"ación...........................

* CLASI'ICACIÓN & CONTROL DE ACTI+OS################################################

,1 (ES+O5S)I%I3)3 +O( (E53ICI?5 3E C4E56)S 3E %OS )C6IAOS#.1.1 &nventario de activos........................................................................................

,2 C%)SI>IC)CI?5 3E %) I5>O(*)CI?5#.2.1 !autas de clasificación.....................................................................................#.2.2 Rotulado y mane(o de la información...............................................................

, SEGURIDAD DEL ERSONAL######################################################################

.1 SE=4(I3)3 E5 %) 3E>I5ICI?5 3E +4ES6OS 3E 6())GO H %) )SI=5)CI?5 3E (EC4(SOS

(

+á ina



$.1.1 &nclusión de la seguridad en las responsabilidades de los puestos detraba(o.......................................................................................................................$.1.2 )elección y política de personal.......................................................................$.1.3 cuerdos de confidencialidad..........................................................................$.1.4 *+rminos y condiciones de empleo..................................................................

.2 C)+)CI6)CI?5 3E% 4S4)(IO$.2.1 Formación y capacitación en materia de seguridad de la información.............

.D (ES+4ES6) ) I5CI3E56ES H )5O*)%B)S E5 *)6E(I) 3E SE=4(I3)3

$.3.1 Comunicación de incidentes relativos a la seguridad.......................................$.3.2 Comunicación de debilidades en materia de seguridad...................................$.3.3 Comunicación de anomalías del soft,are........................................................$.3.4 prendiendo de los incidentes........................................................................$.3.# !roceso disciplinario........................................................................................

- SEGURIDAD '"SICA & AM.IENTAL#############################################################

71 (E)S SE=4()S%.1.1 !erímetro de seguridad física..........................................................................

%.1.2 Controles de acceso físico...............................................................................%.1.3 !rotección de oficinas- recintos e instalaciones...............................................%.1.4 Desarrollo de tareas en reas protegidas........................................................%.1.# islamiento de las reas de entrega y carga...................................................

72 SE=4(I3)3 3E% E;4I+)*IE56O%.2.1 /bicación y protección del e'uipamiento.........................................................%.2.2 )uministros de energía....................................................................................%.2.3 )eguridad del cableado...................................................................................%.2.4 0antenimiento de e'uipos...............................................................................%.2.# )eguridad del e'uipamiento fuera del mbito de la organi"ación....................%.2.$ a(a segura o reutili"ación de e'uipamiento....................................................

7D CO56(O%ES =E5E()%ES%.3.1 !olíticas de escritorios y pantallas limpias.......................................................

%.3.2 Retiro de bienes...............................................................................................

/ GESTIÓN DE COMUNICACIONES & OERACIONES#################################

1 +(OCE3I*IE56OS H (ES+O5S)I%I3)3ES O+E()6IA)S.1.1 Documentación de los procedimientos operativos............................................1.2 Control de cambios en las operaciones............................................................1.3 !rocedimientos de mane(o de incidentes..........................................................1.4 )eparación de funciones...................................................................................1.# )eparación entre instalaciones de desarrollo e instalaciones operativas.... .....1.$ dministración de instalaciones eternas........................................................

2 +%)5I>IC)CI?5 H )+(O)CI?5 3E SIS6E*)S.2.1 !lanificación de la capacidad..........................................................................

.2.2 probación del sistema....................................................................................D +(O6ECCI?5 CO56() SO>6J)(E *)%ICIOSO.3.1 Controles contra soft,are malicioso................................................................

*)56E5I*IE56O.4.1 Resguardo de la información............................................................................4.2 Registro de actividades del personal operativo.................................................4.3 Registro de fallas.............................................................................................

, )3*I5IS6()CI?5 3E %) (E3.#.1 Controles de redes...........................................................................................

. )3*I5IS6()CI?5 H SE=4(I3)3 3E %OS *E3IOS 3E )%*)CE5)*IE56O

.$.1 dministración de medios informticos removibles...........................................$.2 liminación de medios informticos.................................................................

.$.3 !rocedimientos de mane(o de la información...................................................$.4 )eguridad de la documentación del sistema....................................................

)




7 I56E(C)*IOS 3E I5>O(*)CI?5 H SO>6J)(E.%.1 cuerdos de intercambio de información y soft,are.........................................%.2 )eguridad de los medios en trnsito.................................................................%.3 )eguridad del comercio electrónico..................................................................%.4 )eguridad del correo electrónico.....................................................................

.%.# )eguridad de los sistemas electrónicos de oficina............................................%.$ )istemas de acceso p5blico..............................................................................%.% 6tras formas de intercambio de información...................................................

0 CONTROL DE ACCESOS##############################################################################

91 (E;4E(I*IE56OS 3E 5E=OCIO +)() E% CO56(O% 3E )CCESOS 7.1.1 !olítica de control de accesos.........................................................................

92 )3*I5IS6()CI?5 3E )CCESOS 3E 4S4)(IOS7.2.1 Registración de usuarios..................................................................................7.2.2 dministración de privilegios............................................................................7.2.3 dministración de contrase8as de usuario.......................................................7.2.4 Revisión de derec9os de acceso de usuario....................................................

9D (ES+O5S)I%I3)3ES 3E% 4S4)(IO7.3.1 /so de contrase8as.........................................................................................7.3.2 'uipos desatendidos en reas de usuarios...................................................

9 CO56(O% 3E )CCESO ) %) (E37.4.1 !olítica de utili"ación de los servicios de red...................................................7.4.2 Camino for"ado................................................................................................7.4.3 utenticación de usuarios para coneiones eternas......................................7.4.4 utenticación de nodos....................................................................................7.4.# !rotección de los puertos :ports; de diagnostico remoto.................................7.4.$ )ubdivisión de redes........................................................................................7.4.% Control de coneión a la red............................................................................7.4. Control de ruteo de red....................................................................................7.4.7 )eguridad de los servicios de red....................................................................

9, CO56(O% 3E )CCESO )% SIS6E*) O+E()6IAO7.#.1 &dentificación automtica de terminales...........................................................7.#.2 !rocedimientos de coneión de terminales......................................................7.#.3 &dentificación y autenticación de los usuarios..................................................7.#.4 )istema de administración de contrase8as......................................................7.#.# /so de utilitarios de sistema............................................................................7.#.$ larmas silenciosas para la protección de los usuarios...................................7.#.% Desconeión de terminales por tiempo muerto................................................7.#. <imitación del 9orario de coneión...................................................................

9. CO56(O% 3E )CCESO ) %)S )+%IC)CIO5ES7.$.1 Restricción del acceso a la información...........................................................7.$.2 islamiento de sistemas sensibles...................................................................

97 *O5I6O(EO 3E% )CCESO H 4SO 3E %OS SIS6E*)S7.%.1 Registro de eventos.........................................................................................7.%.2 0onitoreo del uso de los sistemas...................................................................7.%.3 )incroni"ación de relo(es.................................................................................

9 CO*+46)CI?5 *?AI% H 6())GO (E*O6O7..1 Computación móvil...........................................................................................7..2 *raba(o remoto.................................................................................................

$1 DESARROLLO & MANTENIMIENTO DE SISTEMAS##################################

101 (E;4E(I*IE56OS 3E SE=4(I3)3 3E %OS SIS6E*)S1=.1.1 nlisis y especificaciones de los re'uerimientos de seguridad....................

102 SE=4(I3)3 E5 %OS SIS6E*)S 3E )+%IC)CI?51=.2.1 >alidación de datos de entrada......................................................................1=.2.2 Controles de procesamiento interno..............................................................

1=.2.3 utenticación de mensa(es............................................................................1=.2.4 >alidación de los datos de salida...................................................................

*



10D CO56(O%ES C(I+6O=(>ICOS1=.3.1 !olítica de utili"ación de controles criptogrficos...........................................1=.3.2 Cifrado...........................................................................................................1=.3.3 Firma digital...................................................................................................1=.3.4 )ervicios de no repudio..................................................................................

1=.3.# dministración de claves................................................................................10 SE=4(I3)3 3E %OS )(CKIAOS 3E% SIS6E*)

1=.4.1 Control del soft,are operativo.......................................................................1=.4.2 !rotección de los datos de prueba del sistema..............................................1=.4.3 Control de acceso a las bibliotecas de programa fuente................................

10, SE=4(I3)3 3E %OS +(OCESOS 3E 3ES)((O%%O H SO+O(6E1=.#.1 !rocedimientos de control de cambios..........................................................1=.#.2 Revisión t+cnica de los cambios en el sistema operativo..............................1=.#.3 Restricción del cambio en los pa'uetes de soft,are.....................................1=.#.4 Canales ocultos y código troyano..................................................................1=.#.# Desarrollo eterno de soft,are......................................................................

$$ ADMINISTRACIÓN DE LA CONTINUIDAD DE LOS NEGOCIOS###############

111 )S+EC6OS 3E %) )3*I5IS6()CI?5 3E %) CO56I54I3)3 3E %OS5E=OCIOS

11.1.1 !roceso de administración de la continuidad de los negocios.......................11.1.2 Continuidad del negocio y anlisis del impacto..............................................11.1.3 laboración e implementación de planes de continuidad de los negocios..................................................................................................................................11.1.4 0arco para la planificación de la continuidad de los negocios.......................11.1.# !rueba- mantenimiento y reevaluación de los planes de continuidad delos negocios..............................................................................................................

$! CUMLIMIENTO##########################################################################################

121 C4*+%I*IE56O 3E (E;4ISI6OS %E=)%ES12.1.1 &dentificación de la legislación aplicable.........................................................12.1.2 Derec9os de propiedad intelectual :dpi;.........................................................12.1.3 !rotección de los registros de la organi"ación...............................................12.1.4 !rotección de datos y privacidad de la información personal........................12.1.# !revención del uso inadecuado de los recursos de procesamiento deinformación...............................................................................................................12.1.$ Regulación de controles para el uso de criptografía......................................12.1.% Recolección de evidencia..............................................................................

122 (EAISIO5ES 3E %) +O%B6IC) 3E SE=4(I3)3 H %) CO*+)6II%I3)36<C5IC)

12.2.1 Cumplimiento de la política de seguridad......................................................12.2.2 >erificación de la compatibilidad t+cnica........................................................

12D CO5SI3E()CIO5ES 3E )43I6O(I) 3E SIS6E*)S

12.3.1 Controles de auditoria de sistemas................................................................12.3.2 !rotección de las 9erramientas de auditoría de sistemas..............................

)neLo ) /Informati&o i$liograf8a

)neLo /Informati&o Integrantes del organismo de estudio

,




Tecnología de la información

Código de práctica para la administración de la seguridad de la

información

INTRODUCCIÓN

234 e5 la 5eg3ridad de la información 6

%a información es un recurso !ue' como el resto de los importantes acti&os comerciales' tiene &alor para una organiación y por consiguiente de$e ser de$idamente protegida %a seguridad de lainformación protege sta de una amplia gama de amenaas' a fin de garantiar la continuidad

comercial' minimiar el daMo al mismo y maLimiar el retorno so$re las in&ersiones y lasoportunidades

%a información puede eListir en muchas formas +uede estar impresa o escrita en papel' almacenadaelectrónicamente' transmitida por correo o utiliando medios electrónicos' presentada en imágenes' oeLpuesta en una con&ersación Cual!uiera sea la forma !ue ad!uiere la información' o los mediospor los cuales se distri$uye o almacena' siempre de$e ser protegida en forma adecuada

%a seguridad de la información se define a!u8 como la preser&ación de las siguientes caracter8sticas:

a confidencialidad: se garantia !ue la información sea accesi$le sólo a a!uellas personas

autoriadas a tener acceso a ella$ integridad: se sal&aguarda la eLactitud y totalidad de la información y los mtodos deprocesamiento

c disponi$ilidad: se garantia !ue los usuarios autoriados tengan acceso a la información y alos recursos relacionados con ella toda &e !ue se re!uiera

%a seguridad de la información se logra implementando un conNunto adecuado de controles' !uea$arca pol8ticas' prácticas' procedimientos' estructuras organiacionales y funciones del softare

Se de$en esta$lecer estos controles para garantiar !ue se logren los o$Neti&os espec8ficos deseguridad de la organiación

or 734 e5 nece5aria la 5eg3ridad de la información

%a información y los procesos' sistemas y redes !ue le $rindan apoyo constituyen importantesrecursos de la empresa %a confidencialidad' integridad y disponi$ilidad de la información pueden ser esenciales para mantener la &entaNa competiti&a' el fluNo de fondos' la renta$ilidad' el cumplimientode las leyes y la imagen comercial

%as organiaciones y sus redes y sistemas de información' se enfrentan en forma creciente conamenaas relati&as a la seguridad' de di&ersos or8genes' incluyendo el fraude asistido por computadora' espionaNe' sa$otaNe' &andalismo' incendio o inundación 3aMos tales como los ata!uesmediante &irus informáticos' PhacQingP y denegación de ser&icio se han &uelto más comunes'am$iciosos y crecientemente sofisticados

-



%a dependencia de las organiaciones respecto de los sistemas y ser&icios de información denota!ue ellas son más &ulnera$les a las amenaas concernientes a seguridad %a interconeLión de lasredes p#$licas y pri&adas y el uso compartido de los recursos de información incrementa la dificultadde lograr el control de los accesos %a tendencia hacia el procesamiento distri$uido ha de$ilitado laeficacia del control tcnico centraliado

*uchos sistemas de información no han sido diseMados para ser seguros %a seguridad !ue puedelograrse por medios tcnicos es limitada y de$e ser respaldada por una gestión y procedimientosadecuados %a identificación de los controles !ue de$en implementarse re!uiere una cuidadosaplanificación y atención a todos los detalles %a administración de la seguridad de la información'eLige' como m8nimo' la participación de todos los empleados de la organiación 6am$in puedere!uerir la participación de pro&eedores' clientes y accionistas )simismo' puede re!uerirse elasesoramiento eLperto de organiaciones eLternas %os controles de seguridad de la informaciónresultan considera$lemente más económicos y eficaces si se incorporan en la etapa deespecificación de re!uerimientos y diseMo

Cómo e58a9lecer lo5 re73erimien8o5 de 5eg3ridad

Es esencial !ue una organiación identifi!ue sus re!uerimientos de seguridad EListen tres recursosprincipales para lograrlo

El primer recurso consiste en e&aluar los riesgos !ue enfrenta la organiación *ediante lae&aluación de riesgos se identifican las amenaas a los acti&os' se e&al#an las &ulnera$ilidades ypro$a$ilidades de ocurrencia' y se estima el impacto potencial

El segundo recurso está constituido por los re!uisitos legales' normati&os' reglamentarios ycontractuales !ue de$en cumplir la organiación' sus socios comerciales' los contratistas y losprestadores de ser&icios

El tercer recurso es el conNunto espec8fico de principios' o$Neti&os y re!uisitos para el procesamientode la información' !ue ha desarrollado la organiación para respaldar sus operaciones

E:al3ación de lo5 rie5go5 en ma8eria de 5eg3ridad

%os re!uerimientos de seguridad se identifican mediante una e&aluación metódica de los riesgos deseguridad %as erogaciones deri&adas de la satisfacción de las necesidades de control de$en ser e!uili$radas con respecto al impacto potencial de las fallas de seguridad en los negocios %as tcnicasde e&aluación de riesgos pueden aplicarse a toda la organiación' o sólo a partes de la misma' as8 comoa los sistemas de información indi&iduales' componentes de sistemas o ser&icios espec8ficos cuandoesto resulte facti$le' &ia$le y pro&echoso

%a e&aluación de riesgos es una consideración sistemática de los siguientes puntosR

a impacto potencial de una falla de seguridad en los negocios' teniendo en cuenta laspotenciales consecuencias por una prdida de la confidencialidad' integridad o disponi$ilidadde la información y otros recursosR

$ pro$a$ilidad de ocurrencia de dicha falla tomando en cuenta las amenaas y &ulnera$ilidadespredominantes' y los controles actualmente implementados

%os resultados de esta e&aluación ayudarán a orientar ya determinar las prioridades y acciones degestión adecuadas para la administración de los riesgos concernientes a seguridad de la información' y

para la implementación de los controles seleccionados a fin de $rindar protección contra dichos riesgos

/




+uede resultar necesario !ue el proceso de e&aluación de riesgos y selección de controles de$a lle&arseaca$o en &arias ocasiones' a fin de cu$rir diferentes partes de la organiación o sistemas de informaciónindi&iduales

Es importante lle&ar a ca$o re&isiones periódicas de los riesgos de seguridad y de los controlesimplementados a fin de:

a refleNar los cam$ios en los re!uerimientos y prioridades de la empresaR$ considerar nue&as amenaas y &ulnera$ilidadesR

c corro$orar !ue los controles siguen siendo eficaces y apropiados

%as re&isiones de$en lle&arse a ca$o con diferentes ni&eles de profundidad seg#n los resultados dee&aluaciones anteriores y los ni&eles &aria$les de riesgo !ue la gerencia está dispuesta a aceptar>recuentemente' las e&aluaciones de riesgos se realian primero en un ni&el alto' a fin de prioriar recursos en áreas de alto riesgo' y posteriormente en un ni&el más detallado' con el o$Neto dea$ordar riesgos espec8ficos

Selección de con8role5

4na &e identificados los re!uerimientos de seguridad' de$en seleccionarse e implementarse controlespara garantiar !ue los riesgos sean reducidos a un ni&el acepta$le %os controles pueden seleccionarseso$re la $ase de este documento' de otros estándares' o pueden diseMarse nue&os controles parasatisfacer necesidades espec8ficas seg#n corresponda EListen di&ersos modos de administrar riesgos yeste documento $rinda eNemplos de estrategias generales 5o o$stante' es necesario reconocer !uealgunos controles no son aplica$les a todos los sistemas o am$ientes de información' y podr8an noresultar &ia$les en todas las organiaciones Como eNemplo' el punto 1 descri$e cómo puedensepararse las tareas para e&itar fraudes y errores +odr8a no resultar posi$le para las organiacionesmás pe!ueMas separar todas las tareas' pudiendo resultar necesarias otras formas de lograr el mismoo$Neti&o de control

%os controles de$en seleccionarse teniendo en cuenta el costo de implementación en relación conlos riesgos a reducir y las prdidas !ue podr8an producirse de tener lugar una &iolación de laseguridad 6am$in de$en tenerse en cuenta los factores no monetarios' como el daMo en lareputación

)lgunos controles de este documento pueden considerarse como principios rectores para laadministración de la seguridad de la información' aplica$les a la mayor8a de las organiaciones SeeLplican con mayor detalle en el siguiente párrafo' $aNo el t8tulo de P+unto de partida para laseguridad de la informaciónP

3n8o de ;ar8ida ;ara la 5eg3ridad de la información

)lgunos controles pueden considerarse como principios rectores !ue proporcionan un $uen punto departida para la implementación de la seguridad de la información Están $asados en re!uisitoslegales fundamentales' o $ien se consideran como práctica recomendada de uso frecuenteconcerniente a la seguridad de la información

%os controles !ue se consideran esenciales para una organiación' desde el punto de &ista legalcomprenden:

a protección de datos y confidencialidad de la información personal /&er 121R

$ protección de registros y documentos de la organiación /&er 121D R

0



c derechos de propiedad intelectual /&er 1212 R

%os controles considerados como práctica recomendada de uso frecuente en la implementación de laseguridad de la información comprenden:

a documentación de la pol8tica de seguridad de la información /&er D11R$ asignación de responsa$ilidades en materia de seguridad de la información /&er 1 DRc instrucción y entrenamiento en materia de seguridad de la información /&er .21Rd comunicación de incidentes relati&os a la seguridad /&er .D1Re administración de la continuidad de la empresa /&er 111 R

Estos controles son aplica$les a la mayor8a de las organiaciones y en la mayor8a de los am$ientes

Se de$e o$ser&ar !ue aun!ue todos los controles mencionados en este documento son importantes'la rele&ancia de cada uno de ellos de$e ser determinada teniendo en cuenta los riesgos espec8ficos!ue afronta la organiación +or ello' si $ien el enfo!ue delineado precedentemente se considera un

$uen punto de partida' ste no pretende reemplaar la selección de controles !ue se realia so$re la$ase de una e&aluación de riesgos

'ac8ore5 crí8ico5 del 4<i8o

%a eLperiencia ha demostrado !ue los siguientes factores' a menudo resultan cr8ticos para laimplementación eLitosa de la seguridad de la información' dentro de una organiación:

a pol8tica de seguridad' o$Neti&os y acti&idades !ue refleNen los o$Neti&os de la empresaR$ una estrategia de implementación de seguridad !ue sea consecuente con la cultura

organiacionalRc apoyo y compromiso manifiestos por parte de la gerenciaR

d un claro entendimiento de los re!uerimientos de seguridad' la e&aluación de riesgos y laadministración de los mismosR

e comunicación efica de los temas de seguridad a todos los gerentes y empleadosRf distri$ución de gu8as so$re pol8ticas y estándares de seguridad de la información a todos los

empleados y contratistasRg instrucción y entrenamiento adecuadosRh un sistema integral y e!uili$rado de medición !ue se utilice para e&aluar el desempeMo de la

gestión de la seguridad de la información y para $rindar sugerencias tendientes a meNorarlo

De5arrollo de lineamien8o5 ;ro;io5

Este código de práctica puede ser considerado como un punto de partida para el desarrollo delineamientos espec8ficos' aplica$les a cada organiación 5o todos los lineamientos y controles deeste código de práctica resultarán aplica$les *ás a#n' es pro$a$le !ue de$an agregarse controles!ue no están incluidos en este documento )nte esta situación puede resultar #til retener referenciascruadas !ue faciliten la realiación de prue$as de cumplimiento por parte de auditores y socios

$1




$ ALCANCE

Esta parte del estándar $rinda recomendaciones para la gestión de la seguridad de la información

!ue han de ser aplicadas por los responsa$les de iniciar' implementar o mantener la seguridad ensus organiaciones Su propósito es pro&eer de una $ase com#n para el desarrollo de estándares deseguridad de la organiación y una práctica efecti&a de la administración de la misma' $rindandoasimismo' confiana en las relaciones lle&adas a ca$o entre las organiaciones

! T%RMINOS & DE'INICIONES

) los efectos de este documento se aplican las siguientes definiciones:

!#$ Seg3ridad de la información

%a preser&ación de la confidencialidad' integridad y disponi$ilidad de la información

• Confidencialidad: garant8a de !ue acceden a la información' sólo a!uellas personasautoriadas a hacerlo

• Integridad: mantenimiento de la eLactitud y totalidad de la información y los mtodos deprocesamiento

• 3isponi$ilidad: garant8a de !ue los usuarios autoriados tienen acceso a la información y a losrecursos relacionados con la misma' toda &e !ue lo re!uieran

!#! E:al3ación de rie5go5

%a e&aluación de las amenaas' impactos y &ulnera$ilidades relati&os a la información y a lasinstalaciones de procesamiento de la misma' y a la pro$a$ilidad de !ue ocurran

!#( Admini58ración de rie5go5

El proceso de identificación' control y minimiación o eliminación' a un costo acepta$le' de losriesgos de seguridad !ue podr8an afectar a los sistemas de información

( OL"TICA DE SEGURIDAD

(#$ olí8ica de 5eg3ridad de la información

O$Neti&o: +roporcionar dirección y apoyo gerencial para $rindar seguridad de la informaciónEl ni&el gerencial de$e esta$lecer una dirección pol8tica clara y demostrar apoyo y compromiso conrespecto a la seguridad de la información' mediante la formulación y mantenimiento de una pol8ticade seguridad de la información a tra&s de toda la organiación

$$



(#$#$ Doc3men8ación de la ;olí8ica de 5eg3ridad de la información

%os responsa$les del ni&el gerencial de$en apro$ar y pu$licar un documento !ue contenga la pol8tica de

seguridad y comunicarlo a todos los empleados' seg#n corresponda <ste de$e poner de manifiesto sucompromiso y esta$lecer el enfo!ue de la organiación con respecto a la gestión de la seguridad de lainformación Como m8nimo' de$en incluirse las siguientes pautas:

a definición de la seguridad de la información' sus o$Neti&os y alcance generales y laimportancia de la seguridad como un mecanismo !ue permite la distri$ución de la información/&er introducciónR

$ una declaración del propósito de los responsa$les del ni&el gerencial' apoyando los o$Neti&osy principios de la seguridad de la informaciónR

c una $re&e eLplicación de las pol8ticas' principios' normas y re!uisitos de cumplimiento enmateria de seguridad' !ue son especialmente importantes para la organiación' por eNemplo:

1 cumplimiento de re!uisitos legales y contractualesR

2 re!uisitos de instrucción en materia de seguridadRD pre&ención y detección de &irus y demás softare maliciosoR administración de la continuidad comercialR, consecuencias de las &iolaciones a la pol8tica de seguridadR

d una definición de las responsa$ilidades generales y espec8ficas en materia de gestión de laseguridad de la información' incluyendo la comunicación de los incidentes relati&os a laseguridadR

e referencias a documentos !ue puedan respaldar la pol8tica' por eN ' pol8ticas y procedimientosde seguridad más detallados para sistemas de información espec8ficos o normas deseguridad !ue de$en cumplir los usuarios

Esta pol8tica de$e ser comunicada a todos los usuarios de la organiación de manera pertinente'accesi$le y comprensi$le

(#$#! Re:i5ión = e:al3ación

%a pol8tica de$e tener un propietario !ue sea responsa$le del mantenimiento y re&isión de la mismade acuerdo con un proceso definido Ese proceso de$e garantiar !ue se lle&e aca$o una re&isión enrespuesta a cual!uier cam$io !ue pueda afectar la $ase original de e&aluación de riesgos' por eN'incidentes de seguridad significati&os' nue&as &ulnera$ilidades o cam$ios en la infraestructuratcnica o de la organiación 6am$in de$en programarse re&isiones periódicas de lo siguiente:

a la eficacia de la pol8tica' demostrada por la naturalea' n#mero e impacto de los incidentes deseguridad registradosR$ el costo e impacto de los controles en la eficiencia del negocioRc los efectos de los cam$ios en la tecnolog8a

$!




