SEGURIDAD DE LA INFORMACIÓN Introducción a las Normas de Seguridad ISO/IEC 27001:2005 ISO/IEC...

SEGURIDAD DE LA INFORMACIÓN

Introducción a las Normas de SeguridadISO/IEC 27001:2005ISO/IEC 27002:2005

Área de Seguridad de la Información / DINAFI

Contenido

• Información General sobre Estándares

• Estándares de Seguridad de la Información aplicables al MH:ISO/IEC 27001ISO/IEC 27002

Qué es estándar?• En administración, significa un modelo que se sigue para realizar un proceso o una

guía que se sigue para no desviarse de un lugar la que se desea llegar.

Qué es norma?

• Es una especificación técnica u otro documento a disposición del público elaborado con la colaboración y el consenso o aprobación general de todas las partes interesadas, basada en resultados consolidados de la ciencia, tecnología y experiencia dirigida a promover beneficios para la comunidad y aprobada por un organismo reconocido a nivel nacional, regional o internacional.

Qué son estándares internacionales?• Son producto de diferentes organizaciones, algunas para uso interno, otras para

uso por grupos de gente, grupos de compañías, o una subsección de una industria.

Tipos de estándar ISO• ISO 27000: En fase de desarrollo. Contendrá términos y definiciones que se emplean en toda la

serie 27000. La aplicación de cualquier estándar necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos técnicos y de gestión.

• ISO 27001: Es la norma principal de requerimientos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual serán certificados por auditores externos los SGSI de las organizaciones. Fue publicada el 15 de Octubre de 2005 y sustituye a la BS 7799-2, habiéndose establecido unas condiciones de transición para aquellas empresas certificadas en esta última. En su Anexo A, lista en forma de resumen los objetivos de control y controles que desarrolla la ISO17799:2005 (futura ISO 27002), para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementación de todos los controles enumerados en esta última, la organización deberá argumentar sólidamente la no aplicabilidad de los controles no implementados.

• ISO 27002 (ISO 17799): Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. Como se ha mencionado en su apartado correspondiente, la norma ISO 27001 contiene un anexo que resume los controles de ISO 17799:2005.

Tipos de estándar ISO• ISO 27003: En fase de desarrollo; probable publicación en Octubre de 2008. Contendrá una guía de

implementación de SGSI e información acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS7799-2 y en la serie de documentos publicados por BSI a lo largo de los años con recomendaciones y guías de implantación.

• ISO 27004: En fase de desarrollo; probable publicación en Noviembre de 2006. Especificará las métricas y las técnicas de medida aplicables para determinar la eficiencia y efectividad de la implantación de un SGSI y de los controles relacionados. Estas métricas se usan fundamentalmente para la medición de los componentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA.

• ISO 27005: Publicada en Junio 2008. Consiste en una guía para la gestión del riesgo de la seguridad de la información y sirve, por tanto, de apoyo a la ISO 27001 y a la implantación de un SGSI. Se basa en la BS7799-3 (publicada en Marzo de 2006), y sustituye a la ISO 13335-3 e ISO 13335-4.

• ISO 27006: Publicada en Febrero 2007. Especifica el proceso de acreditación de entidades de certificación y el registro de SGSIs.

ISO/IEC 27001:2005

• Proporciona una vista general del marco normativo y un vocabulario utilizado por las normas de la serie.

OBJETIVO:• Definir cómo tiene que ser un SGSI.

ISO/IEC 27001:2005

• la ISO 27001 se refiere a los controles de forma residual. Su objetivo queda reducido a un listado de objetivos de control y controles incluidos en un anexo.

• lo que importa en esta norma es la gestión de la seguridad, en forma de SISTEMA DE GESTIÓN.

ISO/IEC 27001:2005

• Lo esencial en la ISO 27001 es que los riesgos se analicen y se gestionen, que la seguridad se planifique, se implemente y, sobre todo, se revise y se corrija y mejore.

ISO 27001 : 2005Controles de la

Norma

1. Alcance

2. Referencia Normativas

3. Términos y Definiciones

4. Sistema de Gestión de Seguridad de Información

5. Responsabilidad de la Gerencia

6. Auditorias internas del SGSI

7. Revisión Gerencial del SGSI

8. Mejoramiento del SGSI

ISO/IEC 27002:2005

• Guía de buenas prácticas.

OBJETIVO:• Describe los objetivos de control y controles

recomendables en cuanto a seguridad de la información.

ISO 27002 : 2005Controles de la

Norma

A.5 Política de seguridad

A.6 Organización de la seguridad de la información

A.7 Gestión de Activos

A.8 Gestión de los Recursos Humanos

A.9 Seguridad Física y Ambiental

A.10 Gestión de las Comunicaciones y Operaciones

A.11 Control de Acceso

A.12Adquisición, Desarrollo y Mantenimiento de los sistemas de información

A.13 Gestión de incidentes en la seguridad de la información

A.14 Gestión de la Continuidad comercial

A.15 Cumplimiento

A. 5 POLITICA DE SEGURIDAD

A.5.1 POLITICA DE SEGURIDAD DE INFORMACION

A.5 POLITICA DE SEGURIDAD DE LA INFORMACION

Objetivo: Proporcionar dirección gerencial y apoyo de la información en concordancia con los requerimientos comerciales, leyes y regulaciones

relevantes.

dominio especificación control

A.5.1.1Documentar política de seguridad de la

información

La gerencia debe probar un documento de política, este se debe publicar y comunicar a todos los empleados y entidades externas relevantes

A.5.1.2Revisión de la

política de seguridad de la información

La política de seguridad de la información debe ser revisada regularmente a intervalos planeados o si

ocurren cambios significativos para asegurar la continua idoneidad, eficiencia y efectividad.

