Anda di halaman 1dari 65

DESCRIPCIN DE LOS 11 DOMINIOS DEL

2.1. POLTICA DE SEGURIDAD


2.1.1. DOCUMENTO DE POLTICA DE LA INFORMACIN DE SEGURIDAD

La gerencia debe aprobar el documento de poltica de seguridad de informacin y es deber de la gerencia publicar este documento a toda la organizacin. El documento de poltica deber contener: a) una definicin de la seguridad de informacin y sus objetivos globales y el alcance y su importancia como un mecanismo que permite compartir informacin; b) el objetivo de la gerencia como soporte de los objetivos y principios de la seguridad de la informacin; c) una estructura para el establecimiento de los objetivos de control y controles, incluida la estructura de la valoracin del riesgo y el manejo de riesgos; d) una breve explicacin de las polticas, principios, normas y requisitos de conformidad ms importantes para la organizacin; e) una definicin de las responsabilidades generales y especficas en materia de la gestin de seguridad de informacin, incluida el reporte de las incidencias de seguridad; f) las referencias a documentacin que pueda sustentar la poltica, ejemplo: polticas y procedimientos mucho ms detallados para sistemas de informacin especficos o las reglas que los usuarios deberan cumplir. Revisin de la poltica de seguridad de la informacin Se debe realizar la revisin de la poltica de seguridad de la informacin a intervalos regulares planificados, los resultados de la revisin deben reflejar los cambios que afecten a la valoracin inicial de los riesgos en la organizacin.

2.2.ORGANIZACIN DE LA INFORMACIN
2.2.1. ORGANIZACIN INTERNA

LA

SEGURIDAD

DE

Se debe establecer una estructura de la seguridad de la informacin, de tal manera que satisfaga todos los requerimientos, para lo cual es indispensable la participacin de los representantes de las diferentes reas dentro de la organizacin para cubrir las distintas necesidades. Comit de gestin de seguridad de la informacin La administracin deber realizar las siguientes funciones: a) Identificar los objetivos de seguridad de informacin, encontrar los requerimientos de la organizacin e integrarlos en procesos relevantes; b) formular, revisar y aprobar las polticas de seguridad de informacin; c) revisar la efectividad de la implementacin de las polticas de seguridad de la informacin; d) proporcionar una clara direccin y apoyo para las iniciativas de seguridad; e) proporcionar los recursos necesarios para la seguridad de informacin; f) aprobar la asignacin de roles especficos y responsabilidades para la seguridad de la informacin; g) iniciar planes y programas para mantener el conocimiento de la seguridad de informacin; h) asegurar que la implementacin de controles de la seguridad de informacin est coordinada en la organizacin. Coordinacin de la seguridad de la informacin Las actividades que se debera realizar: a) asegurar que las actividades de seguridad sean ejecutadas en conformidad con la poltica de seguridad;

b) cmo manejar los incumplimientos; c) aprobar los mtodos y procesos para manejar la seguridad de informacin; d) identificar las nuevas amenazas de la informacin; e) evaluar la coordinacin de la implementacin de los controles de la seguridad de informacin; f) promover la educacin de la seguridad de informacin; g) evaluar la informacin recibida del monitoreo y de la revisin de los incidentes de seguridad, y recomendar acciones apropiadas en respuesta a los incidentes de seguridad identificados. Asignacin de las responsabilidades de la seguridad de informacin Deben ser definidas claramente todas las responsabilidades de la seguridad de la informacin. Se deber tomar en cuenta lo siguiente: a) identificar claramente los activos y los procesos de seguridad asociados con cada sistema especfico. b) nombrar al responsable de cada activo o proceso de seguridad, y documentar los detalles de esta responsabilidad. c) definir y documentar claramente los niveles de autorizacin.

Procesos de autorizacin para los recursos de tratamiento de la informacin Se debe definir e implementar el proceso de autorizacin de recursos para el tratamiento de la informacin. La siguiente gua debera ser considerada: a) los nuevos recursos deben tener la aprobacin de la gerencia. Adems se debe tener la aprobacin del directivo responsable del mantenimiento del entorno de seguridad de la informacin. b) donde sea necesario, se deber comprobar que el hardware y el software son compatibles con los dems dispositivos del sistema. c) el uso de recursos de tratamiento de la informacin personales (laptops, dispositivos porttiles) para la organizacin, puede introducir nuevas vulnerabilidades controles. y por lo tanto se deben identificar e implementar

Acuerdos de confidencialidad Se debe identificar y revisar regularmente los requerimientos para la confidencialidad reflejando las necesidades de la organizacin para la proteccin de informacin. Los siguientes elementos deben ser considerados: a) una definicin de la informacin a ser protegida; b) duracin del acuerdo, incluyendo casos donde la confidencialidad podra necesitar ser mantenida indefinidamente; c) acciones requeridas cuando un acuerdo se termina; d) responsabilidades y acciones de signatarios descubrimiento de informacin no autorizada; e) propiedad de informacin, secretos del oficio y propiedad intelectual y cmo est relacionada para la proteccin de la confidencialidad de informacin; f) el uso permitido de informacin confidencial, y derechos del signatario para usar la informacin; g) el derecho para analizar y monitorear actividades que involucren informacin confidencial; h) proceso para notificar y reportar una divulgacin no autorizada o brechas de informacin confidenciales; i) trminos para que la informacin sea retornada o destruida a la suspensin del acuerdo; j) acciones esperadas a ser tomadas en el caso de la brecha de este acuerdo; Contacto con autoridades Se debe tener contactos apropiados con autoridades, para informar en casos de incidentes de seguridad y cmo deberan estos incidentes ser reportados

para

evitar

el

La revisin independiente de seguridad de informacin La revisin independiente de seguridad de informacin se deber realizar a intervalos regulares planeados o cuando ocurren cambios significativos de los mtodos utilizados por la organizacin. La revisin independiente debe

asegurar que el manejo de la seguridad de la informacin sea continuo, adecuado y eficaz. Tal revisin debe ser llevada por individuos independientes del rea de revisin. Los individuos que llevan a cabo estas revisiones deben tener las habilidades especiales y experiencia. Los resultados de la revisin independiente deben ser registrados y reportados a la gerencia. Si la revisin identifica que los mtodos de la organizacin e implementacin para el manejo de la seguridad de informacin es inadecuada o no conforme con la direccin de la seguridad de informacin declarada en el documento de poltica de seguridad de la informacin, se deber considerar acciones correctivas. 2.2.2. PARTES EXTERNAS El acceso de terceros a los recursos de tratamiento de informacin no debe comprometer la seguridad de la informacin.

Identificacin de riesgos relacionados a las partes externas Los riesgos de los recursos de tratamiento de la informacin y los activos de informacin de la organizacin que involucran partes externas deben ser identificados e implementar controles apropiados antes de conceder el acceso. Se debe tomar en cuenta los siguientes problemas: a) que recursos de tratamiento de la informacin necesita ser accedida; b) que tipo de acceso necesita la tercera parte, por ejemplo: acceso fsico, acceso lgico. c) el valor y sensibilidad de la informacin involucrada, y su criticidad para la operacin del negocio; d) los controles necesarios para proteger la informacin que no ser accesible por terceros; e) el personal de la parte externa involucrado en el manejo de la informacin de la organizacin; f) cmo el personal autorizado que tiene acceso pueden ser identificados;

g) los diferentes medios y controles empleados por la parte externa cuando almacena, procesa, comunica, comparte e intercambia informacin; h) el impacto de que la tercer parte no tenga acceso cuanto esta requiera o que esta reciba informacin errnea. i) prcticas y procedimientos para tratar con incidentes de seguridad de informacin y potenciales daos, y los trminos y condiciones para la continuidad del acceso de la parte externa en el caso de un incidente de seguridad de la informacin; j) requerimientos legales y regulatorios y otras obligaciones contractuales que la tercera parte deber tomar en cuenta.

2.3.ADMINISTRACIN DEL RECURSO


2.3.1. Responsabilidad para los recursos Se debe asignar a los recursos de la organizacin, propietarios quienes sern los responsables de mantener una proteccin adecuada.

Inventario de activos Los inventarios de los activos ayudan a garantizar que se obtenga una proteccin eficaz. La organizacin debe identificar los activos y su valor e importancia. Sobre esta base la organizacin puede proporcionar niveles de proteccin proporcionales a dicho valor e importancia. Debera establecerse y mantenerse el inventario de los activos importantes asociados con cada sistema de informacin. Propiedad de los recursos Todos los recursos de tratamiento de la informacin y los activos de informacin de la organizacin deben ser de propiedad de una parte designada. El dueo del recurso debe ser responsable de: 1. asegurar que recursos de tratamiento de la informacin y los activos de informacin sean apropiadamente clasificados; 2. definir y revisar peridicamente las restricciones de acceso y clasificacin, tomando en cuenta polticas de control de acceso aplicables.

Uso aceptable de recursos Se debe identificar, documentar e implementar las reglas para el uso aceptable de los recursos del tratamiento de la informacin y los activos de informacin. Se debe incluir: a) reglas para el correo electrnico y uso de Internet; b) gua para el uso de dispositivos mviles, especialmente para el uso fuera de la organizacin; 2.3.2. Clasificacin de la informacin Dar a cada recurso la proteccin adecuada de acuerdo a su clasificacin, esta clasificacin se dar en base a niveles de sensibilidad y criticidad.

Guas de clasificacin La informacin debe ser clasificada de acuerdo a su valor, requerimientos legales, sensibilidad, y criticidad de la organizacin. La clasificacin que se da a la informacin es una forma para determinar cmo manejarla y protegerla. La informacin suele dejar de tener importancia o criticidad tras cierto tiempo. Estos aspectos deberan considerarse, puesto que una sobre clasificacin conllevara un gasto adicional innecesario. La clasificacin puede cambiar de acuerdo conciertas polticas predeterminadas. Debera considerarse el nmero de categoras de clasificacin y los beneficios obtenidos con su uso. Es conveniente cuidar la interpretacin de los catlogos de clasificacin de otras organizaciones que pueden tener distintas definiciones de conceptos iguales o llamados de forma similar.

Etiquetado y tratamiento de la informacin Un apropiado conjunto de procedimientos para el etiquetado y tratamiento de la informacin debe ser desarrollado e implementado de acuerdo al esquema de clasificacin adoptado por la organizacin. El marcado de informacin puede tener formato fsico o electrnico de acuerdo a su necesidad. La salida precedente de los sistemas que traten informacin clasificada como sensible o crtica debera llevar una etiqueta de clasificacin adecuada.

2.4.SEGURIDAD DE RECURSOS HUMANOS

2.4.1. SEGURIDAD EN LA DEFINICIN DEL TRABAJO Y LOS RECURSOS Asegurar que cada persona dentro de la organizacin comprenda sus responsabilidades, ya que es un factor que influye en la preservacin de la seguridad de la informacin.

Roles y responsabilidades Se debe definir y documentar los roles y responsabilidades de empleados, contratistas y otras partes involucradas con la organizacin. Los roles de seguridad y responsabilidades deben incluir los requisitos para: a) implementar y actuar de acuerdo con las polticas de seguridad de informacin; b) proteger los activos de accesos no autorizados, divulgacin, modificacin, destruccin e interferencia; c) ejecutar procesos particulares de seguridad o actividades; d) garantizar que responsabilidades se asignen a los individuos para acciones tomadas; e) reportar eventos de seguridad o eventos potenciales u otros riesgos para la organizacin. Seleccin y poltica de personal La seleccin del personal debe llevarse a cabo en base a las leyes, regulaciones, y ser correspondiente con los requerimientos de la organizacin. Se debera incluir controles como los siguientes: a) la disponibilidad de referencias satisfactorias sobre actitudes, por ejemplo: una personal y otra de la organizacin; b) c) d) e) la comprobacin del currculum vital del candidato; la confirmacin de las certificaciones acadmicas y profesionales; una comprobacin independiente de identificacin; una comprobacin ms detallada, como chequear el record policial.