) ORGANIZACIÓN DE LA SEGURIDAD

)#$ Infrae58r3c83ra de 5eg3ridad de la información

O$Neti&o: )dministrar la seguridad de la información dentro de la organiación 3e$e esta$lecerse unmarco gerencial para iniciar y controlar la implementación de la seguridad de la información dentro dela organiación

3e$en esta$lecerse adecuados foros de gestión liderados por ni&eles gerenciales' a fin de apro$ar la pol8ticade seguridad de la información' asignar funciones de seguridad y coordinar la implementación de la seguridaden toda la organiación Si resulta necesario' se de$e esta$lecer y hacer accesi$le dentro de la organiación'una fuente de asesoramiento especialiado en materia de seguridad de la información 3e$en desarrollarsecontactos con especialistas eLternos en materia de seguridad para estar al corriente de las tendencias de laindustria' monitorear estándares y mtodos de e&aluación y pro&eer puntos de enlace adecuados al afrontar

incidentes de seguridad Se de$e alentar la aplicación de un enfo!ue multidisciplinario de la seguridad de lainformación' por eN' comprometiendo la cooperación y cola$oración de gerentes' usuarios' administradores'diseMadores de aplicaciones' auditores y personal de seguridad' y eLpertos en áreas como seguros yadministración de riesgos

)#$#$ 'oro gerencial 5o9re 5eg3ridad de la información

%a seguridad de la información es una responsa$ilidad de la empresa compartida por todos losmiem$ros del e!uipo gerencial +or consiguiente' de$e tenerse en cuenta la creación de un forogerencial para garantiar !ue eListe una clara dirección y un apoyo manifiesto de la gerencia a lasiniciati&as de seguridad Este foro de$e promo&er la seguridad dentro de la organiación mediante un

adecuado compromiso y una apropiada reasignación de recursos El foro podr8a ser parte de un cuerpogerencial eListente =eneralmente' un foro de esta 8ndole comprende las siguientes acciones:

a re&isar y apro$ar la pol8tica y las responsa$ilidades generales en materia de seguridad de lainformaciónR

$ monitorear cam$ios significati&os en la eLposición de los recursos de información frente a lasamenaas más importantesR

c re&isar y monitorear los incidentes relati&os a la seguridadRd apro$ar las principales iniciati&as para incrementar la seguridad de la información

4n gerente de$e ser responsa$le de todas las acti&idades relacionadas con la seguridad

)#$#! Coordinación de la 5eg3ridad de la información

En una gran organiación' podr8a ser necesaria la creación de un foro 8nter funcional !ue comprendarepresentantes gerenciales de sectores rele&antes de la organiación para coordinar laimplementación de controles de seguridad de la información

5ormalmente' dicho foro:

a acuerda funciones y responsa$ilidades espec8ficas relati&as a seguridad de la informaciónpara toda la organiaciónR

$ acuerda metodolog8as y procesos espec8ficos relati&os a seguridad de la información' por eN'

e&aluación de riesgos' sistema de clasificación de seguridadR

$(



c acuerda y $rinda apoyo a las iniciati&as de seguridad de la información de toda laorganiación' por eN programa de concientiación en materia de seguridadR

d garantia !ue la seguridad sea parte del proceso de planificación de la informaciónRe e&al#a la pertinencia y coordina la implementación de controles espec8ficos de seguridad de

la información para nue&os sistemas o ser&iciosRf re&isa incidentes relati&os a la seguridad de la informaciónRg promue&e la difusión del apoyo de la empresa a la seguridad de la información dentro de la

organiación

)#$#( A5ignación de re5;on5a9ilidade5 en ma8eria de 5eg3ridad de la información

3e$en definirse claramente las responsa$ilidades para la protección de cada uno de los recursos ypor la implementación de procesos espec8ficos de seguridad%a pol8tica de seguridad de la información /&er punto D de$e suministrar una orientación generalacerca de la asignación de funciones de seguridad y responsa$ilidades dentro la organiación Esto

de$e complementarse' cuando corresponda' con una gu8a más detallada para sitios' sistemas oser&icios espec8ficos 3e$en definirse claramente las responsa$ilidades locales para cada uno de losprocesos de seguridad y recursos f8sicos y de información' como la planificación de la continuidad delos negocios

En muchas organiaciones' se asigna a un gerente de seguridad de la información la responsa$ilidadgeneral por el desarrollo e implementación de la seguridad y por el soporte a la identificación decontroles 5o o$stante' la responsa$ilidad por la reasignación e implementación de controles amenudo es retenida por cada uno de los gerentes 4na práctica com#n es designar a un propietariopara cada recurso de información !ue además se haga responsa$le de su seguridad de manerapermanente%os propietarios de los recursos de información pueden delegar sus responsa$ilidades de seguridada cada uno de los gerentes o pro&eedores de ser&icios 5o o$stante' el propietario es en #ltimotrmino responsa$le de la seguridad del recurso y de$e estar en capacidad de determinar si lasresponsa$ilidades delegadas fueron cumplimentadas correctamente

Es esencial !ue se esta$lecan claramente las áreas so$re las cuales es responsa$le cada gerenteRen particular se de$e cumplir lo siguiente

a 3e$en identificarse y definirse claramente los di&ersos recursos y procesos de seguridadrelacionados con cada uno de los sistemas

$ Se de$e designar al gerente responsa$le de cada recurso o proceso de seguridad y se de$endocumentar los detalles de esta responsa$ilidad

c %os ni&eles de autoriación de$en ser claramente definidos y documentados

)#$#) roce5o de a38ori>ación ;ara in58alacione5 de ;roce5amien8o de información

3e$e esta$lecerse un proceso de autoriación gerencial para nue&as instalaciones de procesamientode información 3e$e considerarse lo siguiente

a %as nue&as instalaciones de$en ser adecuadamente apro$adas por la gerencia usuaria'autoriando su propósito y uso %a apro$ación tam$in de$e o$tenerse del gerenteresponsa$le del mantenimiento del am$iente de seguridad del sistema de información local' afin de garantiar !ue se cumplen todas las pol8ticas y re!uerimientos de seguridad

pertinentes

$)




$ Cuando corresponda' de$e &erificarse el hardare y softare para garantiar !ue soncompati$les con los componentes de otros sistemasNo8a? +uede ser necesaria la compro$ación de categor8as para ciertas coneLiones

c 3e$en ser autoriados el uso de las instalaciones personales de procesamiento deinformación' para el procesamiento de información de la empresa' y los controles necesarios

d El uso de instalaciones personales de procesamiento de información en el lugar de tra$aNopuede ocasionar nue&as &ulnera$ilidades y en consecuencia de$e ser e&aluado y autoriado

Estos controles son especialmente importantes en un am$iente de red

)#$#* A5e5oramien8o e5;eciali>ado en ma8eria de 5eg3ridad de la información

Es pro$a$le !ue muchas organiaciones re!uieran asesoramiento especialiado en materia deseguridad Idealmente' ste de$e ser pro&isto por un asesor interno eLperimentado en seguridad dela información 5o todas las organiaciones desean emplear aun asesor especialiado En esoscasos' se recomienda !ue se identifi!ue a una persona determinada para coordinar los

conocimientos y eLperiencias disponi$les en la organiación a fin de garantiar coherencia' y $rindar ayuda para la toma de decisiones en materia de seguridad 6am$in de$e tener acceso a calificadosasesores eLternos para $rindar asesoramiento especialiado más allá de su propia eLperiencia

%os asesores en seguridad de la información o puntos de contacto e!ui&alentes serán los encargadosde $rindar asesoramiento acerca de todos los aspectos de la seguridad de la información' utiliando suspropias recomendaciones o las eLternas %a calidad de su e&aluación de las amenaas a la seguridad yde su asesoramiento en materia de controles determinará la eficacia de la seguridad de la informaciónde la organiación +ara lograr la máLima eficacia e impacto se les de$e permitir acceso directo a losni&eles gerenciales de toda la organiación

El asesor de seguridad de la información o cargo e!ui&alente de$e ser consultado lo mástempranamente posi$le a partir de la detección de un supuesto incidente o &iolación de la seguridad'a fin de suministrar una fuente de conocimientos o recursos de in&estigación eLpertos Si $ien lamayor8a de las in&estigaciones de seguridad internas se lle&an a ca$o $aNo el control de la gerencia'el asesor de seguridad de la información puede ser posteriormente con&ocado para asesorar' liderar o dirigir la in&estigación

)#$#, Coo;eración en8re organi>acione5

Se de$en mantener adecuados contactos con autoridades policiales o de seguridad' organismosreguladores' pro&eedores de ser&icios de información y operadores de telecomunicaciones' a fin degarantiar !ue' en caso de producirse un incidente relati&o a la seguridad' puedan tomarse las medidas

adecuadas y o$tenerse asesoramiento con prontitud 3el mismo modo' se de$e tener en cuenta a losmiem$ros de grupos de seguridad y foros de la industria

Se de$en limitar los intercam$ios de información de seguridad' para garantiar !ue no se di&ulgueinformación confidencial' perteneciente a organiación' entre personas no autoriadas

)#$#- Re:i5ión inde;endien8e de la 5eg3ridad de la información

El documento !ue fiNa la pol8tica de seguridad de la información /&er D11 esta$lece la pol8tica y lasresponsa$ilidades por la seguridad de la información Su implementación de$e ser re&isadaindependientemente para garantiar !ue las prácticas de la organiación refleNan adecuadamente la

pol8tica' y !ue sta es &ia$le y efica /&er 122

$*



3icha re&isión puede ser lle&ada a ca$o por la función de auditor8a interna' por un gerenteindependiente o una organiación eLterna especialiados en re&isiones de esta 8ndole' seg#n estoscandidatos tengan la eLperiencia y capacidad adecuada

)#! Seg3ridad fren8e al acce5o ;or ;ar8e de 8ercero5

O$Neti&o: *antener la seguridad de las instalaciones de procesamiento de información y de losrecursos de información de la organiación a los !ue acceden terceras partes

El acceso a las instalaciones de procesamiento de información de la organiación por parte deterceros de$e ser controladoCuando eListe una necesidad de la empresa para permitir dicho acceso' de$e lle&arse a ca$o unae&aluación de riesgos para determinar las incidencias en la seguridad y los re!uerimientos de control%os controles de$en ser acordados y definidos en un contrato con la tercera parteEl acceso de terceros tam$in puede in&olucrar otros participantes %os contratos !ue confieren

acceso a terceros de$en incluir un permiso para la designación de otros participantes capacitados ylas condiciones para su accesoEste estándar puede utiliarse como $ase para tales contratos y cuando se considere la terceriacióndel procesamiento de información

)#!#$ Iden8ificación de rie5go5 del acce5o de 8ercera5 ;ar8e5

)#!#$#$ Ti;o5 de acce5o

El tipo de acceso otorgado a terceras partes es de especial importancia +or eNemplo' los riesgos deacceso a tra&s de una coneLión de red son diferentes de los riesgos relati&os al acceso f8sico %os tiposde acceso !ue de$en tenerse en cuenta son:

a acceso f8sico' por eN' a oficinas' salas de cómputos' armarios R$ acceso lógico' por eN a las $ases de datos y sistemas de información de la organiación

)#!#$#! Ra>one5 ;ara el acce5o

+uede otorgarse acceso a terceros por di&ersas raones +or eNemplo' eListen terceros !ue pro&eenser&icios a una organiación y no están u$icados dentro de la misma pero se les puede otorgar acceso f8sico y lógico' tales como:

a personal de soporte de hardare y softare' !uienes necesitan acceso a ni&el de sistema o a

funciones de las aplicacionesR$ socios comerciales o socios con riesgos compartidos /PNoint &enturesP' !uienes puedenintercam$iar información' acceder a sistemas de información o compartir $ases de datos

%a información puede ponerse en riesgo si el acceso de terceros se produce en el marco de unainadecuada administración de la seguridad Cuando eListe una necesidad de negocios !uein&olucran una coneLión con un sitio eLterno' de$e lle&arse a ca$o una e&aluación de riesgos paraidentificar los re!uerimientos de controles espec8ficos <sta de$e tener en cuenta el tipo de accesore!uerido' el &alor de la información' los controles empleados por la tercera parte y la incidencia deeste acceso en la seguridad de la información de la organiación

$,




)#!#$#( Con8ra8i58a5 in 5i83

%as terceras partes !ue sean u$icadas in situ por un per8odo de tiempo determinado seg#n contrato'tam$in pueden originar de$ilidades en materia de seguridad Entre los eNemplos de terceras partes

in situ se enumeran los siguientes:a personal de mantenimiento y soporte de hardare y softareR$ limpiea' PcateringP' guardia de seguridad y otros ser&icios de soporte terceriadosRc pasant8as de estudiantes y otras designaciones contingentes de corto plaoRd consultores

Es esencial determinar !u controles son necesarios para administrar el acceso de terceras partes a lasinstalaciones de procesamiento de información En general' todos los re!uerimientos de seguridad !ueresultan de los controles internos o del acceso de terceros' de$en estar refleNados en los contratoscele$rados con los mismos /&er tam$in 22 +or eNemplo' si eListe una necesidad espec8fica de

confidencialidad de la información' podr8an implementarse acuerdos de no"di&ulgación /&er .1D

5o se de$e otorgar a terceros acceso a la información ni a las instalaciones de procesamiento de lamisma hasta tanto se hayan implementado los controles apropiados y se haya firmado un contrato!ue defina las condiciones para la coneLión o el acceso

)#!#! Re73erimien8o5 de 5eg3ridad en con8ra8o5 con 8ercero5

%as disposiciones !ue contemplan el acceso de terceros a las instalaciones de procesamiento deinformación de la organiación de$en estar $asadas en un contrato formal !ue contenga todos losre!uerimientos de seguridad' o haga referencia a los mismos' a fin de asegurar el cumplimiento delas pol8ticas y estándares /normas de seguridad de la organiación El contrato de$e garantiar !ueno surNan malentendidos entre la organiación y el pro&eedor %as organiaciones de$en estar satisfechas con las garant8as de su pro&eedor Se de$en considerar las siguientes cláusulas para suinclusión en el contrato:

a la pol8tica general de seguridad de la informaciónR$ la protección de acti&os' con inclusión de:

1 procedimientos de protección de los acti&os de la organiación' incluyendoinformación y softareR

2 procedimientos para determinar si se han comprometido los acti&os' por eN' de$idoa prdida o modificación de datosR

D controles para garantiar la recuperación o destrucción de la información y losacti&os al finaliar el contrato' o en un momento con&enido durante la &igencia delmismoR

integridad y disponi$ilidadR, restricciones a la copia y di&ulgación de informaciónR

c una descripción de cada ser&icio del !ue podrá disponerseRd el ni&el de ser&icio al !ue se aspira y los ni&eles de ser&icio !ue se consideran inacepta$lesRe disposición !ue contemple la transferencia de personal cuando correspondaRf las respecti&as o$ligaciones de las partes con relación al acuerdoRg responsa$ilidades con respecto a asuntos legales' por eN' legislación referida a protección de

datos' especialmente teniendo en cuenta diferentes sistemas legales nacionales si el contratocontempla la cooperación con organiaciones de otros pa8ses /&er tam$in 121R

$-



h derechos de propiedad intelectual y asignación de derecho de propiedad intelectual /&er 1212' y protección de tra$aNos realiados en cola$oración /&er tam$in .1D R

i acuerdos de control de accesos !ue contemplen:1 los mtodos de acceso permitidos' y el control y uso de identificadores #nicos como

I3s y contraseMas de usuariosR2 un proceso de autoriación de acceso y pri&ilegios de usuariosRD un re!uerimiento para mantener actualiada una lista de indi&iduos autoriados a

utiliar los ser&icios !ue han de implementarse y sus derechos y pri&ilegios conrespecto a dicho usoR

N la definición de criterios de desempeMo compro$a$les' y el monitoreo y presentación deinformes respecto de los mismosR

Q el derecho a monitorear' y re&ocar /impedir' la acti&idad del usuarioRl el derecho a auditar responsa$ilidades contractuales o a contratar a un tercero para la

realiación de dichas auditor8asRm el esta$lecimiento de un proceso gradual para la resolución de pro$lemasR tam$in de$en

considerarse' si corresponde' disposiciones con relación a situaciones de contingenciaRn responsa$ilidades relati&as a la instalación y el mantenimiento de hardare y softareRo una clara estructura de dependencia y del proceso de ela$oración y presentación de informes

!ue contemple un acuerdo con respecto a los formatos de los mismosRp un proceso claro y detallado de administración de cam$iosR! los controles de protección f8sica re!ueridos y los mecanismos !ue aseguren la

implementación de los mismosRr los mtodos y procedimientos de entrenamiento de usuarios y administradores en materia de

seguridadRs los controles !ue garanticen la protección contra softare malicioso /&er DRt las disposiciones con respecto a ela$oración y presentación de informes' notificación e

in&estigación de incidentes y &iolaciones relati&os a la seguridadR

u la relación entre pro&eedores y su$contratistas

)#( Terceri>ación

O$Neti&o: *antener la seguridad de la información cuando la responsa$ilidad por el procesamiento dela misma fue delegada a otra organiación%os acuerdos de terceriación de$en contemplar los riesgos' los controles de seguridad y losprocedimientos para sistemas de información' redes y-o am$ientes de +C /desQ top en&ironmentsen el contrato entre las partes

)#(#$ Re73erimien8o5 de 5eg3ridad en con8ra8o5 de 8erceri>ación

%os re!uerimientos de seguridad de una organiación !ue terceria la administración y el control detodos sus sistemas de información' redes y-o am$ientes de +C' o de parte de los mismos' de$en ser contemplados en un contrato cele$rado entre las partes

Entre otros 8tems' el contrato de$e contemplar:a cómo se cumplirán los re!uisitos legales' por eN' la legislación so$re protección de datosR$ !u disposiciones se implementarán para garantiar !ue todas las partes in&olucradas en la

terceriación' incluyendo los su$contratistas' estarán al corriente de sus responsa$ilidades enmateria de seguridadR

c cómo se mantendrá y compro$ará la integridad y confidencialidad de los acti&os de negocio

de la organiación R

$/




d !u controles f8sicos y lógicos se utiliarán para restringir y delimitar el acceso de los usuariosautoriados a la información sensi$le de la organiaciónR

e cómo se mantendrá la disponi$ilidad de los ser&icios ante la ocurrencia de desastresRf !u ni&eles de seguridad f8sica se asignarán al e!uipamiento terceriadoR

g el derecho a la auditor8a

)simismo' se de$en tener en cuenta las cláusulas enumeradas en el punto 22 como parte de estecontrato El mismo de$e permitir la ampliación de los re!uerimientos y procedimientos de seguridaden un plan de administración de la seguridad a ser acordado entre las partes

Si $ien los contratos de terceriación pueden plantear algunas cuestiones compleNas en materia deseguridad' los controles incluidos en este código de práctica pueden ser&ir como punto de partidapara acordar la estructura y el contenido del plan de gestión de la seguridad

* CLASI'ICACIÓN & CONTROL DE ACTI+OS

*#$ Re5;on5a9ilidad ;or rendición de c3en8a5 de lo5 ac8i:o5

O$Neti&o: *antener una adecuada protección de los acti&os de la organiación

Se de$e rendir cuentas por todos los recursos de información importantes y se de$e designar unpropietario para cada uno de ellos%a rendición de cuentas por los acti&os ayuda a garantiar !ue se mantenga una adecuadaprotección Se de$en identificar a los propietarios para todos los acti&os importantes y se de$easignarse la responsa$ilidad por el mantenimiento de los controles apropiados %a responsa$ilidad

por la implementación de los controles puede ser delegada En #ltimo trmino' el propietariodesignado del acti&o de$e rendir cuentas por el mismo

*#$#$ In:en8ario de ac8i:o5

%os in&entarios de acti&os ayudan a garantiar la &igencia de una protección efica de los recursos' ytam$in pueden ser necesarios para otros propósitos de la empresa' como los relacionados consanidad y seguridad' seguros o finanas /administración de recursos El proceso de compilación deun in&entario de acti&os es un aspecto importante de la administración de riesgos 4na organiaciónde$e contar con la capacidad de identificar sus acti&os y el &alor relati&o e importancia de losmismos So$re la $ase de esta información' la organiación puede entonces' asignar ni&eles de

protección proporcionales al &alor e importancia de los acti&os ' Se de$e ela$orar y mantener unin&entario de los acti&os importantes asociados a cada sistema de información Cada acti&o de$e ser claramente identificado y su propietario y clasificación en cuanto a seguridad /&er ,2 de$en ser acordados y documentados' Nunto con la u$icación &igente del mismo /importante cuando seemprende una recuperación posterior a una prdida o daMo ENemplos de acti&os asociados asistemas de información son los siguientes:

a recursos de información: $ases de datos y archi&os' documentación de sistemas' manuales deusuario' material de capacitación' procedimientos operati&os o de soporte' planes decontinuidad' disposiciones relati&as a sistemas de emergencia para la reposición deinformación perdida /Pfall$acQP' información archi&adaR

$0



$ recursos de softare: softare de aplicaciones' softare de sistemas' herramientas dedesarrollo y utilitariosR

c acti&os f8sicos: e!uipamiento informático /procesadores' monitores' computadoras portátiles'módems' e!uipos de comunicaciones /routers' +)s' má!uinas de faL' contestadores

automáticos' medios magnticos /cintas y discos' otros e!uipos tcnicos /suministro deelectricidad' unidades de aire acondicionado' mo$iliario' lugares de emplaamiento Rd ser&icios: ser&icios informáticos y de comunicaciones' utilitarios generales' por eN' calefacción'

iluminación' energ8a elctrica' aire acondicionado

*#! Cla5ificación de la información

O$Neti&o: =arantiar !ue los recursos de información reci$an un apropiado ni&el de protección%a información de$e ser clasificada para seMalar la necesidad' la prioridades y el grado deprotección%a información tiene di&ersos grados de sensi$ilidad y criticidad )lgunos 8tems pueden re!uerir unni&el de protección adicional o un tratamiento especial Se de$e utiliar un sistema de clasificación de

la información para definir un conNunto apropiado de ni&eles de protección y comunicar la necesidadde medidas de tratamiento especial

*#!#$ a38a5 de cla5ificación

%as clasificaciones y controles de protección asociados de la información' de$en tomar cuenta de lasnecesidades de la empresa con respecto a la distri$ución /uso compartido o restricción de lainformación' y de la incidencia de dichas necesidades en las acti&idades de la organiación' por eNacceso no autoriado o daMo ala información En general' la clasificación asignada a la información esuna forma sencilla de seMalar cómo ha de ser tratada y protegida %a información y las salidas de lossistemas !ue administran datos clasificados de$en ser rotuladas seg#n su &alor y grado de sensi$ilidadpara la organiación )simismo' podr8a resultar con&eniente rotular la información seg#n su grado decriticidad' por eN en trminos de integridad y disponi$ilidad

>recuentemente' la información deNa de ser sensi$le o cr8tica despus de un cierto per8odo de tiempo'&er$igracia' cuando la información se ha hecho p#$lica Estos aspectos de$en tenerse en cuenta'puesto !ue la clasificación por eLceso /Po&er" classificationP puede traducirse en gastos adicionalesinnecesarios para la organiación %as pautas de clasificación de$en pre&er y contemplar el hecho de!ue la clasificación de un 8tem de información determinado no necesariamente' de$e mantenersein&aria$le por siempre' y !ue sta puede cam$iar de acuerdo con una pol8tica predeterminada /&er 91Se de$e considerar el n#mero de categor8as de clasificación y los $eneficios !ue se o$tendrán con suuso %os es!uemas demasiado compleNos pueden tornarse engorrosos y antieconómicos o resultar pocoprácticos 3e$en interpretarse cuidadosamente los rótulos de clasificación de los documentos de otras

organiaciones !ue podr8an tener distintas definiciones para rótulos iguales o similares

%a responsa$ilidad por la definición de la clasificación de un 8tem de información' por eN' undocumento' registro de datos' archi&o de datos o dis!uete' y por la re&isión periódica de dichaclasificación' de$e ser asignada al creador o propietario designado de la información

*#!#! Ro83lado = mane@o de la información

Es importante !ue se defina un conNunto de procedimientos adecuados para el rotulado y maneNo dela información' seg#n el es!uema de clasificación adoptado por la organiación Estosprocedimientos de$en incluir los recursos de información en formatos f8sicos y electrónicos +ara

!1



%a gerencia de$e e&aluar la super&isión re!uerida para personal nue&o e ineLperto con autoriaciónpara acceder a sistemas sensi$les El tra$aNo de todo el personal de$e estar suNeto a re&isiónperiódica y a procedimientos de apro$ación por parte de un miem$ro del personal con mayor Nerar!u8a

%os gerentes de$en estar al corriente de !ue las circunstancias personales de sus empleadospueden afectar su tra$aNo %os pro$lemas personales o financieros' los cam$ios en su conducta oestilo de &ida' las ausencias recurrentes y la e&idencia de stress o depresión pueden conducir afraudes' ro$os' errores u otras implicaciones !ue afecten la seguridad Esta información de$emaneNarse de acuerdo con la legislación pertinente !ue riNa en la Nurisdicción del caso

,#$#( Ac3erdo5 de confidencialidad

%os acuerdos de confidencialidad o no di&ulgación se utilian para reseMar !ue la información esconfidencial o secreta %os empleados de$en firmar ha$itualmente un acuerdo de esta 8ndole comoparte de sus trminos y condiciones iniciales de empleo

El personal ocasional y los usuarios eLternos a#n no contemplados en un contrato formaliado /!uecontenga el acuerdo de confidencialidad de$erán firmar el acuerdo mencionado antes de !ue se lesotorgue acceso a las instalaciones de procesamiento de información

%os acuerdos de confidencialidad de$en ser re&isados cuando se producen cam$ios en los trminosy condiciones de empleo o del contrato' en particular cuando el empleado está próLimo ades&incularse de la organiación o el plao del contrato está por finaliar

,#$#) T4rmino5 = condicione5 de em;leo

%os trminos y condiciones de empleo de$en esta$lecer la responsa$ilidad del empleado por la

seguridad de la información Cuando corresponda' estas responsa$ilidades de$en continuar por unper8odo definido una &e finaliada la relación la$oral Se de$en especificar las acciones !ue seemprenderán si el empleado hace caso omiso de los re!uerimientos de seguridad

%as responsa$ilidades y derechos legales del empleado' por eN en relación con las leyes de derechode propiedad intelectual o la legislación de protección de datos' de$en ser clarificados e incluidos enlos trminos y condiciones de empleo

6am$in se de$e incluir la responsa$ilidad por la clasificación y administración de los datos delempleador Cuando corresponda' los trminos y condiciones de empleo de$en esta$lecer !ue estasresponsa$ilidades se eLtienden más allá de los l8mites de la sede de la organiación y del horarionormal de tra$aNo' por eN cuando el empleado desempeMa tareas en su domicilio /&er tam$in 72, y

91

,#! Ca;aci8ación del 353ario

O$Neti&o : =arantiar !ue los usuarios están al corriente de las amenaas e incum$encias en materia deseguridad de la información' y están capacitados para respaldar la pol8tica de seguridad de laorganiación en el transcurso de sus tareas normales%os usuarios de$en ser capacitados en relación con los procedimientos de seguridad y el correctouso de las instalaciones de procesamiento de información' a fin de minimiar e&entuales riesgos deseguridad

!!