A. 6 ORGANIZACIÓN DE LA SEGURIDAD DE

LA INFORMACION

A.6.1 ORGANIZACIÓN INTERNA

A.6.2 GRUPOS O PERSONAS EXTERNAS

A.6.1 Organización interna

Objetivo: Manejar la seguridad de la información dentro de la organización.


A.6.1.1Compromiso de la

gerencia con la Seguridad de la

Información

La gerencia debe apoyar activamente la seguridad dentro de la organización a través de una dirección

clara, compromiso demostrando

A.6.1.2Coordinación de la

seguridad de la información

Las actividades de seguridad de la informacióndeben ser coordinadas por representantes de lasdiferentes partes de la organización con lasfunciones y roles laborales relevantes.

A.6.1.3Asignación de las responsabilidades

de la seguridad de la información

Se deben definir claramente las responsabilidadesde la seguridad de la información.


A.6.1.4

Proceso de autorización para

los medios procesamiento de

información

Se debe definir e implementar un proceso deautorización gerencial para los nuevos medios deprocesamiento de información

A.6.1.5 Acuerdos de Confidencialidad

Se deben identificar y revisar regularmente losrequerimientos de confidencialidad o los acuerdosde no-divulgación reflejando las necesidades dela organización para la protección de lainformación.

A.6.1.6 Contacto con las autoridades

Se debe mantener los contactos apropiados con lasautoridades relevantes.

A.6.1.7 Contacto con grupos de interés especial

Se deben mantener contactos apropiados con losgrupos de interés especial u otros foros deseguridad especializados y asociacionesprofesionales.

A.6.1.8Revisión

independiente de la seguridad de la

información

El enfoque de la organización para manejar la seguridad de la información y su implementación (es decir; objetivos de control, controles, políticas, procesos y procedimientos para la seguridad de la información) se debe revisar Independiente mente a intervalos planeados, o cuando ocurran cambios significativos para laimplementación de la seguridad.

A.6.1 Organización interna

A.6.2 Grupos o personas externas

Objetivo: Mantener la seguridad de la información de la organización y los medios de procesamiento de información de los cuales entidades externas tienen acceso y procesan; o son comunicados o m manejados por entidades externas.


A.6.2.1Identificación de los riesgos relacionados

con los grupos externos

Se deben identificar los riesgos que corren lainformación y los medios de procesamiento deinformación de la organización y se debenimplementar los controles apropiados antes deotorgar acceso.

A.6.2.2Tratamiento de la

seguridad cuando se trabaja con clientes

Se deben tratar todos los requerimientos deseguridad identificados antes de otorgar a losclientes acceso a la información o activos de laorganización.

A.6.2.3Tratamiento de la

seguridad en contratos con

terceros

Los acuerdos que involucran acceso, procesamiento, comunicación o manejo por parte de terceras personas a la información o los medios de procesamiento de información de la organización; agregar productos o servicios a los medios de procesamiento de la información deben abarcar los requerimientos de seguridad necesarios relevantes.

A. 7 GESTION DE ACTIVOS

A.7.1 Responsabilidad por activos

A.7.2 Clasificación de la información

A.7.1 Responsabilidad por los activos

Objetivo: Lograr y mantener la protección apropiada de los activos organizacionales


A.7.1.1 Inventario de los activos

Todos los activos deben estar claramenteidentificados; y se debe elaborar y mantener uninventario de todos los activos importantes.

A.7.1.2 Propiedad de los activos

Toda la información y los activos asociados conlos medios de procesamiento de la informacióndeben ser “propiedad” de una parte designada de aorganización.

A.7.1.3 Uso aceptable de los activos

Se deben identificar, documentar e implementar lasreglas para el uso aceptable de la información ylos activos asociados con los medios deprocesamiento de la información.

A.7.2 Clasificación de la información

Objetivo: Asegurar que la información reciba un nivel de protección apropiado.


A.7.2.1 Lineamientos de clasificación

La información debe ser clasificada en términos desu valor, requerimientos legales, confidencialidady grado crítico para la organización.

A.7.2.2 Etiquetado y manejo de la información

Se debe desarrollar e implementar un apropiadoconjunto de procedimientos para etiquetar ymanejar la información en concordancia con elesquema de clasificación adoptado por laorganización.

A. 8 SEGURIDAD DE LOS RECUROS

HUMANOS

A.8.1 Antes del empleo

A.8.2 Durante el empleo

A.8.3 Terminación o

cambio de empleo


HUMANOS


A.8.3 Terminación o cambio de empleo

A.8.1 Antes del empleo

Objetivo: Asegurar que los empleados, contratistas y terceros entiendan sus responsabilidades, y sean adecuados para los roles para los cuales se le considera; y reducir el riesgo de robo, fraude o mal uso de los medios.