Trminos y condiciones del empleo Los trminos y las condiciones de empleo deberan establecer la responsabilidad del empleado en materia de seguridad de la informacin. Los trminos y condiciones del empleo deben reflejar la poltica de seguridad de la organizacin adems para aclarar y declarar: a) que todos los empleados, contratistas y usuarios de terceras partes quienes tengan acceso a informacin sensible deberan firmar un acuerdo de confidencialidad o no divulgacin antes de concederle el acceso a los recursos de tratamiento de informacin; b) responsabilidades y derechos del empleado, contratista y otro usuario; c) responsabilidades para la clasificacin de informacin y administracin de los activos asociados con los sistemas de informacin y servicios manejados por los empleados, contratistas y usuarios de una tercera parte; d) responsabilidades de los empleados, contratistas y una tercera parte para el manejo de la informacin recibida de otras compaas o partes externas; e) responsabilidades de la organizacin para el manejo de la informacin personal; f) responsabilidades que estn extendidas fuera de las premisas de la organizacin y fuera de las horas de trabajo, ejemplo: en el caso de trabajar en casa; g) acciones a ser tomadas si los empleados, contratistas y la tercera parte se descuidan de los requerimientos de la seguridad de la organizacin. 2.4.2. DURANTE EL EMPLEO Asegurar que los empleados, contratistas y usuarios de una tercera parte estn conscientes de sus responsabilidades, de tal manera que sus roles sean ejecutados adecuadamente. Adems debe conocer las polticas establecidas y aplicarlas.

Conocimiento,

educacin

entrenamiento

de

seguridad

de

la

informacin Deben recibir el conocimiento adecuado de la seguridad de informacin y las actualizaciones de las polticas de la organizacin todos los empleados, contratistas y terceras partes. El entrenamiento de los conocimientos de seguridad debe comenzar con un proceso de induccin formal para introducir las polticas de seguridad de la informacin y expectativas antes del acceso a la informacin o a los servicios. El entrenamiento continuo debe darse de acuerdo a los requisitos de seguridad, marco legal controles del negocio, as como la preparacin para el uso correcto de los recursos de tratamiento de la informacin.

Proceso disciplinario Se debe establecer un proceso disciplinario formal para minimizar los riesgos de la seguridad de la informacin. Un proceso disciplinario formal debe asegurar un tratamiento para empleados que pueden comprometer la seguridad. El proceso disciplinario formal debe proveer una respuesta que toma en cuenta factores como la naturaleza o gravedad de la brecha y su impacto en el negocio y otros factores requeridos. 2.4.3. TERMINACIN O CAMBIO DE EMPLEO Manejar de manera ordenada la terminacin o cambio de empleo, en donde est incluido el retiro de los derechos de acceso, retorno de equipos y finalizar con las responsabilidades respectivas. Responsabilidades de la terminacin La comunicacin de terminacin de responsabilidades debe incluir

requerimientos de seguridad prolongado y responsabilidades legales, donde sea apropiado, responsabilidades contenidas dentro de acuerdos de confidencialidad, y los trminos y condiciones del empleo continuado para un periodo definido antes del fin del empleo del empleado, contratista o usuario de la tercer parte.

Retorno de los recursos

El proceso de terminacin debe ser formalizado para incluir el retorno de todo el software emitido, documentos corporativos y equipo. En el caso donde empleados, contratistas y usuario de la tercera parte compra el equipo de la organizacin o usa su propio equipo personal, procedimientos debe ser seguido para asegurar que toda la informacin relevante es transferida a la organizacin y borrada del equipo. En el caso donde un empleado, contratista y usuario de la tercera parte tenga conocimiento que es importante para la continuidad de las operaciones, esa informacin debe ser documentada y transferida a la organizacin.

Remover el derecho de acceso Cambios de un empleo debe ser reflejado en remover todos los derechos de acceso que no fueran aprobados por el nuevo empleado. Se debe considerar factores como: a) si la terminacin o cambio es inicializada por el empleado, contratista o usuario de la tercera parte, o por la administracin y la razn de su terminacin; b) las responsabilidades actuales del empleado, contratista u otro usuario; c) el valor de los activos actualmente accesibles.

2.5.SEGURIDAD FSICA Y AMBIENTAL


2.5.1. LAS REAS SEGURAS Los recursos importantes para el tratamiento de la informacin deben ser ubicados en reas seguras de tal manera que se provenga el acceso no autorizado.

El permetro de seguridad fsico

Los permetros de seguridad debe ser usadas para proteger reas que contienen recursos de tratamiento de informacin. Se debe considerar los siguientes puntos: a) el permetro de seguridad deben ser definidos claramente; b) el permetro de un edificio o un lugar que contenga recursos de tratamiento de informacin debera tener solidez fsica; c) se debera instalar un rea de recepcin manual u otros medios de control del acceso fsico al edificio o lugar. Dicho acceso se debera restringir solo al personal autorizado; d) las barreras fsicas se deberan extender, si es necesario, desde el suelo al techo para evitar entradas no autorizadas o contaminacin del entorno; e) todas las puertas para incendios del permetro de seguridad deberan tener alarma y cierre automtico. f) sistemas de deteccin de intrusos apropiados debe ser instalado para cubrir todas las puertas externas y ventanas accesibles; reas desocupadas deben ser alarmadas en todo momento; g) recursos de tratamiento de informacin manejados por la organizacin debe ser fsicamente separada de los manejos de terceras partes.

La entrada fsica controlada Se debe asegurar que solo personal autorizado sea permitido el acceso. La siguiente gua debe ser considerada: a) las visitas a las reas seguras se deberan supervisar u ordenar y registrarse su fecha y momento de entrada y salida; b) solo el personal autorizado debe tener acceso a informacin sensible y a los recursos de su tratamiento. Se deberan usar controles de autenticacin; c) se debera exigir a todo el personal que lleve puesta alguna forma de identificacin visible y se pedir que se identifique a cualquiera que no lleve identificacin;

d) personal de servicio que apoya la tercera parte debe ser concedido el acceso restringido a reas seguras o recursos de tratamiento de informacin sensible cuando se requiera, este acceso debe ser autorizado y supervisado; e) se debera revisar y actualizar regularmente los derechos de acceso a las reas de seguridad, y revocar cuando sea necesario.

Seguridad de oficinas, despachos y recursos Se debe disear y aplicar la seguridad fsica de oficinas, despachos y recursos. La siguiente gua debe ser considerada: a) los recursos crticos deben estar en reas que estn aisladas del acceso pblico; b) los edificios deberan ser discretos y dar mnimas indicaciones de su propsito, sin signos obvios, fuera o dentro del edificio, que identifiquen la presencia de actividades de tratamiento de informacin; c) el pblico no debera acceder automticamente a los ambientes o directorios de informacin personal de la organizacin que identifiquen lugares con recursos de tratamiento de informacin sensible.

Proteccin contra amenazas externas y ambientales Se debe disear y aplicar la proteccin fsica contra fuego, inundaciones, terremotos, explosiones, y otras formas naturales o desastres hechas por el hombre. La siguiente gua debe ser considerada para evitar cualquier dao: a) Los materiales peligrosos y combustibles se deberan almacenar en algn lugar distante de las reas seguras. b) El equipo y los medios de respaldo deberan estar a una distancia de seguridad conveniente para evitar que se daen por un desastre en el rea principal. c) Apropiados equipos contra incendios deben ser proporcionados y colocados en lugares adecuados.

Trabajando en reas seguras

Se debe disear y aplicar protecciones fsicas y guas de trabajo en reas seguras. La siguiente gua debe ser considerada: a) el personal debe estar al tanto slo de las actividades del rea que necesita conocer; b) se debera evitar el trabajo no supervisado en reas seguras tanto por motivos de salud como para evitar oportunidades de actividades maliciosas; c) reas seguras desocupadas deben ser fsicamente bloqueadas y peridicamente chequeadas; d) no se debera permitir la presencia de equipos de fotografa, vdeo, audio u otras formas de registro salvo autorizacin especial. 2.5.2. Seguridad de los equipos Garantizar la continuidad del negocio mediante la proteccin adecuada de los activos de la organizacin. Instalacin y proteccin de equipos El equipo debe ser protegido para reducir el riesgo de amenazas del entorno, as como las oportunidades de acceso no autorizado. Se debera considerar los siguientes pasos: a) los equipos se deberan situar donde se minimicen los accesos innecesarios a las reas de trabajo; b) los equipos de tratamiento y almacenamiento de informacin que manejen datos sensibles se deberan instalar donde se reduzca el riesgo de que otros vean los procesos durante su uso; c) los elementos que requieran especial proteccin se deberan aislar para reducir el nivel general de proteccin requerido; d) para minimizar los riesgos de posibles amenazas como las siguientes: incendio, explosivos, humo, agua, polvo, vibraciones, agentes qumicos, interferencias en el suministro elctrico, radiaciones electromagnticas; e) la organizacin debera incluir en su poltica cuestiones sobre fumar, beber y comer cerca de los equipos de tratamiento de informacin;

f) se deberan vigilar las condiciones ambientales que puedan afectar negativamente al funcionamiento de los equipos de tratamiento de informacin; g) la proteccin de rayos debera se aplicado en todos los edificios y proteccin de rayos deben ser encajados en fuentes de entrada y lneas de comunicacin; h) el uso de mtodos de proteccin especial, como el revestimiento del teclado debe ser considerado para el equipamiento en ambientes industriales; i) el equipo de tratamiento de informacin sensible debe ser protegido para minimizar el riesgo de fuga de informacin.

Utilidades de apoyo Las utilidades de apoyo como electricidad, suministro de agua, alcantarillado, calefactor/ventilador, y aire acondicionado deben ser adecuadas para los sistemas que ellos estn soportando. Las utilidades de apoyo deben ser regularmente inspeccionadas y probarlo para asegurar su funcionamiento apropiado y para reducir algn riesgo. Se recomienda instalar un Sistema de Alimentacin Ininterrumpida (U.P.S.) para asegurar el funcionamiento continuo de los equipos que soporten operaciones crticas del negocio. Se debera instalar interruptores de emergencia cerca de las puertas de emergencia de las salas de equipos para facilitar una desconexin rpida en caso de emergencia. Por si falla la energa se debera disponer de alumbrado de emergencia. Se deberan instalar en todos los edificios, as como en todas las lneas exteriores de comunicaciones, sistemas y filtros de proteccin de rayos. El suministro de agua debe ser estable y adecuado para proporcionar aire acondicionado, equipo de humidificacin y sistemas de supresin de fuego. Un sistema de alarma para detectar el mal funcionamiento en las utilidades de apoyo deben ser evaluadas e instaladas si se requiere.

Deben conectarse los equipos de las telecomunicaciones al proveedor de servicios por lo menos dos rutas diversas para prevenir que el fracaso en una conexin quite los servicios de la voz.

Seguridad del cableado Se debera proteger contra intercepciones o daos el cableado de energa y telecomunicaciones que transporten datos o soporten servicios de informacin. Se debe considerar: a) las lneas de energa y telecomunicaciones en las zonas de tratamiento de informacin, se deberan enterrar, cuando sea posible, o adoptarse medidas alternativas de proteccin; b) la red cableada se debera proteger contra intercepciones no autorizadas o daos; c) se deberan separar los cables de energa de los de comunicaciones para evitar interferencias; d) se debe usar clara identificacin de cables y seales de equipos para minimizar los errores de manejo, como parchar accidentalmente los cables de red mala; e) una documentacin de lista de parches debe ser usada para reducir la posibilidad de error; f) se deberan considerar medidas adicionales para sistemas sensibles o crticos.

Mantenimiento de equipos El equipo debe ser correctamente mantenido para asegurar su disponibilidad e integridad. Se debera considerar las siguientes indicaciones: a) los equipos se deberan mantener de acuerdo a las recomendaciones de intervalos y especificaciones de servicio del suministrador; b) slo el personal de mantenimiento debidamente autorizado debera realizar la reparacin y servicio de los equipos; c) se deberan registrar documentalmente todas las fallas, reales o sospechados, as como todo el mantenimiento preventivo o correctivo;

d) se deberan adoptar las medidas adecuadas cuando se enven los equipos fuera de las instalaciones, para su mantenimiento; e) se deberan cumplir todos los requisitos impuestos por las polticas de seguridad.