,#!#$ 'ormación = ca;aci8ación en ma8eria de 5eg3ridad de la información

6odos los empleados de la organiación y' cuando sea pertinente' los usuarios eLternos' de$enreci$ir una adecuada capacitación y actualiaciones periódicas en materia de pol8ticas yprocedimientos de la organiación Esto comprende los re!uerimientos de seguridad' lasresponsa$ilidades legales y controles del negocio' as8 como la capacitación referida al uso correctode las instalaciones de procesamiento de información' por eN el procedimiento de entrada al sistema/Plog"onP y el uso de pa!uetes de softare' antes de !ue se les otorgue acceso a la información o alos ser&icios

,#( Re5;3e58a a inciden8e5 = anomalía5 en ma8eria de 5eg3ridad

O$Neti&o : *inimiar el daMo producido por incidentes y anomal8as en materia de seguridad' ymonitorear dichos incidentes y aprender de los mismos%os incidentes !ue afectan la seguridad de$en ser comunicados mediante canales gerencialesadecuados tan pronto como sea posi$le

Se de$e concientiar a todos los empleados y contratistas acerca de los procedimientos decomunicación de los diferentes tipos de incidentes /&iolaciones' amenaas' de$ilidades o anomal8as enmateria de seguridad !ue podr8an producir un impacto en la seguridad de los acti&os de laorganiación Se de$e re!uerir !ue los mismos comuni!uen cual!uier incidente ad&ertido o supuesto alpunto de contacto designado tan pronto como sea posi$le %a organiación de$e esta$lecer un procesodisciplinario formal para ocuparse de los empleados !ue perpetren &iolaciones de la seguridad +aralograr a$ordar de$idamente los incidentes podr8a ser necesario recolectar e&idencia tan pronto comosea posi$le una &e ocurrido el hecho /&er 1217

,#(#$ Com3nicación de inciden8e5 rela8i:o5 a la 5eg3ridad

%os incidentes relati&os a la seguridad de$en comunicarse a tra&s de canales gerenciales

apropiados tan pronto como sea posi$le

Se de$e esta$lecer un procedimiento formal de comunicación' Nunto con un procedimiento derespuesta a incidentes' !ue esta$leca la acción !ue ha de emprenderse al reci$ir un informe so$reincidentes 6odos los empleados y contratistas de$en estar al corriente del procedimiento decomunicación de incidentes de seguridad' y de$en informar de los mismos tan pronto como seaposi$le

3e$erán implementarse adecuados procesos de Pfeed$acQP para garantiar !ue las personas !uecomunican los incidentes sean notificadas de los resultados una &e tratados y resueltos los mismos

Estos incidentes pueden ser utiliados durante la capacitación a fin de crear conciencia de seguridaden el usuario /&er .2 como eNemplos de lo !ue puede ocurrir' de cómo responder a dichosincidentes y de cómo e&itarlos en el futuro /&er tam$in 1217

,#(#! Com3nicación de de9ilidade5 en ma8eria de 5eg3ridad

%os usuarios de ser&icios de información de$en ad&ertir' registrar y comunicar las de$ilidades oamenaas supuestas u o$ser&adas en materia de seguridad' con relación a los sistemas o ser&icios

3e$erán comunicar estos asuntos a su gerencia' o directamente a su pro&eedor de ser&icios' tan prontocomo sea posi$le Se de$e informar a los usuarios !ue ellos no de$en' $aNo ninguna circunstancia'intentar pro$ar una supuesta de$ilidad Esto se lle&a a ca$o para su propia protección' de$ido a !ue el

intentar pro$ar de$ilidades puede ser interpretado como un potencial mal maneNo del sistema

!(



,#(#( Com3nicación de anomalía5 del 5of8are

Se de$en esta$lecer procedimientos para la comunicación de anomal8as del softare Se de$enconsiderar las siguientes acciones:

a 3e$en ad&ertirse y registrarse los s8ntomas del pro$lema y los mensaNes !ue aparecen enpantalla

$ %a computadora de$e ser aislada' si es posi$le' y de$e detenerse el uso de la misma Sede$e alertar de inmediato a la persona pertinente /contacto Si se ha de eLaminar el e!uipo'ste de$e ser desconectado de las redes de la organiación antes de ser acti&adonue&amente %os dis!uetes no de$en transferirse a otras computadoras

c El asunto de$e ser comunicado inmediatamente al gerente de seguridad de la información

%os usuarios no de$en !uitar el softare !ue supuestamente tiene una anomal8a' a menos !ue estnautoriados a hacerlo %a recuperación de$e ser realiada por personal adecuadamente capacitadoy eLperimentado

,#(#) A;rendiendo de lo5 inciden8e5

3e$e ha$erse implementado mecanismos !ue permitan cuantificar y monitorear los tipos' &ol#menesy costos de los incidentes y anomal8as Esta información de$e utiliarse para identificar incidentes oanomal8as recurrentes o de alto impacto Esto puede seMalar la necesidad de meNorar o agregar controles para limitar la frecuencia' daMo y costo de casos futuros' o de tomarlos en cuenta en elproceso de re&isión de la pol8tica de seguridad /&er D12

,#(#* roce5o di5ci;linario

3e$e eListir un proceso disciplinario formal para los empleados !ue &iolen las pol8ticas y

procedimientos de seguridad de la organiación /&er .1 y para el tópico retención de e&idencia'&er 1217 3icho proceso puede ser&ir de factor disuasi&o de los empleados !ue' de no mediar elmismo' podr8an ser procli&es a pasar por alto los procedimientos de seguridad

)simismo' este proceso de$e garantiar un trato imparcial y correcto hacia los empleadossospechosos de ha$er cometido &iolaciones gra&es o persistentes a la seguridad

- SEGURIDAD '"SICA & AM.IENTAL

-#$ Brea5 5eg3ra5

O$Neti&o: Impedir accesos no autoriados' daMos e interferencia a las sedes e información de laempresa%as instalaciones de procesamiento de información cr8tica o sensi$le de la empresa de$en estar u$icadas en áreas protegidas y resguardadas por un per8metro de seguridad definido' con &allas deseguridad y controles de acceso apropiados 3e$en estar f8sicamente protegidas contra accesos noautoriados' daMos e intrusiones%a protección pro&ista de$e ser proporcional a los riesgos identificados Se recomienda laimplementación pol8ticas de escritorios y pantallas limpios para reducir el riesgo de acceso noautoriado o de daMo a papeles' medios de almacenamiento e instalaciones de procesamiento deinformación

!)




-#$#$ eríme8ro de 5eg3ridad fí5ica

%a protección f8sica puede lle&arse a ca$o mediante la creación de di&ersas $arreras f8sicasalrededor de las sedes de la organiación y de las instalaciones de procesamiento de informaciónCada $arrera esta$lece un per8metro de seguridad' cada uno de los cuales incrementa la proteccióntotal pro&ista

%as organiaciones de$en utiliar per8metros de seguridad para proteger las áreas !ue contieneninstalaciones de procesamiento de información /&er 71D 4n per8metro de seguridad es algodelimitado por una $arrera' por eN una pared' una puerta de acceso controlado por tarNeta o unescritorio u oficina de recepción atendidos por personas El emplaamiento y la fortalea de cada$arrera dependerán de los resultados de una e&aluación de riesgosSe de$en considerar e implementar los siguientes lineamientos y controles' seg#n corresponda

a El per8metro de seguridad de$e estar claramente definido$ El per8metro de un edificio o área !ue contenga instalaciones de procesamiento de

información de$e ser f8sicamente sólido /por eN no de$en eListir claros To a$erturasU en elper8metro o áreas donde pueda producirse fácilmente una irrupción %as paredes eLternasdel área de$en ser de construcción sólida y todas las puertas !ue comunican con el eLterior de$en ser adecuadamente protegidas contra accesos no autoriados' por eN' mediantemecanismos de control' &allas' alarmas' cerraduras' etc

c 3e$e eListir un área de recepción atendida por personal u otros medios de control de accesof8sico al área o edificio El acceso a las distintas áreas y edificios de$e estar restringidoeLclusi&amente al personal autoriado

d %as $arreras f8sicas de$en' si es necesario' eLtenderse desde el piso /real hasta el techo/real' a fin de impedir el ingreso no autoriado y la contaminación am$iental' por eNemplo' laocasionada por incendio e inundación

e 6odas las puertas de incendio de un per8metro de seguridad de$en tener alarma y cerrarse

automáticamente

-#$#! Con8role5 de acce5o fí5ico

%as áreas protegidas de$en ser resguardadas por adecuados controles de acceso !ue permitangarantiar !ue sólo se permite el acceso de personal autoriado 3e$en tenerse en cuenta lossiguientes controles:

a %os &isitantes de áreas protegidas de$en ser super&isados o inspeccionados y la fecha yhorario de su ingreso y egreso de$en ser registrados Sólo se de$e permitir el acceso a losmismos con propósitos espec8ficos y autoriados' instruyndose en dicho momento al&isitante so$re los re!uerimientos de seguridad del área y los procedimientos de emergencia

$ El acceso a la información sensi$le' y a las instalaciones de procesamiento de información'de$e ser controlado y limitado eLclusi&amente a las personas autoriadas Se de$en utiliar controles de autenticación' por eN tarNeta y n#mero de identificación personal /+I5' paraautoriar y &alidar todos los accesos 3e$e mantenerse una pista protegida !ue permitaauditar todos los accesos

c Se de$e re!uerir !ue todo el personal eLhi$a alguna forma de identificación &isi$le y se lode$e alentar a cuestionar la presencia de desconocidos no escoltados y a cual!uier persona!ue no eLhi$a una identificación &isi$le

d Se de$en re&isar y actualiar periódicamente los derechos de acceso a las áreas protegidas

!*



-#$#( ro8ección de oficina5 recin8o5 e in58alacione5

4n área protegida puede ser una oficina cerrada con lla&e' o di&ersos recintos dentro de un per8metrode seguridad f8sica' el cual puede estar $lo!ueado y contener caNas fuertes o ga$inetes concerraduras +ara la selección y el diseMo de un área protegida de$e tenerse en cuenta la posi$ilidadde daMo producido por incendio' inundación' eLplosión' agitación ci&il' y otras formas de desastresnaturales o pro&ocados por el hom$re 6am$in de$en tomarse en cuenta las disposiciones ynormas /estándares en materia de sanidad y seguridad )simismo' se de$erán considerar lasamenaas a la seguridad !ue representan los edificios y onas aledaMas' por eN filtración de aguadesde otras áreas

Se de$en considerar los siguientes controles

a %as instalaciones cla&e de$en u$icarse en lugares a los cuales no pueda acceder el p#$lico$ %os edificios de$en ser discretos y ofrecer un seMalamiento m8nimo de su propósito' sin

signos o$&ios' eLteriores o interiores' !ue identifi!uen la presencia de acti&idades de

procesamiento de informaciónc %as funciones y el e!uipamiento de soporte' por eN fotocopiadoras' má!uinas de faL' de$enestar u$icados adecuadamente dentro del área protegida para e&itar solicitudes de acceso' elcual podr8a comprometer la información

d %as puertas y &entanas de$en estar $lo!ueadas cuando no hay &igilancia = de$econsiderarse la posi$ilidad de agregar protección eLterna a las &entanas' en particular las !uese encuentran al ni&el del suelo

e Se de$en implementar adecuados sistemas de detección de intrusos %os mismos de$en ser instalados seg#n estándares profesionales y pro$ados periódicamente Estos sistemascomprenderán todas las puertas eLteriores y &entanas accesi$les %as áreas &ac8as de$entener alarmas acti&adas en todo momento 6am$in de$en protegerse otras áreas' como lasala de cómputos o las salas de comunicaciones

f %as instalaciones de procesamiento de información administradas por la organiación de$enestar f8sicamente separadas de a!uellas administradas por tercerosg %os gu8as telefónicas y listados de telfonos internos !ue identifican las u$icaciones de las

instalaciones de procesamiento de información sensi$le no de$en ser fácilmente accesi$les alp#$lico

h %os materiales peligrosos o com$usti$les de$en ser almacenados en lugares seguros a unadistancia prudencial del área protegida %os suministros a granel' como los #tiles deescritorio' no de$en ser almacenados en el área protegida hasta !ue sean re!ueridos

i El e!uipamiento de sistemas de soporte 4+C /4sage +arameter Control de reposición deinformación perdida /Pfall$acQP y los medios informáticos de resguardo de$en estar situadosa una distancia prudencial para e&itar daMos ocasionados por e&entuales desastres en el sitioprincipal

-#$#) De5arrollo de 8area5 en rea5 ;ro8egida5

+ara incrementar la seguridad de un área protegida pueden re!uerirse controles y lineamientosadicionales Esto incluye controles para el personal o terceras partes !ue tra$aNan en el áreaprotegida' as8 como para las acti&idades de terceros !ue tengan lugar all8 Se de$erán tener encuenta los siguientes puntos:

a El personal sólo de$e tener conocimiento de la eListencia de un área protegida' o de lasacti&idades !ue se lle&an a ca$o dentro de la misma' seg#n el criterio de necesidad deconocer

$ Se de$e e&itar el tra$aNo no controlado en las áreas protegidas tanto por raones deseguridad como para e&itar la posi$ilidad de !ue se lle&en a ca$o acti&idades maliciosas

!,




c %as áreas protegidas desocupadas de$en ser f8sicamente $lo!ueadas y periódicamenteinspeccionadas

d El personal del ser&icio de soporte eLterno de$e tener acceso limitado a las áreas protegidaso a las instalaciones de procesamiento de información sensi$le Este acceso de$e ser otorgado solamente cuando sea necesario y de$e ser autoriado y monitoreado +uedenre!uerirse $arreras y per8metros adicionales para controlar el acceso f8sico entre áreas condiferentes re!uerimientos de seguridad' y !ue están u$icadas dentro del mismo per8metro deseguridad

e ) menos !ue se autorice eLpresamente' no de$e permitirse el ingreso de e!uiposfotográficos' de &8deo' audio u otro tipo de e!uipamiento !ue registre información

-#$#* Ai5lamien8o de la5 rea5 de en8rega = carga

%as áreas de entrega y carga de$en ser controladas y' si es posi$le' estar aisladas de lasinstalaciones de procesamiento de información' a fin de impedir accesos no autoriados %osre!uerimientos de seguridad de dichas áreas de$en ser determinados mediante una e&aluación de

riesgos Se de$en tener en cuenta los siguientes lineamientos:a El acceso a las áreas de depósito' desde el eLterior de la sede de la organiación' de$e estar

limitado a personal !ue sea pre&iamente identificado y autoriado$ El área de depósito de$e ser diseMada de manera tal !ue los suministros puedan ser

descargados sin !ue el personal !ue realia la entrega acceda a otros sectores del edificioc 6odas las puertas eLteriores de un área de depósito de$en ser aseguradas cuando se a$re la

puerta internad El material entrante de$e ser inspeccionado para descartar peligros potenciales /&er 72l d

antes de ser trasladado desde el área de depósito hasta el lugar de usoe El material entrante de$e ser registrado' si corresponde /&er ,1' al ingresar al sitio

pertinente

-#! Seg3ridad del e73i;amien8o

O$Neti&o: Impedir prdidas' daMos o eLposiciones al riesgo de los acti&os e interrupción de lasacti&idades de la empresaEl e!uipamiento de$e estar f8sicamente protegido de las amenaas a la seguridad y los peligros delentornoEs necesaria la protección del e!uipamiento /incluyendo el !ue se utilia en forma eLterna parareducir el riesgo de acceso no autoriado a los datos y para pre&enir prdidas o daMos Esto tam$inde$e tener en cuenta la u$icación y disposición e!uipamiento +ueden re!uerirse controlesespeciales para pre&enir peligros o accesos no autoriados' y para proteger instalaciones de soporte'como la infraestructura de ca$leado y suministro de energ8a elctrica

-#!#$ U9icación = ;ro8ección del e73i;amien8o

El e!uipamiento de$e ser u$icado o protegido de tal manera !ue se reducan los riesgosocasionados por amenaas y peligros am$ientales' y oportunidades de acceso no autoriado Sede$en tener en cuenta los siguientes puntos:

a El e!uipamiento de$e ser u$icado en un sitio !ue permita minimiar el acceso innecesario alas áreas de tra$aNo

$ %as instalaciones de procesamiento y almacenamiento de información' !ue maneNan datossensi$les' de$en u$icarse en un sitio !ue permita reducir el riesgo de falta de super&isión delas mismas durante su uso

!-



c %os 8tems !ue re!uieren protección especial de$en ser aislados para reducir el ni&el generalde protección re!uerida

d Se de$en adoptar controles para minimiar el riesgo de amenaas potenciales' por eN1 ro$o2 incendioD eLplosi&os humoR, agua /o falta de suministro. pol&o7 &i$raciones efectos !u8micos9 interferencia en el suministro de energ8a elctrica10 radiación electromagntica

e %a organiación de$e analiar su pol8tica respecto de comer' $e$er y fumar cerca de lasinstalaciones de procesamiento de información

f Se de$en monitorear las condiciones am$ientales para &erificar !ue las mismas no afecten demanera ad&ersa el funcionamiento de las instalaciones de procesamiento de la informacióng Se de$e tener en cuenta el uso de mtodos de protección especial' como las mem$ranas de

teclado' para los e!uipos u$icados en am$ientes industrialesh Se de$e considerar el impacto de un e&entual desastre !ue tenga lugar en onas próLimas a

la sede de la organiación' por eN un incendio en un edificio cercano' la filtración de aguadesde el cielo raso o en pisos por de$aNo del ni&el del suelo o una eLplosión en la calle

-#!#! S3mini58ro5 de energía

El e!uipamiento de$e estar protegido con respecto a las posi$les fallas en el suministro de energ8a uotras anomal8as elctricas Se de$e contar con un adecuado suministro de energ8a !ue est de

acuerdo con las especificaciones del fa$ricante o pro&eedor de los e!uipos Entre las alternati&aspara asegurar la continuidad del suministro de energ8a podemos enumerar las siguientes:

a m#ltiples $ocas de suministro para e&itar un #nico punto de falla en el suministro de energ8a$ suministro de energ8a ininterrumpi$le /4+Sc generador de respaldo

Se recomienda una 4+S para asegurar el apagado regulado y sistemático o la eNecución continua dele!uipamiento !ue sustenta las operaciones cr8ticas de la organiación %os planes de contingenciade$en contemplar las acciones !ue han de emprenderse ante una falla de la 4+S %os e!uipos de4+S de$en inspeccionarse periódicamente para asegurar !ue tienen la capacidad re!uerida y sede$en pro$ar de conformidad con las recomendaciones del fa$ricante o pro&eedor

Se de$e tener en cuenta el empleo de un generador de respaldo si el procesamiento ha de continuar encaso de una falla prolongada en el suministro de energ8a 3e instalarse' los generadores de$en ser pro$ados periódicamente de acuerdo con las instrucciones del fa$ricante o pro&eedor Se de$e disponer de un adecuado suministro de com$usti$le para garantiar !ue el generador pueda funcionar por unper8odo prolongado

)simismo' los interruptores de emergencia de$en u$icarse cerca de las salidas de emergencia de lassalas donde se encuentra el e!uipamiento' a fin de facilitar un corte rápido de la energ8a en caso deproducirse una situación cr8tica Se de$e pro&eer de iluminación de emergencia en caso deproducirse una falla en el suministro principal de energ8a Se de$e implementar protección contrarayos en todos los edificios y se de$en adaptar filtros de protección contra rayos en todas las l8neasde comunicaciones eLternas

!/




-#!#( Seg3ridad del ca9leado

El ca$leado de energ8a elctrica y de comunicaciones !ue transporta datos o $rinda apoyo a losser&icios de información de$e ser protegido contra interceptación o daMo Se de$en tener en cuentalos siguientes controles:

a %as l8neas de energ8a elctrica y telecomunicaciones !ue se conectan con las instalacionesde procesamiento de información de$en ser su$terráneas' siempre !ue sea posi$le' o suNetasa una adecuada protección alternati&a

$ El ca$leado de red de$e estar protegido contra interceptación no autoriada o daMo' por eNemplo mediante el uso de conductos o e&itando trayectos !ue atra&iesen áreas p#$licas

c %os ca$les de energ8a de$en estar separados de los ca$les de comunicaciones para e&itar interferencias

d Entre los controles adicionales a considerar para los sistemas sensi$les o cr8ticos seencuentran los siguientes

1 instalación de conductos $lindados y recintos o caNas con cerradura en los puntos

terminales y de inspección2 uso de rutas o medios de transmisión alternati&osD uso de ca$leado de fi$ra óptica iniciar $arridos para eliminar dispositi&os no autoriados conectados a los ca$les

-#!#) Man8enimien8o de e73i;o5

El e!uipamiento de$e mantenerse en forma adecuada para asegurar !ue su disponi$ilidad eintegridad sean permanentes Se de$en considerar los siguientes lineamientos:

a El e!uipamiento de$e mantenerse de acuerdo con los inter&alos ser&icio y especificacionesrecomendados por el pro&eedor

$ Sólo el personal de mantenimiento autoriado puede $rindar mantenimiento y lle&ar a ca$oreparaciones en el e!uipamientoc Se de$en mantener registros de todas las fallas supuestas o reales y de todo el

mantenimiento pre&enti&o y correcti&oe 3e$en implementarse controles cuando se retiran e!uipos de la sede de la organiación para

su mantenimiento /&er tam$in 72. con respecto a $orrado' $orrado permanente y so$reescritura de datos Se de$e cumplir con todos los re!uisitos impuestos por las pólias deseguro

-#!#* Seg3ridad del e73i;amien8o f3era del m9i8o de la organi>ación

El uso de e!uipamiento destinado al procesamiento de información' fuera del ám$ito de la

organiación' de$e ser autoriado por el ni&el gerencial' sin importar !uien es el propietario delmismo %a seguridad pro&ista de$e ser e!ui&alente a la suministrada dentro del ám$ito de laorganiación' para un propósito similar' teniendo en cuenta los riesgos de tra$aNar fuera de la mismaEl e!uipamiento de procesamiento de la información incluye todo tipo de computadoras personales'organiadores' telfonos mó&iles' papel u otros formularios' necesarios para el tra$aNo en eldomiciliario o !ue es transportado fuera del lugar ha$itual de tra$aNo

Se de$en considerar los siguientes lineamientos:

a El e!uipamiento y dispositi&os retirados del ám$ito de la organiación no de$en permanecer desatendidos en lugares p#$licos %as computadoras personales de$en ser transportadascomo e!uipaNe de mano y de ser posi$le enmascaradas' durante el &iaNe

!0



$ Se de$en respetar permanentemente las instrucciones del fa$ricante' por eN protección por eLposición a campos electromagnticos fuertes

c %os controles de tra$aNo en domicilio de$en ser determinados a partir de un análisis de riesgoy se aplicarán controles adecuados seg#n corresponda' por eN ga$inetes de archi&o concerradura' pol8tica de escritorios limpios y control de acceso a computadoras

d 4na adecuada co$ertura de seguro de$e estar en orden para proteger el e!uipamiento fueradel ám$ito de la organiación

%os riesgos de seguridad' por eN el daMo' ro$o o escucha su$repticia' pueden &ariar considera$lemente seg#n las u$icaciones y de$en ser tenidas en cuenta al determinar los controlesmás apropiados Se puede encontrar más información so$re otros aspectos de protección dele!uipamiento mó&il' en 91

-#!#, .a@a 5eg3ra o re38ili>ación de e73i;amien8o#

%a información puede &erse comprometida por una desafectación descuidada o una reutiliación del

e!uipamiento /&ase tam$in . %os medios de almacenamiento conteniendo material sensiti&o'de$en ser f8sicamente destruidos o so$rescritos en forma segura en &e de utiliar las funciones de$orrado estándar

6odos los elementos del e!uipamiento !ue contengan dispositi&os de almacenamiento' por eN discosr8gidos no remo&i$les' de$en ser controlados para asegurar !ue todos los datos sensiti&os y elsoftare $aNo licencia' han sido eliminados o so$rescritos antes de su $aNa +uede ser necesariorealiar un análisis de riesgo a fin de determinar si medios de almacenamiento daMados' conteniendodatos sensiti&os' de$en ser destruidos' reparados o desechados

-#( Con8role5 generale5

O$Neti&o : Impedir la eLposición al riesgo o ro$o de la información o de las instalaciones deprocesamiento de la misma%as instalaciones de procesamiento de la información y la información de$en ser protegidas contra ladi&ulgación' modificación o ro$o por parte de personas no autoriadas' de$indose implementar controles para minimiar prdidas o daMos %os procedimientos de administración y almacenamientoson considerados en el punto .D

-#(#$ olí8ica5 de e5cri8orio5 = ;an8alla5 lim;ia5#

%as organiaciones de$en considerar la adopción de una pol8tica de escritorios limpios para proteger documentos en papel y dispositi&os de almacenamiento remo&i$les y una pol8tica de pantallaslimpias en las instalaciones de procesamiento de información' a fin de reducir los riesgos de accesono autoriado' perdida y daMo de la información durante el horario normal de tra$aNo y fuera delmismo

%a pol8tica de$e contemplar las clasificaciones de seguridad de la información /&er ,2' los riesgoscorrespondientes y los aspectos culturales de la organiación

%a información !ue se deNa so$re los escritorios tam$in está eLpuesta a sufrir daMos o destroos encaso de producirse un desastre como incendio' inundación o eLplosión

(1



c instrucciones para el maneNo de errores u otras condiciones eLcepcionales !ue podr8an surgir durante la eNecución de tareas' incluyendo restricciones en el uso de utilitarios del sistema/&er 9,,

d personas de soporte a contactar en caso de dificultades operati&as o tcnicas impre&istase instrucciones especiales para el maneNo de salidas /PoutputsP' como el uso de papeler8a

especial o la administración de salidas confidenciales' incluyendo procedimientos para laeliminación segura de salidas de tareas fallidas

f reinicio del sistema y procedimientos de recuperación en caso de producirse fallas en elsistema

6am$in de$e prepararse documentación so$re procedimientos referidos a acti&idades demantenimiento del sistema' relacionadas con las instalaciones de procesamiento de información ycomunicaciones' tales como los procedimientos de inicio y cierre' resguardo' mantenimiento dee!uipos' salas de cómputos y administración y seguridad del maneNo de correo

/#$#! Con8rol de cam9io5 en la5 o;eracione5

Se de$en controlar los cam$ios en los sistemas e instalaciones de procesamiento de información Elcontrol inadecuado de estos cam$ios es una causa com#n de las fallas de seguridad y de sistemas

Se de$en implementar responsa$ilidades y procedimientos gerenciales formales para garantiar uncontrol satisfactorio de todos los cam$ios en el e!uipamiento' el softare o los procedimientos %osprogramas operati&os de$en estar suNetos a un control estricto de los cam$ios Cuando se cam$ianlos programas' se de$e retener un registro de auditor8a !ue contenga toda la información rele&ante

%os cam$ios en el am$iente operati&o pueden tener impacto en las aplicaciones Siempre !ue seafacti$le' los procedimientos de control de cam$ios en las operaciones y aplicaciones de$en estar integrados /&er tam$in 10,1 En particular' se de$en considerar los siguientes 8tems:

a identificación y registro de cam$ios significati&os$ e&aluación del posi$le impacto de dichos cam$iosc procedimiento de apro$ación formal de los cam$ios propuestosd comunicación de detalles de cam$ios a todas las personas pertinentese procedimientos !ue identifican las responsa$ilidades por la cancelación de los cam$ios

fallidos y la recuperación respecto de los mismos

/#$#( rocedimien8o5 de mane@o de inciden8e5

Se de$en esta$lecer responsa$ilidades y procedimientos de maneNo de incidentes para garantiar una respuesta rápida' efica y sistemática a los incidentes relati&os a seguridad /&er tam$in .D l

Se de$en considerar los siguientes controles

a Se de$en esta$lecer procedimientos !ue contemplen todos los tipos pro$a$les de incidentesrelati&os a seguridad' incluyendo

1 fallas en los sistemas de información y prdida del ser&icioR2 negación del ser&icioRD errores ocasionados por datos comerciales incompletos o ineLactosR &iolaciones de la confidencialidadR

$ )demás de los planes de contingencia normales /diseMados para recuperar sistemas yser&icios tan pronto como sea posi$le' los procedimientos tam$in de$en contemplar /&er tam$in .D:

1 análisis e identificación de la causa del incidenteR

(!