A.8.1.1 Roles y responsabilidades

Se deben definir y documentar los roles yresponsabilidades de seguridad de los empleados,contratistas y terceros en concordancia con lapolítica de la seguridad de información de laorganización.

A.8.1.2 Investigación de antecedentes

Se deben llevar a cabo chequeos de verificación de antecedentes de todos los candidatos a empleados, contratistas y terceros en concordancia con las leyes, regulaciones y ética relevante, y deben ser proporcionales a los requerimientos comerciales, la clasificación de la información a la cual se va a tener acceso ylos riesgos percibidos

A.8.1.3Términos y

condiciones del empleo

Como parte de su obligación contractual; los empleados, contratistas y terceros deben aceptar y firmar los términos y condiciones de sucontrato de empleo, el cual debe establecer sus responsabilidades y las de la organización para la seguridad de la información.


Objetivo: Asegurar que todos los empleados, contratistas y terceros estén al tanto de las amenazas e inquietudes sobre la seguridad de la información, sus responsabilidades y obligaciones, y que estén equipados para apoyar la política de seguridad organizacional en el curso de su trabajo normal y reducir los riesgos de error humano.


A.8.2.1 Gestión de responsabilidades

La gerencia debe requerir que los empleados,contratistas y terceros apliquen la seguridad enconcordancia con las políticas y procedimientosestablecidos de la organización.

A.8.2.2

Conocimiento, educación y

capacitación en seguridad de la

información

Todos los empleados de la organización y, cuando sea relevante, los contratistas y terceros, deben recibir el apropiado conocimiento, capacitación y actualizaciones regulares de las políticas y procedimientos organizacionales, conforme seanrelevantes para su función laboral.

A.8.2.3 Proceso disciplinarioDebe existir un proceso disciplinario formal paralos empleados que han cometido una violación enla seguridad.

A.8.3 Terminación o cambio de empleo

Objetivo: Asegurar que los empleados, contratistas y terceros salgan de una organización o cambien de empleo de una manera ordenada.


A.8.3.1 Responsabilidades de terminación

Se deben definir y asignar claramente las responsabilidades para realizar la terminación ocambio del empleo.

A.8.3.2 Devolución de los activos

Todos los empleados, contratistas y tercerosdeben devolver todos los activos de laorganización que estén en su posesión a laterminación de su empleo, contrato o acuerdo.

A.8.3.3 Retiro de los derechos de acceso

Los derechos de acceso de todos los empleados,contratistas y terceros a la información y mediosde procesamiento de la información deben sereliminados a la terminación de su empleo,contrato o acuerdo, o se deben ajustar al cambio.

A. 9 SEGURIDAD FISICA Y AMBIENTAL

A.9.1 Áreas seguras

A.9.2 Seguridad del Equipo


Objetivo: Evitar el acceso físico no autorizado daño e interferencia al local y la información de la organización.


A.9.1.1 Perímetro de seguridad física

Se debe utilizar perímetros de seguridad(barreras tales como paredes y puertas de ingresocontrolado o recepcionistas) para proteger áreasque contienen información y medios deprocesamiento de información.

A.9.1.2 Controles de ingreso físico

Se deben proteger las áreas seguras mediantecontroles de entrada apropiados para asegurar quesólo se permita acceso al personal autorizado.

A.9.1.3Asegurar las

oficinas, habitaciones y

medios

Se debe diseñar y aplicar seguridad física en lasoficinas, habitaciones y medios.


A.9.1.4Protección contra

amenazas externas, ambientales e

internas

Se debe diseñar y aplicar protección físicacontra daño por fuego, inundación, terremoto,explosión, disturbios civiles y otras formas dedesastre natural o creado por el hombre.

A.9.1.5 Trabajo en áreas aseguradas

Se debe diseñar y aplicar protección física ylineamientos para trabajar en áreas seguras.

A.9.1.6Áreas de acceso

público, entrega y carga

Se deben controlar los puntos de acceso como las áreas de entrega y descarga y otros puntos donde personas no-autorizadas pueden ingresar a los locales, y cuando fuese posible, se deben aislar de los medios de procesamiento de la información para evitar un acceso no autorizado.


A.9.2 Seguridad del Equipo

Objetivo: Evitar la perdida, daño, robo o compromiso de los activos y la interrupción de las actividades de la organización.


A.9.2.1Ubicación y

protección del equipo

El equipo debe estar ubicado o protegido parareducir los riesgos de las amenazas y peligrosambientales, y las oportunidades para el accesono autorizado.

A.9.2.2 Servicios públicos de soporte

El equipo debe ser protegido de fallas de energíay otras interrupciones causadas por fallas en losservicios públicos.

A.9.2.3 Seguridad del cableado

El cableado de la energía y lastelecomunicaciones que llevan data o sostienenlos servicios de información deben ser protegidosde la intercepción o daño.


A.9.2.4 Mantenimiento de equipo

El equipo debe ser mantenido correctamente parapermitir su continua disponibilidad e integridad.

A.9.2.5Seguridad del

equipo fuera del local

Se debe aplicar seguridad al equipo fuera-del localtomando en cuenta los diferentes riesgos detrabajar fuera del local de la organización.