Seguridad de los equipos fuera de los locales de la organizacin La seguridad debe ser aplicada a los equipos de acuerdo a los diferentes riegos de trabajo de afuera de los locales de la organizacin. Para la proteccin de los equipos fuera de la organizacin se debe considerar: a) los equipos y medios que contengan datos con informacin y sean sacados de su entorno habitual no se deberan dejar desatendidos en sitios pblicos; b) se deberan observar siempre las instrucciones del fabricante para proteger los equipos, por ejemplo, contra exposiciones a campos electromagnticos intensos; c) los controles para el trabajo en el domicilio se deberan determinar mediante una evaluacin de los riesgos y aplicarse los controles convenientes segn sea apropiado, por ejemplo, en controles de acceso a los computadores, una poltica de puesto de trabajo despejado y cierre de las zonas de archivo; d) se deberan cubrir la inseguridad de los equipos fuera de su lugar de trabajo. Seguridad en el reuso o eliminacin de equipos Todos los elementos del equipo que contengan

dispositivos

de

almacenamiento de datos deberan comprobarse antes de su reuso o eliminacin para asegurar que todo dato sensible y software bajo licencia se ha borrado o sobrescrito. Los dispositivos que contienen informacin sensible deben ser fsicamente destruidos o la informacin debe ser destruida, borrada o sobrescrita usando tcnicas para asegurar que la informacin original no sea recuperable.

Remover la propiedad

Equipo, informacin o software no debe estar fuera de lugar sin la previa autorizacin. Se debe considerar: a) equipo, informacin o software no debe estar fuera de lugar sin la previa autorizacin; b) empleados, contratistas y usuarios de la tercer parte que tienen autorizacin para permitir remover fuera de lugar a los recursos deben ser claramente identificados; c) deben ponerse lmites de tiempo para el levantamiento de equipo y los ingresos, chequeando su cumplimiento; d) donde sea necesario y apropiado, equipo debe ser registrado cuando es trasladado fuera de la organizacin y registrar cuando este es retornado.

2.6.GESTIN DE COMUNICACIONES Y OPERACIONES

2.6.1. PROCEDIMIENTOS Y RESPONSABILIDADES DE OPERACIN Establecer responsabilidades y procedimientos para la gestin y operacin de todos los recursos de tratamiento de informacin, de tal manera que se consiga reducir el riesgo de un mal uso del sistema deliberado o por negligencia.

Documentacin de procedimientos operativos Se deberan documentar los procedimientos de operacin y hacerlo disponible para todos los usuarios que necesitan de ellos. Los procedimientos de operacin deberan especificar las instrucciones necesarias para la ejecucin detallada de cada tarea, incluyendo: a) el proceso y utilizacin correcto de la informacin; b) respaldo; c) los requisitos de planificacin, incluyendo las interdependencias con otros sistemas, con los tiempos de comienzo ms temprano y final ms tardo posibles de cada tarea; d) las instrucciones para manejar errores u otras condiciones

excepcionales que puedan ocurrir durante la tarea de ejecucin, incluyendo restricciones en el uso de servicios del sistema;

e) los contactos de apoyo en caso de dificultades inesperadas operacionales o tcnicas; f) las instrucciones especiales de utilizacin de resultados, como el uso de papel especial o la gestin de resultados confidenciales, incluyendo procedimientos de destruccin segura de resultados producidos como consecuencia de tareas fallidas; g) arranque del sistema y los procedimientos de recuperacin a utilizar en caso de fallo del sistema; h) la administracin de auditoria e informacin de registro del sistema.

Control de cambios operacionales Se deberan controlar los cambios en los equipos, software o procedimientos para evitar cualquier fallo de seguridad o del sistema. Considerar los siguientes controles y medidas: a) b) c) d) e) la identificacin y registro de cambios significativos; planificacin y verificacin de cambios; la evaluacin del posible impacto de los cambios; un procedimiento formal de aprobacin de los cambios propuestos; la comunicacin de los detalles de cambio a todas las personas que corresponda; f) procesos y responsabilidades para cancelar y recuperar de cambios no exitosos o eventos imprevistos.

Separacin de los recursos de desarrollo, prueba y produccin Se debe separar los recursos para desarrollo, prueba y produccin con el objetivo de obtener la segregacin de las responsabilidades implicadas. Los siguientes elementos deben ser considerados: a) se deben definir y documentar reglas para la transferencia el software del entorno de desarrollo al de produccin; b) se debe ejecutar en diferentes sistemas o procesadores el software de desarrollo y el de produccin y en dominios o directorios diferentes;

c) los compiladores, editores y otras herramientas de desarrollo o utilidades del sistema no deberan ser accesibles desde los sistemas de produccin, cuando no se necesiten; d) el ambiente del sistema de pruebas debe emular la operacin del sistema los ms cercano posible; e) usar diferentes procedimientos de conexin en los sistemas de produccin y prueba para reducir el riesgo de confusin. Se debera impulsar a que los usuarios para que empleen contraseas diferentes para estos dos sistemas y los mens deberan exhibir los mensajes de identificacin apropiados; f) datos sensibles no deben ser copiado en los sistemas de pruebas. 2.6.2. GESTIN DE SERVICIOS EXTERNOS Establecer un nivel apropiado de seguridad de la informacin y entregar el servicio de acuerdo con el contratista.

Entrega del servicio La entrega del servicio de la parte externa debe incluir los acuerdos de seguridad, definiciones de servicio, y aspectos de administracin del servicio. En el caso de arreglos de outsourcing, la organizacin debe planear las transiciones necesarias (de informacin, recursos de tratamiento de la informacin, y alguna otra cosa que necesite ser movida), y debe asegurar que la seguridad es mantenida en el periodo de transicin.

Monitoreando y revisando los servicios de las partes externas La monitorizacin deben asegurar que los trminos de seguridad de la informacin y condiciones de los acuerdos estn siendo cumplidos, esta monitorizacin debe ser realizada regularmente. Es recomendable seguir los siguientes pasos: a) monitorear los niveles de desempeo del servicio para verificar el cumplimiento de los acuerdos;

b) revisar el informe de los servicios producidos por la partes externa y acordar regularmente las reuniones de progreso como requerido por los acuerdo; c) proporcionar informacin acerca de los incidentes de la seguridad de la informacin y revisar esta informacin por la parte externa y la organizacin; d) revisar auditoria de partes externas y registrar los eventos de seguridad, problemas de operacin, fallas, enfatizando las fallas y rupturas relacionadas a la entrega de servicio; e) resolver y manejar cualquier problema identificado. 2.6.3. PLANIFICACIN Y ACEPTACIN DEL SISTEMA Garantizar el funcionamiento del sistema, adems el sistema debe ser escalable de modo que permita crecimientos futuros y asegurar la continuidad del negocio.

Planificacin de la capacidad Deberan comprobarse las demandas actuales y las proyecciones de los requisitos futuros de capacidad para asegurar la disponibilidad de capacidad de procesamiento y almacenamiento adecuados. Estas proyecciones deberan tener en cuenta los requisitos de las nuevas actividades y sistemas, as como la tendencia actual y proyectada de tratamiento de la informacin en la organizacin. Los administradores deberan usar esta informacin para identificar y evitar los posibles cuellos de botella que puedan representar una amenaza a la seguridad del sistema o a los servicios al usuario, y para planificar la accin correctora apropiada.

Aceptacin del sistema Se deberan establecer criterios de aceptacin para nuevos sistemas de informacin y versiones nuevas o mejoradas y se deberan desarrollar con ellos las pruebas adecuadas antes de su aceptacin. Los administradores se

deberan asegurar que los requisitos y criterios de aceptacin de los nuevos sistemas estn claramente definidos, acordados, documentados y probados. Se deberan considerar los siguientes controles: a) los requisitos de rendimiento y capacidad de los computadores; b) los procedimientos de recuperacin de errores y reinicio, as como los planes de contingencia; c) la preparacin y prueba de procedimientos operativos de rutina segn las normas definidas; d) e) f) g) un conjunto acordado de controles y medidas de seguridad instalados; manual de procedimiento eficaz; Plan de continuidad del negocio; la evidencia de que la instalacin del nuevo sistema no producir repercusiones negativas sobre los existentes, particularmente en los tiempos con pico de proceso como a fin de mes; h) la evidencia de que se ha tenido en cuenta el efecto que tendr el nuevo sistema en la seguridad global de la organizacin; i) la formacin en la produccin o utilizacin de los sistemas nuevos. j) Facilidad de uso, evitar errores humanos. 2.6.4. PROTECCIN CONTRA SOFTWARE MALICIOSO Evitar crear agujeros de seguridad mediante la prevencin y deteccin de software malicioso.

Controles contra software malicioso Se debe implementar controles para detencin, prevencin y recuperacin. Los controles siguientes deberan ser considerados:

a) establecer una poltica formal que prohba el uso de software no autorizado; b) establecer una poltica formal para la proteccin contra los riesgos asociados con los archivos y software proveniente de redes externas, indicando que medidas preventivas se tomar;

c) realizar revisiones regulares del software y de los datos contenidos en los sistemas que soportan procesos crticos de la organizacin; d) instalar y actualizar frecuentemente software de deteccin de cdigo malicioso y de reparacin de virus; e) definir procedimientos y responsabilidades de administracin para la proteccin de antivirus; f) preparar planes de continuidad del negocio apropiados para recuperarse de los ataques de virus, incluyendo todos los datos y software necesarios de respaldo; g) implementar procedimientos para regularmente reunir informacin, como suscripcin a listas de correo y/o verificacin de sitios web dando informacin acerca de nuevos cdigos maliciosos; h) implementar procedimientos para verificar la informacin relativa al software malicioso y asegurarse que los boletines de alerta son precisos e informativos. 2.6.5. GESTIN INTERNA DE RESPALDO Garantizar la continuidad del negocio, mediante la preservacin de los servicios del tratamiento de la informacin y comunicaciones.

Recuperacin de la informacin Se deberan hacer y probar regularmente copias de seguridad de toda la informacin esencial del negocio y del software de acuerdo con la poltica de respaldo. Se debe considerar los siguientes controles: a) un nivel mnimo de informacin de respaldo debe ser definida; b) registros exactos y completos de las copias de seguridad y a procedimientos documentados de recuperacin deben ser producidos; c) la magnitud y frecuencia de respaldos deben reflejarse en los requerimientos de negocio de la organizacin, los requerimientos de seguridad involucrados, y la criticidad de la informacin para la continuidad de operacin del negocio;

d) los respaldos deben ser almacenados a una distancia suficiente para evitar todo dao por un desastre en el local principal. e) se debera dar a la informacin de respaldo un nivel adecuado de proteccin fsica y del entorno, un nivel consistente con las normas aplicadas en el local principal. Se deberan extender los controles y medidas aplicados a los medios en el local principal para cubrir el local de respaldo; f) los medios de respaldo se deberan probar regularmente, donde sea factible, para asegurar que son fiables cuando sea preciso su uso en caso de emergencia, g) se deberan comprobar y probar regularmente los procedimientos de recuperacin para asegurar que son eficaces y que pueden cumplirse en el tiempo establecido por los procedimientos operativos de recuperacin; h) en situaciones donde la confidencialidad es importante, los respaldos deben ser protegidos por medio de la encripcin. 2.6.6. GESTIN DE LA SEGURIDAD DE REDES Proteger la informacin de las redes y tener una infraestructura estable de redes de comunicaciones. Controles de red Las redes deben ser adecuadamente administradas y controladas para mantener la seguridad de los sistemas y aplicaciones, incluyendo informacin en circulacin. Se debe considerar los siguientes controles y medidas: a) la responsabilidad operativa de las redes debera estar separada de la operacin de los computadores si es necesario, b) establecer responsabilidades y procedimientos para la gestin de los equipos remotos, incluyendo los de las reas de los usuarios, c) establecer controles y medidas especiales para salvaguardar la confidencialidad y la integridad de los datos que pasen a travs de redes pblicas, as como para proteger los sistemas conectados. Tambin se

deberan requerir controles y medidas especiales para mantener la disponibilidad de los servicios de las redes y de los computadores conectados; d) aplicar monitoreo y registro adecuado, para almacenar las acciones de seguridad relevantes; e) coordinar estrechamente las actividades de gestin tanto para optimizar el servicio al negocio como para asegurar que los controles y medidas se aplican coherentemente en toda la infraestructura de tratamiento de la informacin. Seguridad de los servicios de la red Las caractersticas de seguridad, niveles de servicio, y administracin de requerimientos de todos los servicios de la red deben ser identificados e incluidos en cualquier acuerdo de servicios de la red. La organizacin debe asegurar que los proveedores de servicio implementen estas caractersticas. El proveedor de servicio debe manejar los servicios convenidos de una manera segura. 2.6.7. UTILIZACIN DE LOS MEDIOS DE INFORMACIN Usar apropiadamente los medios de informacin de tal manera que se minimicen los daos a los activos. Gestin de medios removibles Debera haber procedimientos para la gestin de los medios informticos removibles como cintas, discos o resultados impresos. Se debe considerar los siguientes controles: a) se deberan borrar cuando no se necesiten ms, los contenidos de todo medio reutilizable del que se desprenda la organizacin; b) todo medio desechado por la organizacin debera requerir autorizacin y se debera guardar un registro de dicha eliminacin, c) todos los medios se deberan almacenar a salvo en un entorno seguro, de acuerdo con las especificaciones de los fabricantes; d) la informacin almacenada en medios que necesita estar disponible ms tiempo que el tiempo de vida del medio (de acuerdo a las

especificaciones del fabricante) debe tambin ser almacenada en otro lugar para evitar prdida de informacin debido a la deterioracin de los medios de comunicacin; e) se debe considerar la registracin de los medios removibles para limitar la oportunidad para la prdida de datos; f) los medios removibles deben solamente ser habilitados si hay una razn del negocio para hacerlo.

