ISO IEC 17799, Tecnología de La Información

82
O IEC 17799 02 ISO IEC 17799 IS 20 Tecnología de la información Código de práctica para la administración de la seguridad de la información

Transcript of ISO IEC 17799, Tecnología de La Información

  • O IEC 1779902

    ISO IEC 17799 IS20

    Tecnologa de la informacin

    Cdigo de prctica para la administracin de la seguridad de la informacin

  • 2

  • Esquema 1 IRAM-ISO IEC 17799:2002

    Prefacio El Instituto Argentino de Normalizacin (IRAM) es una asociacin civil sin fines de lucro cuyas finalidades especficas, en su carcter de Organismo Argentino de Normalizacin, son establecer normas tcnicas, sin limitaciones en los mbitos que abarquen, adems de propender al conocimiento y la aplicacin de la normalizacin como base de la calidad, promoviendo las actividades de certificacin de productos y de sistemas de la calidad en las empresas para brindar seguridad al consumidor.

    IRAM es el representante de la Argentina en la International Organization for Standardization (ISO), en la Comisin Panamericana de Normas Tcnicas (COPANT) y en la Asociacin MERCOSUR de Normalizacin (AMN).

    Esta norma IRAM es el fruto del consenso tcnico entre los diversos sectores involucrados, los que a travs de sus representantes han intervenido en los Organismos de Estudio de Normas correspondientes.

    Esta norma es una adopcin idntica de la norma ISO 17799:2000.

    3

  • Esquema 1 IRAM-ISO IEC 17799:2002

    ndice Pgina INTRODUCCIN................................................................................................... 9

    QU ES LA SEGURIDAD DE LA INFORMACIN ?.......................................................9 POR QU ES NECESARIA LA SEGURIDAD DE LA INFORMACIN...........................9 CMO ESTABLECER LOS REQUERIMIENTOS DE SEGURIDAD ............................10 EVALUACIN DE LOS RIESGOS EN MATERIA DE SEGURIDAD.............................10 SELECCIN DE CONTROLES.....................................................................................11 PUNTO DE PARTIDA PARA LA SEGURIDAD DE LA INFORMACIN.......................11 FACTORES CRTICOS DEL XITO .............................................................................12 DESARROLLO DE LINEAMIENTOS PROPIOS ...........................................................12

    1 ALCANCE ....................................................................................................... 13

    2 TRMINOS Y DEFINICIONES......................................................................... 13

    3 POLTICA DE SEGURIDAD ........................................................................... 13 3.1 POLTICA DE SEGURIDAD DE LA INFORMACIN ..............................................13

    3.1.1 Documentacin de la poltica de seguridad de la informacin..........................14 3.1.2 Revisin y evaluacin........................................................................................14

    4 ORGANIZACIN DE LA SEGURIDAD .......................................................... 15 4.1 INFRAESTRUCTURA DE SEGURIDAD DE LA INFORMACIN...........................15

    4.1.1 Foro gerencial sobre seguridad de la informacin ............................................15 4.1.2 Coordinacin de la seguridad de la informacin ...............................................15 4.1.3 Asignacin de responsabilidades en materia de seguridad de la informacin .................................................................................................................16 4.1.4 Proceso de autorizacin para instalaciones de procesamiento de informacin .................................................................................................................16 4.1.5 Asesoramiento especializado en materia de seguridad de la informacin .......17 4.1.6 Cooperacin entre organizaciones....................................................................17 4.1.7 Revisin independiente de la seguridad de la informacin...............................17

    4.2 SEGURIDAD FRENTE AL ACCESO POR PARTE DE TERCEROS......................18 4.2.1 Identificacin de riesgos del acceso de terceras partes ...................................18 4.2.2 Requerimientos de seguridad en contratos con terceros..................................19

    4.3 TERCERIZACIN....................................................................................................20 4.3.1 Requerimientos de seguridad en contratos de tercerizacin............................20

    5 CLASIFICACIN Y CONTROL DE ACTIVOS ............................................... 21 5.1 RESPONSABILIDAD POR RENDICIN DE CUENTAS DE LOS ACTIVOS .........21

    5.1.1 Inventario de activos..........................................................................................21 5.2 CLASIFICACIN DE LA INFORMACIN ...............................................................22

    5.2.1 Pautas de clasificacin......................................................................................22 5.2.2 Rotulado y manejo de la informacin ................................................................22

    6 SEGURIDAD DEL PERSONAL...................................................................... 23 6.1 SEGURIDAD EN LA DEFINICIN DE PUESTOS DE TRABAJO Y LA ASIGNACIN DE RECURSOS .....................................................................................23

    6.1.1 Inclusin de la seguridad en las responsabilidades de los puestos de trabajo.........................................................................................................................23

    4

  • Esquema 1 IRAM-ISO IEC 17799:2002

    6.1.2 Seleccin y poltica de personal........................................................................23 6.1.3 Acuerdos de confidencialidad ...........................................................................24 6.1.4 Trminos y condiciones de empleo...................................................................24

    6.2 CAPACITACIN DEL USUARIO.............................................................................24 6.2.1 Formacin y capacitacin en materia de seguridad de la informacin.............25

    6.3 RESPUESTA A INCIDENTES Y ANOMALAS EN MATERIA DE SEGURIDAD....25 6.3.1 Comunicacin de incidentes relativos a la seguridad .......................................25 6.3.2 Comunicacin de debilidades en materia de seguridad ...................................25 6.3.3 Comunicacin de anomalas del software ........................................................26 6.3.4 Aprendiendo de los incidentes .........................................................................26 6.3.5 Proceso disciplinario .........................................................................................26

    7 SEGURIDAD FSICA Y AMBIENTAL .............................................................26 7.1 REAS SEGURAS ..................................................................................................26

    7.1.1 Permetro de seguridad fsica ...........................................................................27 7.1.2 Controles de acceso fsico ................................................................................27 7.1.3 Proteccin de oficinas, recintos e instalaciones................................................28 7.1.4 Desarrollo de tareas en reas protegidas .........................................................28 7.1.5 Aislamiento de las reas de entrega y carga....................................................29

    7.2 SEGURIDAD DEL EQUIPAMIENTO.......................................................................29 7.2.1 Ubicacin y proteccin del equipamiento..........................................................29 7.2.2 Suministros de energa .....................................................................................30 7.2.3 Seguridad del cableado.....................................................................................31 7.2.4 Mantenimiento de equipos ................................................................................31 7.2.5 Seguridad del equipamiento fuera del mbito de la organizacin ....................31 7.2.6 Baja segura o reutilizacin de equipamiento. ...................................................32

    7.3 CONTROLES GENERALES....................................................................................32 7.3.1 Polticas de escritorios y pantallas limpias........................................................32 7.3.2 Retiro de bienes ................................................................................................33

    8 GESTIN DE COMUNICACIONES Y OPERACIONES .................................33 8.1 PROCEDIMIENTOS Y RESPONSABILIDADES OPERATIVAS.............................33

    8.1.1 Documentacin de los procedimientos operativos ...........................................33 8.1.2 Control de cambios en las operaciones ............................................................34 8.1.3 Procedimientos de manejo de incidentes .........................................................34 8.1.4 Separacin de funciones...................................................................................35 8.1.5 Separacin entre instalaciones de desarrollo e instalaciones operativas ........35 8.1.6 Administracin de instalaciones externas .........................................................36

    8.2 PLANIFICACIN Y APROBACIN DE SISTEMAS................................................37 8.2.1 Planificacin de la capacidad...........................................................................37 8.2.2 Aprobacin del sistema .....................................................................................37

    8.3 PROTECCIN CONTRA SOFTWARE MALICIOSO ..............................................38 8.3.1 Controles contra software malicioso .................................................................38

    8.4 MANTENIMIENTO...................................................................................................39 8.4.1 Resguardo de la informacin ............................................................................39 8.4.2 Registro de actividades del personal operativo ................................................39 8.4.3 Registro de fallas...............................................................................................39

    8.5 ADMINISTRACIN DE LA RED..............................................................................40 8.5.1 Controles de redes ............................................................................................40

    8.6 ADMINISTRACIN Y SEGURIDAD DE LOS MEDIOS DE ALMACENAMIENTO .....................................................................................................40

    8.6.1 Administracin de medios informticos removibles ..........................................40 8.6.2 Eliminacin de medios informticos..................................................................41 8.6.3 Procedimientos de manejo de la informacin ...................................................41 8.6.4 Seguridad de la documentacin del sistema ....................................................42

    8.7 INTERCAMBIOS DE INFORMACIN Y SOFTWARE............................................42 8.7.1 Acuerdos de intercambio de informacin y software ........................................42 8.7.2 Seguridad de los medios en trnsito.................................................................43

    5

  • Esquema 1 IRAM-ISO IEC 17799:2002

    8.7.3 Seguridad del comercio electrnico ..................................................................43 8.7.4 Seguridad del correo electrnico.......................................................................44 8.7.5 Seguridad de los sistemas electrnicos de oficina ...........................................45 8.7.6 Sistemas de acceso pblico..............................................................................45 8.7.7 Otras formas de intercambio de informacin ....................................................46

    9 CONTROL DE ACCESOS .............................................................................. 47 9.1 REQUERIMIENTOS DE NEGOCIO PARA EL CONTROL DE ACCESOS ............47

    9.1.1 Poltica de control de accesos...........................................................................47 9.2 ADMINISTRACIN DE ACCESOS DE USUARIOS ...............................................48

    9.2.1 Registracin de usuarios...................................................................................48 9.2.2 Administracin de privilegios.............................................................................48 9.2.3 Administracin de contraseas de usuario .......................................................49 9.2.4 Revisin de derechos de acceso de usuario.....................................................49

    9.3 RESPONSABILIDADES DEL USUARIO.................................................................50 9.3.1 Uso de contraseas...........................................................................................50 9.3.2 Equipos desatendidos en reas de usuarios ....................................................50