A.9.2.6Seguridad de la

eliminación o re-uso del equipo

Todos los ítems de equipo que contengan medios dealmacenaje deben ser chequeados para asegurar quese haya removido o sobre-escrito de manera seguracualquier data confidencial y software conlicencia antes de su eliminación.

A.9.2.7 Traslado/Retiro de propiedad

Equipos, información o software no deben sersacados fuera de la propiedad sin previaautorización.

A. 10 GESTION DE LAS

CONMUNICACIONES Y

OPERACIONES

A.10.1 Procedimientos y responsabilidades operacionales

A.10.2 Gestión de la entrega del servicio de terceros

A.10.3 Planeación y aceptación del sistema

10.4 Protección contra el software malicioso y código móvil

10.5 Respaldo o Back-Up

10.6 Gestión de seguridad de la red

10.7 Gestión de medios

10.8 Intercambio de información

10.10 Monitoreo

10. 9 Servicios de comercio electrónico


Objetivo: Asegurar la operación correcta y segura de los medios de procesamiento de la información.


A.10.1.1Procedimientos de

operación documentados

Se deben documentar y mantener los procedimientosde operación, y se deben poner a disposición detodos los usuarios que los necesiten.

A.10.1.2 Gestión del cambio Se deben controlar los cambios en los medios ysistemas de procesamiento de la información.

A.10.1.3 Segregación de los deberes

Se deben segregar los deberes y áreas deresponsabilidad para reducir las oportunidades deuna modificación no-autorizada o no-intencionadao un mal uso de los activos de la organización.


A.10.1.4Separación de los

medios de desarrollo, prueba y

operación

Se deben separar los medios de desarrollo, pruebay operacionales para reducir los riesgos deaccesos no-autorizados o cambios en el sistema deoperación.


A.10.2 Gestión de la entrega del servicio de terceros

Objetivo: Implementar y mantener el nivel apropiado de seguridad de la información y entrega del servicio en línea con los contratos de entrega del servicio de terceros.


A.10.2.1 Entrega del servicio

Se debe asegurar que los terceros implementen,operen y mantengan los controles de seguridad,definiciones de servicio y niveles de entregaincluidos en el contrato de entrega del serviciode terceros.

A.10.2.2Monitoreo y

revisión de los servicios de terceros

Los servicios, reportes y registros provistos porterceros deben ser monitoreados y revisadosregularmente, y las auditorías se deben llevar acabo regularmente.

A.10.2.3Manejo de cambios en los servicios de

terceros

Se deben manejar los cambios en la provisión de servicios, incluyendo el mantenimiento y mejoramiento de las políticas, procedimientos y controles de seguridad existentes, tomando en cuenta el grado crítico de los sistemas yprocesos comerciales involucrados y la reevaluación de los riesgos.

A.10.3 Planeación y aceptación del sistema

Objetivo: Minimizar el riesgo de fallas en los sistemas.


A.10.3.1 Gestión de la capacidad

Se deben monitorear, afinar y realizar proyecciones del uso de los recursos para asegurar el desempeño del sistema requerido.

A.10.3.2 Aceptación del sistema

Se deben establecer los criterios de aceptación para los sistemas de información nuevos, actualizaciones y versiones nuevas y se deben llevar a cabo pruebas adecuadas del(los) sistema(s) durante su desarrollo y antes de su aceptación.

A.10.4 Protección contra el software malicioso y código móvil

Objetivo: Proteger la integridad del software y la información.


A.10.4.1 Controles contra software maliciosos

Se deben implementar controles de detección,prevención y recuperación para protegerse decódigos malicioso y se deben implementarprocedimientos de conciencia apropiados.

A.10.4.2 Controles contra códigos móviles

Cuando se autoriza el uso de un código móvil, aconfiguración debe asegurar que el código móvilautorizado opere de acuerdo a una política deseguridad claramente definida, y se debe evitarque se ejecute un código móvil no-autorizado

A.10.5 Respaldo o Back-Up

Objetivo: Mantener la integridad y disponibilidad de los servicios de procesamiento de información y comunicaciones.


A.10.5.1 Back-up de respaldo de la información

Se deben realizar copias de back-up o respaldo dela información comercial y software esencial y sedeben probar regularmente de acuerdo a lapolítica.

A.10.6 Gestión de seguridad de la red

Objetivo: Asegurar la protección de la información en redes y la protección de la infraestructura de soporte.


A.10.6.1 Controles de redes

Las redes deben ser adecuadamente manejadas ycontroladas para poderlas proteger de amenazas, ypara mantener la seguridad de los sistemas yaplicaciones utilizando la red, incluyendo lainformación en tránsito.

A.10.6.2 Seguridad de los servicios de la red

Se deben identificar los dispositivos de seguridad, niveles de servicio y los requerimientos e incluirlos en cualquier contratode servicio de red, ya sea que estos servicios sean provistos en-casa o sean abastecidos externamente.

A.10.7 Gestión de medios

Objetivo: Evitar la divulgación, modificación, eliminación o destrucción no autorizada de los activos y la interrupción de las actividades comerciales.


A.10.7.1 Gestión de medios removibles

Deben existir procedimientos para la gestión demedios removibles.