Eliminacin de medios Se deberan eliminar los medios de forma segura y sin peligro cuando no se necesiten ms. Es apropiado considerar: a) los medios que contengan informacin sensible se almacenarn y eliminarn de forma segura; b) los procedimientos deben identificar los elementos que requieren una eliminacin segura; c) puede ser ms fcil eliminar con seguridad todos los medios que intentar separar los que contienen informacin sensible; d) muchas organizaciones ofrecen servicios de recoleccin y eliminacin de papel, equipos y medios. Debera cuidarse la seleccin de los proveedores adecuados segn su experiencia y que satisfaga los controles que adopten; e) se debera registrar la eliminacin de elementos sensibles donde sea posible para mantener una pista de auditoria.

Procedimientos de manipulacin de la informacin Se deberan establecer procedimientos de manipulacin y almacenamiento de la informacin de forma coherente con su clasificacin para protegerla de su mal uso o divulgacin no autorizada. Los siguientes elementos deben ser considerados: a) etiquetado en la administracin de todos los medios; b) restricciones de acceso para identificar al personal no autorizado; c) mantenimiento de un registro formal de recipientes autorizados de datos;

d) aseguramiento de que los datos de entrada, su proceso y la validacin de la salida estn completos; e) proteccin de los datos que estn en cola para su salida en un nivel coherente con su criticidad; f) almacenamiento de los medios en un entorno acorde con las especificaciones del fabricante; g) minimizar la distribucin de datos; h) identificacin clara de todas las copias de datos para su atencin por el receptor autorizado; i) revisin de las listas de distribucin y de receptores autorizados a intervalos regulares. Seguridad de la documentacin de sistemas Se debe proteger la documentacin de sistemas de accesos no autorizados. Considerar los siguientes controles: a) la documentacin de sistemas se debera almacenar con seguridad; b) la lista de acceso a la documentacin de sistemas se debera limitar al mximo, y ser autorizada por el propietario de la aplicacin; c) la documentacin de sistemas mantenida en una red pblica, o suministrada va una red pblica, se debera proteger adecuadamente. 2.6.8. INTERCAMBIO DE INFORMACIN Garantizar la seguridad de la informacin, mantener la integridad para lo cual se debe seguir procedimientos que controlan los intercambios de informacin.

Polticas y procedimientos del intercambio de informacin Los procedimientos y controles a ser seguidos cuando se usa medios de comunicacin electrnicos para el intercambio de informacin deben considerar los siguientes elementos: a) procedimientos diseados para proteger el intercambio de informacin de intercepciones, copia, modificacin, prdida de ruta, y destruccin; b) procedimientos para la deteccin y proteccin de software malicioso que puede ser transmitido a travs del uso de comunicaciones electrnicas;

c) procedimientos para la proteccin de la comunicacin de informacin electrnica sensible; d) polticas o guas para el uso aceptable de los medios de comunicacin electrnicos; e) procedimientos para el uso de comunicaciones inalmbricas, tomando en cuenta los riesgos particulares involucrados; f) las responsabilidades de empleados, contratistas, y otros usuarios no be comprometer a la organizacin, por ejemplo a travs de la difamacin, remitiendo de cartas de la cadena, la compra desautorizado, etc.; g) uso de tcnicas criptogrficas, ejemplo: para la proteccin de confidencialidad, integridad y autenticacin de la informacin; h) retencin y eliminacin de las guas para toda la correspondencia del negocio, incluyendo mensajes, de acuerdo con la legislacin local y nacional pertinente y regulaciones; i) no dejar informacin sensible o crtica en medios impresos, ejemplo: copias, estos pueden ser accedidos por personal no autorizado; j) controles y restricciones asociados con el envo de medios de comunicacin, ejemplo: envo automtico de correo electrnico a direcciones de correo externas; k) recordar al personal que deben tomar las precauciones apropiadas, ejemplo: no revelar informacin sensible para evitar ser escuchado o interceptado por casualidad al realizar una llamada telefnica; l) no dejar mensajes que contienen informacin en mquinas

contestadoras estos pueden ser escuchados por personal no autorizado; m) recordar al personal acerca de los problemas de usar mquinas facsmile; n) recordar al personal no registrar datos demogrficos, como la direccin de e-mail u otra informacin personal, en cualquier software para evitar la coleccin de uso no autorizado; o) recordar al personal que las mquinas facsmiles modernas o fotocopiadoras tienen cach de pginas y almacenamiento de pginas

en el caso de pginas o falta de transmisin, el cual podr imprimir una vez que la falta es aclarada.

Acuerdos de intercambio Los acuerdos deben ser establecidos para intercambiar la informacin y software entre la organizacin y partes externas. Los acuerdos de intercambio debe considerar las siguientes condiciones de seguridad: a) responsabilidades de administracin para controlar y notificar la transmisin , despacho y recibo; b) procedimientos para notificar el remitente de transmisin, despacho y recibo; c) d) e) f) g) procedimientos para asegurar la identificacin y no repudiacin; normas tcnicas mnimas para empaquetar y transmitir; los acuerdos de la plica; las normas de identificacin de mensajero; responsabilidades y obligaciones en el evento de incidentes de seguridad de la informacin, como prdida de datos; h) uso de sistema de rotulacin convenido para la informacin sensible o crtica, asegurando que el significado de los rtulos es inmediatamente comprendido y que la informacin es apropiadamente protegida; i) la propiedad y responsabilidades para la proteccin de datos, derechos de autor, licencias de software y consideraciones similares; j) k) estndares tcnicos para registrar y leer informacin y software; controles especiales que pueden ser requeridos para proteger elementos sensibles, como claves criptogrficas.

Seguridad de medios en trnsito La informacin puede ser vulnerable a accesos no autorizados, a mal uso o a corrupcin durante su transporte fsico. Se deberan aplicar los siguientes controles y medidas: a) deberan usarse transportes o mensajeros fiables;

b) debera convenirse entre las gerencias una lista de mensajeros autorizados; c) procedimientos para comprobar la identificacin de los mensajeros; d) la envoltura debera ser suficiente para proteger el contenido contra cualquier dao fsico que pueda ocurrir durante el trnsito; e) deberan adoptarse controles especiales para proteger la informacin sensible de la divulgacin o modificacin no autorizadas;

Mensajera electrnica Se debe proteger apropiadamente la informacin involucrada en mensajes electrnicos. Las consideraciones de seguridad para mensajera electrnica debe incluir lo siguiente: a) proteccin de mensajes de acceso no autorizado, modificacin o deniego de servicio; b) asegurar el correcto direccionamiento y transporte del mensaje; c) confiabilidad y disponibilidad del servicio; d) consideraciones legales, por ejemplo los requisitos para las firmas electrnicas; e) obtener la aprobacin antes de usar los servicios pblicos externos; f) niveles ms fuertes de autenticacin para controlar el acceso de redes pblicas.

Sistemas de informacin comerciales Polticas y procedimientos deben ser desarrollados e implementados para proteger la informacin asociada con la interconexin de sistemas de informacin comerciales. Se debe incluir: a) las vulnerabilidades conocidas en los sistemas administrativos y de contabilidad donde la informacin es compartida entre diferentes partes de la organizacin; b) vulnerabilidades de informacin en sistemas de distribucin de correo. comunicacin

comerciales, ejemplo: confidencialidad de llamadas, abriendo el correo,

c) polticas y controles apropiados para manejar la comparticin de informacin; d) establecer categoras de informacin del negocios sensibles y documentos clasificados si el sistema no proporciona un nivel de proteccin adecuado; e) restringir el acceso a informacin del diario que relaciona a los individuos seleccionados, por ejemplo personal que trabaja en los proyectos sensibles; f) establecer categoras del personal, contratistas o compaeros comerciales permitiendo usar el sistema y las localizaciones de la que puede accederse; g) identificar el estado de los usuarios, ejemplo: empleados de la organizacin o contratistas en directorios para el beneficio de otros usuarios. 2.6.9. SERVICIOS DE COMERCIO ELECTRNICO Garantizar el uso adecuado del comercio electrnico y evitar la prdida de seguridad.

Comercio electrnico Informacin involucrada en el comercio electrnico que pasa sobre una red pblica debe ser protegida de actividades fraudulentas, divulgacin no autorizada y modificacin. Consideraciones de seguridad en comercio electrnico debe incluir lo siguiente: a) el nivel de confidencialidad de cada parte debe exigir confidencialidad, ejemplo: a travs de autenticacin; b) asegurar que el compaero comercial est totalmente informado de sus autorizaciones; c) determinar y encontrar requerimientos para la confidencialidad, integridad, prueba de expedicin y recibo de documentos claves, y la no repudiacin de contratistas; d) nivel de confianza requerido en la integridad de listas de precios anunciadas;

e) la confidencialidad de cualquier dato o informacin sensible; f) la confidencialidad e integridad de cualquier transaccin, informacin de pago, detalles de direccin de entrega, y confirmacin de recepcin; g) comprobacin apropiado para verificar informacin del pago

proporcionada por un cliente; h) seleccionar un apropiado formulario de pago para guardar contra fraude; i) el nivel de proteccin requerido para mantener la confidencialidad e integridad de informacin; j) anulacin de prdida o duplicacin de informacin de la transaccin; k) la obligacin asociada con cualquier transaccin fraudulenta; l) requerimientos seguros.

Transacciones en lnea Informacin involucrada en transacciones en lnea deben ser protegidas para prevenir transmisiones incompletas, prdida de enrutamiento, alteracin de mensajes no autorizados, divulgacin no autorizada, duplicacin de mensajes no autorizados. Las consideraciones de seguridad para transacciones en lnea deben incluir lo siguiente: a) el uso de firmas electrnicas por cada una de las partes involucradas en la transaccin; b) todos los aspectos de la transaccin, ejemplo: asegurando que: 1. Las credenciales del usuario de todas las partes son vlidas y verificadas; 2. Las transacciones permanecen confidencial; y 3. Privacidad asociada con todas las partes involucradas es retenido; c) el camino de comunicaciones entre todas las partes involucradas es encriptado; d) protocolos usados para la comunicacin entre todas las partes involucradas es asegurado; e) asegurar que el almacenamiento de los detalles de la transaccin son localizadas fuera de cualquier ambiente pblico, ejemplo: en una

plataforma existente de la Intranet organizacional, y no retuvo y expuso en un medio de almacenamiento directamente accesible del Internet; f) donde una autoridad es usada para propsitos de seguridad, por ejemplo: para los propsitos de emitir y mantener firmas digitales y/o los certificados digitales.

Publicidad de informacin disponible. Se debera cuidar la proteccin de la integridad de la informacin publicada para evitar la modificacin no autorizada que pueda daar la reputacin de la organizacin que la publica. El software, datos y otra informacin que requiera un alto nivel de integridad y que estn disponibles pblicamente deberan protegerse por mecanismos adecuados, por ejemplo, firmas digitales. Se debe tratar de: a) se obtenga una proteccin de datos de acuerdo con la legislacin; b) la entrada de informacin y su tratamiento por el sistema de publicacin se procesarn completa y exactamente en forma oportuna; c) la informacin sensible se proteger durante su eliminacin y almacenamiento; d) el acceso al sistema de publicacin no permitir el acceso no autorizado a las redes a las que est conectado. 2.6.10. MONITORIZACIN Asegurar que los sistemas se usan adecuadamente y cumplen los requerimientos establecidos, en caso de incidentes de seguridad estos deben ser registrados.