2 planificación e implementación de soluciones para e&itar la repetición del mismo' siresulta necesarioR

D recolección de pistas de auditor8a y e&idencia similarR comunicación con las personas afectadas o in&olucradas con la recuperación' del

incidenteR, notificación de la acción a la autoridad pertinenteR

c Se de$en recolectar /&er 1217 y proteger pistas de auditor8a y e&idencia similar' seg#ncorresponda' para:

1 análisis de pro$lemas internos:2 uso como e&idencia en relación con una pro$a$le &iolación de contrato' de re!uisito

normati&o' o en el caso de un proceso Nudicial ci&il o criminal' por eN por aplicación delegislación so$re protección de datos o fraude informáticoR

D negociación de compensaciones por parte de los pro&eedores de softare y deser&iciosR

d Se de$en implementar controles detallados y formaliados de las acciones de recuperaciónrespecto de las &iolaciones de la seguridad y de corrección de fallas del sistema %os

procedimientos de$en garantiar !ue :1 sólo se otorga acceso a los sistemas y datos eListentes al personal claramenteidentificado y autoriado /&er tam$in 22 en relación con el acceso de tercerosR

2 todas las acciones de emergencia emprendidas son documentadas en forma detalladaD la acciones de emergencia se comunican a la gerencia y se re&isan sistemáticamenteR la integridad de los controles y sistemas de la empresa se constata en un plao

m8nimo

/#$#) Se;aración de f3ncione5

%a separación de funciones es un mtodo para reducir el riesgo de mal uso' accidental o deli$eradodel sistema Se de$e considerar la separación de la gestión o eNecución de ciertas tareas o áreas de

responsa$ilidad' a fin de reducir las oportunidades de modificación no autoriada o mal uso de lainformación o los ser&icios

%as pe!ueMas organiaciones pueden encontrar este mtodo de control dif8cil de cumplir' pero elprincipio de$e aplicarse en la medida de lo posi$le Siempre !ue sea dif8cil lle&ar a ca$o laseparación' se de$en tener en cuenta otros controles como el monitoreo de las acti&idades' las pistasde auditor8a y la super&isión gerencial Es importante !ue la auditor8a de seguridad permanecaindependiente Se de$en tomar recaudos para !ue ninguna persona pueda perpetrar un fraude enáreas de responsa$ilidad #nica sin ser detectada El inicio de un e&ento de$e estar separado de suautoriación Se de$en considerar los siguientes puntos

a Es importante separar acti&idades !ue re!uieren conni&encia para defraudar' por eN efectuar

una orden de compra y &erificar !ue la mercader8a fue reci$ida$ Si eListe peligro de conni&encia' los controles de$en ser diseMados de manera tal !ue dos o

más personas de$an estar in&olucradas' reduciendo de ese modo la posi$ilidad deconspiración

/#$#* Se;aración en8re in58alacione5 de de5arrollo e in58alacione5 o;era8i:a5

%a separación entre las instalaciones de desarrollo' prue$a y operaciones es importante para lograr la separación de los roles in&olucradas Se de$en definir y documentar las reglas para latransferencia de softare desde el estado de desarrollo hacia el estado operati&o

%as acti&idades de desarrollo y prue$a pueden ocasionar pro$lemas gra&es' como la modificación nodeseada de archi&os o sistemas' o la rectificación no deseada de fallas de sistemas Se de$e

((



considerar el ni&el de separación !ue resulta necesario entre los am$ientes operati&os' de prue$a yde desarrollo' a fin de pre&enir pro$lemas operati&os 6am$in se de$e implementar una separaciónsimilar entre las funciones de desarrollo y prue$a En este caso' eListe la necesidad de mantener unam$iente conocido y esta$le en el cual puedan lle&arse a ca$o prue$as significati&as e impedirseaccesos inadecuados por parte del personal de desarrollo

Si el personal de desarrollo y prue$a tiene acceso al sistema !ue esta operati&o y a su información'ste puede ser capa de introducir l8neas de códigos no autoriados o no pro$ados' o alterar losdatos de las operaciones En algunos sistemas esta capacidad puede ser utiliada inadecuadamentepara perpetrar fraude' o para introducir programas no pro$ados o maliciosos Estos programaspueden ocasionar gra&es pro$lemas operati&os El personal de desarrollo y prue$as tam$in planteauna amenaa a la confidencialidad de la información operati&o

%as acti&idades de desarrollo y prue$as pueden producir cam$ios no planificados en el softare y lainformación si los sistemas comparten el mismo am$iente informático %a separación entre lasinstalaciones de desarrollo' prue$as y operaciones es por tanto desea$le' a fin de reducir el riesgo de

cam$ios accidentales o accesos no autoriados al softare operati&o y a los datos del negocio Sede$en tener en cuenta los siguientes controles

a El softare en desarrollo y en operaciones de$e' en la medida de lo posi$le' eNecutarse endiferentes procesadores o en diferentes dominios o directorios

$ En la medida de lo posi$le' las acti&idades de desarrollo y prue$a de$en estar separadasc Cuando no es re!uerido' los compiladores' editores y otros utilitarios del sistema no de$en ser

accesi$les desde los sistemas !ue están operati&osd Se de$en utiliar diferentes procedimientos de coneLión /Plog"onP para sistemas en

operaciones y de prue$a' a fin de reducir el riesgo de error Se de$e alentar a los usuarios autiliar diferentes contraseMas para estos sistemas' y los men#s de$en desplegar adecuadosmensaNes de identificación

e El personal de desarrollo sólo de$e tener acceso a las contraseMas operati&as' por!ue all8están adecuadamente u$icados los controles de emisión de contraseMas para el apoyo de lossistemas !ue se encuentran operati&os Estos controles de$en garantiar !ue dichascontraseMas se modifi!uen una &e utiliadas

/#$#, Admini58ración de in58alacione5 e<8erna5

El empleo de un contratista eLterno para la administración de las instalaciones de procesamiento deinformación puede introducir potenciales eLposiciones al riesgo en materia de seguridad' como laposi$ilidad de compromiso' daMo o prdida de datos en la sede del contratista Estos riesgos de$enser identificados con anticipación' y de$en acordarse controles adecuados con el contratista eincluirse en el contrato /&er tam$in 22 y D para orientación con respecto a contratos con

terceros !ue contemplan el acceso a instalaciones de la organiación y contratos de terceriación

Se de$en a$ordar' entre otras' las siguientes cuestiones espec8ficas:

a identificar las aplicaciones sensi$les o cr8ticas !ue con&ienen retener en la organiaciónR$ o$tener la apro$ación de los propietarios de aplicaciones comercialesRc implicancias para la continuidad de los planes comercialesRd estándares de seguridad a especificar' y el proceso de medición del cumplimientoRe asignación de responsa$ilidades espec8ficas y procedimientos para monitorear con eficacia

todas las acti&idades de seguridad pertinentesf responsa$ilidades y procedimientos de comunicación y maneNo de incidentes relati&os a la

seguridad /&er 1D

()




/#! lanificación = a;ro9ación de 5i58ema5

O$Neti&o : *inimiar el riesgo de fallas en los sistemasSe re!uiere una planificación y preparación anticipada para garantiar la disponi$ilidad de capacidad

y recursos adecuados3e$en realiarse proyecciones para futuros re!uerimientos de capacidad' a fin de reducir el riesgo deso$recarga del sistema Se de$en esta$lecer' documentar y pro$ar los re!uerimientos operati&os denue&os sistemas antes de su apro$ación y uso

/#!#$ lanificación de la ca;acidad

Se de$en monitorear las demandas de capacidad y realiar proyecciones de los futurosre!uerimientos de capacidad' a fin de garantiar la disponi$ilidad del poder de procesamiento yalmacenamiento adecuados Estas proyecciones de$en tomar en cuenta los nue&os re!uerimientosde negocios y sistemas y las tendencias actuales y proyectadas en el procesamiento de lainformación de la organiación

%as computadoras PmainframeP re!uieren especial atención' de$ido al mayor costo y plao de esperapara la o$tención de nue&a capacidad %os administradores de ser&icios mainframe de$enmonitorear la utiliación de los recursos cla&e del sistema' incluyendo procesadores' almacenamientoprincipal' almacenamiento de archi&os' impresoras y otros medios de salida /PoutputP' y sistemas decomunicaciones <stos de$en identificar las tendencias de uso' particularmente en relación con lasaplicaciones comerciales o las herramientas de sistemas de información de gestión

%os gerentes de$en utiliar esta información para identificar y e&itar potenciales cuellos de $otella!ue podr8an plantear una amenaa a la seguridad del sistema o a los ser&icios del usuario' yplanificar una adecuada acción correcti&a

/#!#! A;ro9ación del 5i58ema

Se de$en esta$lecer criterios de apro$ación para nue&os sistemas de información' actualiaciones/PupgradesP y nue&as &ersiones' y se de$en lle&ar a ca$o adecuadas prue$as de los sistemas antesde su apro$ación %os gerentes de$en garantiar !ue los re!uerimientos y criterios de apro$ación denue&os sistemas sean claramente definidos' acordados' documentados y pro$ados Se de$enconsiderar los siguientes puntos:

a desempeMo y re!uerimientos de capacidad de las computadorasR$ recuperación ante errores y procedimientos de reinicio' y planes de contingenciaRc preparación y prue$a de procedimientos operati&os de rutina seg#n estándares definidosd conNunto acordado de controles de seguridad implementadose procedimientos manuales eficacesRf disposiciones relati&as a la continuidad de los negocios' seg#n lo re!uerido en el punto 111g e&idencia !ue la instalación del nue&o sistema no afectará negati&amente los sistemas

eListentes' especialmente en los per8odos pico de procesamiento' como durante los #ltimosd8as del mes

h e&idencia de !ue se ha tomado en cuenta el efecto !ue tiene el nue&o sistema en laseguridad glo$al de la organiación

i entrenamiento en la operación o uso de nue&os sistemas

+ara los principales nue&os desarrollos' las funciones y usuarios de operaciones de$en ser consultados en todas las etapas del proceso de desarrollo para garantiar la eficiencia operati&a del

diseMo propuesto del sistema 3e$en lle&arse a ca$o prue$as apropiadas para constatar elcumplimiento ca$al de todos los criterios de apro$ación

(*



/#( ro8ección con8ra 5of8are malicio5o

O$Neti&o : +roteger la integridad del softare y la informaciónEs necesario tomar precauciones para pre&enir y detectar la introducción de softare maliciosoEl softare y las instalaciones de procesamiento de información son &ulnera$les a la introducción desoftare malicioso como' por eN' &irus informáticos' PormsP de red' PtroyanosP /&er tam$in 10, y$om$as lógicas Se de$e concientiar a los usuarios acerca de los peligros del softare noautoriado o malicioso' y los administradores de$en' cuando corresponda' introducir controlesespeciales para detectar o pre&enir la introducción de los mismos En particular' es esencial !ue setomen precauciones para detectar y pre&enir &irus informáticos en computadoras personales

/#(#$ Con8role5 con8ra 5of8are malicio5o

Se de$en implementar controles de detección y pre&ención para la protección contra softaremalicioso' y procedimientos adecuados de concientiación de usuarios %a protección contra

softare malicioso de$e $asarse en la concientiación en materia de seguridad y en controlesadecuados de acceso al sistema y administración de cam$ios

Se de$en tener en cuenta los siguientes controles:

a una pol8tica formal !ue re!uiera el uso de softare con licencia y proh8$a el uso de softareno autoriado /&er 12122R

$ una pol8tica formal con el fin de proteger contra los riesgos relacionados con la o$tención dearchi&os y softare desde o a tra&s de redes eLternas' o por cual!uier otro medio' seMalando!u medidas de protección de$er8an tomarse /&er tam$in 10,' especialmente 10, y 10,,R

c instalación y actualiación periódica de softare de detección y reparación anti"&irus' para

eLaminar computadoras y medios informáticos' ya sea como medida precautoria o rutinaria'd realiación de re&isiones periódicas del contenido de softare y datos de los sistemas !ue

sustentan procesos cr8ticos de al empresa %a presencia de archi&os no apro$ados omodificaciones no autoriadas de$e ser in&estigada formalmenteR

e &erificación de la presencia de &irus en archi&os de medios electrónicos de origen incierto ono autoriado' o en archi&os reci$idos a tra&s de redes no confia$les' antes de su usoR

f &erificación de la presencia de softare malicioso en archi&os adNuntos a mensaNes de correoelectrónico y archi&os descargados por Internet /PdonloadsP antes de su uso Esta&erificación puede lle&arse a ca$o en diferentes lugares' por eN en ser&idores de correoelectrónico' computadoras de escritorio o al ingresar en la red de la organiaciónR

g procedimientos y responsa$ilidades gerenciales para administrar la protección contra &irus enlos sistemas' el entrenamiento con respecto a su uso' la comunicación y la recuperaciónfrente a ata!ues /&er .D y 1D

h adecuados planes de continuidad de los negocios para la recuperación respecto de ata!uesde &irus' incluyendo todos los datos necesarios' el resguardo del softare y las disposicionespara la recuperación /&er el punto 11

i procedimientos para &erificar toda la información relati&a a softare malicioso' y garantiar !ue los $oletines de alerta sean eLactos e informati&os %os gerentes de$en garantiar !uese utilian fuentes calificadas' por eN pu$licaciones acreditadas' sitios de Internet opro&eedores de softare anti"&irus confia$les' para diferenciar entre &irus falaces y reales Sede$e concientiar al personal acerca del pro$lema de los &irus falsos /hoaL y de !u hacer alreci$irlos

Estos controles son especialmente importantes para ser&idores de archi&os de red !ue $rindansoporte a un gran n#mero de estaciones de tra$aNo

(,




/#) Man8enimien8o

O$Neti&o: *antener la integridad y disponi$ilidad de los ser&icios de procesamiento y comunicaciónde información

Se de$en esta$lecer procedimientos de rutina para lle&ar a ca$o la estrategia de resguardo acordada/&er 111 realiando copias de resguardo de los datos y ensayando su resta$lecimiento oportuno'registrando e&entos y fallas y' cuando corresponda' monitoreando el entorno del e!uipamiento

/#)#$ Re5g3ardo de la información

Se de$en realiar periódicamente copias de resguardo de la información y el softare esencialespara la empresa Se de$e contar con adecuadas instalaciones de resguardo para garantiar !ue todala información y el softare esencial de la empresa puede recuperarse una &e ocurrido un desastreo falla de los dispositi&os %as disposiciones para el resguardo de cada uno de los sistemas de$enser pro$adas periódicamente para garantiar !ue cumplen con los re!uerimientos de los planes decontinuidad de los negocios /&er punto 11 Se de$en tener en cuenta los siguientes controles

a Se de$e almacenar en una u$icación remota un ni&el m8nimo de información de resguardo' Nunto con registros eLactos y completos de las copias de resguardo y los procedimientosdocumentados de restauración' a una distancia suficiente como para e&itar daMospro&enientes de un desastre en el sitio principal Se de$en retener al menos tresgeneraciones o ciclos de información de resguardo para aplicaciones importantes de laempresa

$ Se de$e asignar a la información de resguardo un ni&el adecuado de protección f8sica yam$iental /&er punto 7 consecuente con los estándares aplicados en el sitio principal %oscontroles aplicados a los dispositi&os en el sitio principal de$en eLtenderse para cu$rir el sitiode resguardo

c %os medios de resguardo de$en pro$arse periódicamente' cuando sea facti$le' a fin de

garantiar la confia$ilidad de los mismos con relación a su e&entual uso en casos deemergencia

d %os procedimientos de restauración de$en &erificarse y pro$arse periódicamente paragarantiar su eficacia y cumplimiento dentro del tiempo asignado a la recuperación en losprocedimientos operati&os

Se de$e determinar el per8odo de guarda de la información esencial para la empresa' y tam$in losre!uerimientos de copias de archi&os !ue han de guardarse en forma permanente /&er 121D

/#)#! Regi58ro de ac8i:idade5 del ;er5onal o;era8i:o

El personal operati&o de$e mantener un registro de sus acti&idades %os registros de$en incluir'seg#n corresponda:

a tiempos de inicio y cierre del sistema$ errores del sistema y medidas correcti&as tomadasc confirmación del maneNo correcto de archi&os de datos y salidasd el nom$re de la persona !ue lle&a a ca$o la actualiación del registro

%os registros de acti&idades del personal operati&o de$en estar suNetos a &erificaciones periódicas eindependientes con relación a los procedimientos operati&os

/#)#( Regi58ro de falla5

(-



Se de$en comunicar las fallas y tomar medidas correcti&as Se de$e registrar las fallas comunicadaspor los usuarios' con respecto a pro$lemas con el procesamiento de la información o los sistemas decomunicaciones 3e$en eListir reglas claras para el maneNo de las fallas comunicadas' con inclusiónde:

a re&isión de registros de fallas para garantiar !ue las mismas fueron resueltassatisfactoriamente

$ re&isión de medidas correcti&as para garantiar !ue los controles no fueron comprometidos' y!ue las medidas tomadas fueron de$idamente autoriadas

/#* Admini58ración de la red

O$Neti&o: =arantiar la seguridad de la información en las redes y la protección de la infraestructurade apoyo Es de suma importancia la administración de seguridad de las redes !ue pueden atra&esar el per8metro de la organiación6am$in pueden re!uerirse controles adicionales para los datos sensi$les !ue circulen por redes

p#$licas

/#*#$ Con8role5 de rede5

Se re!uiere un conNunto de controles para lograr y mantener la seguridad de las redes informáticas%os administradores de redes de$en implementar controles para garantiar la seguridad de los datosen la misma' y la protección de los ser&icios conectados contra el acceso no autoriado' Enparticular' se de$en considerar los siguientes 8tems

a Cuando corresponda' la responsa$ilidad operati&a de las redes de$e estar separada de las deoperaciones del computador /&er 1

$ Se de$en esta$lecer los procedimientos y responsa$ilidades para la administración del

e!uipamiento remoto' incluyendo los e!uipos en las áreas usuariasc Si resulta necesario' de$en esta$lecerse controles especiales para sal&aguardar la

confidencialidad e integridad del procesamiento de los datos !ue pasan a tra&s de redesp#$licas' y para proteger los sistemas conectados /&er 9 y 10D 6am$in puedenre!uerirse controles especiales para mantener la disponi$ilidad de los ser&icios de red ycomputadoras conectadas

d %as acti&idades gerenciales de$en estar estrechamente coordinadas tanto para optimiar elser&icio a la acti&idad de la empresa cuanto para garantiar !ue los controles se aplicanuniformemente en toda la infraestructura de procesamiento de información

/#, Admini58ración = 5eg3ridad de lo5 medio5 de almacenamien8o

O$Neti&o : Impedir el daMo a los acti&os y las interrupciones en las acti&idades de la empresa%os medios de almacenamiento de$en ser controlados y protegidos f8sicamente Se de$enesta$lecer procedimientos operati&os apropiados para proteger documentos' medios dealmacenamiento /cintas' discos' casetes' datos de entrada-salida y documentación del sistemacontra daMo' ro$o y acceso no autoriado

/#,#$ Admini58ración de medio5 inform8ico5 remo:i9le5

3e$en eListir procedimientos para la administración de medios informáticos remo&i$les' como cintas'discos' casetes e informes impresos Se de$en considerar los siguientes lineamientos:

(/




a si ya no son re!ueridos' de$en $orrarse los contenidos pre&ios de cual!uier medio reutilia$le!ue ha de ser retirado de la organiación

$ Se de$e re!uerir autoriación para retirar cual!uier medio de la organiación y se de$erealiar un registro de todos los retiros a fin de mantener una pista de auditor8a /&er 72

c 6odos los medios de$en almacenarse en un am$iente seguro y protegido' de acuerdo con lasespecificaciones de los fa$ricantes o pro&eedores

6odos los procedimientos y ni&eles de autoriación de$en ser claramente documentados

/#,#! Eliminación de medio5 inform8ico5

Cuando ya no son re!ueridos' los medios informáticos de$en eliminarse de manera segura Si losmismos no se eliminan cuidadosamente' la información sensi$le puede filtrarse a personas aNenas ala organiación Se de$en esta$lecer procedimientos formales para la eliminación segura de losmedios informáticos' a fin de minimiar este riesgo 3e$en considerarse los siguientes controles

a %os medios !ue contienen información sensi$le de$en ser almacenados y eliminados demanera segura' por eN incinerándolos o hacindolos trias' o eliminando los datos y utiliandolos medios en otra aplicación dentro de la organiación

$ El siguiente listado identifica 8tems !ue podr8an re!uerir una eliminación segura:1 documentos en papel'2 &oces u otras gra$acionesRD papel car$ónicoR informes de salida', cintas de impresora de un solo usoR. cintas magnticasR7 discos o casetes remo&i$lesR medios de almacenamiento óptico /todos los formatos incluyendo todos los medios

de distri$ución de softare del fa$ricante o pro&eedorR9 listados de programasR10 datos de prue$aR11 documentación del sistema'

c +uede resultar más fácil disponer !ue todos los medios sean recolectados y eliminados demanera segura' antes !ue intentar separar los 8tems sensi$les

d *uchas organiaciones ofrecen ser&icios de recolección y eliminación de papeles' e!uipos ymedios Se de$e seleccionar cuidadosamente a un contratista apto con adecuados controlesy eLperiencia

e Cuando sea posi$le' se de$e registrar la eliminación de los 8tems sensi$les' a fin de mantener una pista de auditor8a

)l acumular medios para su eliminación' se de$e considerar el efecto de acumulación' !ue puedeocasionar !ue una gran cantidad de información no clasificada se torne más sensi$le !ue unape!ueMa cantidad de información clasificada

/#,#( rocedimien8o5 de mane@o de la información

Se de$en esta$lecer procedimientos para el maneNo y almacenamiento de la información paraprotegerla contra su uso inadecuado o di&ulgación no autoriada %os procedimientos de maneNo deinformación de$en ela$orarse seg#n la clasificación de la misma /&er ,2 en documentos' sistemasinformáticos' redes' computación mó&il' comunicaciones mó&iles' correo' correo de &o'comunicaciones de &o en general' multimedia' ser&icios e instalaciones postales' uso de má!uinasde faL y cual!uier otro 8tem sensi$le' por eN facturas y che!ues en $lanco Se de$en tener en cuentalos siguientes controles /&er tam$in ,2 y 72:

(0



a maneNo y rotulado de todos los medios /&er tam$in 72 aR$ restricción de acceso para identificar al personal no autoriadoRc mantenimiento de un registro formal de los receptores autoriados de datosRd garantiar !ue los datos de entrada son completos' !ue el procesamiento se lle&a a ca$o

correctamente y !ue se aplica la &alidación de salidasRe protección de datos en espera /Pspooled dataP en un ni&el consecuente con el grado de

sensi$ilidad de los mismosf almacenamiento de medios en un am$iente !ue concuerda con las especificaciones de los

fa$ricantes o pro&eedoresg mantener la distri$ución de datos en un ni&el m8nimoh marcación clara de todas las copias de datos a fin de ser ad&ertidas por el receptor autoriadoi re&isión de listados de distri$ución y listados de receptores autoriados a inter&alos regulares

/#,#) Seg3ridad de la doc3men8ación del 5i58ema

%a documentación del sistema puede contener cierta cantidad de información sensi$le' por eNdescripción de procesos de aplicaciones' procedimientos' estructuras de datos' procesos deautoriación /&er tam$in 91 Se de$en considerar los siguientes controles para proteger ladocumentación del sistema de accesos no autoriados

a %a documentación del sistema de$e ser almacenada en forma seguraR$ El listado de acceso a la documentación del sistema de$e restringirse al m8nimo y de$e ser

autoriado por el propietario de la aplicaciónRc %a documentación del sistema almacenada en una red p#$lica' o suministrada a tra&s de

una red p#$lica' de$e ser protegida de manera adecuadaR

/#- In8ercam9io5 de información = 5of8are

O$Neti&o: Impedir la prdida' modificación o uso inadecuado de la información !ue intercam$ian lasorganiaciones%os intercam$ios de información y softare entre organiaciones de$en ser controlados' y de$en ser consecuentes con la legislación aplica$le /&er punto 12 %os intercam$ios de$en lle&arse a ca$o deconformidad con los acuerdos eListentes Se de$en esta$lecer procedimientos y estándares paraproteger la información y los medios en tránsito Se de$en considerar las implicancias comerciales yde seguridad relacionadas con el intercam$io electrónico de datos' el comercio electrónico y el correoelectrónico' además de los re!uerimientos de controles

/#-#$ Ac3erdo5 de in8ercam9io de información = 5of8are

Se de$en esta$lecer acuerdos' algunos de los cuales pueden ser formales' incluyendo los acuerdosde custodia de softare cuando corresponda' para el intercam$io de información y softare /tantoelectrónico como manual entre organiaciones %as especificaciones de seguridad de los acuerdosde esta 8ndole de$en refleNar el grado de sensi$ilidad de la información de negocio in&olucrada %osacuerdos so$re re!uisitos de seguridad de$en tener en cuenta

a responsa$ilidades gerenciales por el control y la notificación de transmisiones' en&8os yrecepciones R

$ procedimientos de notificación de emisor' transmisión' en&8o y recepciónRc estándares tcnicos m8nimos para armado de pa!uetes y transmisiónRd estándares de identificación de mensaNeros /VcourierWR

e responsa$ilidades y o$ligaciones en caso de prdida de datos

)1




f uso de un sistema con&enido para el rotulado de información cr8tica o sensi$le' garantiando!ue el significado de los rótulos sea inmediatamente comprendido y !ue la información seaadecuadamente protegidaR

g información so$re la propiedad de la información y el softare' y responsa$ilidades por laprotección de los datos' el cumplimiento del Pderecho de propiedad intelectualP del softare yconsideraciones similares /&er 1212 y 121 R1

h estándares tcnicos para la gra$ación y lectura de la información y softare Ri controles especiales !ue pueden re!uerirse para proteger 8tems sensi$les' como las cla&es

criptográficas /&er 10D,

/#-#! Seg3ridad de lo5 medio5 en 8rn5i8o

%a información puede ser &ulnera$le a accesos no autoriados' mal uso o alteración durante eltransporte f8sico' por eNemplo cuando se en&8an medios a tra&s de ser&icios postales o de

mensaNer8a%os siguientes controles de$en ser aplicados para sal&aguardar los medios informáticos !ue setransportan entre distintos puntos

a Se de$en utiliar medios de transporte o ser&icios de mensaNer8a confia$les Se de$e acordar con la gerencia una lista de ser&icios de mensaNer8a autoriados e implementar unprocedimiento para &erificar la identificación de los mismos

$ El em$alaNe de$e ser suficiente como para proteger el contenido contra e&entuales daMosf8sicos durante el tránsito y de$e seguir las especificaciones de los fa$ricantes o pro&eedores

c Se de$en adoptar controles especiales' cuando resulte necesario' a fin de proteger lainformación sensi$le contra di&ulgación o modificación no autoriadas Entre los eNemplos se

incluyen1 uso de recipientes cerradosR2 entrega en manoRD em$alaNe a prue$a de apertura no autoriada /!ue re&ele cual!uier intento de accesoR en casos eLcepcionales' di&isión de la mercader8a a en&iar en más de una entrega y

en&8o por diferentes rutas

/#-#( Seg3ridad del comercio elec8rónico

El comercio electrónico puede comprender el uso de intercam$io electrónico de datos /E3I' correoelectrónico y transacciones en l8nea a tra&s de redes p#$licas como Internet El comercio electrónicoes &ulnera$le a di&ersas amenaas relati&as a redes' !ue pueden tener como resultado acti&idades

fraudulentas' disputas contractuales y di&ulgación o modificación de información Se de$en aplicar controles para proteger al comercio electrónico de dichas amenaas %as consideraciones en materiade seguridad con respecto al comercio electrónico de$en incluir las siguientes:

a )utenticación ;u ni&el de confiana rec8proca de$en re!uerir el cliente y comerciante conrespecto a la identidad alegada por cada uno de ellos@

$ )utoriación ;uin está autoriado a fiNar precios' emitir o firmar los documentos comercialescla&e@ Cómo conoce este punto el otro participante de la transacción

c +rocesos de oferta y contratación Cuáles son los re!uerimientos de confidencialidad'integridad y prue$a de en&8o y recepción de documentos cla&e y de no repudio de contratos@

d Información so$re fiNación de precios ;u ni&el de confiana puede depositarse en laintegridad del listado de precios pu$licado y en la confidencialidad de los acuerdos relati&as adescuentos@

)$



e 6ransacciones de compra Cómo es la confidencialidad e integridad de los datossuministrados con respecto a órdenes' pagos y direcciones de entrega' y confirmación derecepción@

f Aerificación ;u grado de &erificación es apropiado para constatar la información de pagosuministrada por el cliente@

g Cierre de la transacción Cuál es forma de pago más adecuada para e&itar fraudes@h Ordenes ;u protección se re!uiere para mantener la confidencialidad e integridad de la

información so$re órdenes de compra y para e&itar la prdida o duplicación de transaccionesi (esponsa$ilidad ;uin asume el riesgo de e&entuales transacciones fraudulenta

=ran parte de las consideraciones mencionadas pueden resol&erse mediante la aplicación de lastcnicas criptográficas enumeradas en el punto 10D' tomando en cuenta el cumplimiento de losre!uisitos legales /&er 121' en particular los puntos 121. para legislación so$re criptograf8a

%os acuerdos de comercio electrónico entre partes' de$en ser respaldados por un acuerdodocumentado !ue comprometa a las mismas a respetar los trminos y condiciones acordados'

incluyendo los detalles de autoriación T&er el punto $' más arri$aU +ueden re!uerirse otrosacuerdos con pro&eedores de ser&icios de información y de redes !ue aporten $eneficiosadicionales

%os sistemas p#$licos de transacciones de$en dar a conocer a sus clientes sus trminos ycondiciones comerciales

Se de$e tomar en cuenta la resistencia a ata!ues con !ue cuenta el PhostP utiliado para el comercioelectrónico' y las implicancias de seguridad de las interconeLiones de red !ue se re!uieren para suimplementación /&er 97

/#-#) Seg3ridad del correo elec8rónico

/#-#)#$ Rie5go5 de 5eg3ridad

El correo electrónico se está utiliando para las comunicaciones comerciales' en reemplao de lasformas tradicionales de comunicación como el teleL y el correo postal El correo electrónico difierede las formas tradicionales de comunicaciones comerciales por su &elocidad' estructura demensaNes' grado de informalidad y &ulnera$ilidad a las acciones no autoriadas Se de$e tener encuenta la necesidad de controles para reducir los riesgos de seguridad creados por el correoelectrónico %os riesgos relati&os a la seguridad comprenden :

a &ulnera$ilidad de los mensaNes al acceso o modificación no autoriados o a la negación deser&icio

$ &ulnera$ilidad a errores' por eN' consignación incorrecta de la dirección o dirección errónea' yla confia$ilidad y disponi$ilidad general del ser&icio R

c impacto de un cam$io en el medio de comunicación en los procesos de negocio' por eN' elefecto del incremento en la &elocidad de en&8o o el efecto de en&iar mensaNes formales depersona a persona en lugar de mensaNes entre organiaciones

d consideraciones legales' como la necesidad potencial de contar con prue$a de origen' en&8o'entrega y aceptación

e implicancias de la pu$licación eLterna de listados de personal' accesi$les al p#$lico Rf control del acceso de usuarios remotos a las cuentas de correo electrónico

/#-#)#! olí8ica de correo elec8rónico

)!