    9.4 CONTROL DE ACCESO A LA RED........................................................................51 9.4.1 Poltica de utilizacin de los servicios de red....................................................51 9.4.2 Camino forzado .................................................................................................51 9.4.3 Autenticacin de usuarios para conexiones externas.......................................52 9.4.4 Autenticacin de nodos .....................................................................................52 9.4.5 Proteccin de los puertos (ports) de diagnostico remoto..................................53 9.4.6 Subdivisin de redes .........................................................................................53 9.4.7 Control de conexin a la red .............................................................................53 9.4.8 Control de ruteo de red......................................................................................54 9.4.9 Seguridad de los servicios de red .....................................................................54

    9.5 CONTROL DE ACCESO AL SISTEMA OPERATIVO.............................................54 9.5.1 Identificacin automtica de terminales ............................................................54 9.5.2 Procedimientos de conexin de terminales.......................................................54 9.5.3 Identificacin y autenticacin de los usuarios ...................................................55 9.5.4 Sistema de administracin de contraseas.......................................................56 9.5.5 Uso de utilitarios de sistema .............................................................................56 9.5.6 Alarmas silenciosas para la proteccin de los usuarios....................................56 9.5.7 Desconexin de terminales por tiempo muerto.................................................57 9.5.8 Limitacin del horario de conexin....................................................................57

    9.6 CONTROL DE ACCESO A LAS APLICACIONES ..................................................57 9.6.1 Restriccin del acceso a la informacin............................................................57 9.6.2 Aislamiento de sistemas sensibles....................................................................58

    9.7 MONITOREO DEL ACCESO Y USO DE LOS SISTEMAS.....................................58 9.7.1 Registro de eventos...........................................................................................58 9.7.2 Monitoreo del uso de los sistemas ....................................................................59 9.7.3 Sincronizacin de relojes...................................................................................60

    9.8 COMPUTACIN MVIL Y TRABAJO REMOTO....................................................60 9.8.1 Computacin mvil ............................................................................................60 9.8.2 Trabajo remoto ..................................................................................................61

    10 DESARROLLO Y MANTENIMIENTO DE SISTEMAS. ................................ 62 10.1 REQUERIMIENTOS DE SEGURIDAD DE LOS SISTEMAS. ...............................62

    10.1.1 Anlisis y especificaciones de los requerimientos de seguridad. ...................62 10.2 SEGURIDAD EN LOS SISTEMAS DE APLICACIN ...........................................63

    10.2.1 Validacin de datos de entrada.......................................................................63 10.2.2 Controles de procesamiento interno. ..............................................................63 10.2.3 Autenticacin de mensajes .............................................................................64 10.2.4 Validacin de los datos de salida ....................................................................64

    10.3 CONTROLES CRIPTOGRFICOS .......................................................................65 10.3.1 Poltica de utilizacin de controles criptogrficos............................................65 10.3.2 Cifrado .............................................................................................................65

    6

  • Esquema 1 IRAM-ISO IEC 17799:2002

    10.3.3 Firma digital .....................................................................................................66 10.3.4 Servicios de no repudio...................................................................................66 10.3.5 Administracin de claves.................................................................................66

    10.4 SEGURIDAD DE LOS ARCHIVOS DEL SISTEMA...............................................68 10.4.1 Control del software operativo ........................................................................68 10.4.2 Proteccin de los datos de prueba del sistema ..............................................68 10.4.3 Control de acceso a las bibliotecas de programa fuente ................................69

    10.5 SEGURIDAD DE LOS PROCESOS DE DESARROLLO Y SOPORTE................69 10.5.1 Procedimientos de control de cambios ...........................................................69 10.5.2 Revisin tcnica de los cambios en el sistema operativo...............................70 10.5.3 Restriccin del cambio en los paquetes de software......................................70 10.5.4 Canales ocultos y cdigo troyano ...................................................................71 10.5.5 Desarrollo externo de software .......................................................................71

    11 ADMINISTRACIN DE LA CONTINUIDAD DE LOS NEGOCIOS...............71 11.1 ASPECTOS DE LA ADMINISTRACIN DE LA CONTINUIDAD DE LOS NEGOCIOS....................................................................................................................71

    11.1.1 Proceso de administracin de la continuidad de los negocios .......................72 11.1.2 Continuidad del negocio y anlisis del impacto ..............................................72 11.1.3 Elaboracin e implementacin de planes de continuidad de los negocios.....72 11.1.4 Marco para la planificacin de la continuidad de los negocios .......................73 11.1.5 Prueba, mantenimiento y reevaluacin de los planes de continuidad de los negocios................................................................................................................73

    12 CUMPLIMIENTO ...........................................................................................75 12.1 CUMPLIMIENTO DE REQUISITOS LEGALES.....................................................75

    12.1.1 Identificacin de la legislacin aplicable .........................................................75 12.1.2 Derechos de propiedad intelectual (dpi) .........................................................75 12.1.3 Proteccin de los registros de la organizacin................................................76 12.1.4 Proteccin de datos y privacidad de la informacin personal.........................77 12.1.5 Prevencin del uso inadecuado de los recursos de procesamiento de informacin .................................................................................................................77 12.1.6 Regulacin de controles para el uso de criptografa.......................................77 12.1.7 Recoleccin de evidencia................................................................................78

    12.2 REVISIONES DE LA POLTICA DE SEGURIDAD Y LA COMPATIBILIDAD TCNICA .......................................................................................................................79

    12.2.1 Cumplimiento de la poltica de seguridad .......................................................79 12.2.2 Verificacin de la compatibilidad tcnica ........................................................79

    12.3 CONSIDERACIONES DE AUDITORIA DE SISTEMAS........................................80 12.3.1 Controles de auditoria de sistemas.................................................................80 12.3.2 Proteccin de las herramientas de auditora de sistemas ..............................80

    Anexo A (Informativo) Bibliografa .......................................................................81

    Anexo B (Informativo) Integrantes del organismo de estudio ..............................82

    7

  • Esquema 1 IRAM-ISO IEC 17799:2002

    8

  • Esquema 1 IRAM-ISO IEC 17799:2002

    Tecnologa de la informacin Cdigo de prctica para la administracin de la seguridad de la informacin INTRODUCCIN Qu es la seguridad de la informacin ? La informacin es un recurso que, como el resto de los importantes activos comerciales, tiene valor para una organizacin y por consiguiente debe ser debidamente protegida. La seguridad de la infor-macin protege sta de una amplia gama de amenazas, a fin de garantizar la continuidad comercial, minimizar el dao al mismo y maximizar el retorno sobre las inversiones y las oportunidades. La informacin puede existir en muchas formas. Puede estar impresa o escrita en papel, almacenada electrnicamente, transmitida por correo o utilizando medios electrnicos, presentada en imgenes, o expuesta en una conversacin. Cualquiera sea la forma que adquiere la informacin, o los medios por los cuales se distribuye o almacena, siempre debe ser protegida en forma adecuada. La seguridad de la informacin se define aqu como la preservacin de las siguientes caractersticas:

    a) confidencialidad: se garantiza que la informacin sea accesible slo a aquellas personas au-torizadas a tener acceso a ella.

    b) integridad: se salvaguarda la exactitud y totalidad de la informacin y los mtodos de proce-samiento.

    c) disponibilidad: se garantiza que los usuarios autorizados tengan acceso a la informacin y a los recursos relacionados con ella toda vez que se requiera.

    La seguridad de la informacin se logra implementando un conjunto adecuado de controles, que abarca polticas, prcticas, procedimientos, estructuras organizacionales y funciones del software. Se deben establecer estos controles para garantizar que se logren los objetivos especficos de segu-ridad de la organizacin. Por qu es necesaria la seguridad de la informacin La informacin y los procesos, sistemas y redes que le brindan apoyo constituyen importantes recur-sos de la empresa. La confidencialidad, integridad y disponibilidad de la informacin pueden ser esenciales para mantener la ventaja competitiva, el flujo de fondos, la rentabilidad, el cumplimiento de las leyes y la imagen comercial. Las organizaciones y sus redes y sistemas de informacin, se enfrentan en forma creciente con amenazas relativas a la seguridad, de diversos orgenes, incluyendo el fraude asistido por computa-dora, espionaje, sabotaje, vandalismo, incendio o inundacin. Daos tales como los ataques mediante virus informticos, "hacking" y denegacin de servicio se han vuelto ms comunes, ambi-ciosos y crecientemente sofisticados.

    9

  • Esquema 1 IRAM-ISO IEC 17799:2002

    La dependencia de las organizaciones respecto de los sistemas y servicios de informacin denota que ellas son ms vulnerables a las amenazas concernientes a seguridad. La interconexin de las redes pblicas y privadas y el uso compartido de los recursos de informacin incrementa la dificultad de lograr el control de los accesos. La tendencia hacia el procesamiento distribuido ha debilitado la eficacia del control tcnico centralizado. Muchos sistemas de informacin no han sido diseados para ser seguros. La seguridad que puede lograrse por medios tcnicos es limitada y debe ser respaldada por una gestin y procedimientos adecuados. La identificacin de los controles que deben implementarse requiere una cuidadosa pla-nificacin y atencin a todos los detalles. La administracin de la seguridad de la informacin, exige, como mnimo, la participacin de todos los empleados de la organizacin. Tambin puede requerir la participacin de proveedores, clientes y accionistas. Asimismo, puede requerirse el asesoramiento experto de organizaciones externas. Los controles de seguridad de la informacin resultan conside-rablemente ms econmicos y eficaces si se incorporan en la etapa de especificacin de requerimientos y diseo. Cmo establecer los requerimientos de seguridad Es esencial que una organizacin identifique sus requerimientos de seguridad. Existen tres recursos principales para lograrlo. El primer recurso consiste en evaluar los riesgos que enfrenta la organizacin. Mediante la evalua-cin de riesgos se identifican las amenazas a los activos, se evalan las vulnerabilidades y probabilidades de ocurrencia, y se estima el impacto potencial. El segundo recurso est constituido por los requisitos legales, normativos, reglamentarios y contrac-tuales que deben cumplir la organizacin, sus socios comerciales, los contratistas y los prestadores de servicios. El tercer recurso es el conjunto especfico de principios, objetivos y requisitos para el procesamiento de la informacin, que ha desarrollado la organizacin para respaldar sus operaciones. Evaluacin de los riesgos en materia de seguridad Los requerimientos de seguridad se identifican mediante una evaluacin metdica de los riesgos de se-guridad. Las erogaciones derivadas de la satisfaccin de las necesidades de control deben ser equilibradas con respecto al impacto potencial de las fallas de seguridad en los negocios. Las tcnicas de evaluacin de riesgos pueden aplicarse a toda la organizacin, o slo a partes de la misma, as como a los sistemas de informacin individuales, componentes de sistemas o servicios especficos cuando es-to resulte factible, viable y provechoso. La evaluacin de riesgos es una consideracin sistemtica de los siguientes puntos;

    a) impacto potencial de una falla de seguridad en los negocios, teniendo en cuenta las potencia-les consecuencias por una prdida de la confidencialidad, integridad o disponibilidad de la informacin y otros recursos;

    b) probabilidad de ocurrencia de dicha falla tomando en cuenta las amenazas y vulnerabilidades predominantes, y los controles actualmente implementados.