Registros de Auditoria Se debe registrar las actividades de los usuarios en los registros de auditoria, as como los eventos de seguridad para que sea de ayuda en investigaciones futuras. Los registros de auditoria deben incluir: a) ID de usuario; b) fecha, hora, y detalles de eventos claves, ejemplo: conexin y desconexin;

c) si es posible identidad del monitor o localizacin; d) en los sistemas de acceso registrar el intento de exitoso y fracaso; e) en los sistemas de acceso registrar el intento de exitoso y fracaso de los datos; f) g) h) i) j) k) l) cambios a la configuracin de los sistemas; uso de privilegios; uso de utilidades del sistema y aplicaciones; acceso a los archivos y tipo de acceso; direcciones de red y protocolos; alarmas establecidas por el sistema de control de acceso; activacin y desactivacin de sistemas de proteccin, como sistemas de anti-virus y sistemas de proteccin de intrusos.

Monitorizando el uso del sistema Establecer procedimientos para la supervisin del uso de los recursos de tratamiento de la informacin. El nivel de monitorizacin requerido para recursos individuales debe ser determinado por la valoracin de riesgos. Las reas que deben ser consideradas incluye: a) b) a) b) c) acceso autorizado; todas las operaciones privilegiadas; intentos de acceso desautorizado; alertas del sistema o fallas; cambios o intentos de cambias en el ambiente del sistema de seguridad y sus controles.

Con que frecuencia se revisan los resultados de las actividades de monitorizacin depende de los riesgos involucrados. Se debe considerar los siguientes puntos: a) criticidad de los procesos de aplicacin; b) valor, sensibilidad y criticidad de la informacin involucrada; c) la experiencia pasada de infiltracin del sistema y mal uso, y la frecuencia de vulnerabilidades que han sido explotadas;

d) magnitud de los sistemas de interconexin (particularmente en redes pblicas); e) registrando servicios siendo desactivados.

Proteccin de informacin del registro Debe protegerse los registros contra el acceso desautorizado. Se debe tomar en cuenta: a) alteraciones a los tipos de mensajes que son grabados; b) archivos de registro siendo editados o anulados; c) capacidad de almacenamiento de los medios de archivo de registro extendindose, resultado cualquier falla de eventos de grabacin o sobre escrito los pasados eventos de registro;

Registro de administrador y operador Se deben registrar las actividades del sistema de administrador y sistema de operador. Los registros deben incluir: a) el tiempo en que un evento ha ocurrido (xito o falla); b) informacin acerca del evento (ejemplo: manipulacin de archivos) o falla (ejemplo: error ha ocurrido y acciones correctivas); c) que cuenta y que administrador u operador fue involucrado; d) que procesos fueron involucrados.

Sincronizacin del reloj Los relojes de informacin de los sistemas de informacin dentro de una organizacin o dominio de seguridad debe ser sincronizado con una fuente de tiempo exacta. Donde una computadora o sistemas de comunicaciones tienen la capacidad para operar un reloj en tiempo real, el reloj debe ser establecido de acuerdo a un estndar convenido, ejemplo: Coordinacin Universal de Tiempo (UTC) y

debe haber un procedimiento que verifica y corrige cualquier variacin significante.

2.7.CONTROL DE ACCESOS

2.7.1. REQUISITOS DE DE ACCESOS

NEGOCIO

PARA EL

CONTROL

Se debera controlar el acceso a la informacin y los procesos del negocio sobre la base de los requisitos de seguridad y negocio. Se deberan tener en cuenta para ello las polticas de distribucin de la informacin y de autorizaciones.

Poltica de control de accesos En la poltica de control de accesos se debera tener bien definido y documentado los requisitos del negocio para el control de acceso, definindose de forma clara las reglas y derechos de cada usuario. Debera contemplar: a) b) c) d) requisitos de seguridad de cada aplicacin de negocio individualmente; identificacin de toda la informacin relativa a las aplicaciones; polticas para la distribucin de la informacin y las autorizaciones; coherencia entre las polticas de control de accesos y las polticas de clasificacin de la informacin en los distintos sistemas y redes; e) legislacin aplicable y las obligaciones contractuales respecto a la proteccin del acceso a los datos o servicios; f) perfiles de acceso de usuarios estandarizados segn las categoras comunes de trabajos; g) administracin de los derechos de acceso en un entorno distribuido en red que reconozca todos los tipos disponibles de conexin; h) segregacin de roles en el control de acceso;

i) requerimientos para autorizacin formal de pedidos de acceso; j) requerimientos para revisiones peridicas de control de acceso; k) remover derechos de accesos. 2.7.2. GESTIN DE ACCESO DE USUARIOS Se debera establecer procedimientos formales para controlar la asignacin de los derechos de acceso a los sistemas y servicios. Estos procedimientos deberan cubrir todas las etapas de acceso de los usuarios, desde el registro inicial de los nuevos hasta la baja del registro de los usuarios que ya no requieran dicho acceso a los sistemas y servicios.

Registro de usuarios Se considera un procedimiento de registro de ingreso y salida de usuarios para garantizar y revocar el acceso a los sistemas y servicios de informacin. El registro debera incluir: a) la utilizacin de un identificador nico para cada usuario, b) la comprobacin de la autorizacin del usuario por el propietario del servicio para utilizar el sistema o el servicio de informacin. c) verificacin de la adecuacin del nivel de acceso asignado al propsito del negocio y su consistencia con la poltica de seguridad de la organizacin d) la entrega a los usuarios de una relacin escrita de sus derechos de acceso; e) la peticin a los usuarios para que reconozcan con su firma la comprensin de las condiciones de acceso; f) la garanta de que no se provea acceso al servicio hasta que se hayan completado los procedimientos de autorizacin; g) el mantenimiento de un registro formalizado de todos los autorizados para usar el servicio; h) la eliminacin inmediata de las autorizaciones de acceso a los usuarios que dejan la organizacin o cambien de trabajo en ella;

i) la revisin peridica y eliminacin de identificadores y cuentas de usuario redundantes; j) la garanta de no reasignacin a otros usuarios de los identificadores de usuario redundantes.

Gestin de privilegios Al hablar de privilegios se refiere a la prestacin o recurso de un sistema de informacin multiusuario que permita evitar controles del sistema o de la aplicacin. El uso inadecuado de privilegios en el sistema, muchas veces se revela como el factor principal que contribuye al fallo de los sistemas que han sido atacados con xito. Se deberan considerar los pasos siguientes para controlar la asignacin de privilegios: a) identificar los privilegios asociados a cada elemento del sistema; b) asignar privilegios a los individuos segn los principios de necesidad de su uso caso por caso; c) mantener un proceso de autorizacin y un registro de todos los privilegios asignados. No se otorgarn privilegios hasta que el proceso de autorizacin haya concluido; d) promover el desarrollo y uso de rutinas del sistema para evitar la asignacin de privilegios a los usuarios; e) promover el desarrollo y uso de programas que eviten la necesidad de correr con privilegios; f) asignar los privilegios a un identificador de usuario distinto al asignado para un uso normal.

Gestin de contraseas de usuario Las contraseas son medios, para validar la identidad de un usuario con el fin de acceder a un sistema o servicio de informacin. Se debera controlar la asignacin de contraseas por medio de un proceso de gestin formal que debera: a) requerir que los usuarios firmen un compromiso para mantener en secreto sus contraseas;

b) proporcionar inicialmente una contrasea temporal segura que forzosamente deben cambiar inmediatamente despus; c) establecer procedimientos para verificar la identidad de un usuario antes de proveer una contrasea ya sea temporal, nueva o reemplazo; d) establecer un conducto seguro para hacer llegar las contraseas temporales a los usuarios; e) las contraseas temporales deberan ser individuales; f) el usuario debera confirmar la recepcin de la contrasea; g) las contraseas no deberan ser almacenadas en la computadora sin estar protegidas; h) las contraseas por defecto de los vendedores de software o sistemas deberan cambiarse en la siguiente instalacin.

Revisin de los derechos de acceso de los usuarios Para mantener un control efectivo del acceso a los datos y servicios de informacin, se debera establecer un proceso de revisin peridica de los derechos de acceso de los usuarios. Este debera: a) revisar los derechos de acceso de los usuarios a intervalos de tiempo regulares y despus de cualquier cambio; b) revisar y cambiar los derechos de los accesos a los usuarios, cuando un empleado sea reasignado a otro puesto de trabajo dentro de la misma empresa; c) revisar ms frecuentemente las autorizaciones de derechos de acceso con privilegios especiales; d) comprobar las asignaciones de privilegios a intervalos de tiempo regulares para asegurar que no se han obtenido privilegios no autorizados.

2.7.3. RESPONSABILIDADES DE LOS USUARIOS Los usuarios deberan ser conscientes de sus responsabilidades en el mantenimiento de la eficacia de las medidas de control de acceso, en particular

respecto al uso de contraseas y a la seguridad del material puesto a su disposicin.

Uso de contraseas Las contraseas ofrecen un medio de validar la identidad de cada usuario, pudiendo as establecer los derechos de acceso a los recursos o servicios de tratamiento de la informacin. Todos los usuarios deberan ser informados acerca de: a) mantener la confidencialidad de las contraseas; b) evitar la escritura de las contraseas en papel; c) cambiar las contraseas si se tiene algn indicio de su vulnerabilidad; d) seleccionar contraseas de buena calidad, con una longitud mnima de 6 caracteres; e) cambiar las contraseas a intervalos de tiempo regulares o en proporcin al nmero de accesos; f) cambiar las contraseas temporales la primera vez que se ingrese al sistema; g) no incluir contraseas en ningn procedimiento automtico de conexin, que, las deje almacenadas permanentemente; h) no compartir contraseas de usuario individuales. i) no utilizar las mismas contraseas para el negocio y fuera del negocio.

Equipo informtico de usuario desatendido El equipo informtico instalado en zonas de usuario debera tener la proteccin adecuada. Se les debera recomendar a los usuarios y proveedores de servicio: a) cancelar todas las sesiones activas antes de marcharse, salvo si se dispone de una herramienta de bloqueo general; b) desconectar (log-off) los servidores o los computadores centrales cuando se ha terminado la sesin (y no slo apagar el terminal o el computador personal); c) proteger el terminal o el puesto de trabajo cuando no estn en uso con un bloqueador de teclado.

Polticas de limpieza de pantalla y escritorio Deberan adoptarse polticas de limpieza de escritorio para evitar papeles y unidades extrables que contengan informacin que requiera proteccin. Debera considerarse en la limpieza: a) informacin crtica o sensitiva del negocio; b) deberan dejarse con protector de pantalla Terminales y computadores que soliciten ingreso de contraseas; c) deberan ser protegidos los puntos de ingreso y salida de correos, fax; d) prevenir el uso de tecnologa de fotocopiado no autorizado; e) remover desde las impresoras informacin crtica o sensitiva del negocio. 2.7.4. CONTROL DE ACCESO A LA RED Hay que asegurarse que el acceso de los usuarios a las redes y sus servicios no comprometan la seguridad de dichos servicios, por medio de: a) interfaces adecuadas entre la red de la organizacin y las redes pblicas o las privadas de otras organizaciones; b) mecanismos adecuados de autenticacin para los usuarios y los equipos; c) control de los accesos de los usuarios a los servicios de informacin.

Poltica de uso de los servicios de la red Los usuarios slo deberan tener acceso directo a los servicios para los que estn autorizados de una forma especfica. Se debera formular la poltica de uso de las redes y los servicios de la red, que es conveniente que cubra: a) las redes y los servicios de la red a los que se puede acceder; b) los procedimientos de autorizacin para determinar quin puede acceder a qu redes y a qu servicios de la red; c) los controles y procedimientos de gestin para proteger el acceso a las conexiones de las redes y a los servicios de la red. d) el significado de usar el acceso a las redes y servicios de redes.

Autenticacin de usuarios para conexiones externas Las conexiones externas son una fuente potencial de accesos no autorizados a la informacin, por ejemplo, las realizadas con sistemas de acceso por lnea telefnica y mdem. Es importante determinar qu nivel de proteccin es requerido a partir de una evaluacin de riesgos, lo que se necesita para seleccionar adecuadamente el mtodo de autenticacin. La autenticacin de los usuarios remotos puede lograrse, por ejemplo, usando una tcnica criptogrfica, mecanismos de hardware o protocolos adecuados. Tambin pueden usarse lneas privadas dedicadas o un mecanismo de verificacin de la direccin del usuario en la red para asegurarse del origen de las conexiones.