%as organiaciones de$en ela$orar una pol8tica clara con respecto al uso del correo electrónico' !ueincluya los siguientes tópicos:

a ata!ues al correo electrónico' por eN &irus' interceptación$ protección de archi&os adNuntos de correo electrónicoRc lineamientos so$re cuando no utiliar correo electrónicoRd responsa$ilidad del empleado de no comprometer a la organiación' por eN en&iando correos

electrónicos difamatorios' lle&ando a ca$o prácticas de hostigamiento' o realiando comprasno autoriadasR

e uso de tcnicas criptográficas para proteger la confidencialidad e integridad de los mensaNeselectrónicos /&er 10D

f retención de mensaNes !ue' si se almacenaran' podr8an ser hallados en caso de litigioRg controles adicionales para eLaminar mensaNes electrónicos !ue no pueden ser autenticados

/#-#* Seg3ridad de lo5 5i58ema5 elec8rónico5 de oficina

Se de$en preparar e implementar pol8ticas y lineamientos para controlar las acti&idades de laempresa y riesgos de seguridad relacionados con los sistemas electrónicos de oficina <stospropician la difusión y distri$ución más rápidas de la información de la empresa mediante unacom$inación de documentos' computadoras' computación mó&il' comunicaciones mó&iles' correo'correo de &o' comunicaciones de &o en general' multimedia' ser&icios o instalaciones postales ymá!uinas de faL

%as consideraciones respecto de las implicancias de seguridad y comerciales al interconectar talesser&icios' de$en incluir:

a &ulnera$ilidades de la información en los sistemas de oficina' por eN la gra$ación de llamadastelefónicas o tele conferencias' la confidencialidad de las llamadas' el almacenamiento de

faLes' la apertura o distri$ución del correoR$ pol8tica y controles apropiados para administrar la distri$ución de información' por eN el usode $oletines electrónicos corporati&os /&er 91

c eLclusión de categor8as de información sensi$le de la empresa' si el sistema no $rinda unadecuado ni&el de protección /&er ,2

d limitación del acceso a la información de agenda de personas determinadas' por eN elpersonal !ue tra$aNa en proyectos sensi$les R

e la aptitud del sistema para dar soporte a las aplicaciones de la empresa' como lacomunicación de órdenes o autoriaciones

f categor8as de personal' contratistas o socios a los !ue se permite el uso del sistema y lasu$icaciones desde las cuales se puede acceder al mismo /&er 2R

g restricción de determinadas instalaciones a espec8ficas categor8as de usuariosR

h identificación de la posición o categor8a de los usuarios' por eN empleados de la organiacióno contratistas en directorios a $eneficio de otros usuarios R

i retención y resguardo de la información almacenada en el sistema /&er 121D y 1 N re!uerimientos y disposiciones relati&os a sistemas de soporte 4+C de reposición de

información perdida /&er 1 11

/#-#, Si58ema5 de acce5o ;9lico

Se de$en tomar recaudos para la protección de la integridad de la información pu$licadaelectrónicamente' a fin de pre&enir la modificación no autoriada !ue podr8a daMar la reputación de laorganiación !ue emite la pu$licación Es posi$le !ue la información de un sistema de accesop#$lico' por eN la información en un ser&idor Je$ accesi$le por Internet' de$a cumplir con leyes'normas y estatutos de la Nurisdicción en la cual se localia el sistema o en la cual tiene lugar la

)(



transacción 3e$e eListir un proceso de autoriación formal antes de !ue la información se ponga adisposición del p#$lico

El softare' los datos y demás información !ue re!uiera un alto ni&el de integridad' y !ue estdisponi$le en un sistema de acceso p#$lico' de$en ser protegidos' mediante mecanismosadecuados' por eN firmas digitales /&er 10DD %os sistemas de pu$licación electrónica' en particular a!uellos !ue permiten Pfeed$acQP e ingreso directo de información' de$en ser cuidadosamentecontrolados de manera !ue:

a la información se o$tenga de acuerdo con la legislación de protección de datos /&er 121R$ la información !ue se ingresa al sistema de pu$licación' o a!uella !ue procesa el mismo' sea

procesada en forma completa' eLacta y oportunaRc la información sensi$le sea protegida durante el proceso de recolección y durante su

almacenamientoRd el acceso al sistema de pu$licación no permita el acceso accidental a las redes a las cuales

se conecta el mismo

/#-#- O8ra5 forma5 de in8ercam9io de información

Se de$en implementar procedimientos y controles para proteger el intercam$io de información atra&s de medios de comunicaciones de &o' faL y &8deo %a información puede &ersecomprometida de$ido a la falta de concientiación' pol8ticas o procedimientos acerca del uso dedichos medios' por eN al escucharse una con&ersación por telfono mó&il en un lugar p#$lico' alescucharse los mensaNes gra$ados en un contestador automático' mediante el acceso no autoriadoa sistemas de correo de &o por discado' o al en&iar accidentalmente faLes a la persona e!ui&ocada

Si los ser&icios de comunicaciones fallan' se so$recargan o se interrumpen' las operaciones de laempresa podr8an &erse interrumpidas y la información comprometerse /&er puntos 72 y 1 l %a

información tam$in podr8a comprometerse si usuarios no autoriados acceden a estos ser&icios /&er punto 9

Se de$e esta$lecer una pol8tica clara con respecto a los procedimientos !ue de$erá seguir elpersonal al esta$lecer comunicaciones de &o' faL y &8deo Esta de$e incluir lo siguiente:

a recordar al personal !ue de$e tomar las de$idas precauciones' por eN no re&elar informaciónsensi$le como para e&itar ser escuchado o interceptado' al hacer una llamada telefónica' por:

1 personas cercanas' en especial al utiliar telfonos mó&ilesR2 inter&ención de la l8nea telefónica' y otras formas de escucha su$repticias' a tra&s del

acceso f8sico al aparato o a la l8nea telefónica' o mediante e!uipos de $arrido defrecuencias /VscannersW al utiliar telfonos mó&iles análogosR

D personas en el lado receptorR$ recordar al personal !ue no de$e sostener con&ersaciones confidenciales en lugares p#$licos

u oficinas a$iertas y lugares de reunión con paredes delgadasRc no deNar mensaNes en contestadores automáticos puesto !ue stos pueden ser escuchados

por personas no autoriadas' almacenados en sistemas p#$licos o almacenadosincorrectamente como resultado de un error de discado

d recordar al personal los pro$lemas ocasionados por el uso de má!uinas de faL' en particular:1 el acceso no autoriado a sistemas incorporados de almacenamiento de mensaNes

con el o$Neto de recuperarlosR2 la programación deli$erada o accidental de e!uipos para en&iar mensaNes a

determinados n#meros RD el en&8o de documentos y mensaNes a un n#mero e!ui&ocado por errores de discado o

por utiliar el n#mero almacenado e!ui&ocado

))




)*



0 CONTROL DE ACCESOS

0#$ Re73erimien8o5 de negocio ;ara el con8rol de acce5o5

O$Neti&o: Controlar el acceso de informaciónEl acceso a la información y los procesos de negocio de$en ser controlados so$re la $ase delos re!uerimientos la seguridad y de los negocios+ara esta se de$en tener en cuenta las pol8ticas de difusión y autoriación de la información:

0#$#$ olí8ica de con8rol de acce5o5

0#$#$#$ Re73erimien8o5 ;olí8ico5 = de negocio5#

Se de$en definir y documentar los re!uerimientos de negocio para el control de accesos %as reglasy derechos del control de accesos' para cada usuario o grupo de usuarios' de$en ser claramente

esta$lecidos en una declaración de pol8tica de accesos Se de$e otorgar a los usuarios ypro&eedores de ser&icio una clara enunciación de los re!uerimientos comerciales !ue de$eránsatisfacer los controles de acceso

%a pol8tica de$e contemplar lo siguiente:

a re!uerimientos de seguridad de cada una de las aplicaciones comercialesR$ identificación de toda información relacionada con las aplicaciones comercialesRc las pol8ticas de di&ulgación y autoriación de información' por eN' el principio de necesidad de

conocer' y los ni&eles de seguridad y la clasificación de la informaciónRd coherencia entre las pol8ticas de control de acceso y de clasificación de información de los

diferentes sistemas y redes R

e legislación aplica$le y o$ligaciones contractuales con respecto a la protección del acceso adatos y ser&icios /&er punto 12 R

f perfiles de acceso de usuarios estándar' comunes a cada categor8a de puestos de tra$aNo Rg administración de derechos de acceso en un am$iente distri$uido y de red !ue reconocan

todos los tipos de coneLiones disponi$les

0#$#$#! Regla5 de con8rol de acce5o5

)l especificar las reglas de control de acceso' se de$e considerar cuidadosamente lo siguiente:

a diferenciar entre reglas !ue siempre de$en imponerse y reglas optati&as o condicionalesR$ esta$lecer reglas so$re la $ase de la premisa V;u de$e estar generalmente prohi$ido a

menos !ue se permita eLpresamente@W' antes !ue la regla mas d$il V6odo esta generalmentepermitido a menos !ue se proh8$a eLpresamenteW R

c los cam$ios en los rótulos de información /&er ,2 !ue son iniciados automáticamente por las instalaciones de procesamiento de información y a!uellos el usuario inicia seg#n sucriterioR

d los cam$ios en los permisos de usuario !ue son iniciados automáticamente por el sistema deinformación y a!uellos !ue inicia el administradorR

e las reglas !ue re!uieren la apro$ación del administrador o de otros antes de entrar en&igencia y a!uellas !ue no

),




0#! Admini58ración de acce5o5 de 353ario5

O$Neto: Impedir el acceso no autoriado en los sistemas de informaciónSe de$en implementar procedimientos formales para controlar la asignación de derechos deacceso a los sistemas y ser&icios de información%os procedimientos de$en comprender todas las etapas del ciclo de &ida de los accesos deusuario' desde el registro inicial de nue&os usuarios hasta la pri&ación final de derechos de losusuarios !ue ya no re!uieren acceso a los sistemas y ser&icios de información Se de$econceder especial atención' cuando corresponda' a la necesidad de controlar la asignación dederechos de acceso de pri&ilegio' !ue permiten a los usuarios pasar por alto los controles desistema

0#!#$ Regi58ración de 353ario5

3e$e eListir un procedimiento formal de registración y desregistración de usuarios para otorgar acceso a todos los sistemas y ser&icios de información multi"usuario El acceso a ser&icios de

información multi"usuario de$e ser controlado a tra&s de un proceso formal de registración deusuarios' el cual de$e incluir los siguientes puntos:

a utiliar I3s de usuario #nicos de manera !ue se pueda &incular y hacer responsa$les a losusuarios por sus acciones El uso de I3s grupales solo de$e ser permitido cuando soncon&enientes para el tra$aNo a desarrollar R

$ &erificar !ue el usuario tiene autoriación del propietario del sistema para el uso del sistema oser&icio de información 6am$in puede resultar apropiada una apro$ación adicional dederechos de acceso por parte de la gerenciaR

c &erificar !ue el ni&el de acceso otorgado es adecuado para el propósito del negocios /&er 91y es coherente con la pol8tica de seguridad de la organiación' por eN !ue no compromete laseparación de tareas /&er 1 R

d entregar a los usuarios un detalle escrito de sus derechos de accesoRe re!uerir !ue los usuarios firmen declaraciones seMalando !ue comprenden las condicionespara el acceso R

f garantiar !ue los pro&eedores de ser&icios no otorgan acceso hasta !ue se hayancompletado los procedimientos de autoriación R

g mantener un registro formal de todas las personas registradas para utiliar el ser&icio Rh cancelar inmediatamente los derechos de acceso de los usuarios !ue cam$iaron sus tareas o

se des&incularon de la organiación Ri &erificar periódicamente' y cancelar I3s y cuentas de usuarios redundantesR N garantiar !ue los I3s de usuario redundantes no se asignen a otros usuariosR

Se de$e considerar la inclusión de cláusulas en los contratos de personal y de ser&icios !ue

especifi!uen sanciones si el personal o los agentes !ue prestan un ser&icio intentan accesos noautoriados /&er tam$in .1 y .D,

0#!#! Admini58ración de ;ri:ilegio5

Se de$e limitar y controlar la asignación y uso de pri&ilegios /cual!uier caracter8stica o ser&icio de unsistema de información multi"usuario !ue permita !ue el usuario pase por alto los controles desistemas o aplicaciones El uso inadecuado de los pri&ilegios del sistema resulta frecuentemente enel más importante factor !ue contri$uye a la falla de los sistemas a los !ue se ha accedidoilegalmente

)-



%os sistemas multi"usuario !ue re!uieren protección contra accesos no autoriados' de$en pre&er una asignación de pri&ilegios controlada mediante un proceso de autoriación formal Se de$en tener en cuenta los siguientes pasos:

a 3e$en identificarse los pri&ilegios asociados a cada producto del sistema por eN sistemaoperati&o' sistema de administración de $ases de datos y aplicaciones' y las categor8as depersonal a las cuales de$en asignarse los productos

$ %os pri&ilegios de$en asignarse a indi&iduos so$re las $ases de la necesidad de uso y e&entopor e&ento' por eN el re!uerimiento m8nimo para su rol funcional solo cuando sea necesario

c Se de$e mantener un proceso de autoriación y un registro de todos los pri&ilegios asignados%os pri&ilegios no de$en ser otorgados hasta !ue se haya completado el proceso deautoriación

d Se de$e promo&er el desarrollo y uso de rutinas del sistema para e&itar la necesidad deotorgar pri&ilegios a los usuarios

e %os pri&ilegios de$en asignarse a una identidad de usuario diferente de a!uellas utiliadas enlos acti&idades comerciales normales

0#!#( Admini58ración de con8ra5eFa5 de 353ario

%as contraseMas constituyen un medio com#n de &alidación de la identidad de un usuario paraacceder a un sistema o ser&icio de información %a asignación de contraseMas de$e controlarse atra&s de un proceso de administración formal' mediante el cual de$e lle&arse a ca$o lo siguiente:

a re!uerir !ue los usuarios firmen una declaración por la cual se comprometen a mantener suscontraseMas personales en secreto y las contraseMas de los grupos de tra$aNo eLclusi&amenteentre los miem$ros del grupo /esto podr8a incluirse en los trminos y condiciones de empleo'&er .1R

$ garantiar' cuando se re!uiera !ue los usuarios mantengan a sus propias contraseMas' !ue

se pro&ea inicialmente a los mismos de una contraseMa pro&isoria segura' !ue de$eráncam$iar de inmediato %as contraseMas pro&isorias' !ue se asignan cuando los usuariosol&idan su contraseMa' solo de$e suministrarse una &e identificado el usuarioR

c re!uerir contraseMas pro&isorias para otorgar a los usuarios de manera segura Se de$ee&itar la participación de terceros o el uso de mensaNes de correo electrónico sin protección/teLto claro %os usuarios de$en acusar reci$o de la recepción de la cla&e /passordR

%as contraseMas nunca de$en ser almacenadas en sistemas informati&os sin protección /&er 9,

Se resulta pertinente' se de$e considerar el uso de otras tecnolog8as de identificación y autenticaciónde usuarios' como la $iomtrica' por EN &erificación de huellas dactilares' &erificación de firma y usode VtoQensW de hardare' como las tarNetas de circuito integrado /Vchip"cardsW

0#!#) Re:i5ión de dereco5 de acce5o de 353ario

) fin de mantener un control efica del acceso a los datos y ser&icios de información' la gerenciade$e lle&ar a ca$o un proceso formal a inter&alos regulares' a fin de re&isar los derechos de accesode los usuarios' de manera tal !ue:

a los derechos de acceso de los usuarios se re&isen a inter&alos regulares /se recomienda unperiodo de seis meses y despus de cual!uier cam$io /&er 921R

$ las autoriaciones de pri&ilegios especiales de derechos de acceso /&er 922 se re&isen ainter&alos mas frecuentes /se recomienda un periodo de tres meses R

c las asignaciones de pri&ilegios se &erifi!uen a inter&alos regulares' a fin de garantiar !ue nose o$tengan pri&ilegios no autoriados

)/




)0



0#( Re5;on5a9ilidade5 del 353ario

O$Neto: Impedir el acceso usuarios no autoriados%a cooperación de los usuarios autoriados en esencial para la eficacia de la seguridadSe de$e concienciar a los usuarios acerca de sus responsa$ilidades por el mantenimiento decontroles de acceso eficaces' en particular a!uellos relacionados con el uso de contraseMas y laseguridad del e!uipamiento

0#(#$ U5o de con8ra5eFa5

%os usuarios de$en seguir $uenas prácticas de seguridad en la selección y uso de contraseMas%as contraseMas constituyen un medio de &alidación de la identidad de un usuario y consecuente"mente un medio para esta$lecer derechos de acceso a las instalaciones o ser&icios deprocesamiento de información Se de$e notificar a los usuarios !ue de$en cumplir con los siguientespuntos:

a mantener las contraseMas en secretoR$ e&itar mantener un registro en papel de las contraseMas' a menos !ue este pueda ser almacenado en forma seguraR

c cam$iar las contraseMas siempre !ue eLista un posi$le indicio de compromiso del sistema ode las contraseMasR

d seleccionar contraseMas de calidad' con una longitud m8nima de seis caracteres !ue:1 sean fácil de recordarR2 no estn $asadas en alg#n dato !ue otra persona pueda adi&inar u o$tener fácilmente

mediante información relacionada con la persona' por eN nom$res' n#meros de tel"fono' fecha de nacimiento' etc R

D no tengan caracteres idnticos consecuti&os o grupos totalmente numricos o total"mente alfa$ticos

e cam$iar las contraseMas a inter&alos regulares o seg#n el n#mero de acceso /las contraseMasde cuentas con pri&ilegios de$en ser modificadas con mayor frecuencia !ue las contraseMascomunes' y e&itar reutiliar o reciclar &ieNas contraseMas R

f cam$iar las contraseMas pro&isorias en el primer inicio de sesión /Vlog onW Rg no incluir contraseMas en los procesos automatiados de inicio de sesión' por eN a!uellas

almacenadas en una tecla de función o macro Rh no compartir las contraseMas indi&iduales de usuario

Si los usuarios necesitan acceder a m#ltiples ser&icios o plataformas y se re!uiere !ue mantenganm#ltiples contraseMas' se de$e notificar a los mismos !ue pueden utiliar una contraseMa de calidad#nica /&er 9D1 para todos los ser&icios !ue $rinden un ni&el raona$le de protección de lascontraseMas almacenadas

0#(#! E73i;o5 de5a8endido5 en rea5 de 353ario5

%os usuarios de$en garantiar !ue los e!uipos desatendidos sean protegidos adecuadamente %ose!uipos instalados en áreas de usuarios' por eN estaciones de tra$aNo o ser&idores de archi&os'pueden re!uerir una protección espec8fica contra accesos no autoriados' cuando se encuentrandesatendidos durante un periodo eLtenso Se de$e concientiar a todos los usuarios y contratistas'acerca de los re!uerimientos y procedimientos de seguridad' para la protección de e!uiposdesatendidos' as8 como de sus responsa$ilidades por la implementación de dicha protección

*1




Se de$e notificar a los usuarios !ue de$en cumplir con los siguientes puntos:

a concluir las sesiones acti&as al finaliar las tareas' a menos !ue puedan protegerse medianteun mecanismo de $lo!ueo adecuado' por eN un preser&ador de pantallas protegido por contraseMa R

$ lle&ar a ca$o el procedimiento de salida de los procesadores centrales cuando finalia lasesión /no solo apagar la +C o terminal R

c proteger las +Cs o terminales contra usos no autoriados mediante un $lo!ueo de seguridado control e!ui&alente' por eN contraseMa de acceso' cuando no se utilian

0#) Con8rol de acce5o a la red

O$Neti&o: %a protección de los ser&icios de redSe de$e controlar el acceso a los ser&icios de red tanto internos como eLternos Esto esnecesario para garantiar !ue los usuarios !ue tengan acceso a las redes y a los ser&icios dered no comprometan la seguridad de estos ser&icios' garantiando:

a interfaces inadecuadas entre la red de la organiación y las redes de otrasorganiaciones' o redes pu$licas R$ mecanismos de autenticación apropiados para usuarios y e!uipamiento Rc control de acceso de usuarios a los ser&icios de información

0#)#$ olí8ica de 38ili>ación de lo5 5er:icio5 de red

%as coneLiones no seguras a los ser&icios de red pueden afectar a toda la organiación %os usuariossolo de$en contar con acceso directo a los ser&icios para los cuales han sido eLpresamenteautoriados Este control es particularmente importante para las coneLiones de red a aplicacionescomerciales sensi$les o cr8ticas o a usuarios en sitios de alto riesgo' por eN áreas p#$licas o eLternas!ue están fuera de la administración y el control de seguridad de la organiación

Se de$e formular una pol8tica concerniente al uso de redes y ser&icios de red Esta de$ecomprender:

a las redes y ser&icios de red a los cuales se permite el acceso R$ procedimientos de autoriación para determinar las personas y las redes y ser&icios de red a

los cuales tienen permitido el acceso Rc controles y procedimientos de gestión para proteger el acceso a las coneLiones y ser&icios de

red

Esta pol8tica de$e ser coherente con la pol8tica de control de accesos de la organiación /&er 91

0#)#! Camino for>ado

+uede resultar necesario controlar el camino desde la terminal de usuario hasta el ser&icioinformático %as redes están diseMadas para permitir el máLimo alcance de distri$ución de recursos yfleLi$ilidad de ruteo Estas caracter8sticas tam$in pueden ofrecer oportunidades para el acceso noautoriado a las aplicaciones de negocios' o para el uso no autoriado de ser&icios de informaciónEstos riesgos pueden reducirse mediante la incorporación de controles' !ue limiten la ruta entre unaterminal de usuario y los ser&icios del computador' a los cuales sus usuarios están autoriados aacceder' por eN creando un camino forado

El o$Neti&o de un camino forado es e&itar !ue los usuarios seleccionen rutas fuera de la traadaentre la terminal de usuario y los ser&icios a los cuales el mismo esta autoriado a acceder

*$



Esto normalmente re!uiere la implementación de &arios controles en diferentes puntos de la ruta Elprincipio es limitar las opciones de ruteo en cada punto de la red' a tra&s de elecciones predefinidas

) continuación se enumeran los eNemplos pertinentes:

a asignación de n#meros telefónicos o l8neas dedicadas R$ coneLión automática de puertos a gateays de seguridad o a sistemas de aplicación

espec8ficosRc limitar las opciones de men# y su$men# de cada uno de los usuarios Rd e&itar la na&egación ilimitada por la red Re imponer el uso de sistemas de aplicación y-o gateays de seguridad espec8ficos para

usuarios eLternos de la red Rf controlar acti&amente las comunicaciones con origen y destino autoriados a tra&s de un

gateay' por eN' fireallsRg restringir el acceso a redes' esta$leciendo dominios lógicos separados' por eN' redes

pri&adas &irtuales para grupos de usuarios dentro de la organiación /&er tam$in 9.R

%os re!uerimientos relati&os a enrutamientos forados de$en $asarse en la pol8tica de control deaccesos de la organiación /91

0#)#( A38en8icación de 353ario5 ;ara cone<ione5 e<8erna5

%as coneLiones eLternas son de gran potencial para accesos no autoriados a la información de laempresa' por eN' accesos mediante discado +or consiguiente' el acceso de usuarios remotos de$eestar suNeto a la autenticación EListen diferentes mtodos de autenticación' algunos de los cuales$rindan un mayor ni&el de protección !ue otros' por eN los mtodos $asados en el uso de tcnicascriptográficas pueden pro&eer de una fuerte autenticación Es importante determinar mediante unae&aluación de riesgos el ni&el de protección re!uerido Esto es necesario para la adecuada selección del

mtodo

%a autenticación de usuarios remotos puede lle&arse a ca$o utiliando' por eNemplo' una tcnica$asada en criptograf8a' VtoQensW de hardare' o un protocolo de pregunta-respuesta 6am$in puedenutiliarse l8neas dedicadas pri&adas o una herramienta de &erificación de la dirección del usuario dered' a fin de constatar el origen de la coneLión

%os procedimientos y controles de rellamada o dail"$acQ' por eN utiliando módems de dial"$acQ'pueden $rindar protección contra coneLiones no autoriadas y no deseadas a las instalaciones deprocesamiento de información de la organiación Este tipo de control autentica a los usuarios !ueintentan esta$lecer una coneLión con una red de la organiación desde locaciones remotas )laplicar este control' la organiación no de$e utiliar ser&icios de red !ue incluyan des&8o de llamadas

o' si lo hacen' de$en inha$ilitar el uso de dichas herramientas para e&itar las de$ilidades asociadascon la misma )simismo' es importante !ue el proceso de rellamada garantice !ue se produca unadesconeLión real del lado de la organiación 3e otro modo' el usuario remoto podr8a mantener lal8nea a$ierta fingiendo !ue se ha lle&ado a ca$o la &erificación de rellamada %os procedimientos ycontroles de rellamada de$en ser pro$ados eLhausti&amente respecto de esta posi$ilidad

0#)#) A38en8icación de nodo5

4na herramienta de coneLión automática a una computadora remota podr8a $rindar un medio parao$tener acceso no autoriado a una aplicación de la empresa +or consiguiente' las coneLiones asistemas informati&os remotos de$en ser autenticadas Esto es particularmente importante si laconeLión utilia una red !ue esta fuera de control de la gestión de seguridad de la organiación En elpunto 9D se enumeran algunos eNemplos de autenticación y de cómo pude lograrse %a

*!



e acceso de red &inculado a hora o fecha0#)#/ Con8rol de r38eo de red

%as redes compartidas' especialmente a!uellas !ue se eLtienden mas allá de los limitesorganiacionales' pueden re!uerir la incorporación de controles de ruteo para garantiar !ue lasconeLiones informáticas y los fluNos de información no &iolen la pol8tica de control de acceso de lasaplicaciones comerciales /&er 91 Este control es a menudo esencial para las redes compartidas conusuarios eLternos /no organiadores

%os controles de ruteo de$en $asarse en la &erificación positi&a de direcciones de origen y destino

%a traducción de direcciones de red tam$in constituye un mecanismo muy #til para aislar redes y e&itar !ue las rutas se propaguen desde la red de una organiación a la red de otra +ueden implementarse ensoftare o hardare ;uienes lle&en a ca$o la implementación de$en estar al corriente de la fortaleade los mecanismos utiliados

0#)#0 Seg3ridad de lo5 5er:icio5 de redEListe una amplia gama de ser&icios de red pri&ados o p#$licos' algunos de los cuales ofrecen ser&icioscon &alor agregado %os ser&icios de red pueden tener caracter8sticas de seguridad #nicas o compleNas%as organiaciones !ue utilian ser&icios de red de$en garantiar !ue se pro&ea de una claradescripción de los atri$utos de seguridad de todos los ser&icios utiliados

0#* Con8rol de acce5o al 5i58ema o;era8i:o

O$Neti&o: Impedir el acceso no autoriado al computador %os mecanismos de seguridad a ni&el del sistema operati&o de$en ser utiliados para restringir elacceso a los recursos del computador Estas facilidades de$en tener la capacidad de lle&ar a ca$o

lo siguiente: a identificar y &erificar la identidad y' si fuera necesario' la terminal o u$icación decada usuario autoriado R