    Los resultados de esta evaluacin ayudarn a orientar ya determinar las prioridades y acciones de ges-tin adecuadas para la administracin de los riesgos concernientes a seguridad de la informacin, y para la implementacin de los controles seleccionados a fin de brindar proteccin contra dichos riesgos.

    10

  • Esquema 1 IRAM-ISO IEC 17799:2002

    Puede resultar necesario que el proceso de evaluacin de riesgos y seleccin de controles deba llevarse acabo en varias ocasiones, a fin de cubrir diferentes partes de la organizacin o sistemas de informacin individuales. Es importante llevar a cabo revisiones peridicas de los riesgos de seguridad y de los controles im-plementados a fin de:

    a) reflejar los cambios en los requerimientos y prioridades de la empresa; b) considerar nuevas amenazas y vulnerabilidades; c) corroborar que los controles siguen siendo eficaces y apropiados.

    Las revisiones deben llevarse a cabo con diferentes niveles de profundidad segn los resultados de evaluaciones anteriores y los niveles variables de riesgo que la gerencia est dispuesta a aceptar. Frecuentemente, las evaluaciones de riesgos se realizan primero en un nivel alto, a fin de priorizar recursos en reas de alto riesgo, y posteriormente en un nivel ms detallado, con el objeto de abor-dar riesgos especficos. Seleccin de controles Una vez identificados los requerimientos de seguridad, deben seleccionarse e implementarse controles para garantizar que los riesgos sean reducidos a un nivel aceptable. Los controles pueden seleccionarse sobre la base de este documento, de otros estndares, o pueden disearse nuevos controles para satis-facer necesidades especficas segn corresponda. Existen diversos modos de administrar riesgos y este documento brinda ejemplos de estrategias generales. No obstante, es necesario reconocer que algunos controles no son aplicables a todos los sistemas o ambientes de informacin, y podran no resultar via-bles en todas las organizaciones. Como ejemplo, el punto 8.1.4 describe cmo pueden separarse las tareas para evitar fraudes y errores. Podra no resultar posible para las organizaciones ms pequeas separar todas las tareas, pudiendo resultar necesarias otras formas de lograr el mismo objetivo de con-trol. Los controles deben seleccionarse teniendo en cuenta el costo de implementacin en relacin con los riesgos a reducir y las prdidas que podran producirse de tener lugar una violacin de la seguri-dad. Tambin deben tenerse en cuenta los factores no monetarios, como el dao en la reputacin. Algunos controles de este documento pueden considerarse como principios rectores para la adminis-tracin de la seguridad de la informacin, aplicables a la mayora de las organizaciones. Se explican con mayor detalle en el siguiente prrafo, bajo el ttulo de "Punto de partida para la seguridad de la informacin". Punto de partida para la seguridad de la informacin Algunos controles pueden considerarse como principios rectores que proporcionan un buen punto de partida para la implementacin de la seguridad de la informacin. Estn basados en requisitos lega-les fundamentales, o bien se consideran como prctica recomendada de uso frecuente concerniente a la seguridad de la informacin. Los controles que se consideran esenciales para una organizacin, desde el punto de vista legal com-prenden:

    a) proteccin de datos y confidencialidad de la informacin personal (ver 12.1.4); b) proteccin de registros y documentos de la organizacin (ver 12.1.3) ; c) derechos de propiedad intelectual (ver 12.1.2) ;

    11

  • Esquema 1 IRAM-ISO IEC 17799:2002

    Los controles considerados como prctica recomendada de uso frecuente en la implementacin de la seguridad de la informacin comprenden:

    a) documentacin de la poltica de seguridad de la informacin (ver 3.1.1); b) asignacin de responsabilidades en materia de seguridad de la informacin (ver 4.1 .3); c) instruccin y entrenamiento en materia de seguridad de la informacin (ver 6.2.1); d) comunicacin de incidentes relativos a la seguridad (ver 6.3.1); e) administracin de la continuidad de la empresa (ver 11.1 );

    Estos controles son aplicables a la mayora de las organizaciones y en la mayora de los ambientes. Se debe observar que aunque todos los controles mencionados en este documento son importantes, la relevancia de cada uno de ellos debe ser determinada teniendo en cuenta los riesgos especficos que afronta la organizacin. Por ello, si bien el enfoque delineado precedentemente se considera un buen punto de partida, ste no pretende reemplazar la seleccin de controles que se realiza sobre la base de una evaluacin de riesgos. Factores crticos del xito La experiencia ha demostrado que los siguientes factores, a menudo resultan crticos para la imple-mentacin exitosa de la seguridad de la informacin, dentro de una organizacin:

    a) poltica de seguridad, objetivos y actividades que reflejen los objetivos de la empresa; b) una estrategia de implementacin de seguridad que sea consecuente con la cultura organiza-

    cional; c) apoyo y compromiso manifiestos por parte de la gerencia; d) un claro entendimiento de los requerimientos de seguridad, la evaluacin de riesgos y la ad-

    ministracin de los mismos; e) comunicacin eficaz de los temas de seguridad a todos los gerentes y empleados; f) distribucin de guas sobre polticas y estndares de seguridad de la informacin a todos los

    empleados y contratistas; g) instruccin y entrenamiento adecuados; h) un sistema integral y equilibrado de medicin que se utilice para evaluar el desempeo de la

    gestin de la seguridad de la informacin y para brindar sugerencias tendientes a mejorarlo. Desarrollo de lineamientos propios Este cdigo de prctica puede ser considerado como un punto de partida para el desarrollo de lineamientos especficos, aplicables a cada organizacin. No todos los lineamientos y controles de este cdigo de prctica resultarn aplicables. Ms an, es probable que deban agregarse controles que no estn incluidos en este documento. Ante esta situacin puede resultar til retener referencias cruzadas que faciliten la realizacin de pruebas de cumplimiento por parte de auditores y socios.

    12

  • Esquema 1 IRAM-ISO IEC 17799:2002

    1 ALCANCE Esta parte del estndar brinda recomendaciones para la gestin de la seguridad de la informacin que han de ser aplicadas por los responsables de iniciar, implementar o mantener la seguridad en sus organizaciones. Su propsito es proveer de una base comn para el desarrollo de estndares de seguridad de la organizacin y una prctica efectiva de la administracin de la misma, brindando asimismo, confianza en las relaciones llevadas a cabo entre las organizaciones.

    2 TRMINOS Y DEFINICIONES A los efectos de este documento se aplican las siguientes definiciones: 2.1 Seguridad de la informacin La preservacin de la confidencialidad, integridad y disponibilidad de la informacin.

    Confidencialidad: garanta de que acceden a la informacin, slo aquellas personas autoriza-das a hacerlo.

    Integridad: mantenimiento de la exactitud y totalidad de la informacin y los mtodos de pro-cesamiento.

    Disponibilidad: garanta de que los usuarios autorizados tienen acceso a la informacin y a los recursos relacionados con la misma, toda vez que lo requieran.

    2.2 Evaluacin de riesgos La evaluacin de las amenazas, impactos y vulnerabilidades relativos a la informacin y a las instala-ciones de procesamiento de la misma, y a la probabilidad de que ocurran 2.3 Administracin de riesgos El proceso de identificacin, control y minimizacin o eliminacin, a un costo aceptable, de los ries-gos de seguridad que podran afectar a los sistemas de informacin.

    3 POLTICA DE SEGURIDAD 3.1 Poltica de seguridad de la informacin Objetivo: Proporcionar direccin y apoyo gerencial para brindar seguridad de la informacin. El nivel gerencial debe establecer una direccin poltica clara y demostrar apoyo y compromiso con respecto a la seguridad de la informacin, mediante la formulacin y mantenimiento de una poltica de seguridad de la informacin a travs de toda la organizacin.

    13

  • Esquema 1 IRAM-ISO IEC 17799:2002

    3.1.1 Documentacin de la poltica de seguridad de la informacin Los responsables del nivel gerencial deben aprobar y publicar un documento que contenga la poltica de seguridad y comunicarlo a todos los empleados, segn corresponda. ste debe poner de manifiesto su compromiso y establecer el enfoque de la organizacin con respecto a la gestin de la seguridad de la informacin. Como mnimo, deben incluirse las siguientes pautas:

    a) definicin de la seguridad de la informacin, sus objetivos y alcance generales y la importan-cia de la seguridad como un mecanismo que permite la distribucin de la informacin (ver introduccin);

    b) una declaracin del propsito de los responsables del nivel gerencial, apoyando los objetivos y principios de la seguridad de la informacin;

    c) una breve explicacin de las polticas, principios, normas y requisitos de cumplimiento en ma-teria de seguridad, que son especialmente importantes para la organizacin, por ejemplo:

    1) cumplimiento de requisitos legales y contractuales; 2) requisitos de instruccin en materia de seguridad; 3) prevencin y deteccin de virus y dems software malicioso; 4) administracin de la continuidad comercial; 5) consecuencias de las violaciones a la poltica de seguridad;

    d) una definicin de las responsabilidades generales y especficas en materia de gestin de la seguridad de la informacin, incluyendo la comunicacin de los incidentes relativos a la segu-ridad;

    e) referencias a documentos que puedan respaldar la poltica, por ej. , polticas y procedimientos de seguridad ms detallados para sistemas de informacin especficos o normas de seguri-dad que deben cumplir los usuarios.