Autenticacin de nodos de la red Los dispositivos de conexin remota automtica significan una amenaza de accesos no autorizados a las aplicaciones, se deberan autenticar las conexiones a sistemas informticos remotos. La autenticacin de nodos puede ser una alternativa a la autenticacin de grupos de usuarios remotos, cuando stos estn conectados a un sistema compartido seguro.

Proteccin a puertos de diagnstico remoto Debera controlarse de una manera segura el acceso a los puertos de diagnstico. En muchos computadores y sistemas de comunicacin se instala un servicio de conexin dialup para que los ingenieros de mantenimiento puedan realizar diagnsticos remotos, los que pueden permitir accesos no autorizados si no estn protegidos.

Segregacin en las redes Un mtodo para controlar la seguridad de grandes redes es dividirlas en dominios lgicos separados, cada uno protegido por un permetro definido de seguridad. Entre las dos redes a interconectar puede implantarse como permetro un gateway seguro que controle los accesos y los flujos de informacin entre los dominios. Se debera configurar este gateway para que

filtre el trfico entre ellos y bloquee los accesos no autorizados de acuerdo con la poltica de control de accesos de la organizacin.

Control de conexin a las redes Los requisitos de la poltica de control de accesos para redes compartidas, necesitan incorporar controles que restrinjan las capacidades de conexin de los usuarios. Las restricciones que se impongan se deberan basar en los requisitos de las aplicaciones del negocio y se deberan mantener y actualizar de acuerdo a ellos. Estas restricciones podran ser, por ejemplo: a) correo electrnico; b) transferencia de archivos; c) acceso interactivo; d) acceso desde la red limitado a das de la semana u horas concretas.

Control de enrutamiento en la red Las redes compartidas, especialmente las que cruzan las fronteras de la organizacin, pueden requerir controles de enrutamiento que garanticen que las conexiones entre computadores y los flujos de informacin no incumplan la poltica de control de acceso a las aplicaciones. La conversin de direcciones de la red tambin es un mecanismo muy til para aislar redes y evitar rutas de propagacin desde la red de una organizacin a la red de otra. 2.7.5. CONTROL DE ACCESO AL SISTEMA OPERATIVO Las prestaciones de seguridad a nivel de sistema operativo se deberan utilizar para restringir el acceso a los recursos del computador, los que deberan ser capaces de: a) identificar y verificar la identidad de cada usuario autorizado, y si procede, el terminal o la ubicacin fsica del mismo; b) c) d) e) f) registrar los accesos satisfactorios y fallidos al sistema; registrar el uso de privilegios especiales al sistema; generar una alarma cuando se quebrante las polticas de seguridad; suministrar mecanismos, adecuados de autenticacin; cuando proceda, restringir los tiempos de conexin de usuarios.

Procedimientos de conexin de terminales Se debera disear un procedimiento para conectarse al sistema informtico que minimice la posibilidad de accesos no autorizados. Un buen procedimiento de conexin debera: a) no mostrar identificacin del sistema o aplicacin hasta que termine el proceso de conexin; b) mostrar un mensaje que advierta la restriccin de acceso al sistema slo a usuarios autorizados; c) no ofrecer mensajes de ayuda durante el proceso de conexin que puedan guiar a usuarios no autorizados; d) validar la informacin de conexin slo tras rellenar todos sus datos de entrada. e) limitar el nmero de intentos fallidos de conexin; f) limitar los tiempos mximo y mnimo permitidos para efectuar el proceso de conexin; y concluir si se exceden; g) mostrar la fecha y hora de la anterior conexin realizada con xito y la informacin de los intentos fallidos desde la ltima conexin; h) no mostrar la contrasea ingresada al inicio de la conexin; i) no transmitir contraseas en texto plano sobre la red.

Identificacin y autenticacin del usuario Todos los usuarios deberan disponer de un identificador nico para su uso personal y exclusivo, a fin de que pueda posteriormente seguirse la pista de las actividades de cada responsable particular. Los identificadores no deberan dar indicacin alguna del nivel de privilegio del usuario, por ejemplo, supervisor, director, etc.

Sistema de gestin de contraseas Los sistemas de gestin de contraseas deberan proporcionar un medio eficaz e interactivo para asegurar la calidad de las mismas. Un buen sistema de gestin de contraseas debera: a) imponer el uso de contraseas individuales con el fin de establecer responsabilidades;

b) permitir que los usuarios escojan sus contraseas, las cambien e incluyan un procedimiento de confirmacin para evitar errores al introducirlas; c) imponer la seleccin de contraseas de calidad; d) imponer el cambio de contraseas; e) imponer el cambio de contraseas iniciales en la primera conexin si son los usuarios quienes las escogen; f) mantener un registro de las anteriores contraseas utilizadas, por ejemplo, durante el ltimo ao, e impedir su reutilizacin; g) no mostrar las contraseas en la pantalla cuando se estn introduciendo; h) almacenar las contraseas y los datos del sistema de aplicaciones en sitios distintos; i) almacenar las contraseas en forma cifrada mediante un algoritmo de cifrado unidireccional.

Utilizacin de las facilidades del sistema Es fundamental que se restrinja el uso de sistemas o aplicaciones y se mantenga fuertemente controlado el acceso a las mismas. Los controles siguientes deberan ser considerados: a) usar procedimientos de autenticacin para las facilidades del sistema; b) separar las facilidades del sistema de las aplicaciones de software; c) limitar el uso de las facilidades del sistema al mnimo nmero de usuarios autorizados y fiables; d) autorizar el uso de las facilidades con un propsito concreto (ad hoc); e) limitar la disponibilidad de las facilidades del sistema; f) registrar todo uso de las facilidades del sistema; g) definir y documentar los niveles de autorizacin para las facilidades del sistema; h) desactivar todas las facilidades basadas en software y el software de sistemas que no sean necesarios. i) no dar disponibilidad de las facilidades del sistema a usuarios que tienen acceso a aplicaciones en sistemas donde utilizan separacin de tareas.

Desconexin automtica de terminales Se deberan desactivar tras un periodo definido de inactividad los terminales situados en reas pblicas o no cubiertas por la gestin de seguridad de la organizacin, o que sirvan a sistemas de alto riesgo, para evitar el acceso de personas no autorizadas.

Limitacin del tiempo de conexin Estas medidas de control se deberan emplear para aplicaciones sensibles, en especial para terminales instalados en reas pblicas o no cubiertas por la gestin de seguridad de la organizacin. Restricciones como por ejemplo: a) el uso de ranuras de tiempo predeterminado; b) restriccin de tiempos de conexin al horario normal de oficina, si no existen requisitos para operar fuera de este horario. c) considerar re autenticacin a intervalos determinados 2.7.6. CONTROL DE ACCESO A LAS APLICACIONES Se deberan restringir el acceso lgico al software y a la informacin slo a los usuarios autorizados. Las aplicaciones deberan: a) controlar el acceso de los usuarios a la informacin y las funciones del sistema de aplicacin, de acuerdo con la poltica de control de accesos; b) protegerse de accesos no autorizados desde otras facilidades o software de sistemas operativos que sean capaces de eludir los controles del sistema o de las aplicaciones; c) no comprometer la seguridad de otros sistemas con los que se compartan recursos de informacin; Restriccin de acceso a la informacin Se debera dar acceso a la informacin y a las funciones del sistema de aplicaciones slo a los usuarios de ste, incluido el personal de apoyo. Deberan considerarse las siguientes medidas: b) establecer mens para controlar los accesos a las funciones del sistema; a) controlar los derechos de acceso de los usuarios; c) controlar los derechos de acceso de los usuarios a otras aplicaciones;

d) asegurarse que las salidas de los sistemas de aplicacin que procesan informacin sensible, slo contienen la informacin correspondiente para el uso de la salida y se envan, nicamente, a los terminales y sitios autorizados. Aislamiento de sistemas sensibles Algunos sistemas de aplicaciones pueden necesitar un tratamiento especial, que corran en un procesador dedicado, que slo compartan recursos con otros sistemas de aplicaciones garantizados o que no tengan limitaciones. Las consideraciones siguientes son aplicables: a) el propietario de la aplicacin debera indicar explcitamente y documentar la sensibilidad de sta; b) cuando una aplicacin sensible se ejecute en un entorno compartido, se deberan identificar y acordar con su propietario los sistemas de aplicacin con los que compartan recursos.

2.7.7. INFORMTICA MVIL Y TELETRABAJO Se deberan considerar los riesgos de trabajar en un entorno desprotegido cuando se usa informtica mvil y aplicar la proteccin adecuada. En el caso del teletrabajo la organizacin debera implantar proteccin en el lugar del teletrabajo y asegurar que existen los acuerdos adecuados para este tipo de trabajo.

Informtica mvil Se debera adoptar especial cuidado para asegurar que la informacin no se comprometa cuando se usan dispositivos de informtica mvil como porttiles, agendas, calculadoras y telfonos mviles. Se debera formalizar una poltica que tenga en cuenta los riesgos de trabajar con dispositivos de informtica mvil, especialmente en entornos desprotegidos. Esta poltica tambin debera incluir reglas y consejos para conectar los dispositivos de informtica mvil a las redes as como una gua para el uso de estos dispositivos en lugares pblicos.

Se debera tener cuidado cuando se usen dispositivos de informtica mvil en lugares pblicos, salas de reuniones y otras reas desprotegidas fuera de locales de la organizacin. Cuando estos dispositivos se usen en lugares pblicos, es importante tener cuidado para evitar el riesgo de que se enteren personas no autorizadas. Se debera disponer de equipos para realizar respaldos rpidos y fciles de la informacin, a los que se debera dar la proteccin adecuada, por ejemplo, contra robo o prdida.

Teletrabajo El teletrabajo usa tecnologas de comunicacin para que el personal pueda trabajar de manera remota desde un lugar fijo situado fuera de su organizacin. Se debera proteger debidamente el lugar de teletrabajo contra, por ejemplo, el robo del equipo o informacin, la distribucin no autorizada de informacin, el acceso remoto no autorizado a los sistemas internos de la organizacin o el mal uso de los dispositivos. Se debera considerar lo siguiente:

a) la seguridad fsica real del lugar de teletrabajo, teniendo en cuenta la del edificio y la de su entorno local; b) el entorno de teletrabajo propuesto; c) los requisitos de seguridad de las comunicaciones, teniendo en cuenta la necesidad de acceso remoto a los sistemas internos de la organizacin; d) la amenaza de acceso no autorizado a informacin y recursos por otras personas; e) el uso de las redes en el hogar, y de los requisitos o restricciones en la configuracin de los servicios de red inalmbrica; f) polticas y procedimientos para prevenir problemas debido a derechos de desarrollo de propiedad intelectual en equipos privados; g) acceso a equipos privados; h) requerimientos de proteccin utilizando firewall y antivirus.

2.8.ADQUISICION, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN


2.8.1. REQUISITOS DE SEGURIDAD DE LOS SISTEMAS Todos los requisitos de seguridad, incluyendo las disposiciones para contingencias, la infraestructura, las aplicaciones de negocio y las aplicaciones desarrolladas por usuario; deberan ser identificados y justificados en la fase de requisitos de un proyecto, consensuados y documentados como parte del proceso de negocio global para un sistema de informacin.

Anlisis y especificacin de los requisitos de seguridad Los requisitos y controles de seguridad deberan reflejar el valor de los activos de informacin implicados y el posible dao a la organizacin que resultara de fallos o ausencia de seguridad. La estimacin del riesgo y su gestin son el marco de anlisis de los requisitos de seguridad y de la identificacin de los controles y medidas para conseguirla. 2.8.2. SEGURIDAD DE LAS APLICACIONES DEL SISTEMA Se deberan disear dentro de las aplicaciones las medidas de control y las pistas de auditoria o los registros de actividad. stos deberan incluir la validacin de los datos de entrada, el tratamiento interno y los datos de salida. Se pueden requerir medidas y controles adicionales en los sistemas que procesen o tengan impacto sobre activos sensibles, valiosos o crticos para la organizacin. Control del proceso interno Se deberan incorporar a los sistemas comprobaciones de validacin para detectar corrupcin de datos. reas de riesgo especficas a considerar seran: a) la ubicacin y uso en los programas de funciones aadir y borrar para cambiar los datos; b) los procedimientos para evitar programas que corran en orden equivocado o despus del fallo de un proceso anterior; c) el uso de programas correctos de recuperacin despus de fallas para asegurar el proceso correcto de los datos.

d) proteccin contra ataques de desbordamiento de buffer.