A.10.7.2 Eliminación de Medios

Los medios deben ser eliminados utilizandoprocedimientos formales y de una manera seguracuando ya no se les requiere.

A.10.7.3Procedimientos para

el manejo de información

Se deben establecer los procedimientos para elmanejo y almacenaje de la información paraproteger dicha información de una divulgación noautorizada o un mal uso.


A.10.7.4Seguridad de la

documentación del sistema

Se debe proteger la documentación de un acceso noautorizado.

A.10.7 Gestión de medios

A.10.8 Intercambio de información

Objetivo: Mantener la seguridad de la información y software intercambiados dentro de una organización y con cualquier entidad externa.


A.10.8.1Políticas y

procedimientos de intercambio de

información

Se deben establecer política, procedimientos ycontroles de intercambio formales para protegerel intercambio de información a través del uso detodos los tipos de medios de comunicación.

A.10.8.2 Acuerdos de intercambio

Se deben establecer acuerdos para el intercambiode información y software entre la organización yentidades externas.

A.10.8.3 Medios físicos en tránsito

Los medios que contienen información deben serprotegidos contra un acceso no-autorizado, maluso o corrupción durante el transporte más alláde los límites físicos de una organización.


A.10.8.4 Mensajes electrónicos

Se debe proteger adecuadamente los mensajeselectrónicos.

A.10.8.5Sistemas de información

comercial

Se deben desarrollar e implementar políticas yprocedimientos para proteger la informaciónasociada con la interconexión de los sistemas deinformación comercial.

A.10.8 Intercambio de información

A.10.9 Servicios de comercio electrónico

Objetivo: Asegurar la seguridad de los servicios de comercio electrónico u su uso seguro.


A.10.9.1 Comercio electrónico

Se debe proteger la información involucrada en elcomercio electrónico que se trasmite a través deredes públicas de cualquier actividadfraudulenta, disputa contractual y divulgación ymodificación no autorizada.

A.10.9.2 Transacciones en-línea

Se debe proteger la información involucrada en las transacciones en-línea para evitar la transmisión incompleta, rutas equivocadas, alteración no-autorizada del mensaje, divulgación no-autorizada, y duplicación o re-envío no autorizado del mensaje.

A.10.9.3Información disponible

públicamente

Se debe proteger la integridad de la informacióndisponible públicamente para evitar lamodificación no autorizada.

A.10.10 Monitoreo

Objetivo: Determinar actividades de procesamiento de información no autorizadas.


A.10.10.1 Registro de auditorias

Se deben producir registros de la actividades deauditoria, excepciones y eventos de seguridad dela información y se deben mantener durante unperíodo acordado para ayudar en investigacionesfuturas y monitorear el control de acceso.

A.10.10.2 Uso del sistema de monitoreo

Se deben establecer procedimientos paramonitorear el uso de los medios de procesamientode información y el resultado de las actividadesde monitoreo se debe revisar regularmente.

A.10.10.3Protección de la información del

registro

Se deben proteger los medios de registro y lainformación del registro contra alteraciones yacceso no-autorizado.


A.10.10.4Registros del

administrador y operador

Se deben registrar las actividades deladministrador y operador del sistema.

A.10.10.5 Registro de fallas Las fallas se deben registrar, analizar y se debetomar la acción apropiada.

A.10.10.6 Sincronización de relojes

Los relojes de los sistemas de procesamiento deinformación relevantes de una organización odominio de seguridad deben estar sincronizadoscon una fuente de tiempo exacta acordada.

A.10.10 Monitoreo

A. 11 CONTROL DE ACCESO

A.11.1 Requerimiento comercial para el control del acceso

A.11.2 Gestión del acceso del usuario A.11.3

Responsabilidades del usuario

11.4 Control de acceso a redes

11.5 Control de acceso al sistema de operación

11.6 Control de acceso a la aplicación e información

11.7 Computación móvil y tele-trabajo

A.11.1 Requerimiento comercial para el control del acceso

Objetivo: Control acceso a la información


A.11.1.1 Política de control de acceso

Se debe establecer, documentar y revisar la política de control de acceso en base a los requerimientos de seguridad y comerciales.

A.11.2 Gestión del acceso del usuario

Objetivo: Asegurar el acceso del usuario autorizado y evitar el acceso no-autorizado a los sistemas de información.


A.11.2.1 Inscripción del usuario

Debe existir un procedimiento formal para lainscripción y des-inscripción para otorgar accesoa todos los sistemas y servicios de información.

A.11.2.2 Gestión de privilegios

Se debe restringir y controlar la asignación yuso de los privilegios.

A.11.3.3 Gestión de la clave de usuario

La asignación de claves se debe controlar através de un proceso de gestión formal.


A.11.2.4Revisión de los

derechos de acceso del usuario

La gerencia debe revisar los derechos de accesode los usuarios a intervalos regulares utilizandoun proceso formal.

A.11.2 Gestión del acceso del usuario

A.11.3 Responsabilidades del usuario

Objetivo: Evitar el acceso de usuarios no autorizados y el comportamiento o robo de la información y los medios de procesamiento de la información.


A.11.3.1 Uso de claveSe debe requerir que los usuarios sigan buenasprácticas de seguridad en la selección y uso declaves.