    Esta poltica debe ser comunicada a todos los usuarios de la organizacin de manera pertinente, ac-cesible y comprensible. 3.1.2 Revisin y evaluacin La poltica debe tener un propietario que sea responsable del mantenimiento y revisin de la misma de acuerdo con un proceso definido. Ese proceso debe garantizar que se lleve acabo una revisin en respuesta a cualquier cambio que pueda afectar la base original de evaluacin de riesgos, por ej., in-cidentes de seguridad significativos, nuevas vulnerabilidades o cambios en la infraestructura tcnica o de la organizacin. Tambin deben programarse revisiones peridicas de lo siguiente:

    a) la eficacia de la poltica, demostrada por la naturaleza, nmero e impacto de los incidentes de seguri-dad registrados;

    b) el costo e impacto de los controles en la eficiencia del negocio; c) los efectos de los cambios en la tecnologa.

    14

  • Esquema 1 IRAM-ISO IEC 17799:2002

    4 ORGANIZACIN DE LA SEGURIDAD 4.1 Infraestructura de seguridad de la informacin Objetivo: Administrar la seguridad de la informacin dentro de la organizacin. Debe establecerse un marco gerencial para iniciar y controlar la implementacin de la seguridad de la informacin dentro de la organizacin. Deben establecerse adecuados foros de gestin liderados por niveles gerenciales, a fin de aprobar la poltica de seguridad de la informacin, asignar funciones de seguridad y coordinar la implementacin de la seguridad en toda la organizacin. Si resulta necesario, se debe establecer y hacer accesible dentro de la organizacin, una fuente de asesoramiento especializado en materia de seguridad de la informacin. Deben desarrollarse contactos con especialistas externos en materia de seguridad para estar al corriente de las tendencias de la in-dustria, monitorear estndares y mtodos de evaluacin y proveer puntos de enlace adecuados al afrontar incidentes de seguridad. Se debe alentar la aplicacin de un enfoque multidisciplinario de la seguridad de la in-formacin, por ej., comprometiendo la cooperacin y colaboracin de gerentes, usuarios, administradores, diseadores de aplicaciones, auditores y personal de seguridad, y expertos en reas como seguros y adminis-tracin de riesgos. 4.1.1 Foro gerencial sobre seguridad de la informacin La seguridad de la informacin es una responsabilidad de la empresa compartida por todos los miembros del equipo gerencial. Por consiguiente, debe tenerse en cuenta la creacin de un foro gerencial para garantizar que existe una clara direccin y un apoyo manifiesto de la gerencia a las iniciativas de seguridad. Este foro debe promover la seguridad dentro de la organizacin mediante un adecuado compromiso y una apropiada reasignacin de recursos. El foro podra ser parte de un cuerpo gerencial existente. Generalmente, un foro de esta ndole comprende las siguientes acciones:

    a) revisar y aprobar la poltica y las responsabilidades generales en materia de seguridad de la informacin;

    b) monitorear cambios significativos en la exposicin de los recursos de informacin frente a las amenazas ms importantes;

    c) revisar y monitorear los incidentes relativos a la seguridad; d) aprobar las principales iniciativas para incrementar la seguridad de la informacin.

    Un gerente debe ser responsable de todas las actividades relacionadas con la seguridad. 4.1.2 Coordinacin de la seguridad de la informacin En una gran organizacin, podra ser necesaria la creacin de un foro nter funcional que comprenda representantes gerenciales de sectores relevantes de la organizacin para coordinar la implementa-cin de controles de seguridad de la informacin. Normalmente, dicho foro:

    a) acuerda funciones y responsabilidades especficas relativas a seguridad de la informacin pa-ra toda la organizacin;

    b) acuerda metodologas y procesos especficos relativos a seguridad de la informacin, por ej., evaluacin de riesgos, sistema de clasificacin de seguridad;

    15

  • Esquema 1 IRAM-ISO IEC 17799:2002

    c) acuerda y brinda apoyo a las iniciativas de seguridad de la informacin de toda la organiza-cin, por ej. programa de concientizacin en materia de seguridad;

    d) garantiza que la seguridad sea parte del proceso de planificacin de la informacin; e) evala la pertinencia y coordina la implementacin de controles especficos de seguridad de

    la informacin para nuevos sistemas o servicios; f) revisa incidentes relativos a la seguridad de la informacin; g) promueve la difusin del apoyo de la empresa a la seguridad de la informacin dentro de la

    organizacin. 4.1.3 Asignacin de responsabilidades en materia de seguridad de la informacin Deben definirse claramente las responsabilidades para la proteccin de cada uno de los recursos y por la implementacin de procesos especficos de seguridad. La poltica de seguridad de la informacin (ver punto 3) debe suministrar una orientacin general acerca de la asignacin de funciones de seguridad y responsabilidades dentro la organizacin. Esto debe complementarse, cuando corresponda, con una gua ms detallada para sitios, sistemas o ser-vicios especficos. Deben definirse claramente las responsabilidades locales para cada uno de los procesos de seguridad y recursos fsicos y de informacin, como la planificacin de la continuidad de los negocios. En muchas organizaciones, se asigna a un gerente de seguridad de la informacin la responsabilidad general por el desarrollo e implementacin de la seguridad y por el soporte a la identificacin de con-troles. No obstante, la responsabilidad por la reasignacin e implementacin de controles a menudo es retenida por cada uno de los gerentes. Una prctica comn es designar a un propietario para cada recurso de informacin que adems se haga responsable de su seguridad de manera permanente. Los propietarios de los recursos de informacin pueden delegar sus responsabilidades de seguridad a cada uno de los gerentes o proveedores de servicios. No obstante, el propietario es en ltimo tr-mino responsable de la seguridad del recurso y debe estar en capacidad de determinar si las responsabilidades delegadas fueron cumplimentadas correctamente. Es esencial que se establezcan claramente las reas sobre las cuales es responsable cada gerente; en particular se debe cumplir lo siguiente.

    a) Deben identificarse y definirse claramente los diversos recursos y procesos de seguridad re-lacionados con cada uno de los sistemas.

    b) Se debe designar al gerente responsable de cada recurso o proceso de seguridad y se deben documentar los detalles de esta responsabilidad.

    c) Los niveles de autorizacin deben ser claramente definidos y documentados. 4.1.4 Proceso de autorizacin para instalaciones de procesamiento de informacin Debe establecerse un proceso de autorizacin gerencial para nuevas instalaciones de procesamiento de informacin. Debe considerarse lo siguiente.

    a) Las nuevas instalaciones deben ser adecuadamente aprobadas por la gerencia usuaria, auto-rizando su propsito y uso. La aprobacin tambin debe obtenerse del gerente responsable del mantenimiento del ambiente de seguridad del sistema de informacin local, a fin de garan-tizar que se cumplen todas las polticas y requerimientos de seguridad pertinentes.

    b) Cuando corresponda, debe verificarse el hardware y software para garantizar que son compa-tibles con los componentes de otros sistemas.

    16

  • Esquema 1 IRAM-ISO IEC 17799:2002

    Nota: Puede ser necesaria la comprobacin de categoras para ciertas conexiones. c) Deben ser autorizados el uso de las instalaciones personales de procesamiento de informa-

    cin, para el procesamiento de informacin de la empresa, y los controles necesarios. d) El uso de instalaciones personales de procesamiento de informacin en el lugar de trabajo

    puede ocasionar nuevas vulnerabilidades y en consecuencia debe ser evaluado y autorizado. Estos controles son especialmente importantes en un ambiente de red. 4.1.5 Asesoramiento especializado en materia de seguridad de la informacin Es probable que muchas organizaciones requieran asesoramiento especializado en materia de segu-ridad. Idealmente, ste debe ser provisto por un asesor interno experimentado en seguridad de la informacin. No todas las organizaciones desean emplear aun asesor especializado. En esos casos, se recomienda que se identifique a una persona determinada para coordinar los conocimientos y ex-periencias disponibles en la organizacin a fin de garantizar coherencia, y brindar ayuda para la toma de decisiones en materia de seguridad. Tambin debe tener acceso a calificados asesores externos para brindar asesoramiento especializado ms all de su propia experiencia. Los asesores en seguridad de la informacin o puntos de contacto equivalentes sern los encargados de brindar asesoramiento acerca de todos los aspectos de la seguridad de la informacin, utilizando sus propias recomendaciones o las externas. La calidad de su evaluacin de las amenazas a la seguridad y de su asesoramiento en materia de controles determinar la eficacia de la seguridad de la informacin de la organizacin. Para lograr la mxima eficacia e impacto se les debe permitir acceso directo a los niveles gerenciales de toda la organizacin. El asesor de seguridad de la informacin o cargo equivalente debe ser consultado lo ms temprana-mente posible a partir de la deteccin de un supuesto incidente o violacin de la seguridad, a fin de suministrar una fuente de conocimientos o recursos de investigacin expertos. Si bien la mayora de las investigaciones de seguridad internas se llevan a cabo bajo el control de la gerencia, el asesor de seguridad de la informacin puede ser posteriormente convocado para asesorar, liderar o dirigir la in-vestigacin. 4.1.6 Cooperacin entre organizaciones Se deben mantener adecuados contactos con autoridades policiales o de seguridad, organismos reguladores, proveedores de servicios de informacin y operadores de telecomunicaciones, a fin de garantizar que, en caso de producirse un incidente relativo a la seguridad, puedan tomarse las medidas adecuadas y obtenerse asesoramiento con prontitud. Del mismo modo, se debe tener en cuenta a los miembros de grupos de seguridad y foros de la industria. Se deben limitar los intercambios de informacin de seguridad, para garantizar que no se divulgue in-formacin confidencial, perteneciente a organizacin, entre personas no autorizadas. 4.1.7 Revisin independiente de la seguridad de la informacin El documento que fija la poltica de seguridad de la informacin (ver 3.1.1) establece la poltica y las responsabilidades por la seguridad de la informacin. Su implementacin debe ser revisada independientemente para garantizar que las prcticas de la organizacin reflejan adecuadamente la poltica, y que sta es viable y eficaz (ver 12.2.)