Autenticacin de mensajes La autenticacin de mensajes es una tcnica utilizada para detectar cambios no autorizados o una corrupcin del contenido de un mensaje transmitido electrnicamente. Se debera establecer en aplicaciones que requieran proteccin de la integridad del contenido de los mensajes, por ejemplo, transferencia electrnica de fondos, especificaciones, contratos, propuestas u otros intercambios electrnicos de datos importantes. 2.8.3. CONTROLES CRIPTOGRFICOS Se deberan usar sistemas y tcnicas criptogrficas para proteger la informacin sometida a riesgo, cuando otras medidas y controles no proporcionen la proteccin adecuada.

Poltica de uso de los controles criptogrficos La organizacin debera desarrollar una poltica de uso de las medidas criptogrficas para proteger la informacin. El desarrollo de una poltica debera considerar lo siguiente: a) un enfoque de gestin del uso de las medidas criptogrficas a travs de la organizacin; b) un enfoque de gestin de claves, incluyendo mtodos para tratar la recuperacin de la informacin cifrada en caso de prdida, divulgacin o dao; c) los papeles y responsabilidades de cada cual; d) e) f) g) la implantacin de la poltica; la gestin de las claves; la forma de determinar el nivel de proteccin criptogrfico adecuado; las normas a adoptar para su implantacin eficaz a travs de la organizacin.

Gestin de claves

La gestin de las claves criptogrficas es crucial para el uso eficaz de las tcnicas criptogrficas. Se debera instalar un sistema de gestin para dar soporte al uso por la organizacin de los dos tipos de tcnicas criptogrficas, que son: a) las tcnicas de clave secreta, donde dos o ms partes comparten la misma clave, que se usa tanto para cifrar como para descifrar la informacin; b) las tcnicas de clave pblica, donde cada usuario tiene un par de claves, una pblica (que puede conocer cualquiera) y otra privada (que ha de mantenerse en secreto); c) el sistema de gestin de claves se debera basar en un conjunto acordado de normas, procedimientos y mtodos seguros para: a. generar claves para distintos sistemas criptogrficos y distintas aplicaciones; b. generar y obtener certificados de clave pblica; d) distribuirlas a los usuarios previstos, incluyendo la forma de activarlas y recibirlas; e) almacenar claves, incluyendo la forma de obtencin de acceso a las claves; f) cambiar o actualizar claves, incluyendo reglas para saber cundo y cmo; g) tratar las claves comprometidas (afectadas); h) revocar claves, incluyendo la forma de desactivarlas o retirarlas; i) recuperar claves que se han perdido o corrompido como parte de la gestin de continuidad del negocio; j) archivar claves; k) destruir claves; l) hacer seguimiento y auditoras de las actividades relacionadas con la gestin de las claves. Para reducir la probabilidad de comprometer las claves, se deberan definir fechas de activacin y desactivacin para que slo puedan utilizarse durante un periodo limitado. Este debera depender de las circunstancias del uso de las medidas de control criptogrficas y del riesgo percibido.

2.8.4. SEGURIDAD DE LOS ARCHIVOS DEL SISTEMA El mantenimiento de la integridad del sistema debera ser responsabilidad del grupo de desarrollo o de la funcin del usuario a quien pertenezcan las aplicaciones del sistema o el software.

Control del software en produccin Se debera controlar la implantacin de software en los sistemas operativos. Para minimizar el riesgo de corrupcin deberan considerarse los siguientes controles: a) la actualizacin de las libreras de programas operativos slo se debera realizar por el responsable correspondiente autorizacin de la gerencia. b) los sistemas operativos deberan tener slo cdigo ejecutable, si es posible. c) no se debera implantar cdigo ejecutable en un sistema operativo mientras no se tenga evidencia del xito de las pruebas; d) se debera mantener un control de todo el software implementado as como la documentacin del sistema; e) se debera tener una estrategia de retroceso antes de implementar un cambio; f) se debera mantener un registro de auditoria de todas las actualizaciones a las libreras de programas en produccin. g) se deberan retener las versiones anteriores de software como medida de precaucin para contingencias.

El software adquirido que se use en sistemas operativos se debera mantener en el nivel de soporte del proveedor. Se deberan aplicar parches al software cuando ayuden a eliminar o reducir las vulnerabilidades.

Proteccin de los datos de prueba del sistema Las pruebas de sistema y de aceptacin, generalmente requieren un volumen de datos lo mas prximo posible al volumen real. Se deberan aplicar los controles y medidas siguientes:

a) los procedimientos de control de acceso que se consideran para las aplicaciones del sistema operacional se deberan utilizar; a) autorizar por separado cada vez que se copie informacin operativa a un sistema de aplicacin en prueba; b) borrar la informacin operativa de la aplicacin del sistema en prueba en cuanto sta se complete; c) registrar la copia y uso de la informacin operativa a efectos de seguimiento para auditoria.

Control de acceso a la librera de programas fuente Para reducir la probabilidad de corrupcin de los programas del sistema, se debera mantener un estricto control en el acceso a las libreras de programas fuente como los siguientes: a) si es posible, las libreras no deberan residir en los sistemas operativos. b) se debera nombrar un encargado de la librera para cada aplicacin. c) el personal de apoyo informtico no debera tener libre acceso, sin restriccin; d) la actualizacin de libreras de programas y la entrega de programas a los programadores se debera realizar slo por el responsable; e) los listados de programas se deberan mantener en un entorno seguro. f) se debera mantener un registro de auditora de todos los accesos a las libreras g) el mantenimiento y copia de las libreras de programas fuente debera estar sujeta a procedimientos estrictos de control de cambios. 2.8.5. SEGURIDAD EN LOS PROCESOS DE DESARROLLO Y SOPORTE Se deberan controlar estrictamente los entornos del proyecto y de soporte. Los directivos responsables de los sistemas de aplicaciones tambin lo deberan ser de la seguridad del entorno del proyecto o su soporte. Se deberan asegurar de la revisin de todo cambio propuesto al sistema para comprobar que no debilite su seguridad o la del sistema operativo.

Procedimientos de control de cambios Se deberan exigir procedimientos formales de control de cambios que garanticen que la seguridad y los procedimientos de control no estn debilitados. Este proceso debera incluir: a) el mantenimiento de un registro de los niveles de autorizacin acordados; b) la garanta de que los cambios se realizan por usuarios autorizados; c) la revisin de los controles y los procedimientos de integridad; d) la identificacin de todo el software, informacin, entidades de bases de datos y hardware que requiera mejora; e) la obtencin de la aprobacin formal para propuestas detalladas; f) la garanta de la aceptacin por el usuario autorizado de los cambios; g) la garanta de la forma de implantacin que minimice la interrupcin del negocio; h) la garanta de actualizacin de la documentacin del sistema al completar cualquier cambio y del archivo o destruccin de la documentacin antigua; i) el mantenimiento de un control de versiones de toda actualizacin del software; j) el mantenimiento de un seguimiento de auditora de todas las peticiones de cambio; k) la garanta del cambio de la documentacin operativa y de los procedimientos de usuario en funcin de la necesidad; l) la garanta de la adecuacin del tiempo de implantacin de los cambios para no dificultar los procesos de negocio implicados.

Revisin tcnica de los cambios en el sistema operativo Se deberan revisar y probar las aplicaciones del sistema cuando se efecten cambios, para asegurar que no impactan adversamente en el funcionamiento o en la seguridad. Este proceso debera cubrir: a) la revisin de los procedimientos de control de la aplicacin y de la integridad;

b) la garanta de que el plan de soporte anual y el presupuesto cubren las revisiones y las pruebas del sistema; c) la garanta de que la modificacin de los cambios del sistema operativo se realiza a tiempo; d) la garanta de que se realizan los cambios apropiados en los planes de continuidad del negocio.

Restricciones en los cambios a los paquetes de software Se deberan usar los paquetes de software suministrados por los proveedores sin modificacin en la medida que sea posible y practicable. Cuando haya necesidad de modificarlos, se deberan considerar los aspectos siguientes: a) el riesgo de debilitamiento de las medidas de control incorporadas y sus procesos de integridad; b) la obtencin del consentimiento del vendedor; c) la posibilidad de obtener los cambios requeridos como actualizaciones normales del programa del vendedor; d) el impacto causado si la organizacin adquiere la responsabilidad del mantenimiento futuro del software como resultado de los cambios.

Canales encubiertos y cdigo Troyano Canales por donde puede salir la informacin, deben ser controlados. Se debe considerar los siguientes aspectos para limitar el riesgo de la salida de la informacin, por ejemplo con el uso y la explotacin de canales secretos: a) exploracin de medios y de comunicaciones de salida para informacin oculta, b) usar sistemas y software que se consideran ser de alta integridad, por ejemplo con productos evaluados; c) supervisin regular de las actividades del personal y del sistema; d) supervisin de los recursos utilizados en sistemas informticos.

Desarrollo externo del software Deberan ser considerados los siguientes aspectos cuando se externalice el desarrollo de software:

a) acuerdos bajo licencia, propiedad del cdigo y derechos de propiedad intelectual; b) certificacin de la calidad y exactitud del trabajo realizado; c) acuerdos para hacerse cargo en el caso de fallo de terceros; d) derechos de acceso para auditar la calidad y exactitud del trabajo realizado; e) requisitos contractuales sobre la calidad del cdigo; f) pruebas antes de la implantacin para detectar el cdigo Troyano. 2.8.6. GESTIN DE VULNERABILIDAD TCNICA Se pretende reducir riesgos, resultado de la explotacin de vulnerabilidades tcnicas publicadas. La misma que debe ser puesta en ejecucin de una manera eficaz, sistemtica, y repetible con las medidas tomadas para confirmar su eficacia.

Control de vulnerabilidades tcnicas Se requiere de informacin oportuna sobre vulnerabilidades tcnicas de los sistemas de informacin que son utilizados en la organizacin, y la evaluacin de la exposicin de la organizacin a tales vulnerabilidades. Se debera seguir los siguientes pasos para establecer un proceso eficaz de la gestin de las vulnerabilidades tcnicas: a) definir y establecer los roles y las responsabilidades asociados a la gestin de vulnerabilidades tcnicas; b) identificar los recursos de informacin que sern utilizados para identificar vulnerabilidades tcnicas relevantes; c) definir tiempo mximo para reaccionar a las notificaciones de vulnerabilidades tcnicas potencialmente relevantes; d) cuando se haya identificado una vulnerabilidad tcnica potencial, la organizacin debe identificar los riesgos asociados y las acciones que se tomarn;

e) dependiendo de la prioridad de la vulnerabilidad tcnica, la accin tomada se debe realizar segn los procedimientos para manejar incidente de la seguridad de la informacin; f) determinar los riesgos asociados a instalar un parche; g) probar y evaluar los parches antes de que sean instalados para asegurarse son eficaces y no dan lugar a los efectos secundarios que no pueden ser tolerados; h) mantener un registro de auditoria para todos los procedimientos emprendido; i) el proceso de gestin de la vulnerabilidad tcnica se debe supervisar y evaluar regularmente para asegurar su eficacia y eficacia; j) los sistemas en el alto riesgo se deben tratar primero.

2.9.GESTION DE INCIDENTES DE SEGURIDAD DE LA INFORMACION

2.9.1. DIVULGACIN DE EVENTOS Y DE DEBILIDADES DE LA SEGURIDAD DE LA INFORMACIN Para asegurar los eventos y las debilidades de la seguridad de la informacin asociados a los sistemas de informacin, los procedimientos formales de la divulgacin y de escalada del acontecimiento deben estar en lugar. Todos los empleados, contratistas y usuarios de los terceros deben ser enterados de los procedimientos para divulgar diversos tipos de eventos y de debilidad que pudieron tener un impacto en la seguridad de activos de organizacin.

Divulgacin de eventos de la seguridad de la informacin Procedimientos de divulgacin formal del acontecimiento de la seguridad de la informacin se deben establecer, junto con una respuesta del incidente y un procedimiento de escalada, precisando la accin que se adquirir recibo de un informe de un acontecimiento de la seguridad de la informacin. Los mismos que deben incluir:

a) el comportamiento correcto que se emprender en caso de que se de un evento de la seguridad de la informacin; b) Un proceso disciplinario formal establecido para los empleados, contratistas o usuarios de los terceros que ocasionen riesgos de la seguridad.