A.11.3.2 Equipo de usuario desatendido

Se debe requerir que los usuarios se aseguren dedar la protección apropiada al equipo desatendido

A.11.3.3 Política de pantalla y escritorio limpio

Se debe adoptar una política de escritorio limpiopara los documentos y medios de almacenajeremovibles y una política de pantalla limpia paralos medios de procesamiento de la información.

A.11.4 Control de acceso a redes

Objetivo: Evitar el acceso no-autorizado a los servicios en red.


A.11.4.1 Política sobre el uso de servicios en red

Los usuarios sólo deben tener acceso a losservicios para los cuales han sidoespecíficamente autorizados a usar.

A.11.4.2Autenticación de

usuario para conexiones externas

Se debe utilizar métodos de autenticación paracontrolar el acceso de usuarios remotos.

A.11.4.3 Identificación del equipo en red

Se debe considerar la identificación automáticadel equipo como un medio para autenticar lasconexiones desde equipos y ubicacionesespecíficas.


A.11.4.4Protección del

puerto de diagnostico remoto

Se debe controlar el acceso físico y lógico a lospuertos de diagnóstico y configuración.

A.11.4.5 Segregación en redes

Los servicios de información, usuarios y sistemasde información se deben segregar en las redes.

A.11.4.6 Control conexión de redes

Se debe restringir la capacidad de conexión de los usuarios en las redes compartidas, especialmente aquellas que se extienden a travésde los límites organizaciones, en concordancia con la política de control de acceso y los requerimientos de las aflicciones comerciales.

A.11.4.7 Control de “routing” de redes

Se deben implementar controles “routing” para lasredes para asegurar que las conexiones de cómputoy los flujos de información no infrinjan lapolítica de control de acceso de las aplicacionescomerciales.

A.11.4 Control de acceso a redes

A.11.5 Control de acceso al sistema de operación

Objetivo: Evitar el acceso no-autorizado a los sistemas operativos.


A.11.5.1Procedimientos de

registro en el terminal

Se debe controlar el acceso los serviciosoperativos mediante un procedimiento de registroseguro.

A.11.5.2Identificación y

autenticación del usuario

Todos los usuarios deben tener un identificadorsingular (ID de usuario) para su uso personal yexclusivo, se debe elegir una técnica deautenticación adecuada para verificar la identidad del usuario.

A.11.5.3 Sistema de gestión de claves

Los sistemas de manejo de claves deben serinteractivos y deben asegurar la calidad de lasclaves.


A.11.5.4 Uso de utilidades del sistema

Se debe restringir y controlar estrictamente eluso de los programas de utilidad que podríansuperar al sistema y los controles de aplicación.

A.11.5.5 Sesión inactiva Las sesiones inactivas deben cerrarse después deun período de inactividad definido.

A.11.5.6 Limitación de tiempo de conexión

Se debe utilizar restricciones sobre los tiemposde conexión para proporcionar seguridad adicionala las aplicaciones de alto riesgo.

A.11.5 Control de acceso al sistema de operación

A.11.6 Control de acceso a la aplicación e información

Objetivo: Evitar el acceso no-autorizado a la información mantenida en los sistemas de aplicación.


A.11.6.1 Restricción al acceso a la información

Se debe restringir el acceso de los usuarios ypersonal de soporte al sistema de información yaplicación en concordancia con la política decontrol de acceso definida.

A.11.6.2 Aislamiento del sistema sensible

Los sistemas sensibles deben tener un ambiente decómputo dedicado (aislado).

A.11.7 Computación móvil y tele-trabajo

Objetivo: Asegurar la seguridad de la información cuando se utilice medios computacionales móviles y de teletrabajo.


A.11.7.1 Computación móvil y comunicaciones

Se debe establecer una política formal y adoptarlas medidas de seguridad apropiadas para protegercontra los riesgos de utilizar medios decomputación y comunicación móviles.

A.11.7.2 Tele-trabajoSe deben desarrollar e implementar políticas,planes operacionales y procedimientos paraactividades de tele-trabajo

A. 12 Adquisición, desarrollo y

mantenimiento de los sistemas de información

A.12.1 Requerimiento de seguridad de los sistemas de información

A.12.2 Procesamiento correcto

en las aplicaciones

A.12.3 Controles

criptográficos

12.4 Seguridad de los archivos

del sistema

12.5 Seguridad en los procesos de desarrollo

y soporte

12.6 Gestión de la

vulnerabilidad Técnica

A.12.1 Requerimientos de seguridad de los sistemas de información

Objetivo: Asegurar que la seguridad sea una parte integral de los sistemas deinformación.


A.12.1.1

Análisis yespecificación delosrequerimientos deseguridad

Los enunciados de los requerimientos comercialespara sistemas nuevos, o mejorar los sistemasexistentes deben especificar los requerimientosde los controles de seguridad.

A.12.2 Procesamiento correcto en las aplicaciones

Objetivo: Evitar errores, pérdida, modificación no-autorizada o mal uso de lainformación en las aplicaciones.


A.12.2.1 Validación dedata de Insumo

El Insumo de data en las aplicaciones debe servalidado para asegurar que esta data sea correctay apropiada.