    17

  • Esquema 1 IRAM-ISO IEC 17799:2002

    Dicha revisin puede ser llevada a cabo por la funcin de auditora interna, por un gerente indepen-diente o una organizacin externa especializados en revisiones de esta ndole, segn estos candidatos tengan la experiencia y capacidad adecuada. 4.2 Seguridad frente al acceso por parte de terceros Objetivo: Mantener la seguridad de las instalaciones de procesamiento de informacin y de los recur-sos de informacin de la organizacin a los que acceden terceras partes. El acceso a las instalaciones de procesamiento de informacin de la organizacin por parte de terce-ros debe ser controlado. Cuando existe una necesidad de la empresa para permitir dicho acceso, debe llevarse a cabo una evaluacin de riesgos para determinar las incidencias en la seguridad y los requerimientos de control. Los controles deben ser acordados y definidos en un contrato con la tercera parte. El acceso de terceros tambin puede involucrar otros participantes. Los contratos que confieren ac-ceso a terceros deben incluir un permiso para la designacin de otros participantes capacitados y las condiciones para su acceso. Este estndar puede utilizarse como base para tales contratos y cuando se considere la tercerizacin del procesamiento de informacin. 4.2.1 Identificacin de riesgos del acceso de terceras partes 4.2.1.1 Tipos de acceso El tipo de acceso otorgado a terceras partes es de especial importancia. Por ejemplo, los riesgos de acceso a travs de una conexin de red son diferentes de los riesgos relativos al acceso fsico. Los tipos de acceso que deben tenerse en cuenta son:

    a) acceso fsico, por ej., a oficinas, salas de cmputos, armarios ; b) acceso lgico, por ej. a las bases de datos y sistemas de informacin de la organizacin.

    4.2.1.2 Razones para el acceso Puede otorgarse acceso a terceros por diversas razones. Por ejemplo, existen terceros que proveen servicios a una organizacin y no estn ubicados dentro de la misma pero se les puede otorgar ac-ceso fsico y lgico, tales como:

    a) personal de soporte de hardware y software, quienes necesitan acceso a nivel de sistema o a funciones de las aplicaciones;

    b) socios comerciales o socios con riesgos compartidos ("joint ventures"), quienes pueden inter-cambiar informacin, acceder a sistemas de informacin o compartir bases de datos.

    La informacin puede ponerse en riesgo si el acceso de terceros se produce en el marco de una in-adecuada administracin de la seguridad. Cuando existe una necesidad de negocios que involucran una conexin con un sitio externo, debe llevarse a cabo una evaluacin de riesgos para identificar los requerimientos de controles especficos. sta debe tener en cuenta el tipo de acceso requerido, el valor de la informacin, los controles empleados por la tercera parte y la incidencia de este acceso en la seguridad de la informacin de la organizacin.

    18

  • Esquema 1 IRAM-ISO IEC 17799:2002

    4.2.1.3 Contratistas in situ Las terceras partes que sean ubicadas in situ por un perodo de tiempo determinado segn contrato, tambin pueden originar debilidades en materia de seguridad. Entre los ejemplos de terceras partes in situ se enumeran los siguientes:

    a) personal de mantenimiento y soporte de hardware y software; b) limpieza, "catering", guardia de seguridad y otros servicios de soporte tercerizados; c) pasantas de estudiantes y otras designaciones contingentes de corto plazo; d) consultores.

    Es esencial determinar qu controles son necesarios para administrar el acceso de terceras partes a las instalaciones de procesamiento de informacin. En general, todos los requerimientos de seguridad que resultan de los controles internos o del acceso de terceros, deben estar reflejados en los contratos celebrados con los mismos (ver tambin 4.2.2). Por ejemplo, si existe una necesidad especfica de confidencialidad de la informacin, podran implementarse acuerdos de no-divulgacin (ver 6.1.3). No se debe otorgar a terceros acceso a la informacin ni a las instalaciones de procesamiento de la misma hasta tanto se hayan implementado los controles apropiados y se haya firmado un contrato que defina las condiciones para la conexin o el acceso. 4.2.2 Requerimientos de seguridad en contratos con terceros Las disposiciones que contemplan el acceso de terceros a las instalaciones de procesamiento de in-formacin de la organizacin deben estar basadas en un contrato formal que contenga todos los requerimientos de seguridad, o haga referencia a los mismos, a fin de asegurar el cumplimiento de las polticas y estndares (normas) de seguridad de la organizacin. El contrato debe garantizar que no surjan malentendidos entre la organizacin y el proveedor. Las organizaciones deben estar satis-fechas con las garantas de su proveedor. Se deben considerar las siguientes clusulas para su inclusin en el contrato:

    a) la poltica general de seguridad de la informacin; b) la proteccin de activos, con inclusin de:

    1) procedimientos de proteccin de los activos de la organizacin, incluyendo informa-cin y software;

    2) procedimientos para determinar si se han comprometido los activos, por ej., debido a prdida o modificacin de datos;

    3) controles para garantizar la recuperacin o destruccin de la informacin y los acti-vos al finalizar el contrato, o en un momento convenido durante la vigencia del mismo;

    4) integridad y disponibilidad; 5) restricciones a la copia y divulgacin de informacin;

    c) una descripcin de cada servicio del que podr disponerse; d) el nivel de servicio al que se aspira y los niveles de servicio que se consideran inaceptables; e) disposicin que contemple la transferencia de personal cuando corresponda; f) las respectivas obligaciones de las partes con relacin al acuerdo; g) responsabilidades con respecto a asuntos legales, por ej., legislacin referida a proteccin de

    datos, especialmente teniendo en cuenta diferentes sistemas legales nacionales si el contrato contempla la cooperacin con organizaciones de otros pases (ver tambin 12.1);

    19

  • Esquema 1 IRAM-ISO IEC 17799:2002

    h) derechos de propiedad intelectual y asignacin de derecho de propiedad intelectual (ver 12.1.2), y proteccin de trabajos realizados en colaboracin (ver tambin 6.1.3) ;

    i) acuerdos de control de accesos que contemplen: 1) los mtodos de acceso permitidos, y el control y uso de identificadores nicos como

    IDs y contraseas de usuarios; 2) un proceso de autorizacin de acceso y privilegios de usuarios; 3) un requerimiento para mantener actualizada una lista de individuos autorizados a

    utilizar los servicios que han de implementarse y sus derechos y privilegios con res-pecto a dicho uso;

    j) la definicin de criterios de desempeo comprobables, y el monitoreo y presentacin de in-formes respecto de los mismos;

    k) el derecho a monitorear, y revocar (impedir), la actividad del usuario; l) el derecho a auditar responsabilidades contractuales o a contratar a un tercero para la reali-

    zacin de dichas auditoras; m) el establecimiento de un proceso gradual para la resolucin de problemas; tambin deben

    considerarse, si corresponde, disposiciones con relacin a situaciones de contingencia; n) responsabilidades relativas a la instalacin y el mantenimiento de hardware y software; o) una clara estructura de dependencia y del proceso de elaboracin y presentacin de informes

    que contemple un acuerdo con respecto a los formatos de los mismos; p) un proceso claro y detallado de administracin de cambios; q) los controles de proteccin fsica requeridos y los mecanismos que aseguren la implementa-

    cin de los mismos; r) los mtodos y procedimientos de entrenamiento de usuarios y administradores en materia de

    seguridad; s) los controles que garanticen la proteccin contra software malicioso (ver 8.3); t) las disposiciones con respecto a elaboracin y presentacin de informes, notificacin e inves-

    tigacin de incidentes y violaciones relativos a la seguridad; u) la relacin entre proveedores y subcontratistas.

    4.3 Tercerizacin Objetivo: Mantener la seguridad de la informacin cuando la responsabilidad por el procesamiento de la misma fue delegada a otra organizacin. Los acuerdos de tercerizacin deben contemplar los riesgos, los controles de seguridad y los proce-dimientos para sistemas de informacin, redes y/o ambientes de PC (desk top environments) en el contrato entre las partes. 4.3.1 Requerimientos de seguridad en contratos de tercerizacin Los requerimientos de seguridad de una organizacin que terceriza la administracin y el control de todos sus sistemas de informacin, redes y/o ambientes de PC, o de parte de los mismos, deben ser contemplados en un contrato celebrado entre las partes. Entre otros tems, el contrato debe contemplar:

    a) cmo se cumplirn los requisitos legales, por ej., la legislacin sobre proteccin de datos; b) qu disposiciones se implementarn para garantizar que todas las partes involucradas en la

    tercerizacin, incluyendo los subcontratistas, estarn al corriente de sus responsabilidades en materia de seguridad;

    c) cmo se mantendr y comprobar la integridad y confidencialidad de los .activos de negocio de la organizacin ;

    20

  • Esquema 1 IRAM-ISO IEC 17799:2002

    d) qu controles fsicos y lgicos se utilizarn para restringir y delimitar el acceso de los usuarios autorizados a la informacin sensible de la organizacin;

    e) cmo se mantendr la disponibilidad de los servicios ante la ocurrencia de desastres; f) qu niveles de seguridad fsica se asignarn al equipamiento tercerizado; g) el derecho a la auditora.