$ registrar los accesos eLitosos y fallidos al sistema Rc suministrar medios de autenticación apropiadosR si se utilia un sistema de

administración de contraseMas' ste de$e asegurar la calidad de las mismas/&er 9D1 d R

d restringir los tiempos de coneLión de los usuarios' seg#n correspondaSe de$e disponer de otros mtodos de control de acceso' como Vchallenge"responseW' si están Nustificados por el riesgo comercial

0#*#$ Iden8ificación a38om8ica de 8erminale5

Se de$e tener en cuenta la identificación automática de terminales para autenticar coneLiones au$icaciones espec8ficas y a e!uipamiento porta$le %a identificación automática de terminales es unatcnica !ue puede utiliarse si resulta importante !ue la sesión solo pueda iniciarse desde unaterminal informática o una u$icación determinadas +uede utiliarse un identificador en la terminal' oadNunto a la misma' para indicar si esta terminal especifica esta autoriada a iniciar o reci$ir ciertastransacciones +uede resultar necesario aplicar protección f8sica a la terminal' a fin de mantener laseguridad del identificador de la misma 6am$in pueden utiliarse otras tcnicas para autenticar usuarios /&er 9D

0#*#! rocedimien8o5 de cone<ión de 8erminale5

*)




El acceso a los ser&icios de información de$e ser posi$le a tra&s de un proceso de coneLión seguro Elprocedimiento de coneLión en un sistema informático de$e ser diseMado para minimiar la oportunidadde acceso no autoriado Este procedimiento' por lo tanto de$e di&ulgar la m8nima información posi$leacerca del sistema' a fin de e&itar pro&eer de asistencia innecesaria a un usuario no autoriado 4n$uen procedimiento de identificación de$er8a:

a no desplegar identificadores de sistemas o aplicaciones hasta tanto se halla lle&ado a ca$oeLitosamente el proceso de coneLiónR

$ desplegar un a&iso general ad&irtiendo !ue solo los usuarios autoriados pueden acceder a lacomputadora R

c no dar mensaNes de ayuda !ue pudieran asistir a un usuario no autoriado durante elprocedimiento de coneLión R

d &alidar la información de la coneLión sólo al completarse la totalidad de los datos de entrada Sisurge una condición de error' el sistema no de$e indicar !ue parte de los datos es correcta oincorrecta R

e limitar el n#mero de intentos de coneLión no eLitosos permitidos /se recomiendan tres y

considerar: 1 registrar los intentos no eLitosos R2 implementar una demora o$ligatoria antes de permitir otros intentos de

identificación' o rechaar otros intentos sin autoriación especifica RD desconectar coneLiones de data linQ R

f limitar el tiempo máLimo y m8nimo permitido para el procedimiento de coneLión Si este eseLcedido' el sistema de$e finaliar la coneLión R

g desplegar la siguiente información al completarse una coneLión eLitosa:1 flechas y hora de la coneLión eLitosa anteriorR2 detalles de los intentos de coneLión no eLitosos desde la #ltima coneLión

eLitosa

0#*#( Iden8ificación = a38en8icación de lo5 353ario5

6odos los usuarios /incluido el personal de soporte tcnico' como los operadores' administradores dered' programadores de sistemas y administradores de $ases de datos de$en tener un identificador #nico /I3 de usuario solamente para su uso personal eLclusi&o' de manera !ue las acti&idades puedanrastrearse con posterioridad hasta llegar al indi&iduo responsa$le %os I3s de usuario no de$en dar ning#n inicio del ni&el de pri&ilegio del usuario /&er 922' por eN gerente' super&isor' etc

En circunstancias eLcepcionales' cuando eListe un claro $eneficio para la empresa' pueda utiliarse unI3 compartido para un grupo de usuarios o una tarea especifica +ara casos de esta 8ndole' se de$edocumentar la apro$ación de la gerencia +odr8an re!uerirse controles adicionales para mantener laresponsa$ilidad

EListen di&ersos procedimientos de autenticación' los cuales pueden ser utiliados para sustentar laidentidad alegada del usuario %as contraseMas /&er tam$in 9D1 y más a$aNo constituyen un mediomuy com#n para pro&eer la identificación y autenticación /I y ) so$re la $ase de un secreto !ue soloconoce el usuario 6am$in se puede lle&ar a ca$o lo mismo con medios criptográficos y protocolos deautenticación

%os o$Netos como VtoQensW con memoria o tarNetas inteligentes !ue poseen los usuarios tam$in puedenutiliarse para I y ) %as tecnolog8as de autenticación $iomtrica !ue utilian las caracter8sticas oatri$utos #nicos de un indi&iduo tam$in pueden utiliarse para autenticar la identidad de una persona4na com$inación de tecnolog8as y mecanismos &inculados de manera segura tendrá como resultadouna autenticación más fuerte

**



0#*#) Si58ema de admini58ración de con8ra5eFa5

%as contraseMas constituyen uno de los principales medios de &alidación de la autoridad de un usuariopara acceder a un ser&icio informático %os sistemas de administración de contraseMas de$en constituir una herramienta efica e interacti&a !ue garantice contraseMas de calidad /&er 9D1 como orientaciónacerca del uso de contraseMas

)lgunas aplicaciones re!uieren !ue las contraseMas de usuario sean asignadas por una autoridadindependiente En la mayor8a de los casos las contraseMas son seleccionadas y mantenidas por losusuarios

4n $uen sistema de administración de contraseMas de$e:

a imponer el uso de contraseMas indi&iduales para determinar responsa$ilidadesR$ cuando corresponda' permitir !ue los usuarios seleccionen y cam$ien sus propias contraseMas e

incluir un procedimiento de confirmación para contemplar los errores de ingresoR

c imponer una selección de contraseMas de calidad seg#n lo seMalado en el punto 9D1 Rd cuando los usuarios mantienen sus propias contraseMas' imponer cam$ios en las mismas seg#nlo seMalado en el punto 9D1 R

e cuando los usuarios seleccionan contraseMas' o$ligarlos a cam$iar las contraseMas temporariasen su primer procedimiento de identificación /&er 92D R

f mantener un registro de las contraseMas pre&ias del usuario' por eN de los 12 meses anteriores'y e&itar la reutiliación de las mismas R

g no mostrar las contraseMas en pantalla' cuando son ingresadas Rh almacenar en forma separada los archi&os de contraseMas y los datos de sistemas de aplicaciónRi almacenar las contraseMas en forma cifrada utiliando un algoritmo de cifrado unidireccional R N modificar las contraseMas predeterminadas por el &endedor' una &e instalado el softare

0#*#* U5o de 38ili8ario5 de 5i58ema

%a mayor8a de las instalaciones informáticas tienen uno o más programas utilitarios !ue podr8an tener lacapacidad de pasar por alto los controles de sistemas y aplicaciones Es esencial !ue su uso sealimitado y minuciosamente controlado Se de$en considerar los siguientes controles:

a uso de procedimientos de autenticación para utilitarios del sistema R$ separación entre utilitarios del sistema y softare de aplicaciones Rc limitación de uso de utilitarios del sistema a la cantidad m8nima &ia$le de usuarios fia$les y

autoriados Rd autoriación para uso ad hoc de utilitarios de sistema Re limitación de la disponi$ilidad de utilitarios de sistema' por eN a la duración de un cam$io

autoriado Rf registro de todo uso de utilitarios del sistema Rg definición y documentación de los ni&eles de autoriación para utilitarios del sistema Rh remoción de todo el softare $asado en utilitarios y softare de sistema innecesarios

0#*#, Alarma5 5ilencio5a5 ;ara la ;ro8ección de lo5 353ario5

3e$e considerarse la pro&isión de alarmas silenciosas para los usuarios !ue podr8an ser o$Netos decoerción %a decisión de suministrarse una alarma de esta 8ndole de$e $asarse en una e&aluación deriesgos Se de$en definir responsa$ilidades y procedimientos para responder a la acti&ación de unaalarma silenciosa

*,




0#*#- De5cone<ión de 8erminale5 ;or 8iem;o m3er8o

%as terminales inacti&as en u$icaciones de alto riego' por eN áreas p#$licas o eLternas fuera del alcancede la gestión de seguridad de la organiación' o !ue sir&en a sistemas de alto riego' de$en apagarsedespus de un periodo definido de inacti&idad' para e&itar el acceso de personas no autoriadas Estaherramienta de desconeLión por tiempo muerto de$e limpiar la pantalla de la terminal y de$e cerrar tanto la sesión de la aplicación como la de red' despus de un periodo definido de inacti&idad El lapsopor tiempo muerto de$e responder a los riesgos de seguridad del área y de los usuarios de la terminal

+ara algunas +Cs' puede suministrarse una herramienta limitada de desconeLión de terminal por tiempomuerto' !ue limpie la pantalla y e&ite el acceso no autoriado' pero !ue no cierra las sesiones deaplicación o de red

0#*#/ Limi8ación del orario de cone<ión

%as restricciones al horario de coneLión de$en suministrar seguridad adicional a las aplicaciones de alto

riesgo %a limitación del periodo durante el cual se permiten las coneLiones de terminal a los ser&iciosinformati&os reduce el espectro de oportunidades para el acceso no autoriado Se de$e considerar uncontrol de esta 8ndole para aplicaciones informáticas sensi$les' especialmente a!uellas terminalesinstaladas en u$icaciones de alto riesgo' por eN áreas pu$licas o eLternas !ue estn fuera del alcancede la gestión de seguridad de la organiación Entre los eNemplos de dichas restricciones se puedenenumerar los siguientes:

a utiliación de lapsos predeterminados' por eN para transmisiones de archi&os e lote' o sesionesinteracti&as periódicas de corta duración R

$ limitación de los tiempos de coneLión al horario normal de oficina' de no eListir un re!uerimientooperati&o de horas eLtras o eLtensión horaria

0#, Con8rol de acce5o a la5 a;licacione5

O$Neti&o: Impedir el acceso no autoriado a la información contenida en los sistemas deinformación%as herramientas de seguridad de$en ser utiliadas para limitar el acceso no dentro de lossistemas de aplicaciónEl acceso lógico al softare y a la información de$e estar limitado a los usuarios autoriados %ossistemas de aplicación de$en:

a controlar el acceso de usuarios a la información y a las funciones de los sistemas deaplicación' de acuerdo con la pol8tica de control de accesos definida por la organiación R

$ $rindar protección contra el acceso no autoriado de utilitarios y softare del sistemaoperati&o !ue tengan la capacidad de pasar por alto los controles de sistemas o

aplicaciones Rc no comprometer la seguridad de otros sistemas con los !ue se comparten recursos de

información Rd tener la capacidad de otorgar acceso a la información #nicamente al propietario' a otros

indi&iduos autoriados mediante designación formal' o a grupos de definidos deusuarios

0#,#$ Re58ricción del acce5o a la información

%os usuarios de sistemas de aplicación' con inclusión del personal de soporte' de$en tener acceso a lainformación y a las funciones de los sistemas de aplicación de conformidad con una pol8tica de controlde acceso definida' so$re la $ase de los re!uerimientos de cada aplicación comercial' y conforme a la

*-



pol8tica de la organiación para el acceso a la información' /&er 91 se de$e considerar la aplicación delos siguientes controles' para $rindar apoyo a los re!uerimientos de limitación de accesos:

a pro&isión de men#s para controlar el acceso a las funciones de los sistemas de aplicación R$ restricción del conocimiento de los usuarios acerca de la información o de las funciones de los

sistemas de aplicación a las cuales no sean autoriadas a acceder' con la adecuada edición dedocumentación de usuario R

c control de los derechos de acceso de los usuarios' por eN lectura' escritura' supresión yeNecución R

d garantiar !ue las salidas /outputs de los sistemas de aplicación !ue administran informaciónsensi$le' contengan solo la información !ue resulte pertinente para el uso de la salida' y !ue lamisma se en&8e solamente a las terminales y u$icaciones autoriadas' y re&isar periódicamentedichas salidas a fin de garantiar la remoción de la información redundante

0#,#! Ai5lamien8o de 5i58ema5 5en5i9le5

%os sistemas sensi$les podr8an re!uerir de un am$iente informático dedicado /aislado )lgunossistemas de aplicación son suficientemente sensi$les a perdidas potenciales y re!uieren un tratamientoespecial %a sensi$ilidad puede seMalar !ue el sistema de aplicación de$e eNecutarse en unacomputadora dedicada' !ue sólo de$e compartir recursos con los sistemas de aplicación confia$les' ono tener limitaciones Son aplica$les las siguientes consideraciones:

a %a sensi$ilidad de un sistema de aplicación de$e ser claramente identificada y documentada por el propietario de la aplicación /&er 1D

$ Cuando una aplicación sensi$le ha de eNecutarse en un am$iente compartido' los sistemas deaplicación con los cuales esta compartirá los recursos de$en ser identificados y acordados con elpropietario de la aplicación sensi$le

0#- Moni8oreo del acce5o = 35o de lo5 5i58ema5

O$Neti&o: detectar acti&idades no autoriadas%os sistemas de$en ser monitoreados para detectar des&iaciones respecto de la pol8tica de controlde accesos y registrar e&entos para suministrar e&idencia en caso de producirse incidentesrelati&os a la seguridadEl monitoreo de los sistemas permite compro$ar la eficacia de los controles adoptados y &erificar laconformidad con el modelo de pol8tica de acceso /&er 91

0#-#$ Regi58ro de e:en8o5

3e$en generarse registros de auditoria !ue contengan eLcepciones y otros e&entos relati&os a

seguridad' y de$en mantenerse durante un periodo definido para acceder en futuras in&estigaciones yen el monitoreo de control de accesos %os registros de auditorias tam$in de$en incluir:

a I3 de usuarioR$ >echa y hora de inicio y terminación Rc Identidad o u$icación de la terminal' si es posi$le Rd (egistros de intentos eLitosos fallidos de acceso al sistema Re (egistros de intentos eLitosos y fallidos de acceso a datos y otros recursos

+odr8a re!uerirse !ue ciertos registros de auditoria sean archi&ados como parte de la pol8tica deretención de registros o de$ido a los re!uerimientos de recolección de e&idencia /&er tam$in el punto12

*/




0#-#! Moni8oreo del 35o de lo5 5i58ema5

0#-#!#$ rocedimien8o5 = rea5 de rie5go

Se de$iera esta$lecer procedimientos para monitorear el uso de las instalaciones de procesamiento dela información 3ichos procedimientos son necesarios para garantiar !ue los usuarios solo estndesempeMando acti&idades !ue hayan sido autoriadas eLpl8citamente El ni&el de monitoreo re!ueridopara cada una las instalaciones de$e determinarse mediante una e&aluación de riesgos

Entre las áreas !ue de$en tenerse en cuenta se enumeran las siguientes:a acceso no autoriado' incluyendo detalles como:

1 I3 de usuarioR2 >echa y hora de e&entos cla&eRD 6ipos de e&entosR )rchi&os a los !ue se accedeR, 4tilitarios y programas utiliados

$ todas las operaciones con pri&ilegio' como:1 4tiliación de cuenta de super&isorR2 Inicio y cierre /start"up and stop del sistemaRD ConeLión y desconeLión de dispositi&os I-OR

c intentos de acceso no autoriado' como:1 Intentos fallidosR2 Aiolaciones de la pol8tica de accesos y notificaciones para VgateaysW de red y

VfireallsWRD )lertas de sistemas patentados para detención de intrusiones R

d alertas o fallas de sistema como:1 alertas o mensaNes de consola R2 eLcepciones del sistema de registroR

D alarmas del sistema de administración de redes

0#-#!#! 'ac8ore5 de rie5go

Se de$e re&isar periódicamente el resultado de las acti&idades de monitoreo %a frecuencia de lare&isión de$e depender de los riesgos in&olucrados Entre los factores de riesgo !ue se de$enconsiderar se encuentran:

a la criticidad de los procesos de aplicaciones R$ el &alor' la sensi$ilidad o criticidad de la información in&olucrada Rc la eLperiencia acumulada en materia de infiltración y uso inadecuado del sistema Rd el alcance de la interconeLión del sistema /en particular las redes pu$licas

0#-#!#( Regi58ro = re:i5ión de e:en8o5

4na re&isión de los registros implica la comprensión de las amenaas !ue afronta el sistema y lasmaneras !ue surgen En el punto 971 se enumeran eNemplos de e&entos !ue podr8an re!uerir in&estigación adicional en caso de producirse incidentes relati&os a la seguridad

>recuentemente' los registros del sistema contienen un gran &olumen de información' gran parte de lacual es aNena al monitoreo de seguridad +ara asistir en la identificación de e&entos significati&os' a finde desempeMar el monitoreo de seguridad' se de$e considerar la posi$ilidad de copiar automáticamentelos tipos de mensaNes adecuados a un segundo registro' y-o utiliar herramientas de auditoria o utilitariosadecuados para lle&ar a ca$o el eLamen de archi&o

*0



)l asignar la responsa$ilidad por la re&isión de registros' se de$e considerar una separación defunciones entre !uien-es emprende-n la re&isión y a!uellos cuyas acti&idades están siendomonitoreadas

Se de$e prestar especial atención a la seguridad de la herramienta de registro' de$ido a !ue si seaccede a la misma en forma no autoriada' esto puede propiciar una falsa percepción de la seguridad%os controles de$en apuntar a proteger contra cam$ios no autoriados y pro$lemas operati&os Estosincluyen:

a la desacti&ación de la herramienta de registro R$ alteraciones a los tipos de mensaNes registrados Rc archi&os de registro editados o suprimidos Rd medio de soporte archi&os de registro saturado' y falla en el registro de e&entos o so$re

escritura de los mismos

0#-#( Sincroni>ación de relo@e5

%a correcta configuración de los reloNes de las computadoras es importante para garantiar la eLactitudde los registros de auditoria' !ue pueden re!uerirse para in&estigaciones o como e&idencia en casoslegales o disciplinarios %os registros de auditorias ineLactos podr8an entorpecer tales in&estigaciones ydaMar la credi$ilidad de la e&idencia

Cuando una computadora o dispositi&o de comunicaciones tiene la capacidad de operar un reloN entiempo real' este se de$e configurar seg#n un estándar acordado' por eN 6iempo Coordinado 4ni&ersal/4C6 o tiempo estándar local Como se sa$e !ue algunos reloNes se desaNustan con el tiempo' de$eeListir un procedimiento !ue &erifi!ue y corriNa cual!uier &ariación significati&a

0#/ Com;38ación mó:il = 8ra9a@o remo8o

O$Neti&o: =arantiar la seguridad de la información cuando se utilia computación mó&il e instalacionesde tra$aNo remotas%a protección re!uerida de$e ser proporcional a los riesgos !ue originan estas formas especificas detra$aNo Cuando se utilia computación mó&il de$en tenerse en cuenta los riesgos !ue implica tra$aNar en un am$iente sin protección y se de$e implementar la protección adecuada En el caso del tra$aNoremoto la organiación de$e implementar la protección en el sitio de tra$aNo remoto /VteleorQing siteW ygarantiar !ue se tomen las medidas adecuadas para este tipo de tra$aNo

0#/#$ Com;38ación mó:il

Cuando se utilian dispositi&os informáticas mó&iles' por eN note$ooQs' palmtops' laptops y telfonos

mó&iles' se de$e tener especial cuidado en garantiar !ue no se comprometa la información de laempresa Se de$e adoptar una pol8tica formal !ue tome en cuenta los riesgos !ue implica tra$aNar conherramientas informáticas mó&iles' en particular en am$ientes no protegidos +or eNemplo' dicha pol8ticade$e incluir los re!uerimientos de protección f8sica' controles de acceso' tcnicas criptográficas'resguardos y protección contra &irus Esta pol8tica tam$in de$e incluir reglas y asesoramiento enmateria de coneLión de dispositi&os mó&iles a redes y orientación so$re uso de estos dispositi&os enlugares p#$licos

Se de$en tomar recaudos al utiliar dispositi&os informáticos mó&iles en lugares p#$licos' salas dereuniones y otras áreas no protegidas fuera de la sede de la organiación Se de$e implementar protección para e&itar el acceso no autoriado a la información almacenada y procesada por estasherramientas' o la di&ulgación de la misma' por eN mediante tcnicas criptográficas /&er 10D

,1




Es importante !ue cuando dichos dispositi&os' son utiliadas en lugares p#$licos se tomen recaudospara e&itar el riesgo de !ue la información !ue aparece en pantalla' sea &ista por personas noautoriadas Se de$en implementar procedimientos contra softare malicioso y estos de$enmantenerse actualiados /&er D El e!uipamiento de$e estar disponi$le para permitir un procedimientode resguardo de la información rápido y fácil Estos procedimientos de$en estar adecuadamenteprotegidos contra' por eN' ro$o o prdida de la información

Se de$e $rindar protección adecuada para el uso de dispositi&os mó&iles conectadas a redes El accesoremoto a la información de la empresa a tra&s de redes pu$licas' utiliando herramientas informáticasmó&iles' solo de$e tener lugar despus de una identificación y autenticación eLitosas' y conmecanismos adecuados de control de acceso implementados /&er 9%os dispositi&os informáticas mó&iles tam$in de$en estar f8sicamente protegidas contra ro$o'especialmente cuando se deNan' por eN en automó&iles y otros medios de transporte' ha$itaciones dehotel' centros de conferencias y ám$itos de reunión El e!uipamiento !ue transporta informaciónimportante de la empresa' sensi$le y-o critica no de$e deNarse desatendido y' cuando resulta posi$le'de$e estar f8sicamente resguardado $aNo lla&e' o de$en utiliarse cerraduras especiales para asegurar

el e!uipamiento En el punto 72, se puede encontrar información adicional so$re la protección f8sicadel e!uipamiento mó&il

Se de$e $rindar entrenamiento al personal !ue utilia computación mó&il para incrementar sucocimiento de los riesgos adicionales ocasionados por esta forma de tra$aNo y de los controles !ue sede$en implementar

0#/#! Tra9a@o remo8o

El tra$aNo remoto utilia tecnolog8a de comunicaciones para permitir !ue el personal tra$aNe en formaremota desde un lugar fiNo fuera de la organiación Se de$e implementar la protección adecuada delsitio de tra$aNo remoto contra' por eN el ro$o de e!uipamiento e información' la di&ulgación no autoriada

de información' el acceso remoto no autoriada a los sistemas internos de la organiación o el usoinadecuado de los dispositi&os e instalaciones Es importante !ue el tra$aNo remoto sea autoriado ycontrolado por la gerencia' y !ue se implementen disposiciones y acuerdos para esta forma de tra$aNo

%as organiaciones de$en considerar el desarrollo de una pol8tica' de procedimientos y de estándarespara controlar las acti&idades de tra$aNo remoto

%as organiaciones sólo de$en autoriar acti&idades de tra$aNo remoto si han compro$adosatisfactoriamente !ue se han implementado disposiciones y controles adecuados en materia deseguridad y !ue estos cumplen con la pol8tica de seguridad de la organiación Se de$en considerar lossiguientes 8tems:

a la seguridad f8sica eListente en el sitio de tra$aNo remoto' tomando en cuenta la seguridad f8sicadel edificio y del am$iente localR

$ el am$iente de tra$aNo remoto propuestoRc los re!uerimientos de seguridad de comunicaciones' tomando en cuenta la necesidad de acceso

remoto a los sistemas internos de la organiación' la sensi$ilidad de la información a la !ue seaccederá y !ue pasará a tra&s del &inculo de comunicación y la sensi$ilidad del sistema internoR

d la amenaa de acceso no autoriado a información o recursos por parte de otras personas !ueutilian el lugar' por eN familia y amigos

%os controles y disposiciones comprenden:

a la pro&isión de mo$iliario para almacenamiento y e!uipamiento' adecuado para las acti&idadesde tra$aNo remotoR

,$



$ una definición del tra$aNo permitido' el horario de tra$aNo' la clasificación de la información !ue sepuede almacenar y los sistemas internos y ser&icio a los cuales el tra$aNador remoto estaautoriado a accederR

c la pro&isión de un adecuado e!uipamiento de comunicación' con inclusión de mtodos paraasegurar el acceso remotoR

d seguridad f8sicaRe reglas y orientación para cuando familiares y &isitantes accedan al e!uipamiento e informaciónRf la pro&isión de hardare y el soporte y mantenimiento del softareRg los procedimientos de $acQ"up y para la continuidad de las operacionesRh auditor8a y monitoreo de la seguridadRi anulación de la autoridad' derechos de acceso y de&olución del e!uipo cuando finalicen las

acti&idades remotas

$1 DESARROLLO & MANTENIMIENTO DE SISTEMAS#

$1#$ Re73erimien8o5 de 5eg3ridad de lo5 5i58ema5#

O$Neti&o: )segurar !ue la seguridad es incorporada a los sistemas de información

Esto incluirá infraestructura' aplicaciones comerciales y aplicaciones desarrolladas por el usuario EldiseMo e implementación de los procesos comerciales !ue apoyen la aplicación o ser&icio pueden ser cruciales para la seguridad %os re!uerimientos de seguridad de$en ser identificados y apro$ados antesdel desarrollo de los sistemas de información6odos los re!uerimientos de seguridad' incluyendo la necesidad de planes de reanudación' de$en ser identificados en la fase de re!uerimientos de un proyecto y Nustificados' apro$ados y documentadoscomo una parte de la totalidad del caso de negocios de un sistema de información

$1#$#$ Anli5i5 = e5;ecificacione5 de lo5 re73erimien8o5 de 5eg3ridad#

%as comunicaciones de re!uerimientos comerciales para nue&os sistemas o meNoras a los sistemaseListentes de$en especificar las necesidades de controles 6ales especificaciones de$en considerar loscontroles automáticos a incorporar al sistema y la necesidad de controles manuales de apoyo Se de$enaplicar consideraciones similares al e&aluar pa!uetes de softare para aplicaciones comerciales Si seconsidera adecuado' la administración puede !uerer utiliar productos certificados y e&aluados en formaindependiente

%os re!uerimientos de seguridad y los controles de$en refleNar el &alor comercial de los recursos deinformación in&olucrados y el potencial daMo al negocio !ue pudiere resultar por una falla o falta deseguridad El marco para analiar los re!uerimientos de seguridad e identificar los controles !ue lossatisfagan son la e&aluación y la administración de riesgo

%os controles introducidos en la etapa de diseMo son significati&amente más $aratos de implementar ymantener !ue a!uellos incluidos durante o despus de la implementación

,!