A.12.2.2Control deProcesamiento interno

Se deben incorporar chequeos de validación en lasaplicaciones para detectar cualquier corrupciónde la información a través de errores de procesamiento o actos deliberados.

A.12.2.3 Integridad del mensaje

Se deben identificar los requerimientos paraasegurar la autenticidad y protección de laintegridad de mensaje en las aplicaciones, y sedeben identificar e implementar los controlesapropiados.


A.12.2.4 Validación dedata de output

Se debe validar el output de data de unaaplicación para asegurar que el procesamiento dela información almacenada sea correcto yapropiado para las circunstancias.

A.12.2 Procesamiento correcto en las aplicaciones

A.12.3 Controles criptográficos

Objetivo: Proteger la confidencialidad, autenticidad o integridad de lainformación a través de medios criptográficos.


A.12.3.1Política sobre eluso de controlescriptográficos

Se debe desarrollar e implementar una políticasobre el uso de controles criptográficos para laprotección de la información.

A.12.3.2 Gestión claveSe debe utilizar una gestión clave para darsoporte al uso de las técnicas de criptografía enla organización.

A.12.4 Seguridad de los archivos del sistema

Objetivo: Garantizar la seguridad de los archivos del sistema


A.12.4.1Control desoftwareoperacional

Se debe contar con procedimientos para controlarla instalación de software en los sistemasoperacionales.

A.12.4.2Protección de ladata de pruebadel sistema

Se debe seleccionar cuidadosamente, proteger ycontrolar la data de prueba

A.12.4.3Control de accesoal código fuentedel programa

Se debe restringir el acceso al código fuente delprograma.

A.12.5 Seguridad en los procesos de desarrollo y soporte

Objetivo: Mantener la seguridad del software e información del sistema deAplicación.


A.12.5.1 Procedimientos decontrol de cambio

La implementación de cambios se debe controlarmediante el uso de procedimientos formales decontrol de cambios.

A.12.5.2

Revisión técnicade lasaplicacionesdespués decambios en elsistema operativo

Cuando se cambian los sistemas operativos, sedeben revisar y probar las aplicaciones críticasdel negocio para asegurar que no exista unimpacto adverso en las operaciones o seguridadorganizacional.

A.12.5.3

Restriccionessobre los cambiosen los paquetesde software

No se deben fomentar las modificaciones a lospaquetes de software, se deben limitar a loscambios necesarios y todos los cambios deben sercontrolados estrictamente.


A.12.5.4 Filtración deinformación

Se deben evitar las oportunidades de filtracionesen la información.

A.12.5.5Desarrollo de software por terceros

El desarrollo de software mediante outsourcingdebe ser supervisado y monitoreado por la organización.

A.12.5 Seguridad en los procesos de desarrollo y soporte

A.12.6 Gestión de vulnerabilidad técnica

Objetivo: Reducir los riesgos resultantes de la explotación de vulnerabilidadestécnicas publicadas.


A.12.6.1Control devulnerabilidadestécnicas

Se debe obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información en uso; se debe evaluar la exposición de la organización ante esas vulnerabilidades; yse deben tomar las medidas apropiadas para tratar el riesgo asociado.

A. 13 Gestión de incidentes en la seguridad de la

información

A.13.1 Reporte de eventos y debilidades en la seguridad de la

información

A.13.2 Gestión de incidentes y mejoras en la seguridad de la

información

A.13.1 Reporte de eventos y debilidades en la seguridad de la información

Objetivo: Asegurar que la información de los eventos y debilidades en laseguridad de la información asociados con los sistemas de información seacomunicada de una manera que permita tomar una acción correctiva oportuna.


A.13.1.1Reporte deeventos en laseguridad de lainformación

Los eventos de seguridad de la información debenreportarse a través de los canales gerencialesapropiados lo más rápidamente posible.

A.13.1.2Reporte dedebilidades en laseguridad

Se debe requerir que todos los empleados,contratistas y terceros usuarios de los sistemasy servicios de información tomen nota y reportencualquier debilidad observada o sospechada en laseguridad de los sistemas o servicios.

A.13.2 Gestión de incidentes y mejoras en la seguridad de la información

Objetivo: Asegurar que se aplique un enfoque consistente y efectivo a la gestión de la seguridad de la información.


A.13.2.1 Responsabilidades y procedimientos

Se deben establecer las responsabilidades yprocedimientos gerenciales para asegurar unarespuesta rápida, efectiva y ordenada a losincidentes de seguridad de la información.

A.13.2.2Aprendizaje de los incidentes en la seguridad de la información

Deben existir mecanismos para permitircuantificar y monitorear los tipos, volúmenes ycostos de los incidentes en la seguridad de lainformación.

A.13.2.3Recolección de evidencia

Cuando la acción de seguimiento contra una persona u organización después de un incidente en la seguridad de la información involucra una acción legal (sea civil o criminal), se debe recolectar, mantener y presentar evidencia para cumplir las reglas de evidencia establecidas en la(s) jurisdicción(es) relevantes.

A. 14 Gestión de la continuidad comercial

A.14.1 Aspectos de la seguridad de la información de la gestión de la Continuidad comercial

A.14.1 Aspectos de la seguridad de la información de la gestión de lacontinuidad comercialObjetivo: Contrarrestar las interrupciones de las actividades comerciales yproteger los procesos comerciales críticos de los efectos de fallas o desastresimportantes o desastres en los sistemas de información y asegurar su reanudación oportuna.