    Asimismo, se deben tener en cuenta las clusulas enumeradas en el punto 4.2.2 como parte de este contrato. El mismo debe permitir la ampliacin de los requerimientos y procedimientos de seguridad en un plan de administracin de la seguridad a ser acordado entre las partes. Si bien los contratos de tercerizacin pueden plantear algunas cuestiones complejas en materia de seguridad, los controles incluidos en este cdigo de prctica pueden servir como punto de partida pa-ra acordar la estructura y el contenido del plan de gestin de la seguridad.

    5 CLASIFICACIN Y CONTROL DE ACTIVOS 5.1 Responsabilidad por rendicin de cuentas de los activos Objetivo: Mantener una adecuada proteccin de los activos de la organizacin. Se debe rendir cuentas por todos los recursos de informacin importantes y se debe designar un propietario para cada uno de ellos. La rendicin de cuentas por los activos ayuda a garantizar que se mantenga una adecuada protec-cin. Se deben identificar a los propietarios para todos los activos importantes y se debe asignarse la responsabilidad por el mantenimiento de los controles apropiados. La responsabilidad por la imple-mentacin de los controles puede ser delegada. En ltimo trmino, el propietario designado del activo debe rendir cuentas por el mismo. 5.1.1 Inventario de activos Los inventarios de activos ayudan a garantizar la vigencia de una proteccin eficaz de los recursos, y tambin pueden ser necesarios para otros propsitos de la empresa, como los relacionados con sa-nidad y seguridad, seguros o finanzas (administracin de recursos). El proceso de compilacin de un inventario de activos es un aspecto importante de la administracin de riesgos. Una organizacin de-be contar con la capacidad de identificar sus activos y el valor relativo e importancia de los mismos. Sobre la base de esta informacin, la organizacin puede entonces,' asignar niveles de proteccin proporcionales al valor e importancia de los activos. , Se debe elaborar y mantener un inventario de los activos importantes asociados a cada sistema de informacin. Cada activo debe ser claramente identificado y su propietario y clasificacin en cuanto a seguridad (ver 5.2) deben ser acordados y documentados, junto con la ubicacin vigente del mismo (importante cuando se emprende una recu-peracin posterior a una prdida o dao). Ejemplos de activos asociados a sistemas de informacin son los siguientes:

    a) recursos de informacin: bases de datos y archivos, documentacin de sistemas, manuales de usuario, material de capacitacin, procedimientos operativos o de soporte, planes de continui-dad, disposiciones relativas a sistemas de emergencia para la reposicin de informacin perdida ("fallback"), informacin archivada;

    21

  • Esquema 1 IRAM-ISO IEC 17799:2002

    b) recursos de software: software de aplicaciones, software de sistemas, herramientas de desa-rrollo y utilitarios;

    c) activos fsicos: equipamiento informtico (procesadores, monitores, computadoras porttiles, mdems), equipos de comunicaciones (routers, PABXs, mquinas de fax, contestadores auto-mticos), medios magnticos (cintas y discos), otros equipos tcnicos (suministro de electricidad, unidades de aire acondicionado), mobiliario, lugares de emplazamiento ;

    d) servicios: servicios informticos y de comunicaciones, utilitarios generales, por ej., calefaccin, iluminacin, energa elctrica, aire acondicionado.

    5.2 Clasificacin de la informacin Objetivo: Garantizar que los recursos de informacin reciban un apropiado nivel de proteccin. La informacin debe ser clasificada para sealar la necesidad, la prioridades y el grado de protec-cin. La informacin tiene diversos grados de sensibilidad y criticidad. Algunos tems pueden requerir un nivel de proteccin adicional o un tratamiento especial. Se debe utilizar un sistema de clasificacin de la informacin para definir un conjunto apropiado de niveles de proteccin y comunicar la necesidad de medidas de tratamiento especial. 5.2.1 Pautas de clasificacin Las clasificaciones y controles de proteccin asociados de la informacin, deben tomar cuenta de las necesidades de la empresa con respecto a la distribucin (uso compartido) o restriccin de la informacin, y de la incidencia de dichas necesidades en las actividades de la organizacin, por ej. acceso no autorizado o dao ala informacin. En general, la clasificacin asignada a la informacin es una forma sencilla de sealar cmo ha de ser tratada y protegida. La informacin y las salidas de los sistemas que administran datos clasificados deben ser rotuladas segn su valor y grado de sensibilidad para la organizacin. Asimismo, podra resultar conveniente rotular la informacin segn su grado de criticidad, por ej. en trminos de integridad y disponibilidad. Frecuentemente, la informacin deja de ser sensible o crtica despus de un cierto perodo de tiempo, verbigracia, cuando la informacin se ha hecho pblica. Estos aspectos deben tenerse en cuenta, puesto que la clasificacin por exceso ("over- classification") puede traducirse en gastos adicionales innecesarios para la organizacin. Las pautas de clasificacin deben prever y contemplar el hecho de que la clasificacin de un tem de informacin determinado no necesariamente, debe mantenerse invariable por siempre, y que sta puede cambiar de acuerdo con una poltica predeterminada (ver 9.1). Se debe considerar el nmero de categoras de clasificacin y los beneficios que se obtendrn con su uso. Los esquemas demasiado complejos pueden tornarse engorrosos y antieconmicos o resultar poco prcticos. Deben interpretarse cuidadosamente los rtulos de clasificacin de los documentos de otras organizaciones que podran tener distintas definiciones para rtulos iguales o similares. La responsabilidad por la definicin de la clasificacin de un tem de informacin, por ej., un docu-mento, registro de datos, archivo de datos o disquete, y por la revisin peridica de dicha clasificacin, debe ser asignada al creador o propietario designado de la informacin. 5.2.2 Rotulado y manejo de la informacin Es importante que se defina un conjunto de procedimientos adecuados para el rotulado y manejo de la informacin, segn el esquema de clasificacin adoptado por la organizacin. Estos procedimien-tos deben incluir los recursos de informacin en formatos fsicos y electrnicos. Para cada

    22

  • Esquema 1 IRAM-ISO IEC 17799:2002

    clasificacin, se deben definir procedimientos de manejo que incluyan los siguientes tipos de activi-dades de procesamiento de la informacin:

    a) copia; b) almacenamiento; c) transmisin por correo, fax y correo electrnico; d) transmisin oral, incluyendo telefona mvil, correo de voz, contestadores automticos;

    6 SEGURIDAD DEL PERSONAL 6.1 Seguridad en la definicin de puestos de trabajo y la asignacin de recursos Objetivo : Reducir los riesgos de error humano, robo, fraude o uso inadecuado de instalaciones. Las responsabilidades en materia de seguridad deben ser explicitadas en la etapa de reclutamiento, incluidas en los contratos y monitoreadas durante el desempeo del individuo como empleado. Los candidatos a ocupar los puestos de trabajo deben ser adecuadamente seleccionados (ver 6.1.2), especialmente si se trata de tareas crticas. Todos los empleados y usuarios externos de las instala-ciones de procesamiento de informacin deben firmar un acuerdo de confidencialidad (no revelacin). 6.1.1 Inclusin de la seguridad en las responsabilidades de los puestos de trabajo Las funciones y responsabilidades en materia de seguridad, segn consta en la poltica de seguridad de la informacin de la organizacin (ver 3.1), deben ser documentadas segn corresponda. stas deben incluir las responsabilidades generales por la implementacin o el mantenimiento de la poltica de seguridad, as como las responsabilidades especficas por la proteccin de cada uno de los acti-vos, o por la ejecucin de procesos o actividades de seguridad especficos. 6.1.2 Seleccin y poltica de personal Se deben llevar a cabo controles de verificacin del personal permanente en el momento en que se solicita el puesto. stos deben incluir los siguientes:

    a) disponibilidad de certificados de buena conducta satisfactorios, por ej. uno laboral y uno per-sonal

    b) una comprobacin (de integridad y veracidad) del curriculum vitae del aspirante c) constatacin de las aptitudes acadmicas y profesionales alegadas d) verificacin de la identidad (pasaporte o documento similar).

    Cuando un puesto, por asignacin inicial o por promocin, involucra a una persona que tiene acceso a las instalaciones de procesamiento de informacin, y en particular si stas manejan informacin sensible, por ej. informacin financiera o altamente confidencial, la organizacin tambin debe llevar a cabo una verificacin de crdito. En el caso del personal con posiciones de jerarqua considerable, esta verificacin debe repetirse peridicamente. Un proceso de seleccin similar debe llevarse a cabo con contratistas y personal temporario. Cuan-do ste es provisto a travs de una agencia, el contrato celebrado con la misma debe especificar claramente las responsabilidades de la agencia por la seleccin y los procedimientos de notificacin que sta debe seguir si la seleccin no ha sido efectuada o si los resultados originan dudas o inquie-tudes.