$1#! Seg3ridad en lo5 5i58ema5 de a;licación

O$Neti&o: +re&enir la prdida' modificaciones o uso inadecuado de los datos del usuario en los sistemasde aplicación

Se de$en diseMar en los sistemas de aplicación' incluyendo las aplicaciones realiadas por el usuario'controles apropiados y pistas de auditoria o registros de acti&idad Esto de$e incluir la &alidación dedatos de entrada' procesamiento interno y salida de datos

+ueden ser necesarios controles adicionales para sistemas !ue procesan o tienen impacto en recursossensiti&os' &aliosos o cr8ticos de la organiación 6ales controles de$en ser determinados so$re la $asede re!uerimientos de seguridad y e&aluación de riesgo

$1#!#$ +alidación de da8o5 de en8rada

%os datos de entrada en sistemas de aplicación de$en ser &alidados para asegurar !ue son correctos y

apropiados %os controles de$en ser aplicados a las entradas de las transacciones de negocios' datospermanentes /nom$res y direcciones' l8mites de crdito' n#meros de referencia al cliente y ta$las deparámetros /precios de &enta' tasa de impuestos' 8ndice de con&ersión de dinero Se de$en considerar los siguientes controles:

a entrada dual u otros controles de entrada para detectar los siguientes errores:1 &alores fuera de rangoR2 caracteres in&álidos en campos de datosRD datos faltantes o incompletosR &ol#menes de datos !ue eLceden los limites inferior y superiorR, controles de datos no autoriados o inconsistentesR

$ re&isión periódica de los contenidos de campos cla&e o archi&os de datos para confirmar su

&alide e integridadRc inspección de los documentos de entrada para detectar cam$ios no autoriados en los datos de

entrada /todos los cam$ios a los documentos de entrada de$en ser autoriadosRd procedimientos para responder a errores de &alidaciónRe procedimientos para determinar la &erosimilitud de los datosRf determinación de las responsa$ilidades de todo el personal in&olucrado en el proceso de entrada

de datos

$1#!#! Con8role5 de ;roce5amien8o in8erno#

$1#!#!#$ Brea5 de rie5go#

%os datos !ue han sido correctamente ingresados pueden &iciarse al procesar errores o a tra&s deactos deli$erados %os controles de &alidación de$en ser incorporados a los sistemas para detectar talcorrupción El diseMo de aplicaciones de$e asegurar !ue las restricciones se implementen paraminimiar los riesgos de fallas de procesamiento' conducentes a una prdida de la integridad %as áreasespec8ficas a considerar incluyen:

a el uso y localiación dentro de los programas' de funciones de suma y $orrado para realiar cam$ios en los datosR

$ los procedimientos para pre&enir la eNecución de programas fuera de secuencia o cuando falló elprocesamiento pre&io

c el uso de programas correctos para recuperación ante fallas' a fin de garantiar el procesamiento

correcto de los datos

,(



$1#!#!#! Con8role5 = :erificacione5

%os controles re!ueridos dependerán de la naturalea de la aplicación y del impacto de e&entualesalteraciones de datos en el negocio Entre los eNemplos de &erificaciones !ue pueden ser incorporadasse encuentran los siguientes:

a controles de sesión o de lote' para conciliar $alances /saldos de archi&os de datos despus deactualiaciones de transaccionesR

$ controles de $alance' para comparar $alances de apertura con $alances de cierre anteriores' por eNemplo:

1 controles eNecución a eNecuciónR2 totales de actualiación de archi&osRD controles programa a programaR

c &alidación de datos generados por el sistema /&er 1021Rd &erificaciones de la integridad de los datos o softare $aNados' o cargados' entre computadoras

centrales y remotas /&er 10DDR

e totales de control de registros y archi&osRf &erificaciones para garantiar !ue los programas de aplicación se eNecutan en el momentocorrectoR

g compro$aciones para garantiar !ue los programas se eNecutan en el orden correcto y terminanen caso de producirse una falla' y !ue se detiene todo procesamiento posterior hasta !ue seresuel&a el pro$lema

$1#!#( A38en8icación de men5a@e5

%a autenticación de mensaNes es una tcnica utiliada para detectar cam$ios no autoriados en elcontenido de un mensaNe transmitido electrónicamente' o para detectar alteraciones en el mismo

+uede implementarse en hardare o softare !ue soporte un dispositi&o f8sico de autenticación demensaNes o un algoritmo de softare

Se de$e tener en cuenta la autenticación de mensaNes para aplicaciones en las cuales eLista unre!uerimiento de seguridad para proteger la integridad del contenido del mensaNe' por eN transferenciaselectrónicas de fondos u otros intercam$ios electrónicos de datos similares Se de$e lle&ar a ca$o unae&aluación de riesgos de seguridad para determinar si se re!uiere una autenticación de mensaNes ypara identificar el mtodo de implementación más adecuado

%a autenticación de mensaNes no esta diseMada para proteger el contenido de un mensaNe contra sudi&ulgación no autoriada +ueden utiliarse tcnicas criptográficas /&er 10D2 y 10DD como un medioadecuado de implementación de la autenticación de mensaNes

$1#!#) :alidación de lo5 da8o5 de 5alida

%a salida de datos de un sistema de aplicación de$e ser &alidada para garantiar !ue el procesamientode la información almacenada sea correcto y adecuado a las circunstancias 5ormalmente' los sistemasse construyen suponiendo !ue si se ha lle&ado a ca$o una &alidación' &erificación y prue$a apropiada'la salida siempre será correcta Esto no siempre se cumple %a &alidación de salidas puede incluir:

a compro$aciones de la raona$ilidad para pro$ar si los datos de salida son plausi$lesR$ control de conciliación de cuentas para asegurar el procesamiento de todos los datosRc pro&isión de información suficiente' para !ue el lector o sistema de procesamiento su$siguiente'

determine la eLactitud' totalidad' precisión y clasificación de la informaciónRd procedimientos para responder a las prue$as de &alidación de salidasR

,)




e definición de las responsa$ilidades de todo el personal in&olucrado en el proceso de salida dedatos

$1#( Con8role5 cri;8ogrfico5

O$Neti&o: +roteger la confidencialidad' autenticidad o integridad de la información3e$en utiliarse sistemas y tcnicas criptográficas para la protección de la información !ue seconsidera en estado de riesgo y para la cual otros controles no suministran una adecuada protección

$1#(#$ olí8ica de 38ili>ación de con8role5 cri;8ogrfico5#

3ecidir si una solución criptográfica es apropiada' de$er ser &isto como parte de un proceso más ampliode e&aluación de riesgos' para determinar el ni&el de protección !ue de$e darse a la información Estae&aluación puede utiliarse posteriormente para determinar si un control criptográfico es adecuado' !uetipo de control de$e aplicarse y con!ue propósito' y los procesos de la empresa

4na organiación de$e desarrollar una pol8tica so$re el uso de controles criptográficos para laprotección de su información 3icha pol8tica es necesaria para maLimiar $eneficios y minimiar losriesgos !ue ocasiona el uso de tcnicas criptográficas' y para e&itar un uso inadecuado o incorrecto )ldesarrollar una pol8tica se de$e considerar lo siguiente:

a el enfo!ue gerencial respecto del uso de controles criptográficos en toda la organiación' coninclusión de los principios generales seg#n los cuales de$e protegerse la información de laempresaR

$ el enfo!ue respecto de la administración de cla&es' con inclusión de los mtodos paraadministrar la recuperación de la información cifrada en caso de perdida' compromiso o daMo delas cla&esR

c funciones y responsa$ilidades' por eN !uien es responsa$le de:

1 la implementación de la pol8ticaR2 la administración de las cla&esR

d como se determinara el ni&el apropiado de protección criptográficaRe los estándares !ue han de adoptarse para la efica implementación en toda la organiación /!ue

solución se aplica para cada uno de los procesos de negocio

$1#(#! Cifrado

El cifrado es una tcnica criptográfica !ue puede utiliarse para proteger la confidencialidad de lainformación Se de$e tener en cuenta para la protección de información sensi$le o critica

*ediante una e&aluación de riesgos se de$e identificar el ni&el re!uerido de protección tomando en

cuenta el tipo y la calidad del algoritmo de cifrado utiliado y la longitud de las cla&es criptográficas autiliar

)l implementar la pol8tica de la organiación en materia criptográfica' se de$en considerar las normas yrestricciones nacionales !ue podr8an aplicarse al uso de tcnicas criptográficas' en diferentes partes delmundo' y las cuestiones relati&as al fluNo de información cifrada a tra&s de las fronteras )simismo' sede$en considerar los controles aplica$les a la eLportación e importación de tecnolog8a criptográfica /&er tam$in 121.

Se de$e procurar asesoramiento especialiado para identificar el ni&el apropiado de protección' a fin deseleccionar productos adecuados !ue suministren la protección re!uerida' y la implementación de unsistema seguro de administración de cla&es /&er tam$in 10D, )simismo' podr8a resultar necesario

,*



o$tener asesoramiento Nur8dico con respecto a las leyes y normas !ue podr8an aplicarse al uso delcifrado !ue intenta realiar la organiación

$1#(#( 'irma digi8al

%as firmas digitales proporcionan un medio de protección de la autenticidad e integridad de losdocumentos electrónicos +or eNemplo' puede utiliarse en comercio electrónico donde eListe lanecesidad de &erificar !uien firma un documento electrónico y compro$ar si el contenido del documentofirmado ha sido modificado

%as firmas digitales pueden aplicarse a cual!uier tipo de documento !ue se procese electrónicamente'por eN' pueden utiliarse para firmar pagos' transferencias de fondos' contratos y con&enioselectrónicos +ueden implementarse utiliando una tcnica criptográfica so$re la $ase de un par decla&es relacionadas de manera #nica' donde una cla&e se utilia para crear una firma /la cla&e pri&aday la otra' para &erificarla /la cla&e pu$lica

Se den tomar recaudos para proteger la confidencialidad de la cla&e pri&adaEsta cla&e de$e mantenerse en secreto dado !ue una persona !ue tenga acceso a esta cla&e puedefirmar documentos' por eN: pagos y contratos' falsificando as8 la firma del propietario de la cla&e

)simismo' es importante proteger la integridad de la cla&e pu$lica Esta protección se pro&ee medianteel uso de un certificado de cla&e pu$lica /&er 10D,

Es necesario considerar el tipo y la calidad del algoritmo de firma utiliado y la longitud de las cla&es autiliar %as cla&es criptográficas aplicadas a firmas digitales de$en ser distintas de las !ue se utilianpara el cifrado /&er 10D2

)l utiliar firmas digitales' se de$e considerar la legislación pertinente !ue descri$a las condiciones $aNolas cuales una firma digital es legalmente &inculante +or eNemplo' en el caso del comercio electrónico esimportante conocer la situación Nur8dica de las firmas digitales +odr8a ser necesario esta$lecer contratosde cumplimiento o$ligatorio u otros acuerdos para respaldar el uso de las mismas' cuando el marcolegal es inadecuado Se de$e o$tener asesoramiento legal con respecto a las leyes y normas !uepodr8an aplicarse al uso de firmas digitales !ue pretende realiar la organiación

$1#(#) Ser:icio5 de No Re;3dio

%os ser&icios de no repudio de$en utiliarse cuando es necesario resol&er disputas acerca de laocurrencia o no ocurrencia de un e&ento o acción' por eN una disputa !ue in&olucre el uso de una firmadigital en un contrato o pago electrónico +ueden ayudar a sentar e&idencia para pro$ar !ue un e&ento o

acción determinados han tenido lugar' por eN cuando se o$Neta ha$er en&iado una instrucción firmadadigitalmente a tra&s del correo electrónico Estos ser&icios están $asados en el uso de tcnicas deencriptación y firma digital /&er tam$in 10'D'2 y 10DD

$1#(#* Admini58ración de cla:e5

$1#(#*#$ ro8ección de cla:e5 cri;8ogrfica5

%a administración de cla&es criptográficas es esencial para el uso efica de las tcnicas criptográficasCual!uier compromiso o prdida de cla&es criptográficas puede conducir a un compromiso de laconfidencialidad' autenticidad y-o integridad de la información Se de$e implementar un sistema deadministración para respaldar el uso por parte de la organiación' de los dos tipos de tcnicascriptográficas' los cuales son:

,,




a tcnicas de cla&e secreta' cuando dos o más actores comparten la misma cla&e y esta se utiliatanto para cifrar información como para descifrarla Esta cla&e tiene !ue mantenerse en secretodado !ue una persona !ue tenga acceso a la misma podrá descifrar toda la información cifradacon dicha cla&e' o introducir información no autoriadaR

$ tcnicas de cla&e pu$lica' cuando cada usuario tiene un par de cla&es: una cla&e pu$lica /!uepuede ser re&elada a cual!uier persona y una cla&e pri&ada /!ue de$e mantenerse en secreto%as tcnicas de cla&e pu$lica pueden utiliarse para el cifrado /&er 10D2 y para generar firmasdigitales /&er 10DD

6odas las cla&es de$en ser protegidas contra modificación y destrucción' y las cla&es secretas ypri&adas necesitan protección contra di&ulgación no autoriada%as tcnicas criptográficas tam$in pueden aplicarse con este propósito Se de$e pro&eer de protecciónf8sica al e!uipamiento utiliado para generar' almacenar y archi&ar cla&es

$1#(#*#! Norma5 ;rocedimien8o5 = m48odo5

4n sistema de administración de cla&es de$e estar $asado en un conNunto acordado de normas'procedimientos y mtodos seguros para:

a generar cla&es para diferentes sistemas criptográficos y diferentes aplicacionesR$ generar y o$tener certificados de cla&e pu$licaRc distri$uir cla&es a los usuarios !ue corresponda' incluyendo como de$en acti&arse las cla&es

cuando se reci$enRd almacenar cla&es' incluyendo como o$tienen acceso a las cla&es los usuarios autoriadosRe cam$iar o actualiar cla&es incluyendo reglas so$re cuando y como de$en cam$iarse las cla&esRf ocuparse de las cla&es comprometidasRg re&ocar cla&es incluyendo como de$en retirarse o desacti&arse las mismas' por eN cuando las

cla&es están comprometidas o cuando un usuario se des&incula de la organiación /en cuyocaso las cla&es tam$in de$en archi&arseR

h recuperar cla&es perdidas o alteradas como parte de la administración de la continuidad delnegocio' por eN la recuperación de la información cifradaR

i archi&ar cla&es' por eN ' para la información archi&ada o resguardadaR N destruir cla&esRQ registrar /logging y auditar las acti&idades relati&as a la administración de cla&es

) fin de reducir la pro$a$ilidad de compromiso' las cla&es de$en tener fechas de entrada en &igencia yde fin de &igencia' definidas de manera !ue solo puedan ser utiliadas por un periodo limitado detiempo Este periodo de$e definirse seg#n el riesgo perci$ido y las circunstancias $aNo las cuales seaplica el control criptográfico

+odr8a resultar necesario considerar procedimientos para administrar re!uerimientos legales de accesoa cla&es criptográficas' por eN puede resultar necesario poner a disposición la información cifrada en unaforma clara' como e&idencia en un caso Nudicial

)demás de la administración segura de las cla&es secretas y pri&adas' tam$in de$e tenerse en cuentala protección de las cla&es pu$licas EListe la amenaa de !ue una persona falsifi!ue una firma digitalreemplaando la cla&e pu$lica de un usuario con su propia cla&e Este pro$lema es a$ordado medianteel uso de un certificado de cla&e pu$lica Estos certificados de$en generarse en una forma !ue &inculede manera #nica la información relati&a al propietario del par de cla&es pu$lica-pri&ada con la cla&epu$lica En consecuencia es importante !ue el proceso de administración !ue genera estos certificados

sea confia$le 5ormalmente' este proceso es lle&ado a ca$o por una autoridad de certificación' la cual

,-



de$e residir en una organiación reconocida' con adecuados controles y procedimientosimplementados' para ofrecer el ni&el de confia$ilidad re!uerido

El contenido de los acuerdos de ni&el de ser&icios o contratos con pro&eedores eLternos de ser&icioscriptográficos' por eN con una autoridad de certificación' de$en comprender los tópicos deresponsa$ilidad legal' confia$ilidad del ser&icio y tiempos de respuesta para la prestación de los mismos/&er 22

$1#) Seg3ridad de lo5 arci:o5 del 5i58ema

O$Neti&o: =arantiar !ue los proyectos y acti&idades de soporte de 6I se lle&en a ca$o de maneraseguraSe de$e controlar el acceso a los archi&os del sistemaEl mantenimiento de la integridad del sistema de$e ser responsa$ilidad de la función usuaria o grupo dedesarrollo a !uien pertenece el softare o sistema de aplicación

$1#)#$ Con8rol del 5of8are o;era8i:o

Se de$e pro&eer de control para la implementación de softare en los sistemas en operaciones ) fin deminimiar el riesgo de alteración de los sistemas operacionales se de$en tener en cuenta los siguientescontroles:

a %a actualiación de las $i$liotecas de programas operati&os solo de$e ser realiada por el$i$liotecario designado una &e autoriada adecuadamente por la gerencia /&er 10D

$ Si es posi$le' los sistemas en operaciones sólo de$en guardar el código eNecuta$lec El código eNecuta$le no de$e ser implementado en un sistema operacional hasta tanto no se

o$tenga e&idencia del Lito de las prue$as y de la aceptación del usuario' y se hayanactualiado las correspondientes $i$liotecas de programas fuente

d Se de$e mantener un registro de auditoria de todas las actualiaciones a las $i$liotecas deprogramas operati&os

e %as &ersiones pre&ias de softare de$en ser retenidas como medida de contingencia

El mantenimiento del softare suministrado por el pro&eedor y utiliado en los sistemas operacionalesde$e contar con el soporte del mismo Cual!uier decisión referida a una actualiación a una nue&a&ersión de$e tomar en cuenta la seguridad' por eN la introducción de una nue&a funcionalidad deseguridad o el n#mero y la gra&edad de los pro$lemas de seguridad !ue afecten esa &ersión %osparches de softare de$en aplicarse cuando pueden ayudar a eliminar o reducir las de$ilidades enmateria de seguridad

Solo de$e otorgarse acceso lógico o f8sico a los pro&eedores con fines de soporte y si resulta necesario'

y pre&ia apro$ación de la gerencia %as acti&idades del pro&eedor de$en ser monitoreadas

$1#)#! ro8ección de lo5 da8o5 de ;r3e9a del 5i58ema

%os datos de prue$a de$en ser protegidos y controlados %as prue$as de aceptación del sistemanormalmente re!uieren &ol#menes considera$les de datos de prue$a' !ue sean tan cercanos como seaposi$le a los datos operati&os Se de$e e&itar el uso de $ases de datos operati&as !ue contenganinformación personal Si se utilia información de esta 8ndole' esta de$e ser despersonaliada antes deluso Se de$en aplicar los siguientes controles para proteger los datos operati&os' cuando los mismos seutilian con propósitos de prue$a

a %os procedimientos de control de accesos' !ue se aplican a los sistemas de aplicación enoperación' tam$in de$en aplicarse a los sistemas de aplicación de prue$a

,/




$ Se de$e lle&ar a ca$o una autoriación por separado cada &e !ue se copia informaciónoperati&a a un sistema de aplicación de prue$as

c Se de$e $orrar la información operati&a de un sistema de aplicación de prue$a inmediatamentedespus de completada la misma

d %a copia y el uso de información operacional de$en ser registrado a fin de suministrar una pistade auditoria

$1#)#( Con8rol de acce5o a la5 9i9lio8eca5 de ;rograma f3en8e

) fin de reducir la pro$a$ilidad de alteración de programas de computadora' se de$e mantener uncontrol estricto del acceso a las $i$liotecas de programa fuente' seg#n los siguientes puntos /&er tam$in el punto D

a 3entro de lo posi$le' las $i$liotecas de programas fuente no de$en ser almacenadas en lossistemas !ue está operati&o

$ Se de$e designar a un $i$liotecario de programas para cada aplicación

c El personal de soporte de 6I no de$e tener acceso irrestricto a las $i$liotecas de programasfuented %os programas en desarrollo o mantenimiento no de$en ser almacenados en las $i$liotecas de

programas fuente operacionale %a actualiación de $i$liotecas de programas fuente y la distri$ución de programas fuente a los

programadores' solo de$e ser lle&ada a ca$o por el $i$liotecario designado' con la autoriacióndel gerente de soporte de 6I para la aplicación pertinente

f %os listados de programas de$en ser almacenados en un am$iente seguro /&er .g Se de$e mantener un registro de auditoria de todos los accesos a las $i$liotecas de programa

fuenteh %as &ieNas &ersiones de los programas fuente de$en ser archi&adas con una clara indicación de

las fechas y horas precisas en las cuales esta$an en operaciones' Nunto con todo el softare de

soporte' el control de tareas' las definiciones de datos y los procedimientosi El mantenimiento y la copia de las $i$liotecas de programas fuente de$en estar suNeta aprocedimientos estrictos de control de cam$ios /&er 101

$1#* Seg3ridad de lo5 ;roce5o5 de de5arrollo = 5o;or8e

O$Neti&o: *antener la seguridad del softare y la información del sistema de aplicaciónSe de$en controlar estrictamente los entornos de los proyectos y el soporte a los mismos%os gerentes responsa$les de los sistemas de aplicación tam$in de$en ser responsa$les de laseguridad del am$iente del proyecto y del soporte %os gerentes de$en garantiar !ue todos loscam$ios propuestos para el sistema sean re&isados' a fin de compro$ar !ue los mismos nocomprometen la seguridad del sistema o del am$iente operati&o

$1#*#$ rocedimien8o5 de con8rol de cam9io5

) fin de minimiar la alteración de los sistemas de información' de$e eListir un control estricto de laimplementación de los cam$ios Se de$e imponer el cumplimiento de los procedimientos formales decontrol de cam$ios Estos de$en garantiar !ue no se comprometan los procedimientos de seguridad ycontrol' !ue los programadores de soporte solo tengan acceso a a!uellas partes del sistema necesariaspara el desempeMo de sus tareas' y !ue se o$tenga un acuerdo y apro$ación formal para cual!uier cam$io %os cam$ios en el softare de aplicaciones pueden tener repercusiones en el am$ienteoperati&o Siempre !ue resulte facti$le' los procedimientos de control de cam$ios operati&os y deaplicaciones de$en estar integrados /&er tam$in 12 Este proceso de$e incluir:

a mantener un registro de los ni&eles de autoriación acordadosR

,0



$ garantiar !ue los cam$ios son propuestos por usuarios autoriadosRc re&isar los controles y los procedimientos de integridad para garantiar !ue no serán

comprometidos por los cam$iosRd identificar todo el softare' la información' las entidades de $ases de datos y el hardare !ue

re!uieran correccionesRe o$tener apro$ación formal para las propuestas detalladas antes de !ue comiencen las tareasRf garantiar !ue el usuario autoriado acepte los cam$ios antes de cual!uier implementaciónRg garantiar !ue la implementación se lle&e a ca$o minimiando la discontinuidad de las

acti&idades de la empresaRh garantiar !ue la documentación del sistema será actualiada cada &e !ue se completa un

cam$io y se archi&a o elimina la documentación &ieNaRi mantener un control de &ersiones para todas las actualiaciones de softareR N mantener una pista de auditoria de todas las solicitudes de cam$iosRQ garantiar !ue la documentación operati&a /&er 11 y los procedimientos de usuarios se

modifi!uen seg#n las necesidades de adecuaciónRl garantiar !ue la implementación de cam$ios tenga lugar en el momento adecuado y no altere

los procesos comerciales in&olucrados

*uchas organiaciones mantienen un am$iente en el cual los usuarios prue$an nue&o softare y !ueesta separado de los am$ientes de desarrollo y producción Esto proporciona un medio para controlar elnue&o softare y permitir la protección adicional de la información operacional !ue se utilia conpropósitos de prue$a

$1#*#! Re:i5ión 84cnica de lo5 cam9io5 en el 5i58ema o;era8i:o

+eriódicamente es necesario cam$iar el sistema operati&o' por eN instalar una &ersión nue&a desoftare o parches Cuando se realian los cam$io' los sistemas de aplicación de$en ser re&isados ypro$ados para garantiar !ue no se produca un impacto ad&erso en las operaciones o en la seguridad

Este proceso de$e cu$rir:

a re&isión de procedimientos de integridad y control de aplicaciones para garantiar !ue estos nohayan sido comprometidos por los cam$ios del sistema operati&oR

$ garantiar !ue el plan y presupuesto de soporte anual contemple las re&isiones y las prue$as delsistema !ue de$an realiarse como consecuencia del cam$io en el sistema operati&oR

c garantiar !ue se notifi!uen los cam$ios del sistema operati&o de manera oportuna antes de laimplementaciónR

d garantiar !ue se realicen cam$ios apropiados en los planes de continuidad de la empresa /&er punto 11

$1#*#( Re58ricción del cam9io en lo5 ;a73e8e5 de 5of8are

Se de$e desalentar la realiación de modificaciones a los pa!uetes de softare En la medida de loposi$le' y de lo &ia$le' los pa!uetes de softare suministrados por pro&eedores de$en ser utiliados sinmodificación Cuando se considere esencial modificar un pa!uete de softare' se de$en tener encuenta los siguientes puntos:

a el riesgo de compromiso de los procesos de integridad y controles incorporadosR$ si se de$e o$tener el consentimiento del pro&eedorRc la posi$ilidad de o$tener del pro&eedor los cam$ios re!ueridos como actualiaciones estándar

de programasRd el impacto !ue se producir8a si la organiación se hace responsa$le del mantenimiento futuro del

softare como resultado de los cam$ios

-1




Si los cam$ios se consideran esenciales' se de$e retener el softare original y aplicar los cam$ios a unacopia claramente identificada 6odos los cam$ios de$en ser pro$ados y documentadoseLhausti&amente' de manera !ue pueden aplicarse nue&amente' de ser necesario' a futurasactualiaciones de softare

$1#*#) Canale5 oc3l8o5 = código 8ro=ano

4n canal oculto puede eLponer información utiliando algunos medios indirectos y desconocidos

+uede acti&arse modificando un parámetro accesi$le mediante elementos tanto seguros como noseguros de un sistema informático' o incorporando información a un fluNo de datos El código troyanoesta diseMado para afectar un sistema en una forma no autoriada' no fácilmente ad&ertida y nore!uerida por el destinatario o usuario del programa %os canales ocultos y el código troyano raramentesurgen por accidente Si se a$orda este tópico' se de$en considerar los siguientes puntos:

a solo comprar programas de pro&eedores acreditadosR

$ comprar programas en código fuente de manera !ue el mismo pueda ser &erificadoRc utiliar productos e&aluadosRd eLaminar todo el código fuente antes de utiliar operati&amente el programaRe controlar el acceso y las modificaciones al código una &e instalado el mismoRf emplear personal de pro$ada confia$ilidad para tra$aNar en los sistemas cr8ticos

$1#*#* De5arrollo e<8erno de 5of8are

Cuando se terceria el desarrollo de softare' se de$en considerar los siguientes puntos:

a acuerdos de licencias' propiedad de códigos y derechos de propiedad intelectual /&er 1212R$ certificación de la calidad y precisión del tra$aNo lle&ado a ca$oR

c acuerdos de custodia en caso de !uie$ra de la tercera parteRd derechos de acceso a una auditoria de la calidad y precisión del tra$aNo realiadoRe re!uerimientos contractuales con respecto a la calidad del códigoRf realiación de prue$as pre&ias a la instalación para detectar códigos troyanos

$$ ADMINISTRACIÓN DE LA CONTINUIDAD DE LOS NEGOCIOS

$$#$ A5;ec8o5 de la admini58ración de la con8in3idad de lo5 negocio5

O$Neti&o: Contrarrestar las interrupciones de las acti&idades comerciales y proteger los procesoscr8ticos de los negocios de los efectos de fallas significati&as o desastresSe de$e implementar un proceso de administración de la continuidad de los negocios para reducir ladiscontinuidad ocasionada por desastres y fallas de seguridad /!ue pueden ser el resultado de' por eN' desastres naturales' accidentes' fallas en el e!uipamiento' y acciones deli$eradas a un ni&elacepta$les mediante una com$inación de controles pre&enti&os y de recuperaciónSe de$en analiar las consecuencias de desastres' fallas de seguridad e interrupciones del ser&icioSe de$en desarrollar e implementar planes de contingencia para garantiar !ue los procesos denegocios puedan resta$lecerse dentro de los plaos re!ueridos 3ichos planes de$en mantenerse en&igencia y transformarse en una parte integral del resto de los procesos de administración y gestión%a administración de la continuidad de los negocios de$e incluir controles destinados a identificar yreducir riesgos' atenuar las consecuencias de los incidentes perNudiciales y asegurar la reanudación

oportuna de las operaciones indispensa$les

-$



$$#$#$ roce5o de admini58ración de la con8in3idad de lo5 negocio5

Se de$e implementar un proceso controlado para el desarrollo y mantenimiento de la continuidad delos negocios en toda la organiación Este de$e contemplar los siguientes aspectos cla&e de laadministración de la continuidad:

a Comprensión de los riesgos !ue enfrenta la organiación en trminos de pro$a$ilidad deocurrencia e impacto' incluyendo la identificación y prioriación de los procesos cr8ticos de losnegociosR

