12.

ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE

INFORMACIN
12.1 Requerimientos de seguridad de los sistemas de informacin
Los sistemas de informacin incluyen sistemas operativos, infraestructura,
aplicaciones de negocio, productos enlatados (off-the-shell), servicios y
aplicaciones desarrolladas por el usuario. El diseo e implementacin del sistema
de informacin que da soporte a los procesos de negocio puede ser crucial para la
seguridad. Se recomienda que los requerimientos de seguridad se identifiquen y
acuerden antes del desarrollo e implementacin de los sistemas de informacin.
12.1.1 Anlisis y especificaciones de los requerimientos de seguridad
Control.
Se recomienda que las declaraciones de requerimientos de la actividad para
nuevos sistemas de informacin, o mejoras de los sistemas de informacin
existentes, especifiquen las necesidades de controles de seguridad
Gua de implementacin
Se recomienda que las especificaciones para los requerimientos de control
consideren los controles automticos a incorporar al sistema de informacin as
como la necesidad de controles manuales de apoyo. Es conveniente aplicar
consideraciones similares a evaluar paquetes de software, desarrollados o
comprados, para las aplicaciones de la actividad.
Es conveniente que los requerimientos y controles de seguridad reflejen el valor
para el negocio.

Se recomienda que los requerimientos de los sistemas para la seguridad de la

informacin y los procesos para la implementacin de la seguridad, se integran en
las etapas tempranas de los proyectos de seguridad de la informacin.
Si los productos son comprados, es conveniente que se siga un proceso formal de
pruebas y adquisicin.
Se recomienda que los contratos con el proveedor apunten a los requerimientos
de seguridad identificados.
Cuando la funcionalidad no de seguridad no satisfaga los requerimientos
especificados, se recomienda que se reconsideren el riesgo que se introduce y los
controles asociados en forma previa.
Informacin adicional
Si se considera apropiado, por ejemplo por razones de costo, la alta direccin
puede

desear

hacer

uso

de

productos

certificados

evaluados

independientemente, mas informacin acerca de los criterios puede encontrarse

en la ISO/IEC TR 13335-3.
12.2 Procesamiento correcto en las aplicaciones
Es conveniente que se diseen los controles apropiados en las aplicaciones,
incluyendo

las aplicaciones desarrolladas por los usuarios para asegurar el

procesamiento correcto. Se recomienda que estos controles incluyan validacin de

los datos de entrada, procesamiento interno y datos de salida
12.2.1 Validacin de los datos de entrada
Control
Se recomienda que los datos de entrada de las aplicaciones se validen para
asegurar que son correctos y apropiados

Gua de Implementacin
Es conveniente que los controles se apliquen a las entradas de las transacciones
de negocio, datos permanentes y tablas de parmetros. Se recomienda que se
consideren las directrices siguientes:
a) Controles de entrada duales y otros controles de entrada tales como
verificacin de lmites o campos limitantes.
1) Valores fuera de rango
2) Caracteres invlidos en campos de datos
3) Datos faltantes o incompletos
4) Volmenes de datos que exceden los lmites superiores e inferiores
5) Controles de datos no autorizados o inconsistentes
b) Revisin peridica del contenido de campos clave o archivos de datos
c) Inspeccin de los documentos de entrada para detectar cambios no
autorizados.
d) Procedimientos para responder a errores de validacin
e) Procedimientos para determinar la veracidad de los datos
f) Definicin de las responsabilidades de todo el personal involucrado en el
proceso de entrada de datos
g) Creacin de un registro de las actividades involucradas en el proceso de
entrada de los datos
Informacin adicional
Se puede considerar la examinacin y validacin automtica de los datos de
entrada, segn corresponda para reducir el riesgo de errores y para prevenir
ataques, incluyendo el desbordamiento del buffer (Buffer overflow) y la
insercin de cdigo (code injection).