    23

  • Esquema 1 IRAM-ISO IEC 17799:2002

    La gerencia debe evaluar la supervisin requerida para personal nuevo e inexperto con autorizacin para acceder a sistemas sensibles. El trabajo de todo el personal debe estar sujeto a revisin peri-dica y a procedimientos de aprobacin por parte de un miembro del personal con mayor jerarqua. Los gerentes deben estar al corriente de que las circunstancias personales de sus empleados pue-den afectar su trabajo. Los problemas personales o financieros, los cambios en su conducta o estilo de vida, las ausencias recurrentes y la evidencia de stress o depresin pueden conducir a fraudes, robos, errores u otras implicaciones que afecten la seguridad. Esta informacin debe manejarse de acuerdo con la legislacin pertinente que rija en la jurisdiccin del caso. 6.1.3 Acuerdos de confidencialidad Los acuerdos de confidencialidad o no divulgacin se utilizan para resear que la informacin es con-fidencial o secreta. Los empleados deben firmar habitualmente un acuerdo de esta ndole como parte de sus trminos y condiciones iniciales de empleo. El personal ocasional y los usuarios externos an no contemplados en un contrato formalizado (que contenga el acuerdo de confidencialidad) debern firmar el acuerdo mencionado antes de que se les otorgue acceso a las instalaciones de procesamiento de informacin. Los acuerdos de confidencialidad deben ser revisados cuando se producen cambios en los trminos y condiciones de empleo o del contrato, en particular cuando el empleado est prximo a desvincu-larse de la organizacin o el plazo del contrato est por finalizar. 6.1.4 Trminos y condiciones de empleo Los trminos y condiciones de empleo deben establecer la responsabilidad del empleado por la se-guridad de la informacin. Cuando corresponda, estas responsabilidades deben continuar por un perodo definido una vez finalizada la relacin laboral. Se deben especificar las acciones que se em-prendern si el empleado hace caso omiso de los requerimientos de seguridad. Las responsabilidades y derechos legales del empleado, por ej. en relacin con las leyes de derecho de propiedad intelectual o la legislacin de proteccin de datos, deben ser clarificados e incluidos en los trminos y condiciones de empleo. Tambin se debe incluir la responsabilidad por la clasificacin y administracin de los datos del em-pleador. Cuando corresponda, los trminos y condiciones de empleo deben establecer que estas responsabilidades se extienden ms all de los lmites de la sede de la organizacin y del horario normal de trabajo, por ej. cuando el empleado desempea tareas en su domicilio (ver tambin 7.2.5 y 9.8.1). 6.2 Capacitacin del usuario Objetivo : Garantizar que los usuarios estn al corriente de las amenazas e incumbencias en materia de seguridad de la informacin, y estn capacitados para respaldar la poltica de seguridad de la organizacin en el transcurso de sus tareas normales. Los usuarios deben ser capacitados en relacin con los procedimientos de seguridad y el correcto uso de las instalaciones de procesamiento de informacin, a fin de minimizar eventuales riesgos de seguridad.

    24

  • Esquema 1 IRAM-ISO IEC 17799:2002

    6.2.1 Formacin y capacitacin en materia de seguridad de la informacin Todos los empleados de la organizacin y, cuando sea pertinente, los usuarios externos, deben reci-bir una adecuada capacitacin y actualizaciones peridicas en materia de polticas y procedimientos de la organizacin. Esto comprende los requerimientos de seguridad, las responsabilidades legales y controles del negocio, as como la capacitacin referida al uso correcto de las instalaciones de pro-cesamiento de informacin, por ej. el procedimiento de entrada al sistema ("log-on") y el uso de paquetes de software, antes de que se les otorgue acceso a la informacin o a los servicios. 6.3 Respuesta a incidentes y anomalas en materia de seguridad Objetivo : Minimizar el dao producido por incidentes y anomalas en materia de seguridad, y monito-rear dichos incidentes y aprender de los mismos. Los incidentes que afectan la seguridad deben ser comunicados mediante canales gerenciales ade-cuados tan pronto como sea posible. Se debe concientizar a todos los empleados y contratistas acerca de los procedimientos de comunicacin de los diferentes tipos de incidentes (violaciones, amenazas, debilidades o anomalas en materia de seguridad) que podran producir un impacto en la seguridad de los activos de la organizacin. Se debe requerir que los mismos comuniquen cualquier incidente advertido o supuesto al punto de contacto designado tan pronto como sea posible. La organizacin debe establecer un proceso disciplinario formal para ocuparse de los empleados que perpetren violaciones de la seguridad. Para lograr abordar debidamente los incidentes podra ser necesario recolectar evidencia tan pronto como sea posible una vez ocurrido el hecho (ver 12.1.7). 6.3.1 Comunicacin de incidentes relativos a la seguridad Los incidentes relativos a la seguridad deben comunicarse a travs de canales gerenciales apropia-dos tan pronto como sea posible. Se debe establecer un procedimiento formal de comunicacin, junto con un procedimiento de res-puesta a incidentes, que establezca la accin que ha de emprenderse al recibir un informe sobre incidentes. Todos los empleados y contratistas deben estar al corriente del procedimiento de comu-nicacin de incidentes de seguridad, y deben informar de los mismos tan pronto como sea posible. Debern implementarse adecuados procesos de "feedback" para garantizar que las personas que comunican los incidentes sean notificadas de los resultados una vez tratados y resueltos los mismos. Estos incidentes pueden ser utilizados durante la capacitacin a fin de crear conciencia de seguridad en el usuario (ver 6.2) como ejemplos de lo que puede ocurrir, de cmo responder a dichos inciden-tes y de cmo evitarlos en el futuro (ver tambin 12.1.7). 6.3.2 Comunicacin de debilidades en materia de seguridad Los usuarios de servicios de informacin deben advertir, registrar y comunicar las debilidades o amenazas supuestas u observadas en materia de seguridad, con relacin a los sistemas o servicios. Debern comunicar estos asuntos a su gerencia, o directamente a su proveedor de servicios, tan pronto como sea posible. Se debe informar a los usuarios que ellos no deben, bajo ninguna circunstancia, intentar probar una supuesta debilidad. Esto se lleva a cabo para su propia proteccin, debido a que el intentar probar debilidades puede ser interpretado como un potencial mal manejo del sistema.

    25

  • Esquema 1 IRAM-ISO IEC 17799:2002

    6.3.3 Comunicacin de anomalas del software Se deben establecer procedimientos para la comunicacin de anomalas del software. Se deben considerar las siguientes acciones:

    a) Deben advertirse y registrarse los sntomas del problema y los mensajes que aparecen en pantalla.

    b) La computadora debe ser aislada, si es posible, y debe detenerse el uso de la misma. Se de-be alertar de inmediato a la persona pertinente (contacto). Si se ha de examinar el equipo, ste debe ser desconectado de las redes de la organizacin antes de ser activado nuevamen-te. Los disquetes no deben transferirse a otras computadoras.

    c) El asunto debe ser comunicado inmediatamente al gerente de seguridad de la informacin. Los usuarios no deben quitar el software que supuestamente tiene una anomala, a menos que estn autorizados a hacerlo. La recuperacin debe ser realizada por personal adecuadamente capacitado y experimentado. 6.3.4 Aprendiendo de los incidentes Debe haberse implementado mecanismos que permitan cuantificar y monitorear los tipos, volmenes y costos de los incidentes y anomalas. Esta informacin debe utilizarse para identificar incidentes o anomalas recurrentes o de alto impacto. Esto puede sealar la necesidad de mejorar o agregar con-troles para limitar la frecuencia, dao y costo de casos futuros, o de tomarlos en cuenta en el proceso de revisin de la poltica de seguridad (ver 3.1.2). 6.3.5 Proceso disciplinario Debe existir un proceso disciplinario formal para los empleados que violen las polticas y procedi-mientos de seguridad de la organizacin (ver 6.1.4 y para el tpico retencin de evidencia, ver 12.1.7). Dicho proceso puede servir de factor disuasivo de los empleados que, de no mediar el mis-mo, podran ser proclives a pasar por alto los procedimientos de seguridad. Asimismo, este proceso debe garantizar un trato imparcial y correcto hacia los empleados sospecho-sos de haber cometido violaciones graves o persistentes a la seguridad.

    7 SEGURIDAD FSICA Y AMBIENTAL 7.1 reas seguras Objetivo: Impedir accesos no autorizados, daos e interferencia a las sedes e informacin de la em-presa. Las instalaciones de procesamiento de informacin crtica o sensible de la empresa deben estar ubi-cadas en reas protegidas y resguardadas por un permetro de seguridad definido, con vallas de seguridad y controles de acceso apropiados. Deben estar fsicamente protegidas contra accesos no autorizados, daos e intrusiones. La proteccin provista debe ser proporcional a los riesgos identificados. Se recomienda la implemen-tacin polticas de escritorios y pantallas limpios para reducir el riesgo de acceso no autorizado o de dao a papeles, medios de almacenamiento e instalaciones de procesamiento de informacin.

    26

  • Esquema 1 IRAM-ISO IEC 17799:2002

    7.1.1 Permetro de seguridad fsica La proteccin fsica puede llevarse a cabo mediante la creacin de diversas barreras fsicas alrede-dor de las sedes de la organizacin y de las instalaciones de procesamiento de informacin. Cada barrera establece un permetro de seguridad, cada uno de los cuales incrementa la proteccin total provista. Las organizaciones deben utilizar permetros de seguridad para proteger las reas que contienen ins-talaciones de procesamiento de informacin (ver 7.1.3). Un permetro de seguridad es algo delimitado por una barrera, por ej. una pared, una puerta de acceso controlado por tarjeta o un escri-torio u oficina de recepcin atendidos por personas. El emplazamiento y la fortaleza de cada barrera dependern de los resultados de una evaluacin de riesgos. Se deben considerar e implementar los siguientes lineamientos y controles, segn corresponda.

    a) El permetro de seguridad debe estar claramente definido. b) El permetro de un edificio o rea que contenga instalaciones de procesamiento de informa-

    cin debe ser fsicamente slido (por ej. no deben existir claros [o aberturas] en el permetro o reas donde pueda producirse fcilmente una irrupcin). Las paredes externas del rea de-ben ser de construccin slida y todas las puertas que comunican con el exterior deben ser adecuadamente protegidas contra accesos no autorizados, por ej., mediante mecanismos de control, vallas, alarmas, cerraduras, etc.

    c) Debe existir un rea de recepcin atendida por personal u otros medios de control de acceso fsico al rea o edificio. El acceso a las distintas reas y edificios debe estar restringido ex-clusivamente al personal autorizado.

    d) Las barreras fsicas deben, si es necesario, extenderse desde el piso (real) hasta el techo (re-al), a fin de impedir el ingreso no autorizado y la contaminacin ambiental, por ejemplo, la ocasionada por incendio e inundacin.

    e) Todas las puertas de incendio de un permetro de seguridad deben tener alarma y cerrarse automticamente.