$ comprensión del impacto !ue una interrupción puede tener en los negocios /es importante!ue se encuentren soluciones para los incidentes menos significati&os' as8 como para losincidentes gra&es !ue podr8an amenaar la &ia$ilidad de la organiación y definición de loso$Neti&os comerciales de las herramientas de procesamiento de informaciónR

c considerar la contratación de seguros !ue podr8an formar parte del proceso de continuidad delnegocioR

d ela$oración y documentación de una estrategia de continuidad de los negocios consecuentecon los o$Neti&os y prioridades de los negocios acordadosRe ela$oración y documentación de planes de continuidad del negocio de conformidad con la

estrategia de continuidad acordadaRf prue$as y actualiación periódicas de los planes y procesos implementadosRg garantiar !ue la administración de la continuidad de los negocios est incorporada a los

procesos y estructura de la organiación %a responsa$ilidad por la coordinación del procesode administración de la continuidad de$e ser asignada a un ni&el Nerár!uico adecuado dentrode la organiación' por eN al foro de seguridad de la información /&er 11

$$#$#! Con8in3idad del negocio = anli5i5 del im;ac8o

%a continuidad de los negocios de$e comenar por la identificación de e&entos !ue puedan ocasionar interrupciones en los procesos de los negocios' por eN fallas en el e!uipamiento' inundación eincendio %uego de$e lle&arse a ca$o una e&aluación de riesgos para determinar el impacto dedichas interrupciones /tanto en trminos de magnitud de daMo como del per8odo de recuperaciónEstas dos acti&idades de$en lle&arse a ca$o con la acti&a participación de los propietarios de losprocesos y recursos de negocio Esta e&aluación considera todos los procesos de negocio y no selimita a las instalaciones de procesamiento de la informaciónSeg#n los resultados de la e&aluación' de$e desarrollarse un plan estratgico para determinar elenfo!ue glo$al con el !ue se a$ordará la continuidad de los negocios 4na &e !ue se ha creadoeste plan' el mismo de$e ser apro$ado por la gerencia

$$#$#( Ela9oración e im;lemen8ación de ;lane5 de con8in3idad de lo5 negocio5

%os planes de$en ser desarrollados para mantener o resta$lecer las operaciones de los negocios enlos plaos re!ueridos una &e ocurrida una interrupción o falla en los procesos cr8ticos de losnegocios El proceso de planificación de la continuidad de los negocios de$e considerar lossiguientes puntos:

a identificación y acuerdo con respecto a todas la responsa$ilidades y procedimientos deemergenciaR

$ implementación de procedimientos de emergencia para permitir la recuperación yresta$lecimiento en los plaos re!ueridos Se de$e dedicar especial atención a la e&aluaciónde la dependencias de negocios eLternos y a los contratos &igentesR

c documentación de los procedimientos y procesos acordadosR

-!




d instrucción adecuada del personal en materia de procedimientos y procesos de emergenciaacordados' incluyendo el maneNo de crisisR

e prue$a y actualiación de los planes

El proceso de planificación de$e concentrarse en los o$Neti&os de negocio re!ueridos' por eNresta$lecimiento de los ser&icios a clientes en un plao acepta$le 3e$en considerarse los ser&icios yrecursos !ue permitirán !ue esto ocurra' incluyendo dotación de personal' recursos !ue no procesaninformación' as8 como acuerdos para reanudación de emergencia /Vfall$acQW en sitios alternati&os deprocesamiento de la información

$$#$#) Marco ;ara la ;lanificación de la con8in3idad de lo5 negocio5

Se de$e mantener un solo marco para los planes de continuidad de los negocios' a fin de garantiar !ue los mismos sean uniformes e identificar prioridades de prue$a y mantenimiento Cada plan decontinuidad de$e especificar claramente las condiciones para su puesta en marcha' as8 como laspersonas responsa$les de eNecutar cada componente del mismo Cuando se identifican nue&os

re!uerimientos' de$en modificarse de conformidad los procedimientos de emergencia esta$lecidos'por eN los planes de e&acuación o los recursos de emergencia /Vfall$acQW eListentesEl marco para la planificación de la continuidad de los negocios de$e tener en cuenta los siguientespuntos:

a las condiciones de implementación de los planes !ue descri$an el proceso a seguir /cómoe&aluar la situación' !u personas estarán in&olucradas' etc antes de poner en marcha losmismosR

$ procedimientos de emergencia !ue descri$an las acciones a emprender una &e ocurrido unincidente !ue ponga en peligro las operaciones de la empresa y-o la &ida humana Esto de$eincluir disposiciones con respecto a la gestión de las relaciones p#$licas y a &8nculos eficacesa esta$lecer con las autoridades p#$licas pertinentes' por eN polic8a' $om$eros y autoridades

localesRc procedimientos de emergencia /Vfall$acQW !ue descri$an las acciones a emprender para eltraslado de acti&idades esenciales de la empresa o de ser&icios de soporte a u$icacionestransitorias alternati&as' y para el resta$lecimiento de los procesos de negocio en los plaosre!ueridosR

d procedimientos de recuperación !ue descri$an las acciones a emprender para resta$lecer lasoperaciones normales de la empresaR

e un cronograma de mantenimiento !ue especifi!ue cómo y cuándo será pro$ado el plan' y elproceso para el mantenimiento del mismo:

f acti&idades de concientiación e instrucción !ue estn diseMadas para propiciar lacomprensión de los procesos de continuidad del negocio y garantiar !ue los procesos sigansiendo eficacesR

g las responsa$ilidades de las personas' descri$iendo los responsa$les de la eNecución de cadauno de los componentes del plan Se de$en mencionar alternati&as cuando corresponda

Cada plan de$e tener un propietario espec8fico %os procedimientos de emergencia' los planes dereanudación /Vfall$acQW y los planes de recuperación de$en contarse entre las responsa$ilidades delos propietarios de los recursos o procesos de negocio pertinentes %as disposiciones de emergenciapara ser&icios tcnicos alternati&os' como instalaciones de comunicaciones o de procesamiento deinformación' normalmente se cuentan entre las responsa$ilidades de los pro&eedores de ser&icios

$$#$#* r3e9a man8enimien8o = ree:al3ación de lo5 ;lane5 de con8in3idad de lo5 negocio5

%os planes de continuidad de los negocios pueden fallar en el curso de las prue$as' frecuentementede$ido a suposiciones incorrectas' negligencias o cam$ios en el e!uipamiento o el personal +or

-(



consiguiente de$en ser pro$ados periódicamente para garantiar !ue están actualiados y soneficaces %as prue$as tam$in de$en garantiar !ue todos los miem$ros del e!uipo de recuperacióny demás personal rele&ante estn al corriente de los planesEl cronograma de prue$as para los planes de continuidad del negocio de$e indicar cómo y cuándode$e pro$arse cada elemento del plan Se recomienda pro$ar con frecuencia cada uno de loscomponentes del plan Se de$en utiliar di&ersas tcnicas para garantiar !ue los planesfuncionarán en la &ida real Estas de$en incluir:X

a prue$as de discusión de di&ersos escenarios /discutiendo medidas para la recuperación delnegocio utiliando eNemplo de interrupcionesR

$ simulaciones /especialmente para entrenar al personal en el desempeMo de sus roles degestión posterior a incidentes o crisisR

c prue$as de recuperación tcnica /garantiando !ue los sistemas de información puedan ser resta$lecidos con eficaciaR

d prue$as de recuperación en un sitio alternati&o /eNecutando procesos de negocio en paralelo'con operaciones de recuperación fuera del sitio principalR

e prue$as de instalaciones y ser&icios de pro&eedores /garantiando !ue los productos yser&icios de pro&eedores eLternos cumplan con el compromiso contra8doRf ensayos completos /pro$ando !ue la organiación' el personal' el e!uipamiento' las

instalaciones y los procesos pueden afrontar las interrupcionesR

Estas tcnicas pueden ser utiliadas por cual!uier organiación y de$en refleNar la naturalea delplan de recuperación pertinente

$$#$#*#$ Man8enimien8o = ree:al3ación del ;lan

%os planes de continuidad de los negocios de$en mantenerse mediante re&isiones y actualiacionesperiódicas para garantiar su eficacia permanente Se de$en incluir procedimientos en el programa

de administración de cam$ios de la organiación para garantiar !ue se a$orden adecuadamente lostópicos de continuidad del negocio

Se de$e asignar la responsa$ilidad por las re&isiones periódicas de cada uno de los planes decontinuidad del negocioR la identificación de cam$ios en las disposiciones relati&as al negocio a#n norefleNadas en los planes de continuidad de$e seguirse de una adecuada actualiación del plan Esteproceso formal de control de cam$ios de$e garantiar !ue se distri$uyan los planes actualiados y!ue se imponga el cumplimiento de los mismos mediante re&isiones periódicas de todos los planes

Entre los eNemplos de situaciones !ue podr8an demandar la actualiación de los planes se encuentrala ad!uisición de nue&o e!uipamiento' o la actualiación /VupgradingW de los sistemas operacionalesy los cam$ios de:

a personal$ direcciones o n#meros telefónicosRc estrategia de los negociosRd u$icación' instalaciones y recursosRe legislaciónRf contratistas' pro&eedores y clientes cla&eRg procesos' o procesos nue&os-eliminadosRh riesgos /operacionales y financieros

-)




$! CUMLIMIENTO

$!#$ C3m;limien8o de re73i5i8o5 legale5

O$Neti&o: Impedir infracciones y &iolaciones de las leyes del derecho ci&il y penalR de las o$ligacionesesta$lecidas por leyes' estatutos' normas' reglamentos o contratosR y de los re!uisitos de seguridadEl diseMo' operación' uso y administración de los sistemas de información pueden estar suNetos are!uisitos de seguridad legal' normati&a y contractualSe de$e procurar asesoramiento so$re re!uisitos legales espec8ficos por parte de los asesores Nur8dicos de la organiación' o de a$ogados con&enientemente calificados %os re!uisitos legales&ar8an seg#n el pa8s y en relación con la información !ue se genera en un pa8s y se transmite a otro/por eN fluNo de datos a tra&s de fronteras

$!#$#$ Iden8ificación de la legi5lación a;lica9le

Se de$en definir y documentar claramente todos los re!uisitos legales' normati&os y contractualespertinentes para cada sistema de información 3el mismo modo de$en definirse y documentarse loscontroles espec8ficos y las responsa$ilidades indi&iduales para cumplir con dichos re!uisitos

$!#$#! Dereco5 de ;ro;iedad in8elec83al HDI

$!#$#!#$ Dereco de ;ro;iedad in8elec83al

Se de$en implementar procedimientos adecuados para garantiar el cumplimiento de lasrestricciones legales al uso del material respecto del cual puedan eListir derechos de propiedadintelectual' como derecho de propiedad intelectual' derechos de diseMo o marcas registradas %ainfracción de derechos de autor /derecho de propiedad intelectual puede tener como resultado

acciones legales !ue podr8an deri&ar en demandas penales

%os re!uisitos legales' normati&os y contractuales pueden poner restricciones a la copia de material!ue constituya propiedad de una empresa En particular' pueden re!uerir !ue sólo pueda utiliarsematerial desarrollado por la organiación' o material autoriado o suministra"do a la misma por laempresa !ue lo ha desarrollado

$!#$#!#! Dereco de ;ro;iedad in8elec83al del 5of8are

%os productos de softare !ue constituyan propiedad de una empresa se suministran normalmente$aNo un acuerdo de licencia !ue limita el uso de los productos a má!uinas espec8ficas y puede limitar la copia a la creación de copias de resguardo solamente Se de$en considerar los siguientes

controles:

a pu$licación de una pol8tica de cumplimiento del derecho de propiedad intelectual de softare!ue defina el uso legal de productos de información y de softareR

$ emisión de estándares para los procedimientos de ad!uisición de productos de softareRc mantenimiento de la concientiación respecto de las pol8ticas de ad!uisición y derecho de

propiedad intelectual de softare' y notificación de la determinación de tomar accionesdisciplinarias contra el personal !ue incurra en el cumplimiento de las mismasR

d mantenimiento adecuados de registros de acti&osRe mantenimiento de prue$as y e&idencias de propiedad de licencias' discos maestros'

manuales' etcf implementación de controles para garantiar !ue no se eLceda el n#mero máLimo permitido

de usuariosR

-*



g compro$aciones para &erificar !ue sólo se instalan productos con licencia y softareautoriadoR

h emisión de una pol8tica para el mantenimiento de condiciones adecuadas con respecto a laslicenciasR

i emisión de una pol8tica con respecto a la eliminación o transferencia de softare a tercerosR N utiliación de herramientas de auditor8a adecuadasRQ cumplimiento de trminos y condiciones con respecto a la o$tención de softare e

información en redes p#$licas /&er tam$in el punto 7.

$!#$#( ro8ección de lo5 regi58ro5 de la organi>ación

%os registros importantes de la organiación de$en protegerse contra prdida' destrucción yfalsificación )lgunos registros pueden re!uerir una retención segura para cumplir re!uisitos legales onormati&os' as8 como para respaldar acti&idades esenciales del negocio 4n eNemplo de esto son losregistros !ue pueden re!uerirse como e&idencia de !ue una organiación opera dentro de undeterminado marco legal o normati&o' o para garantiar una adecuada defensa contra e&entuales

acciones ci&iles o penales' o para &alidar el estado financiero de una organiación ante accionistas'socios y auditores El plao y el contenido de los datos para la retención de información pueden ser esta$lecidos por leyes o normas nacionales

%os registros de$en ser clasificados en diferentes tipos' por eN registros conta$les' registros de $asede datos' VlogsW de transacciones' VlogsW de auditor8a y procedimientos operati&os' cada uno de ellosdetallando los per8odos de retención y el tipo de medios de almacenamiento' por eN papel'microfichas' medios magnticos u ópticos %as cla&es criptográficas asociadas con archi&os cifradoso firmas digitales /&er 10D2 y 10DD de$en mantenerse en forma segura y estar disponi$les para suuso por parte de personas autoriadas cuando resulte necesario

Se de$e considerar la posi$ilidad de degradación de los medios utiliados para el almacenamiento

de los registros %os procedimientos de almacenamiento y manipulación de$en implementarse deacuerdo con las recomendaciones del fa$ricante

Si se seleccionan medios de almacenamiento electrónicos' de$en incluirse procedimientos paragarantiar la capacidad de acceso a los datos /tanto legi$ilidad de formato como medios durantetodo el per8odo de retención' a fin de sal&aguardar los mismos contra e&entuales prdidasocasionadas pro futuros cam$ios tecnológicos

%os sistemas de almacenamiento de datos de$en seleccionarse de modo tal !ue los datosre!ueridos puedan recuperarse de una manera !ue resulte acepta$le para un tri$unal de Nusticia' por eN !ue todos los registros re!ueridos puedan recuperarse en un plao y un formato acepta$le

El sistema de almacenamiento y manipulación de$e garantiar una clara identificación de losregistros y de su per8odo de retención legal o normati&a 3e$e permitir una adecuada destrucción delos registros una &e transcurrido dicho per8odo' si ya no resultan necesarios para la organiación

) fin de cumplir con estas o$ligaciones' se de$en tomar las siguientes medidas dentro de laorganiación

a Se de$e emitir lineamientos para la retención' almacenamiento' manipulación y eliminación deregistros e informaciónR

$ Se de$e preparar un cronograma de retención identificando los tipos esenciales de registros yel per8odo durante el cual de$en ser retenidos

c Se de$e mantener un in&entario de fuentes de información cla&e

-,




d Se de$e implementar adecuados controles para proteger los registros y la informaciónesenciales contra prdida' destrucción y falsificación

$!#$#) ro8ección de da8o5 = ;ri:acidad de la información ;er5onal

3i&ersos pa8ses han introducido leyes !ue esta$lecen controles so$re el procesamiento y transmisiónde datos personales /generalmente información so$re personas &i&as !ue pueden ser identificadas apartir de esta información 3ichos controles pueden imponer responsa$ilidades a a!uellas personas!ue recopilan' procesan y di&ulgan información personal' y pueden limitar la capacidad de transferir dichos datos a otros pa8ses

El cumplimiento de la legislación so$re protección de datos re!uiere una estructura y un control degestión adecuados >recuentemente' esto se logra de la meNor manera mediante la designación deun responsa$le a cargo de la protección de datos !ue oriente a los gerentes' usuarios y prestadoresde ser&icios acerca de sus responsa$ilidades indi&iduales y de los procedimientos espec8ficos !uede$en seguirse 3e$e ser responsa$ilidad del propietario de los datos' informar al responsa$le de la

protección de los mismos' acerca de las propuestas para mantener la información personal' en unarchi&o estructurado' y para garantiar el conocimiento de los principios de protección de datos'definidos en la legislación pertinente

$!#$#* re:ención del 35o inadec3ado de lo5 rec3r5o5 de ;roce5amien8o de información

%os recursos de procesamiento de información de una organiación se suministran con propósitos denegocio %a gerencia de$e autoriar el uso !ue se da a los mismos %a utiliación de estos recursoscon propósitos no autoriados o aNenos a los negocios' sin la apro$ación de la gerencia' de$e ser considerada como uso inde$ido Si dicha acti&idad es identificada mediante monitoreo u otrosmedios' se de$e notificar al gerente interesado para !ue se tomen las acciones disciplinarias !uecorrespondan

%a legalidad del monitoreo del uso de los recursos mencionados &ar8a seg#n el pa8s y puede re!uerir !ue los empleados sean ad&ertidos de dichas acti&idades o !ue se o$tenga el consentimiento de losmismos Se de$e o$tener asesoramiento Nur8dico antes de implementar los procedimientos demonitoreo*uchos pa8ses tienen' o están en proceso de introducir' legislación referida a la protección contra eluso inadecuado de los recursos informáticos El uso de los mismos con propósitos no autoriadospuede constituir un delito criminal +or consiguiente' es esencial !ue todos los usuarios estn alcorriente del alcance preciso del acceso permitido Esto puede lograrse' por eNemplo' otorgando alos usuarios una autoriación escrita' una copia de la cual de$e ser firmada por los mismos y retenidaen forma segura por la organiación %os empleados y los usuarios eLternos de$er ser ad&ertidos dela prohi$ición de todo acceso !ue no est eLpresamente autoriado

En el momento del inicio de sesión de$e aparecer un mensaNe de ad&ertencia en pantalla indicando!ue el sistema al !ue se está ingresando es pri&ado y !ue no se permite el acceso no autoriado Elusuario de$e acusar recepción y responder en forma adecuada al mensaNe para continuar con elproceso de inicio de sesión

$!#$#, Reg3lación de con8role5 ;ara el 35o de cri;8ografía

)lgunos pa8ses han implementado acuerdos' leyes' normas y demás instrumentos para controlar elacceso a los controles criptográficos o el uso de los mismos 3icho control puede incluir:

a importación y-o eLportación de hardare y softare para desempeMar funcionescriptográficasR

--



$ importación y-o eLportación de hardare y softare diseMado para aceptar funcionescriptográficasR

c mtodos o$ligatorios o discrecionales de acceso de los pa8ses a la información cifrada por hardare y softare para pro&eer de confidencialidad al contenido

Se de$e procurar asesoramiento Nur8dico para garantiar el cumplimiento de las leyes nacionales6am$in de$e o$tenerse asesoramiento antes de transferir a otro pa8s la información cifrada o loscontroles criptográficos

$!#$#- Recolección de e:idencia

$!#$#-#$ Regla5 ;ara la recolección de e:idencia

Es necesario contar con adecuada e&idencia para respaldar una acción contra una persona uorganiación Siempre !ue esta acción responda a una medida disciplinaria interna' la e&idencianecesaria estará descrita en los procedimientos internos

Cuando la acción implica la aplicación de una ley' tanto ci&il como penal' la e&idencia presentadade$e cumplir con las normas de e&idencia esta$lecidas en la ley pertinente o en las normasespec8ficas del tri$unal en el cual se desarrollará el caso En general' estas normas comprenden:

a &alide de la e&idencia: si puede o no utiliarse la misma en el tri$unalR$ peso de la e&idencia: la calidad y totalidad de la mismaRc adecuada e&idencia de !ue los controles han funcionado en forma correcta y consistente /por

eN e&idencia de control de procesos durante todo el per8odo en !ue la e&idencia a recuperar fue almacenada y procesada por el sistema

$!#$#-#! +alide> de la e:idencia

+ara lograr la &alide de la e&idencia' las organiaciones de$en garantiar !ue sus sistemas deinformación cumplan con los estándares o códigos de práctica relati&os a la producción de e&idencia&álida

$!#$#-#( Calidad = 8o8alidad de la e:idencia

+ara lograr la calidad y totalidad de la e&idencia es necesaria una sólida pista de la misma Engeneral' esta pista puede esta$lecerse si se cumplen las siguientes condiciones:

a +ara documentos en papel: el original se almacena en forma segura y se mantienen registrosacerca de !uin lo halló' dónde se halló' cuándo se halló y !uin presenció el hallago

Cual!uier in&estigación de$e garantiar !ue los originales no sean alterados$ +ara información en medios informáticos: se de$en hacer copias de los medios remo&i$les y

de la información en discos r8gidos o en memoria para garantiar su disponi$ilidad Se de$emantener un registro de todas las acciones realiadas durante el proceso de copia y stede$e ser presenciado Se de$e almacenar en forma segura una copia de los medios y delregistro

Cuando se detecta un incidente puede no resultar o$&io si ste deri&ará en una demanda legal +or consiguiente' eListe el riesgo de !ue la e&idencia necesaria sea destruida accidentalmente antes de!ue se ad&ierta la gra&edad del incidente Es aconseNa$le in&olucrar a un a$ogado o a la polic8a enla primera etapa de cual!uier acción legal contemplada y procurar asesoramiento acerca de lae&idencia re!uerida

-/




$!#! Re:i5ione5 de la ;olí8ica de 5eg3ridad = la com;a8i9ilidad 84cnica

O$Neti&o: =arantiar la compati$ilidad de los sistemas con las pol8ticas y estándares /normas deseguridad de la organiación

%a seguridad de los sistemas de información de$e re&isarse periódicamente 3ichas re&isionesde$en lle&arse a ca$o con referencia a las pol8ticas de seguridad pertinentes y las plataformastcnicas y sistemas de información de$en ser auditados para &erificar su compati$ilidad con losestándares /normas de implementación de seguridad

$!#!#$ C3m;limien8o de la ;olí8ica de 5eg3ridad

%a gerencia de$e garantiar !ue se lle&en a ca$o correctamente todos los procedimientos deseguridad dentro de su área de responsa$ilidad )simismo' se de$e considerar la implementación deuna re&isión periódica de todas las áreas de la organiación para garantiar el cumplimiento de laspol8ticas y estándares de seguridad Entre las áreas a re&isar de$en incluirse las siguientes:

a sistemas de informaciónR$ pro&eedores de sistemasRc propietarios de información y de recursos de informaciónRd usuariosRe gerentes

%os propietarios de los sistemas de información /&er ,1 de$en apoyar la re&isión periódica de laconformidad de sus sistemas con las pol8ticas' estándares y otros re!uisitos de seguridad aplica$lesEl tópico referido al monitoreo operacional del uso del sistema es tratado en el punto 97

$!#!#! +erificación de la com;a8i9ilidad 84cnica

Se de$e &erificar periódicamente la compati$ilidad de los sistemas de información con los estándaresde implementación de la seguridad %a &erificación de la compati$ilidad tcnica comprende lare&isión de los sistemas operacionales a fin de garantiar !ue los controles de hardare y softarehayan sido correctamente implementados Este tipo de &erificación de cumplimiento re!uiereasistencia tcnica especialiada 3e$e ser realiada manualmente /si es necesario' con el apoyo deadecuadas herramientas de softare por un ingeniero en sistemas eLperimentado' o por un pa!uetede softare automatiado !ue genere un informe tcnico para su ulterior interpretación por parte deun especialista

%a &erificación de compati$ilidad tam$in puede comprender prue$as de penetración' las cualespodr8an ser realiadas por eLpertos independientes contratados espec8ficamente con este propósito

Esto puede resultar #til para la detección de &ulnera$ilidades en el sistema y para &erificar la eficaciade los controles con relación a la pre&ención de accesos no autoriados posi$ilitados por lasmismas Se de$en tomar recaudos en caso de !ue una prue$a de penetración eLitosa puedacomprometer la seguridad del sistema e inad&ertidamente permita eLplotar otras &ulnera$ilidades'

%as &erificaciones de compati$ilidad tcnica sólo de$en ser realiadas por personas competentes yautoriadas o $aNo la super&isión de las mismas

-0



$!#( Con5ideracione5 de a3di8oria de 5i58ema5

O$Neti&o: Optimiar la eficacia del proceso de auditoria de sistemas y minimiar los pro$lemas !ue

pudiera ocasionar el mismo' o los o$stáculos !ue pudieran afectarlo3e$en eListir controles !ue proteNan los sistemas de operaciones y las herramientas de auditoria enel transcurso de las auditorias de sistemas )simismo' se re!uiere una protección adecuada para sal&aguardar la integridad y e&itar el usoinadecuado de las herramientas de auditoria

$!#(#$ Con8role5 de a3di8oria de 5i58ema5

%os re!uerimientos y acti&idades de auditoria !ue in&olucran &erificaciones de los sistemasoperacionales de$en ser cuidadosamente planificados y acordados a fin de minimiar el riesgo dediscontinuidad de los procesos de negocio Se de$en contemplar los siguientes puntos:

a %os re!uerimientos de auditoria de$en ser acordados con la gerencia !ue correspondaR$ se de$e acordar y controlar el alcance de las &erificacionesRc stas de$en estar limitadas a un acceso de sólo lectura del softare de datosRd el acceso !ue no sea de sólo lectura solamente de$e permitirse para copias aisladas de

archi&os del sistema' las cuales de$en ser eliminadas una &e finaliada la auditor8ae se de$en identificar claramente y poner a disposición los recursos de 6I para lle&ar a ca$o las

&erificacionesRf se de$en identificar y acordar los re!uerimientos de procesamiento especial o adicionalRg todos los accesos de$en ser monitoreados y registrados a fin de generar una pista de

referenciaRh se de$en documentar todos los procedimientos' re!uerimientos y responsa$ilidades

$!#(#! ro8ección de la5 erramien8a5 de a3di8oría de 5i58ema5

Se de$e proteger el acceso a las herramientas de auditor8a de sistemas' por eN archi&os de datos osoftare' a fin de e&itar el mal uso o el compromiso de las mismas 3ichas herramientas de$en estar separadas de los sistemas operacionales y de desarrollo y no de$en almacenarse en $i$liotecas decintas o en áreas de usuarios' a menos !ue se les otorgue un ni&el adecuado de protecciónadicional

/1



Ane<o A/Informati&o

.i9liografía

ISO J INTERNATIONAL ORGANIZATION 'OR STANDARDIZATIONIEC J INTERNATIONAL ELECTROTECKNICAL COMMISSION

ISO-IEC 17799:2000 " Information technology Code of practice for information securitymanagement



Ane<o ./Informati&o

El estudio de este es!uema ha estado a cargo del Su$comit de Seguridad de la información'

integrado de la forma siguiente:

In8egran8e Re;re5en8a a?

%ic )dal$erto )I()%) 45IA 6EC5 5)C " >)C (E= S )S3r 3aniel )%6*)(Y CO%E=IO 3E )O=)3OS%ic Guan de 3ios E% IS)C) " I5>O(*)6IO5 SHS6E*S )43I6

)53 CO56(O% )SSOCI)6IO5Sr Os&aldo +<(EF IEEE )(=E56I5)Sr (odrigo SE=4E% SEC(E6 3E *O3E(5IF)CI?5 3E% ES6)3O3r +a$lo 6ISCO(5I) *I5IS6E(IO 3E G4S6ICI) H 3E(ECKOS

K4*)5OS

%ic Guan Carlos *)SOE(O I()*%ic Gorge 545ES I()*%ic Espedito +)SS)(E%%O I()*

TRBMITE

El estudio de esta norma fue considerado por el Su$comit en sus reuniones del 2002"02"2/)cta 1"2002 y 2002"0D"21 /)cta 2"2002 en la !ue se apro$ó como Es!uema 1 para su en&8o a3iscusión +#$lica por , d

ZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ

)+(O)3O S4 E5AIO ) 3ISC4SI?5 +[%IC) +O( E% S4CO*I6< 3E SE=4(I3)3 3E %)

I5>O(*)CI?5' E5 S4 SESI?5 3E% 21 3E *)(FO 3E 2002 /)cta 2"2002

>I(*)3O%ic Gorge 5unes

%ic Guan C *asoero

Coordinador del Su$comit

>I(*)3O%ic Guan el

Secretario del Su$comit

>I(*)3O%ic *arta ( de ar$ieri

A\ \ E!uipo )

BSI 17799 Traduccion Al Español de Argentina

Documents

Transcript of BSI 17799 Traduccion Al Español de Argentina