A.14.1.1

Incluir seguridadde la informaciónen el proceso degestión de continuidadcomercial

Se debe desarrollar y mantener un procesogerencial para la continuidad del negocio através de toda la organización para tratar los requerimientos de seguridad de la informaciónnecesarios para la continuidad comercial de la organización.

A.14.1.2Continuidadcomercial yevaluación delriesgo

Se deben identificar los eventos que causaninterrupciones en los procesos comerciales, juntocon la probabilidad e impacto de dichasinterrupciones y sus consecuencias para laseguridad de la información.

A.14.1.3

Desarrollar e implementarplanes de continuidadIncluyendo seguridad de la información

Se deben desarrollar e implementar planes para mantener o restaurar las operaciones y asegurar la disponibilidad de la información en el nivel requerido y en las escalas de tiempo requeridas después de la interrupción o falla en los procesos comerciales críticos.


A.14.1.4

Marco referencialpara laplaneación de lacontinuidadcomercial

Se debe mantener un solo marco referencial de planes de continuidad comercial para asegurar que todos los planes sean consistentes y para tratar consistentemente los requerimientos de la seguridad de la información e identificar lasprioridades de pruebas y mantenimiento.

A.14.1.5

Prueba,mantenimiento yre-evaluación deplanes decontinuidadcomerciales

Los planes de continuidad comercial se debenprobar y actualizar regularmente para asegurarque estén actualizados y sean efectivos.

A.14.1 Aspectos de la seguridad de la información de la gestión de lacontinuidad comercial


HUMANOS

A.15.1 Cumplimiento con

requerimientos legales


A.8.3 Terminación o

cambio de empleo

A. 15 CUMPLIMIENTO

A.15.2 Cumplimiento con las políticas y estándares de seguridad, y elcumplimiento técnico

A.15.3 Consideraciones de

auditoria de los sistema de

información

A.15.1 Cumplimiento con requerimientos legales

Objetivo: Evitar violaciones de cualquier ley, obligación reguladora ocontractual y de cualquier requerimiento de seguridad.


A.15.1.1Identificación delegislaciónaplicable

Se deben definir explícitamente, documentar yactualizar todos los requerimientos estatutarios,reguladores y contractuales y el enfoque de laorganización relevante para cada sistema deinformación y la organización.

A.15.1.2Derechos depropiedadintelectual (IPR)

Se deben implementar los procedimientos apropiados para asegurar el cumplimiento de los requerimientos legislativos, reguladores y contractuales sobre el uso de material con respecto a los derechos de propiedad intelectualy sobre el uso de los productos de software patentados.

A.15.1.3Protección de losregistrosorganizacionales

Se deben proteger los registros importantes deuna organización de pérdida, destrucción yfalsificación, en concordancia con losrequerimientos estatutarios, reguladores,contractuales y comerciales.


A.15.1.4Protección dedata y privacidadde informaciónpersonal

Se deben asegurar la protección y privacidad talcomo se requiere en la legislación relevante, lasregulaciones y, si fuese aplicable, las cláusulascontractuales.

A.15.1.5Prevención de maluso de medios deprocesamiento deinformación

Se debe desanimar a los usuarios de utilizar losmedios de procesamiento de la información parapropósitos no-autorizados.

A.15.1.6Regulación decontrolescriptográficos

Se deben utilizar controles en cumplimiento conlos acuerdos, leyes y regulaciones relevantes.

A.15.1 Cumplimiento con requerimientos legales

A.15.2 Cumplimiento con las políticas y estándares de seguridad y el cumplimiento técnico

Objetivo: Asegurar el cumplimiento de los sistemas con las políticas yestándares de seguridad organizacional.


A.15.2.1

Cumplimiento conlas políticas yestándares deseguridad

Los gerentes deben asegurar que todos losprocedimientos de seguridad dentro de su área deresponsabilidad sean realizados correctamente encumplimiento con las políticas y estándares deseguridad.

A.15.2.2Chequeo decumplimientotécnico

Los sistemas de información deben chequearseregularmente para el cumplimiento con losestándares de implementación de la seguridad.

A.15.3 Consideraciones de auditoria de los sistema de información

Objetivo: Maximizar la efectividad y minimizar la interferencia desde elproceso de auditoria de los sistema de información.


A.15.3.1

Controles de auditoria de sistemas de información

Se deben planear cuidadosamente los requerimientos y actividades de las auditorias que involucran chequeo de los sistemas operacionales y se debe acordar minimizar elriesgo de interrupciones en los procesoscomerciales.

A.15.3.2

Protección de lasherramientas de auditoria de los sistemas de información

Se debe proteger el acceso a las herramientas deauditoría de los sistemas de información paraevitar cualquier mal uso o compromiso posible.

SEGURIDAD DE LA INFORMACIÓN Introducción a las Normas de Seguridad ISO/IEC 27001:2005 ISO/IEC...

Documents

Transcript of SEGURIDAD DE LA INFORMACIÓN Introducción a las Normas de Seguridad ISO/IEC 27001:2005 ISO/IEC...