    7.1.2 Controles de acceso fsico Las reas protegidas deben ser resguardadas por adecuados controles de acceso que permitan ga-rantizar que slo se permite el acceso de personal autorizado. Deben tenerse en cuenta los siguientes controles:

    a) Los visitantes de reas protegidas deben ser supervisados o inspeccionados y la fecha y ho-rario de su ingreso y egreso deben ser registrados. Slo se debe permitir el acceso a los mismos con propsitos especficos y autorizados, instruyndose en dicho momento al visitan-te sobre los requerimientos de seguridad del rea y los procedimientos de emergencia.

    b) El acceso a la informacin sensible, y a las instalaciones de procesamiento de informacin, debe ser controlado y limitado exclusivamente a las personas autorizadas. Se deben utilizar controles de autenticacin, por ej. tarjeta y nmero de identificacin personal (PIN), para auto-rizar y validar todos los accesos. Debe mantenerse una pista protegida que permita auditar todos los accesos.

    c) Se debe requerir que todo el personal exhiba alguna forma de identificacin visible y se lo de-be alentar a cuestionar la presencia de desconocidos no escoltados y a cualquier persona que no exhiba una identificacin visible.

    d) Se deben revisar y actualizar peridicamente los derechos de acceso a las reas protegidas.

    27

  • Esquema 1 IRAM-ISO IEC 17799:2002

    7.1.3 Proteccin de oficinas, recintos e instalaciones Un rea protegida puede ser una oficina cerrada con llave, o diversos recintos dentro de un permetro de seguridad fsica, el cual puede estar bloqueado y contener cajas fuertes o gabinetes con cerradu-ras. Para la seleccin y el diseo de un rea protegida debe tenerse en cuenta la posibilidad de dao producido por incendio, inundacin, explosin, agitacin civil, y otras formas de desastres naturales o provocados por el hombre. Tambin deben tomarse en cuenta las disposiciones y normas (estnda-res) en materia de sanidad y seguridad. Asimismo, se debern considerar las amenazas a la seguridad que representan los edificios y zonas aledaas, por ej. filtracin de agua desde otras reas. Se deben considerar los siguientes controles

    a) Las instalaciones clave deben ubicarse en lugares a los cuales no pueda acceder el pblico. b) Los edificios deben ser discretos y ofrecer un sealamiento mnimo de su propsito, sin sig-

    nos obvios, exteriores o interiores, que identifiquen la presencia de actividades de procesamiento de informacin.

    c) Las funciones y el equipamiento de soporte, por ej. fotocopiadoras, mquinas de fax, deben estar ubicados adecuadamente dentro del rea protegida para evitar solicitudes de acceso, el cual podra comprometer la informacin.

    d) Las puertas y ventanas deben estar bloqueadas cuando no hay vigilancia y debe considerar-se la posibilidad de agregar proteccin externa a las ventanas, en particular las que se encuentran al nivel del suelo.

    e) Se deben implementar adecuados sistemas de deteccin de intrusos. Los mismos deben ser instalados segn estndares profesionales y probados peridicamente. Estos sistemas com-prendern todas las puertas exteriores y ventanas accesibles. Las reas vacas deben tener alarmas activadas en todo momento. Tambin deben protegerse otras reas, como la sala de cmputos o las salas de comunicaciones.

    f) Las instalaciones de procesamiento de informacin administradas por la organizacin deben estar fsicamente separadas de aquellas administradas por terceros.

    g) Los guas telefnicas y listados de telfonos internos que identifican las ubicaciones de las instalaciones de procesamiento de informacin sensible no deben ser fcilmente accesibles al pblico.

    h) Los materiales peligrosos o combustibles deben ser almacenados en lugares seguros a una distancia prudencial del rea protegida. Los suministros a granel, como los tiles de escrito-rio, no deben ser almacenados en el rea protegida hasta que sean requeridos.

    i) El equipamiento de sistemas de soporte UPC (Usage Parameter Control) de reposicin de in-formacin perdida ("fallback") y los medios informticos de resguardo deben estar situados a una distancia prudencial para evitar daos ocasionados por eventuales desastres en el sitio principal.

    7.1.4 Desarrollo de tareas en reas protegidas Para incrementar la seguridad de un rea protegida pueden requerirse controles y lineamientos adi-cionales. Esto incluye controles para el personal o terceras partes que trabajan en el rea protegida, as como para las actividades de terceros que tengan lugar all. Se debern tener en cuenta los si-guientes puntos:

    a) El personal slo debe tener conocimiento de la existencia de un rea protegida, o de las acti-vidades que se llevan a cabo dentro de la misma, segn el criterio de necesidad de conocer.

    b) Se debe evitar el trabajo no controlado en las reas protegidas tanto por razones de seguri-dad como para evitar la posibilidad de que se lleven a cabo actividades maliciosas.

    28

  • Esquema 1 IRAM-ISO IEC 17799:2002

    c) Las reas protegidas desocupadas deben ser fsicamente bloqueadas y peridicamente ins-peccionadas.

    d) El personal del servicio de soporte externo debe tener acceso limitado a las reas protegidas o a las instalaciones de procesamiento de informacin sensible. Este acceso debe ser otor-gado solamente cuando sea necesario y debe ser autorizado y monitoreado. Pueden requerirse barreras y permetros adicionales para controlar el acceso fsico entre reas con di-ferentes requerimientos de seguridad, y que estn ubicadas dentro del mismo permetro de seguridad.

    e) A menos que se autorice expresamente, no debe permitirse el ingreso de equipos fotogrfi-cos, de vdeo, audio u otro tipo de equipamiento que registre informacin.

    7.1.5 Aislamiento de las reas de entrega y carga Las reas de entrega y carga deben ser controladas y, si es posible, estar aisladas de las instalacio-nes de procesamiento de informacin, a fin de impedir accesos no autorizados. Los requerimientos de seguridad de dichas reas deben ser determinados mediante una evaluacin de riesgos. Se de-ben tener en cuenta los siguientes lineamientos:

    a) El acceso a las reas de depsito, desde el exterior de la sede de la organizacin, debe estar limitado a personal que sea previamente identificado y autorizado.

    b) El rea de depsito debe ser diseada de manera tal que los suministros puedan ser descar-gados sin que el personal que realiza la entrega acceda a otros sectores del edificio.

    c) Todas las puertas exteriores de un rea de depsito deben ser aseguradas cuando se abre la puerta interna.

    d) El material entrante debe ser inspeccionado para descartar peligros potenciales (ver 7.2.l d) antes de ser trasladado desde el rea de depsito hasta el lugar de uso.

    e) El material entrante debe ser registrado, si corresponde (ver 5.1), al ingresar al sitio pertinen-te.

    7.2 Seguridad del equipamiento Objetivo: Impedir prdidas, daos o exposiciones al riesgo de los activos e interrupcin de las activi-dades de la empresa. El equipamiento debe estar fsicamente protegido de las amenazas a la seguridad y los peligros del entorno Es necesaria la proteccin del equipamiento (incluyendo el que se utiliza en forma externa) para re-ducir el riesgo de acceso no autorizado a los datos y para prevenir prdidas o daos. Esto tambin debe tener en cuenta la ubicacin y disposicin equipamiento. Pueden requerirse controles especia-les para prevenir peligros o accesos no autorizados, y para proteger instalaciones de soporte, como la infraestructura de cableado y suministro de energa elctrica. 7.2.1 Ubicacin y proteccin del equipamiento El equipamiento debe ser ubicado o protegido de tal manera que se reduzcan los riesgos ocasiona-dos por amenazas y peligros ambientales, y oportunidades de acceso no autorizado. Se deben tener en cuenta los siguientes puntos:

    a) El equipamiento debe ser ubicado en un sitio que permita minimizar el acceso innecesario a las reas de trabajo.

    b) Las instalaciones de procesamiento y almacenamiento de informacin, que manejan datos sensibles, deben ubicarse en un sitio que permita reducir el riesgo de falta de supervisin de las mismas durante su uso.

    29

  • Esquema 1 IRAM-ISO IEC 17799:2002

    c) Los tems que requieren proteccin especial deben ser aislados para reducir el nivel general de proteccin requerida.

    d) Se deben adoptar controles para minimizar el riesgo de amenazas potenciales, por ej. 1) robo 2) incendio 3) explosivos 4) humo; 5) agua (o falta de suministro) 6) polvo 7) vibraciones 8) efectos qumicos 9) interferencia en el suministro de energa elctrica. 10) radiacin electromagntica.

    e) La organizacin debe analizar su poltica respecto de comer, beber y fumar cerca de las insta-

    laciones de procesamiento de informacin. f) Se deben monitorear las condiciones ambientales para verificar que las mismas no afecten de

    manera adversa el funcionamiento de las instalaciones de procesamiento de la informacin. g) Se debe tener en cuenta el uso de mtodos de proteccin especial, como las membranas de

    teclado, para los equipos ubicados en ambientes industriales. h) Se debe considerar el impacto de un eventual desastre que tenga lugar en zonas prximas a

    la sede de la organizacin, por ej. un incendio en un edificio cercano, la filtracin de agua desde el cielo raso o en pisos por debajo del nivel del suelo o una explosin en la calle.

    7.2.2 Suministros de energa El equipamiento debe estar protegido con respecto a las posibles fallas en el suministro de energa u otras anomalas elctricas. Se debe contar con un adecuado suministro de energa que est de acuerdo con las especificaciones del fabricante o proveedor de los equipos. Entre las alternativas pa-ra asegurar la continuidad del suministro de energa podemos enumerar las siguientes:

    a) mltiples bocas de suministro para evitar un nico punto de falla en el suministro de energa b) suministro de energa ininterrumpible (UPS) c) generador de respaldo.

    Se recomienda una UPS para asegurar el apagado regulado y sistemtico o la ejecucin continua del equipamiento que sustenta las operaciones crticas de la organizacin. Los planes de contingencia deben contemplar las acciones que han de emprenderse ante una falla de la UPS. Los equipos de UPS deben inspeccionarse peridicamente para asegurar que tienen la capacidad requerida y se de-ben probar de conformidad con las recomendaciones del fabricante o proveedor. Se debe tener en cuenta el empleo de un generador de respaldo si el pr