Divulgacin de debilidades de la seguridad Todos los empleados, contratistas y usuarios de los terceros de los sistemas y de los servicios de informacin deben observar y divulgar cualquier debilidad observada o sospechada de la seguridad en sistemas o servicios. El mecanismo de divulgacin debe estar tan fcil, accesible, y disponible como sea posible. 2.9.2. ADMINISTRACIN DE INCIDENTES Y MEJORAS DE LA SEGURIDAD DE LA INFORMACIN Se deben definir las responsabilidades y procedimientos para manejar acontecimientos y debilidades de la seguridad de la informacin con eficacia una vez que se hayan divulgado. Un proceso de la mejora continua se debe aplicar a la respuesta, supervisin, evaluacin, y administracin total de los incidentes de seguridad de la informacin.

Responsabilidades y procedimientos Las responsabilidades y los procedimientos de la gerencia se deben establecer para asegurar una respuesta rpida, eficaz, y ordenada a los incidentes de la seguridad de la informacin. Deben ser considerados algunos aspectos: a) los procedimientos se deben establecer para manejar diversos tipos de incidente de la seguridad de la informacin; b) planes de contingencia normales; c) los rastros de intervencin y evidencia similar se deben recoger y asegurar, como apropiado; d) la accin correcta para recuperarse de brechas de seguridad y de fallos del sistema debe estar cuidadosamente y formalmente controlados.

Aprendizaje desde incidentes de seguridad de la informacin Debe haber mecanismos que permitan la cuantificacin y supervisin de incidentes de seguridad de la informacin. La informacin obtenida de la evaluacin de los incidentes de la seguridad de la informacin se debe utilizar para identificar impactos de incidentes que se repiten. Coleccin de evidencia Se deben desarrollar procedimientos internos para recoger y presentar evidencia para los propsitos de la accin disciplinaria manejados dentro de una organizacin. En general, las reglas deberan ser: a) admisibilidad de la evidencia; b) peso de evidencia: la calidad y lo completo de la evidencia. Para alcanzar la admisibilidad de la evidencia, la organizacin debe asegurarse de que sus sistemas de informacin se conforman con cualquier estndar o cdigo de la prctica publicado para la produccin de la evidencia admisible. El peso de evidencia proporcionado debe conformarse con cualquier requisito aplicable.

2.10.

GESTIN DE CONTINUIDAD DEL NEGOCIO

2.10.1. ASPECTOS DE CONTINUIDAD

LA GESTIN DEL NEGOCIO

DE

La gestin de la continuidad del negocio debera incluir controles para la identificacin y reduccin de riesgos, limitar las consecuencias de incidencias dainas y asegurar la reanudacin, a tiempo, de las operaciones esenciales. As como reducir la interrupcin causada por desastres y fallas de seguridad.

Proceso de gestin de la continuidad del negocio Debera incluir los siguientes elementos clave: a) comprender los riesgos que la organizacin corre desde el punto de vista de su vulnerabilidad e impacto; b) identificar los activos envueltos en el proceso crtico del negocio; c) comprender el impacto que tendran las interrupciones en el negocio;

d) considerar la adquisicin de los seguros adecuados que formarn parte del proceso de continuidad del negocio; e) implementar controles adicionales de prevencin y mitigacin; f) formular y documentar planes de continuidad del negocio en lnea con la estrategia acordada; g) probar y actualizar regularmente los planes y procesos instalados; h) asegurar que la gestin de la continuidad del negocio se incorpora en los procesos y estructura de la organizacin.

Continuidad del negocio y anlisis de impactos El estudio para la continuidad del negocio debera empezar por la identificacin de los eventos que pueden causar interrupciones en los procesos de negocio. Se debera continuar con una evaluacin del riesgo para determinar el impacto de dichas interrupciones.

Desarrollo e implantacin de planes de contingencia Este control fue definido para asegurar la disponibilidad de la informacin en niveles aceptables y de acuerdo al nivel critico en el negocio. Se debera considerar: a) identificar procedimientos de emergencia; b) identificar una prdida aceptable de informacin y servicios; c) Implantar procedimientos de emergencia para la recuperacin en los plazos requeridos; d) Documentar los procedimientos y procesos acordados; e) Formacin apropiada del personal en los procedimientos y procesos de emergencia acordados; f) Prueba y actualizacin de los planes.

Marco de planificacin para la continuidad del negocio Se debera mantener un esquema nico de planes de continuidad del negocio para asegurar que dichos planes son consistentes y para identificar las prioridades de prueba y mantenimiento. El mismo que debera considerar:

a) las condiciones para activar los planes que describen el proceso a seguir antes de dicha activacin; b) procedimientos de emergencia que describen las acciones a realizar tras una contingencia que amenace las operaciones del negocio y/o vidas humanas; c) procedimientos de respaldo con las acciones a realizar para desplazar de forma temporal a lugares alternativos las actividades esenciales del negocio; d) procedimientos de reanudacin que describen las acciones a realizar para que las operaciones del negocio vuelvan a la normalidad; e) un calendario de mantenimiento que especifique cmo y cundo se harn pruebas del plan, as como el proceso para su mantenimiento; f) actividades de concientizacin y formacin diseadas para comprender los procesos de continuidad del negocio; g) responsabilidades de las personas, describiendo a cada responsable de la ejecucin de cada etapa del plan. Prueba, Mantenimiento y reevaluacin de los planes Los planes de continuidad del negocio se deberan probar y mantener con ayuda de revisiones y actualizaciones regulares para asegurar la continuidad de su eficacia. Deberan utilizarse diversas tcnicas para proporcionar la seguridad de que los planes funcionarn en la vida real. stas deberan incluir: a) prueba sobre el papel de varios escenarios; b) simulaciones; c) pruebas de recuperacin tcnica; d) pruebas de recuperacin en un lugar alternativo; e) pruebas de los recursos y servicios del proveedor; f) ensayos completos. Cualquier organizacin puede usar estas tcnicas, y deberan, en cualquier caso, reflejar la naturaleza del plan de recuperacin especfico.

2.11.

CUMPLIMIENTO

2.11.1. CUMPLIMIENTO CON LOS REQUISITOS LEGALES

Con este control se busca evitar los incumplimientos de cualquier ley civil o penal, requisito reglamentario, regulacin u obligacin contractual, y de todo requisito de seguridad. El diseo, operacin, uso y gestin de los sistemas de informacin puede estar sujeto a requisitos estatutarios, regulatorios y contractuales de seguridad.

Identificacin de la legislacin aplicable Se deberan definir y documentar de forma explcita todos los requisitos legales, regulatorios y contractuales que sean importantes para cada sistema de informacin.

Derechos de propiedad intelectual Se deberan implantar los procedimientos apropiados para asegurar el cumplimiento de las restricciones legales sobre el uso del material protegido como derechos de autor y los productos de software propietario. Se debera considerar: a) publicar una poltica de conformidad de los derechos de propiedad intelectual; b) publicar normas para los procedimientos de adquisicin de productos de software; c) mantener la concientizacin sobre los derechos de propiedad intelectual, publicando la intencin de adoptar medidas disciplinarias para el personal que los viole; d) mantener los registros apropiados de activos; e) mantener los documentos que acrediten la propiedad de licencias, material original, manuales, etc.; f) implantar controles para asegurar que no se exceda el nmero mximo de usuarios permitidos; g) comprobar que slo se instale software autorizado y productos bajo licencia; h) establecer una poltica de mantenimiento de las condiciones adecuadas de la licencia;

i) establecer una poltica de eliminacin de software o de su transferencia a terceros; j) usar herramientas adecuadas de auditora; k) cumplir los trminos y condiciones de uso del software y de la informacin obtenida de redes pblicas; l) Evitar duplicacin, convirtiendo a otro formato; m) Evitar la copia parcial o total de libros, artculos o reportes de otros documentos.

Salvaguarda de los registros de la organizacin Se deberan proteger los registros importantes de la organizacin frente a su prdida, destruccin y falsificacin. Es necesario guardar de forma segura ciertos registros, tanto para cumplir ciertos requisitos legales o regulatorios, como para soportar actividades esenciales del negocio. Para dar cumplimiento a stas obligaciones la organizacin debera dar los pasos siguientes: a) publicar guas sobre la retencin, almacenamiento, tratamiento y eliminacin de los registros y la informacin; b) establecer un calendario de retenciones que identifique los perodos para cada tipo esencial de registros; c) mantener un inventario de las fuentes de informacin clave; d) implantar los controles y medidas apropiadas para la proteccin de los registros y la informacin esencial contra su prdida, destruccin o falsificacin. Proteccin de los datos y de la privacidad de la informacin personal El cumplimiento de la legislacin de proteccin de datos personales requiere una estructura y controles de gestin apropiados. Por mayor facilidad se puede designar un encargado de dicha proteccin que oriente a los directivos, usuarios y proveedores de servicios sobre sus responsabilidades individuales y sobre los procedimientos especficos a seguir.

Evitar el mal uso de los recursos de tratamiento de la informacin

Todo uso de los recursos informticos para fines no autorizados o fuera del negocio se debera considerar como impropio. Si dicha actividad se identifica mediante supervisin y control u otros medios, se debera poner en conocimiento del gerente responsable de adoptar la accin disciplinaria apropiada. El uso de un computador con fines no autorizados puede llegar a ser un delito penal. Por tanto, es esencial que todos los usuarios sean conscientes del alcance preciso del acceso que se les permite.

Regulacin de los controles criptogrficos El uso de controles criptogrficos debera regularse en acuerdos, leyes, reglamentos de cada pas. Este control puede incluir: a) b) c) la importacin y/o exportacin de hardware y software para realizar funciones criptogrficas; restriccin del uso de encripcin; mtodos obligatorios o discrecionales de los pases para acceder a la informacin que est cifrada por hardware o software. 2.11.2. REVISIONES DE LA POLTICA DE SEGURIDAD Y DE LA CONFORMIDAD TCNICA Se requiere asegurar la conformidad de los sistemas con las polticas y normas de seguridad. Se deberan hacer revisiones regulares de la seguridad de los sistemas de informacin.

Conformidad con la poltica de seguridad Los gerentes deberan asegurarse que se cumplan correctamente todos los procedimientos de seguridad dentro de su rea de responsabilidad. Se deberan realizar revisiones regulares que aseguren el cumplimiento de las polticas y normas de seguridad, si se encuentra incumplimiento, se debera: a) b) c) d) determinar las causas; evaluar la necesidad de acciones para que no se incumpla nuevamente; determinar e implementar acciones correctivas; revisin de las acciones implementadas.

Comprobacin de la conformidad tcnica Se debera comprobar regularmente la conformidad con las normas de implantacin de la seguridad en los sistemas de informacin. La comprobacin de la conformidad tcnica implica el examen de los sistemas operativos para asegurar que se han implementado correctamente las medidas y controles de hardware y software. 2.11.3. CONSIDERACIONES SOBRE LA AUDITORIA DE SISTEMAS Con este control se busca maximizar la efectividad y minimizar las interferencias en el proceso de auditoria del sistema; estableciendo la necesidad de controles para salvaguardar los sistemas operativos y las herramientas de auditoria durante las auditorias del sistema. Controles de auditoria de sistemas Se deberan planificar cuidadosamente y acordarse los requisitos y actividades de auditoria que impliquen comprobaciones en los sistemas operativos, para minimizar el riesgo de interrupcin de los procesos de negocio. Podra incluir: a) acordarse los requisitos de auditoria con la gerencia apropiada; b) controlar el alcance de las verificaciones; c) las verificaciones se deberan limitar a accesos solo de lectura al software y a los datos; d) otro acceso distinto a solo lectura, nicamente se debera permitir para copias aisladas de archivos del sistema; e) los recursos de tecnologa de la informacin para realizar verificaciones deberan ser explcitamente identificados y puestos a disposicin; f) los requisitos para procesos especiales o adicionales deberan ser identificados y acordados; g) todos los accesos deberan ser registrados y supervisados; h) todos los procedimientos, requisitos y responsabilidades deberan estar documentados. Proteccin de las herramientas de auditoria de sistemas Se necesitaran proteger las herramientas de auditorias de sistemas por ejemplo, software o archivos de datos, para evitar cualquier posible mal uso o dao; para evitar una posible prdida o informacin comprometida.